System operativ · technische Analyse
Rechtsstand März 2026 ↑ Changelog

Leistungsumfang

Transparente Übersicht aller Prüfungen – was wird geprüft, welche Rechtsgrundlage steckt dahinter und was ist in welchem Produkt enthalten.

138
Prüfungen gesamt
25
Kostenlos
113
Pro
Kritisch
Hoch
Mittel
Niedrig
Info / Hinweis
Free Pro
🔒

SSL & Sicherheit

6 Prüfungen

Worum geht es?

SSL/TLS-Verschlüsselung ist die Grundlage für sichere Datenübertragung. Ohne gültiges SSL-Zertifikat werden Daten unverschlüsselt übertragen.

Art. 32 DSGVO verpflichtet zu angemessenen technischen Schutzmaßnahmen. SSL gilt als Mindeststandard.

Praxis-Tipp

Nutzen Sie Let's Encrypt für kostenlose SSL-Zertifikate. Stellen Sie sicher, dass HTTP automatisch auf HTTPS weiterleitet.

ID Prüfung Schwere Rechtsgrundlage Plan
SSL-001
SSL/TLS-Zertifikat
Prüft, ob die Website über ein gültiges SSL/TLS-Zertifikat verfügt. Ohne SSL-Verschlüsselung werden Daten ungeschützt übertragen, was einen Verstoß gegen die technischen Schutzmaßnahmen der DSGVO darstellt.
KRITISCH Art. 32 DSGVO Free
SSL-001b
SSL-Zertifikat läuft bald ab
Prüft, ob das SSL-Zertifikat in naher Zukunft abläuft. Ein abgelaufenes Zertifikat führt zu Browser-Warnungen und unterbricht den verschlüsselten Datentransfer.
MITTEL Art. 32 DSGVO Free
SSL-003
HTTP zu HTTPS Weiterleitung
Prüft, ob HTTP-Anfragen automatisch auf HTTPS weitergeleitet werden. Ohne Weiterleitung können Nutzer die Website versehentlich unverschlüsselt aufrufen.
HOCH Art. 32 DSGVO Free
SSL-002
TLS-Version
Prüft die verwendete TLS-Protokollversion. TLS 1.0 und 1.1 gelten als unsicher und sollten deaktiviert sein. TLS 1.3 ist der empfohlene Standard.
HOCH Art. 32 DSGVO Pro
SSL-004
Mixed Content
Prüft, ob auf der HTTPS-Seite unsichere HTTP-Ressourcen eingebunden sind. Mixed Content untergräbt die SSL-Verschlüsselung und kann zu Browser-Warnungen führen.
MITTEL Art. 32 DSGVO Pro
SSL-005
Ladezeit / Performance
Prüft, ob die Website innerhalb von 5 Sekunden vollständig geladen wird. Langsame Seiten können als Wettbewerbsverstoß gewertet werden.
NIEDRIG UWG § 5 (Irreführung) Free
📄

Impressum

14 Prüfungen

Worum geht es?

Das Impressum ist die Visitenkarte Ihrer Website. Es muss leicht erkennbar, unmittelbar erreichbar und staendig verfügbar sein.

Impressumspflicht nach § 5 DDG (seit 14.05.2024, vormals § 5 TMG). Verstöße können mit Bußgeldern bis 50.000 € geahndet werden.

Praxis-Tipp

Verwenden Sie einen Impressum-Generator und prüfen Sie regelmäßig die Aktualitaet. Bei GmbH, UG, AG zusätzlich Handelsregisternummer und Geschäftsführer angeben.

ID Prüfung Schwere Rechtsgrundlage Plan
IMP-001
Impressum vorhanden und erreichbar
Prüft, ob ein Impressum vorhanden und von jeder Seite aus leicht erreichbar ist. Ein fehlendes Impressum ist einer der häufigsten Abmahngründe.
KRITISCH § 5 DDG Free
IMP-009
Veralteter TMG-Verweis
Prüft, ob im Impressum noch auf das veraltete Telemediengesetz (TMG) verwiesen wird. Seit Mai 2024 gilt das Digitale-Dienste-Gesetz (DDG) als Nachfolger.
MITTEL § 5 DDG Free
IMP-010
Impressum als Bild
Prüft, ob das Impressum als Bild statt als Text hinterlegt ist. Impressumsangaben als Bild sind nicht barrierefrei und können nicht maschinell gelesen werden.
MITTEL § 5 DDG Free
IMP-002
Name/Firma im Impressum
Prüft, ob der vollständige Name oder die Firma des Anbieters im Impressum angegeben ist. Diese Pflichtangabe ist für die Identifizierung des Verantwortlichen zwingend erforderlich.
KRITISCH § 5 DDG Pro
IMP-003
Ladungsfähige Anschrift
Prüft, ob eine ladungsfähige Anschrift (Straße, Hausnummer, PLZ, Ort) im Impressum vorhanden ist. Eine Postfachadresse genügt nicht.
KRITISCH § 5 DDG Pro
IMP-004
E-Mail-Adresse
Prüft, ob eine E-Mail-Adresse im Impressum angegeben ist. Die E-Mail ermöglicht eine schnelle elektronische Kontaktaufnahme mit dem Anbieter.
HOCH § 5 DDG Pro
IMP-005
Telefonnummer
Prüft, ob eine Telefonnummer im Impressum vorhanden ist. Neben der E-Mail sollte ein weiterer unmittelbarer Kommunikationsweg angeboten werden.
MITTEL § 5 DDG Pro
IMP-006
Handelsregister-Eintrag
Prüft, ob bei eingetragenen Unternehmen das Registergericht und die Registernummer angegeben sind. Diese Angabe ist für alle im Handelsregister eingetragenen Firmen Pflicht.
HOCH § 5 DDG Pro
IMP-007
USt-IdNr.
Prüft, ob die Umsatzsteuer-Identifikationsnummer im Impressum angegeben ist. Falls vorhanden, muss die USt-IdNr. im Impressum genannt werden.
HOCH § 5 DDG Pro
IMP-008
Vertretungsberechtigter
Prüft, ob bei juristischen Personen der Vertretungsberechtigte (z. B. Geschäftsführer) namentlich benannt ist. Bei GmbH, AG oder UG ist diese Angabe Pflicht.
HOCH § 5 DDG Pro
IMP-013
Redaktionell Verantwortlicher (V.i.S.d.P.)
Prüft, ob bei Websites mit redaktionellen Inhalten (Blog, Magazin, News) ein redaktionell Verantwortlicher nach § 18 MStV benannt ist.
MITTEL § 18 Abs. 2 MStV Pro
IMP-014
Aufsichtsbehörde (regulierte Berufe)
Prüft, ob bei regulierten Berufen (Arzt, Anwalt, Steuerberater etc.) die zuständige Aufsichtsbehörde im Impressum angegeben ist.
MITTEL § 5 Abs. 1 Nr. 5 DDG Pro
IMP-015
Berufsrechtliche Angaben
Prüft, ob bei regulierten Berufen Kammerzugehörigkeit, Berufsbezeichnung und berufsrechtliche Regelungen angegeben sind.
HOCH § 5 Abs. 1 Nr. 5 DDG Pro
IMP-016
Impressum auf noindex
Prüft, ob die Impressum-Seite ein noindex-Meta-Tag hat, das die Indexierung durch Suchmaschinen verhindert.
HOCH § 5 DDG Free
🔐

Datenschutzerklärung

20 Prüfungen

Worum geht es?

Die Datenschutzerklärung informiert Besucher über Art, Umfang und Zweck der Datenverarbeitung. Sie muss alle verwendeten Dienste abdecken.

Art. 13 und 14 DSGVO regeln die Informationspflichten. Die DSE muss Verantwortlichen, Zwecke, Rechtsgrundlagen, Empfänger und Betroffenenrechte nennen.

Praxis-Tipp

Aktualisieren Sie Ihre DSE bei jeder Änderung der eingesetzten Dienste. Erwaehnen Sie alle externen Ressourcen und prüfen Sie Auftragsverarbeitungsvertraege (AVV).

ID Prüfung Schwere Rechtsgrundlage Plan
DSE-001
Datenschutzerklärung vorhanden
Prüft, ob eine Datenschutzerklärung vorhanden und von jeder Seite aus erreichbar ist. Jede Website, die personenbezogene Daten verarbeitet, benötigt eine Datenschutzerklärung.
KRITISCH Art. 13 DSGVO Free
DSE-009
Veralteter TTDSG-Verweis
Prüft, ob in der Datenschutzerklärung noch auf das veraltete TTDSG verwiesen wird. Seit Mai 2024 gilt das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
NIEDRIG TDDDG Free
DSE-002
Verantwortlicher benannt
Prüft, ob der Verantwortliche für die Datenverarbeitung mit vollständigen Kontaktdaten in der Datenschutzerklärung benannt ist.
HOCH Art. 13 DSGVO Pro
DSE-004
Rechtsgrundlagen genannt
Prüft, ob die Rechtsgrundlagen für die Datenverarbeitung (z. B. Einwilligung, berechtigtes Interesse) konkret benannt werden.
HOCH Art. 6 DSGVO Pro
DSE-005
Betroffenenrechte dokumentiert
Prüft, ob die Rechte der Betroffenen (Auskunft, Löschung, Widerspruch etc.) in der Datenschutzerklärung aufgeführt sind.
HOCH Art. 15-21 DSGVO Pro
DSE-006
Speicherdauer angegeben
Prüft, ob die Speicherdauer oder die Kriterien für die Festlegung der Speicherdauer angegeben sind.
MITTEL Art. 13 DSGVO Pro
DSE-007
Drittlandtransfer dokumentiert
Prüft, ob Datentransfers in Drittländer (außerhalb EU/EWR) dokumentiert und die Schutzmaßnahmen beschrieben sind.
HOCH Art. 44-49 DSGVO Pro
DSE-008
Externe Dienste dokumentiert
Prüft, ob alle eingebundenen externen Dienste (Analytics, Maps, Fonts etc.) in der Datenschutzerklärung aufgeführt und erläutert werden.
HOCH Art. 13 DSGVO Pro
DSE-003
Datenschutzbeauftragter
Prüft, ob ein Datenschutzbeauftragter in der Datenschutzerklärung benannt ist (ab 20 Mitarbeitern Pflicht).
MITTEL Art. 37 DSGVO Pro
DSE-010
Datenschutzerklärung auf gleicher Domain
Prüft, ob die Datenschutzerklärung auf der gleichen Domain liegt und nicht auf eine externe Seite verweist.
KRITISCH Art. 12 Abs. 1 DSGVO Free
DSE-011
Aktualitätsdatum in der DSE
Prüft, ob die Datenschutzerklärung ein Datum oder "Stand"-Vermerk enthält.
NIEDRIG Art. 5 Abs. 2 DSGVO Pro
DSE-012
Datenschutzerklärung auf noindex
Prüft, ob die Datenschutzerklärungs-Seite ein noindex-Meta-Tag hat, das die Indexierung verhindert.
HOCH Art. 12 Abs. 1 DSGVO Free
DSE-013
Datenschutz-Link im Footer
Prüft, ob ein Link zur Datenschutzerklärung im Footer vorhanden ist. Die DSE muss von jeder Unterseite leicht erreichbar sein.
MITTEL Art. 12 Abs. 1 DSGVO Free
DSE-014
Zwecke der Datenverarbeitung beschrieben
Prüft, ob die Datenschutzerklärung konkrete Zwecke der Datenverarbeitung benennt (z.B. Vertragserfüllung, Kontaktanfrage, Webanalyse).
HOCH Art. 13 Abs. 1 lit. c DSGVO Pro
DSE-015
Empfänger / Kategorien von Empfängern
Prüft, ob Empfänger oder Kategorien von Empfängern der Daten benannt werden (z.B. Auftragsverarbeiter, Zahlungsdienstleister).
HOCH Art. 13 Abs. 1 lit. e DSGVO Pro
DSE-016
Widerrufsrecht bei Einwilligung erklärt
Prüft, ob der Hinweis vorhanden ist, dass erteilte Einwilligungen jederzeit widerrufen werden können.
MITTEL Art. 7 Abs. 3 DSGVO Pro
DSE-017
Hosting / Webhosting beschrieben
Prüft, ob der Hosting-Anbieter in der Datenschutzerklärung benannt und die IP-Adressen-Verarbeitung erklärt wird.
MITTEL Art. 13 DSGVO Pro
DSE-018
Kontaktformular datenschutzrechtlich erklärt
Prüft, ob die Datenverarbeitung bei Kontaktaufnahme über das Kontaktformular in der DSE beschrieben wird.
MITTEL Art. 13 DSGVO Pro
DSE-019
Newsletter / E-Mail-Marketing in DSE erklärt
Prüft, ob Newsletter-Versand und E-Mail-Marketing-Dienste in der Datenschutzerklärung beschrieben werden.
MITTEL Art. 13 DSGVO / UWG § 7 Pro
DSE-020
Server-Logfiles erklärt
Prüft, ob die automatische Speicherung von Server-Logfiles (IP, Browser, Zeitstempel) in der DSE beschrieben wird.
MITTEL Art. 6 Abs. 1 lit. f DSGVO Pro
🍪

Cookies & Tracking

11 Prüfungen

Worum geht es?

Cookies und Tracking-Technologien dürfen nur mit vorheriger Einwilligung gesetzt werden (Opt-in), es sei denn, sie sind technisch notwendig.

§ 25 TDDDG regelt die Einwilligungspflicht. Das EuGH-Urteil Planet49 hat klargestellt: Opt-in entspricht der empfohlenen Praxis, keine vorausgewählten Checkboxen.

Praxis-Tipp

Implementieren Sie ein Consent-Tool (z.B. Cookiebot, Borlabs Cookie). Stellen Sie sicher, dass Tracking-Skripte erst nach Einwilligung geladen werden.

ID Prüfung Schwere Rechtsgrundlage Plan
COO-001
Cookie-Banner vorhanden
Prüft, ob ein Cookie-Consent-Banner vorhanden ist. Websites, die nicht-essenzielle Cookies setzen, benötigen eine vorherige Einwilligung der Nutzer.
HOCH § 25 TDDDG Free
COO-004
Kein Tracking vor Consent
Prüft, ob Tracking-Skripte oder nicht-essenzielle Cookies bereits vor der Einwilligung geladen werden. Das Setzen von Tracking-Cookies ohne Consent ist ein schwerwiegender Verstoß.
KRITISCH § 25 TDDDG Free
COO-002
Ablehnen-Button
Prüft, ob im Cookie-Banner eine gleichwertige Möglichkeit zum Ablehnen aller Cookies vorhanden ist. Der Ablehnen-Button muss auf der ersten Ebene sichtbar sein.
HOCH § 25 TDDDG Pro
COO-003
Cookie-Vorauswahl (Dark Pattern)
Prüft, ob im Cookie-Banner Checkboxen vorausgewählt sind oder Dark Patterns eingesetzt werden. Vorausgewählte Kategorien stellen keine gültige Einwilligung dar.
KRITISCH EuGH C-673/17 (Planet49), § 25 TDDDG Pro
COO-005
Widerrufbare Einwilligung
Prüft, ob eine erteilte Cookie-Einwilligung jederzeit einfach widerrufen werden kann, z. B. über einen dauerhaft sichtbaren Link oder Button.
MITTEL Art. 7 DSGVO Pro
COO-006
Cookie-Klassifizierung
Prüft, ob die Cookies im Banner nach Kategorien (notwendig, Statistik, Marketing etc.) klassifiziert werden und einzeln an-/abwählbar sind.
HOCH § 25 TDDDG Pro
COO-007
Cookie-Laufzeiten
Prüft die tatsächlichen Laufzeiten (max-age/expires) der gesetzten Cookies. Übermäßig lange Laufzeiten (>1 Jahr) verstoßen gegen den Grundsatz der Speicherbegrenzung.
MITTEL Art. 5 Abs. 1 lit. e DSGVO Pro
COO-008
Script-Blocking durch Consent
Prüft, ob Tracking-Skripte durch das Consent-Tool blockiert werden (z.B. type="text/plain", data-cookieconsent). Ohne Blocking werden Skripte vor der Einwilligung ausgeführt.
HOCH § 25 Abs. 1 TDDDG Pro
COO-009
Cookie-Wall (Website ohne Consent nutzbar)
Prüft, ob die Website auch ohne Cookie-Zustimmung vollständig nutzbar ist. Ein Cookie-Wall, der den Zugang sperrt, ist unzulässig.
HOCH TDDDG § 25 / Art. 7 DSGVO Pro
COO-010
Fingerprinting-Hinweis
Hinweis: Wenn Browser-Fingerprinting eingesetzt wird, muss dies ebenfalls im Cookie-Banner und in der DSE erklärt werden.
NIEDRIG TDDDG § 25 Pro
COO-011
CMP-Anbieter datenschutzkonform
Prüft, ob der verwendete Consent-Management-Anbieter (CMP) selbst DSGVO-konform ist.
NIEDRIG Art. 28 DSGVO Pro
🌐

Externe Ressourcen

6 Prüfungen

Worum geht es?

Jede externe Ressource stellt eine Verbindung zu einem Drittanbieter-Server her. Dabei wird mindestens die IP-Adresse übermittelt.

Seit dem LG-Muenchen-Urteil zu Google Fonts (2022) ist klar: Externe Einbindung ohne Einwilligung kann abgemahnt werden.

Praxis-Tipp

Hosten Sie Fonts und statische Ressourcen lokal. Binden Sie Google Maps, YouTube und Social-Media-Plugins erst nach Einwilligung ein (2-Klick-Lösung).

ID Prüfung Schwere Rechtsgrundlage Plan
EXT-001
Google Fonts extern
Prüft, ob Google Fonts über Google-Server eingebunden werden. Seit dem Urteil des LG München I (2022) ist die externe Einbindung ohne Einwilligung abmahnfähig.
HOCH DSGVO / LG München I Free
EXT-003
Tracking-Dienste erkannt
Prüft, ob bekannte Tracking-Dienste (Google Analytics, Facebook Pixel etc.) eingebunden sind und ob diese korrekt über den Consent-Mechanismus gesteuert werden.
KRITISCH § 25 TDDDG Free
EXT-002
Weitere externe Ressourcen
Prüft, ob weitere externe Ressourcen (CDNs, externe Skripte, iFrames) eingebunden sind, die IP-Adressen an Dritte übertragen und in der Datenschutzerklärung dokumentiert sein müssen.
MITTEL Art. 13 DSGVO Pro
EXT-005
Google reCAPTCHA ohne Consent
Prüft, ob Google reCAPTCHA eingebunden ist. reCAPTCHA überträgt umfangreiche Nutzerdaten an Google und erfordert eine Einwilligung oder Datenschutzhinweis.
HOCH DSGVO Art. 6, § 25 TDDDG Pro
EXT-006
Google Maps ohne Consent
Prüft, ob Google Maps direkt ohne 2-Klick-Lösung oder Consent-Abfrage eingebunden ist. Dabei werden IP-Adressen und Nutzerdaten an Google übermittelt.
HOCH DSGVO Art. 6, § 25 TDDDG Pro
EXT-007
Social-Media-Plugins ohne Consent
Prüft, ob Social-Media-Plugins (Like-Buttons, Share-Widgets) direkt geladen werden. Diese übermitteln bereits beim Seitenaufruf Daten an die Plattformbetreiber.
MITTEL DSGVO Art. 6, EuGH C-40/17 Pro

Barrierefreiheit

25 Prüfungen

Worum geht es?

Barrierefreiheit bedeutet, dass Websites auch für Menschen mit Behinderungen nutzbar sein müssen. Seit dem BFSG (28.06.2025) gesetzliche Pflicht.

Das BFSG setzt die EU-RL 2019/882 um. Standard ist EN 301 549 / WCAG 2.1 Level AA. Betroffen sind u.a. Online-Shops und Bankdienstleister.

Praxis-Tipp

Beginnen Sie mit: Sprachdeklaration, Alt-Texte, Farbkontraste (4.5:1), Tastaturnavigation, korrekte Überschriftenhierarchie, ARIA-Attribute.

ID Prüfung Schwere Rechtsgrundlage Plan
BF-001
Sprachdeklaration (lang)
Prüft, ob das HTML-Dokument ein lang-Attribut besitzt. Screenreader benötigen die Sprachdeklaration, um den Inhalt korrekt vorzulesen.
MITTEL WCAG 3.1.1 Free
BF-002
Bild-Alt-Texte
Prüft, ob alle Bilder alternative Textbeschreibungen (alt-Attribute) besitzen. Fehlende Alt-Texte machen Bildinhalte für sehbehinderte Nutzer unzugänglich.
MITTEL WCAG 1.1.1 Free
BF-003
Überschriften-Struktur
Prüft, ob die Überschriften-Hierarchie (h1-h6) logisch aufgebaut ist und keine Ebenen übersprungen werden. Eine korrekte Struktur erleichtert die Navigation mit Screenreadern.
MITTEL WCAG 1.3.1 Free
BF-006
Barrierefreiheitserklärung
Prüft, ob eine Erklärung zur Barrierefreiheit vorhanden ist. Ab dem 28. Juni 2025 ist diese für viele Unternehmen durch das BFSG verpflichtend.
HOCH § 4 BFSG Free
BF-005
Keyboard-Fokus sichtbar
Prüft, ob interaktive Elemente bei Tastaturnavigation einen sichtbaren Fokus-Indikator haben. Ohne sichtbaren Fokus können Tastaturnutzer die aktuelle Position nicht erkennen.
HOCH WCAG 2.4.7 Pro
BF-007
Formular-Labels
Prüft, ob alle Formularfelder mit zugehörigen Labels versehen sind. Ohne Labels können Screenreader-Nutzer die Funktion der Eingabefelder nicht erkennen.
MITTEL WCAG 1.3.1 Pro
BF-004
Zoom-Unterstützung
Prüft, ob die Website bei bis zu 200 % Zoom noch nutzbar ist und der Viewport-Meta-Tag das Zoomen nicht deaktiviert.
MITTEL WCAG 1.4.4 Pro
BF-009
Farbkontrast
Prüft, ob Text-Elemente ein ausreichendes Kontrastverhältnis zum Hintergrund aufweisen (mindestens 4,5:1 für normalen Text). Zu geringe Kontraste beeinträchtigen die Lesbarkeit.
HOCH WCAG 1.4.3 Pro
BF-010
ARIA Landmarks
Prüft, ob die Seite ARIA-Landmark-Rollen (banner, navigation, main, contentinfo) oder semantische HTML5-Elemente verwendet, um Seitenbereiche zu kennzeichnen.
MITTEL WCAG 1.3.1 Pro
BF-011
Link-Texte
Prüft, ob Links aussagekräftige Texte haben. Generische Linktexte wie "hier" oder "mehr" sind für Screenreader-Nutzer nicht verständlich.
MITTEL WCAG 2.4.4 Pro
BF-012
Skip-Navigation
Prüft, ob ein Skip-Link vorhanden ist, der es Tastaturnutzern ermöglicht, die Navigation zu überspringen und direkt zum Hauptinhalt zu gelangen.
MITTEL WCAG 2.4.1 Pro
BF-013
Relative Schriftgrößen
Prüft, ob Schriftgrößen in relativen Einheiten (em, rem, %) statt in festen Pixelwerten angegeben sind, damit Nutzer die Textgröße anpassen können.
NIEDRIG WCAG 1.4.4 Pro
BF-014
Autoplay-Medien
Prüft, ob Audio- oder Video-Elemente automatisch abgespielt werden. Automatisch startende Medien können Screenreader-Nutzer stören und desorientieren.
MITTEL WCAG 1.4.2 Pro
BF-015
Reduced Motion
Prüft, ob die Website die prefers-reduced-motion Medienabfrage unterstützt, um Animationen für empfindliche Nutzer zu reduzieren.
NIEDRIG WCAG 2.3.3 Pro
BF-016
Tabindex-Reihenfolge
Prüft, ob positive Tabindex-Werte verwendet werden, die die natürliche Tab-Reihenfolge verändern. Positive Tabindex-Werte führen häufig zu einer verwirrenden Navigationsreihenfolge.
MITTEL WCAG 2.4.3 Pro
BF-017
Leere interaktive Elemente
Prüft, ob Buttons und Links einen zugänglichen Namen haben. Leere interaktive Elemente ohne Text oder ARIA-Label sind für Screenreader-Nutzer nicht bedienbar.
HOCH WCAG 4.1.2 Pro
BF-018
Tabellenstruktur
Prüft, ob Datentabellen korrekte Kopfzeilen (th) und ggf. caption-Elemente verwenden. Ohne Strukturierung können Screenreader Tabelleninhalte nicht sinnvoll vorlesen.
MITTEL WCAG 1.3.1 Pro
BF-019
Fremdsprache-Kennzeichnung
Prüft, ob fremdsprachige Textpassagen mit dem lang-Attribut gekennzeichnet sind, damit Screenreader die korrekte Sprachausgabe verwenden.
NIEDRIG WCAG 3.1.2 Pro
BF-020
Barrierefreiheitserklärung Inhalt
Prüft, ob die Barrierefreiheitserklärung die erforderlichen Inhalte enthält: Konformitätsstatus, bekannte Einschränkungen und Kontaktmöglichkeit für Feedback.
MITTEL § 4 BFSG Pro
BF-008
Doppelte IDs
Prüft, ob IDs im HTML-Dokument eindeutig sind. Doppelte IDs verursachen Probleme bei Screenreadern und der Label-Zuordnung von Formularen.
NIEDRIG WCAG 4.1.1 Pro
BF-021
Dekorative Bilder mit leerem Alt-Text
Prüft, ob rein dekorative Grafiken korrekt mit alt="" (leer) markiert sind.
MITTEL WCAG 2.1 / 1.1.1 (A) Pro
BF-022
Keine Tastaturfalle (Prüfhinweis)
Hinweis: Nutzer dürfen sich nicht in Modalen oder Overlays per Tastatur "verfangen". Manuelle Prüfung empfohlen.
INFO WCAG 2.1 / 2.1.2 (A) Pro
BF-023
Keine anfallauslösenden Inhalte
Prüft, ob blinkende oder schnell wechselnde Elemente (>3x pro Sekunde) vorhanden sind.
HOCH WCAG 2.1 / 2.3.1 (A) Pro
BF-024
Drag-and-Drop Alternativen (Prüfhinweis)
Hinweis: Wenn Drag-and-Drop-Funktionen verwendet werden, müssen Alternativen ohne Zeigegerät bereitstehen.
INFO WCAG 2.2 / 2.5.7 (AA) Pro
BF-CTA
Vollständiger BFSG-Audit verfügbar
Hinweis auf das BFSG-Modul mit 39 WCAG-Tiefenprüfungen nach POUR-Struktur.
INFO BFSG / WCAG 2.1 AA Pro
🛡

Security Headers

6 Prüfungen

Worum geht es?

Security Headers sind HTTP-Antwort-Header, die den Browser anweisen, bestimmte Sicherheitsrichtlinien durchzusetzen.

Art. 32 DSGVO fordert angemessene technische Maßnahmen. Security Headers gelten als Best Practice und können bei einem Datenschutzvorfall relevant sein.

Praxis-Tipp

Konfigurieren Sie mindestens: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy und Content-Security-Policy (per .htaccess oder Server-Konfiguration).

ID Prüfung Schwere Rechtsgrundlage Plan
SEC-001
HSTS Header
Prüft, ob der Strict-Transport-Security-Header gesetzt ist. HSTS erzwingt die HTTPS-Nutzung und schützt vor Downgrade-Angriffen.
MITTEL RFC 6797 Pro
SEC-002
Content-Security-Policy
Prüft, ob ein Content-Security-Policy-Header gesetzt ist. CSP schützt vor Cross-Site-Scripting (XSS) und anderen Code-Injection-Angriffen.
MITTEL Best Practice Pro
SEC-003
X-Frame-Options
Prüft, ob der X-Frame-Options-Header gesetzt ist. Dieser schützt vor Clickjacking-Angriffen, bei denen die Website in fremde Seiten eingebettet wird.
NIEDRIG Best Practice Pro
SEC-004
X-Content-Type-Options
Prüft, ob der X-Content-Type-Options-Header auf "nosniff" gesetzt ist. Dies verhindert, dass Browser den MIME-Type von Ressourcen erraten (MIME-Sniffing).
NIEDRIG Best Practice Pro
SEC-005
Referrer-Policy
Prüft, ob ein Referrer-Policy-Header gesetzt ist. Eine restriktive Referrer-Policy verhindert die ungewollte Weitergabe von Seiten-URLs an Drittanbieter.
NIEDRIG Best Practice Pro
SEC-006
Permissions-Policy
Prüft, ob ein Permissions-Policy-Header gesetzt ist. Dieser steuert den Zugriff auf Browser-Funktionen wie Kamera, Mikrofon oder Geolocation.
INFO Best Practice Pro

Formulare & Newsletter

7 Prüfungen

Worum geht es?

Kontaktformulare und Newsletter-Anmeldungen verarbeiten personenbezogene Daten und unterliegen besonderen Anforderungen an Einwilligung und Double-Opt-in.

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 7 UWG (unverlangte Werbung). Newsletter nur mit Double-Opt-in zulässig.

Praxis-Tipp

Jedes Formular braucht einen Datenschutzhinweis mit Link. Newsletter per Double-Opt-in. Checkboxen dürfen nicht vorausgewählt sein.

ID Prüfung Schwere Rechtsgrundlage Plan
FORM-001
Newsletter: Datenschutz-Checkbox
Prüft, ob Newsletter-Anmeldeformulare eine Datenschutz-Einwilligungs-Checkbox enthalten. Ohne aktive Einwilligung in die Datenverarbeitung ist die Newsletter-Anmeldung rechtswidrig.
HOCH Art. 6 Abs. 1 lit. a DSGVO Free
FORM-002
Newsletter: Checkbox nicht vorausgewählt
Prüft, ob die Datenschutz-Checkbox im Newsletter-Formular nicht vorausgewählt (pre-checked) ist. Eine vorausgewählte Checkbox stellt keine wirksame Einwilligung dar.
HOCH Art. 7 DSGVO / EuGH C-673/17 Free
FORM-003
Newsletter: Double-Opt-In Hinweis
Prüft, ob ein Hinweis auf das Double-Opt-In-Verfahren vorhanden ist. Ohne Double-Opt-In kann der Nachweis der Einwilligung problematisch werden.
MITTEL Art. 7 Abs. 1 DSGVO Free
FORM-004
Kontaktformular: Datenschutz-Einwilligung
Prüft, ob Kontaktformulare einen Datenschutzhinweis oder eine Einwilligungs-Checkbox enthalten. Nutzer müssen vor Absenden über die Datenverarbeitung informiert werden.
HOCH Art. 13 DSGVO Pro
FORM-005
Kopplungsverbot Newsletter
Prüft, ob ein Newsletter-Abo als Bedingung für Downloads, Gutscheine oder digitale Produkte erzwungen wird. Das Kopplungsverbot untersagt es, eine Einwilligung an sachfremde Leistungen zu koppeln.
HOCH Art. 7 Abs. 4 DSGVO Pro
FORM-006
Kontaktseite vorhanden
Prüft, ob eine Kontaktseite oder ein Kontaktformular vorhanden und erreichbar ist.
MITTEL DDG § 5 Pro
FORM-007
Urheberrecht bei Bildern (Prüfhinweis)
Hinweis: Alle Bilder, Icons und Videos müssen lizenziert oder selbst erstellt sein.
INFO UrhG § 72 / § 97 Pro
🛒

E-Commerce / Shop

26 Prüfungen

Worum geht es?

Online-Shops unterliegen besonderen Informationspflichten: AGB, Widerrufsbelehrung, Preisangaben, Button-Lösung und mehr.

BGB §§ 312a-312k (Fernabsatzrecht), PAngV (Preisangaben), § 312j BGB (Button-Lösung). 30-Tage-Regel für Streichpreise seit 28.05.2022.

Praxis-Tipp

Prüfen Sie: Bestellbutton-Text, Grundpreise, Streichpreis-Referenz (niedrigster Preis der letzten 30 Tage), AGB und Widerrufsbelehrung im Footer.

ID Prüfung Schwere Rechtsgrundlage Plan
SHOP-008
OS-Plattform Link entfernt
Prüft, ob noch ein Link zur EU-Online-Streitbeilegungsplattform (OS-Plattform) vorhanden ist. Die OS-Plattform wurde am 20.07.2025 abgeschaltet. Ein veralteter Link ist abmahnfähig.
HOCH UWG § 5 Free
SHOP-001
Widerrufsbelehrung
Prüft, ob eine Widerrufsbelehrung vorhanden ist. Online-Shops müssen Verbraucher vor Vertragsschluss über ihr Widerrufsrecht informieren.
KRITISCH § 312d BGB Pro
SHOP-001b
14-Tage Widerrufsfrist
Prüft, ob die gesetzliche 14-tägige Widerrufsfrist korrekt in der Widerrufsbelehrung genannt wird. Eine falsche Fristangabe ist abmahnfähig.
HOCH § 355 BGB Pro
SHOP-002
Muster-Widerrufsformular
Prüft, ob ein Muster-Widerrufsformular bereitgestellt wird. Online-Händler sind verpflichtet, Verbrauchern ein Widerrufsformular zur Verfügung zu stellen.
HOCH Art. 246a EGBGB Pro
SHOP-003
Preise inkl. MwSt.
Prüft, ob Produktpreise den Hinweis "inkl. MwSt." enthalten. Gegenüber Verbrauchern müssen Preise immer inklusive Mehrwertsteuer angegeben werden.
HOCH PAngV § 1 Pro
SHOP-003b
Versandkosten-Angabe
Prüft, ob bei Produktpreisen ein Hinweis auf anfallende Versandkosten erfolgt, z. B. durch einen Link zu den Versandkosten-Informationen.
HOCH PAngV § 1 Pro
SHOP-007
Lieferzeiten
Prüft, ob Lieferzeiten bei den Produkten angegeben sind. Konkrete Lieferzeitangaben sind im Online-Handel verpflichtend.
HOCH Art. 246a EGBGB Pro
SHOP-009
VSBG § 36 Hinweis
Prüft, ob ein Hinweis zur Teilnahmebereitschaft an Verbraucherschlichtungsverfahren vorhanden ist. Unternehmen mit mehr als 10 Mitarbeitern müssen darüber informieren.
MITTEL § 36 VSBG Pro
SHOP-010
AGB vorhanden
Prüft, ob Allgemeine Geschäftsbedingungen (AGB) vorhanden und verlinkt sind. Obwohl nicht gesetzlich vorgeschrieben, sind AGB im E-Commerce dringend empfohlen.
MITTEL Best Practice Pro
SHOP-004
Grundpreisangabe
Prüft, ob bei Produkten mit Mengen-/Gewichts-/Volumenangaben der Grundpreis (z.B. €/kg, €/L) angegeben ist. Die Grundpreisangabe ist bei vielen Produkten Pflicht.
HOCH PAngV § 2, § 4, § 5 Pro
SHOP-005
Streichpreise (30-Tage-Regel)
Prüft, ob bei Streichpreisen der niedrigste Preis der letzten 30 Tage als Referenz angegeben ist. Seit Mai 2022 ist dies durch die PAngV verpflichtend.
HOCH PAngV § 11 Pro
SHOP-006
Button-Lösung
Prüft, ob der Bestell-Button korrekt beschriftet ist. Nur Formulierungen wie "zahlungspflichtig bestellen" oder "kaufen" sind zulässig. "Bestellen" oder "Weiter" allein genügen nicht.
HOCH § 312j Abs. 3 BGB Pro
SHOP-011
Widerrufsbutton
Vor dem 19.06.2026: Info-Hinweis. Ab dem 19.06.2026: Aktive Prüfung ob ein leicht auffindbarer Widerrufsbutton vorhanden ist.
INFO EU-RL 2023/2673, § 312g BGB Pro
SHOP-012
Rechtliche Shop-Seiten im Footer
Prüft, ob AGB und Widerrufsbelehrung im Footer verlinkt sind. Diese müssen vor Vertragsschluss von jeder Seite aus erreichbar sein.
MITTEL Art. 246a § 4 EGBGB Pro
SHOP-013
Zahlungsmethoden angegeben
Prüft, ob die akzeptierten Zahlungsarten vor der Bestellung ersichtlich sind.
MITTEL Art. 246a § 1 Nr. 12 EGBGB Pro
SHOP-014
Hinweis Mängelhaftung / Gewährleistung
Prüft, ob auf das gesetzliche Gewährleistungsrecht (24 Monate) hingewiesen wird.
MITTEL § 476 BGB / Art. 246a § 1 EGBGB Pro
SHOP-015
Rücksendekosten bei Widerruf geregelt
Prüft, ob in der Widerrufsbelehrung klar geregelt ist, wer die Rücksendekosten trägt.
MITTEL Art. 246a § 1 Abs. 2 Nr. 2 EGBGB Pro
SHOP-016
Ausnahmen vom Widerrufsrecht
Prüft, ob Ausnahmen vom Widerrufsrecht (z.B. digitale Güter, Hygieneartikel) korrekt angegeben werden.
MITTEL § 312g Abs. 2 BGB Pro
SHOP-017
Lieferbeschränkungen kommuniziert
Prüft, ob Lieferbeschränkungen (z.B. nur bestimmte Länder) vor Bestellung sichtbar kommuniziert werden.
MITTEL Art. 246a § 1 Nr. 6 EGBGB Pro
SHOP-018
Vertragsschluss-Zeitpunkt transparent
Prüft, ob klar kommuniziert wird, wann der Vertrag zustande kommt (z.B. bei Auftragsbestätigung).
NIEDRIG § 312i Abs. 1 Nr. 2 BGB Pro
SHOP-019
Vertragstext speicherbar
Prüft, ob AGB und Widerrufsbelehrung als PDF/Druck zur Verfügung stehen.
NIEDRIG § 312i Abs. 1 Nr. 4 BGB Pro
SHOP-020
AGB vor Bestellung zugänglich (Prüfhinweis)
Hinweis: AGB müssen VOR Bestellabschluss klar sichtbar zugänglich sein. Kann nur manuell geprüft werden.
INFO § 305 Abs. 2 BGB Pro
SHOP-021
AGB-Zustimmung im Checkout (Prüfhinweis)
Hinweis: Im Checkout muss eine aktive Bestätigung der AGB (Checkbox, nicht vorausgewählt) erfolgen.
INFO § 305 Abs. 2 BGB Pro
SHOP-022
Widerrufsbelehrung in Bestätigungsmail (Prüfhinweis)
Hinweis: Die Widerrufsbelehrung muss in der Auftragsbestätigungs-E-Mail enthalten sein.
INFO Art. 246a § 4 EGBGB Pro
SHOP-023
Bestellbestätigung per E-Mail (Prüfhinweis)
Hinweis: Nach jeder Bestellung muss automatisch eine Auftragsbestätigung per E-Mail versendet werden.
INFO § 312i Abs. 1 Nr. 3 BGB Pro
SHOP-024
Keine unzulässigen AGB-Klauseln (Prüfhinweis)
Hinweis: AGB dürfen keine unzulässigen Klauseln enthalten (z.B. Transportrisiko auf Käufer, pauschaler Haftungsausschluss). Manuelle Prüfung empfohlen.
INFO § 307 BGB Pro
🏷

Kennzeichnung & Verpackung

3 Prüfungen

Worum geht es?

Bestimmte Branchen haben zusätzliche Kennzeichnungspflichten: Verpackungsgesetz, Textilkennzeichnung und Energielabel.

VerpackG (LUCID-Registrierung), TextilKennzVO (EU 1007/2011), Energielabel-VO (EU 2017/1369).

Praxis-Tipp

Bei Versand an Endverbraucher: LUCID-Registrierung prüfen. Bei Textilien: Faserzusammensetzung angeben. Bei Elektrogeräten: Energielabel anzeigen.

ID Prüfung Schwere Rechtsgrundlage Plan
VK-001
LUCID-Registrierung (Verpackung)
Hinweis: Shops die verpackte Waren an Endverbraucher versenden, müssen im LUCID-Register registriert sein. Dies kann technisch nicht automatisch geprüft werden.
INFO VerpackG § 7, § 9 Pro
VK-002
Textilkennzeichnung
Prüft, ob bei Textilprodukten die Faserzusammensetzung angegeben ist. Bei Kleidung, Heimtextilien etc. ist die Materialangabe Pflicht.
MITTEL TextilKennzVO (EU-VO 1007/2011) Pro
VK-003
Energielabel
Hinweis: Bei Elektrogeräten (Kühlschränke, Waschmaschinen, TVs etc.) muss das EU-Energielabel in der Nähe des Preises angezeigt werden.
INFO EU-VO 2017/1369 Pro
📢

Werbung, Marketing & UWG

7 Prüfungen

Worum geht es?

Das UWG regelt faire Geschäftspraktiken: Werbung muss erkennbar sein, Affiliate-Links gekennzeichnet und Bewertungen transparent.

§§ 3, 5, 5a UWG (Irrefuehrung), Omnibus-RL 2019/2161 (Bewertungstransparenz seit 28.05.2022).

Praxis-Tipp

Kennzeichnen Sie Werbung und Affiliate-Links. Bei Bewertungen: Echtheitsprüfung offenlegen. Trust-Siegel auf Zertifizierungsstelle verlinken.

ID Prüfung Schwere Rechtsgrundlage Plan
UWG-001
Werbung als solche gekennzeichnet
Prüft, ob werbliche Inhalte und gesponserte Beiträge klar als "Anzeige" oder "Werbung" gekennzeichnet sind.
HOCH UWG § 5a Abs. 4 Pro
UWG-002
Affiliate-/Influencer-Kennzeichnung
Prüft, ob Affiliate-Links und Werbekooperationen als solche erkennbar gekennzeichnet sind.
MITTEL UWG § 5a Pro
UWG-003
Produktbewertungen transparent
Prüft, ob erklärt wird, wie sichergestellt wird, dass Bewertungen von echten Käufern stammen.
MITTEL Omnibus-RL 2019/2161 Pro
UWG-004
Trustbadges mit Quellenangabe
Prüft, ob Gütesiegel und Trustbadges auf die Zertifizierungsquelle verlinken.
MITTEL UWG § 5 Pro
UWG-005
Newsletter nur mit Einwilligung (Prüfhinweis)
Hinweis: Newsletter dürfen nur nach ausdrücklicher Einwilligung (Double-Opt-In) versendet werden.
INFO UWG § 7 Abs. 2 Nr. 3 Pro
UWG-006
Abmeldemöglichkeit im Newsletter (Prüfhinweis)
Hinweis: Jeder Newsletter muss einen deutlichen Abmeldelink enthalten.
INFO UWG § 7 Abs. 2 Nr. 3 Pro
UWG-007
Keine Fake-Bewertungen (Prüfhinweis)
Hinweis: Gefälschte oder selektiv kuratierte Kundenbewertungen sind wettbewerbswidrig.
INFO UWG § 5 / Omnibus-RL Pro
💻

WordPress & WooCommerce

3 Prüfungen

Worum geht es?

WordPress und WooCommerce: Sichtbare Versionsnummern und veraltete Plugins sind ein Sicherheitsrisiko. Gravatar übertraegt Daten an US-Server.

Art. 32 DSGVO (Sicherheit), Art. 44 ff. DSGVO (Drittlandtransfer bei Gravatar). Veraltete Software mit bekannten Schwachstellen kann ein Sicherheitsrisiko darstellen.

Praxis-Tipp

WordPress-Version aus dem Quellcode entfernen. Plugins regelmäßig aktualisieren. Gravatar deaktivieren oder durch lokale Avatare ersetzen.

ID Prüfung Schwere Rechtsgrundlage Plan
WP-001
WordPress-Version aktuell
Prüft, ob eine veraltete WordPress-Version im Einsatz ist (Sicherheitsrisiko).
MITTEL Art. 32 DSGVO Pro
WP-002
Veraltete Plugins erkennbar
Prüft, ob veraltete Plugin-Versionen im Quellcode erkennbar sind.
MITTEL Art. 32 DSGVO Pro
WP-003
Gravatar / Kommentarfunktion
Prüft, ob Gravatar aktiviert ist (externe Datenübermittlung) und ob die Kommentarfunktion datenschutzkonform eingebunden ist.
MITTEL Art. 6 DSGVO Pro
📅

Kommende Rechtslagen

4 Prüfungen

Worum geht es?

Mehrere EU-Verordnungen treten in Kraft oder werden konkretisiert. Fruehzeitige Vorbereitung vermeidet spätere Hektik.

Data Act (seit 12.09.2025), AI Act (stufenweise ab 2025), ePrivacy-VO (Entwurf), DSA (seit 17.02.2024).

Praxis-Tipp

Beobachten Sie die Entwicklung. Beim AI Act: KI-Systeme prüfen und Risikokategorie einordnen. Beim DSA: Notice-and-Action für nutzergenerierte Inhalte.

ID Prüfung Schwere Rechtsgrundlage Plan
ZUK-001
Data Act (seit 12.09.2025)
Hinweis: Der EU Data Act regelt Datenteilung, betrifft v.a. IoT und datengetriebene Dienste.
INFO EU Data Act 2023/2854 Pro
ZUK-002
AI Act / KI-Verordnung
Hinweis: Bei KI-Einsatz bestehen Transparenzpflichten und Kennzeichnungspflichten für KI-generierte Inhalte.
INFO EU AI Act 2024/1689 Pro
ZUK-003
ePrivacy-Verordnung (in Vorbereitung)
Hinweis: Die geplante ePrivacy-VO wird das TDDDG ersetzen und strengere Cookie-Regeln bringen.
INFO ePrivacy-VO (Entwurf) Pro
ZUK-004
Digital Services Act (DSA)
Hinweis: Der DSA verpflichtet Plattformen zu Transparenz über Algorithmen, Umgang mit illegalen Inhalten und Nutzerrechte.
INFO DSA EU 2022/2065 Pro

Alle 138 Prüfungen auf Ihrer Website ausführen

Kostenlos starten – Pro-Prüfungen mit Lizenzschlüssel freischalten.

Jetzt Website prüfen →
39
POUR-Prüfungen
4
POUR-Prinzipien
WCAG 2.1 AA
Standard
Kritisch
Hoch
Mittel
Niedrig
Info
👁

Wahrnehmbar (Perceivable)

14 Prüfungen

Worum geht es?

Informationen und Bestandteile der Benutzeroberfläche müssen so präsentiert werden, dass sie von allen Nutzern wahrgenommen werden können — unabhängig von Seh-, Hör- oder kognitiven Einschränkungen.

WCAG 2.1 — Prinzip 1 (Richtlinien 1.1 bis 1.4). Seit 28.06.2025 gesetzliche Pflicht nach § 3 BFSG i.V.m. EN 301 549. Verstöße können Unterlassungsklagen und Bußgelder bis 100.000 € nach sich ziehen.

Praxis-Tipp

Beginnen Sie mit Alt-Texten für alle Bilder, prüfen Sie Farbkontraste (mind. 4.5:1) und stellen Sie sicher, dass Ihre Seite bei 200% Zoom noch nutzbar ist. Tools: WebAIM Contrast Checker, axe DevTools.

ID Prüfung Schwere WCAG-Referenz
P-01
Alt-Texte für Bilder
Jedes informative Bild muss einen beschreibenden Alt-Text haben. Dekorative Bilder erhalten alt="" (leer). Screenreader lesen den Alt-Text vor — fehlt er, wird der Dateiname vorgelesen, was für blinde Nutzer unverständlich ist.
HOCH WCAG 1.1.1 (A)
P-02
Video-Untertitel
Voraufgezeichnete Videos müssen synchrone Untertitel haben. Dies betrifft auch in Webseiten eingebettete YouTube- oder Vimeo-Videos. Automatisch generierte Untertitel gelten nur als Notlösung.
HOCH WCAG 1.2.2 (A)
P-03
Audiodeskription für Videos
Videos müssen eine Audiodeskription bieten, die visuelle Informationen beschreibt, die nicht aus dem Audiotrack hervorgehen (z.B. eingeblendete Texte, Handlungen ohne Dialog).
MITTEL WCAG 1.2.5 (AA)
P-04
Semantische Struktur
Informationen, Struktur und Beziehungen müssen programmatisch bestimmbar sein: korrekte Heading-Hierarchie (h1→h6), Listen als <ul>/<ol>, Tabellen mit <th>-Headern. Screenreader navigieren anhand dieser Struktur.
HOCH WCAG 1.3.1 (A)
P-05
Sinnvolle Reihenfolge
Die Lesereihenfolge im DOM muss der visuellen Reihenfolge entsprechen. CSS-basierte visuelle Umordnung (z.B. flexbox order, grid) kann dazu führen, dass Screenreader Inhalte in falscher Reihenfolge vorlesen.
MITTEL WCAG 1.3.2 (A)
P-06
Sensorische Merkmale
Anweisungen dürfen nicht ausschließlich auf sensorischen Merkmalen basieren (z.B. "Klicken Sie auf den roten Button", "das Feld rechts"). Stattdessen zusätzlich den Namen oder die Funktion nennen.
MITTEL WCAG 1.3.3 (A)
P-07
Eingabezweck erkennbar
Eingabefelder für personenbezogene Daten (Name, Adresse, E-Mail) müssen das autocomplete-Attribut korrekt verwenden. Dies ermöglicht Autofill und hilft Menschen mit motorischen oder kognitiven Einschränkungen.
MITTEL WCAG 1.3.5 (AA)
P-08
Farbe nicht einziges Unterscheidungsmerkmal
Informationen dürfen nicht ausschließlich durch Farbe vermittelt werden. Fehlerfelder nicht nur rot markieren, sondern zusätzlich mit Icon oder Text. Pflichtfelder nicht nur mit Sternchen in roter Farbe.
HOCH WCAG 1.4.1 (A)
P-09
Farbkontrast (4.5:1)
Text muss ein Kontrastverhältnis von mindestens 4.5:1 zum Hintergrund haben (normaler Text) bzw. 3:1 (großer Text ≥ 18px oder fett ≥ 14px). Geprüft werden alle sichtbaren Textelemente nach CSS-Rendering.
HOCH WCAG 1.4.3 (AA)
P-10
Textgröße änderbar (200%)
Text muss bis 200% vergrößert werden können, ohne dass Inhalt oder Funktionalität verloren gehen. Feste Pixel-Höhen bei Containern mit overflow:hidden sind eine häufige Ursache für Verstöße.
HOCH WCAG 1.4.4 (AA)
P-11
Kein Text als Bild
Text soll nicht als Bild dargestellt werden, es sei denn, es handelt sich um Logos oder rein dekorative Elemente. Bildtext lässt sich nicht skalieren, kann nicht von Screenreadern gelesen und nicht per Textsuche gefunden werden.
MITTEL WCAG 1.4.5 (AA)
P-12
Reflow (kein horizontales Scrollen bei 320px)
Inhalte müssen bei 320px Breite ohne horizontales Scrollen darstellbar sein. Dies entspricht 400% Zoom auf einem 1280px-Monitor. Ausnahmen: Datentabellen, Bilder, Karten, Videos.
HOCH WCAG 1.4.10 (AA)
P-13
Nicht-Text-Kontrast (3:1)
UI-Komponenten (Buttons, Formularfelder, Icons) und grafische Objekte müssen ein Kontrastverhältnis von mindestens 3:1 zum Hintergrund haben. Betrifft auch Fokus-Indikatoren und Rahmen.
MITTEL WCAG 1.4.11 (AA)
P-14
Textabstand anpassbar
Nutzer müssen Textabstände (Zeilenabstand, Absatzabstand, Buchstabenabstand, Wortabstand) erhöhen können, ohne dass Inhalte abgeschnitten werden oder die Funktionalität verloren geht.
MITTEL WCAG 1.4.12 (AA)

Bedienbar (Operable)

10 Prüfungen

Worum geht es?

Alle Funktionen müssen per Tastatur bedienbar sein. Navigation muss vorhersagbar sein, und Nutzer müssen ausreichend Zeit für Interaktionen haben.

WCAG 2.1 — Prinzip 2 (Richtlinien 2.1 bis 2.5). Tastaturzugänglichkeit ist die Grundvoraussetzung für Barrierefreiheit — ohne sie können motorisch eingeschränkte Nutzer die Website nicht bedienen.

Praxis-Tipp

Testen Sie Ihre Website ausschließlich mit der Tastatur (Tab, Enter, Escape, Pfeiltasten). Wenn Sie irgendwo nicht weiterkommen oder den Fokus nicht sehen können, haben andere Nutzer dasselbe Problem.

ID Prüfung Schwere WCAG-Referenz
O-01
Tastaturzugang
Alle Funktionen müssen über die Tastatur erreichbar und bedienbar sein. Dazu gehören: Navigation, Links, Buttons, Formulare, Dropdowns, Modals, Slider und alle interaktiven Elemente.
KRITISCH WCAG 2.1.1 (A)
O-02
Keine Tastaturfalle
Der Fokus darf nie in einem Element gefangen sein, aus dem man per Tastatur nicht mehr herauskommt. Häufige Fallen: Modals ohne Escape-Handling, eingebettete Widgets, iframes ohne Tab-Austritt.
KRITISCH WCAG 2.1.2 (A)
O-03
Skip-Link vorhanden
Am Seitenanfang muss ein Mechanismus vorhanden sein, um wiederkehrende Inhaltsblöcke (Navigation, Header) zu überspringen. Typisch: "Zum Inhalt springen" als erstes fokussierbares Element.
HOCH WCAG 2.4.1 (A)
O-04
Seitentitel vorhanden
Jede Seite muss einen aussagekräftigen <title> haben, der Zweck und Kontext beschreibt. Screenreader lesen den Titel als erstes vor. Fehlt er, können Nutzer mit vielen Tabs nicht orientieren.
HOCH WCAG 2.4.2 (A)
O-05
Fokus-Reihenfolge logisch
Die Tab-Reihenfolge muss der logischen Lesereihenfolge entsprechen. Positive tabindex-Werte (>0) ändern die natürliche Reihenfolge und führen fast immer zu Problemen. Verwenden Sie ausschließlich tabindex="0" oder tabindex="-1".
HOCH WCAG 2.4.3 (A)
O-06
Link-Zweck erkennbar
Der Zweck jedes Links muss aus dem Linktext oder dem Kontext erkennbar sein. "Hier klicken", "Mehr erfahren", "Weiterlesen" ohne Kontext sind nicht ausreichend.
MITTEL WCAG 2.4.4 (A)
O-07
Überschriftenhierarchie
Überschriften müssen Inhalt und Abschnitte beschreiben. Die Hierarchie darf keine Ebenen überspringen (z.B. h1 direkt gefolgt von h3). Es sollte genau eine h1 pro Seite geben.
HOCH WCAG 2.4.6 (AA)
O-08
Fokus sichtbar
Der Tastaturfokus muss visuell erkennbar sein. Browser-Defaults (blaue Outline) dürfen nicht per CSS entfernt werden (outline:none), ohne einen gleichwertigen Ersatz zu bieten. Mindestkontrast 3:1.
HOCH WCAG 2.4.7 (AA)
O-09
Zeiger-Gesten Alternativen
Funktionalität, die mit Mehrpunkt- oder pfadbasierten Gesten bedienbar ist (z.B. Pinch-to-Zoom, Wischgesten), muss auch mit einfachen Zeigergesten (Klick, Doppelklick, Halten) bedienbar sein.
MITTEL WCAG 2.5.1 (A)
O-10
Touch-Target Mindestgröße
Klick- und Touchflächen sollten mindestens 44×44 CSS-Pixel groß sein. Kleine Targets sind für motorisch eingeschränkte Nutzer und auf mobilen Geräten schwer zu treffen.
MITTEL WCAG 2.5.5 (AAA)
💡

Verständlich (Understandable)

8 Prüfungen

Worum geht es?

Inhalte und Bedienung müssen verständlich sein. Die Sprache der Seite muss deklariert sein, Navigation muss konsistent und vorhersagbar sein, und Fehler müssen klar kommuniziert werden.

WCAG 2.1 — Prinzip 3 (Richtlinien 3.1 bis 3.3). Besonders relevant für E-Commerce: Fehlervermeidung bei Rechtsgeschäften ist nach WCAG 3.3.4 (AA) Pflicht.

Praxis-Tipp

Setzen Sie lang="de" auf dem HTML-Element. Zeigen Sie Fehler in Formularen direkt am betroffenen Feld an, nicht nur als allgemeine Meldung. Bieten Sie bei Bestellungen eine Überprüfungsseite vor dem endgültigen Absenden.

ID Prüfung Schwere WCAG-Referenz
U-01
Sprache der Seite deklariert
Das lang-Attribut auf dem <html>-Element (z.B. lang="de") ist Grundvoraussetzung für korrekte Screenreader-Aussprache, Silbentrennung und Sprachsynthese. Fehlt es, rät der Screenreader die Sprache.
HOCH WCAG 3.1.1 (A)
U-02
Sprache von Textpassagen
Fremdsprachige Passagen innerhalb einer deutschsprachigen Seite müssen mit dem lang-Attribut markiert werden (z.B. <span lang="en">Terms of Service</span>), damit Screenreader die Aussprache wechseln.
MITTEL WCAG 3.1.2 (AA)
U-03
Konsistente Navigation
Navigationsblöcke, die auf mehreren Seiten wiederholt werden, müssen in der gleichen Reihenfolge erscheinen. Geänderte Reihenfolge irritiert Nutzer, die sich auf gelernte Muster verlassen.
MITTEL WCAG 3.2.3 (AA)
U-04
Konsistente Benennung
Elemente mit gleicher Funktion müssen konsistent benannt werden. Wenn "Suche" auf einer Seite "Suchen" und auf einer anderen "Finden" heißt, ist das verwirrend.
MITTEL WCAG 3.2.4 (AA)
U-05
Fehlererkennung
Wird ein Eingabefehler erkannt, muss der Fehler in Textform beschrieben und dem Nutzer präsentiert werden. Rote Rahmen allein reichen nicht — Screenreader-Nutzer brauchen eine textuelle Beschreibung.
HOCH WCAG 3.3.1 (A)
U-06
Labels und Anweisungen
Jedes Eingabefeld muss ein sichtbares Label haben, das den erwarteten Inhalt beschreibt. Placeholder-Text allein ist kein Ersatz für Labels, da er beim Tippen verschwindet.
HOCH WCAG 3.3.2 (A)
U-07
Fehlervorschläge
Wenn möglich, sollen bei erkannten Fehlern konkrete Korrekturvorschläge gemacht werden. Beispiel: "Bitte geben Sie eine gültige E-Mail-Adresse ein (z.B. name@beispiel.de)".
MITTEL WCAG 3.3.3 (AA)
U-08
Fehlervermeidung (Rechtsgeschäfte)
Bei Seiten, die rechtliche Verpflichtungen auslösen (Bestellungen, Verträge), muss mindestens eine Prüfmöglichkeit vor dem Absenden, eine Korrekturmöglichkeit oder eine Widerrufsmöglichkeit bestehen.
HOCH WCAG 3.3.4 (AA)
🔧

Robust

3 Prüfungen

Worum geht es?

Inhalte müssen robust genug sein, um von verschiedenen Benutzeragenten (Browser, Screenreader, Braillezeile) zuverlässig interpretiert zu werden. Dazu gehören valides HTML und korrekte ARIA-Attribute.

WCAG 2.1 — Prinzip 4 (Richtlinie 4.1). Fehlerhafte ARIA-Attribute können die Zugänglichkeit verschlechtern, statt sie zu verbessern — sie überschreiben die native HTML-Semantik.

Praxis-Tipp

Nutzen Sie native HTML-Elemente (<button>, <input>, <select>) bevor Sie ARIA einsetzen. Validieren Sie Ihr HTML mit dem W3C Validator. Testen Sie mit einem Screenreader (NVDA ist kostenlos).

ID Prüfung Schwere WCAG-Referenz
R-01
Valides HTML (Parsing)
HTML muss syntaktisch korrekt sein: eindeutige IDs, korrekt geschachtelte Elemente, vollständige Start- und End-Tags. Fehler können dazu führen, dass Screenreader Inhalte nicht korrekt interpretieren.
MITTEL WCAG 4.1.1 (A)
R-02
Name, Rolle, Wert (ARIA)
Benutzerdefinierte UI-Elemente müssen Name, Rolle und Wert programmatisch bereitstellen. Ein <div> als Button braucht role="button", aria-label und Tastatur-Handling. Besser: natives <button> verwenden.
HOCH WCAG 4.1.2 (A)
R-03
Statusmeldungen programmatisch
Statusmeldungen (Erfolg, Fehler, Ladezustand) müssen per aria-live oder role="status"/"alert" für Screenreader zugänglich sein, ohne dass der Fokus verschoben wird.
MITTEL WCAG 4.1.3 (AA)

BFSG-spezifisch

4 Prüfungen

Worum geht es?

Zusätzlich zu den WCAG-Anforderungen stellt das BFSG eigene organisatorische Pflichten: eine Barrierefreiheitserklärung, einen Rückmeldungsmechanismus und die Einhaltung der Umsetzungsfrist.

BFSG § 3, § 4 i.V.m. EN 301 549. Das BFSG gilt seit 28.06.2025 für B2C-Dienstleistungen im elektronischen Geschäftsverkehr. Aufsichtsbehörde ist die Marktüberwachung der Bundesländer.

Praxis-Tipp

Erstellen Sie eine Barrierefreiheitserklärung nach dem Muster der öffentlichen Hand (BIT inklusiv). Richten Sie einen Feedback-Mechanismus ein (E-Mail oder Formular), der von der Barrierefreiheitsseite verlinkt wird.

ID Prüfung Schwere WCAG-Referenz
B-01
Barrierefreiheitserklärung vorhanden
Eine Erklärung zur Barrierefreiheit muss öffentlich zugänglich sein. Sie muss den aktuellen Stand der Konformität beschreiben, bekannte Einschränkungen benennen und Kontaktmöglichkeiten für Barrierefreiheitsprobleme enthalten.
KRITISCH § 4 BFSG
B-02
Feedback-Mechanismus
Nutzer müssen eine einfache Möglichkeit haben, Barrierefreiheitsprobleme zu melden. Dies kann ein Kontaktformular, eine E-Mail-Adresse oder ein spezieller Feedback-Button sein, der von der Barrierefreiheitserklärung verlinkt wird.
HOCH § 4 BFSG
B-03
Kontaktmöglichkeit für BF-Probleme
Die Kontaktmöglichkeit muss barrierefrei nutzbar sein und in angemessener Zeit bearbeitet werden. Eine rein visuelle CAPTCHA-geschützte Kontaktseite ist selbst eine Barriere.
HOCH § 4 BFSG
B-04
BFSG-Frist eingehalten (28.06.2025)
Seit dem 28.06.2025 müssen betroffene Produkte und Dienstleistungen die Anforderungen erfüllen. Ausnahmen gelten nur für Kleinstunternehmen (<10 Mitarbeiter und <2 Mio. € Umsatz) bei Dienstleistungen.
KRITISCH § 4 BFSG

39 BFSG/WCAG-Prüfungen auf Ihrer Website ausführen

Ab 29 € – oder im Bundle mit Pro-Check für 69 €.

BFSG-Check starten →
220+
Prüfungen gesamt
21
Kategorien
Inklusive
Pro + BFSG
Kritisch
Hoch
Mittel
Niedrig
Info
Deep Audit

Barrierefreiheit (axe-core)

2 Prüfungen

Worum geht es?

Der Deep Audit injiziert die axe-core Engine direkt in den gerenderten Browser-Kontext. Anders als rein HTML-basierte Prüfungen berücksichtigt axe-core den tatsächlichen DOM nach JavaScript-Ausführung, berechnete CSS-Styles und dynamisch hinzugefügte Inhalte. Über 200 WCAG 2.1 Level A und AA Regeln werden geprüft.

WCAG 2.1 Level AA ist der Referenzstandard für § 3 BFSG i.V.m. EN 301 549. axe-core wird auch von Google, Microsoft und staatlichen Prüfstellen eingesetzt.

Praxis-Tipp

Die häufigsten axe-core Violations und ihre Lösungen: color-contrast (Kontrast erhöhen auf 4.5:1), image-alt (Alt-Texte hinzufügen), label (Input-Labels verknüpfen), button-name (aria-label für Icon-Buttons), html-has-lang (lang="de" setzen).

ID Prüfung Schwere Rechtsgrundlage
AXE-*
WCAG 2.1 AA Violations (dynamisch)
axe-core prüft über 200 Regeln und meldet jede Violation mit dem betroffenen HTML-Element, CSS-Selektor, der verletzten WCAG-Regel und einem Hilfstext. Die Schweregrade: critical (verhindert Nutzung), serious (erhebliche Beeinträchtigung), moderate (Workaround möglich), minor (kosmetisch).
variiert WCAG 2.1 AA / BFSG
AXE-SUMMARY
axe-core Zusammenfassung
Überblick über Gesamtzahl der Prüfungen, Violations, unvollständige Prüfungen (benötigen manuelle Überprüfung) und bestandene Regeln. "Incomplete"-Items sollten manuell geprüft werden — sie enthalten häufig echte Probleme.
INFO WCAG 2.1 AA
👁

Visuelle Prüfungen

5 Prüfungen

Worum geht es?

Automatisierte Prüfung visueller Barrierefreiheitsanforderungen: Der Browser rendert die Seite in verschiedenen Viewports und Zoom-Stufen. Farbkontraste werden aus den tatsächlich berechneten CSS-Werten gemessen, nicht aus dem Quellcode.

WCAG 1.4.3 (Kontrast), 1.4.4 (Zoom), 1.4.10 (Reflow), 2.4.7 (Fokus-Indikator), 2.5.5 (Target-Größe). Seit BFSG gesetzliche Pflicht.

Praxis-Tipp

Testen Sie Ihre Website bei 320px Breite (Chrome DevTools → Device Toolbar) und bei 200% Browser-Zoom. Prüfen Sie Kontraste mit dem WebAIM Contrast Checker.

ID Prüfung Schwere Rechtsgrundlage
DEEP-VIS-001
Horizontales Scrollen bei 320px
Rendert die Seite in einem 320px-Viewport und misst den tatsächlichen Scroll-Überlauf. Horizontaler Scroll über 0px gilt als Verstoß, Ausnahmen gelten nur für Datentabellen, Bilder, Karten und Videos.
HOCH WCAG 1.4.10 (AA) / BFSG
DEEP-VIS-002
200% Zoom Funktionalität
Setzt den Browser-Zoom auf 200% und prüft, ob Inhalte überlaufen oder beschnitten werden. Besonders kritisch: Overlays, Modal-Dialoge und fixed-position Elemente, die bei starkem Zoom Inhalte verdecken.
HOCH WCAG 1.4.4 (AA) / BFSG
DEEP-VIS-004
Farbkontrast (WCAG AA/AAA)
Liest die tatsächlich berechneten CSS-Farbwerte (computed styles) und berechnet das Kontrastverhältnis. Prüft gegen WCAG AA (4.5:1 für normalen Text) und AAA (7:1 für erhöhten Kontrast).
HOCH WCAG 1.4.3 (AA) / BFSG
DEEP-KB-002
Fokus-Indikator sichtbar
Navigiert per Tastatur durch die Seite und prüft, ob der Fokus-Indikator (Outline-Ring) bei jedem fokussierbaren Element sichtbar ist. outline:none ohne Ersatz ist ein häufiger Verstoß.
HOCH WCAG 2.4.7 (AA) / BFSG
DEEP-KB-008
Touch-Target-Größe (44×44px)
Misst die tatsächlichen Abmessungen interaktiver Elemente. Klick-/Touchflächen unter 44×44 CSS-Pixel sind für motorisch eingeschränkte Nutzer und auf mobilen Geräten schwer zu treffen.
HOCH WCAG 2.5.5 (AAA)

Tastaturnavigation

10 Prüfungen

Worum geht es?

Vollautomatische Tastatur-Tests: Der Deep Audit simuliert Tab-Navigation, prüft Fokus-Fallen, misst Fokus-Sichtbarkeit und validiert die Heading-Struktur sowie ARIA-Attribute. Dies ist die Grundvoraussetzung für Barrierefreiheit.

WCAG 2.1.1 (Tastaturzugang), 2.1.2 (Keine Tastaturfalle), 2.4.1-2.4.7 (Navigation), 4.1.2 (ARIA). Keyboard-Trap ist ein WCAG Level A Verstoß — der schwerwiegendste.

Praxis-Tipp

Der einfachste Barrierefreiheits-Test: Legen Sie die Maus beiseite und navigieren Sie Ihre Website nur mit Tab, Enter, Escape und Pfeiltasten. Wenn Sie irgendwo feststecken, haben alle Tastatur-Nutzer dasselbe Problem.

ID Prüfung Schwere Rechtsgrundlage
DEEP-KB-001
Skip-Link zum Hauptinhalt
Prüft ob ein verstecktes, aber fokussierbares Element am Seitenanfang existiert, das bei Tab-Drück sichtbar wird und zum Hauptinhalt springt. Ohne Skip-Link müssen Tastatur-Nutzer bei jedem Seitenaufruf durch die gesamte Navigation tabben.
MITTEL WCAG 2.4.1 (A) / BFSG
DEEP-KB-003
Positive tabindex-Werte
Positive tabindex-Werte (>0) ändern die natürliche Fokus-Reihenfolge und führen fast immer zu Verwirrung. Der Deep Audit zählt alle Elemente mit positivem tabindex und bewertet den höchsten Wert.
HOCH WCAG 2.4.3 (A) / BFSG
DEEP-KB-004
Keyboard-Traps erkannt
Simuliert Tastatur-Navigation und prüft, ob der Fokus jemals in einem Element gefangen ist. Eine Tastaturfalle verhindert, dass Nutzer weiternavigieren können — das ist einer der schwerwiegendsten Barrierefreiheitsverstöße.
KRITISCH WCAG 2.1.2 (A) / BFSG
DEEP-KB-005
Interaktive Elemente per Tastatur bedienbar
Prüft ob alle interaktiven Elemente (Buttons, Links, Dropdowns, Tabs) per Tastatur erreichbar und bedienbar sind. <div onclick> ohne tabindex und keydown-Handler ist nicht tastatur-zugänglich.
HOCH WCAG 2.1.1 (A) / BFSG
DEEP-KB-006
Dialog/Modal Escape-Handling
Modale Dialoge und Overlays müssen durch Drücken der Escape-Taste schließbar sein. Ohne diese Möglichkeit können Tastatur-Nutzer in einem Modal gefangen sein.
HOCH WCAG 2.1.2 (A)
DEEP-KB-007
Unsichtbare fokussierte Elemente
Prüft ob Elemente, die per display:none oder visibility:hidden aus dem Layout entfernt sind, trotzdem fokussierbar sind. Der Fokus "verschwindet" dann optisch, was Tastatur-Nutzer desorientiert.
MITTEL WCAG 2.4.7 (AA) / BFSG
DEEP-KB-009
Überschriften-Hierarchie (h1-h6)
Überschriften bilden die Inhaltsstruktur und dienen als primäres Navigationsmittel für Screenreader. Der Deep Audit prüft: genau eine h1, keine übersprungenen Ebenen, keine leeren Headings.
HOCH WCAG 1.3.1 (A) / BFSG
DEEP-KB-010
ARIA Landmark-Regionen
ARIA Landmarks (main, nav, banner, contentinfo) definieren die Hauptbereiche und ermöglichen Screenreader-Nutzern, direkt zu Abschnitten zu springen. Prüft ob die wichtigsten Landmarks vorhanden sind.
MITTEL WCAG 1.3.1 (A) / BFSG
DEEP-KB-011
Sprach-Attribut auf HTML
Das lang-Attribut auf <html> teilt Browsern, Screenreadern und Übersetzungstools die Sprache der Seite mit. Fehlt es, rät der Screenreader die Sprache anhand von Heuristiken — oft falsch.
HOCH WCAG 3.1.1 (A) / BFSG
DEEP-KB-012
ARIA-Attribute Validierung
ARIA (Accessible Rich Internet Applications) erweitert HTML um Semantik für Screenreader. Falsche ARIA-Attribute verschlechtern die Barrierefreiheit statt sie zu verbessern. Prüft auf ungültige Rollen, fehlende Labels und Konflikte.
HOCH WCAG 4.1.2 (A) / BFSG
📝

Formulare

8 Prüfungen

Worum geht es?

Prüft alle Formulare auf der Seite hinsichtlich Barrierefreiheit und Sicherheit: Labels, Autocomplete, Pflichtfelder, Fehlerbehandlung und Datenübertragung. Formulare sind der häufigste Interaktionspunkt und damit besonders kritisch.

WCAG 1.3.1, 1.3.5, 3.3.1-3.3.4. Art. 32 DSGVO für sichere Datenübertragung. Formulare ohne Labels sind der zweithäufigste Barrierefreiheitsverstoß (WebAIM Million 2024).

Praxis-Tipp

Jedes <input> braucht ein <label for="...">. Placeholder ist kein Label-Ersatz. Nutzen Sie autocomplete-Attribute für Name, Adresse, E-Mail, Telefon, Kreditkarte.

ID Prüfung Schwere Rechtsgrundlage
DEEP-FORM-000
Formular-Zusammenfassung
Überblick über alle gefundenen Formulare auf der Seite: Anzahl, Typen (Kontakt, Newsletter, Login, Suche), vorhandene Features (Labels, Autocomplete, Validation).
INFO
DEEP-FORM-001
Labels auf Eingabefeldern
Prüft ob jedes Eingabefeld ein programmatisch verknüpftes Label hat (<label for="..."> oder aria-label/aria-labelledby). Ohne Label können Screenreader-Nutzer nicht erkennen, was in das Feld eingegeben werden soll.
HOCH WCAG 1.3.1 (A) / BFSG
DEEP-FORM-002
Autocomplete-Attribute
WCAG 1.3.5 fordert, dass Eingabefelder für personenbezogene Daten das autocomplete-Attribut korrekt verwenden (z.B. autocomplete="email", autocomplete="given-name"). Dies ermöglicht Autofill und hilft bei motorischen Einschränkungen.
MITTEL WCAG 1.3.5 (AA) / BFSG
DEEP-FORM-003
Pflichtfelder mit aria-required
Pflichtfelder müssen visuell und programmatisch als solche erkennbar sein. Ein rotes Sternchen allein reicht nicht — aria-required="true" oder das HTML5 required-Attribut muss gesetzt sein.
NIEDRIG WCAG 3.3.2 (A)
DEEP-FORM-004
Fehlerbehandlungs-Muster
Prüft ob Formulare Fehlerbehandlungs-Muster implementieren: aria-invalid, aria-describedby für Fehlermeldungen, role="alert" für Live-Validation. Fehler müssen in Textform beschrieben werden.
MITTEL WCAG 3.3.1 (A) / BFSG
DEEP-FORM-005
Radio-Gruppen ohne fieldset/legend
Zusammengehörige Radio-Buttons und Checkboxen müssen in einem <fieldset> mit beschreibendem <legend> gruppiert sein. Ohne Gruppierung können Screenreader den Zusammenhang nicht vermitteln.
MITTEL WCAG 1.3.1 (A)
DEEP-FORM-006
Sensible Daten per GET-Methode
Formulare mit Passwort- oder Datei-Feldern, die method="get" verwenden, übertragen sensible Daten in der URL. Diese erscheinen im Browser-Verlauf, Server-Logs und Referrer-Headern. Ein schwerer Verstoß gegen Art. 32 DSGVO.
KRITISCH Art. 32 DSGVO
DEEP-FORM-007
CAPTCHA erkannt
CAPTCHAs sind für Barrierefreiheit grundsätzlich problematisch: Visuelle CAPTCHAs schließen blinde Nutzer aus, Audio-CAPTCHAs schließen gehörlose Nutzer aus. Empfehlung: Honeypot-Felder oder unsichtbares reCAPTCHA v3.
NIEDRIG WCAG 1.1.1 (A)

JavaScript & Rendering

10 Prüfungen

Worum geht es?

Prüft JavaScript-Fehler, serverseitige Fehlermeldungen, Mixed Content, Viewport-Konfiguration und weitere rendering-relevante Aspekte. Diese Checks sind nur mit einem echten Browser möglich — reine HTML-Analyse erfasst sie nicht.

Art. 32 DSGVO (sichtbare PHP-Fehler), WCAG 2.4.2 (Seitentitel), WCAG 1.4.4 (Zoom), WCAG 1.4.12 (Text Spacing), WCAG 2.3.3 (Animationen).

Praxis-Tipp

Aktivieren Sie in der Produktionsumgebung display_errors=off. Prüfen Sie Ihre Seite in Chrome DevTools → Console auf Fehler. Stellen Sie sicher, dass der Viewport-Tag kein maximum-scale oder user-scalable=no enthält.

ID Prüfung Schwere Rechtsgrundlage
DEEP-JS-001
JavaScript-Konsolenfehler
Protokolliert alle Fehler in der Browser-Konsole während des Seitenaufbaus. JavaScript-Fehler signalisieren defekten Code, der Funktionalität beeinträchtigen kann — von fehlenden Analytics bis zu defekten Warenkörben.
HOCH
DEEP-JS-002
PHP-Fehler im HTML sichtbar
Sichtbare PHP-Fehlermeldungen enthalten Dateipfade, Versionsnummern und Konfigurationsdetails. Diese Informationen sind für Angreifer wertvoll und stellen ein Sicherheits- und Datenschutzproblem dar.
KRITISCH Art. 32 DSGVO
DEEP-JS-003
noscript-Fallback
Prüft ob ein <noscript>-Element vorhanden ist, das Nutzern ohne JavaScript eine Alternative oder zumindest einen Hinweis bietet.
NIEDRIG
DEEP-JS-004
Lazy Loading für Bilder
Bilder unterhalb des sichtbaren Bereichs (below-fold) müssen nicht sofort geladen werden. loading="lazy" verzögert das Laden bis der Nutzer dorthin scrollt und verbessert die Ladezeit erheblich.
NIEDRIG
DEEP-JS-005
Mixed Content (HTTP auf HTTPS)
Wenn eine HTTPS-Seite Ressourcen über HTTP lädt, blockieren Browser aktive Inhalte (Scripts, iframes) und warnen bei passiven (Bilder). Dies kann Funktionalität zerstören und untergräbt die Verschlüsselung.
KRITISCH
DEEP-JS-006
Document-Title
Der <title>-Tag ist die erste Information, die Screenreader beim Seitenaufruf vorlesen. Er muss aussagekräftig sein und den Seiteninhalt beschreiben. Fehlende oder generische Titel ("Startseite") sind problematisch.
HOCH WCAG 2.4.2 (A) / BFSG
DEEP-JS-007
Inline Event-Handler
Inline-Event-Handler (onclick, onmouseover im HTML) verhindern Content Security Policy und erschweren die Wartung. Empfehlung: addEventListener in externen Scripts.
NIEDRIG
DEEP-JS-008
Viewport Zoom-Einschränkungen
Prüft ob der Viewport-Meta-Tag maximum-scale<2, minimum-scale, oder user-scalable=no enthält. Diese Einstellungen verhindern, dass Nutzer mit Seheinschränkungen die Seite vergrößern können.
HOCH WCAG 1.4.4 (AA) / BFSG
DEEP-JS-009
Text-Spacing Override
WCAG 1.4.12 fordert, dass Nutzer Textabstände anpassen können. Der Deep Audit erhöht programmatisch Zeilen-, Absatz-, Buchstaben- und Wortabstand und prüft ob Inhalte abgeschnitten werden.
MITTEL WCAG 1.4.12 (AA) / BFSG
DEEP-JS-010
prefers-reduced-motion
Prüft ob die Website die CSS-Media-Query prefers-reduced-motion respektiert. Menschen mit vestibulären Störungen oder Epilepsie können durch Animationen beeinträchtigt werden.
NIEDRIG WCAG 2.3.3 (AAA)
🚀

Performance & Web Vitals

13 Prüfungen

Worum geht es?

Misst die Core Web Vitals (LCP, CLS, TTFB) und analysiert Ressourcen, Bilder, Fonts und Drittanbieter-Requests. Performance beeinflusst nicht nur SEO und User Experience, sondern auch Barrierefreiheit und Datenschutz.

LG München I, 3 O 17493/20 (Google Fonts CDN), Art. 44-49 DSGVO (Drittlandtransfer bei CDNs), WCAG 1.1.1 (Alt-Texte).

Praxis-Tipp

Hosten Sie Fonts und Bibliotheken lokal. Optimieren Sie Bilder (WebP/AVIF, Lazy Loading). Minimieren Sie Drittanbieter-Scripts. Nutzen Sie Caching und Kompression.

ID Prüfung Schwere Rechtsgrundlage
DEEP-PERF-001
Largest Contentful Paint (LCP)
Misst die Renderzeit des größten sichtbaren Elements (Bild, Textblock, Video). Google-Empfehlung: unter 2.5 Sekunden gut, 2.5-4s verbesserungsbedürftig, über 4s schlecht.
HOCH
DEEP-PERF-002
Cumulative Layout Shift (CLS)
Misst, wie stark sich Seiteninhalte während des Ladens verschieben. Plötzlich springende Buttons führen zu Fehlklicks. Google-Empfehlung: unter 0.1 gut, 0.1-0.25 verbesserungsbedürftig, über 0.25 schlecht.
HOCH
DEEP-PERF-003
Time to First Byte (TTFB)
Die Zeit zwischen HTTP-Anfrage und dem ersten empfangenen Byte. Langsamer TTFB deutet auf Server-Probleme, fehlende Caching-Strategien oder überlastete Datenbanken hin.
MITTEL
DEEP-PERF-004
Ladezeiten (DOM, DCL, Load)
Misst DOMContentLoaded (HTML geparst), DOM Complete und Load Event (alle Ressourcen geladen). Langsame Ladezeiten erhöhen die Absprungrate und verschlechtern die User Experience.
HOCH
DEEP-PERF-005
Ressourcen-Anzahl und -Größen
Zählt HTTP-Requests und Transfervolumen nach Typ (Script, CSS, Bilder, Fonts). Jeder Request erzeugt Overhead: DNS, TCP, TLS-Handshake. Mehr als 80 Requests oder 3 MB Transfervolumen sind kritisch.
HOCH
DEEP-PERF-006
Render-blockierende Ressourcen
Scripts ohne async/defer im <head> blockieren das Rendering. Der Browser muss warten, bis jedes Script heruntergeladen und ausgeführt ist, bevor er weiteren Inhalt darstellt.
MITTEL
DEEP-PERF-007
Bild-Optimierung
Prüft Bilder auf: fehlende Dimensionsangaben (verursacht CLS), veraltete Formate (PNG/JPEG statt WebP/AVIF), überdimensionierte Bilder (Auflösung > Darstellungsgröße).
MITTEL
DEEP-PERF-008
Bilder ohne alt-Attribut
Das alt-Attribut dient mehreren Zwecken: Screenreader lesen es vor, Suchmaschinen indexieren es, und es wird angezeigt wenn das Bild nicht lädt. Fehlende Alt-Texte sind der häufigste WCAG-Verstoß weltweit.
HOCH WCAG 1.1.1 (A) / BFSG
DEEP-PERF-010
Google Fonts über CDN
Das LG München I entschied: Die automatische Weitergabe der IP-Adresse an Google beim Laden von Google Fonts über das CDN ist ohne Einwilligung unzulässig. Dies gilt analog für Adobe Fonts (Typekit) und Font Awesome CDN.
HOCH LG München I, 3 O 17493/20
DEEP-PERF-011
font-display Strategie
Ohne font-display-Einstellung im @font-face-Block verhält sich der Browser unvorhersehbar: Text kann kurz unsichtbar sein (FOIT) oder mit Systemschrift erscheinen und dann springen (FOUT).
NIEDRIG
DEEP-PERF-012
HTTP-Protokoll Version
HTTP/2 bietet erhebliche Verbesserungen gegenüber HTTP/1.1: Multiplexing, Header-Kompression, Server-Push. Die meisten modernen Hoster unterstützen HTTP/2, Konfiguration ist serverseitig.
NIEDRIG
DEEP-PERF-013
Netzwerk-Requests und Drittanbieter
Zählt alle HTTP-Requests und kategorisiert sie in First-Party und Third-Party. Drittanbieter-Requests übermitteln mindestens die IP-Adresse und erfordern oft eine Rechtsgrundlage nach DSGVO.
MITTEL Art. 13 DSGVO
DEEP-PERF-014
Font Awesome über externen CDN
Font Awesome über CDN (cdnjs, bootstrapcdn) übermittelt die IP-Adresse an US-Server. Analog zum Google-Fonts-Urteil ist dies ohne Einwilligung oder Vertragsgrundlage problematisch.
MITTEL Art. 44-49 DSGVO
🔍

Content-Analyse

12 Prüfungen

Worum geht es?

Analysiert den gerenderten Seiteninhalt: Links (intern/extern, broken), iframes, eingebettete Medien, Drittanbieter-Waterfall, Fingerprinting-Techniken und Social-Media-Embeds. Besonderer Fokus auf Datenschutz-Implikationen eingebetteter Inhalte.

§ 25 TDDDG, Art. 6/13 DSGVO, EuGH C-40/17 "Fashion ID" (gemeinsame Verantwortlichkeit bei Social Plugins), LG München I (externe Einbindung).

Praxis-Tipp

Ersetzen Sie direkte YouTube/Maps/Social-Embeds durch Fassaden (Facades), die erst bei Klick laden. Nutzen Sie 2-Klick-Lösungen für Social Sharing. Prüfen Sie regelmäßig auf Broken Links.

ID Prüfung Schwere Rechtsgrundlage
DEEP-CON-001
Broken interne Links
Defekte interne Links (404, 500) beeinträchtigen User Experience und SEO. Prüft alle internen Links auf der Seite und meldet HTTP-Fehler mit dem betroffenen Link und Ziel-URL.
MITTEL
DEEP-CON-002
Externe Links ohne rel=noopener
Links mit target="_blank" ohne rel="noopener" ermöglichen der Zielseite über window.opener Zugriff auf die Ausgangsseite. Potenzielle Sicherheitslücke (Tabnabbing).
NIEDRIG
DEEP-CON-003
Link-Inventar
Dokumentiert alle internen und externen Links auf der Seite mit Ziel-URL und Linktext. Grundlage für Qualitätssicherung und die Prüfung der Datenschutzerklärung auf Vollständigkeit.
INFO
DEEP-CON-004
Canvas/Browser Fingerprinting
Canvas-Fingerprinting nutzt die Canvas-API um ein gerätespezifisches Profil zu erstellen. Ist nach § 25 TDDDG einwilligungspflichtig, da auf Endgeräte-Informationen zugegriffen wird.
HOCH § 25 TDDDG
DEEP-CON-005
Service Worker registriert
Service Worker laufen im Hintergrund und können Push-Notifications, Background-Sync und Offline-Caching durchführen. Informationscheck — problematisch wenn Tracking-Funktionalität ohne Consent.
NIEDRIG § 25 TDDDG
DEEP-CON-006
iframes ohne title-Attribut
iframes ohne title-Attribut sind für Screenreader-Nutzer nicht identifizierbar. Der Titel sollte den Inhalt des iframes beschreiben (z.B. "Google Maps Standort" oder "YouTube Video: Produktvorstellung").
MITTEL WCAG 2.4.1 (A) / BFSG
DEEP-CON-007
Tracking-iframes erkannt
Versteckte oder minimale iframes (1x1 Pixel) von Tracking-Diensten laden beim Seitenaufruf automatisch und übermitteln Daten ohne sichtbare Interaktion. Einwilligungspflichtig.
HOCH § 25 TDDDG
DEEP-CON-008
Eingebettete Drittanbieter-Medien
YouTube-, Vimeo- oder Google Maps-iframes laden beim Seitenaufruf sofort Ressourcen vom Drittanbieter-Server und übermitteln die IP-Adresse. Ohne Einwilligung oder Rechtsgrundlage problematisch.
MITTEL Art. 6(1)(a) DSGVO / § 25 TDDDG
DEEP-CON-009
Drittanbieter-Domain Waterfall
Listet alle externen Domains, die beim Seitenaufruf kontaktiert werden, mit Request-Anzahl und Typ. Jede Domain erhält die IP-Adresse des Nutzers — wichtig für die Vollständigkeit der Datenschutzerklärung.
MITTEL Art. 13 DSGVO
DEEP-CON-010
Social Media Embeds
Social Plugins (Facebook Like, Twitter Share, Instagram Embed) laden beim Seitenaufruf Ressourcen vom jeweiligen Anbieter. EuGH Fashion ID: Website-Betreiber sind gemeinsam Verantwortliche.
MITTEL § 25 TDDDG / EuGH C-40/17
DEEP-CHAT-001
Live-Chat-Widget vor Consent
Live-Chat-Widgets (Zendesk, Intercom, Tidio, LiveChat) laden umfangreiche Scripts und setzen Cookies. Werden sie vor Einwilligung geladen, ist das ein Verstoß gegen § 25 TDDDG.
HOCH § 25 TDDDG
DEEP-RECAPTCHA-001
reCAPTCHA vor Consent
Google reCAPTCHA lädt Scripts von google.com und setzt Cookies. Es übermittelt umfangreiche Daten an Google-Server in den USA. Ohne Einwilligung oder Vertragsgrundlage problematisch.
HOCH § 25 TDDDG / Art. 6(1)(a) DSGVO
🔧

Technologie-Erkennung

10 Prüfungen

Worum geht es?

Erkennt das verwendete CMS, Frameworks, Bibliotheken, Analytics-Dienste und Consent-Management-Plattformen anhand von Quellcode-Signaturen, Cookies und HTTP-Headern. Identifiziert veraltete Software mit bekannten Schwachstellen.

Art. 32 DSGVO (veraltete Software = unzureichende technische Maßnahmen). jQuery-CVEs können XSS ermöglichen.

Praxis-Tipp

Entfernen Sie WordPress-Versionsnummern aus dem Quellcode. Aktualisieren Sie jQuery und Plugins regelmäßig. Nutzen Sie Subresource Integrity (SRI) für externe Scripts.

ID Prüfung Schwere Rechtsgrundlage
DEEP-TECH-000
Technologie-Stack Zusammenfassung
Überblick über alle erkannten Technologien: CMS, Server, Frameworks, Bibliotheken, Analytics, CMP. Basis für die Vollständigkeit der Datenschutzerklärung.
INFO
DEEP-TECH-001
CMS erkannt
Erkennt WordPress, Shopify, Wix, Squarespace, Joomla, Drupal, TYPO3, Magento u.a. anhand von Quellcode-Signaturen, Cookies und Meta-Tags. Zeigt Version falls sichtbar.
INFO
DEEP-TECH-002
Server-Information Leakage
Response-Header wie Server: Apache/2.4.51 und X-Powered-By: PHP/8.1 verraten Angreifern die eingesetzte Software und ermöglichen gezielte Angriffe auf bekannte Schwachstellen der jeweiligen Version.
NIEDRIG
DEEP-TECH-003
JavaScript-Frameworks erkannt
Erkennt React, Vue.js, Angular, Svelte, jQuery, Bootstrap und weitere anhand von globalen Variablen und Quellcode-Mustern. Informationscheck für Entwickler und Sicherheitsbewertung.
INFO
DEEP-TECH-004
jQuery mit bekannten CVEs
Bestimmte jQuery-Versionen (vor 3.5.0) haben bekannte XSS-Schwachstellen. Der Deep Audit erkennt die Version und prüft gegen die CVE-Datenbank. Betroffene Versionen sollten umgehend aktualisiert werden.
HOCH
DEEP-TECH-005
Analytics-Dienste erkannt
Erkennt Google Analytics, Matomo, Plausible, Fathom, Hotjar, Microsoft Clarity u.a. Alle Analytics-Dienste müssen in der Datenschutzerklärung aufgeführt sein.
INFO
DEEP-TECH-006
Consent Management Platform erkannt
Erkennt Cookiebot, Borlabs Cookie, OneTrust, usercentrics, Complianz u.a. anhand von Quellcode-Signaturen und Cookie-Mustern. Dokumentiert die eingesetzte CMP für die Compliance-Prüfung.
INFO
DEEP-TECH-007
WordPress-Version im Quellcode
WordPress gibt seine Version standardmäßig im HTML-Quellcode preis: <meta name="generator" content="WordPress 6.x">. Dies erleichtert Angreifern, bekannte Schwachstellen der jeweiligen Version auszunutzen.
MITTEL
DEEP-TECH-008
WordPress-Plugins erkannt
Erkennt eingesetzte WordPress-Plugins anhand von Quellcode-Pfaden und Signaturen. Veraltete Plugins sind das größte Sicherheitsrisiko bei WordPress-Installationen.
INFO
DEEP-TECH-009
Subresource Integrity (SRI)
SRI schützt vor Supply-Chain-Angriffen: Wird ein externes CDN-Script manipuliert, erkennt der Browser die geänderte Prüfsumme und lädt es nicht. Alle externen Scripts und Stylesheets sollten SRI-Hashes haben.
MITTEL
💡

Lighthouse Scores

10 Prüfungen

Worum geht es?

Berechnet Lighthouse-ähnliche Scores für Performance, SEO, Best Practices und Barrierefreiheit. Prüft zusätzlich grundlegende SEO-Elemente: Seitentitel, Meta-Description, h1, Canonical, JSON-LD und Open Graph.

WCAG 2.1 AA (Accessibility Score), technische SEO-Best-Practices.

Praxis-Tipp

Streben Sie Scores über 90 an für Performance und SEO. Der Accessibility-Score ist nur ein Schnelltest — die vollständige axe-core-Prüfung in der Barrierefreiheits-Kategorie ist aussagekräftiger.

ID Prüfung Schwere Rechtsgrundlage
DEEP-LH-001
Performance Score (0-100)
Aggregiert mehrere Metriken (LCP, CLS, TTFB, Ressourcenanzahl) zu einem Score. Unter 50: schlecht, 50-89: verbesserungsbedürftig, 90-100: gut.
HOCH
DEEP-LH-002
SEO Score (0-100)
Prüft technische SEO-Grundlagen: Seitentitel, Meta-Description, h1, Canonical, Sitemap-Referenz, robots.txt, strukturierte Daten.
HOCH
DEEP-LH-003
Seitentitel
Ein fehlender oder nicht-aussagekräftiger Seitentitel ist einer der grundlegendsten SEO-Fehler. Suchmaschinen verwenden ihn als Haupt-Snippet in den Suchergebnissen.
HOCH
DEEP-LH-004
Meta-Description
Die Meta-Description beeinflusst die Klickrate in den Suchergebnissen. Fehlt sie, generiert Google einen eigenen Auszug — oft weniger ansprechend.
MITTEL
DEEP-LH-005
h1 fehlt oder mehrfach
Jede Seite sollte genau eine h1 als Hauptüberschrift haben. Fehlende h1 oder mehrere h1-Elemente beeinträchtigen Screenreader-Navigation und SEO.
MITTEL
DEEP-LH-006
Canonical-Link
Ein <link rel="canonical"> teilt Suchmaschinen die bevorzugte URL für Seiten mit, die unter mehreren URLs erreichbar sind. Verhindert Duplicate-Content-Probleme.
NIEDRIG
DEEP-LH-007
Strukturierte Daten (JSON-LD)
Strukturierte Daten in JSON-LD (Schema.org) ermöglichen Rich Snippets in Suchergebnissen: Bewertungssterne, Preise, FAQs, Breadcrumbs. Erhöhen die Klickrate erheblich.
NIEDRIG
DEEP-LH-008
Open Graph Tags
Open Graph Tags (og:title, og:description, og:image) steuern die Darstellung beim Teilen auf Social Media. Ohne sie verwendet die Plattform beliebige Inhalte der Seite.
NIEDRIG
DEEP-LH-010
Best Practices Score (0-100)
Prüft Web-Qualitätsindikatoren: HTTPS, keine Mixed-Content-Fehler, keine Browser-Fehler, sichere APIs, korrekte Zeichensätze.
HOCH
DEEP-LH-011
Accessibility Quick-Score (0-100)
Lighthouse prüft eine Teilmenge der WCAG-Regeln (~35 Regeln). Für eine vollständige Prüfung siehe die axe-core Kategorie. Unter 50: kritisch, 50-89: verbesserungsbedürftig, 90+: gut.
HOCH WCAG 2.1 AA / BFSG
📄

Multi-Page Analyse

15 Prüfungen

Worum geht es?

Der Deep Audit crawlt bis zu 30 Unterseiten und prüft speziell Impressum und Datenschutzerklärung auf Vollständigkeit der Pflichtangaben. Außerdem werden alle gecrawlten Seiten auf Titel, h1, lang-Attribut und Alt-Texte geprüft.

§ 5 DDG (Impressumspflicht), Art. 13/14 DSGVO (Informationspflichten), WCAG 2.4.2, 1.3.1, 3.1.1.

Praxis-Tipp

Stellen Sie sicher, dass Impressum und Datenschutzerklärung von jeder Seite aus maximal 2 Klicks entfernt sind. Aktualisieren Sie die DSE bei jeder Änderung der eingesetzten Dienste.

ID Prüfung Schwere Rechtsgrundlage
DEEP-PAGE-IMP-000
Impressum-Seite gefunden
Prüft ob eine Impressum-Seite über typische Pfade (/impressum, /imprint) oder Footer-Links erreichbar ist. Fehlt sie, ist das ein Verstoß gegen § 5 DDG.
HOCH § 5 DDG
DEEP-PAGE-IMP-001
Impressum Vollständigkeit
Prüft das Impressum auf Pflichtangaben: Name/Firma, Anschrift, E-Mail, Telefon/Fax, Handelsregisternummer, USt-IdNr., Aufsichtsbehörde (bei Erlaubnispflicht). Bewertet den Prozentsatz der gefundenen Pflichtfelder.
HOCH § 5 DDG
DEEP-PAGE-DAT-000
Datenschutz-Seite gefunden
Prüft ob eine Datenschutzerklärung über typische Pfade (/datenschutz, /privacy) oder Footer-Links erreichbar ist.
HOCH Art. 13 DSGVO
DEEP-PAGE-DAT-001
Datenschutz Vollständigkeit
Prüft die DSE auf Pflichtangaben nach Art. 13 DSGVO: Verantwortlicher, Kontaktdaten, DSB, Zwecke, Rechtsgrundlagen, Empfänger, Drittlandtransfer, Speicherdauer, Betroffenenrechte, Beschwerderecht.
HOCH Art. 13/14 DSGVO
DEEP-PAGE-DAT-002
Veraltete Gesetzesreferenzen
Erkennt veraltete Verweise: "BDSG alt", "TMG" (seit 14.05.2024 DDG), "TTDSG" (seit 14.05.2024 TDDDG). Veraltete Referenzen signalisieren eine nicht aktualisierte DSE.
MITTEL Art. 13 DSGVO
DEEP-PAGE-DAT-003
Datenschutz veraltet (>1 Jahr)
Prüft ob die DSE ein Datum enthält und ob es älter als 12 Monate ist. Eine veraltete DSE ist ein Indikator für fehlende Aktualisierung bei geänderten Diensten.
MITTEL Art. 13 DSGVO
DEEP-PAGE-DAT-004
Datenschutz zu kurz
Eine DSE mit weniger als 300 Wörtern kann die Informationspflichten nach Art. 13 DSGVO kaum erfüllen. Typische vollständige DSE haben 2.000-5.000 Wörter.
HOCH Art. 13 DSGVO
DEEP-PAGE-FOO-001
Footer-Links (Impressum/Datenschutz)
Impressum und Datenschutzerklärung müssen von jeder Seite aus leicht erreichbar sein. Der Footer ist der etablierte Standard-Ort. Fehlende Footer-Links können bereits einen Verstoß darstellen.
HOCH § 5 DDG
DEEP-CRAWL-001
Deep Crawl Zusammenfassung
Folgt internen Links von der Startseite und prüft bis zu 30 Unterseiten. Dokumentiert Seitenanzahl, HTTP-Status, Ladezeiten und gefundene Probleme pro Seite.
INFO
DEEP-CRAWL-002
Broken Pages (HTTP-Fehler)
Seiten mit 404 (Not Found), 410 (Gone) oder 500 (Internal Server Error) werden erfasst. Kaputte Seiten beeinträchtigen User Experience und SEO-Ranking.
MITTEL
DEEP-CRAWL-003
Seiten ohne Title
Prüft alle gecrawlten Seiten auf vorhandene <title>-Tags. Fehlende Titel beeinträchtigen Screenreader-Navigation und SEO.
MITTEL WCAG 2.4.2 (A)
DEEP-CRAWL-004
Seiten ohne h1
Prüft alle gecrawlten Seiten auf vorhandene h1-Überschrift. Fehlt sie, fehlt die Hauptüberschrift für Screenreader-Navigation.
NIEDRIG WCAG 1.3.1 (A)
DEEP-CRAWL-005
Seiten ohne lang-Attribut
Prüft alle gecrawlten Seiten auf das lang-Attribut. Fehlende Sprachdeklaration betrifft Screenreader-Aussprache und Silbentrennung.
MITTEL WCAG 3.1.1 (A) / BFSG
DEEP-CRAWL-006
Bilder ohne Alt-Text (Crawl)
Aggregiert Alt-Text-Probleme über alle gecrawlten Seiten. Gibt die Gesamtanzahl fehlender Alt-Texte an und listet die betroffenen Seiten.
HOCH WCAG 1.1.1 (A) / BFSG
DEEP-CRAWL-007
JS-Fehler auf Unterseiten
Protokolliert JavaScript-Fehler auf allen gecrawlten Unterseiten. Fehler auf Unterseiten bleiben oft unentdeckt, da sie nicht auf der Startseite sichtbar sind.
NIEDRIG
🌐

DNS & E-Mail-Sicherheit

8 Prüfungen

Worum geht es?

Analysiert die DNS-Konfiguration und E-Mail-Sicherheit: SPF, DKIM und DMARC schützen vor E-Mail-Spoofing und Phishing. DNSSEC schützt vor DNS-Manipulation. CAA-Records kontrollieren, welche Zertifizierungsstellen SSL-Zertifikate ausstellen dürfen.

Art. 32 DSGVO (angemessene technische Maßnahmen). Fehlende SPF/DMARC ermöglichen Phishing mit Ihrer Domain als Absender.

Praxis-Tipp

Setzen Sie mindestens SPF und DMARC. Beginnen Sie mit DMARC p=none (Monitoring), dann p=quarantine, dann p=reject. DKIM wird vom Mailserver-Anbieter eingerichtet.

ID Prüfung Schwere Rechtsgrundlage
DEEP-DNS-001
SPF-Record
SPF legt per DNS-TXT-Record fest, welche Mailserver E-Mails im Namen Ihrer Domain senden dürfen. Ohne SPF kann jeder Server weltweit E-Mails mit Ihrer Absenderadresse versenden.
MITTEL
DEEP-DNS-002
DMARC-Record
DMARC baut auf SPF und DKIM auf und definiert eine Policy: Was soll mit E-Mails passieren, die die Prüfung nicht bestehen? Ohne DMARC werden gefälschte E-Mails trotzdem zugestellt.
MITTEL
DEEP-DNS-003
DKIM-Record
DKIM fügt ausgehenden E-Mails eine kryptographische Signatur hinzu, die vom Empfänger geprüft werden kann. Bestätigt, dass die E-Mail tatsächlich vom angegebenen Mailserver stammt und nicht verändert wurde.
MITTEL
DEEP-DNS-004
MX-Records
MX-Records definieren die Mailserver für Ihre Domain. Informationscheck zur Dokumentation des E-Mail-Setups.
INFO
DEEP-DNS-005
CAA-Records
CAA-Records legen fest, welche Zertifizierungsstellen SSL-Zertifikate für Ihre Domain ausstellen dürfen. Verhindert, dass Angreifer bei einer anderen CA ein Zertifikat für Ihre Domain beantragen.
NIEDRIG
DEEP-DNS-006
DNSSEC aktiviert
DNSSEC fügt kryptographische Signaturen zu DNS-Antworten hinzu und schützt vor DNS-Spoofing und Cache-Poisoning. Muss vom Domain-Registrar und DNS-Provider unterstützt werden.
NIEDRIG
DEEP-DNS-007
IPv6 Support (AAAA-Record)
IPv4-Adressen sind erschöpft. IPv6 ist der Standard für zukünftige Konnektivität. Prüft ob ein AAAA-Record vorhanden ist.
NIEDRIG
DEEP-DNS-015
SPF DNS-Lookup-Limit
RFC 7208 erlaubt maximal 10 DNS-Lookups bei der SPF-Validierung. Überschreitung führt zu PermError und Ihre SPF-Prüfung schlägt fehl — E-Mails werden als verdaechtigt eingestuft.
HOCH Art. 32 DSGVO / RFC 7208
🔒

SSL/TLS-Analyse

7 Prüfungen

Worum geht es?

Tiefenanalyse des SSL/TLS-Zertifikats und der Konfiguration: Gültigkeit, Protokollversionen, Cipher Suites, HSTS und HTTPS-Weiterleitung. Über den Standard-SSL-Check hinaus werden alte TLS-Versionen aktiv getestet.

Art. 32 DSGVO (Verschlüsselung als Pflicht-Maßnahme), BSI TR-02102 (Empfehlungen für TLS-Konfiguration).

Praxis-Tipp

Deaktivieren Sie TLS 1.0 und 1.1 in der Server-Konfiguration. Nutzen Sie HSTS mit einer Mindest-Laufzeit von 31536000 Sekunden (1 Jahr). Setzen Sie Let's Encrypt für automatische Zertifikatserneuerung ein.

ID Prüfung Schwere Rechtsgrundlage
DEEP-SSL-001
Zertifikat Gültigkeit/Ablauf
Prüft ob das Zertifikat gültig ist, wann es abläuft und ob eine rechtzeitige Erneuerung eingerichtet ist. Abgelaufene Zertifikate führen zu Browser-Warnungen, die Besucher abschrecken.
KRITISCH
DEEP-SSL-002
TLS-Protokollversion
Prüft die aktive TLS-Version. TLS 1.3 ist der aktuelle Standard, TLS 1.2 ist akzeptabel, TLS 1.0/1.1 sind unsicher und seit 2020 von allen Browsern abgelehnt.
HOCH
DEEP-SSL-003
Cipher Suite Stärke
Prüft die verwendete Cipher Suite auf bekannte Schwächen: RC4, DES, 3DES, MD5, NULL und EXPORT Cipher sind unsicher. Empfohlen: AES-256-GCM, ChaCha20-Poly1305.
HOCH
DEEP-SSL-004
Alte TLS-Versionen deaktiviert
Prüft aktiv, ob der Server noch Verbindungen mit TLS 1.0 oder 1.1 akzeptiert, indem eine Verbindung mit diesen Versionen versucht wird. Akzeptiert der Server sie, ist die Konfiguration unsicher.
HOCH
DEEP-SSL-005
HTTP zu HTTPS Weiterleitung
Alle HTTP-Anfragen sollten per 301-Redirect auf HTTPS weitergeleitet werden. Ohne Weiterleitung können Nutzer versehentlich die unverschlüsselte Version der Seite aufrufen.
HOCH
DEEP-SSL-006
HSTS (Strict Transport Security)
HSTS teilt dem Browser mit, für einen definierten Zeitraum ausschließlich HTTPS-Verbindungen zu verwenden. Schützt vor SSL-Stripping-Angriffen, bei denen ein Angreifer HTTPS auf HTTP herunterstuft.
MITTEL
DEEP-SSL-012
Zertifikatskette/CA-Vertrauen
Prüft ob das Zertifikat von einer vertrauenswürdigen Certificate Authority (CA) ausgestellt wurde und die Zertifikatskette vollständig ist. Selbstsignierte Zertifikate lösen Browser-Warnungen aus.
KRITISCH Art. 32 DSGVO
🛡

Security Headers

13 Prüfungen

Worum geht es?

Analysiert HTTP-Antwort-Header, die den Browser anweisen, bestimmte Sicherheitsrichtlinien durchzusetzen. Security Headers sind eine der einfachsten und wirksamsten Maßnahmen zur Absicherung einer Website.

Art. 32 DSGVO (angemessene technische Maßnahmen). Security Headers gelten als Best Practice und können bei einem Datenschutzvorfall relevant sein.

Praxis-Tipp

Konfigurieren Sie mindestens: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy und eine grundlegende Content-Security-Policy. Alle können per .htaccess oder Server-Konfiguration gesetzt werden.

ID Prüfung Schwere Rechtsgrundlage
DEEP-HDR-000
Security Headers Zusammenfassung
Gesamtbewertung der 7 primären Security-Header. Gibt einen Score basierend auf Vorhandensein und Konfigurationsqualität aller geprüften Header.
HOCH
DEEP-HDR-001
Strict-Transport-Security (HSTS)
Erzwingt HTTPS-Verbindungen für einen definierten Zeitraum. Empfohlene Konfiguration: max-age=31536000; includeSubDomains; preload.
MITTEL
DEEP-HDR-002
Content-Security-Policy (CSP)
CSP definiert, welche Quellen für Scripts, Styles, Bilder und andere Ressourcen erlaubt sind. Einer der mächtigsten Sicherheits-Header gegen XSS und Code-Injection.
MITTEL
DEEP-HDR-003
X-Content-Type-Options: nosniff
Verhindert MIME-Type-Sniffing: Ohne ihn könnten Browser versuchen, den Inhaltstyp zu erraten und etwa eine als Bild getarnte JavaScript-Datei ausführen.
NIEDRIG
DEEP-HDR-004
X-Frame-Options (Clickjacking)
Schützt vor Clickjacking: Ein Angreifer bettet Ihre Website unsichtbar in einen iframe auf seiner Seite ein und verleitet Nutzer zu Klicks auf versteckte Elemente.
NIEDRIG
DEEP-HDR-005
Referrer-Policy
Steuert, welche URL-Informationen beim Klick auf einen Link an die Zielseite übermittelt werden. Ohne Policy wird die vollständige URL übermittelt — inklusive Query-Parameter mit sensiblen Daten.
NIEDRIG
DEEP-HDR-006
Permissions-Policy
Kontrolliert, welche Browser-APIs die Website und eingebettete iframes nutzen dürfen: Kamera, Mikrofon, Geolocation, Payment, Fullscreen u.a.
NIEDRIG
DEEP-HDR-007
X-XSS-Protection (Legacy)
War ein Browser-Feature zur XSS-Filterung. Ist veraltet und wurde von allen modernen Browsern entfernt. Kann sogar Sicherheitsprobleme verursachen. Empfehlung: Auf CSP setzen.
INFO
DEEP-HDR-008
CORS-Konfiguration
CORS steuert, welche Domains über Browser-Requests auf Ihre Ressourcen zugreifen dürfen. Access-Control-Allow-Origin: * erlaubt jedem Zugriff und ist in den meisten Fällen zu weit gefasst.
HOCH
DEEP-HDR-009
Server-Versions-Leakage
Prüft ob Server-Header (Server, X-Powered-By) Versionsnummern preisgeben. Diese Information erleichtert gezielte Angriffe auf bekannte Schwachstellen.
NIEDRIG
DEEP-HDR-010
robots.txt Präsenz/Inhalt
Prüft ob eine robots.txt vorhanden ist und ob sie sinnvolle Anweisungen enthält. Warnt vor problematischen Einträgen (z.B. Disallow: / blockiert alle Crawler).
NIEDRIG
DEEP-HDR-011
sitemap.xml Präsenz
Prüft ob eine XML-Sitemap vorhanden und valide ist. Hilft Suchmaschinen, alle Seiten zu finden und zu indexieren.
NIEDRIG
DEEP-HDR-012
Cookie Security Flags
Prüft Cookies auf Sicherheitsflags: Secure (nur über HTTPS), HttpOnly (kein JavaScript-Zugriff), SameSite (CSRF-Schutz). Fehlende Flags erhöhen das Angriffsrisiko.
MITTEL
🚪

Port-Scan

14 Prüfungen

Worum geht es?

Scannt 15 bekannte Ports auf öffentliche Erreichbarkeit. Offene Datenbank-Ports (MySQL, PostgreSQL, MongoDB, Redis) oder Verwaltungs-Ports (RDP, VNC, Telnet) sind kritische Sicherheitsrisiken, die sofort geschlossen werden sollten.

Art. 32 DSGVO (technische Maßnahmen). Öffentlich erreichbare Datenbanken sind ein schwerwiegender Verstoß gegen die Pflicht zu angemessenen Schutzmaßnahmen.

Praxis-Tipp

Nur Ports 80 (HTTP) und 443 (HTTPS) sollten öffentlich erreichbar sein. Alle anderen Dienste per Firewall blockieren oder über VPN/SSH-Tunnel zugreifen. Datenbanken niemals direkt aus dem Internet erreichbar machen.

ID Prüfung Schwere Rechtsgrundlage
DEEP-PORT-000
Port-Scan Zusammenfassung
Gesamtbewertung: Welche Ports sind offen, welche entsprechen dem Erwarteten (80, 443), welche sind unerwartet und potenziell gefährlich.
KRITISCH Art. 32 DSGVO
DEEP-PORT-FW
Firewall-Konfiguration Bewertung
Basierend auf den Port-Scan-Ergebnissen wird die Gesamtqualität der Firewall-Konfiguration bewertet. Nur HTTP/HTTPS offen = gut. Datenbank-Ports offen = kritisch.
HOCH Art. 32 DSGVO
DEEP-PORT-00021
FTP offen (Port 21)
FTP überträgt Zugangsdaten im Klartext. Sollte durch SFTP (SSH, Port 22) ersetzt werden. Öffentlich erreichbares FTP ist ein Sicherheitsrisiko.
HOCH
DEEP-PORT-00023
Telnet offen (Port 23)
Telnet überträgt alles im Klartext — inklusive Passwörter. Darf auf keinem Produktionsserver öffentlich erreichbar sein. Durch SSH ersetzen.
KRITISCH
DEEP-PORT-03306
MySQL öffentlich erreichbar (Port 3306)
Eine öffentlich erreichbare MySQL-Datenbank ist eines der schwerwiegendsten Sicherheitsrisiken. Brute-Force-Angriffe auf Datenbank-Passwörter sind ein Standard-Angriffsvektor.
KRITISCH Art. 32 DSGVO
DEEP-PORT-03389
RDP öffentlich erreichbar (Port 3389)
Remote Desktop Protocol ermöglicht vollständige Server-Fernsteuerung. Öffentlich erreichbares RDP ist ein häufiger Einstiegspunkt für Ransomware-Angriffe.
KRITISCH
DEEP-PORT-05432
PostgreSQL öffentlich erreichbar (Port 5432)
Wie MySQL — eine öffentlich erreichbare PostgreSQL-Datenbank ist ein kritisches Sicherheitsrisiko. Zugriff nur über localhost oder VPN erlauben.
KRITISCH Art. 32 DSGVO
DEEP-PORT-05900
VNC öffentlich erreichbar (Port 5900)
VNC ermöglicht graphische Fernsteuerung. Viele VNC-Implementierungen haben keine starke Authentifizierung. Muss per VPN oder SSH-Tunnel geschützt werden.
KRITISCH
DEEP-PORT-06379
Redis öffentlich erreichbar (Port 6379)
Redis hat standardmäßig keine Authentifizierung. Ein öffentlich erreichbarer Redis-Server kann von jedem gelesen und beschrieben werden — ein extremes Sicherheitsrisiko.
KRITISCH
DEEP-PORT-09200
Elasticsearch öffentlich erreichbar (Port 9200)
Elasticsearch hat standardmäßig keine Authentifizierung. Enthält oft sensible Daten (Suchindizes, Logs). Tausende offene Elasticsearch-Instanzen werden regelmäßig von Angreifern gescannt.
KRITISCH
DEEP-PORT-27017
MongoDB öffentlich erreichbar (Port 27017)
MongoDB ohne Authentifizierung ist einer der häufigsten Gründe für Datenlecks. Enthält oft personenbezogene Daten. Muss per Firewall und Authentifizierung geschützt werden.
KRITISCH
DEEP-PORT-00110
POP3 offen (Port 110)
POP3 (unverschlüsselt) für E-Mail-Abruf. Sollte durch POP3S (Port 995) oder IMAPS (Port 993) ersetzt werden.
NIEDRIG
DEEP-PORT-00143
IMAP offen (Port 143)
IMAP (unverschlüsselt) für E-Mail-Zugriff. Sollte durch IMAPS (Port 993) ersetzt werden.
NIEDRIG
DEEP-PORT-08080
Alternativer HTTP-Port offen (8080)
Port 8080 wird oft für Entwicklungsserver, Proxies oder alternative Webserver verwendet. Kann auf einen ungesicherten Dienst hinweisen.
NIEDRIG
📂

Sensible Dateien

11 Prüfungen

Worum geht es?

Prüft 15 bekannte Pfade auf öffentliche Erreichbarkeit. Diese Dateien sollten niemals öffentlich zugänglich sein: Konfigurationsdateien, Datenbank-Dumps, Versionskontrolle, Debug-Logs und Server-Status-Seiten.

Art. 32 DSGVO (Zugriffskontrolle). Exponierte Konfigurationsdateien mit Datenbank-Passwörtern oder API-Keys sind ein meldepflichtiger Datenschutzvorfall nach Art. 33 DSGVO.

Praxis-Tipp

Blockieren Sie den Zugriff auf sensible Pfade per .htaccess (Apache) oder Server-Konfiguration (nginx). Nutzen Sie .gitignore für .env-Dateien. Löschen Sie phpinfo.php von Produktionsservern.

ID Prüfung Schwere Rechtsgrundlage
DEEP-SEC-000
Sensible Dateien Zusammenfassung
Gesamtbewertung: Anzahl der gefundenen exponierten Dateien und deren Kritikalität. Jede exponierte sensible Datei ist ein sofortiger Handlungsbedarf.
KRITISCH
DEEP-SEC-001
.env Konfigurationsdatei
Die .env-Datei enthält Umgebungsvariablen: Datenbank-Passwörter, API-Keys, geheime Schlüssel. Öffentlicher Zugriff ermöglicht vollständige Kompromittierung des Systems.
KRITISCH
DEEP-SEC-002
.git Repository
Ein exponiertes .git-Verzeichnis ermöglicht das Herunterladen des gesamten Quellcodes inkl. Git-History. Kann Passwörter, API-Keys und interne Logik offenlegen.
KRITISCH
DEEP-SEC-003
WordPress-Config Backup
wp-config.php.bak oder wp-config.php~ enthalten Datenbank-Zugangsdaten im Klartext. PHP-Backup-Dateien werden vom Server als Plaintext ausgeliefert, nicht ausgeführt.
KRITISCH
DEEP-SEC-005
SQL-Dump exponiert
Datenbank-Dumps (.sql, .sql.gz) können den gesamten Datenbestand enthalten: Nutzerdaten, Passwörter, Bestellungen, E-Mails. Meldepflichtiger Datenschutzvorfall wenn personenbezogene Daten enthalten.
KRITISCH
DEEP-SEC-007
phpinfo.php exponiert
phpinfo() zeigt die gesamte PHP-Konfiguration: Pfade, Module, Umgebungsvariablen (oft inkl. Passwörter), Server-Informationen. Muss auf Produktionsservern gelöscht werden.
HOCH
DEEP-SEC-008
.htpasswd Datei
Enthält gehashte Passwörter für HTTP-Basic-Auth. Obwohl gehasht, können schwache Passwörter offline geknackt werden.
KRITISCH
DEEP-SEC-009
Apache server-status
Zeigt detaillierte Informationen über aktive Verbindungen, Anfragen und Server-Last. Kann IP-Adressen von Besuchern und interne URLs offenlegen.
HOCH
DEEP-SEC-011
debug.log exponiert
Debug-Logs können Fehlermeldungen, Stack-Traces, Datenbankabfragen und teilweise personenbezogene Daten enthalten. Sollten nie öffentlich zugänglich sein.
HOCH
DEEP-SEC-013
security.txt vorhanden
Security.txt (RFC 9116) unter /.well-known/security.txt ermöglicht Sicherheitsforschern, Schwachstellen verantwortungsvoll zu melden. Sollte Kontakt-E-Mail und Verschlüsselungskey enthalten.
NIEDRIG
DEEP-SEC-014
Directory Listing aktiviert
Wenn der Webserver Verzeichnisinhalte als HTML-Liste anzeigt, können Angreifer die Dateistruktur durchsuchen und sensible Dateien finden, die nicht direkt verlinkt sind.
MITTEL
🌐

Subdomain-Analyse

5 Prüfungen

Worum geht es?

Prüft 55 häufig verwendete Subdomain-Namen auf Erreichbarkeit. Kritische Subdomains wie db.*, admin.* oder staging.* sollten nie öffentlich erreichbar sein. Zusätzlich wird auf Subdomain-Takeover Risiken geprüft.

Art. 32 DSGVO (Zugriffskontrolle), Art. 32/33 DSGVO (Subdomain-Takeover als Sicherheitsvorfall).

Praxis-Tipp

Entfernen Sie DNS-Records für nicht mehr genutzte Subdomains. Schützen Sie Entwicklungs- und Staging-Systeme per VPN oder IP-Whitelist. Prüfen Sie regelmäßig auf verwaiste CNAME-Records.

ID Prüfung Schwere Rechtsgrundlage
DEEP-SUB-000
Subdomain-Enumeration Zusammenfassung
Überblick über alle gefundenen Subdomains mit Kategorisierung in kritisch, riskant und informativ. Basis für die Bewertung der Angriffsoberfläche.
KRITISCH
DEEP-SUB-WC
DNS Wildcard erkannt
Ein DNS-Wildcard-Eintrag (*.domain.de) lässt jeden beliebigen Subdomain-Namen auflösen. Kann die Subdomain-Enumeration beeinflussen und ungewollte Angriffsvektoren eröffnen.
NIEDRIG
DEEP-SUB-001
Kritische Subdomains exponiert
Prüft auf: db.*, database.*, mysql.*, phpmyadmin.*, admin.*, cpanel.*, staging.*, production.*. Diese Subdomains deuten auf sensible Systeme hin, die nie öffentlich erreichbar sein sollten.
KRITISCH Art. 32 DSGVO
DEEP-SUB-002
Riskante Subdomains exponiert
Prüft auf: dev.*, test.*, beta.*, internal.*, intranet.*, jenkins.*, gitlab.*. Diese Subdomains können Entwicklungsumgebungen mit schwacher Authentifizierung exponieren.
HOCH Art. 32 DSGVO
DEEP-DNS-017
Subdomain-Takeover Risiko
Prüft auf verwaiste CNAME-Records (dangling CNAMEs): Subdomains die auf nicht mehr existierende Dienste (Heroku, GitHub Pages, AWS) zeigen, können von Angreifern übernommen werden.
KRITISCH Art. 32/33 DSGVO
📅

WHOIS / Domain-Info

2 Prüfungen

Worum geht es?

Prüft Domain-Registrierungsinformationen: Ablaufdatum und Privacy-Schutz. Eine abgelaufene Domain führt zum vollständigen Verlust der Online-Präsenz.

§ 5 DDG (Erreichbarkeit), Art. 32 DSGVO (Verfügbarkeit als Schutzziel), Art. 13 DSGVO (WHOIS-Daten).

Praxis-Tipp

Aktivieren Sie die automatische Domain-Verlängerung bei Ihrem Registrar. Setzen Sie Kalender-Erinnerungen für 90, 60 und 30 Tage vor Ablauf.

ID Prüfung Schwere Rechtsgrundlage
DEEP-WHOIS-001
Domain-Ablaufdatum
Prüft wann die Domain abläuft. Unter 30 Tagen: kritisch (sofort verlängern). Unter 90 Tagen: hoch (zeitnah verlängern). Über 180 Tagen: ok.
KRITISCH § 5 DDG / Art. 32 DSGVO
DEEP-WHOIS-002
WHOIS Privacy Protection
Prüft ob WHOIS Privacy aktiviert ist. Ohne Privacy sind Name, Adresse, Telefon und E-Mail des Domain-Inhabers öffentlich einsehbar.
NIEDRIG Art. 13 DSGVO
📡

Domain & Hosting

3 Prüfungen

Worum geht es?

Ermittelt Server-Standort, Hosting-Anbieter und prüft auf offene Admin-Interfaces. Der Server-Standort ist relevant für den DSGVO-Datentransfer: Nicht-EU-Standorte erfordern zusätzliche Schutzmaßnahmen.

Art. 44-49 DSGVO (Drittlandtransfer), Art. 28 DSGVO (Auftragsverarbeitung), Art. 32 DSGVO (offene Admin-Interfaces).

Praxis-Tipp

Hosten Sie in der EU oder im EWR. Schließen Sie einen Auftragsverarbeitungsvertrag (AVV) mit Ihrem Hoster ab. Schützen Sie Admin-Interfaces per IP-Whitelist oder VPN.

ID Prüfung Schwere Rechtsgrundlage
DEEP-NET-002
Server-Standort & Datentransfer
Ermittelt den physischen Standort des Servers über GeoIP-Datenbanken. Server außerhalb der EU/EWR erfordern zusätzliche Schutzmaßnahmen nach Art. 44-49 DSGVO (Standardvertragsklauseln, Angemessenheitsbeschluss).
HOCH Art. 44-49 DSGVO
DEEP-NET-003
Hosting-Anbieter & AVV
Identifiziert den Hosting-Anbieter und prüft ob ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO typischerweise angeboten wird. Informationscheck für Ihre Compliance-Dokumentation.
INFO Art. 28 DSGVO
DEEP-NET-004
Offene Admin-Interfaces
Prüft auf öffentlich erreichbare Admin-Interfaces: phpMyAdmin, Adminer, Webmin, cPanel, Plesk, WHM. Diese Interfaces sollten nie ohne zusätzlichen Schutz öffentlich erreichbar sein.
HOCH Art. 32 DSGVO

Bonus-Checks (SEO, E-Mail, Reputation)

8 Prüfungen

Worum geht es?

Zusätzliche Prüfungen über Rechts-Compliance hinaus: SEO-Probleme (Duplicate Content, noindex), E-Mail-Zustellbarkeit (PTR, MTA-STS), Ressourcen-Kompression und Spam-Blacklist-Prüfung.

— (Bonus-Checks ohne direkte gesetzliche Grundlage, aber relevant für Gesamtqualität und Reputation).

Praxis-Tipp

Richten Sie eine einheitliche www/non-www Weiterleitung ein. Prüfen Sie regelmäßig ob Ihre Server-IP auf Blacklists steht. Aktivieren Sie Gzip/Brotli-Kompression auf dem Server.

ID Prüfung Schwere Rechtsgrundlage
BONUS-SEO-001
www/non-www Duplicate Content
Prüft ob beide Varianten (www und non-www) erreichbar sind und ob eine korrekte 301-Weiterleitung eingerichtet ist. Ohne Weiterleitung indexiert Google beide als separate Seiten.
HOCH
BONUS-SEO-004
robots.txt problematische Einträge
Prüft robots.txt auf Einträge, die wichtige Seiten blockieren (z.B. Disallow: /impressum). Kann SEO und Erreichbarkeit beeinträchtigen.
NIEDRIG
BONUS-SEO-005
noindex auf Produktions-Seite
Prüft ob die Startseite ein noindex-Meta-Tag oder X-Robots-Tag enthält. Auf Produktionsseiten ist dies fast immer ein versehentlich vergessenes Staging-Relikt.
HOCH
BONUS-SEO-007
Redirect-Chain Länge
Zählt die Anzahl der Weiterleitungen von der eingegebenen URL bis zur endgültigen Seite. Lange Ketten (3+) verlangsamen das Laden und verwirren Suchmaschinen.
MITTEL
BONUS-MAIL-004
Reverse-DNS (PTR-Record)
Prüft ob ein PTR-Record für die Server-IP existiert. Fehlender Reverse-DNS kann dazu führen, dass E-Mails als Spam eingestuft werden.
MITTEL
BONUS-MAIL-005
MTA-STS (E-Mail-Verschlüsselung)
MTA-STS (Mail Transfer Agent Strict Transport Security) erzwingt TLS-verschlüsselte E-Mail-Übertragung. Schützt vor Downgrade-Angriffen auf E-Mail-Verbindungen.
NIEDRIG
BONUS-PERF-003
Ressourcen-Kompression
Prüft ob der Server Gzip- oder Brotli-Kompression für HTML, CSS und JavaScript aktiviert hat. Kompression kann das Transfervolumen um 60-80% reduzieren.
MITTEL
BONUS-REP-001
Server-IP auf Spam-Blacklists
Prüft die Server-IP gegen bekannte DNS-basierte Blacklists (DNSBL). Eine gelistete IP kann E-Mail-Zustellung und Website-Reputation beeinträchtigen.
HOCH

220+ Tiefenprüfungen mit Playwright Browser-Engine

Inklusive Pro-Check + BFSG-Modul + PDF-Report per E-Mail. Ab 169 €.

Deep Audit starten →