siteway

// audit · dsgvo

Datenschutz-Audit.

Wir schneiden mit, was deine Website wirklich tut: welche Dienste laden, welche Cookies fallen und was schon feuert, bevor jemand auf den Banner geklickt hat. Ein DSGVO-Check für deine Website, gemessen statt vermutet — geprüft gegen DSGVO und TDDDG (früher TTDSG). Heraus kommt der dsgvo-befund: priorisierte Befunde mit Aufwand und Wirkung. Eine technische Bestandsaufnahme, keine Rechtsberatung.

audit audit: einzeln buchbar dauer: 2–4 arbeitstage output: dsgvo-befund

// definition

Was ist ein DSGVO-Check für Websites?

Ein DSGVO-Check ist die Prüfung, welche personenbezogenen Daten eine Website tatsächlich verarbeitet — welche Dienste sie lädt, welche Cookies und Speichereinträge dabei entstehen, wann das passiert und mit welcher Einwilligung. Es ist eine Messung, keine Meinung: Seite aufrufen, mitschneiden, was passiert, und gegen das halten, was DSGVO und TDDDG verlangen — und was in deiner Datenschutzerklärung steht.

Der entscheidende Paragraf steht nicht in der DSGVO, sondern im § 25 TDDDG. Er sagt: Wer Informationen auf dem Endgerät speichert oder ausliest — also Cookies setzt oder localStorage nutzt —, braucht eine Einwilligung. Ausnahme: Die Speicherung ist für den vom Nutzer gewünschten Dienst unbedingt erforderlich. Das TTDSG heißt seit Mai 2024 so; inhaltlich ist der § 25 derselbe geblieben.

Was siteway dabei nicht tut: bewerten, ob dein Verarbeitungszweck trägt oder deine Rechtsgrundlage hält. Wir sind Web-Agentur, keine Kanzlei. Wir liefern die Fakten — welcher Dienst, wann, mit welcher Einwilligung. Die juristische Bewertung macht dein Anwalt oder dein Datenschutzbeauftragter. Nur bekommt er sie zum ersten Mal belegt statt behauptet.

// anlass

Wann sich das Audit lohnt.

erst messen, dann streiten

Der häufigste Anlass ist ein Brief. Eine Betroffenenanfrage, ein Hinweis der Aufsichtsbehörde, eine Abmahnung wegen eingebundener Google Fonts — plötzlich muss jemand belegen, was die Website tut. Und niemand im Haus weiß es genau, weil über Jahre Dienste dazugekommen sind: ein Pixel fürs Marketing, ein Chat-Widget, eine Karte auf der Kontaktseite, ein Video im Blog.

Der zweite Anlass ist ein Verdacht. Der Consent-Banner steht, aber der Kollege aus dem Marketing sieht in Analytics auch Zahlen von Leuten, die nie zugestimmt haben. Oder: Die Datenschutzerklärung ist vier Jahre alt, die Website nicht. Beides sind keine Meinungsfragen — das lässt sich in einem Nachmittag messen. Wie das im Alltag aussieht, steht in unserem Beitrag Datenschutz in den Insights.

// prüfung · 6 bereiche

Was wir prüfen.

jeder bereich ein befund

Sechs Bereiche, gemessen an echten Seitenaufrufen — Startseite, Kontakt, Blog, Formularstrecke, Shop-Schritt, je nachdem, was du hast. Wir schneiden den Netzwerkverkehr mit, lesen Cookies und Speicher aus und klicken den Banner in allen Varianten durch: annehmen, ablehnen, widerrufen. Jeder Bereich endet mit einem Befund.

// p-01dienste

Dienste-Inventar.

Jeder Request, jeder fremde Host: Analytics, Tag-Manager, Pixel, Karten, Videos, Schriften, CDN, Chat-Widgets. Am Ende steht eine Liste, die es in vielen Häusern zum ersten Mal gibt — inklusive der Dienste, die andere Dienste nachladen.

befund: host-liste + empfänger

// p-02cookies

Cookies & Speicher.

Alle Cookies mit Herkunft, Zweck und Laufzeit — und dazu localStorage und sessionStorage, die der § 25 TDDDG genauso meint, die aber in kaum einem Banner auftauchen. Ein Cookie mit zwei Jahren Laufzeit ist ein Befund, kein Detail.

befund: cookie-tabelle + laufzeiten

// p-03pre-consent

Last vor der Einwilligung.

Der wichtigste Messpunkt: Was passiert, bevor jemand klickt? Wir laden die Seite mit leerem Profil und schauen zu. Feuert der Tag-Manager schon? Lädt die Schrift von einem fremden Server? Das ist der Befund, den kein Screenshot zeigt.

befund: requests vor klick

// p-04consent

Wir klicken alle Wege durch: Gibt es „Ablehnen“ auf der ersten Ebene? Stoppt der Klick das Laden wirklich, oder blockt das Tool nur optisch? Übersteht die Ablehnung einen Seitenwechsel? Und lässt sich die Einwilligung wieder widerrufen?

befund: blockierlogik + widerruf

// p-05formulare

Formulare & Übertragung.

Kontakt, Bewerbung, Formularstrecken, Newsletter: Wohin gehen die Daten, wird per TLS übertragen, hängt ein Captcha eines Drittanbieters drin, greift Double-Opt-in? Formulare sind die Stellen, an denen echte Daten fließen — nicht nur Metriken.

befund: datenwege + empfänger

// p-06abgleich

Erklärung gegen Realität.

Zum Schluss halten wir die gemessene Dienste-Liste neben deine Datenschutzerklärung. Was läuft, steht dort nicht? Was dort steht, läuft längst nicht mehr? Beides ist ein Befund — und beides geht an deinen Anwalt, nicht an uns.

befund: delta-liste für den dsb

// mehrwert

Was der Gratis-Scanner nicht sieht.

der banner ist kein beweis

Wer „DSGVO-Check Website“ sucht, findet ein Dutzend kostenloser Scanner. Sie sind gut für den ersten Eindruck: URL rein, 60 Sekunden warten, Ampel raus. Nur haben sie alle dieselben drei blinden Flecken — und die sind genau da, wo die teuren Befunde liegen.

// g-01reichweite

Nur die Startseite.

Die Gratis-Version scannt meist eine Handvoll URLs. Das Video steckt aber im Blogartikel, die Karte auf der Kontaktseite, das Captcha im Bewerbungsformular. Wir prüfen Seitentypen, nicht Seitenzahlen — jede Vorlage einmal.

seitentypen statt stichprobe

// g-02verhalten

Der Ablehnen-Pfad.

Ein Scanner sieht, dass ein Banner da ist. Er klickt ihn nicht. Ob „Ablehnen“ das Laden wirklich stoppt, ob die Entscheidung den nächsten Seitenaufruf überlebt, ob der Widerruf greift — das zeigt nur ein Test, bei dem jemand klickt und mitschneidet.

klicktest statt screenshot

// g-03reihenfolge

Liste statt Reihenfolge.

Am Ende steht eine Ampel und der Hinweis „Handlungsbedarf“. Was zuerst, was kann warten, was ist egal — dazu sagt kein Tool etwas. Der dsgvo-befund ist sortiert: oben das, was echte Daten ohne Einwilligung abfließen lässt.

priorität statt ampel

// output

Was du bekommst: den dsgvo-befund.

der report gehört dir

Ein Dokument, das zwei Leser hat: dich und deinen Datenschutzbeauftragten. Du liest die Reihenfolge, er liest die Belege. Jeder Befund hat einen Schweregrad, eine Fundstelle, einen geschätzten Aufwand und die Wirkung. Dazu eine Stunde Durchsprache — auch gern mit deinem DSB im Call.

// r-01befunde

Priorisierte Befunde.

Von kritisch bis niedrig sortiert. Oben steht, was ohne Einwilligung Daten an Dritte gibt — nicht, was alphabetisch zuerst kommt.

// r-02beleg

Jeder Dienst, jeder Host, jedes Cookie mit Zweck und Laufzeit. Die Tabelle, nach der dein DSB seit Jahren fragt — als Datei, nicht als Screenshot.

// r-03nachweis

Mitschnitt als Nachweis.

Zu jedem kritischen Punkt der Request-Mitschnitt: welcher Aufruf, zu welchem Zeitpunkt, mit welchem Consent-Status. Nachprüfbar, auch von Dritten.

// r-04aufwand

Aufwand & Wirkung.

Zu jedem Punkt eine Schätzung und der Effekt. Schriften lokal hosten kostet eine Stunde. Ein Consent-Tool sauber verdrahten kostet mehr — und bringt mehr.

// r-05reihenfolge

Nächste Schritte.

Was diese Woche, was dieses Quartal, was gar nicht. Umsetzbar von jedem Entwickler — auch ohne uns.

// r-06eigentum

Der Report gehört dir.

Als Markdown und PDF, ohne Sperrfrist und ohne Umsetzungspflicht. Gib ihn deinem DSB, deiner Kanzlei, deiner Agentur.

// ablauf · 4 schritte

So läuft das Audit.

2–4 tage bis zum befund

  1. // schritt 01 · briefing

    Briefing & Scope.

    Welche Seitentypen gibt es, welches Consent-Tool läuft, gibt es Login-Bereiche oder Shop-Strecken, wer ist der DSB. Danach steht der Umfang — und der Festpreis.

    output: scope + festpreis

  2. // schritt 02 · messung

    Messung.

    Wir rufen jeden Seitentyp mit leerem Profil auf, schneiden den Netzwerkverkehr mit, lesen Cookies und Speicher aus und klicken den Banner in allen Varianten durch — annehmen, ablehnen, widerrufen.

    output: rohdaten + mitschnitte

  3. // schritt 03 · einordnung

    Einordnung & Priorisierung.

    Jeder Fund bekommt Schweregrad, Aufwand und Wirkung, geordnet nach DSGVO und § 25 TDDDG. Was nur kosmetisch ist, fliegt raus. Übrig bleibt eine Liste, die man von oben nach unten abarbeitet.

    output: priorisierte liste

  4. // schritt 04 · übergabe ● ergebnis

    Befund & Durchsprache.

    Du bekommst den dsgvo-befund und eine Stunde Durchsprache, gern zusammen mit deinem DSB. Danach entscheidest du, wer umsetzt — und in welcher Reihenfolge.

    output: dsgvo-befund.md + pdf

// faq

Häufige Fragen.

Was ist ein DSGVO-Check für Websites?

Ein DSGVO-Check ist die Prüfung, welche personenbezogenen Daten eine Website tatsächlich verarbeitet — welche Dienste sie lädt, welche Cookies und Speichereinträge dabei entstehen, wann das passiert und mit welcher Einwilligung. Es ist eine Messung, keine Meinung: Man ruft die Seite auf, schneidet mit, was passiert, und vergleicht das mit dem, was DSGVO und TDDDG verlangen und was in der Datenschutzerklärung steht.

Was prüft das Datenschutz-Audit konkret?

Sechs Bereiche: das Inventar aller eingebundenen Dienste und Drittanbieter-Hosts, alle Cookies und Speichereinträge mit Laufzeit, die Last vor der Einwilligung — also was schon vor dem ersten Klick feuert —, den Consent-Banner im Test mit Ablehnen-Pfad und Widerruf, Formulare und deren Übertragungswege sowie den Abgleich zwischen Datenschutzerklärung und gemessenem Ist-Zustand.

Ist das Datenschutz-Audit eine Rechtsberatung?

Nein. siteway ist eine Web-Agentur, keine Kanzlei. Wir stellen technisch fest, was passiert: welcher Dienst wann lädt, welches Cookie mit welcher Laufzeit gesetzt wird, ob der Ablehnen-Klick das Laden wirklich stoppt. Diese Befunde sind die Grundlage für die juristische Bewertung — die macht dein Anwalt oder dein Datenschutzbeauftragter. Beide bekommen mit dem dsgvo-befund erstmals belastbare Fakten statt Vermutungen.

Reicht nicht ein kostenloser DSGVO-Scanner?

Für den ersten Eindruck ja. Nur endet ein Scanner meist bei drei URLs, misst nur den Startzustand und liefert eine alphabetische Liste. Er testet nicht, ob dein Ablehnen-Button das Laden tatsächlich stoppt, ob die Einwilligung nach einem Widerruf wirklich weg ist oder ob das Kontaktformular auf der Unterseite an einem Dienst hängt, den niemand kennt. Und er sagt dir nicht, was du zuerst anfasst. Genau das ist der Unterschied zum Audit.

Gilt das TTDSG noch?

Der Inhalt ja, der Name nicht mehr. Das TTDSG heißt seit Mai 2024 TDDDG — Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Die für Websites entscheidende Regel ist unverändert der § 25: Wer Informationen auf dem Endgerät speichert oder ausliest — also Cookies setzt oder localStorage nutzt —, braucht eine Einwilligung, außer die Speicherung ist für den vom Nutzer gewünschten Dienst unbedingt erforderlich. Wir prüfen gegen diesen Stand.

Was kostet das Audit?

Festpreis nach Briefing. Sobald klar ist, wie viele Seitentypen geprüft werden, welches CMS läuft, welches Consent-Tool im Einsatz ist und ob es Login-Bereiche oder Shop-Strecken gibt, nennen wir einen Preis für das Datenschutz-Audit und halten ihn fest. Keine Tagessätze, die während der Analyse wachsen.

Müssen wir die Umsetzung bei euch beauftragen?

Nein. Der dsgvo-befund gehört dir, inklusive aller Befunde und Empfehlungen. Gib ihn deinem Datenschutzbeauftragten, deiner Kanzlei, deiner bisherigen Agentur oder deinem internen Team. Wenn du willst, setzt siteway die Punkte um — Consent-Tool sauber verdrahten, Dienste lokal hosten, Einbindungen entschärfen. Eine Pflicht dazu gibt es nicht.

// Wissen, was deine Website wirklich lädt?

Audit anfragen