Der Scanner · Methodik

Wir prüfen 187 Dinge, die BfDI, BayLDA, die Wettbewerbszentrale und Nutzer von Ihrer Website erwarten.

Verteilt auf 7 Compliance-Bereiche. Automatisiert in ±60 Sekunden. Eine Seite gratis, gesamte Website ab €2,50.

Kostenlosen Check starten Beispielbericht ansehen →

Warum das wichtig ist

Was steht auf dem Spiel?

€45 Mio.
BfDI-Bußgeld Vodafone 2025
Am 3. Juni 2025 verhängte der BfDI 45 Mio. € gegen Vodafone (mangelhafte Kontrolle der Partneragenturen plus Sicherheitsmängel im Login-Prozess). Das bisher größte deutsche DSGVO-Bußgeld. Die 16 Landesdatenschutzbehörden ziehen nach.
€800–1500
Pro Bild (UrhG § 97a)
Abmahnkanzleien wie Waldorf Frommer, LHR oder Pixsy versenden zehntausende Schreiben pro Jahr. Vergleiche bis 1.500 € pro Foto, zusätzlich Anwaltskosten nach RVG. Grundlage: § 97 und § 97a UrhG, BGH I ZR 187/17.
€100.000
BFSG-Bußgeld pro Verstoß
Seit 28. Juni 2025 gilt das BFSG. Nach § 37 BFSG drohen bis zu 100.000 € pro schwerem Verstoß, plus Marktüberwachung durch die Länder und UWG-Abmahnungen durch die Wettbewerbszentrale nach § 3a UWG.
< 1 Std.
Typischer Fix
Ein einzelner Verstoß kann mehr kosten als Jahre der Prävention. Die meisten Fixes aus unserem Bericht sind in unter einer Stunde umgesetzt.

Die 7 Bereiche im Detail.

Was wir konkret kontrollieren
Bildquellen-Erkennung über Google Vision Web Detection (Abfrage des Google-Index; keine perceptual-hash-Rückwärtssuche)
Abgleich mit bekannten Stock-Bibliotheken (Getty, Shutterstock, Adobe Stock)
EXIF- & Metadaten-Analyse auf Lizenzhinweise
Erkennung KI-generierter Bilder (Stable Diffusion, Midjourney Signaturen)
UrhG §97
UrhG §97a
BGH I ZR 187/17
Beispiel-Befund
Hoch
Möglicherweise unlizenziertes Foto von Getty Images auf /ueber-uns gefunden.
Das Risiko, wenn Sie es ignorieren
Abmahnungen von Waldorf Frommer, LHR oder Pixsy. Vergleiche €800–€1.500 pro Bild, höher bei gewerblicher Nutzung. Zusätzlich Anwaltskosten gemäß §97a UrhG.
Was wir konkret kontrollieren
Cookie-Banner: Vor-Einwilligung erkennen (Script-Auslösung vor „Akzeptieren")
Datenschutzerklärung: Vorhandensein + 13 Pflichtangaben nach Art. 13 DSGVO
Auftragsverarbeiter-Übersicht: Drittanbieter-Skripte identifiziert und gemappt
Drittlandübermittlung: Erkennung von US-/Nicht-EU-Endpunkten (Schrems II)
Betroffenenrechte: Kontaktweg für Auskunfts-/Löschanfragen vorhanden
DSGVO Art. 6, 13, 28
TDDDG § 25
BDSG § 43
BGH I ZR 7/16 (Planet49)
Beispiel-Befund
Kritisch
Google Analytics lädt vor der Cookie-Einwilligung.
Das Risiko, wenn Sie es ignorieren
Bußgelder durch die BfDI (Bund) oder die 16 Landesdatenschutzbehörden bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes. Am 3. Juni 2025 verhängte der BfDI 45 Mio. € gegen Vodafone. Bei KMU üblicherweise 5.000 bis 100.000 € pro Verstoß plus Reputationsschaden.
Was wir konkret kontrollieren
Alt-Texte bei bedeutungstragenden Bildern (WCAG 1.1.1)
Farbkontrast: Text mindestens 4,5:1, große Schrift 3:1 (WCAG 1.4.3)
Tastaturnavigation: Tab-Reihenfolge, sichtbare Fokus-Zustände
Formularfelder: Labels, Fehlermeldungen, Screenreader-Kompatibilität
Video & Audio: Untertitel, Transkript (WCAG 1.2.x)
PDF-Barrierefreiheit: getaggte Struktur, Leihenfolge (nur Premium)
BFSG § 3
BFSG § 37
BFSGV
EN 301 549
WCAG 2.2 AA
Beispiel-Befund
Hoch
12 Bilder ohne Alt-Text (WCAG 1.1.1).
Das Risiko, wenn Sie es ignorieren
Das BFSG gilt seit 28. Juni 2025. Nach § 37 BFSG drohen Bußgelder bis 100.000 € bei schweren Verstößen und bis 10.000 € bei weniger schweren Fällen. Marktüberwachungsbehörden der Länder können den Vertrieb untersagen. Der reale Durchsetzungskanal läuft zusätzlich über UWG-Abmahnungen nach § 3a UWG durch Mitbewerber und die Wettbewerbszentrale.
Was wir konkret kontrollieren
TLS-Konfiguration: Zertifikatsgültigkeit, Cipher-Suites, Protokollversionen
HTTP Security Header: CSP, HSTS, X-Frame-Options, Referrer-Policy
Bekannte Schwachstellen: jQuery, WordPress, Plugins (CVE-Datenbank-Abgleich)
Mixed Content: HTTP-Ressourcen auf HTTPS-Seiten
Subresource Integrity (SRI) bei externen Skripten
DSGVO Art. 32
DSGVO Art. 83
BSI Grundschutz
Beispiel-Befund
Hoch
Content-Security-Policy Header fehlt.
Das Risiko, wenn Sie es ignorieren
Kein direktes BSI-Bußgeld für KMU-Websites, aber DSGVO Art. 32 verlangt „angemessene technische Maßnahmen". Ein Datenleck durch eine bekannte Schwachstelle gilt bei BfDI und Landesdatenschutzbehörden als erschwerender Umstand bei der Bußgeldbemessung nach DSGVO Art. 83 Abs. 2 lit. d.
Was wir konkret kontrollieren
Impressum: vollständige Angaben nach § 5 DDG (Name, Anschrift, Kontakt, USt-IdNr.)
Handelsregisternummer (HRB/HRA) & USt-IdNr.: vorhanden und sichtbar
AGB: vorhanden, abrufbar als PDF, Einbezug bei Vertragsabschluss
Ladungsfähige Anschrift: in Footer oder Kontaktseite vorhanden
Kontaktmöglichkeit: E-Mail oder Formular gemäß § 5 Abs. 1 Nr. 2 DDG
DDG § 5
DDG § 6
UWG § 3a
UWG § 13a
Beispiel-Befund
Mittel
Impressum fehlt die USt-IdNr. (§ 5 Abs. 1 Nr. 6 DDG).
Das Risiko, wenn Sie es ignorieren
Abmahnungen durch Mitbewerber oder die Wettbewerbszentrale nach § 8 UWG (Anwaltsgebühren 600 bis 2.500 € nach RVG). Nach § 13a UWG-Reform 2020 keine Vertragsstrafe bei Erstabmahnung gegen Unternehmen unter 100 Beschäftigten in Bagatellfällen.
Was wir konkret kontrollieren
Double-Opt-in: Bestätigungsmail bei Anmeldung
Abmeldelink: vorhanden und funktional in jeder E-Mail
Einwilligungsdokumentation: Zeitpunkt, IP, Formulartext gespeichert
Spezifische Checkbox für Marketing, nicht vorausgewählt
Versand von eigener Domain (SPF/DKIM aligned)
UWG § 7
DSGVO Art. 7
BGH VI ZR 156/13
Beispiel-Befund
Mittel
Newsletter-Formular ohne Double-Opt-in.
Das Risiko, wenn Sie es ignorieren
Abmahnungen nach § 7 UWG (Anwaltsgebühren 600 bis 2.000 € nach RVG) plus DSGVO-Bußgelder. Die Wettbewerbszentrale und Verbraucherzentralen mahnen aktiv ab. Einzelne Spam-Beschwerden können den IP-Reputations-Score bei Mail-Providern dauerhaft schädigen.
Was wir konkret kontrollieren
Button-Beschriftung: „zahlungspflichtig bestellen" (§312j Abs. 3 BGB)
Widerrufsbelehrung: Muster-Widerrufsformular und 14-Tage-Frist klar erkennbar
Preisangaben: Gesamtpreis inkl. USt und Versand vor Bestellung sichtbar (PAngV)
Lieferzeit: konkret angegeben (keine vagen Angaben wie „schnell")
Gewährleistung & Garantie: rechtlich und kommerziell unterschieden (Juni 2026)
BGB § 312j Abs. 3
BGB § 355
PAngV § 11
LG Hildesheim 6 O 156/22
Beispiel-Befund
Hoch
Bestellbutton fehlt „zahlungspflichtig bestellen" (Button-Lösung).
Das Risiko, wenn Sie es ignorieren
Falsch beschrifteter Bestellbutton: Vertrag kommt nach § 312j Abs. 4 BGB nicht zustande, Kunde behält die Ware ohne Zahlungspflicht (LG Hildesheim 6 O 156/22, 7. März 2023). Zusätzlich Abmahnungen über die Wettbewerbszentrale nach § 8 UWG (Anwaltsgebühren 600 bis 2.500 € nach RVG).

Methodik

Wie wir es durchführen, ohne Blackbox.

Unsere Open-Source-Arbeit auf GitHub →

01

Recherche zur geltenden Rechtslage

Wir verfolgen EU-weite Gesetzgebung (DSGVO, ePrivacy) und die deutsche Ergänzung (BDSG, TDDDG, DDG, UWG, BFSG, BGB). Wenn der BfDI, eine Landesdatenschutzbehörde oder die DSK ihre Orientierungshilfe aktualisiert oder ein BGH/OLG-Urteil eine Regel verschärft, wird unsere Checkliste innerhalb von Wochen angepasst.

02

Automatisierte Validierung

Jede Regel, die sich testen lässt, bekommt eine deterministische Prüfung: ein echter Browser lädt die Seite (Playwright/Chrome), wir lesen DOM, Header, Requests und TLS-Konfiguration. Keine „KI-Magie", wo Code eine ehrliche Antwort geben kann.

03

KI für komplexere Prüfungen

Für Regeln, die kein einfaches Häkchen sind (Vollständigkeit der Datenschutzerklärung nach Art. 13 DSGVO, Dark Patterns im Checkout, Tonalität der Einwilligungs-Copy nach DSK-Orientierungshilfe), nutzen wir eine Kombination der neuesten lokalen und Cloud-Modelle. Gezielt eingesetzt und immer auf die deutsche Quellnorm rückführbar.

Möchten Sie wissen, wo Ihre Website steht?

Eine Seite gratis. Keine Registrierung. Ergebnis in 60 Sekunden, mit konkreten Handlungsempfehlungen und Verweis auf die einschlägige deutsche Norm.

Kostenlosen Check starten →

Wir prüfen 187 Dinge, die BfDI, BayLDA, die Wettbewerbszentrale und Nutzer von Ihrer Website erwarten.

Was steht auf dem Spiel?

Die 7 Bereiche im Detail.

Bildrechte

DSGVO & Datenschutz

Barrierefreiheit

IT-Sicherheit

Rechtliche Seiten

E-Commerce

Wie wir es durchführen, ohne Blackbox.

Recherche zur geltenden Rechtslage

Automatisierte Validierung

KI für komplexere Prüfungen

Möchten Sie wissen, wo Ihre Website steht?

Wir prüfen 187 Dinge, die BfDI, BayLDA, die Wettbewerbszentrale und Nutzer von Ihrer Website erwarten.

Was steht auf dem Spiel?

Die 7 Bereiche im Detail.

Bildrechte

DSGVO & Datenschutz

Barrierefreiheit

IT-Sicherheit

Rechtliche Seiten

Newsletter

E-Commerce

Wie wir es durchführen, ohne Blackbox.

Recherche zur geltenden Rechtslage

Automatisierte Validierung

KI für komplexere Prüfungen

Möchten Sie wissen, wo Ihre Website steht?