DSGVO Tracking Audit für Websites und Marketing-Tags
Finden Sie Tracker, Consent-Signale, Drittanbieter-Skripte, eingebettete Dienste, Formulare und Datenschutzlinks, bevor Analytics, Ads oder CRM-Tags zum Risiko werden.
Tracking ist oft schneller eingebaut als sauber dokumentiert
Analytics, Ads, Retargeting, Heatmaps, eingebettete Videos, Karten, Fonts und CRM-Formulare berühren schnell personenbezogene Daten, Einwilligung, Drittanbieter und Datenschutzhinweise.
Der Audit ersetzt keine Rechtsberatung, deckt aber technische Signale auf, die in Website-Projekten oft übersehen werden: Tags ohne erkennbare Consent-Signale, fehlende Datenschutzlinks oder Formulare mit schwacher Einbindung.
Tracker und Drittanbieter erkennen
Google Tag Manager, Analytics, Meta Pixel, Hotjar, Clarity, HubSpot, Fonts, Maps, YouTube und weitere Signale werden sichtbar.
Consent- und Datenschutzrisiken priorisieren
Der Audit gruppiert Findings nach Auswirkung und unterscheidet harte Risiken, Warnungen und Optimierungspunkte.
Maßnahmen für Technik und Recht ableiten
Sie erhalten konkrete To-dos für CMP, Consent Mode, Datenschutzseite, Formulartexte, Tag-Reduktion und Dokumentation.
Wo DSGVO-Tracking-Risiken auf Websites entstehen
Viele Datenschutzprobleme sitzen nicht auf einer einzelnen Seite, sondern in wiederverwendeten Templates, globalen Tag-Manager-Containern, Formular-Komponenten, Consent-Einstellungen oder externen Einbettungen. Der DSGVO Tracking Audit verbindet diese technischen Signale mit einer priorisierten Maßnahmenliste.
Cookiebot, Usercentrics, OneTrust, Borlabs, Complianz und Consentmanager werden technisch erkannt und mit Tracking-Funden abgeglichen.
GTM, GA4, Google Ads, DoubleClick und Consent-Mode-Signale werden als eigene Kategorie bewertet, weil hier oft mehrere Tags zentral gesteuert werden.
Marketing-Pixel, Conversion-Tags und Remarketing-Setups sind conversionstark, aber häufig besonders prüfungsbedürftig.
Kontakt-, Newsletter-, Download-, Login- und Anfrageformulare werden auf Datenschutzlinks, externe Ziele, GET-Methoden und sensible Eingabefelder geprüft.
Google Fonts, Maps, YouTube, Vimeo, reCAPTCHA, hCaptcha, CDN-Hosts und weitere externe Ressourcen können bereits beim Seitenaufruf Verbindungen auslösen.
Der Audit prüft, ob Datenschutz- und Impressumslinks im Crawl technisch erreichbar sind und ob Cookie-/Consent-Einstellungen auffindbar wirken.
Warum Cookie-Banner allein nicht reichen
Bei Tracking geht es nicht nur um den sichtbaren Cookie-Banner. Relevant ist, welche Dienste wirklich geladen werden, welche Daten an Dritte fließen können, ob Einwilligung freiwillig, informiert und widerrufbar ist und ob nicht notwendige Technologien vor Zustimmung blockiert bleiben.
Deshalb prüft der Audit nicht nur CMP-Namen, sondern auch Tracker-Signale, externe Ressourcen, Formularziele, Cookie-/Storage-Hinweise, Consent Mode und Links zu Datenschutz, Impressum und Cookie-Einstellungen.
Statische Vorprüfung mit manuellen Anschlussaufgaben
Automatisch: HTML, Script-Quellen, iFrames, Link-Ressourcen, Formulare, externe Hosts, Consent-Signale und Datenschutzlinks.
Manuell danach: Netzwerkrequests vor/nach Einwilligung, Banner-Design, Rechtsgrundlagen, AVV, Drittlandtransfer, Löschfristen und konkrete Datenschutzhinweise.
Ziel: Die wichtigsten technischen Lücken finden, bevor sie in Tracking, UX, Vertrauen, Conversion oder rechtlicher Prüfung weh tun.
Consent-Regeln und Datenschutzgrundlagen prüfen
Offizielle Hinweise zu Freiwilligkeit, Informiertheit, Widerruf und Nachweisbarkeit von Einwilligung.
Datenschutzaufsichtsnahe Auslegung zur Einwilligung nach DSGVO, relevant für Banner, Tracking und Widerruf.
Einordnung technisch notwendiger und nicht notwendiger Tracking-Technologien im Kontext des TDDDG.
Website auf Tracking-Risiken prüfen
Der Audit crawlt bis zu 10 Seiten derselben Domain, analysiert statische Tracking-Signale und erstellt eine priorisierte Ergebnisliste mit Score, Kategorien, Diensten, URLs und Empfehlungen.
DSGVO Tracking Audit öffnen| Scan | Startseite, Sitemap-URLs und interne Links bis zum Audit-Limit |
|---|---|
| Checks | Tracker, Consent, Datenschutzhinweise, Formulare, Drittanbieter, Consent Mode |
| Output | Score, Risikoampel, betroffene URLs, Dienste, CSV-Export |
| Hinweis | Technische Vorprüfung, keine rechtliche Einzelfallbewertung |
Aus Findings werden konkrete Aufgaben für Marketing, Technik und Datenschutz
Nicht genutzte Tags entfernen, Owner festlegen, Consent-Kategorie dokumentieren.
Ablehnen, Akzeptieren, Widerruf und Netzwerkrequests im Browser überprüfen.
Zweck, Pflichtfelder, externe Ziele, Newsletter-Opt-in und Datenschutzhinweise abgleichen.
Empfänger, Zwecke, Rechtsgrundlagen, Speicherdauer und Drittlandtransfer konkret benennen.
Häufige Fragen zum DSGVO Tracking Audit
Was prüft der DSGVO Tracking Audit?
Er sucht technische Signale für Tracker, Consent-Management, Datenschutzlinks, Formulare, externe Dienste und typische Marketing- oder Analyse-Tags.
Kann der Audit beweisen, dass Tracking rechtmäßig ist?
Nein. Er zeigt technische Risiken und Lücken. Rechtsgrundlagen, Einwilligungstexte, Verträge und konkrete Datenflüsse müssen rechtlich geprüft werden.
Warum sind Google Tag Manager und Meta Pixel kritisch?
Sie können personenbezogene Daten, Identifier, Conversion-Signale oder Drittanbieterkommunikation berühren. Ohne sauberes Consent-Setup und Dokumentation entsteht schnell ein Risiko.
Prüft der Audit Cookie-Banner visuell?
Der Audit ist eine statische technische Vorprüfung. Er erkennt CMP-Signale im HTML und Skripten, ersetzt aber keinen manuellen Banner- und Consent-Flow-Test.
Warum werden Fonts, Maps oder Videos markiert?
Externe Einbettungen können Verbindungen zu Drittanbietern auslösen. Je nach Einbindung und Rechtsgrundlage sollten diese Dienste dokumentiert und datenschutzfreundlich konfiguriert werden.
Wie passt das zu SEO und UX?
Schlankere Tags, klarere Consent-Flows und bessere Formulare verbessern Ladezeiten, Vertrauen, Conversion und technische Website-Qualität.
Was ist der Unterschied zwischen DSGVO und TDDDG beim Tracking?
Vereinfacht gesagt betrifft das TDDDG den Zugriff auf Informationen im Endgerät, etwa Cookies oder ähnliche Technologien. Die DSGVO betrifft die Verarbeitung personenbezogener Daten. In der Praxis greifen beide Themen bei Tracking oft ineinander.
Warum reicht ein vorhandener Cookie-Banner nicht automatisch aus?
Ein Banner ist nur ein sichtbarer Teil des Setups. Entscheidend ist, ob nicht notwendige Tags vor Zustimmung blockiert sind, ob Ablehnen und Widerruf funktionieren und ob Zwecke, Anbieter und Datenflüsse korrekt dokumentiert sind.
Erkennt der Audit Tracking vor Einwilligung?
Der Audit erkennt statische Einbindungen und Consent-Signale. Ob ein Tag tatsächlich vor oder nach Einwilligung feuert, muss zusätzlich im Browser mit Netzwerk- und Consent-Tests geprüft werden.
Warum prüft der Audit Formular-Actions?
Formulare sind oft die Stelle, an der personenbezogene Daten aktiv übermittelt werden. Externe Ziele, unsichere HTTP-Ziele oder GET-Formulare können Datenschutz-, Sicherheits- und Vertrauensrisiken erzeugen.
Welche Seiten sollte ich zuerst prüfen?
Startseite, Landingpages mit Ads-Traffic, Produkt- und Kategorieseiten, Kontaktseiten, Newsletter-Formulare, Checkout-nahe Seiten und alle Seiten mit eingebetteten Karten, Videos oder Tracking-Pixeln.
Was bedeutet „Drittanbieter“ im Audit?
Gemeint sind externe Hosts und Dienste, die Ressourcen laden oder Daten empfangen können, etwa Analytics-, Ads-, CRM-, Video-, Karten-, Font-, Chat- oder Anti-Spam-Anbieter.
Kann ich die Ergebnisse an Datenschutz oder Entwicklung weitergeben?
Ja. Der CSV-Export enthält Checks, Dienste, betroffene URLs, Auswirkung und Empfehlungen. Dadurch lassen sich Tickets, Tag-Manager-Aufgaben und Datenschutzprüfungen schneller vorbereiten.
Wie oft sollte Tracking geprüft werden?
Immer nach Relaunches, neuen Kampagnen, CMP-Updates, Plugin-Updates, Formularänderungen und neuen Marketing- oder CRM-Integrationen. Bei aktiven Marketing-Websites ist eine regelmäßige Prüfung sinnvoll.