Leistungsumfang
Transparente Übersicht aller Prüfungen – was wird geprüft, welche Rechtsgrundlage steckt dahinter und was ist in welchem Produkt enthalten.
SSL & Sicherheit
Worum geht es?
SSL/TLS-Verschlüsselung ist die Grundlage für sichere Datenübertragung. Ohne gültiges SSL-Zertifikat werden Daten unverschlüsselt übertragen.
Rechtliche Grundlage
Art. 32 DSGVO verpflichtet zu angemessenen technischen Schutzmaßnahmen. SSL gilt als Mindeststandard.
Praxis-Tipp
Nutzen Sie Let's Encrypt für kostenlose SSL-Zertifikate. Stellen Sie sicher, dass HTTP automatisch auf HTTPS weiterleitet.
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| SSL-001 |
SSL/TLS-Zertifikat
Prüft, ob die Website über ein gültiges SSL/TLS-Zertifikat verfügt. Ohne SSL-Verschlüsselung werden Daten ungeschützt übertragen, was einen Verstoß gegen die technischen Schutzmaßnahmen der DSGVO darstellt.
|
KRITISCH | Art. 32 DSGVO | Free |
| SSL-001b |
SSL-Zertifikat läuft bald ab
Prüft, ob das SSL-Zertifikat in naher Zukunft abläuft. Ein abgelaufenes Zertifikat führt zu Browser-Warnungen und unterbricht den verschlüsselten Datentransfer.
|
MITTEL | Art. 32 DSGVO | Free |
| SSL-003 |
HTTP zu HTTPS Weiterleitung
Prüft, ob HTTP-Anfragen automatisch auf HTTPS weitergeleitet werden. Ohne Weiterleitung können Nutzer die Website versehentlich unverschlüsselt aufrufen.
|
HOCH | Art. 32 DSGVO | Free |
| SSL-002 |
TLS-Version
Prüft die verwendete TLS-Protokollversion. TLS 1.0 und 1.1 gelten als unsicher und sollten deaktiviert sein. TLS 1.3 ist der empfohlene Standard.
|
HOCH | Art. 32 DSGVO | Pro |
| SSL-004 |
Mixed Content
Prüft, ob auf der HTTPS-Seite unsichere HTTP-Ressourcen eingebunden sind. Mixed Content untergräbt die SSL-Verschlüsselung und kann zu Browser-Warnungen führen.
|
MITTEL | Art. 32 DSGVO | Pro |
| SSL-005 |
Ladezeit / Performance
Prüft, ob die Website innerhalb von 5 Sekunden vollständig geladen wird. Langsame Seiten können als Wettbewerbsverstoß gewertet werden.
|
NIEDRIG | UWG § 5 (Irreführung) | Free |
Impressum
Worum geht es?
Das Impressum ist die Visitenkarte Ihrer Website. Es muss leicht erkennbar, unmittelbar erreichbar und staendig verfügbar sein.
Rechtliche Grundlage
Impressumspflicht nach § 5 DDG (seit 14.05.2024, vormals § 5 TMG). Verstöße können mit Bußgeldern bis 50.000 € geahndet werden.
Praxis-Tipp
Verwenden Sie einen Impressum-Generator und prüfen Sie regelmäßig die Aktualitaet. Bei GmbH, UG, AG zusätzlich Handelsregisternummer und Geschäftsführer angeben.
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| IMP-001 |
Impressum vorhanden und erreichbar
Prüft, ob ein Impressum vorhanden und von jeder Seite aus leicht erreichbar ist. Ein fehlendes Impressum ist einer der häufigsten Abmahngründe.
|
KRITISCH | § 5 DDG | Free |
| IMP-009 |
Veralteter TMG-Verweis
Prüft, ob im Impressum noch auf das veraltete Telemediengesetz (TMG) verwiesen wird. Seit Mai 2024 gilt das Digitale-Dienste-Gesetz (DDG) als Nachfolger.
|
MITTEL | § 5 DDG | Free |
| IMP-010 |
Impressum als Bild
Prüft, ob das Impressum als Bild statt als Text hinterlegt ist. Impressumsangaben als Bild sind nicht barrierefrei und können nicht maschinell gelesen werden.
|
MITTEL | § 5 DDG | Free |
| IMP-002 |
Name/Firma im Impressum
Prüft, ob der vollständige Name oder die Firma des Anbieters im Impressum angegeben ist. Diese Pflichtangabe ist für die Identifizierung des Verantwortlichen zwingend erforderlich.
|
KRITISCH | § 5 DDG | Pro |
| IMP-003 |
Ladungsfähige Anschrift
Prüft, ob eine ladungsfähige Anschrift (Straße, Hausnummer, PLZ, Ort) im Impressum vorhanden ist. Eine Postfachadresse genügt nicht.
|
KRITISCH | § 5 DDG | Pro |
| IMP-004 |
E-Mail-Adresse
Prüft, ob eine E-Mail-Adresse im Impressum angegeben ist. Die E-Mail ermöglicht eine schnelle elektronische Kontaktaufnahme mit dem Anbieter.
|
HOCH | § 5 DDG | Pro |
| IMP-005 |
Telefonnummer
Prüft, ob eine Telefonnummer im Impressum vorhanden ist. Neben der E-Mail sollte ein weiterer unmittelbarer Kommunikationsweg angeboten werden.
|
MITTEL | § 5 DDG | Pro |
| IMP-006 |
Handelsregister-Eintrag
Prüft, ob bei eingetragenen Unternehmen das Registergericht und die Registernummer angegeben sind. Diese Angabe ist für alle im Handelsregister eingetragenen Firmen Pflicht.
|
HOCH | § 5 DDG | Pro |
| IMP-007 |
USt-IdNr.
Prüft, ob die Umsatzsteuer-Identifikationsnummer im Impressum angegeben ist. Falls vorhanden, muss die USt-IdNr. im Impressum genannt werden.
|
HOCH | § 5 DDG | Pro |
| IMP-008 |
Vertretungsberechtigter
Prüft, ob bei juristischen Personen der Vertretungsberechtigte (z. B. Geschäftsführer) namentlich benannt ist. Bei GmbH, AG oder UG ist diese Angabe Pflicht.
|
HOCH | § 5 DDG | Pro |
| IMP-013 |
Redaktionell Verantwortlicher (V.i.S.d.P.)
Prüft, ob bei Websites mit redaktionellen Inhalten (Blog, Magazin, News) ein redaktionell Verantwortlicher nach § 18 MStV benannt ist.
|
MITTEL | § 18 Abs. 2 MStV | Pro |
| IMP-014 |
Aufsichtsbehörde (regulierte Berufe)
Prüft, ob bei regulierten Berufen (Arzt, Anwalt, Steuerberater etc.) die zuständige Aufsichtsbehörde im Impressum angegeben ist.
|
MITTEL | § 5 Abs. 1 Nr. 5 DDG | Pro |
| IMP-015 |
Berufsrechtliche Angaben
Prüft, ob bei regulierten Berufen Kammerzugehörigkeit, Berufsbezeichnung und berufsrechtliche Regelungen angegeben sind.
|
HOCH | § 5 Abs. 1 Nr. 5 DDG | Pro |
| IMP-016 |
Impressum auf noindex
Prüft, ob die Impressum-Seite ein noindex-Meta-Tag hat, das die Indexierung durch Suchmaschinen verhindert.
|
HOCH | § 5 DDG | Free |
Datenschutzerklärung
Worum geht es?
Die Datenschutzerklärung informiert Besucher über Art, Umfang und Zweck der Datenverarbeitung. Sie muss alle verwendeten Dienste abdecken.
Rechtliche Grundlage
Art. 13 und 14 DSGVO regeln die Informationspflichten. Die DSE muss Verantwortlichen, Zwecke, Rechtsgrundlagen, Empfänger und Betroffenenrechte nennen.
Praxis-Tipp
Aktualisieren Sie Ihre DSE bei jeder Änderung der eingesetzten Dienste. Erwaehnen Sie alle externen Ressourcen und prüfen Sie Auftragsverarbeitungsvertraege (AVV).
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| DSE-001 |
Datenschutzerklärung vorhanden
Prüft, ob eine Datenschutzerklärung vorhanden und von jeder Seite aus erreichbar ist. Jede Website, die personenbezogene Daten verarbeitet, benötigt eine Datenschutzerklärung.
|
KRITISCH | Art. 13 DSGVO | Free |
| DSE-009 |
Veralteter TTDSG-Verweis
Prüft, ob in der Datenschutzerklärung noch auf das veraltete TTDSG verwiesen wird. Seit Mai 2024 gilt das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
|
NIEDRIG | TDDDG | Free |
| DSE-002 |
Verantwortlicher benannt
Prüft, ob der Verantwortliche für die Datenverarbeitung mit vollständigen Kontaktdaten in der Datenschutzerklärung benannt ist.
|
HOCH | Art. 13 DSGVO | Pro |
| DSE-004 |
Rechtsgrundlagen genannt
Prüft, ob die Rechtsgrundlagen für die Datenverarbeitung (z. B. Einwilligung, berechtigtes Interesse) konkret benannt werden.
|
HOCH | Art. 6 DSGVO | Pro |
| DSE-005 |
Betroffenenrechte dokumentiert
Prüft, ob die Rechte der Betroffenen (Auskunft, Löschung, Widerspruch etc.) in der Datenschutzerklärung aufgeführt sind.
|
HOCH | Art. 15-21 DSGVO | Pro |
| DSE-006 |
Speicherdauer angegeben
Prüft, ob die Speicherdauer oder die Kriterien für die Festlegung der Speicherdauer angegeben sind.
|
MITTEL | Art. 13 DSGVO | Pro |
| DSE-007 |
Drittlandtransfer dokumentiert
Prüft, ob Datentransfers in Drittländer (außerhalb EU/EWR) dokumentiert und die Schutzmaßnahmen beschrieben sind.
|
HOCH | Art. 44-49 DSGVO | Pro |
| DSE-008 |
Externe Dienste dokumentiert
Prüft, ob alle eingebundenen externen Dienste (Analytics, Maps, Fonts etc.) in der Datenschutzerklärung aufgeführt und erläutert werden.
|
HOCH | Art. 13 DSGVO | Pro |
| DSE-003 |
Datenschutzbeauftragter
Prüft, ob ein Datenschutzbeauftragter in der Datenschutzerklärung benannt ist (ab 20 Mitarbeitern Pflicht).
|
MITTEL | Art. 37 DSGVO | Pro |
| DSE-010 |
Datenschutzerklärung auf gleicher Domain
Prüft, ob die Datenschutzerklärung auf der gleichen Domain liegt und nicht auf eine externe Seite verweist.
|
KRITISCH | Art. 12 Abs. 1 DSGVO | Free |
| DSE-011 |
Aktualitätsdatum in der DSE
Prüft, ob die Datenschutzerklärung ein Datum oder "Stand"-Vermerk enthält.
|
NIEDRIG | Art. 5 Abs. 2 DSGVO | Pro |
| DSE-012 |
Datenschutzerklärung auf noindex
Prüft, ob die Datenschutzerklärungs-Seite ein noindex-Meta-Tag hat, das die Indexierung verhindert.
|
HOCH | Art. 12 Abs. 1 DSGVO | Free |
| DSE-013 |
Datenschutz-Link im Footer
Prüft, ob ein Link zur Datenschutzerklärung im Footer vorhanden ist. Die DSE muss von jeder Unterseite leicht erreichbar sein.
|
MITTEL | Art. 12 Abs. 1 DSGVO | Free |
| DSE-014 |
Zwecke der Datenverarbeitung beschrieben
Prüft, ob die Datenschutzerklärung konkrete Zwecke der Datenverarbeitung benennt (z.B. Vertragserfüllung, Kontaktanfrage, Webanalyse).
|
HOCH | Art. 13 Abs. 1 lit. c DSGVO | Pro |
| DSE-015 |
Empfänger / Kategorien von Empfängern
Prüft, ob Empfänger oder Kategorien von Empfängern der Daten benannt werden (z.B. Auftragsverarbeiter, Zahlungsdienstleister).
|
HOCH | Art. 13 Abs. 1 lit. e DSGVO | Pro |
| DSE-016 |
Widerrufsrecht bei Einwilligung erklärt
Prüft, ob der Hinweis vorhanden ist, dass erteilte Einwilligungen jederzeit widerrufen werden können.
|
MITTEL | Art. 7 Abs. 3 DSGVO | Pro |
| DSE-017 |
Hosting / Webhosting beschrieben
Prüft, ob der Hosting-Anbieter in der Datenschutzerklärung benannt und die IP-Adressen-Verarbeitung erklärt wird.
|
MITTEL | Art. 13 DSGVO | Pro |
| DSE-018 |
Kontaktformular datenschutzrechtlich erklärt
Prüft, ob die Datenverarbeitung bei Kontaktaufnahme über das Kontaktformular in der DSE beschrieben wird.
|
MITTEL | Art. 13 DSGVO | Pro |
| DSE-019 |
Newsletter / E-Mail-Marketing in DSE erklärt
Prüft, ob Newsletter-Versand und E-Mail-Marketing-Dienste in der Datenschutzerklärung beschrieben werden.
|
MITTEL | Art. 13 DSGVO / UWG § 7 | Pro |
| DSE-020 |
Server-Logfiles erklärt
Prüft, ob die automatische Speicherung von Server-Logfiles (IP, Browser, Zeitstempel) in der DSE beschrieben wird.
|
MITTEL | Art. 6 Abs. 1 lit. f DSGVO | Pro |
Cookies & Tracking
Worum geht es?
Cookies und Tracking-Technologien dürfen nur mit vorheriger Einwilligung gesetzt werden (Opt-in), es sei denn, sie sind technisch notwendig.
Rechtliche Grundlage
§ 25 TDDDG regelt die Einwilligungspflicht. Das EuGH-Urteil Planet49 hat klargestellt: Opt-in entspricht der empfohlenen Praxis, keine vorausgewählten Checkboxen.
Praxis-Tipp
Implementieren Sie ein Consent-Tool (z.B. Cookiebot, Borlabs Cookie). Stellen Sie sicher, dass Tracking-Skripte erst nach Einwilligung geladen werden.
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| COO-001 |
Cookie-Banner vorhanden
Prüft, ob ein Cookie-Consent-Banner vorhanden ist. Websites, die nicht-essenzielle Cookies setzen, benötigen eine vorherige Einwilligung der Nutzer.
|
HOCH | § 25 TDDDG | Free |
| COO-004 |
Kein Tracking vor Consent
Prüft, ob Tracking-Skripte oder nicht-essenzielle Cookies bereits vor der Einwilligung geladen werden. Das Setzen von Tracking-Cookies ohne Consent ist ein schwerwiegender Verstoß.
|
KRITISCH | § 25 TDDDG | Free |
| COO-002 |
Ablehnen-Button
Prüft, ob im Cookie-Banner eine gleichwertige Möglichkeit zum Ablehnen aller Cookies vorhanden ist. Der Ablehnen-Button muss auf der ersten Ebene sichtbar sein.
|
HOCH | § 25 TDDDG | Pro |
| COO-003 |
Cookie-Vorauswahl (Dark Pattern)
Prüft, ob im Cookie-Banner Checkboxen vorausgewählt sind oder Dark Patterns eingesetzt werden. Vorausgewählte Kategorien stellen keine gültige Einwilligung dar.
|
KRITISCH | EuGH C-673/17 (Planet49), § 25 TDDDG | Pro |
| COO-005 |
Widerrufbare Einwilligung
Prüft, ob eine erteilte Cookie-Einwilligung jederzeit einfach widerrufen werden kann, z. B. über einen dauerhaft sichtbaren Link oder Button.
|
MITTEL | Art. 7 DSGVO | Pro |
| COO-006 |
Cookie-Klassifizierung
Prüft, ob die Cookies im Banner nach Kategorien (notwendig, Statistik, Marketing etc.) klassifiziert werden und einzeln an-/abwählbar sind.
|
HOCH | § 25 TDDDG | Pro |
| COO-007 |
Cookie-Laufzeiten
Prüft die tatsächlichen Laufzeiten (max-age/expires) der gesetzten Cookies. Übermäßig lange Laufzeiten (>1 Jahr) verstoßen gegen den Grundsatz der Speicherbegrenzung.
|
MITTEL | Art. 5 Abs. 1 lit. e DSGVO | Pro |
| COO-008 |
Script-Blocking durch Consent
Prüft, ob Tracking-Skripte durch das Consent-Tool blockiert werden (z.B. type="text/plain", data-cookieconsent). Ohne Blocking werden Skripte vor der Einwilligung ausgeführt.
|
HOCH | § 25 Abs. 1 TDDDG | Pro |
| COO-009 |
Cookie-Wall (Website ohne Consent nutzbar)
Prüft, ob die Website auch ohne Cookie-Zustimmung vollständig nutzbar ist. Ein Cookie-Wall, der den Zugang sperrt, ist unzulässig.
|
HOCH | TDDDG § 25 / Art. 7 DSGVO | Pro |
| COO-010 |
Fingerprinting-Hinweis
Hinweis: Wenn Browser-Fingerprinting eingesetzt wird, muss dies ebenfalls im Cookie-Banner und in der DSE erklärt werden.
|
NIEDRIG | TDDDG § 25 | Pro |
| COO-011 |
CMP-Anbieter datenschutzkonform
Prüft, ob der verwendete Consent-Management-Anbieter (CMP) selbst DSGVO-konform ist.
|
NIEDRIG | Art. 28 DSGVO | Pro |
Externe Ressourcen
Worum geht es?
Jede externe Ressource stellt eine Verbindung zu einem Drittanbieter-Server her. Dabei wird mindestens die IP-Adresse übermittelt.
Rechtliche Grundlage
Seit dem LG-Muenchen-Urteil zu Google Fonts (2022) ist klar: Externe Einbindung ohne Einwilligung kann abgemahnt werden.
Praxis-Tipp
Hosten Sie Fonts und statische Ressourcen lokal. Binden Sie Google Maps, YouTube und Social-Media-Plugins erst nach Einwilligung ein (2-Klick-Lösung).
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| EXT-001 |
Google Fonts extern
Prüft, ob Google Fonts über Google-Server eingebunden werden. Seit dem Urteil des LG München I (2022) ist die externe Einbindung ohne Einwilligung abmahnfähig.
|
HOCH | DSGVO / LG München I | Free |
| EXT-003 |
Tracking-Dienste erkannt
Prüft, ob bekannte Tracking-Dienste (Google Analytics, Facebook Pixel etc.) eingebunden sind und ob diese korrekt über den Consent-Mechanismus gesteuert werden.
|
KRITISCH | § 25 TDDDG | Free |
| EXT-002 |
Weitere externe Ressourcen
Prüft, ob weitere externe Ressourcen (CDNs, externe Skripte, iFrames) eingebunden sind, die IP-Adressen an Dritte übertragen und in der Datenschutzerklärung dokumentiert sein müssen.
|
MITTEL | Art. 13 DSGVO | Pro |
| EXT-005 |
Google reCAPTCHA ohne Consent
Prüft, ob Google reCAPTCHA eingebunden ist. reCAPTCHA überträgt umfangreiche Nutzerdaten an Google und erfordert eine Einwilligung oder Datenschutzhinweis.
|
HOCH | DSGVO Art. 6, § 25 TDDDG | Pro |
| EXT-006 |
Google Maps ohne Consent
Prüft, ob Google Maps direkt ohne 2-Klick-Lösung oder Consent-Abfrage eingebunden ist. Dabei werden IP-Adressen und Nutzerdaten an Google übermittelt.
|
HOCH | DSGVO Art. 6, § 25 TDDDG | Pro |
| EXT-007 |
Social-Media-Plugins ohne Consent
Prüft, ob Social-Media-Plugins (Like-Buttons, Share-Widgets) direkt geladen werden. Diese übermitteln bereits beim Seitenaufruf Daten an die Plattformbetreiber.
|
MITTEL | DSGVO Art. 6, EuGH C-40/17 | Pro |
Barrierefreiheit
Worum geht es?
Barrierefreiheit bedeutet, dass Websites auch für Menschen mit Behinderungen nutzbar sein müssen. Seit dem BFSG (28.06.2025) gesetzliche Pflicht.
Rechtliche Grundlage
Das BFSG setzt die EU-RL 2019/882 um. Standard ist EN 301 549 / WCAG 2.1 Level AA. Betroffen sind u.a. Online-Shops und Bankdienstleister.
Praxis-Tipp
Beginnen Sie mit: Sprachdeklaration, Alt-Texte, Farbkontraste (4.5:1), Tastaturnavigation, korrekte Überschriftenhierarchie, ARIA-Attribute.
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| BF-001 |
Sprachdeklaration (lang)
Prüft, ob das HTML-Dokument ein lang-Attribut besitzt. Screenreader benötigen die Sprachdeklaration, um den Inhalt korrekt vorzulesen.
|
MITTEL | WCAG 3.1.1 | Free |
| BF-002 |
Bild-Alt-Texte
Prüft, ob alle Bilder alternative Textbeschreibungen (alt-Attribute) besitzen. Fehlende Alt-Texte machen Bildinhalte für sehbehinderte Nutzer unzugänglich.
|
MITTEL | WCAG 1.1.1 | Free |
| BF-003 |
Überschriften-Struktur
Prüft, ob die Überschriften-Hierarchie (h1-h6) logisch aufgebaut ist und keine Ebenen übersprungen werden. Eine korrekte Struktur erleichtert die Navigation mit Screenreadern.
|
MITTEL | WCAG 1.3.1 | Free |
| BF-006 |
Barrierefreiheitserklärung
Prüft, ob eine Erklärung zur Barrierefreiheit vorhanden ist. Ab dem 28. Juni 2025 ist diese für viele Unternehmen durch das BFSG verpflichtend.
|
HOCH | § 4 BFSG | Free |
| BF-005 |
Keyboard-Fokus sichtbar
Prüft, ob interaktive Elemente bei Tastaturnavigation einen sichtbaren Fokus-Indikator haben. Ohne sichtbaren Fokus können Tastaturnutzer die aktuelle Position nicht erkennen.
|
HOCH | WCAG 2.4.7 | Pro |
| BF-007 |
Formular-Labels
Prüft, ob alle Formularfelder mit zugehörigen Labels versehen sind. Ohne Labels können Screenreader-Nutzer die Funktion der Eingabefelder nicht erkennen.
|
MITTEL | WCAG 1.3.1 | Pro |
| BF-004 |
Zoom-Unterstützung
Prüft, ob die Website bei bis zu 200 % Zoom noch nutzbar ist und der Viewport-Meta-Tag das Zoomen nicht deaktiviert.
|
MITTEL | WCAG 1.4.4 | Pro |
| BF-009 |
Farbkontrast
Prüft, ob Text-Elemente ein ausreichendes Kontrastverhältnis zum Hintergrund aufweisen (mindestens 4,5:1 für normalen Text). Zu geringe Kontraste beeinträchtigen die Lesbarkeit.
|
HOCH | WCAG 1.4.3 | Pro |
| BF-010 |
ARIA Landmarks
Prüft, ob die Seite ARIA-Landmark-Rollen (banner, navigation, main, contentinfo) oder semantische HTML5-Elemente verwendet, um Seitenbereiche zu kennzeichnen.
|
MITTEL | WCAG 1.3.1 | Pro |
| BF-011 |
Link-Texte
Prüft, ob Links aussagekräftige Texte haben. Generische Linktexte wie "hier" oder "mehr" sind für Screenreader-Nutzer nicht verständlich.
|
MITTEL | WCAG 2.4.4 | Pro |
| BF-012 |
Skip-Navigation
Prüft, ob ein Skip-Link vorhanden ist, der es Tastaturnutzern ermöglicht, die Navigation zu überspringen und direkt zum Hauptinhalt zu gelangen.
|
MITTEL | WCAG 2.4.1 | Pro |
| BF-013 |
Relative Schriftgrößen
Prüft, ob Schriftgrößen in relativen Einheiten (em, rem, %) statt in festen Pixelwerten angegeben sind, damit Nutzer die Textgröße anpassen können.
|
NIEDRIG | WCAG 1.4.4 | Pro |
| BF-014 |
Autoplay-Medien
Prüft, ob Audio- oder Video-Elemente automatisch abgespielt werden. Automatisch startende Medien können Screenreader-Nutzer stören und desorientieren.
|
MITTEL | WCAG 1.4.2 | Pro |
| BF-015 |
Reduced Motion
Prüft, ob die Website die prefers-reduced-motion Medienabfrage unterstützt, um Animationen für empfindliche Nutzer zu reduzieren.
|
NIEDRIG | WCAG 2.3.3 | Pro |
| BF-016 |
Tabindex-Reihenfolge
Prüft, ob positive Tabindex-Werte verwendet werden, die die natürliche Tab-Reihenfolge verändern. Positive Tabindex-Werte führen häufig zu einer verwirrenden Navigationsreihenfolge.
|
MITTEL | WCAG 2.4.3 | Pro |
| BF-017 |
Leere interaktive Elemente
Prüft, ob Buttons und Links einen zugänglichen Namen haben. Leere interaktive Elemente ohne Text oder ARIA-Label sind für Screenreader-Nutzer nicht bedienbar.
|
HOCH | WCAG 4.1.2 | Pro |
| BF-018 |
Tabellenstruktur
Prüft, ob Datentabellen korrekte Kopfzeilen (th) und ggf. caption-Elemente verwenden. Ohne Strukturierung können Screenreader Tabelleninhalte nicht sinnvoll vorlesen.
|
MITTEL | WCAG 1.3.1 | Pro |
| BF-019 |
Fremdsprache-Kennzeichnung
Prüft, ob fremdsprachige Textpassagen mit dem lang-Attribut gekennzeichnet sind, damit Screenreader die korrekte Sprachausgabe verwenden.
|
NIEDRIG | WCAG 3.1.2 | Pro |
| BF-020 |
Barrierefreiheitserklärung Inhalt
Prüft, ob die Barrierefreiheitserklärung die erforderlichen Inhalte enthält: Konformitätsstatus, bekannte Einschränkungen und Kontaktmöglichkeit für Feedback.
|
MITTEL | § 4 BFSG | Pro |
| BF-008 |
Doppelte IDs
Prüft, ob IDs im HTML-Dokument eindeutig sind. Doppelte IDs verursachen Probleme bei Screenreadern und der Label-Zuordnung von Formularen.
|
NIEDRIG | WCAG 4.1.1 | Pro |
| BF-021 |
Dekorative Bilder mit leerem Alt-Text
Prüft, ob rein dekorative Grafiken korrekt mit alt="" (leer) markiert sind.
|
MITTEL | WCAG 2.1 / 1.1.1 (A) | Pro |
| BF-022 |
Keine Tastaturfalle (Prüfhinweis)
Hinweis: Nutzer dürfen sich nicht in Modalen oder Overlays per Tastatur "verfangen". Manuelle Prüfung empfohlen.
|
INFO | WCAG 2.1 / 2.1.2 (A) | Pro |
| BF-023 |
Keine anfallauslösenden Inhalte
Prüft, ob blinkende oder schnell wechselnde Elemente (>3x pro Sekunde) vorhanden sind.
|
HOCH | WCAG 2.1 / 2.3.1 (A) | Pro |
| BF-024 |
Drag-and-Drop Alternativen (Prüfhinweis)
Hinweis: Wenn Drag-and-Drop-Funktionen verwendet werden, müssen Alternativen ohne Zeigegerät bereitstehen.
|
INFO | WCAG 2.2 / 2.5.7 (AA) | Pro |
| BF-CTA |
Vollständiger BFSG-Audit verfügbar
Hinweis auf das BFSG-Modul mit 39 WCAG-Tiefenprüfungen nach POUR-Struktur.
|
INFO | BFSG / WCAG 2.1 AA | Pro |
Security Headers
Worum geht es?
Security Headers sind HTTP-Antwort-Header, die den Browser anweisen, bestimmte Sicherheitsrichtlinien durchzusetzen.
Rechtliche Grundlage
Art. 32 DSGVO fordert angemessene technische Maßnahmen. Security Headers gelten als Best Practice und können bei einem Datenschutzvorfall relevant sein.
Praxis-Tipp
Konfigurieren Sie mindestens: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy und Content-Security-Policy (per .htaccess oder Server-Konfiguration).
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| SEC-001 |
HSTS Header
Prüft, ob der Strict-Transport-Security-Header gesetzt ist. HSTS erzwingt die HTTPS-Nutzung und schützt vor Downgrade-Angriffen.
|
MITTEL | RFC 6797 | Pro |
| SEC-002 |
Content-Security-Policy
Prüft, ob ein Content-Security-Policy-Header gesetzt ist. CSP schützt vor Cross-Site-Scripting (XSS) und anderen Code-Injection-Angriffen.
|
MITTEL | Best Practice | Pro |
| SEC-003 |
X-Frame-Options
Prüft, ob der X-Frame-Options-Header gesetzt ist. Dieser schützt vor Clickjacking-Angriffen, bei denen die Website in fremde Seiten eingebettet wird.
|
NIEDRIG | Best Practice | Pro |
| SEC-004 |
X-Content-Type-Options
Prüft, ob der X-Content-Type-Options-Header auf "nosniff" gesetzt ist. Dies verhindert, dass Browser den MIME-Type von Ressourcen erraten (MIME-Sniffing).
|
NIEDRIG | Best Practice | Pro |
| SEC-005 |
Referrer-Policy
Prüft, ob ein Referrer-Policy-Header gesetzt ist. Eine restriktive Referrer-Policy verhindert die ungewollte Weitergabe von Seiten-URLs an Drittanbieter.
|
NIEDRIG | Best Practice | Pro |
| SEC-006 |
Permissions-Policy
Prüft, ob ein Permissions-Policy-Header gesetzt ist. Dieser steuert den Zugriff auf Browser-Funktionen wie Kamera, Mikrofon oder Geolocation.
|
INFO | Best Practice | Pro |
Formulare & Newsletter
Worum geht es?
Kontaktformulare und Newsletter-Anmeldungen verarbeiten personenbezogene Daten und unterliegen besonderen Anforderungen an Einwilligung und Double-Opt-in.
Rechtliche Grundlage
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 7 UWG (unverlangte Werbung). Newsletter nur mit Double-Opt-in zulässig.
Praxis-Tipp
Jedes Formular braucht einen Datenschutzhinweis mit Link. Newsletter per Double-Opt-in. Checkboxen dürfen nicht vorausgewählt sein.
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| FORM-001 |
Newsletter: Datenschutz-Checkbox
Prüft, ob Newsletter-Anmeldeformulare eine Datenschutz-Einwilligungs-Checkbox enthalten. Ohne aktive Einwilligung in die Datenverarbeitung ist die Newsletter-Anmeldung rechtswidrig.
|
HOCH | Art. 6 Abs. 1 lit. a DSGVO | Free |
| FORM-002 |
Newsletter: Checkbox nicht vorausgewählt
Prüft, ob die Datenschutz-Checkbox im Newsletter-Formular nicht vorausgewählt (pre-checked) ist. Eine vorausgewählte Checkbox stellt keine wirksame Einwilligung dar.
|
HOCH | Art. 7 DSGVO / EuGH C-673/17 | Free |
| FORM-003 |
Newsletter: Double-Opt-In Hinweis
Prüft, ob ein Hinweis auf das Double-Opt-In-Verfahren vorhanden ist. Ohne Double-Opt-In kann der Nachweis der Einwilligung problematisch werden.
|
MITTEL | Art. 7 Abs. 1 DSGVO | Free |
| FORM-004 |
Kontaktformular: Datenschutz-Einwilligung
Prüft, ob Kontaktformulare einen Datenschutzhinweis oder eine Einwilligungs-Checkbox enthalten. Nutzer müssen vor Absenden über die Datenverarbeitung informiert werden.
|
HOCH | Art. 13 DSGVO | Pro |
| FORM-005 |
Kopplungsverbot Newsletter
Prüft, ob ein Newsletter-Abo als Bedingung für Downloads, Gutscheine oder digitale Produkte erzwungen wird. Das Kopplungsverbot untersagt es, eine Einwilligung an sachfremde Leistungen zu koppeln.
|
HOCH | Art. 7 Abs. 4 DSGVO | Pro |
| FORM-006 |
Kontaktseite vorhanden
Prüft, ob eine Kontaktseite oder ein Kontaktformular vorhanden und erreichbar ist.
|
MITTEL | DDG § 5 | Pro |
| FORM-007 |
Urheberrecht bei Bildern (Prüfhinweis)
Hinweis: Alle Bilder, Icons und Videos müssen lizenziert oder selbst erstellt sein.
|
INFO | UrhG § 72 / § 97 | Pro |
E-Commerce / Shop
Worum geht es?
Online-Shops unterliegen besonderen Informationspflichten: AGB, Widerrufsbelehrung, Preisangaben, Button-Lösung und mehr.
Rechtliche Grundlage
BGB §§ 312a-312k (Fernabsatzrecht), PAngV (Preisangaben), § 312j BGB (Button-Lösung). 30-Tage-Regel für Streichpreise seit 28.05.2022.
Praxis-Tipp
Prüfen Sie: Bestellbutton-Text, Grundpreise, Streichpreis-Referenz (niedrigster Preis der letzten 30 Tage), AGB und Widerrufsbelehrung im Footer.
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| SHOP-008 |
OS-Plattform Link entfernt
Prüft, ob noch ein Link zur EU-Online-Streitbeilegungsplattform (OS-Plattform) vorhanden ist. Die OS-Plattform wurde am 20.07.2025 abgeschaltet. Ein veralteter Link ist abmahnfähig.
|
HOCH | UWG § 5 | Free |
| SHOP-001 |
Widerrufsbelehrung
Prüft, ob eine Widerrufsbelehrung vorhanden ist. Online-Shops müssen Verbraucher vor Vertragsschluss über ihr Widerrufsrecht informieren.
|
KRITISCH | § 312d BGB | Pro |
| SHOP-001b |
14-Tage Widerrufsfrist
Prüft, ob die gesetzliche 14-tägige Widerrufsfrist korrekt in der Widerrufsbelehrung genannt wird. Eine falsche Fristangabe ist abmahnfähig.
|
HOCH | § 355 BGB | Pro |
| SHOP-002 |
Muster-Widerrufsformular
Prüft, ob ein Muster-Widerrufsformular bereitgestellt wird. Online-Händler sind verpflichtet, Verbrauchern ein Widerrufsformular zur Verfügung zu stellen.
|
HOCH | Art. 246a EGBGB | Pro |
| SHOP-003 |
Preise inkl. MwSt.
Prüft, ob Produktpreise den Hinweis "inkl. MwSt." enthalten. Gegenüber Verbrauchern müssen Preise immer inklusive Mehrwertsteuer angegeben werden.
|
HOCH | PAngV § 1 | Pro |
| SHOP-003b |
Versandkosten-Angabe
Prüft, ob bei Produktpreisen ein Hinweis auf anfallende Versandkosten erfolgt, z. B. durch einen Link zu den Versandkosten-Informationen.
|
HOCH | PAngV § 1 | Pro |
| SHOP-007 |
Lieferzeiten
Prüft, ob Lieferzeiten bei den Produkten angegeben sind. Konkrete Lieferzeitangaben sind im Online-Handel verpflichtend.
|
HOCH | Art. 246a EGBGB | Pro |
| SHOP-009 |
VSBG § 36 Hinweis
Prüft, ob ein Hinweis zur Teilnahmebereitschaft an Verbraucherschlichtungsverfahren vorhanden ist. Unternehmen mit mehr als 10 Mitarbeitern müssen darüber informieren.
|
MITTEL | § 36 VSBG | Pro |
| SHOP-010 |
AGB vorhanden
Prüft, ob Allgemeine Geschäftsbedingungen (AGB) vorhanden und verlinkt sind. Obwohl nicht gesetzlich vorgeschrieben, sind AGB im E-Commerce dringend empfohlen.
|
MITTEL | Best Practice | Pro |
| SHOP-004 |
Grundpreisangabe
Prüft, ob bei Produkten mit Mengen-/Gewichts-/Volumenangaben der Grundpreis (z.B. €/kg, €/L) angegeben ist. Die Grundpreisangabe ist bei vielen Produkten Pflicht.
|
HOCH | PAngV § 2, § 4, § 5 | Pro |
| SHOP-005 |
Streichpreise (30-Tage-Regel)
Prüft, ob bei Streichpreisen der niedrigste Preis der letzten 30 Tage als Referenz angegeben ist. Seit Mai 2022 ist dies durch die PAngV verpflichtend.
|
HOCH | PAngV § 11 | Pro |
| SHOP-006 |
Button-Lösung
Prüft, ob der Bestell-Button korrekt beschriftet ist. Nur Formulierungen wie "zahlungspflichtig bestellen" oder "kaufen" sind zulässig. "Bestellen" oder "Weiter" allein genügen nicht.
|
HOCH | § 312j Abs. 3 BGB | Pro |
| SHOP-011 |
Widerrufsbutton
Vor dem 19.06.2026: Info-Hinweis. Ab dem 19.06.2026: Aktive Prüfung ob ein leicht auffindbarer Widerrufsbutton vorhanden ist.
|
INFO | EU-RL 2023/2673, § 312g BGB | Pro |
| SHOP-012 |
Rechtliche Shop-Seiten im Footer
Prüft, ob AGB und Widerrufsbelehrung im Footer verlinkt sind. Diese müssen vor Vertragsschluss von jeder Seite aus erreichbar sein.
|
MITTEL | Art. 246a § 4 EGBGB | Pro |
| SHOP-013 |
Zahlungsmethoden angegeben
Prüft, ob die akzeptierten Zahlungsarten vor der Bestellung ersichtlich sind.
|
MITTEL | Art. 246a § 1 Nr. 12 EGBGB | Pro |
| SHOP-014 |
Hinweis Mängelhaftung / Gewährleistung
Prüft, ob auf das gesetzliche Gewährleistungsrecht (24 Monate) hingewiesen wird.
|
MITTEL | § 476 BGB / Art. 246a § 1 EGBGB | Pro |
| SHOP-015 |
Rücksendekosten bei Widerruf geregelt
Prüft, ob in der Widerrufsbelehrung klar geregelt ist, wer die Rücksendekosten trägt.
|
MITTEL | Art. 246a § 1 Abs. 2 Nr. 2 EGBGB | Pro |
| SHOP-016 |
Ausnahmen vom Widerrufsrecht
Prüft, ob Ausnahmen vom Widerrufsrecht (z.B. digitale Güter, Hygieneartikel) korrekt angegeben werden.
|
MITTEL | § 312g Abs. 2 BGB | Pro |
| SHOP-017 |
Lieferbeschränkungen kommuniziert
Prüft, ob Lieferbeschränkungen (z.B. nur bestimmte Länder) vor Bestellung sichtbar kommuniziert werden.
|
MITTEL | Art. 246a § 1 Nr. 6 EGBGB | Pro |
| SHOP-018 |
Vertragsschluss-Zeitpunkt transparent
Prüft, ob klar kommuniziert wird, wann der Vertrag zustande kommt (z.B. bei Auftragsbestätigung).
|
NIEDRIG | § 312i Abs. 1 Nr. 2 BGB | Pro |
| SHOP-019 |
Vertragstext speicherbar
Prüft, ob AGB und Widerrufsbelehrung als PDF/Druck zur Verfügung stehen.
|
NIEDRIG | § 312i Abs. 1 Nr. 4 BGB | Pro |
| SHOP-020 |
AGB vor Bestellung zugänglich (Prüfhinweis)
Hinweis: AGB müssen VOR Bestellabschluss klar sichtbar zugänglich sein. Kann nur manuell geprüft werden.
|
INFO | § 305 Abs. 2 BGB | Pro |
| SHOP-021 |
AGB-Zustimmung im Checkout (Prüfhinweis)
Hinweis: Im Checkout muss eine aktive Bestätigung der AGB (Checkbox, nicht vorausgewählt) erfolgen.
|
INFO | § 305 Abs. 2 BGB | Pro |
| SHOP-022 |
Widerrufsbelehrung in Bestätigungsmail (Prüfhinweis)
Hinweis: Die Widerrufsbelehrung muss in der Auftragsbestätigungs-E-Mail enthalten sein.
|
INFO | Art. 246a § 4 EGBGB | Pro |
| SHOP-023 |
Bestellbestätigung per E-Mail (Prüfhinweis)
Hinweis: Nach jeder Bestellung muss automatisch eine Auftragsbestätigung per E-Mail versendet werden.
|
INFO | § 312i Abs. 1 Nr. 3 BGB | Pro |
| SHOP-024 |
Keine unzulässigen AGB-Klauseln (Prüfhinweis)
Hinweis: AGB dürfen keine unzulässigen Klauseln enthalten (z.B. Transportrisiko auf Käufer, pauschaler Haftungsausschluss). Manuelle Prüfung empfohlen.
|
INFO | § 307 BGB | Pro |
Kennzeichnung & Verpackung
Worum geht es?
Bestimmte Branchen haben zusätzliche Kennzeichnungspflichten: Verpackungsgesetz, Textilkennzeichnung und Energielabel.
Rechtliche Grundlage
VerpackG (LUCID-Registrierung), TextilKennzVO (EU 1007/2011), Energielabel-VO (EU 2017/1369).
Praxis-Tipp
Bei Versand an Endverbraucher: LUCID-Registrierung prüfen. Bei Textilien: Faserzusammensetzung angeben. Bei Elektrogeräten: Energielabel anzeigen.
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| VK-001 |
LUCID-Registrierung (Verpackung)
Hinweis: Shops die verpackte Waren an Endverbraucher versenden, müssen im LUCID-Register registriert sein. Dies kann technisch nicht automatisch geprüft werden.
|
INFO | VerpackG § 7, § 9 | Pro |
| VK-002 |
Textilkennzeichnung
Prüft, ob bei Textilprodukten die Faserzusammensetzung angegeben ist. Bei Kleidung, Heimtextilien etc. ist die Materialangabe Pflicht.
|
MITTEL | TextilKennzVO (EU-VO 1007/2011) | Pro |
| VK-003 |
Energielabel
Hinweis: Bei Elektrogeräten (Kühlschränke, Waschmaschinen, TVs etc.) muss das EU-Energielabel in der Nähe des Preises angezeigt werden.
|
INFO | EU-VO 2017/1369 | Pro |
Werbung, Marketing & UWG
Worum geht es?
Das UWG regelt faire Geschäftspraktiken: Werbung muss erkennbar sein, Affiliate-Links gekennzeichnet und Bewertungen transparent.
Rechtliche Grundlage
§§ 3, 5, 5a UWG (Irrefuehrung), Omnibus-RL 2019/2161 (Bewertungstransparenz seit 28.05.2022).
Praxis-Tipp
Kennzeichnen Sie Werbung und Affiliate-Links. Bei Bewertungen: Echtheitsprüfung offenlegen. Trust-Siegel auf Zertifizierungsstelle verlinken.
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| UWG-001 |
Werbung als solche gekennzeichnet
Prüft, ob werbliche Inhalte und gesponserte Beiträge klar als "Anzeige" oder "Werbung" gekennzeichnet sind.
|
HOCH | UWG § 5a Abs. 4 | Pro |
| UWG-002 |
Affiliate-/Influencer-Kennzeichnung
Prüft, ob Affiliate-Links und Werbekooperationen als solche erkennbar gekennzeichnet sind.
|
MITTEL | UWG § 5a | Pro |
| UWG-003 |
Produktbewertungen transparent
Prüft, ob erklärt wird, wie sichergestellt wird, dass Bewertungen von echten Käufern stammen.
|
MITTEL | Omnibus-RL 2019/2161 | Pro |
| UWG-004 |
Trustbadges mit Quellenangabe
Prüft, ob Gütesiegel und Trustbadges auf die Zertifizierungsquelle verlinken.
|
MITTEL | UWG § 5 | Pro |
| UWG-005 |
Newsletter nur mit Einwilligung (Prüfhinweis)
Hinweis: Newsletter dürfen nur nach ausdrücklicher Einwilligung (Double-Opt-In) versendet werden.
|
INFO | UWG § 7 Abs. 2 Nr. 3 | Pro |
| UWG-006 |
Abmeldemöglichkeit im Newsletter (Prüfhinweis)
Hinweis: Jeder Newsletter muss einen deutlichen Abmeldelink enthalten.
|
INFO | UWG § 7 Abs. 2 Nr. 3 | Pro |
| UWG-007 |
Keine Fake-Bewertungen (Prüfhinweis)
Hinweis: Gefälschte oder selektiv kuratierte Kundenbewertungen sind wettbewerbswidrig.
|
INFO | UWG § 5 / Omnibus-RL | Pro |
WordPress & WooCommerce
Worum geht es?
WordPress und WooCommerce: Sichtbare Versionsnummern und veraltete Plugins sind ein Sicherheitsrisiko. Gravatar übertraegt Daten an US-Server.
Rechtliche Grundlage
Art. 32 DSGVO (Sicherheit), Art. 44 ff. DSGVO (Drittlandtransfer bei Gravatar). Veraltete Software mit bekannten Schwachstellen kann ein Sicherheitsrisiko darstellen.
Praxis-Tipp
WordPress-Version aus dem Quellcode entfernen. Plugins regelmäßig aktualisieren. Gravatar deaktivieren oder durch lokale Avatare ersetzen.
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| WP-001 |
WordPress-Version aktuell
Prüft, ob eine veraltete WordPress-Version im Einsatz ist (Sicherheitsrisiko).
|
MITTEL | Art. 32 DSGVO | Pro |
| WP-002 |
Veraltete Plugins erkennbar
Prüft, ob veraltete Plugin-Versionen im Quellcode erkennbar sind.
|
MITTEL | Art. 32 DSGVO | Pro |
| WP-003 |
Gravatar / Kommentarfunktion
Prüft, ob Gravatar aktiviert ist (externe Datenübermittlung) und ob die Kommentarfunktion datenschutzkonform eingebunden ist.
|
MITTEL | Art. 6 DSGVO | Pro |
Kommende Rechtslagen
Worum geht es?
Mehrere EU-Verordnungen treten in Kraft oder werden konkretisiert. Fruehzeitige Vorbereitung vermeidet spätere Hektik.
Rechtliche Grundlage
Data Act (seit 12.09.2025), AI Act (stufenweise ab 2025), ePrivacy-VO (Entwurf), DSA (seit 17.02.2024).
Praxis-Tipp
Beobachten Sie die Entwicklung. Beim AI Act: KI-Systeme prüfen und Risikokategorie einordnen. Beim DSA: Notice-and-Action für nutzergenerierte Inhalte.
| ID | Prüfung | Schwere | Rechtsgrundlage | Plan |
|---|---|---|---|---|
| ZUK-001 |
Data Act (seit 12.09.2025)
Hinweis: Der EU Data Act regelt Datenteilung, betrifft v.a. IoT und datengetriebene Dienste.
|
INFO | EU Data Act 2023/2854 | Pro |
| ZUK-002 |
AI Act / KI-Verordnung
Hinweis: Bei KI-Einsatz bestehen Transparenzpflichten und Kennzeichnungspflichten für KI-generierte Inhalte.
|
INFO | EU AI Act 2024/1689 | Pro |
| ZUK-003 |
ePrivacy-Verordnung (in Vorbereitung)
Hinweis: Die geplante ePrivacy-VO wird das TDDDG ersetzen und strengere Cookie-Regeln bringen.
|
INFO | ePrivacy-VO (Entwurf) | Pro |
| ZUK-004 |
Digital Services Act (DSA)
Hinweis: Der DSA verpflichtet Plattformen zu Transparenz über Algorithmen, Umgang mit illegalen Inhalten und Nutzerrechte.
|
INFO | DSA EU 2022/2065 | Pro |
Alle 138 Prüfungen auf Ihrer Website ausführen
Kostenlos starten – Pro-Prüfungen mit Lizenzschlüssel freischalten.
Jetzt Website prüfen →Wahrnehmbar (Perceivable)
Worum geht es?
Informationen und Bestandteile der Benutzeroberfläche müssen so präsentiert werden, dass sie von allen Nutzern wahrgenommen werden können — unabhängig von Seh-, Hör- oder kognitiven Einschränkungen.
Rechtliche Grundlage
WCAG 2.1 — Prinzip 1 (Richtlinien 1.1 bis 1.4). Seit 28.06.2025 gesetzliche Pflicht nach § 3 BFSG i.V.m. EN 301 549. Verstöße können Unterlassungsklagen und Bußgelder bis 100.000 € nach sich ziehen.
Praxis-Tipp
Beginnen Sie mit Alt-Texten für alle Bilder, prüfen Sie Farbkontraste (mind. 4.5:1) und stellen Sie sicher, dass Ihre Seite bei 200% Zoom noch nutzbar ist. Tools: WebAIM Contrast Checker, axe DevTools.
| ID | Prüfung | Schwere | WCAG-Referenz |
|---|---|---|---|
| P-01 |
Alt-Texte für Bilder
Jedes informative Bild muss einen beschreibenden Alt-Text haben. Dekorative Bilder erhalten alt="" (leer). Screenreader lesen den Alt-Text vor — fehlt er, wird der Dateiname vorgelesen, was für blinde Nutzer unverständlich ist.
|
HOCH | WCAG 1.1.1 (A) |
| P-02 |
Video-Untertitel
Voraufgezeichnete Videos müssen synchrone Untertitel haben. Dies betrifft auch in Webseiten eingebettete YouTube- oder Vimeo-Videos. Automatisch generierte Untertitel gelten nur als Notlösung.
|
HOCH | WCAG 1.2.2 (A) |
| P-03 |
Audiodeskription für Videos
Videos müssen eine Audiodeskription bieten, die visuelle Informationen beschreibt, die nicht aus dem Audiotrack hervorgehen (z.B. eingeblendete Texte, Handlungen ohne Dialog).
|
MITTEL | WCAG 1.2.5 (AA) |
| P-04 |
Semantische Struktur
Informationen, Struktur und Beziehungen müssen programmatisch bestimmbar sein: korrekte Heading-Hierarchie (h1→h6), Listen als <ul>/<ol>, Tabellen mit <th>-Headern. Screenreader navigieren anhand dieser Struktur.
|
HOCH | WCAG 1.3.1 (A) |
| P-05 |
Sinnvolle Reihenfolge
Die Lesereihenfolge im DOM muss der visuellen Reihenfolge entsprechen. CSS-basierte visuelle Umordnung (z.B. flexbox order, grid) kann dazu führen, dass Screenreader Inhalte in falscher Reihenfolge vorlesen.
|
MITTEL | WCAG 1.3.2 (A) |
| P-06 |
Sensorische Merkmale
Anweisungen dürfen nicht ausschließlich auf sensorischen Merkmalen basieren (z.B. "Klicken Sie auf den roten Button", "das Feld rechts"). Stattdessen zusätzlich den Namen oder die Funktion nennen.
|
MITTEL | WCAG 1.3.3 (A) |
| P-07 |
Eingabezweck erkennbar
Eingabefelder für personenbezogene Daten (Name, Adresse, E-Mail) müssen das autocomplete-Attribut korrekt verwenden. Dies ermöglicht Autofill und hilft Menschen mit motorischen oder kognitiven Einschränkungen.
|
MITTEL | WCAG 1.3.5 (AA) |
| P-08 |
Farbe nicht einziges Unterscheidungsmerkmal
Informationen dürfen nicht ausschließlich durch Farbe vermittelt werden. Fehlerfelder nicht nur rot markieren, sondern zusätzlich mit Icon oder Text. Pflichtfelder nicht nur mit Sternchen in roter Farbe.
|
HOCH | WCAG 1.4.1 (A) |
| P-09 |
Farbkontrast (4.5:1)
Text muss ein Kontrastverhältnis von mindestens 4.5:1 zum Hintergrund haben (normaler Text) bzw. 3:1 (großer Text ≥ 18px oder fett ≥ 14px). Geprüft werden alle sichtbaren Textelemente nach CSS-Rendering.
|
HOCH | WCAG 1.4.3 (AA) |
| P-10 |
Textgröße änderbar (200%)
Text muss bis 200% vergrößert werden können, ohne dass Inhalt oder Funktionalität verloren gehen. Feste Pixel-Höhen bei Containern mit overflow:hidden sind eine häufige Ursache für Verstöße.
|
HOCH | WCAG 1.4.4 (AA) |
| P-11 |
Kein Text als Bild
Text soll nicht als Bild dargestellt werden, es sei denn, es handelt sich um Logos oder rein dekorative Elemente. Bildtext lässt sich nicht skalieren, kann nicht von Screenreadern gelesen und nicht per Textsuche gefunden werden.
|
MITTEL | WCAG 1.4.5 (AA) |
| P-12 |
Reflow (kein horizontales Scrollen bei 320px)
Inhalte müssen bei 320px Breite ohne horizontales Scrollen darstellbar sein. Dies entspricht 400% Zoom auf einem 1280px-Monitor. Ausnahmen: Datentabellen, Bilder, Karten, Videos.
|
HOCH | WCAG 1.4.10 (AA) |
| P-13 |
Nicht-Text-Kontrast (3:1)
UI-Komponenten (Buttons, Formularfelder, Icons) und grafische Objekte müssen ein Kontrastverhältnis von mindestens 3:1 zum Hintergrund haben. Betrifft auch Fokus-Indikatoren und Rahmen.
|
MITTEL | WCAG 1.4.11 (AA) |
| P-14 |
Textabstand anpassbar
Nutzer müssen Textabstände (Zeilenabstand, Absatzabstand, Buchstabenabstand, Wortabstand) erhöhen können, ohne dass Inhalte abgeschnitten werden oder die Funktionalität verloren geht.
|
MITTEL | WCAG 1.4.12 (AA) |
Bedienbar (Operable)
Worum geht es?
Alle Funktionen müssen per Tastatur bedienbar sein. Navigation muss vorhersagbar sein, und Nutzer müssen ausreichend Zeit für Interaktionen haben.
Rechtliche Grundlage
WCAG 2.1 — Prinzip 2 (Richtlinien 2.1 bis 2.5). Tastaturzugänglichkeit ist die Grundvoraussetzung für Barrierefreiheit — ohne sie können motorisch eingeschränkte Nutzer die Website nicht bedienen.
Praxis-Tipp
Testen Sie Ihre Website ausschließlich mit der Tastatur (Tab, Enter, Escape, Pfeiltasten). Wenn Sie irgendwo nicht weiterkommen oder den Fokus nicht sehen können, haben andere Nutzer dasselbe Problem.
| ID | Prüfung | Schwere | WCAG-Referenz |
|---|---|---|---|
| O-01 |
Tastaturzugang
Alle Funktionen müssen über die Tastatur erreichbar und bedienbar sein. Dazu gehören: Navigation, Links, Buttons, Formulare, Dropdowns, Modals, Slider und alle interaktiven Elemente.
|
KRITISCH | WCAG 2.1.1 (A) |
| O-02 |
Keine Tastaturfalle
Der Fokus darf nie in einem Element gefangen sein, aus dem man per Tastatur nicht mehr herauskommt. Häufige Fallen: Modals ohne Escape-Handling, eingebettete Widgets, iframes ohne Tab-Austritt.
|
KRITISCH | WCAG 2.1.2 (A) |
| O-03 |
Skip-Link vorhanden
Am Seitenanfang muss ein Mechanismus vorhanden sein, um wiederkehrende Inhaltsblöcke (Navigation, Header) zu überspringen. Typisch: "Zum Inhalt springen" als erstes fokussierbares Element.
|
HOCH | WCAG 2.4.1 (A) |
| O-04 |
Seitentitel vorhanden
Jede Seite muss einen aussagekräftigen <title> haben, der Zweck und Kontext beschreibt. Screenreader lesen den Titel als erstes vor. Fehlt er, können Nutzer mit vielen Tabs nicht orientieren.
|
HOCH | WCAG 2.4.2 (A) |
| O-05 |
Fokus-Reihenfolge logisch
Die Tab-Reihenfolge muss der logischen Lesereihenfolge entsprechen. Positive tabindex-Werte (>0) ändern die natürliche Reihenfolge und führen fast immer zu Problemen. Verwenden Sie ausschließlich tabindex="0" oder tabindex="-1".
|
HOCH | WCAG 2.4.3 (A) |
| O-06 |
Link-Zweck erkennbar
Der Zweck jedes Links muss aus dem Linktext oder dem Kontext erkennbar sein. "Hier klicken", "Mehr erfahren", "Weiterlesen" ohne Kontext sind nicht ausreichend.
|
MITTEL | WCAG 2.4.4 (A) |
| O-07 |
Überschriftenhierarchie
Überschriften müssen Inhalt und Abschnitte beschreiben. Die Hierarchie darf keine Ebenen überspringen (z.B. h1 direkt gefolgt von h3). Es sollte genau eine h1 pro Seite geben.
|
HOCH | WCAG 2.4.6 (AA) |
| O-08 |
Fokus sichtbar
Der Tastaturfokus muss visuell erkennbar sein. Browser-Defaults (blaue Outline) dürfen nicht per CSS entfernt werden (outline:none), ohne einen gleichwertigen Ersatz zu bieten. Mindestkontrast 3:1.
|
HOCH | WCAG 2.4.7 (AA) |
| O-09 |
Zeiger-Gesten Alternativen
Funktionalität, die mit Mehrpunkt- oder pfadbasierten Gesten bedienbar ist (z.B. Pinch-to-Zoom, Wischgesten), muss auch mit einfachen Zeigergesten (Klick, Doppelklick, Halten) bedienbar sein.
|
MITTEL | WCAG 2.5.1 (A) |
| O-10 |
Touch-Target Mindestgröße
Klick- und Touchflächen sollten mindestens 44×44 CSS-Pixel groß sein. Kleine Targets sind für motorisch eingeschränkte Nutzer und auf mobilen Geräten schwer zu treffen.
|
MITTEL | WCAG 2.5.5 (AAA) |
Verständlich (Understandable)
Worum geht es?
Inhalte und Bedienung müssen verständlich sein. Die Sprache der Seite muss deklariert sein, Navigation muss konsistent und vorhersagbar sein, und Fehler müssen klar kommuniziert werden.
Rechtliche Grundlage
WCAG 2.1 — Prinzip 3 (Richtlinien 3.1 bis 3.3). Besonders relevant für E-Commerce: Fehlervermeidung bei Rechtsgeschäften ist nach WCAG 3.3.4 (AA) Pflicht.
Praxis-Tipp
Setzen Sie lang="de" auf dem HTML-Element. Zeigen Sie Fehler in Formularen direkt am betroffenen Feld an, nicht nur als allgemeine Meldung. Bieten Sie bei Bestellungen eine Überprüfungsseite vor dem endgültigen Absenden.
| ID | Prüfung | Schwere | WCAG-Referenz |
|---|---|---|---|
| U-01 |
Sprache der Seite deklariert
Das lang-Attribut auf dem <html>-Element (z.B. lang="de") ist Grundvoraussetzung für korrekte Screenreader-Aussprache, Silbentrennung und Sprachsynthese. Fehlt es, rät der Screenreader die Sprache.
|
HOCH | WCAG 3.1.1 (A) |
| U-02 |
Sprache von Textpassagen
Fremdsprachige Passagen innerhalb einer deutschsprachigen Seite müssen mit dem lang-Attribut markiert werden (z.B. <span lang="en">Terms of Service</span>), damit Screenreader die Aussprache wechseln.
|
MITTEL | WCAG 3.1.2 (AA) |
| U-03 |
Konsistente Navigation
Navigationsblöcke, die auf mehreren Seiten wiederholt werden, müssen in der gleichen Reihenfolge erscheinen. Geänderte Reihenfolge irritiert Nutzer, die sich auf gelernte Muster verlassen.
|
MITTEL | WCAG 3.2.3 (AA) |
| U-04 |
Konsistente Benennung
Elemente mit gleicher Funktion müssen konsistent benannt werden. Wenn "Suche" auf einer Seite "Suchen" und auf einer anderen "Finden" heißt, ist das verwirrend.
|
MITTEL | WCAG 3.2.4 (AA) |
| U-05 |
Fehlererkennung
Wird ein Eingabefehler erkannt, muss der Fehler in Textform beschrieben und dem Nutzer präsentiert werden. Rote Rahmen allein reichen nicht — Screenreader-Nutzer brauchen eine textuelle Beschreibung.
|
HOCH | WCAG 3.3.1 (A) |
| U-06 |
Labels und Anweisungen
Jedes Eingabefeld muss ein sichtbares Label haben, das den erwarteten Inhalt beschreibt. Placeholder-Text allein ist kein Ersatz für Labels, da er beim Tippen verschwindet.
|
HOCH | WCAG 3.3.2 (A) |
| U-07 |
Fehlervorschläge
Wenn möglich, sollen bei erkannten Fehlern konkrete Korrekturvorschläge gemacht werden. Beispiel: "Bitte geben Sie eine gültige E-Mail-Adresse ein (z.B. name@beispiel.de)".
|
MITTEL | WCAG 3.3.3 (AA) |
| U-08 |
Fehlervermeidung (Rechtsgeschäfte)
Bei Seiten, die rechtliche Verpflichtungen auslösen (Bestellungen, Verträge), muss mindestens eine Prüfmöglichkeit vor dem Absenden, eine Korrekturmöglichkeit oder eine Widerrufsmöglichkeit bestehen.
|
HOCH | WCAG 3.3.4 (AA) |
Robust
Worum geht es?
Inhalte müssen robust genug sein, um von verschiedenen Benutzeragenten (Browser, Screenreader, Braillezeile) zuverlässig interpretiert zu werden. Dazu gehören valides HTML und korrekte ARIA-Attribute.
Rechtliche Grundlage
WCAG 2.1 — Prinzip 4 (Richtlinie 4.1). Fehlerhafte ARIA-Attribute können die Zugänglichkeit verschlechtern, statt sie zu verbessern — sie überschreiben die native HTML-Semantik.
Praxis-Tipp
Nutzen Sie native HTML-Elemente (<button>, <input>, <select>) bevor Sie ARIA einsetzen. Validieren Sie Ihr HTML mit dem W3C Validator. Testen Sie mit einem Screenreader (NVDA ist kostenlos).
| ID | Prüfung | Schwere | WCAG-Referenz |
|---|---|---|---|
| R-01 |
Valides HTML (Parsing)
HTML muss syntaktisch korrekt sein: eindeutige IDs, korrekt geschachtelte Elemente, vollständige Start- und End-Tags. Fehler können dazu führen, dass Screenreader Inhalte nicht korrekt interpretieren.
|
MITTEL | WCAG 4.1.1 (A) |
| R-02 |
Name, Rolle, Wert (ARIA)
Benutzerdefinierte UI-Elemente müssen Name, Rolle und Wert programmatisch bereitstellen. Ein <div> als Button braucht role="button", aria-label und Tastatur-Handling. Besser: natives <button> verwenden.
|
HOCH | WCAG 4.1.2 (A) |
| R-03 |
Statusmeldungen programmatisch
Statusmeldungen (Erfolg, Fehler, Ladezustand) müssen per aria-live oder role="status"/"alert" für Screenreader zugänglich sein, ohne dass der Fokus verschoben wird.
|
MITTEL | WCAG 4.1.3 (AA) |
BFSG-spezifisch
Worum geht es?
Zusätzlich zu den WCAG-Anforderungen stellt das BFSG eigene organisatorische Pflichten: eine Barrierefreiheitserklärung, einen Rückmeldungsmechanismus und die Einhaltung der Umsetzungsfrist.
Rechtliche Grundlage
BFSG § 3, § 4 i.V.m. EN 301 549. Das BFSG gilt seit 28.06.2025 für B2C-Dienstleistungen im elektronischen Geschäftsverkehr. Aufsichtsbehörde ist die Marktüberwachung der Bundesländer.
Praxis-Tipp
Erstellen Sie eine Barrierefreiheitserklärung nach dem Muster der öffentlichen Hand (BIT inklusiv). Richten Sie einen Feedback-Mechanismus ein (E-Mail oder Formular), der von der Barrierefreiheitsseite verlinkt wird.
| ID | Prüfung | Schwere | WCAG-Referenz |
|---|---|---|---|
| B-01 |
Barrierefreiheitserklärung vorhanden
Eine Erklärung zur Barrierefreiheit muss öffentlich zugänglich sein. Sie muss den aktuellen Stand der Konformität beschreiben, bekannte Einschränkungen benennen und Kontaktmöglichkeiten für Barrierefreiheitsprobleme enthalten.
|
KRITISCH | § 4 BFSG |
| B-02 |
Feedback-Mechanismus
Nutzer müssen eine einfache Möglichkeit haben, Barrierefreiheitsprobleme zu melden. Dies kann ein Kontaktformular, eine E-Mail-Adresse oder ein spezieller Feedback-Button sein, der von der Barrierefreiheitserklärung verlinkt wird.
|
HOCH | § 4 BFSG |
| B-03 |
Kontaktmöglichkeit für BF-Probleme
Die Kontaktmöglichkeit muss barrierefrei nutzbar sein und in angemessener Zeit bearbeitet werden. Eine rein visuelle CAPTCHA-geschützte Kontaktseite ist selbst eine Barriere.
|
HOCH | § 4 BFSG |
| B-04 |
BFSG-Frist eingehalten (28.06.2025)
Seit dem 28.06.2025 müssen betroffene Produkte und Dienstleistungen die Anforderungen erfüllen. Ausnahmen gelten nur für Kleinstunternehmen (<10 Mitarbeiter und <2 Mio. € Umsatz) bei Dienstleistungen.
|
KRITISCH | § 4 BFSG |
39 BFSG/WCAG-Prüfungen auf Ihrer Website ausführen
Ab 29 € – oder im Bundle mit Pro-Check für 69 €.
BFSG-Check starten →Cookie-Consent Analyse
Worum geht es?
Der Deep Audit klickt den Cookie-Banner automatisch mit Playwright und misst Netzwerk-Requests sowie gesetzte Cookies vorher, nachher und nach Ablehnung. So werden nicht nur theoretische Einstellungen, sondern das tatsächliche Verhalten der Website dokumentiert.
Rechtliche Grundlage
§ 25 TDDDG (Einwilligungspflicht für nicht-notwendige Cookies), Art. 6, 7 DSGVO (Rechtsgrundlage + Einwilligung), EuGH C-673/17 "Planet49" (Opt-in-Pflicht, keine vorangekreuzten Checkboxen), EDPB Guidelines 05/2020 (Dark Patterns).
Praxis-Tipp
Testen Sie Ihren Cookie-Banner nicht nur visuell, sondern technisch: Öffnen Sie DevTools → Network → laden Sie die Seite, BEVOR Sie den Banner bedienen. Jeder Tracking-Request in dieser Phase ist ein Verstoß.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-COO-001 |
Tracking vor Consent
Prüft alle Netzwerk-Requests vor jeglicher Banner-Interaktion auf bekannte Tracking-Domains (Google Analytics, Meta Pixel, Hotjar u.a.). Requests zu Tracking-Diensten ohne vorherige Einwilligung sind ein klarer Verstoß gegen § 25 TDDDG.
|
KRITISCH | § 25 TDDDG |
| DEEP-COO-002 |
Tracking nach Ablehnung
Klickt automatisch den Ablehnen-Button und beobachtet anschließend, welche Netzwerk-Requests ausgelöst werden. Tracking-Requests nach einer Ablehnung zeigen, dass die CMP-Implementierung technisch fehlerhaft ist.
|
KRITISCH | § 25 TDDDG |
| DEEP-COO-003 |
Tracking-Cookies vor Consent
Prüft gezielt gesetzte Cookies (nicht Requests) vor Banner-Interaktion. Serverseitig gesetzte Tracking-Cookies (Set-Cookie-Header) werden von clientseitigem Consent-Management oft nicht erfasst.
|
HOCH | § 25 TDDDG |
| DEEP-COO-004 |
Tracking-Cookies nach Ablehnung
Prüft, ob nach dem Klick auf Ablehnen noch Tracking-Cookies vorhanden sind. Ein korrektes CMP-System löscht bei Ablehnung bestehende Tracking-Cookies und setzt keine neuen.
|
HOCH | § 25 TDDDG |
| DEEP-COO-005 |
Cookie-Inventar (Beweisdokument)
Erstellt eine vollständige Liste aller Cookies in drei Zuständen: vor Interaktion, nach Ablehnung und nach Zustimmung. Dieses Inventar ist die Grundlage für Ihre Datenschutzerklärung.
|
INFO | Art. 13 DSGVO |
| DEEP-COO-006 |
localStorage/sessionStorage Tracking
§ 25 TDDDG erfasst jede Form des Speicherns auf dem Endgerät — nicht nur Cookies. Prüft localStorage und sessionStorage auf Tracking-Einträge (User-IDs, Session-Hashes) vor Consent.
|
HOCH | § 25 TDDDG |
| DEEP-COO-007 |
Dark Pattern: Button-Größenverhältnis
Misst die tatsächlichen Pixel-Dimensionen von Akzeptieren- und Ablehnen-Button. Ein deutlich größerer Akzeptieren-Button ist ein nach EuGH und EDPB unzulässiges Dark Pattern.
|
HOCH | EuGH C-673/17 |
| DEEP-COO-008 |
Dark Pattern: Button-Schriftgröße
Prüft, ob die Schriftgröße des Akzeptieren-Buttons größer ist als die des Ablehnen-Buttons. Auch typografische Hervorhebung der Zustimmungsoption ist ein subtiles Dark Pattern.
|
MITTEL | EDPB Guidelines |
| DEEP-COO-009 |
Kein direkter Ablehnen-Button
Prüft, ob ein Ablehnen-Button auf der ersten Ebene des Banners sichtbar ist. Wenn zum Ablehnen erst auf "Einstellungen" geklickt werden muss, erhöht das den Aufwand für die Ablehnung bewusst.
|
HOCH | EuGH C-673/17 / CNIL |
| DEEP-COO-010 |
Vorangekreuzte Consent-Checkboxen
Prüft, ob Checkboxen im Consent-Dialog bereits vorangekreuzt sind. Seit Planet49 ist klar: Vorangekreuzte Checkboxen sind keine wirksame Einwilligung.
|
HOCH | Art. 7 DSGVO |
| DEEP-COO-011 |
Widerrufsmechanismus vorhanden
Art. 7 Abs. 3 DSGVO: Eine erteilte Einwilligung muss jederzeit widerrufbar sein. Der Widerruf muss so einfach sein wie die Erteilung — typisch: Cookie-Einstellungen-Icon auf der Seite.
|
HOCH | Art. 7 Abs. 3 DSGVO |
| DEEP-COO-012 |
Drittanbieter-Domains vor Consent
Jeder Netzwerk-Request an einen Drittanbieter übermittelt die IP-Adresse. Erfasst alle Domains, die per HTTP-Request kontaktiert werden, bevor der Nutzer eingewilligt hat — auch reine Pixel und Beacons.
|
HOCH | Art. 13 DSGVO / § 25 TDDDG |
| DEEP-COO-013 |
Service Worker Tracking ohne Consent
Prüft ob ein Service Worker registriert ist, der Push-Notifications oder Background-Sync durchführt, bevor eine Einwilligung erteilt wurde. Service Worker laufen im Hintergrund und können Tracking persistent machen.
|
HOCH | § 25 TDDDG |
| DEEP-COO-014 |
Cookie-Banner Erkennung
Prüft ob ein Cookie-Banner vorhanden ist und ob Tracking-Cookies existieren. Fehlt der Banner bei vorhandenen Tracking-Cookies, ist das ein schwerer Verstoß.
|
KRITISCH | § 25 TDDDG |
| DEEP-COO-015 |
Dark Pattern: Button-Farbkontrast
Vergleicht die Farbgest altung von Akzeptieren- und Ablehnen-Button. Ein farbiger, auffälliger Akzeptieren-Button neben einem blassen Ablehnen-Link ist ein verbreitetes Dark Pattern.
|
MITTEL | EDPB Guidelines |
| DEEP-COOKIE-WALL |
Cookie-Wall (Zugang nur mit Consent)
Prüft ob der Zugang zur Website blockiert wird, wenn keine Einwilligung erteilt wird. Cookie-Walls sind nach EDPB Guidelines 05/2020 grundsätzlich unzulässig, da die Einwilligung nicht freiwillig ist.
|
KRITISCH | Art. 7 DSGVO / EDPB 05/2020 |
Barrierefreiheit (axe-core)
Worum geht es?
Der Deep Audit injiziert die axe-core Engine direkt in den gerenderten Browser-Kontext. Anders als rein HTML-basierte Prüfungen berücksichtigt axe-core den tatsächlichen DOM nach JavaScript-Ausführung, berechnete CSS-Styles und dynamisch hinzugefügte Inhalte. Über 200 WCAG 2.1 Level A und AA Regeln werden geprüft.
Rechtliche Grundlage
WCAG 2.1 Level AA ist der Referenzstandard für § 3 BFSG i.V.m. EN 301 549. axe-core wird auch von Google, Microsoft und staatlichen Prüfstellen eingesetzt.
Praxis-Tipp
Die häufigsten axe-core Violations und ihre Lösungen: color-contrast (Kontrast erhöhen auf 4.5:1), image-alt (Alt-Texte hinzufügen), label (Input-Labels verknüpfen), button-name (aria-label für Icon-Buttons), html-has-lang (lang="de" setzen).
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| AXE-* |
WCAG 2.1 AA Violations (dynamisch)
axe-core prüft über 200 Regeln und meldet jede Violation mit dem betroffenen HTML-Element, CSS-Selektor, der verletzten WCAG-Regel und einem Hilfstext. Die Schweregrade: critical (verhindert Nutzung), serious (erhebliche Beeinträchtigung), moderate (Workaround möglich), minor (kosmetisch).
|
variiert | WCAG 2.1 AA / BFSG |
| AXE-SUMMARY |
axe-core Zusammenfassung
Überblick über Gesamtzahl der Prüfungen, Violations, unvollständige Prüfungen (benötigen manuelle Überprüfung) und bestandene Regeln. "Incomplete"-Items sollten manuell geprüft werden — sie enthalten häufig echte Probleme.
|
INFO | WCAG 2.1 AA |
Visuelle Prüfungen
Worum geht es?
Automatisierte Prüfung visueller Barrierefreiheitsanforderungen: Der Browser rendert die Seite in verschiedenen Viewports und Zoom-Stufen. Farbkontraste werden aus den tatsächlich berechneten CSS-Werten gemessen, nicht aus dem Quellcode.
Rechtliche Grundlage
WCAG 1.4.3 (Kontrast), 1.4.4 (Zoom), 1.4.10 (Reflow), 2.4.7 (Fokus-Indikator), 2.5.5 (Target-Größe). Seit BFSG gesetzliche Pflicht.
Praxis-Tipp
Testen Sie Ihre Website bei 320px Breite (Chrome DevTools → Device Toolbar) und bei 200% Browser-Zoom. Prüfen Sie Kontraste mit dem WebAIM Contrast Checker.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-VIS-001 |
Horizontales Scrollen bei 320px
Rendert die Seite in einem 320px-Viewport und misst den tatsächlichen Scroll-Überlauf. Horizontaler Scroll über 0px gilt als Verstoß, Ausnahmen gelten nur für Datentabellen, Bilder, Karten und Videos.
|
HOCH | WCAG 1.4.10 (AA) / BFSG |
| DEEP-VIS-002 |
200% Zoom Funktionalität
Setzt den Browser-Zoom auf 200% und prüft, ob Inhalte überlaufen oder beschnitten werden. Besonders kritisch: Overlays, Modal-Dialoge und fixed-position Elemente, die bei starkem Zoom Inhalte verdecken.
|
HOCH | WCAG 1.4.4 (AA) / BFSG |
| DEEP-VIS-004 |
Farbkontrast (WCAG AA/AAA)
Liest die tatsächlich berechneten CSS-Farbwerte (computed styles) und berechnet das Kontrastverhältnis. Prüft gegen WCAG AA (4.5:1 für normalen Text) und AAA (7:1 für erhöhten Kontrast).
|
HOCH | WCAG 1.4.3 (AA) / BFSG |
| DEEP-KB-002 |
Fokus-Indikator sichtbar
Navigiert per Tastatur durch die Seite und prüft, ob der Fokus-Indikator (Outline-Ring) bei jedem fokussierbaren Element sichtbar ist. outline:none ohne Ersatz ist ein häufiger Verstoß.
|
HOCH | WCAG 2.4.7 (AA) / BFSG |
| DEEP-KB-008 |
Touch-Target-Größe (44×44px)
Misst die tatsächlichen Abmessungen interaktiver Elemente. Klick-/Touchflächen unter 44×44 CSS-Pixel sind für motorisch eingeschränkte Nutzer und auf mobilen Geräten schwer zu treffen.
|
HOCH | WCAG 2.5.5 (AAA) |
Tastaturnavigation
Worum geht es?
Vollautomatische Tastatur-Tests: Der Deep Audit simuliert Tab-Navigation, prüft Fokus-Fallen, misst Fokus-Sichtbarkeit und validiert die Heading-Struktur sowie ARIA-Attribute. Dies ist die Grundvoraussetzung für Barrierefreiheit.
Rechtliche Grundlage
WCAG 2.1.1 (Tastaturzugang), 2.1.2 (Keine Tastaturfalle), 2.4.1-2.4.7 (Navigation), 4.1.2 (ARIA). Keyboard-Trap ist ein WCAG Level A Verstoß — der schwerwiegendste.
Praxis-Tipp
Der einfachste Barrierefreiheits-Test: Legen Sie die Maus beiseite und navigieren Sie Ihre Website nur mit Tab, Enter, Escape und Pfeiltasten. Wenn Sie irgendwo feststecken, haben alle Tastatur-Nutzer dasselbe Problem.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-KB-001 |
Skip-Link zum Hauptinhalt
Prüft ob ein verstecktes, aber fokussierbares Element am Seitenanfang existiert, das bei Tab-Drück sichtbar wird und zum Hauptinhalt springt. Ohne Skip-Link müssen Tastatur-Nutzer bei jedem Seitenaufruf durch die gesamte Navigation tabben.
|
MITTEL | WCAG 2.4.1 (A) / BFSG |
| DEEP-KB-003 |
Positive tabindex-Werte
Positive tabindex-Werte (>0) ändern die natürliche Fokus-Reihenfolge und führen fast immer zu Verwirrung. Der Deep Audit zählt alle Elemente mit positivem tabindex und bewertet den höchsten Wert.
|
HOCH | WCAG 2.4.3 (A) / BFSG |
| DEEP-KB-004 |
Keyboard-Traps erkannt
Simuliert Tastatur-Navigation und prüft, ob der Fokus jemals in einem Element gefangen ist. Eine Tastaturfalle verhindert, dass Nutzer weiternavigieren können — das ist einer der schwerwiegendsten Barrierefreiheitsverstöße.
|
KRITISCH | WCAG 2.1.2 (A) / BFSG |
| DEEP-KB-005 |
Interaktive Elemente per Tastatur bedienbar
Prüft ob alle interaktiven Elemente (Buttons, Links, Dropdowns, Tabs) per Tastatur erreichbar und bedienbar sind. <div onclick> ohne tabindex und keydown-Handler ist nicht tastatur-zugänglich.
|
HOCH | WCAG 2.1.1 (A) / BFSG |
| DEEP-KB-006 |
Dialog/Modal Escape-Handling
Modale Dialoge und Overlays müssen durch Drücken der Escape-Taste schließbar sein. Ohne diese Möglichkeit können Tastatur-Nutzer in einem Modal gefangen sein.
|
HOCH | WCAG 2.1.2 (A) |
| DEEP-KB-007 |
Unsichtbare fokussierte Elemente
Prüft ob Elemente, die per display:none oder visibility:hidden aus dem Layout entfernt sind, trotzdem fokussierbar sind. Der Fokus "verschwindet" dann optisch, was Tastatur-Nutzer desorientiert.
|
MITTEL | WCAG 2.4.7 (AA) / BFSG |
| DEEP-KB-009 |
Überschriften-Hierarchie (h1-h6)
Überschriften bilden die Inhaltsstruktur und dienen als primäres Navigationsmittel für Screenreader. Der Deep Audit prüft: genau eine h1, keine übersprungenen Ebenen, keine leeren Headings.
|
HOCH | WCAG 1.3.1 (A) / BFSG |
| DEEP-KB-010 |
ARIA Landmark-Regionen
ARIA Landmarks (main, nav, banner, contentinfo) definieren die Hauptbereiche und ermöglichen Screenreader-Nutzern, direkt zu Abschnitten zu springen. Prüft ob die wichtigsten Landmarks vorhanden sind.
|
MITTEL | WCAG 1.3.1 (A) / BFSG |
| DEEP-KB-011 |
Sprach-Attribut auf HTML
Das lang-Attribut auf <html> teilt Browsern, Screenreadern und Übersetzungstools die Sprache der Seite mit. Fehlt es, rät der Screenreader die Sprache anhand von Heuristiken — oft falsch.
|
HOCH | WCAG 3.1.1 (A) / BFSG |
| DEEP-KB-012 |
ARIA-Attribute Validierung
ARIA (Accessible Rich Internet Applications) erweitert HTML um Semantik für Screenreader. Falsche ARIA-Attribute verschlechtern die Barrierefreiheit statt sie zu verbessern. Prüft auf ungültige Rollen, fehlende Labels und Konflikte.
|
HOCH | WCAG 4.1.2 (A) / BFSG |
Formulare
Worum geht es?
Prüft alle Formulare auf der Seite hinsichtlich Barrierefreiheit und Sicherheit: Labels, Autocomplete, Pflichtfelder, Fehlerbehandlung und Datenübertragung. Formulare sind der häufigste Interaktionspunkt und damit besonders kritisch.
Rechtliche Grundlage
WCAG 1.3.1, 1.3.5, 3.3.1-3.3.4. Art. 32 DSGVO für sichere Datenübertragung. Formulare ohne Labels sind der zweithäufigste Barrierefreiheitsverstoß (WebAIM Million 2024).
Praxis-Tipp
Jedes <input> braucht ein <label for="...">. Placeholder ist kein Label-Ersatz. Nutzen Sie autocomplete-Attribute für Name, Adresse, E-Mail, Telefon, Kreditkarte.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-FORM-000 |
Formular-Zusammenfassung
Überblick über alle gefundenen Formulare auf der Seite: Anzahl, Typen (Kontakt, Newsletter, Login, Suche), vorhandene Features (Labels, Autocomplete, Validation).
|
INFO | — |
| DEEP-FORM-001 |
Labels auf Eingabefeldern
Prüft ob jedes Eingabefeld ein programmatisch verknüpftes Label hat (<label for="..."> oder aria-label/aria-labelledby). Ohne Label können Screenreader-Nutzer nicht erkennen, was in das Feld eingegeben werden soll.
|
HOCH | WCAG 1.3.1 (A) / BFSG |
| DEEP-FORM-002 |
Autocomplete-Attribute
WCAG 1.3.5 fordert, dass Eingabefelder für personenbezogene Daten das autocomplete-Attribut korrekt verwenden (z.B. autocomplete="email", autocomplete="given-name"). Dies ermöglicht Autofill und hilft bei motorischen Einschränkungen.
|
MITTEL | WCAG 1.3.5 (AA) / BFSG |
| DEEP-FORM-003 |
Pflichtfelder mit aria-required
Pflichtfelder müssen visuell und programmatisch als solche erkennbar sein. Ein rotes Sternchen allein reicht nicht — aria-required="true" oder das HTML5 required-Attribut muss gesetzt sein.
|
NIEDRIG | WCAG 3.3.2 (A) |
| DEEP-FORM-004 |
Fehlerbehandlungs-Muster
Prüft ob Formulare Fehlerbehandlungs-Muster implementieren: aria-invalid, aria-describedby für Fehlermeldungen, role="alert" für Live-Validation. Fehler müssen in Textform beschrieben werden.
|
MITTEL | WCAG 3.3.1 (A) / BFSG |
| DEEP-FORM-005 |
Radio-Gruppen ohne fieldset/legend
Zusammengehörige Radio-Buttons und Checkboxen müssen in einem <fieldset> mit beschreibendem <legend> gruppiert sein. Ohne Gruppierung können Screenreader den Zusammenhang nicht vermitteln.
|
MITTEL | WCAG 1.3.1 (A) |
| DEEP-FORM-006 |
Sensible Daten per GET-Methode
Formulare mit Passwort- oder Datei-Feldern, die method="get" verwenden, übertragen sensible Daten in der URL. Diese erscheinen im Browser-Verlauf, Server-Logs und Referrer-Headern. Ein schwerer Verstoß gegen Art. 32 DSGVO.
|
KRITISCH | Art. 32 DSGVO |
| DEEP-FORM-007 |
CAPTCHA erkannt
CAPTCHAs sind für Barrierefreiheit grundsätzlich problematisch: Visuelle CAPTCHAs schließen blinde Nutzer aus, Audio-CAPTCHAs schließen gehörlose Nutzer aus. Empfehlung: Honeypot-Felder oder unsichtbares reCAPTCHA v3.
|
NIEDRIG | WCAG 1.1.1 (A) |
JavaScript & Rendering
Worum geht es?
Prüft JavaScript-Fehler, serverseitige Fehlermeldungen, Mixed Content, Viewport-Konfiguration und weitere rendering-relevante Aspekte. Diese Checks sind nur mit einem echten Browser möglich — reine HTML-Analyse erfasst sie nicht.
Rechtliche Grundlage
Art. 32 DSGVO (sichtbare PHP-Fehler), WCAG 2.4.2 (Seitentitel), WCAG 1.4.4 (Zoom), WCAG 1.4.12 (Text Spacing), WCAG 2.3.3 (Animationen).
Praxis-Tipp
Aktivieren Sie in der Produktionsumgebung display_errors=off. Prüfen Sie Ihre Seite in Chrome DevTools → Console auf Fehler. Stellen Sie sicher, dass der Viewport-Tag kein maximum-scale oder user-scalable=no enthält.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-JS-001 |
JavaScript-Konsolenfehler
Protokolliert alle Fehler in der Browser-Konsole während des Seitenaufbaus. JavaScript-Fehler signalisieren defekten Code, der Funktionalität beeinträchtigen kann — von fehlenden Analytics bis zu defekten Warenkörben.
|
HOCH | — |
| DEEP-JS-002 |
PHP-Fehler im HTML sichtbar
Sichtbare PHP-Fehlermeldungen enthalten Dateipfade, Versionsnummern und Konfigurationsdetails. Diese Informationen sind für Angreifer wertvoll und stellen ein Sicherheits- und Datenschutzproblem dar.
|
KRITISCH | Art. 32 DSGVO |
| DEEP-JS-003 |
noscript-Fallback
Prüft ob ein <noscript>-Element vorhanden ist, das Nutzern ohne JavaScript eine Alternative oder zumindest einen Hinweis bietet.
|
NIEDRIG | — |
| DEEP-JS-004 |
Lazy Loading für Bilder
Bilder unterhalb des sichtbaren Bereichs (below-fold) müssen nicht sofort geladen werden. loading="lazy" verzögert das Laden bis der Nutzer dorthin scrollt und verbessert die Ladezeit erheblich.
|
NIEDRIG | — |
| DEEP-JS-005 |
Mixed Content (HTTP auf HTTPS)
Wenn eine HTTPS-Seite Ressourcen über HTTP lädt, blockieren Browser aktive Inhalte (Scripts, iframes) und warnen bei passiven (Bilder). Dies kann Funktionalität zerstören und untergräbt die Verschlüsselung.
|
KRITISCH | — |
| DEEP-JS-006 |
Document-Title
Der <title>-Tag ist die erste Information, die Screenreader beim Seitenaufruf vorlesen. Er muss aussagekräftig sein und den Seiteninhalt beschreiben. Fehlende oder generische Titel ("Startseite") sind problematisch.
|
HOCH | WCAG 2.4.2 (A) / BFSG |
| DEEP-JS-007 |
Inline Event-Handler
Inline-Event-Handler (onclick, onmouseover im HTML) verhindern Content Security Policy und erschweren die Wartung. Empfehlung: addEventListener in externen Scripts.
|
NIEDRIG | — |
| DEEP-JS-008 |
Viewport Zoom-Einschränkungen
Prüft ob der Viewport-Meta-Tag maximum-scale<2, minimum-scale, oder user-scalable=no enthält. Diese Einstellungen verhindern, dass Nutzer mit Seheinschränkungen die Seite vergrößern können.
|
HOCH | WCAG 1.4.4 (AA) / BFSG |
| DEEP-JS-009 |
Text-Spacing Override
WCAG 1.4.12 fordert, dass Nutzer Textabstände anpassen können. Der Deep Audit erhöht programmatisch Zeilen-, Absatz-, Buchstaben- und Wortabstand und prüft ob Inhalte abgeschnitten werden.
|
MITTEL | WCAG 1.4.12 (AA) / BFSG |
| DEEP-JS-010 |
prefers-reduced-motion
Prüft ob die Website die CSS-Media-Query prefers-reduced-motion respektiert. Menschen mit vestibulären Störungen oder Epilepsie können durch Animationen beeinträchtigt werden.
|
NIEDRIG | WCAG 2.3.3 (AAA) |
Performance & Web Vitals
Worum geht es?
Misst die Core Web Vitals (LCP, CLS, TTFB) und analysiert Ressourcen, Bilder, Fonts und Drittanbieter-Requests. Performance beeinflusst nicht nur SEO und User Experience, sondern auch Barrierefreiheit und Datenschutz.
Rechtliche Grundlage
LG München I, 3 O 17493/20 (Google Fonts CDN), Art. 44-49 DSGVO (Drittlandtransfer bei CDNs), WCAG 1.1.1 (Alt-Texte).
Praxis-Tipp
Hosten Sie Fonts und Bibliotheken lokal. Optimieren Sie Bilder (WebP/AVIF, Lazy Loading). Minimieren Sie Drittanbieter-Scripts. Nutzen Sie Caching und Kompression.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-PERF-001 |
Largest Contentful Paint (LCP)
Misst die Renderzeit des größten sichtbaren Elements (Bild, Textblock, Video). Google-Empfehlung: unter 2.5 Sekunden gut, 2.5-4s verbesserungsbedürftig, über 4s schlecht.
|
HOCH | — |
| DEEP-PERF-002 |
Cumulative Layout Shift (CLS)
Misst, wie stark sich Seiteninhalte während des Ladens verschieben. Plötzlich springende Buttons führen zu Fehlklicks. Google-Empfehlung: unter 0.1 gut, 0.1-0.25 verbesserungsbedürftig, über 0.25 schlecht.
|
HOCH | — |
| DEEP-PERF-003 |
Time to First Byte (TTFB)
Die Zeit zwischen HTTP-Anfrage und dem ersten empfangenen Byte. Langsamer TTFB deutet auf Server-Probleme, fehlende Caching-Strategien oder überlastete Datenbanken hin.
|
MITTEL | — |
| DEEP-PERF-004 |
Ladezeiten (DOM, DCL, Load)
Misst DOMContentLoaded (HTML geparst), DOM Complete und Load Event (alle Ressourcen geladen). Langsame Ladezeiten erhöhen die Absprungrate und verschlechtern die User Experience.
|
HOCH | — |
| DEEP-PERF-005 |
Ressourcen-Anzahl und -Größen
Zählt HTTP-Requests und Transfervolumen nach Typ (Script, CSS, Bilder, Fonts). Jeder Request erzeugt Overhead: DNS, TCP, TLS-Handshake. Mehr als 80 Requests oder 3 MB Transfervolumen sind kritisch.
|
HOCH | — |
| DEEP-PERF-006 |
Render-blockierende Ressourcen
Scripts ohne async/defer im <head> blockieren das Rendering. Der Browser muss warten, bis jedes Script heruntergeladen und ausgeführt ist, bevor er weiteren Inhalt darstellt.
|
MITTEL | — |
| DEEP-PERF-007 |
Bild-Optimierung
Prüft Bilder auf: fehlende Dimensionsangaben (verursacht CLS), veraltete Formate (PNG/JPEG statt WebP/AVIF), überdimensionierte Bilder (Auflösung > Darstellungsgröße).
|
MITTEL | — |
| DEEP-PERF-008 |
Bilder ohne alt-Attribut
Das alt-Attribut dient mehreren Zwecken: Screenreader lesen es vor, Suchmaschinen indexieren es, und es wird angezeigt wenn das Bild nicht lädt. Fehlende Alt-Texte sind der häufigste WCAG-Verstoß weltweit.
|
HOCH | WCAG 1.1.1 (A) / BFSG |
| DEEP-PERF-010 |
Google Fonts über CDN
Das LG München I entschied: Die automatische Weitergabe der IP-Adresse an Google beim Laden von Google Fonts über das CDN ist ohne Einwilligung unzulässig. Dies gilt analog für Adobe Fonts (Typekit) und Font Awesome CDN.
|
HOCH | LG München I, 3 O 17493/20 |
| DEEP-PERF-011 |
font-display Strategie
Ohne font-display-Einstellung im @font-face-Block verhält sich der Browser unvorhersehbar: Text kann kurz unsichtbar sein (FOIT) oder mit Systemschrift erscheinen und dann springen (FOUT).
|
NIEDRIG | — |
| DEEP-PERF-012 |
HTTP-Protokoll Version
HTTP/2 bietet erhebliche Verbesserungen gegenüber HTTP/1.1: Multiplexing, Header-Kompression, Server-Push. Die meisten modernen Hoster unterstützen HTTP/2, Konfiguration ist serverseitig.
|
NIEDRIG | — |
| DEEP-PERF-013 |
Netzwerk-Requests und Drittanbieter
Zählt alle HTTP-Requests und kategorisiert sie in First-Party und Third-Party. Drittanbieter-Requests übermitteln mindestens die IP-Adresse und erfordern oft eine Rechtsgrundlage nach DSGVO.
|
MITTEL | Art. 13 DSGVO |
| DEEP-PERF-014 |
Font Awesome über externen CDN
Font Awesome über CDN (cdnjs, bootstrapcdn) übermittelt die IP-Adresse an US-Server. Analog zum Google-Fonts-Urteil ist dies ohne Einwilligung oder Vertragsgrundlage problematisch.
|
MITTEL | Art. 44-49 DSGVO |
Content-Analyse
Worum geht es?
Analysiert den gerenderten Seiteninhalt: Links (intern/extern, broken), iframes, eingebettete Medien, Drittanbieter-Waterfall, Fingerprinting-Techniken und Social-Media-Embeds. Besonderer Fokus auf Datenschutz-Implikationen eingebetteter Inhalte.
Rechtliche Grundlage
§ 25 TDDDG, Art. 6/13 DSGVO, EuGH C-40/17 "Fashion ID" (gemeinsame Verantwortlichkeit bei Social Plugins), LG München I (externe Einbindung).
Praxis-Tipp
Ersetzen Sie direkte YouTube/Maps/Social-Embeds durch Fassaden (Facades), die erst bei Klick laden. Nutzen Sie 2-Klick-Lösungen für Social Sharing. Prüfen Sie regelmäßig auf Broken Links.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-CON-001 |
Broken interne Links
Defekte interne Links (404, 500) beeinträchtigen User Experience und SEO. Prüft alle internen Links auf der Seite und meldet HTTP-Fehler mit dem betroffenen Link und Ziel-URL.
|
MITTEL | — |
| DEEP-CON-002 |
Externe Links ohne rel=noopener
Links mit target="_blank" ohne rel="noopener" ermöglichen der Zielseite über window.opener Zugriff auf die Ausgangsseite. Potenzielle Sicherheitslücke (Tabnabbing).
|
NIEDRIG | — |
| DEEP-CON-003 |
Link-Inventar
Dokumentiert alle internen und externen Links auf der Seite mit Ziel-URL und Linktext. Grundlage für Qualitätssicherung und die Prüfung der Datenschutzerklärung auf Vollständigkeit.
|
INFO | — |
| DEEP-CON-004 |
Canvas/Browser Fingerprinting
Canvas-Fingerprinting nutzt die Canvas-API um ein gerätespezifisches Profil zu erstellen. Ist nach § 25 TDDDG einwilligungspflichtig, da auf Endgeräte-Informationen zugegriffen wird.
|
HOCH | § 25 TDDDG |
| DEEP-CON-005 |
Service Worker registriert
Service Worker laufen im Hintergrund und können Push-Notifications, Background-Sync und Offline-Caching durchführen. Informationscheck — problematisch wenn Tracking-Funktionalität ohne Consent.
|
NIEDRIG | § 25 TDDDG |
| DEEP-CON-006 |
iframes ohne title-Attribut
iframes ohne title-Attribut sind für Screenreader-Nutzer nicht identifizierbar. Der Titel sollte den Inhalt des iframes beschreiben (z.B. "Google Maps Standort" oder "YouTube Video: Produktvorstellung").
|
MITTEL | WCAG 2.4.1 (A) / BFSG |
| DEEP-CON-007 |
Tracking-iframes erkannt
Versteckte oder minimale iframes (1x1 Pixel) von Tracking-Diensten laden beim Seitenaufruf automatisch und übermitteln Daten ohne sichtbare Interaktion. Einwilligungspflichtig.
|
HOCH | § 25 TDDDG |
| DEEP-CON-008 |
Eingebettete Drittanbieter-Medien
YouTube-, Vimeo- oder Google Maps-iframes laden beim Seitenaufruf sofort Ressourcen vom Drittanbieter-Server und übermitteln die IP-Adresse. Ohne Einwilligung oder Rechtsgrundlage problematisch.
|
MITTEL | Art. 6(1)(a) DSGVO / § 25 TDDDG |
| DEEP-CON-009 |
Drittanbieter-Domain Waterfall
Listet alle externen Domains, die beim Seitenaufruf kontaktiert werden, mit Request-Anzahl und Typ. Jede Domain erhält die IP-Adresse des Nutzers — wichtig für die Vollständigkeit der Datenschutzerklärung.
|
MITTEL | Art. 13 DSGVO |
| DEEP-CON-010 |
Social Media Embeds
Social Plugins (Facebook Like, Twitter Share, Instagram Embed) laden beim Seitenaufruf Ressourcen vom jeweiligen Anbieter. EuGH Fashion ID: Website-Betreiber sind gemeinsam Verantwortliche.
|
MITTEL | § 25 TDDDG / EuGH C-40/17 |
| DEEP-CHAT-001 |
Live-Chat-Widget vor Consent
Live-Chat-Widgets (Zendesk, Intercom, Tidio, LiveChat) laden umfangreiche Scripts und setzen Cookies. Werden sie vor Einwilligung geladen, ist das ein Verstoß gegen § 25 TDDDG.
|
HOCH | § 25 TDDDG |
| DEEP-RECAPTCHA-001 |
reCAPTCHA vor Consent
Google reCAPTCHA lädt Scripts von google.com und setzt Cookies. Es übermittelt umfangreiche Daten an Google-Server in den USA. Ohne Einwilligung oder Vertragsgrundlage problematisch.
|
HOCH | § 25 TDDDG / Art. 6(1)(a) DSGVO |
Technologie-Erkennung
Worum geht es?
Erkennt das verwendete CMS, Frameworks, Bibliotheken, Analytics-Dienste und Consent-Management-Plattformen anhand von Quellcode-Signaturen, Cookies und HTTP-Headern. Identifiziert veraltete Software mit bekannten Schwachstellen.
Rechtliche Grundlage
Art. 32 DSGVO (veraltete Software = unzureichende technische Maßnahmen). jQuery-CVEs können XSS ermöglichen.
Praxis-Tipp
Entfernen Sie WordPress-Versionsnummern aus dem Quellcode. Aktualisieren Sie jQuery und Plugins regelmäßig. Nutzen Sie Subresource Integrity (SRI) für externe Scripts.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-TECH-000 |
Technologie-Stack Zusammenfassung
Überblick über alle erkannten Technologien: CMS, Server, Frameworks, Bibliotheken, Analytics, CMP. Basis für die Vollständigkeit der Datenschutzerklärung.
|
INFO | — |
| DEEP-TECH-001 |
CMS erkannt
Erkennt WordPress, Shopify, Wix, Squarespace, Joomla, Drupal, TYPO3, Magento u.a. anhand von Quellcode-Signaturen, Cookies und Meta-Tags. Zeigt Version falls sichtbar.
|
INFO | — |
| DEEP-TECH-002 |
Server-Information Leakage
Response-Header wie Server: Apache/2.4.51 und X-Powered-By: PHP/8.1 verraten Angreifern die eingesetzte Software und ermöglichen gezielte Angriffe auf bekannte Schwachstellen der jeweiligen Version.
|
NIEDRIG | — |
| DEEP-TECH-003 |
JavaScript-Frameworks erkannt
Erkennt React, Vue.js, Angular, Svelte, jQuery, Bootstrap und weitere anhand von globalen Variablen und Quellcode-Mustern. Informationscheck für Entwickler und Sicherheitsbewertung.
|
INFO | — |
| DEEP-TECH-004 |
jQuery mit bekannten CVEs
Bestimmte jQuery-Versionen (vor 3.5.0) haben bekannte XSS-Schwachstellen. Der Deep Audit erkennt die Version und prüft gegen die CVE-Datenbank. Betroffene Versionen sollten umgehend aktualisiert werden.
|
HOCH | — |
| DEEP-TECH-005 |
Analytics-Dienste erkannt
Erkennt Google Analytics, Matomo, Plausible, Fathom, Hotjar, Microsoft Clarity u.a. Alle Analytics-Dienste müssen in der Datenschutzerklärung aufgeführt sein.
|
INFO | — |
| DEEP-TECH-006 |
Consent Management Platform erkannt
Erkennt Cookiebot, Borlabs Cookie, OneTrust, usercentrics, Complianz u.a. anhand von Quellcode-Signaturen und Cookie-Mustern. Dokumentiert die eingesetzte CMP für die Compliance-Prüfung.
|
INFO | — |
| DEEP-TECH-007 |
WordPress-Version im Quellcode
WordPress gibt seine Version standardmäßig im HTML-Quellcode preis: <meta name="generator" content="WordPress 6.x">. Dies erleichtert Angreifern, bekannte Schwachstellen der jeweiligen Version auszunutzen.
|
MITTEL | — |
| DEEP-TECH-008 |
WordPress-Plugins erkannt
Erkennt eingesetzte WordPress-Plugins anhand von Quellcode-Pfaden und Signaturen. Veraltete Plugins sind das größte Sicherheitsrisiko bei WordPress-Installationen.
|
INFO | — |
| DEEP-TECH-009 |
Subresource Integrity (SRI)
SRI schützt vor Supply-Chain-Angriffen: Wird ein externes CDN-Script manipuliert, erkennt der Browser die geänderte Prüfsumme und lädt es nicht. Alle externen Scripts und Stylesheets sollten SRI-Hashes haben.
|
MITTEL | — |
Lighthouse Scores
Worum geht es?
Berechnet Lighthouse-ähnliche Scores für Performance, SEO, Best Practices und Barrierefreiheit. Prüft zusätzlich grundlegende SEO-Elemente: Seitentitel, Meta-Description, h1, Canonical, JSON-LD und Open Graph.
Rechtliche Grundlage
WCAG 2.1 AA (Accessibility Score), technische SEO-Best-Practices.
Praxis-Tipp
Streben Sie Scores über 90 an für Performance und SEO. Der Accessibility-Score ist nur ein Schnelltest — die vollständige axe-core-Prüfung in der Barrierefreiheits-Kategorie ist aussagekräftiger.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-LH-001 |
Performance Score (0-100)
Aggregiert mehrere Metriken (LCP, CLS, TTFB, Ressourcenanzahl) zu einem Score. Unter 50: schlecht, 50-89: verbesserungsbedürftig, 90-100: gut.
|
HOCH | — |
| DEEP-LH-002 |
SEO Score (0-100)
Prüft technische SEO-Grundlagen: Seitentitel, Meta-Description, h1, Canonical, Sitemap-Referenz, robots.txt, strukturierte Daten.
|
HOCH | — |
| DEEP-LH-003 |
Seitentitel
Ein fehlender oder nicht-aussagekräftiger Seitentitel ist einer der grundlegendsten SEO-Fehler. Suchmaschinen verwenden ihn als Haupt-Snippet in den Suchergebnissen.
|
HOCH | — |
| DEEP-LH-004 |
Meta-Description
Die Meta-Description beeinflusst die Klickrate in den Suchergebnissen. Fehlt sie, generiert Google einen eigenen Auszug — oft weniger ansprechend.
|
MITTEL | — |
| DEEP-LH-005 |
h1 fehlt oder mehrfach
Jede Seite sollte genau eine h1 als Hauptüberschrift haben. Fehlende h1 oder mehrere h1-Elemente beeinträchtigen Screenreader-Navigation und SEO.
|
MITTEL | — |
| DEEP-LH-006 |
Canonical-Link
Ein <link rel="canonical"> teilt Suchmaschinen die bevorzugte URL für Seiten mit, die unter mehreren URLs erreichbar sind. Verhindert Duplicate-Content-Probleme.
|
NIEDRIG | — |
| DEEP-LH-007 |
Strukturierte Daten (JSON-LD)
Strukturierte Daten in JSON-LD (Schema.org) ermöglichen Rich Snippets in Suchergebnissen: Bewertungssterne, Preise, FAQs, Breadcrumbs. Erhöhen die Klickrate erheblich.
|
NIEDRIG | — |
| DEEP-LH-008 |
Open Graph Tags
Open Graph Tags (og:title, og:description, og:image) steuern die Darstellung beim Teilen auf Social Media. Ohne sie verwendet die Plattform beliebige Inhalte der Seite.
|
NIEDRIG | — |
| DEEP-LH-010 |
Best Practices Score (0-100)
Prüft Web-Qualitätsindikatoren: HTTPS, keine Mixed-Content-Fehler, keine Browser-Fehler, sichere APIs, korrekte Zeichensätze.
|
HOCH | — |
| DEEP-LH-011 |
Accessibility Quick-Score (0-100)
Lighthouse prüft eine Teilmenge der WCAG-Regeln (~35 Regeln). Für eine vollständige Prüfung siehe die axe-core Kategorie. Unter 50: kritisch, 50-89: verbesserungsbedürftig, 90+: gut.
|
HOCH | WCAG 2.1 AA / BFSG |
Multi-Page Analyse
Worum geht es?
Der Deep Audit crawlt bis zu 30 Unterseiten und prüft speziell Impressum und Datenschutzerklärung auf Vollständigkeit der Pflichtangaben. Außerdem werden alle gecrawlten Seiten auf Titel, h1, lang-Attribut und Alt-Texte geprüft.
Rechtliche Grundlage
§ 5 DDG (Impressumspflicht), Art. 13/14 DSGVO (Informationspflichten), WCAG 2.4.2, 1.3.1, 3.1.1.
Praxis-Tipp
Stellen Sie sicher, dass Impressum und Datenschutzerklärung von jeder Seite aus maximal 2 Klicks entfernt sind. Aktualisieren Sie die DSE bei jeder Änderung der eingesetzten Dienste.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-PAGE-IMP-000 |
Impressum-Seite gefunden
Prüft ob eine Impressum-Seite über typische Pfade (/impressum, /imprint) oder Footer-Links erreichbar ist. Fehlt sie, ist das ein Verstoß gegen § 5 DDG.
|
HOCH | § 5 DDG |
| DEEP-PAGE-IMP-001 |
Impressum Vollständigkeit
Prüft das Impressum auf Pflichtangaben: Name/Firma, Anschrift, E-Mail, Telefon/Fax, Handelsregisternummer, USt-IdNr., Aufsichtsbehörde (bei Erlaubnispflicht). Bewertet den Prozentsatz der gefundenen Pflichtfelder.
|
HOCH | § 5 DDG |
| DEEP-PAGE-DAT-000 |
Datenschutz-Seite gefunden
Prüft ob eine Datenschutzerklärung über typische Pfade (/datenschutz, /privacy) oder Footer-Links erreichbar ist.
|
HOCH | Art. 13 DSGVO |
| DEEP-PAGE-DAT-001 |
Datenschutz Vollständigkeit
Prüft die DSE auf Pflichtangaben nach Art. 13 DSGVO: Verantwortlicher, Kontaktdaten, DSB, Zwecke, Rechtsgrundlagen, Empfänger, Drittlandtransfer, Speicherdauer, Betroffenenrechte, Beschwerderecht.
|
HOCH | Art. 13/14 DSGVO |
| DEEP-PAGE-DAT-002 |
Veraltete Gesetzesreferenzen
Erkennt veraltete Verweise: "BDSG alt", "TMG" (seit 14.05.2024 DDG), "TTDSG" (seit 14.05.2024 TDDDG). Veraltete Referenzen signalisieren eine nicht aktualisierte DSE.
|
MITTEL | Art. 13 DSGVO |
| DEEP-PAGE-DAT-003 |
Datenschutz veraltet (>1 Jahr)
Prüft ob die DSE ein Datum enthält und ob es älter als 12 Monate ist. Eine veraltete DSE ist ein Indikator für fehlende Aktualisierung bei geänderten Diensten.
|
MITTEL | Art. 13 DSGVO |
| DEEP-PAGE-DAT-004 |
Datenschutz zu kurz
Eine DSE mit weniger als 300 Wörtern kann die Informationspflichten nach Art. 13 DSGVO kaum erfüllen. Typische vollständige DSE haben 2.000-5.000 Wörter.
|
HOCH | Art. 13 DSGVO |
| DEEP-PAGE-FOO-001 |
Footer-Links (Impressum/Datenschutz)
Impressum und Datenschutzerklärung müssen von jeder Seite aus leicht erreichbar sein. Der Footer ist der etablierte Standard-Ort. Fehlende Footer-Links können bereits einen Verstoß darstellen.
|
HOCH | § 5 DDG |
| DEEP-CRAWL-001 |
Deep Crawl Zusammenfassung
Folgt internen Links von der Startseite und prüft bis zu 30 Unterseiten. Dokumentiert Seitenanzahl, HTTP-Status, Ladezeiten und gefundene Probleme pro Seite.
|
INFO | — |
| DEEP-CRAWL-002 |
Broken Pages (HTTP-Fehler)
Seiten mit 404 (Not Found), 410 (Gone) oder 500 (Internal Server Error) werden erfasst. Kaputte Seiten beeinträchtigen User Experience und SEO-Ranking.
|
MITTEL | — |
| DEEP-CRAWL-003 |
Seiten ohne Title
Prüft alle gecrawlten Seiten auf vorhandene <title>-Tags. Fehlende Titel beeinträchtigen Screenreader-Navigation und SEO.
|
MITTEL | WCAG 2.4.2 (A) |
| DEEP-CRAWL-004 |
Seiten ohne h1
Prüft alle gecrawlten Seiten auf vorhandene h1-Überschrift. Fehlt sie, fehlt die Hauptüberschrift für Screenreader-Navigation.
|
NIEDRIG | WCAG 1.3.1 (A) |
| DEEP-CRAWL-005 |
Seiten ohne lang-Attribut
Prüft alle gecrawlten Seiten auf das lang-Attribut. Fehlende Sprachdeklaration betrifft Screenreader-Aussprache und Silbentrennung.
|
MITTEL | WCAG 3.1.1 (A) / BFSG |
| DEEP-CRAWL-006 |
Bilder ohne Alt-Text (Crawl)
Aggregiert Alt-Text-Probleme über alle gecrawlten Seiten. Gibt die Gesamtanzahl fehlender Alt-Texte an und listet die betroffenen Seiten.
|
HOCH | WCAG 1.1.1 (A) / BFSG |
| DEEP-CRAWL-007 |
JS-Fehler auf Unterseiten
Protokolliert JavaScript-Fehler auf allen gecrawlten Unterseiten. Fehler auf Unterseiten bleiben oft unentdeckt, da sie nicht auf der Startseite sichtbar sind.
|
NIEDRIG | — |
DNS & E-Mail-Sicherheit
Worum geht es?
Analysiert die DNS-Konfiguration und E-Mail-Sicherheit: SPF, DKIM und DMARC schützen vor E-Mail-Spoofing und Phishing. DNSSEC schützt vor DNS-Manipulation. CAA-Records kontrollieren, welche Zertifizierungsstellen SSL-Zertifikate ausstellen dürfen.
Rechtliche Grundlage
Art. 32 DSGVO (angemessene technische Maßnahmen). Fehlende SPF/DMARC ermöglichen Phishing mit Ihrer Domain als Absender.
Praxis-Tipp
Setzen Sie mindestens SPF und DMARC. Beginnen Sie mit DMARC p=none (Monitoring), dann p=quarantine, dann p=reject. DKIM wird vom Mailserver-Anbieter eingerichtet.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-DNS-001 |
SPF-Record
SPF legt per DNS-TXT-Record fest, welche Mailserver E-Mails im Namen Ihrer Domain senden dürfen. Ohne SPF kann jeder Server weltweit E-Mails mit Ihrer Absenderadresse versenden.
|
MITTEL | — |
| DEEP-DNS-002 |
DMARC-Record
DMARC baut auf SPF und DKIM auf und definiert eine Policy: Was soll mit E-Mails passieren, die die Prüfung nicht bestehen? Ohne DMARC werden gefälschte E-Mails trotzdem zugestellt.
|
MITTEL | — |
| DEEP-DNS-003 |
DKIM-Record
DKIM fügt ausgehenden E-Mails eine kryptographische Signatur hinzu, die vom Empfänger geprüft werden kann. Bestätigt, dass die E-Mail tatsächlich vom angegebenen Mailserver stammt und nicht verändert wurde.
|
MITTEL | — |
| DEEP-DNS-004 |
MX-Records
MX-Records definieren die Mailserver für Ihre Domain. Informationscheck zur Dokumentation des E-Mail-Setups.
|
INFO | — |
| DEEP-DNS-005 |
CAA-Records
CAA-Records legen fest, welche Zertifizierungsstellen SSL-Zertifikate für Ihre Domain ausstellen dürfen. Verhindert, dass Angreifer bei einer anderen CA ein Zertifikat für Ihre Domain beantragen.
|
NIEDRIG | — |
| DEEP-DNS-006 |
DNSSEC aktiviert
DNSSEC fügt kryptographische Signaturen zu DNS-Antworten hinzu und schützt vor DNS-Spoofing und Cache-Poisoning. Muss vom Domain-Registrar und DNS-Provider unterstützt werden.
|
NIEDRIG | — |
| DEEP-DNS-007 |
IPv6 Support (AAAA-Record)
IPv4-Adressen sind erschöpft. IPv6 ist der Standard für zukünftige Konnektivität. Prüft ob ein AAAA-Record vorhanden ist.
|
NIEDRIG | — |
| DEEP-DNS-015 |
SPF DNS-Lookup-Limit
RFC 7208 erlaubt maximal 10 DNS-Lookups bei der SPF-Validierung. Überschreitung führt zu PermError und Ihre SPF-Prüfung schlägt fehl — E-Mails werden als verdaechtigt eingestuft.
|
HOCH | Art. 32 DSGVO / RFC 7208 |
SSL/TLS-Analyse
Worum geht es?
Tiefenanalyse des SSL/TLS-Zertifikats und der Konfiguration: Gültigkeit, Protokollversionen, Cipher Suites, HSTS und HTTPS-Weiterleitung. Über den Standard-SSL-Check hinaus werden alte TLS-Versionen aktiv getestet.
Rechtliche Grundlage
Art. 32 DSGVO (Verschlüsselung als Pflicht-Maßnahme), BSI TR-02102 (Empfehlungen für TLS-Konfiguration).
Praxis-Tipp
Deaktivieren Sie TLS 1.0 und 1.1 in der Server-Konfiguration. Nutzen Sie HSTS mit einer Mindest-Laufzeit von 31536000 Sekunden (1 Jahr). Setzen Sie Let's Encrypt für automatische Zertifikatserneuerung ein.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-SSL-001 |
Zertifikat Gültigkeit/Ablauf
Prüft ob das Zertifikat gültig ist, wann es abläuft und ob eine rechtzeitige Erneuerung eingerichtet ist. Abgelaufene Zertifikate führen zu Browser-Warnungen, die Besucher abschrecken.
|
KRITISCH | — |
| DEEP-SSL-002 |
TLS-Protokollversion
Prüft die aktive TLS-Version. TLS 1.3 ist der aktuelle Standard, TLS 1.2 ist akzeptabel, TLS 1.0/1.1 sind unsicher und seit 2020 von allen Browsern abgelehnt.
|
HOCH | — |
| DEEP-SSL-003 |
Cipher Suite Stärke
Prüft die verwendete Cipher Suite auf bekannte Schwächen: RC4, DES, 3DES, MD5, NULL und EXPORT Cipher sind unsicher. Empfohlen: AES-256-GCM, ChaCha20-Poly1305.
|
HOCH | — |
| DEEP-SSL-004 |
Alte TLS-Versionen deaktiviert
Prüft aktiv, ob der Server noch Verbindungen mit TLS 1.0 oder 1.1 akzeptiert, indem eine Verbindung mit diesen Versionen versucht wird. Akzeptiert der Server sie, ist die Konfiguration unsicher.
|
HOCH | — |
| DEEP-SSL-005 |
HTTP zu HTTPS Weiterleitung
Alle HTTP-Anfragen sollten per 301-Redirect auf HTTPS weitergeleitet werden. Ohne Weiterleitung können Nutzer versehentlich die unverschlüsselte Version der Seite aufrufen.
|
HOCH | — |
| DEEP-SSL-006 |
HSTS (Strict Transport Security)
HSTS teilt dem Browser mit, für einen definierten Zeitraum ausschließlich HTTPS-Verbindungen zu verwenden. Schützt vor SSL-Stripping-Angriffen, bei denen ein Angreifer HTTPS auf HTTP herunterstuft.
|
MITTEL | — |
| DEEP-SSL-012 |
Zertifikatskette/CA-Vertrauen
Prüft ob das Zertifikat von einer vertrauenswürdigen Certificate Authority (CA) ausgestellt wurde und die Zertifikatskette vollständig ist. Selbstsignierte Zertifikate lösen Browser-Warnungen aus.
|
KRITISCH | Art. 32 DSGVO |
Security Headers
Worum geht es?
Analysiert HTTP-Antwort-Header, die den Browser anweisen, bestimmte Sicherheitsrichtlinien durchzusetzen. Security Headers sind eine der einfachsten und wirksamsten Maßnahmen zur Absicherung einer Website.
Rechtliche Grundlage
Art. 32 DSGVO (angemessene technische Maßnahmen). Security Headers gelten als Best Practice und können bei einem Datenschutzvorfall relevant sein.
Praxis-Tipp
Konfigurieren Sie mindestens: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy und eine grundlegende Content-Security-Policy. Alle können per .htaccess oder Server-Konfiguration gesetzt werden.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-HDR-000 |
Security Headers Zusammenfassung
Gesamtbewertung der 7 primären Security-Header. Gibt einen Score basierend auf Vorhandensein und Konfigurationsqualität aller geprüften Header.
|
HOCH | — |
| DEEP-HDR-001 |
Strict-Transport-Security (HSTS)
Erzwingt HTTPS-Verbindungen für einen definierten Zeitraum. Empfohlene Konfiguration: max-age=31536000; includeSubDomains; preload.
|
MITTEL | — |
| DEEP-HDR-002 |
Content-Security-Policy (CSP)
CSP definiert, welche Quellen für Scripts, Styles, Bilder und andere Ressourcen erlaubt sind. Einer der mächtigsten Sicherheits-Header gegen XSS und Code-Injection.
|
MITTEL | — |
| DEEP-HDR-003 |
X-Content-Type-Options: nosniff
Verhindert MIME-Type-Sniffing: Ohne ihn könnten Browser versuchen, den Inhaltstyp zu erraten und etwa eine als Bild getarnte JavaScript-Datei ausführen.
|
NIEDRIG | — |
| DEEP-HDR-004 |
X-Frame-Options (Clickjacking)
Schützt vor Clickjacking: Ein Angreifer bettet Ihre Website unsichtbar in einen iframe auf seiner Seite ein und verleitet Nutzer zu Klicks auf versteckte Elemente.
|
NIEDRIG | — |
| DEEP-HDR-005 |
Referrer-Policy
Steuert, welche URL-Informationen beim Klick auf einen Link an die Zielseite übermittelt werden. Ohne Policy wird die vollständige URL übermittelt — inklusive Query-Parameter mit sensiblen Daten.
|
NIEDRIG | — |
| DEEP-HDR-006 |
Permissions-Policy
Kontrolliert, welche Browser-APIs die Website und eingebettete iframes nutzen dürfen: Kamera, Mikrofon, Geolocation, Payment, Fullscreen u.a.
|
NIEDRIG | — |
| DEEP-HDR-007 |
X-XSS-Protection (Legacy)
War ein Browser-Feature zur XSS-Filterung. Ist veraltet und wurde von allen modernen Browsern entfernt. Kann sogar Sicherheitsprobleme verursachen. Empfehlung: Auf CSP setzen.
|
INFO | — |
| DEEP-HDR-008 |
CORS-Konfiguration
CORS steuert, welche Domains über Browser-Requests auf Ihre Ressourcen zugreifen dürfen. Access-Control-Allow-Origin: * erlaubt jedem Zugriff und ist in den meisten Fällen zu weit gefasst.
|
HOCH | — |
| DEEP-HDR-009 |
Server-Versions-Leakage
Prüft ob Server-Header (Server, X-Powered-By) Versionsnummern preisgeben. Diese Information erleichtert gezielte Angriffe auf bekannte Schwachstellen.
|
NIEDRIG | — |
| DEEP-HDR-010 |
robots.txt Präsenz/Inhalt
Prüft ob eine robots.txt vorhanden ist und ob sie sinnvolle Anweisungen enthält. Warnt vor problematischen Einträgen (z.B. Disallow: / blockiert alle Crawler).
|
NIEDRIG | — |
| DEEP-HDR-011 |
sitemap.xml Präsenz
Prüft ob eine XML-Sitemap vorhanden und valide ist. Hilft Suchmaschinen, alle Seiten zu finden und zu indexieren.
|
NIEDRIG | — |
| DEEP-HDR-012 |
Cookie Security Flags
Prüft Cookies auf Sicherheitsflags: Secure (nur über HTTPS), HttpOnly (kein JavaScript-Zugriff), SameSite (CSRF-Schutz). Fehlende Flags erhöhen das Angriffsrisiko.
|
MITTEL | — |
Port-Scan
Worum geht es?
Scannt 15 bekannte Ports auf öffentliche Erreichbarkeit. Offene Datenbank-Ports (MySQL, PostgreSQL, MongoDB, Redis) oder Verwaltungs-Ports (RDP, VNC, Telnet) sind kritische Sicherheitsrisiken, die sofort geschlossen werden sollten.
Rechtliche Grundlage
Art. 32 DSGVO (technische Maßnahmen). Öffentlich erreichbare Datenbanken sind ein schwerwiegender Verstoß gegen die Pflicht zu angemessenen Schutzmaßnahmen.
Praxis-Tipp
Nur Ports 80 (HTTP) und 443 (HTTPS) sollten öffentlich erreichbar sein. Alle anderen Dienste per Firewall blockieren oder über VPN/SSH-Tunnel zugreifen. Datenbanken niemals direkt aus dem Internet erreichbar machen.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-PORT-000 |
Port-Scan Zusammenfassung
Gesamtbewertung: Welche Ports sind offen, welche entsprechen dem Erwarteten (80, 443), welche sind unerwartet und potenziell gefährlich.
|
KRITISCH | Art. 32 DSGVO |
| DEEP-PORT-FW |
Firewall-Konfiguration Bewertung
Basierend auf den Port-Scan-Ergebnissen wird die Gesamtqualität der Firewall-Konfiguration bewertet. Nur HTTP/HTTPS offen = gut. Datenbank-Ports offen = kritisch.
|
HOCH | Art. 32 DSGVO |
| DEEP-PORT-00021 |
FTP offen (Port 21)
FTP überträgt Zugangsdaten im Klartext. Sollte durch SFTP (SSH, Port 22) ersetzt werden. Öffentlich erreichbares FTP ist ein Sicherheitsrisiko.
|
HOCH | — |
| DEEP-PORT-00023 |
Telnet offen (Port 23)
Telnet überträgt alles im Klartext — inklusive Passwörter. Darf auf keinem Produktionsserver öffentlich erreichbar sein. Durch SSH ersetzen.
|
KRITISCH | — |
| DEEP-PORT-03306 |
MySQL öffentlich erreichbar (Port 3306)
Eine öffentlich erreichbare MySQL-Datenbank ist eines der schwerwiegendsten Sicherheitsrisiken. Brute-Force-Angriffe auf Datenbank-Passwörter sind ein Standard-Angriffsvektor.
|
KRITISCH | Art. 32 DSGVO |
| DEEP-PORT-03389 |
RDP öffentlich erreichbar (Port 3389)
Remote Desktop Protocol ermöglicht vollständige Server-Fernsteuerung. Öffentlich erreichbares RDP ist ein häufiger Einstiegspunkt für Ransomware-Angriffe.
|
KRITISCH | — |
| DEEP-PORT-05432 |
PostgreSQL öffentlich erreichbar (Port 5432)
Wie MySQL — eine öffentlich erreichbare PostgreSQL-Datenbank ist ein kritisches Sicherheitsrisiko. Zugriff nur über localhost oder VPN erlauben.
|
KRITISCH | Art. 32 DSGVO |
| DEEP-PORT-05900 |
VNC öffentlich erreichbar (Port 5900)
VNC ermöglicht graphische Fernsteuerung. Viele VNC-Implementierungen haben keine starke Authentifizierung. Muss per VPN oder SSH-Tunnel geschützt werden.
|
KRITISCH | — |
| DEEP-PORT-06379 |
Redis öffentlich erreichbar (Port 6379)
Redis hat standardmäßig keine Authentifizierung. Ein öffentlich erreichbarer Redis-Server kann von jedem gelesen und beschrieben werden — ein extremes Sicherheitsrisiko.
|
KRITISCH | — |
| DEEP-PORT-09200 |
Elasticsearch öffentlich erreichbar (Port 9200)
Elasticsearch hat standardmäßig keine Authentifizierung. Enthält oft sensible Daten (Suchindizes, Logs). Tausende offene Elasticsearch-Instanzen werden regelmäßig von Angreifern gescannt.
|
KRITISCH | — |
| DEEP-PORT-27017 |
MongoDB öffentlich erreichbar (Port 27017)
MongoDB ohne Authentifizierung ist einer der häufigsten Gründe für Datenlecks. Enthält oft personenbezogene Daten. Muss per Firewall und Authentifizierung geschützt werden.
|
KRITISCH | — |
| DEEP-PORT-00110 |
POP3 offen (Port 110)
POP3 (unverschlüsselt) für E-Mail-Abruf. Sollte durch POP3S (Port 995) oder IMAPS (Port 993) ersetzt werden.
|
NIEDRIG | — |
| DEEP-PORT-00143 |
IMAP offen (Port 143)
IMAP (unverschlüsselt) für E-Mail-Zugriff. Sollte durch IMAPS (Port 993) ersetzt werden.
|
NIEDRIG | — |
| DEEP-PORT-08080 |
Alternativer HTTP-Port offen (8080)
Port 8080 wird oft für Entwicklungsserver, Proxies oder alternative Webserver verwendet. Kann auf einen ungesicherten Dienst hinweisen.
|
NIEDRIG | — |
Sensible Dateien
Worum geht es?
Prüft 15 bekannte Pfade auf öffentliche Erreichbarkeit. Diese Dateien sollten niemals öffentlich zugänglich sein: Konfigurationsdateien, Datenbank-Dumps, Versionskontrolle, Debug-Logs und Server-Status-Seiten.
Rechtliche Grundlage
Art. 32 DSGVO (Zugriffskontrolle). Exponierte Konfigurationsdateien mit Datenbank-Passwörtern oder API-Keys sind ein meldepflichtiger Datenschutzvorfall nach Art. 33 DSGVO.
Praxis-Tipp
Blockieren Sie den Zugriff auf sensible Pfade per .htaccess (Apache) oder Server-Konfiguration (nginx). Nutzen Sie .gitignore für .env-Dateien. Löschen Sie phpinfo.php von Produktionsservern.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-SEC-000 |
Sensible Dateien Zusammenfassung
Gesamtbewertung: Anzahl der gefundenen exponierten Dateien und deren Kritikalität. Jede exponierte sensible Datei ist ein sofortiger Handlungsbedarf.
|
KRITISCH | — |
| DEEP-SEC-001 |
.env Konfigurationsdatei
Die .env-Datei enthält Umgebungsvariablen: Datenbank-Passwörter, API-Keys, geheime Schlüssel. Öffentlicher Zugriff ermöglicht vollständige Kompromittierung des Systems.
|
KRITISCH | — |
| DEEP-SEC-002 |
.git Repository
Ein exponiertes .git-Verzeichnis ermöglicht das Herunterladen des gesamten Quellcodes inkl. Git-History. Kann Passwörter, API-Keys und interne Logik offenlegen.
|
KRITISCH | — |
| DEEP-SEC-003 |
WordPress-Config Backup
wp-config.php.bak oder wp-config.php~ enthalten Datenbank-Zugangsdaten im Klartext. PHP-Backup-Dateien werden vom Server als Plaintext ausgeliefert, nicht ausgeführt.
|
KRITISCH | — |
| DEEP-SEC-005 |
SQL-Dump exponiert
Datenbank-Dumps (.sql, .sql.gz) können den gesamten Datenbestand enthalten: Nutzerdaten, Passwörter, Bestellungen, E-Mails. Meldepflichtiger Datenschutzvorfall wenn personenbezogene Daten enthalten.
|
KRITISCH | — |
| DEEP-SEC-007 |
phpinfo.php exponiert
phpinfo() zeigt die gesamte PHP-Konfiguration: Pfade, Module, Umgebungsvariablen (oft inkl. Passwörter), Server-Informationen. Muss auf Produktionsservern gelöscht werden.
|
HOCH | — |
| DEEP-SEC-008 |
.htpasswd Datei
Enthält gehashte Passwörter für HTTP-Basic-Auth. Obwohl gehasht, können schwache Passwörter offline geknackt werden.
|
KRITISCH | — |
| DEEP-SEC-009 |
Apache server-status
Zeigt detaillierte Informationen über aktive Verbindungen, Anfragen und Server-Last. Kann IP-Adressen von Besuchern und interne URLs offenlegen.
|
HOCH | — |
| DEEP-SEC-011 |
debug.log exponiert
Debug-Logs können Fehlermeldungen, Stack-Traces, Datenbankabfragen und teilweise personenbezogene Daten enthalten. Sollten nie öffentlich zugänglich sein.
|
HOCH | — |
| DEEP-SEC-013 |
security.txt vorhanden
Security.txt (RFC 9116) unter /.well-known/security.txt ermöglicht Sicherheitsforschern, Schwachstellen verantwortungsvoll zu melden. Sollte Kontakt-E-Mail und Verschlüsselungskey enthalten.
|
NIEDRIG | — |
| DEEP-SEC-014 |
Directory Listing aktiviert
Wenn der Webserver Verzeichnisinhalte als HTML-Liste anzeigt, können Angreifer die Dateistruktur durchsuchen und sensible Dateien finden, die nicht direkt verlinkt sind.
|
MITTEL | — |
Subdomain-Analyse
Worum geht es?
Prüft 55 häufig verwendete Subdomain-Namen auf Erreichbarkeit. Kritische Subdomains wie db.*, admin.* oder staging.* sollten nie öffentlich erreichbar sein. Zusätzlich wird auf Subdomain-Takeover Risiken geprüft.
Rechtliche Grundlage
Art. 32 DSGVO (Zugriffskontrolle), Art. 32/33 DSGVO (Subdomain-Takeover als Sicherheitsvorfall).
Praxis-Tipp
Entfernen Sie DNS-Records für nicht mehr genutzte Subdomains. Schützen Sie Entwicklungs- und Staging-Systeme per VPN oder IP-Whitelist. Prüfen Sie regelmäßig auf verwaiste CNAME-Records.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-SUB-000 |
Subdomain-Enumeration Zusammenfassung
Überblick über alle gefundenen Subdomains mit Kategorisierung in kritisch, riskant und informativ. Basis für die Bewertung der Angriffsoberfläche.
|
KRITISCH | — |
| DEEP-SUB-WC |
DNS Wildcard erkannt
Ein DNS-Wildcard-Eintrag (*.domain.de) lässt jeden beliebigen Subdomain-Namen auflösen. Kann die Subdomain-Enumeration beeinflussen und ungewollte Angriffsvektoren eröffnen.
|
NIEDRIG | — |
| DEEP-SUB-001 |
Kritische Subdomains exponiert
Prüft auf: db.*, database.*, mysql.*, phpmyadmin.*, admin.*, cpanel.*, staging.*, production.*. Diese Subdomains deuten auf sensible Systeme hin, die nie öffentlich erreichbar sein sollten.
|
KRITISCH | Art. 32 DSGVO |
| DEEP-SUB-002 |
Riskante Subdomains exponiert
Prüft auf: dev.*, test.*, beta.*, internal.*, intranet.*, jenkins.*, gitlab.*. Diese Subdomains können Entwicklungsumgebungen mit schwacher Authentifizierung exponieren.
|
HOCH | Art. 32 DSGVO |
| DEEP-DNS-017 |
Subdomain-Takeover Risiko
Prüft auf verwaiste CNAME-Records (dangling CNAMEs): Subdomains die auf nicht mehr existierende Dienste (Heroku, GitHub Pages, AWS) zeigen, können von Angreifern übernommen werden.
|
KRITISCH | Art. 32/33 DSGVO |
WHOIS / Domain-Info
Worum geht es?
Prüft Domain-Registrierungsinformationen: Ablaufdatum und Privacy-Schutz. Eine abgelaufene Domain führt zum vollständigen Verlust der Online-Präsenz.
Rechtliche Grundlage
§ 5 DDG (Erreichbarkeit), Art. 32 DSGVO (Verfügbarkeit als Schutzziel), Art. 13 DSGVO (WHOIS-Daten).
Praxis-Tipp
Aktivieren Sie die automatische Domain-Verlängerung bei Ihrem Registrar. Setzen Sie Kalender-Erinnerungen für 90, 60 und 30 Tage vor Ablauf.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-WHOIS-001 |
Domain-Ablaufdatum
Prüft wann die Domain abläuft. Unter 30 Tagen: kritisch (sofort verlängern). Unter 90 Tagen: hoch (zeitnah verlängern). Über 180 Tagen: ok.
|
KRITISCH | § 5 DDG / Art. 32 DSGVO |
| DEEP-WHOIS-002 |
WHOIS Privacy Protection
Prüft ob WHOIS Privacy aktiviert ist. Ohne Privacy sind Name, Adresse, Telefon und E-Mail des Domain-Inhabers öffentlich einsehbar.
|
NIEDRIG | Art. 13 DSGVO |
Domain & Hosting
Worum geht es?
Ermittelt Server-Standort, Hosting-Anbieter und prüft auf offene Admin-Interfaces. Der Server-Standort ist relevant für den DSGVO-Datentransfer: Nicht-EU-Standorte erfordern zusätzliche Schutzmaßnahmen.
Rechtliche Grundlage
Art. 44-49 DSGVO (Drittlandtransfer), Art. 28 DSGVO (Auftragsverarbeitung), Art. 32 DSGVO (offene Admin-Interfaces).
Praxis-Tipp
Hosten Sie in der EU oder im EWR. Schließen Sie einen Auftragsverarbeitungsvertrag (AVV) mit Ihrem Hoster ab. Schützen Sie Admin-Interfaces per IP-Whitelist oder VPN.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| DEEP-NET-002 |
Server-Standort & Datentransfer
Ermittelt den physischen Standort des Servers über GeoIP-Datenbanken. Server außerhalb der EU/EWR erfordern zusätzliche Schutzmaßnahmen nach Art. 44-49 DSGVO (Standardvertragsklauseln, Angemessenheitsbeschluss).
|
HOCH | Art. 44-49 DSGVO |
| DEEP-NET-003 |
Hosting-Anbieter & AVV
Identifiziert den Hosting-Anbieter und prüft ob ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO typischerweise angeboten wird. Informationscheck für Ihre Compliance-Dokumentation.
|
INFO | Art. 28 DSGVO |
| DEEP-NET-004 |
Offene Admin-Interfaces
Prüft auf öffentlich erreichbare Admin-Interfaces: phpMyAdmin, Adminer, Webmin, cPanel, Plesk, WHM. Diese Interfaces sollten nie ohne zusätzlichen Schutz öffentlich erreichbar sein.
|
HOCH | Art. 32 DSGVO |
Bonus-Checks (SEO, E-Mail, Reputation)
Worum geht es?
Zusätzliche Prüfungen über Rechts-Compliance hinaus: SEO-Probleme (Duplicate Content, noindex), E-Mail-Zustellbarkeit (PTR, MTA-STS), Ressourcen-Kompression und Spam-Blacklist-Prüfung.
Rechtliche Grundlage
— (Bonus-Checks ohne direkte gesetzliche Grundlage, aber relevant für Gesamtqualität und Reputation).
Praxis-Tipp
Richten Sie eine einheitliche www/non-www Weiterleitung ein. Prüfen Sie regelmäßig ob Ihre Server-IP auf Blacklists steht. Aktivieren Sie Gzip/Brotli-Kompression auf dem Server.
| ID | Prüfung | Schwere | Rechtsgrundlage |
|---|---|---|---|
| BONUS-SEO-001 |
www/non-www Duplicate Content
Prüft ob beide Varianten (www und non-www) erreichbar sind und ob eine korrekte 301-Weiterleitung eingerichtet ist. Ohne Weiterleitung indexiert Google beide als separate Seiten.
|
HOCH | — |
| BONUS-SEO-004 |
robots.txt problematische Einträge
Prüft robots.txt auf Einträge, die wichtige Seiten blockieren (z.B. Disallow: /impressum). Kann SEO und Erreichbarkeit beeinträchtigen.
|
NIEDRIG | — |
| BONUS-SEO-005 |
noindex auf Produktions-Seite
Prüft ob die Startseite ein noindex-Meta-Tag oder X-Robots-Tag enthält. Auf Produktionsseiten ist dies fast immer ein versehentlich vergessenes Staging-Relikt.
|
HOCH | — |
| BONUS-SEO-007 |
Redirect-Chain Länge
Zählt die Anzahl der Weiterleitungen von der eingegebenen URL bis zur endgültigen Seite. Lange Ketten (3+) verlangsamen das Laden und verwirren Suchmaschinen.
|
MITTEL | — |
| BONUS-MAIL-004 |
Reverse-DNS (PTR-Record)
Prüft ob ein PTR-Record für die Server-IP existiert. Fehlender Reverse-DNS kann dazu führen, dass E-Mails als Spam eingestuft werden.
|
MITTEL | — |
| BONUS-MAIL-005 |
MTA-STS (E-Mail-Verschlüsselung)
MTA-STS (Mail Transfer Agent Strict Transport Security) erzwingt TLS-verschlüsselte E-Mail-Übertragung. Schützt vor Downgrade-Angriffen auf E-Mail-Verbindungen.
|
NIEDRIG | — |
| BONUS-PERF-003 |
Ressourcen-Kompression
Prüft ob der Server Gzip- oder Brotli-Kompression für HTML, CSS und JavaScript aktiviert hat. Kompression kann das Transfervolumen um 60-80% reduzieren.
|
MITTEL | — |
| BONUS-REP-001 |
Server-IP auf Spam-Blacklists
Prüft die Server-IP gegen bekannte DNS-basierte Blacklists (DNSBL). Eine gelistete IP kann E-Mail-Zustellung und Website-Reputation beeinträchtigen.
|
HOCH | — |
220+ Tiefenprüfungen mit Playwright Browser-Engine
Inklusive Pro-Check + BFSG-Modul + PDF-Report per E-Mail. Ab 169 €.
Deep Audit starten →