PynkSoft Web Scanner

Scanner Gesetze Anmelden
Gesetzliche Grundlagen
Relevante Gesetze & Verordnungen für Website-Betreiber in Deutschland
EU-Recht
DSGVO – Datenschutz-Grundverordnung
Verordnung (EU) 2016/679  ·  in Kraft seit 25. Mai 2018

Die DSGVO regelt den Umgang mit personenbezogenen Daten von EU-Bürgerinnen und -Bürgern. Sie gilt für jede Organisation, die Daten von EU-Personen verarbeitet – unabhängig vom Sitz des Unternehmens.

Pflichten für Website-Betreiber
  • Datenschutzerklärung (Art. 13/14)
  • Impressumspflicht mit Verantwortlichem
  • Cookie-Einwilligung bei Tracking (Art. 6)
  • Keine Google Fonts ohne Einwilligung
  • Kein Einbinden externer Ressourcen ohne Consent
  • Auftragsverarbeitungsvertrag (AVV) mit Dienstleistern
  • Löschkonzept für personenbezogene Daten
Bußgelder bei Verstößen
  • Bis zu 20 Mio. € oder
  • 4 % des weltweiten Jahresumsatzes (der höhere Betrag)
  • Abmahnungen durch Wettbewerber
  • Schadensersatzklagen Betroffener (Art. 82)
⚖️
Urteil: LG München I, Az. 3 O 17493/20 (Januar 2022)
Ein Websitebetreiber hat Google Fonts ohne Einwilligung eingebunden. Dabei wurde die IP-Adresse des Besuchers an US-Server von Google übermittelt. Das Gericht verurteilte den Betreiber zu 100 € Schadensersatz – für einen einzigen Seitenbesuch.
Konsequenz: Bereits ein einziger Besucher kann Schadensersatz fordern. Bei tausenden Besuchern droht erhebliches finanzielles Risiko. mywebscan.de erkennt eingebundene Google Fonts automatisch.
📋 Was mywebscan.de prüft: Einbindung externer Ressourcen (Google Fonts, CDNs), fehlende oder falsche Datenschutzhinweise, unsichere HTTP-Verbindungen, fehlende HTTPS-Umleitung.
DE-Recht
BFSG – Barrierefreiheitsstärkungsgesetz
Umsetzung der EU-Richtlinie 2019/882  ·  Anwendbar ab 28. Juni 2025

Das BFSG verpflichtet private Unternehmen, digitale Produkte und Dienstleistungen barrierefrei zu gestalten. Es betrifft alle Unternehmen, die Verbraucher in der EU beliefern – mit Ausnahme von Kleinstunternehmen (< 10 Mitarbeiter, < 2 Mio. € Jahresumsatz).

Betroffene Produkte & Dienste
  • E-Commerce-Websites und -Apps
  • Online-Banking und Finanzdienstleistungen
  • Ticketverkauf (Bahn, Flug, ÖPNV)
  • Streaming-Dienste
  • Telekommunikationsdienste
  • E-Books und E-Reader-Software
Technische Anforderungen (WCAG 2.1 AA)
  • Alt-Texte für alle Bilder
  • Ausreichende Farbkontraste (≥ 4,5:1)
  • Tastaturnavigation ohne Maus
  • Sprachattribut gesetzt (lang="de")
  • Beschriftung aller Formularfelder
  • Korrekte Überschriftenstruktur (h1→h2→h3)
Frist abgelaufen: Seit 28. Juni 2025 gilt das BFSG vollumfänglich. Verstöße können durch Marktüberwachungsbehörden verfolgt werden. Bußgelder bis zu 100.000 € möglich.
📋 Was mywebscan.de prüft: Fehlende Alt-Texte, unzureichende Kontraste, fehlendes lang-Attribut, Formulare ohne Label, falsche Überschriftenstruktur, leere Links.
DE-Recht
TTDSG – Telekommunikation-Telemedien-Datenschutz-Gesetz
In Kraft seit 1. Dezember 2021  ·  Ablösung von TMG §§ 11–15 und TKG §§ 91–107

Das TTDSG regelt den Einsatz von Cookies und ähnlichen Technologien (§ 25). Tracking-Cookies und nicht-technisch-notwendige Cookies erfordern eine ausdrückliche Einwilligung des Nutzers – unabhängig von der DSGVO.

Einwilligungspflichtig (§ 25 Abs. 1)
  • Analyse-Cookies (Google Analytics, Matomo)
  • Marketing- und Retargeting-Cookies
  • Social-Media-Pixel (Facebook, LinkedIn)
  • Fingerprinting-Technologien
Ohne Einwilligung erlaubt (§ 25 Abs. 2)
  • Session-Cookies für Login
  • Warenkorb-Cookies
  • Technisch notwendige Cookies
  • Sprachpräferenz-Cookies
📋 Was mywebscan.de prüft: Einbindung externer Tracking-Dienste, Google Fonts (überträgt IP-Adressen), externe JavaScript-Bibliotheken ohne Einwilligung.
Empfehlung
HTTP-Sicherheitsheader & BSI-Grundschutz
OWASP-Empfehlungen  ·  BSI IT-Grundschutz  ·  Technische Richtlinien

Sicherheitsheader sind keine gesetzliche Pflicht, aber Teil des technisch-organisatorischen Datenschutzes (Art. 32 DSGVO). Fehlende Schutzmaßnahmen können als DSGVO-Verstoß gewertet werden. Das BSI empfiehlt die Implementierung aller gängigen Sicherheitsheader.

Empfohlene Sicherheitsheader
  • Strict-Transport-Security (HSTS)
  • Content-Security-Policy (CSP)
  • X-Frame-Options
  • X-Content-Type-Options
  • Referrer-Policy
  • Permissions-Policy
Rechtliche Einordnung
  • Art. 32 DSGVO: „Geeignete technische Maßnahmen"
  • BSI IT-Grundschutz: APP.3.1 Webanwendungen
  • Fehlender HSTS kann als Verstoß gewertet werden
  • CSP schützt vor XSS – relevant für DSGVO-Compliance
📋 Was mywebscan.de prüft: Vorhandensein und korrekte Konfiguration aller relevanten HTTP-Sicherheitsheader auf jeder gecrawlten Unterseite.

Hinweis: Diese Seite dient der Information. Sie ersetzt keine Rechtsberatung. Bei konkreten rechtlichen Fragen wenden Sie sich an einen Fachanwalt für IT-Recht oder Datenschutz.