Ein kostenloser DSGVO-Audit für jede Website – was wir prüfen und warum

Warum wir noch einen Audit gebaut haben

Auf pixzl.de gibt es seit einiger Zeit zwei kostenlose Self-Service-Audits: einen für SEO und einen für Accessibility. Beide sind aus derselben Motivation entstanden: Wir wollten unseren Kunden – und allen anderen, die ihre eigene Website kritisch anschauen möchten – ein Werkzeug in die Hand geben, das die wichtigsten Fragen in wenigen Sekunden beantwortet, ohne Anmeldung, ohne Paywall.

Was bislang fehlte: ein genauso ehrlicher Check für das Thema, das in jedem Agentur-Gespräch spätestens im dritten Satz aufkommt – die DSGVO. Seit heute steht dieser dritte Audit unter /dsgvo-audit bereit.

Die Beobachtung, die uns dazu gebracht hat: Die meisten DSGVO-Tools am Markt sind entweder Cookie-Banner-Anbieter, die den Check primär als Vertriebskanal für ihr eigenes Produkt verwenden, oder Enterprise-Compliance-Suiten, die sich mittelständische Betriebe nicht leisten wollen. Für den Fall dazwischen – den Betreiber einer mittelgroßen Unternehmens-Website, der wissen will, wo er steht – gab es keine vernünftige Antwort. Genau diese Lücke schließen wir.

Was der Audit konkret prüft

Acht automatisierbare Checks, gruppiert in sechs Kategorien. Jeder davon deckt ein konkretes Abmahn- oder Bußgeld-Risiko ab.

Impressum-Link (§ 5 TMG). Jede geschäftsmäßig betriebene deutsche Website braucht ein leicht erkennbares, unmittelbar erreichbares Impressum. Der Audit parst das HTML der Startseite und sucht nach einem Link, dessen Text „Impressum" oder „Legal Notice" enthält. Wenn der Link fehlt, gibt es einen kritischen Befund – das ist die häufigste Angriffsfläche für § 5-Abmahnungen.

Datenschutzerklärung (Art. 13 DSGVO). Dieselbe Logik für den Datenschutz-Link. Die Informationspflicht aus Art. 13 DSGVO verlangt, dass Betroffene die Verarbeitungsinformationen ohne Umwege erreichen können. Konkret heißt das: Link im Footer, erreichbar aus jeder Seite. Fehlt er, schlägt der Audit Alarm.

HTTPS und HSTS. Art. 32 DSGVO verlangt „geeignete technische Maßnahmen" für die Datensicherheit. Im Jahr 2026 ist HTTPS davon das absolute Minimum – und trotzdem sehen wir in unserer Projektpraxis regelmäßig Seiten, die auf HTTP antworten oder den Upgrade nicht erzwingen. Der Audit prüft, ob die finale URL über TLS ausgeliefert wird, und ob der Strict-Transport-Security-Header gesetzt ist. Ohne HSTS bleibt ein erster HTTP-Aufruf angreifbar, auch wenn die Seite nominell HTTPS spricht.

Cookies vor Consent. Das ist der Check, bei dem die meisten Seiten schlecht dastehen. Der Audit liest die Set-Cookie-Header der initialen Antwort – also die Cookies, die der Server schon setzt, bevor der Nutzer überhaupt eine Chance hatte, einem Cookie-Banner zuzustimmen. Namen wie _ga, _fbp, _hj oder MUID werden als Tracking-Cookies markiert, weil sie per EuGH-„Planet49"-Urteil eine ausdrückliche Einwilligung vor dem Setzen verlangen. Ein Session-Cookie ist legitim, ein Analytics-Cookie auf der frischen Seite ist es nicht.

Tracker im initialen HTML. Analog dazu scannt der Audit den ausgelieferten HTML-Code auf die üblichen Tracker: Google Analytics (GA4 via gtag.js sowie Universal Analytics), Google Tag Manager, Meta-/Facebook-Pixel, Hotjar, Matomo, Microsoft Clarity, LinkedIn Insight, TikTok Pixel und Plausible. Wenn eines dieser Skripte direkt im HTML steht – also ohne Consent-Gate dazwischen – entsteht der Datenabfluss schon beim ersten Seitenaufruf. Das ist der Kern der „Planet49"-Problematik und eine der häufigsten Ursachen für Bußgelder der Landes-Datenschutzbehörden.

Google Fonts. Seit dem Urteil des LG München vom 20. Januar 2022 (Az. 3 O 17493/20) ist klar, dass das Hotlinken von Google Fonts über fonts.googleapis.com oder fonts.gstatic.com ohne Einwilligung einen DSGVO-Verstoß darstellt: Die IP des Besuchers wird dabei an Google in den USA übermittelt. Die rechtssichere Lösung ist, die Schriften selbst auszuliefern. Der Audit schlägt Alarm, wenn er das Hotlinking im HTML findet.

YouTube- und Maps-Embeds. Beide Dienste laden beim Seitenaufruf Cookies nach und übertragen Nutzerdaten an Google. Ohne Two-Click-Consent (oder den Umweg über youtube-nocookie.com beziehungsweise einen statischen Maps-Screenshot mit Link zur echten Karte) ist das eine klare DSGVO-Baustelle.

Server-Standort. Der einzige Check, der einen externen Call braucht. Wir lösen die IP der Zieldomain per DNS auf und fragen die Geolocation bei ipapi.co ab. Liegt der Server in der EU, im EWR oder im Vereinigten Königreich, ist alles sauber. Liegt er irgendwo anders, weisen wir darauf hin, dass ein Drittland-Transfer vorliegt – inklusive Schrems-II-Pflichten zu Standard-Vertragsklauseln und Transfer-Impact-Assessment.

Was der automatische Audit nicht leisten kann

Wir sind ehrlich mit den Grenzen: Was wir hier machen, ist ein technisch-sichtbarkeitsorientierter Check. Die folgenden Dinge bleiben außen vor, weil sie sich aus einem einzigen Fetch nicht verlässlich beurteilen lassen.

Die inhaltliche Vollständigkeit der Datenschutzerklärung kann kein Tool prüfen. Ob alle Verarbeitungszwecke korrekt benannt sind, die Rechtsgrundlagen stimmen, Drittanbieter vollständig aufgeführt sind – das ist und bleibt juristische Handarbeit.

Was hinter dem Consent-Banner nachgeladen wird, sehen wir nicht. Eine Seite, die auf dem ersten Fetch „sauber" aussieht, kann nach Zustimmung beliebig viel Tracking aktivieren. Umgekehrt kann ein sauber konfigurierter Consent-Manager Tracker vor der Zustimmung komplett blocken, obwohl sie im HTML-Code stehen – der Audit sieht nur den statischen Zustand.

Auftragsverarbeitungsverträge, Standard-Vertragsklauseln, die konkrete Gestaltung des Consent-Banners, die Existenz einer sauberen Verfahrensdokumentation: alles Punkte, die rechtlich wichtig sind und die keine Fetch-Analyse beantworten kann. Dafür braucht es eine Kanzlei oder einen externen Datenschutzbeauftragten.

Der Audit ersetzt also keine juristische Prüfung. Er zeigt, wo die technischen Basics sitzen – und wo nicht.

Wie es technisch unter der Haube aussieht

Für alle, die es interessiert: Der Audit ist ein serverseitiger Check ohne Headless-Browser. Ein einziger GET-Request auf die Ziel-URL, Timeout acht Sekunden, maximal zwei MB HTML. Aus dem HTML und den Response-Headers leiten wir alle acht Checks ab. Die Geolocation-Abfrage läuft gegen ipapi.co – dort wird ausschließlich die IP der geprüften Domain übermittelt, nicht die des Nutzers, der den Audit startet.

Die eigene IP des Nutzers sieht die Zielwebsite nicht, weil wir den Fetch stellvertretend von unserem Server aus machen. Und wir speichern keine Eingaben. Die einzige Datenverarbeitung, die über den eigentlichen Audit hinausgeht, passiert freiwillig: Wer den Report per E-Mail erhalten möchte, gibt dafür seine Adresse an. Ohne Marketing-Einwilligung landet sie einmalig zur Zustellung des Reports bei unserem Mail-Provider und wird nicht in Listen persistiert. Die Details stehen transparent in unserer Datenschutzerklärung unter Abschnitt 8 c.

Was nach dem Report passiert

Die Befunde sind so formuliert, dass man sie direkt in eine To-Do-Liste umschreiben kann. Zu jedem Problem nennen wir die Rechtsquelle und die konkrete Handlungsempfehlung. Das Ziel: Wer einen Score D oder F bekommt, soll beim Lesen des Reports schon wissen, was als nächstes zu tun ist.

Wer selbst umsetzen will, hat damit die Einstiegsliste. Wer Hilfe braucht, kann uns schreiben – die häufigsten Maßnahmen (Self-Hosted Fonts, Consent-Manager-Integration, Two-Click-Consent für Embeds, Umzug auf EU-Hosting) sind Teil unseres Webentwicklungs-Portfolios. Kombiniert mit einer juristischen Prüfung der Datenschutzerklärung ist man dann vollständig.

Fazit

Mit dem DSGVO-Audit haben wir die Hygiene-Checks auf pixzl.de abgerundet: SEO für Sichtbarkeit, Accessibility für Zugänglichkeit, DSGVO für rechtliche Sauberkeit. Alle drei kostenlos, ohne Anmeldung, mit optionalem Report per Mail. Wer eine eigene Website betreibt, sollte alle drei mindestens einmal durchlaufen – und die Ergebnisse nicht als Marketing-Fragebogen, sondern als Ausgangspunkt für konkrete Umsetzungsarbeit verstehen.

Der Audit ist unter pixzl.de/dsgvo-audit erreichbar. Für Rückfragen – sei es zu einem Befund aus dem Report oder zur Umsetzung der Hinweise – sind wir über das Kontaktformular erreichbar.