DSGVO-Website-Audit Österreich: 7 Schritte mit DevTools

Seit 2024 hat die Datenschutzbehörde (DSB) ihre Kontrollen auf private Unternehmenswebsites deutlich ausgeweitet. Beschwerden über fehlerhafte Cookie-Banner gehen vermehrt durch noyb-Massenbeschwerden ein und führen zu strukturierten Prüfverfahren. § 165 Abs. 3 TKG 2021 und die DSGVO geben der DSB klare Prüfmaßstäbe. Die häufigsten Beanstandungen betreffen Cookie-Einwilligung und Datenschutzerklärungen.

Dieser Leitfaden führt Sie in sieben Schritten durch die wichtigsten Prüfbereiche. Sie brauchen keine externen Tools, nur Browser-Entwicklertools (F12) und eine Übersicht Ihrer eingesetzten Dienste. Planen Sie zwei bis drei Stunden für eine gründliche Prüfung ein.

Wenn Sie den technischen Teil lieber automatisiert abdecken möchten, prüft unser kostenloser DSGVO-Scanner Cookie-Banner, Tracker-Vorausladen und Sicherheitsheader in unter zwei Minuten.

Vorbereitung

Bevor Sie anfangen, legen Sie sich folgendes bereit:

• Zugang zum CMS Ihrer Website (WordPress, Shopware, TYPO3 o.ä.)
• Eine vollständige Liste aller aktiven Plugins und eingebundenen Dienste
• Browser mit DevTools (Chrome, Firefox oder Edge)
• Eine Tabelle oder ein Dokument, in dem Sie Befunde notieren

Arbeiten Sie immer in einem Inkognito-Fenster. Nur so sehen Sie, was ein echter Erstbesucher sieht. Cookies, Consent-Entscheidungen und Login-Status aus früheren Besuchen verfälschen sonst das Bild.

Schritt 1: Cookie-Audit mit DevTools

Das ist der kritischste Teil des Audits. § 165 Abs. 3 TKG 2021 schreibt vor, dass nicht-notwendige Cookies und Tracking-Skripte erst nach einer ausdrücklichen Einwilligung der Nutzer:in gesetzt werden dürfen. Die DSB prüft genau das, häufig mit denselben DevTools, die Sie unten verwenden.

Banner-Prüfung

Öffnen Sie Ihre Homepage im Inkognito-Modus. Erscheint der Cookie-Banner, noch bevor Sie irgendetwas angeklickt haben? Prüfen Sie dann zwei Dinge.

Erstens: Gibt es auf der ersten Ebene des Banners sowohl einen „Akzeptieren"- als auch einen „Ablehnen"-Button? Nicht „Einstellungen öffnen" oder „Mehr erfahren", sondern eine direkt anklickbare Ablehnoption. Zweitens: Sind beide Buttons optisch gleichwertig? Ein auffälliger grüner Primärbutton für Akzeptieren und ein grauer Textlink für Ablehnen ist kein gleichwertiges Angebot. Die DSB-Cookie-Leitlinien (Stand 2024) und der EuGH haben das in mehreren Entscheidungen klargestellt.

Netzwerkcheck vor der Einwilligung

Öffnen Sie DevTools (F12), wechseln Sie zum Reiter „Netzwerk" und laden Sie Ihre Seite neu. Berühren Sie den Cookie-Banner noch nicht. Suchen Sie in der Anfragenliste nach Verbindungen zu google-analytics.com, googletagmanager.com, facebook.net, hotjar.com oder vergleichbaren Tracking-Diensten.

Werden solche Anfragen gesendet, bevor Sie eine Wahl im Banner getroffen haben, liegt ein Verstoß gegen § 165 Abs. 3 TKG 2021 vor. Das ist der häufigste technische Fehler überhaupt: Der Banner ist vorhanden, aber der Blocking-Mechanismus dahinter funktioniert nicht. Viele günstige Cookie-Plugins zeigen einen Banner an, blockieren die Skripte im Hintergrund aber nicht tatsächlich.

Cookie-Inventar erstellen

Wechseln Sie in DevTools zu „Anwendung" (Chrome) oder „Speicher" (Firefox) und öffnen Sie den Cookie-Bereich. Notieren Sie alle gesetzten Cookies mit Name, Domain und Ablaufdatum. Kategorisieren Sie: technisch notwendig, Analytics, Marketing, sonstiges Tracking. Vergleichen Sie diese Liste dann mit Ihrer Datenschutzerklärung und Ihrem Cookie-Banner. Fehlt eine Cookie-Kategorie in der Erklärung, ist die Erklärung unvollständig.

Schritt 2: Datenschutzerklärung-Review

Öffnen Sie Ihre Datenschutzerklärung und legen Sie eine Tabelle daneben. Für jede der folgenden Anforderungen aus Art. 13 DSGVO markieren Sie: vorhanden, fehlend oder zu vage.

Pflichtangaben nach Art. 13:

Name und vollständige Kontaktdaten des Verantwortlichen. Für jeden Verarbeitungsvorgang eine separate Beschreibung mit Zweck, Rechtsgrundlage und Empfängern. Dabei muss „Analytics" nicht reichen, der Dienst muss namentlich genannt sein (Google Analytics, Plausible, Matomo). Konkrete Speicherfristen für jede Datenkategorie. Alle Betroffenenrechte nach Art. 15 bis 22. Beschwerderecht bei der zuständigen Aufsichtsbehörde, in Österreich immer die Datenschutzbehörde (Barichgasse 40-42, 1030 Wien). Hinweis auf Drittlandübertragungen, falls vorhanden.

Ein häufiger Fehler bei generierten Texten: Die Erklärung beschreibt Dienste, die seit Monaten nicht mehr genutzt werden, oder nennt aktuelle Tools nicht. Gehen Sie deshalb Ihre Dienstliste aus der Vorbereitung durch und prüfen Sie, ob jeder Dienst in der Erklärung auftaucht. Vertiefung: Datenschutzerklärung, was hineingehört.

Schritt 3: Formulare und Newsletter

Inventarisieren Sie jedes Formular auf Ihrer Website: Kontaktformular, Newsletter-Anmeldung, Bestellformular, Registrierung, Terminbuchung.

Kontaktformular:

Gibt es direkt beim Formular einen kurzen Hinweis auf die Verarbeitung und einen Link zur Datenschutzerklärung? Erheben Sie nur, was Sie tatsächlich brauchen? Geburtsdatum und Telefonnummer in einem simplen Kontaktformular sind schwer zu begründen und verstoßen gegen das Datenminimierungsprinzip aus Art. 5 Abs. 1 lit. c DSGVO.

Newsletter:

Der EuGH hat in der Entscheidung C-673/17 (Planet49) klargestellt: vorausgefüllte Einwilligungskästchen für Newsletter und Marketing sind unzulässig. Die Einwilligung muss durch eine aktive Handlung erteilt werden, kein Häkchen, das die Nutzer:in erst entfernen muss.

Prüfen Sie drei Punkte:

Sind Newsletter-Checkboxen standardmäßig nicht aktiviert? Ist die Newsletter-Einwilligung von der Bestellabwicklung oder der Kontoerstellung getrennt? Nutzen Sie Double-Opt-In? In Österreich gilt das nach § 174 TKG 2021 und der DSB-Spruchpraxis als faktische Standardanforderung. Ohne Double-Opt-In können Sie bei einer Spam-Beschwerde kaum nachweisen, dass die Einwilligung korrekt erteilt wurde. Vertiefung: Newsletter-Anmeldung mit Double-Opt-In und B2B-E-Mail nach § 174 TKG 2021.

Schritt 4: Auftragsverarbeitung und AVV

Listen Sie alle Dienste auf, die in Ihrem Auftrag personenbezogene Daten Ihrer Besucher und Kunden verarbeiten. Für einen typischen Onlineshop sind das mindestens: Hosting-Anbieter, E-Mail-Marketing-Plattform, Web-Analytics-Tool, Zahlungsanbieter, CDN und Backup-Dienst. Dazu kommen je nach Setup: Live-Chat-System, Helpdesk, Bewertungsplattform, Retargeting-Netzwerke.

Für jeden dieser Dienste brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Die meisten großen SaaS-Anbieter stellen AVV-Vorlagen im Kundenportal bereit.

Öffnen Sie die Portale Ihrer fünf wichtigsten Anbieter und prüfen Sie: Ist ein AVV hinterlegt oder wurde eine entsprechende Vereinbarung akzeptiert? Haben Sie einen Nachweis dieser Akzeptanz archiviert, etwa als Screenshot, PDF-Download oder Bestätigungs-E-Mail?

Dienste ohne AVV-Angebot sind ein Warnsignal. Sie dürfen keine personenbezogenen Daten in deren Systeme übertragen, bis eine Vereinbarung existiert. Für eine systematische Übersicht aller AVV-Pflichten: DSGVO-Checkliste für Onlineshops.

US-Dienste: Viele Tools (Google, Mailchimp, Stripe, Cloudflare) sind US-Unternehmen. Seit Juli 2023 gilt das EU-US Data Privacy Framework als Angemessenheitsbeschluss. Prüfen Sie für jeden US-Dienst, ob er auf der Zertifizierungsliste unter dataprivacyframework.gov eingetragen ist. Wenn nicht, sind Standardvertragsklauseln (SCC) plus individuelle Schutzmaßnahmen erforderlich. Die DSB war 2022 die erste EU-Aufsichtsbehörde, die einen Google-Analytics-Bescheid erließ. Drittlandtransfers werden in Österreich besonders genau geprüft.

Schritt 5: Sicherheitsheader und HTTPS

Art. 32 DSGVO verpflichtet Sie zu „dem Risiko angemessenen" technischen Maßnahmen. Drei Basischecks erledigen Sie in wenigen Minuten.

HTTPS und Weiterleitung:

Rufen Sie Ihre Website mit http:// auf. Landen Sie automatisch auf der HTTPS-Version? Öffnen Sie DevTools, Reiter Netzwerk, und prüfen Sie die erste HTTP-Anfrage. Sie sollte einen 301- oder 302-Redirect auf HTTPS liefern. Fehlt diese Weiterleitung, können Besucher über eine unverschlüsselte Verbindung auf Ihre Seite zugreifen.

Sicherheitsheader:

Öffnen Sie DevTools, Reiter Netzwerk, laden Sie Ihre Seite und klicken Sie auf die erste Anfrage. Unter „Antwortheader" prüfen Sie, ob diese Header gesetzt sind:

• Strict-Transport-Security (HSTS): zwingt Browser dauerhaft auf HTTPS
• Content-Security-Policy: reduziert XSS-Risiken
• X-Content-Type-Options: nosniff: verhindert MIME-Sniffing
• Referrer-Policy: kontrolliert welche Referrer-Daten an Dritte übermittelt werden

Fehlende Header bedeuten kein automatisches Bußgeld, aber die DSB wertet sie bei einer Gesamtprüfung als Hinweis auf unzureichende technische Maßnahmen.

CMS-Updates:

Wechseln Sie in Ihr CMS-Backend und prüfen Sie, ob Updates für das CMS selbst, für Themes und für Plugins ausstehen. Veraltete WordPress-Plugins sind die häufigste Einstiegspforte bei Hacks auf KMU-Websites, und eine Datenschutzverletzung durch einen bekannten, ungepatchten CVE ist schwer zu verteidigen. Computer Emergency Response Team Austria (CERT.at) veröffentlicht regelmäßig Warnungen zu betroffenen Versionen.

Schritt 6: Speicherdauer und österreichische Aufbewahrungspflichten

Das Speicherbegrenzungsprinzip aus Art. 5 Abs. 1 lit. e DSGVO verlangt, Daten nur so lange zu halten, wie der Zweck es erfordert. In Österreich kommen Aufbewahrungspflichten aus § 132 BAO und § 212 UGB hinzu, die teils längere Speicherung vorschreiben.

Nach § 132 BAO müssen Buchführungsunterlagen und steuerrelevante Belege mindestens sieben Jahre aufbewahrt werden. Bei Unterlagen mit Grundstücks- oder Umsatzsteuerbezug verlängert sich die Frist auf bis zu 22 Jahre (§ 132 Abs. 2 BAO). Die deutsche 10-Jahres-Frist nach § 257 HGB gilt nicht für österreichische Unternehmen. Ein häufiger Übersetzungsfehler in importierten Compliance-Konzepten.

Für Daten ohne handels- oder steuerrechtlichen Bezug gilt das Gegenteil: So kurz wie möglich. Einfache Kontaktanfragen können nach Erledigung gelöscht werden, typisch drei bis sechs Monate. Server-Logs mit IP-Adressen sollten nicht länger als 90 Tage gespeichert bleiben, sofern kein konkreter Sicherheitsvorfall die weitere Aufbewahrung begründet.

Für Ihren Audit: Prüfen Sie, welche Datenkategorien Sie in welchen Systemen halten und ob es technisch umgesetzte Löschroutinen gibt. Ein Löschkonzept auf Papier ohne technische Implementierung überzeugt die DSB bei einer Prüfung nicht.

Schritt 7: Datenpannen-Verfahren

Haben Sie ein Verfahren für den Fall, dass personenbezogene Daten unbefugt offengelegt, vernichtet oder verändert werden? Art. 33 DSGVO gibt Ihnen 72 Stunden für die Meldung an die Datenschutzbehörde, wenn die Panne ein Risiko für Betroffene birgt.

Stellen Sie sich vor, morgen früh meldet Ihr Hosting-Anbieter, dass eine Kundendatenbank unverschlüsselt zugänglich war. Wissen Sie, was dann zu tun ist?

Prüfen Sie drei Punkte: Wissen Sie, dass für österreichische Verantwortliche immer die DSB zuständig ist (anders als die föderale Struktur in Deutschland)? Kennen Sie das Online-Meldeformular der DSB und welche Angaben die Behörde erwartet? Wissen Sie, wer in Ihrem Unternehmen eine Panne feststellen und melden würde?

Die DSB stellt das Meldeformular und Hinweise zum Verfahren auf dsb.gv.at bereit. Ein einseitiges internes Notfallmerkblatt reicht für ein KMU als Minimaldokumentation.

Die 72-Stunden-Frist beginnt ab dem Moment, wo Sie von der Panne wissen. Nicht ab dem technischen Vorfall, nicht ab dem Zeitpunkt der Analyse. Wie ein DSB-Bescheid nach einer Datenpanne aussieht und worauf in der Stellungnahme zu achten ist: DSB-Bescheide verstehen.

Audit-Bericht erstellen

Nach diesen sieben Schritten haben Sie eine Tabelle mit Befunden. Ordnen Sie jeden Punkt einer von drei Kategorien zu:

Sofort angehen (diese Woche): Fehlendes Ablehnen im Cookie-Banner, Tracking-Skripte die vor Einwilligung laden, fehlende oder lückenhafte Datenschutzerklärung, kein HTTPS-Redirect, fehlender Datenschutzhinweis bei Formularen.

Diese Woche planen: Fehlende AVV-Verträge mit Hauptdienstleistern, Newsletter ohne Double-Opt-In, fehlende Sicherheitsheader, ungepatchte CMS-Updates.

Mittelfristig: Speicherdauer-Routinen technisch umsetzen, US-Dienste auf DPF-Zertifizierung prüfen, Datenpannen-Verfahren dokumentieren, Google Analytics konfigurieren oder durch eine datenschutzfreundliche Alternative ersetzen.

Bewahren Sie den Bericht auf. Falls die DSB eine Anfrage stellt oder eine Beschwerde eingeht, ist eine dokumentierte Audit-Historie ein konkreter Nachweis dafür, dass Sie sich strukturiert mit Compliance beschäftigen.

Wiederholen Sie den Audit nach jeder wesentlichen Änderung Ihrer Website. Ein neues Plugin, ein neues Formular oder ein neuer Zahlungsanbieter kann jeden dieser Bereiche neu aufwerfen. Ergänzend hilft ein monatlicher automatisierter Scan.

Für einen schnellen ersten technischen Überblick: Kostenloser DSGVO-Scanner. Für eine vollständige Prüfliste aller 35 DSGVO-Pflichtpunkte: DSGVO-Checkliste für Onlineshops.

Dieser Leitfaden ist die österreichische Fassung unseres paneuropäischen GDPR-Website-Audit-Leitfadens.

---

Dieser Artikel ist technische Analyse, kein Rechtsrat. Für Fragen zu Ihrer konkreten Situation wenden Sie sich an eine Datenschutzfachperson oder Rechtsanwältin in Österreich.