Editorial Studio  /  Montabaur

Webseiten, die Vertrauen erzeugen. Audit, Redesign, Akquise — aus einer Hand.

Compliance

Website-Compliance-Check

Für Unternehmer und WordPress-Betreiber

Ihre Webseite hat Lücken.
Wir zeigen Ihnen genau welche.

Security-Check. DSGVO-Check. BFSG-Check. Cookie-Check.
Messbar. Konkret. Ohne Anwaltsdeutsch.
Innerhalb von 24–48 Stunden je nach Paket wissen Sie, wo Ihre Webseite angreifbar ist — für Hacker, für Abmahnkanzleien, für Datenschutzbehörden.

Dieses Angebot richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB. Verbraucher im Sinne des § 13 BGB sind nicht Zielgruppe dieser Dienstleistung. Alle Preise verstehen sich netto zzgl. der gesetzlichen Mehrwertsteuer (19 %).
Jetzt kostenlos prüfen lassen Alle Pakete ansehen
01 Prüfbereiche

Was wir für Unternehmer prüfen

Fünf Prüfbereiche. Jeder einzeln buchbar, alle zusammen als Komplett-Check — mit konkretem Befund-Bericht, nicht mit Warn-Listen.

Modul E

Security-Header und TLS

Wir prüfen sechs HTTP-Security-Header (Content-Security-Policy, X-Frame-Options, Strict-Transport-Security und weitere), die TLS-Konfiguration sowie das Ablaufdatum Ihres Zertifikats. Fehlende oder fehlerhafte Header sind in Minuten ausnutzbar und in öffentlichen Scan-Tools sofort sichtbar.

Modul B

Cookie-Consent vor der Einwilligung

Wir zeichnen den Netzwerk-Verkehr Ihrer Webseite auf, bevor ein Nutzer auf „Akzeptieren“ klickt. Das Ergebnis ist ein Screenshot mit Liste der Tracker, die in diesem Moment bereits aktiv sind — nicht eine Warnung, sondern ein Dokument. Pre-Consent-Tracking ist ein technischer Befund, der von Datenschutzbehörden und Abmahnkanzleien regelmäßig als TDDDG-relevant gewertet wird.

Modul E

Plugin-Schwachstellen (CVE-Abgleich)

Wir gleichen Ihre installierten WordPress-Plugins gegen öffentlich gemeldete Sicherheitslücken (CVE-Datenbanken) ab. Im Jahr 2024 wurden 7.966 neue Sicherheitslücken im WordPress-Ökosystem registriert — 96 % davon steckten in Plugins, nicht im WordPress-Kern. (Patchstack, 2024)

Modul E

Login-Härtung und Quellcode-Exposition

Wir prüfen, ob der WordPress-Login-Pfad exponiert ist, ob phpMyAdmin erreichbar ist und ob Quellcode-Artefakte wie .env-Dateien, .git-Verzeichnisse oder wp-config.bak-Backups öffentlich zugänglich sind. Jeder dieser Punkte ist von außen in Sekunden überprüfbar.

Modul C

DSGVO-Pflichtangaben und veraltete Textbausteine

Wir prüfen Ihre Datenschutzerklärung auf die zwölf Pflichtangaben nach Art. 13 DSGVO, auf veraltete Anbieternamen (Google Inc. statt Google LLC, Privacy Shield statt DPF) und auf fehlende Drittland-Hinweise für US-Dienste nach Schrems II. Veraltete Datenschutzerklärungen sind ein häufiges und leicht erkennbares Abmahn-Ziel.

Module A + D

BFSG-Barrierefreiheit und Impressum

Wir prüfen die sechs Pflichtfelder der Barrierefreiheitserklärung nach BFSG Anlage 3, den Lighthouse-Accessibility-Score sowie die sieben Impressums-Pflichtangaben nach § 5 DDG.

Das Barrierefreiheitsstärkungsgesetz (BFSG) gilt seit dem 28. Juni 2025 für gewerbliche Webseiten mit Privatkundenkontakt oberhalb der gesetzlichen Schwellen (mehr als 10 Mitarbeitende oder mehr als 2 Mio. € Jahresumsatz im B2C-Bereich). Kleinstunternehmen können ausgenommen sein.
02 Fakten & Methodik

Was dieser Check ist — und was nicht.

Was gemessen wird. Womit. Und was Sie danach in der Hand haben.

7.966
Neue Sicherheitslücken im WP-Ökosystem 2024 — 96 % davon in Plugins.
Patchstack 2024
über 40 %
Aller Websites mit bekanntem CMS laufen auf WordPress — Hauptziel automatisierter Angriffe.
W3Techs, Juni 2026
50.000 €
Typischer Wiederherstellungsaufwand nach einem Hack (5.000–50.000 €). Der Check kostet einen Bruchteil.
BSI / Hiscox

Methodik

Das RSSL-Audit-System läuft auf expertomundi.de selbst. Security-Header, axe-core-Barrierefreiheitsprüfung und HAR-basierte Cookie-Aufzeichnung wurden an der eigenen Domain entwickelt und eingesetzt — nicht im Labor, sondern im Betrieb.

Fachliche Grundlage

WCAG 2.1 AA und BFSG Anlage 3 für Barrierefreiheit. TDDDG (2024) für Cookie-Consent. Art. 13 DSGVO für die Datenschutzerklärung. EDPB-Guidelines (Stand 2026) für Drittland-Transfers.

Ehrlichkeits-Position

Kein Penetrationstest. Kein Anwalts-Ersatz. Kein Versprechen einer „sicheren“ Website nach dem Check. Was Sie bekommen: dokumentierte Befunde auf Basis öffentlich messbarer Merkmale — als technische Grundlage für Ihre nächsten Schritte. Bei rechtlichen Konsequenzen benennen wir auf Wunsch einen Fachanwalt für IT-Recht.

Kein Bericht. Ein Nachweis.

Die meisten Compliance-Tools liefern Warn-Texte. Wir liefern Dokumente: HAR-Aufzeichnungen des Pre-Consent-Netzwerkverkehrs, annotierte Screenshots der Befundmomente, CVE-Abgleichs-Protokolle mit Zeitstempel. Das ist kein Indiz. Das ist ein Dokument — nutzbar als technische Dokumentationsgrundlage gegenüber Behörden, internen Revisoren oder beauftragten Anwälten.

  • Befunde mit Screenshot-Belegen — keine reinen Warn-Texte
  • HAR-Datei als technisches Primärdokument beim Cookie-Consent-Check
  • CVE-Abgleich mit Zeitstempel und öffentlicher Datenbank-Referenz
  • Alle Befunde in strukturiertem PDF, in Klartext und nachvollziehbar
03 Pakete & Preise

Ihre Optionen als Unternehmer

Einmalig oder laufend — je nachdem, wie Ihre Website-Infrastruktur aussieht.

Einzel-Check
ab 49 €
netto einmalig zzgl. gesetzlicher MwSt. (19 %)
Impressum-Check 49 €, alle anderen Einzel-Module 99 € netto
  • Ein Themenbereich Ihrer Wahl (BFSG, Cookie-Consent, DSGVO, Impressum oder Security)
  • Vollständiger Befund-Bericht als PDF
  • Klartext-Erklärung zu jedem Befund mit Handlungsempfehlung
  • Lieferung innerhalb von 24 Stunden nach Buchung

Geeignet wenn Sie ein konkretes Einzelthema haben — etwa: „Ich will wissen, ob mein Cookie-Banner stimmt“ oder „Wir brauchen eine schnelle Impressums-Prüfung vor dem nächsten Außenauftritt.“

Modul auswählen
Empfohlen für KMU
Compliance-Komplett-Check
449 €
netto einmalig zzgl. gesetzlicher MwSt. (19 %)
  • Alle fünf Prüfbereiche (Module A–E): BFSG, Cookie-Consent, DSGVO-DSE, Impressum, Security
  • Hoster-Souveränitäts-Einschätzung (Schrems-II-Einordnung) ohne Aufpreis
  • Konsolidierter Gesamt-Bericht mit Prioritäten-Liste
  • Einseitige Kurzfassung für Geschäftsführer ohne IT-Hintergrund
  • 30-minütiges Ergebnis-Gespräch (Videocall) — technische Erläuterung, keine Rechtsberatung. Für verbindliche Rechtsfragen verweisen wir an Fachanwälte.
  • Lieferung innerhalb von 48 Stunden nach Buchung

Geeignet wenn Sie einmal vollständig wissen wollen, wo Ihr Unternehmen steht — ohne fünf Einzelbuchungen und ohne selbst entscheiden zu müssen, welche Module relevant sind.

Jetzt buchen
Compliance-Monitor
79 €
netto / Monat (Jahresvertrag, Mindestlaufzeit 12 Monate) zzgl. gesetzlicher MwSt. (19 %)
oder 99 € netto / Monat (monatlich kündbar)
  • Monatliche Wiederholung der sicherheitskritischen Checks (CVE, TLS, Cookie)
  • Schnell-Alarm per E-Mail bei neu bekannt gewordenen Sicherheitslücken in Ihren Plugins (E-Mail innerhalb von 24 Stunden)
  • Frühwarnung 30 Tage vor TLS-Zertifikat-Ablauf
  • Erkennung von Cookie-Banner-Drift bei Plugin-/Theme-Updates
  • Erkennung von Datenschutzerklärung-Drift bei Anbieter-Änderungen
  • Monatlicher Kurzbericht (2–3 Seiten) mit Ampel-Delta

Geeignet wenn Sie den ersten Komplett-Audit abgeschlossen haben und nicht bei jedem WordPress-Update erneut von vorne prüfen wollen. Compliance-Anforderungen ändern sich laufend.

Abo anfragen
Jugendschutz-Check (Add-on)
ab 100 €
netto als Add-on zu einem gebuchten Modul oder Komplett-Audit zzgl. gesetzlicher MwSt. (19 %)
Standalone: 150 € netto (Weingüter/Spirituosen) · 200 € netto (Tabak/Vape)
  • Prüfung ob die eingesetzte Altersverifikation den Anforderungen von JuSchG / JMStV entspricht
  • Bewertung ob eine einfache Checkbox oder ein belastbares Verifikationsverfahren nötig ist
  • Konkrete Empfehlung für konforme Alternativen

Für Gewerbebetriebe mit altersbeschränkten Produkten: Weingüter und Spirituosenhandel, Tabak- und Zigarrengeschäfte, Vape- und E-Zigaretten-Shops.

Add-on anfragen

Alle genannten Preise verstehen sich als Nettopreise zzgl. der gesetzlichen Mehrwertsteuer (19 %). Experto Mundi / Marcel Peter ist regelbesteuert, USt-IdNr.: DE454571966.

Anfrage — URL + Wunschpaket genügt

Website-URL + Wunschpaket reichen. Wir melden uns innerhalb eines Werktages mit einem schriftlichen Angebot — ohne Vorgespräch, ohne Formular-Marathon.

Wenn Sie uns per E-Mail kontaktieren, verwenden wir Ihre Angaben ausschließlich zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Es erfolgt keine Weitergabe an Dritte. Weitere Informationen in unserer Datenschutzerklärung. Sie können der Verwendung jederzeit widersprechen.

Neu ab 19. Juni 2026 — gesetzliche Pflicht

Widerrufsbutton-Pflicht (§ 356a BGB)
Technische Prüfung inklusive im Komplett-Check

Hinweis: Die folgende Darstellung ist eine allgemeine Sachinformation zu einer gesetzlichen Neuregelung — keine Rechtsberatung und kein Rechtsurteil im Einzelfall. Experto Mundi ist eine Werbeagentur, keine Anwaltskanzlei. Für die verbindliche Bewertung Ihres konkreten Shop-Systems empfehlen wir einen Fachanwalt für IT-Recht.

Ab dem 19. Juni 2026 gilt § 356a BGB n. F. (EU-Modernisierungsrichtlinie): Wenn Sie als Unternehmer einen Online-Shop betreiben und dort an Endverbraucher verkaufen, müssen Sie Ihren Verbraucher-Kunden eine elektronische Widerrufsfunktion bereitstellen. Die Bezeichnung ist gesetzlich festgelegt: „Vertrag widerrufen“. Der Button muss gut lesbar, ohne Login erreichbar und während der gesamten Widerrufsfrist dauerhaft zugänglich sein. Außerdem ist der Widerruf zweistufig auszugestalten: starten und anschließend bestätigen.

Was ist ausgenommen? Reine B2B-Shops (nur Verkauf an Gewerbetreibende nach § 14 BGB) sowie Verträge, bei denen ohnehin kein gesetzliches Widerrufsrecht besteht (§ 312g Abs. 2 BGB, z. B. individuell angefertigte Waren), sind von dieser Pflicht nicht erfasst. Auch Bestellvorgänge über Telefon, Fax oder Bestellkarte unterliegen nicht der Buttonpflicht.

Fehlt der Button trotz bestehender Pflicht, können nach dem Gesetz ein Bußgeld bis zu 50.000 € (gesetzlicher Maximalrahmen, kein Regelbetrag), eine verlängerte Widerrufsfrist von bis zu 12 Monaten und 14 Tagen sowie Abmahnungen durch Mitbewerber oder Verbände drohen.

Was unser Check prüft

Unser technischer Widerrufsbutton-Check analysiert die öffentlich erreichbare Oberfläche Ihres Shop-Systems. Er prüft:

  • Ob auf Ihrer öffentlich erreichbaren Shop-Oberfläche ein klickbares Element mit der Bezeichnung „Vertrag widerrufen“ oder einer gesetzeskonformen Variante auffindbar ist
  • Ob eine bloße Widerrufsbelehrung (statische Info-Seite) oder ein PDF-Formular vorliegt — diese erfüllen die Buttonpflicht nicht
  • Ob der Button ohne Login erreichbar erscheint (soweit extern messbar)
  • Ob typische Shop-Fingerprints erkennbar sind (WooCommerce, Shopify, Shopware, Magento) und ob die Seite an Endverbraucher oder ausschließlich an Gewerbetreibende richtet — die Beurteilung erfolgt mit Konfidenzangabe, keine pauschale Einordnung

Wichtig: Dies ist ein technisch messbarer Risiko-Indikator auf Basis der öffentlich sichtbaren Shop-Oberfläche — keine rechtliche Bewertung ob Ihre konkreten Verträge dem Widerrufsrecht unterliegen. Die B2C-Eigenschaft Ihres Shops kann technisch nur mit Konfidenz eingeschätzt, nicht abschließend festgestellt werden. Für die verbindliche Einordnung empfehlen wir einen Fachanwalt für IT-Recht.

Diese Information richtet sich an Sie als Shop-Betreiber (Unternehmer § 14 BGB). Die Buttonpflicht betrifft Ihre Verbraucher-Kunden, d. h. die Personen, die in Ihrem Shop als Endverbraucher einkaufen. Reine B2B-Shops ohne Verbraucher-Verkauf sind von § 356a BGB n. F. nicht erfasst.
04 FAQ

Häufige Fragen

Wie lange dauert die Prüfung?
Der kostenlose Schnellscore liefert eine Ampel-Übersicht in rund 30 Sekunden. Der vollständige Befund-Bericht eines Einzel-Moduls wird innerhalb von 24 Stunden nach Buchung geliefert. Der Compliance-Komplett-Check (alle fünf Bereiche) liegt innerhalb von 48 Stunden vor.
Für welche Webseiten ist der Check geeignet?
Der Check ist für WordPress-Webseiten konzipiert und optimiert. Die Prüfbereiche Security-Header, TLS, Cookie-Consent, DSGVO-Datenschutzerklärung und Impressum sind technisch gesehen für jede öffentlich erreichbare Webseite anwendbar. Den vollen Leistungsumfang des Plugin-CVE-Abgleichs erhalten Sie bei WordPress-Installationen. Für Fragen zu Nicht-WordPress-Seiten sprechen Sie uns direkt an.
Ist das eine Rechtsberatung?
Nein. Unser Check ist eine technische Analyse. Wir messen, ob Pflichtangaben vorhanden sind, ob bekannte Sicherheitslücken vorliegen und ob Tracker vor der Einwilligung aktiv werden. Jeder Befund ist ein technisch messbarer Risiko-Indikator — kein Rechtsurteil und keine verbindliche rechtliche Bewertung. Für verbindliche Einschätzungen mit rechtlichen Konsequenzen empfehlen wir einen Fachanwalt für IT-Recht oder Datenschutz. Experto Mundi ist eine Werbeagentur, keine Anwaltskanzlei — das Rechtsdienstleistungsgesetz (RDG) setzt hier klare Grenzen, die wir respektieren.
Wo läuft die Datenverarbeitung?
Die Prüfung erfolgt durch Experto Mundi, Inhaber Marcel Peter, mit Sitz in Deutschland (Grubenfeld 14c, 56410 Montabaur). Die technische Analyse-Infrastruktur läuft lokal bzw. auf deutschen oder EU-ansässigen Servern. Es werden keine Kundendaten an US-Cloud-Dienste übermittelt. Auf Anfrage stellen wir einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zur Verfügung.
Brauchen wir einen AVV?
Bei der Prüfung Ihrer öffentlich erreichbaren Webseite verarbeiten wir keine personenbezogenen Daten Ihrer Nutzer. Daher ist keine Auftragsverarbeitung im Sinne von Art. 28 DSGVO erforderlich. Wenn Sie im Rahmen eines laufenden Compliance-Monitors Zugangsdaten übermitteln, stellen wir selbstverständlich einen AVV bereit.
Was passiert, wenn Befunde festgestellt werden?
Sie erhalten einen schriftlichen Befund-Bericht als PDF. Jeder Befund enthält: eine Beschreibung des festgestellten Problems, eine Einordnung warum es relevant ist und eine konkrete Handlungsempfehlung. Beim Komplett-Audit außerdem eine Prioritäten-Liste und ein persönliches Ergebnis-Gespräch (technische Erläuterung — keine Rechtsberatung). Keine Änderungen an Ihrer Webseite werden ohne Ihre ausdrückliche Rückmeldung vorgenommen.
Wird unsere Webseite ohne Rückfrage verändert?
Nein. Wir prüfen Ihre Webseite ausschließlich von außen, ohne Login und ohne schreibenden Systemzugriff. Technische Korrekturen — falls gewünscht — werden als separater Folgeauftrag nach Ihrer Entscheidung durchgeführt.
Was ist mit NIS2 und DORA?
NIS2 und DORA sind regulatorische Anforderungen für spezifische Branchen und Unternehmensgrößen. NIS2 gilt für Unternehmen mit mindestens 50 Mitarbeitenden in definierten kritischen Sektoren, DORA für Finanzdienstleister. Diese Bereiche gehen über technisch messbare Website-Checks hinaus. Wenn Sie hierzu eine erste Einschätzung benötigen, sprechen Sie uns an — wir nennen Ihnen spezialisierte Berater und Fachanwälte.
Hinweis: Dieser Website-Compliance-Check ist eine technische Analyse, kein Rechtsurteil und keine Rechtsberatung. Die Befunde sind Risiko-Indikatoren auf Basis öffentlich messbarer Merkmale Ihrer Webseite. Experto Mundi ist eine Werbeagentur, keine Rechtsanwaltskanzlei; eine rechtliche Bewertung des Einzelfalls im Sinne des Rechtsdienstleistungsgesetzes (RDG) ist nicht Gegenstand dieser Leistung. Für verbindliche rechtliche Aussagen empfehlen wir einen Fachanwalt für IT-Recht oder Datenschutz. Genannte Bußgeldhöhen sind gesetzliche Maximalrahmen, keine Regelbeträge. BFSG-Pflichten gelten für gewerbliche Webseiten mit Privatkundenkontakt (Schwellen: mehr als 10 Mitarbeitende oder mehr als 2 Mio. € Jahresumsatz im B2C-Bereich).
Dieses Angebot richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB. Verbraucher im Sinne des § 13 BGB sind nicht Zielgruppe dieser Dienstleistung. Alle Preise verstehen sich netto zzgl. der gesetzlichen Mehrwertsteuer (19 %).

Anbieter

Werbeagentur Experto Mundi
Inhaber Marcel Peter
Grubenfeld 14c · 56410 Montabaur
USt-IdNr.: DE454571966

Rechtliches

Impressum
Datenschutzerklärung
AVV auf Anfrage über das Kontaktformular

Leistungen

Security-Check
Cookie-Consent-Check
DSGVO-Datenschutz-Check
BFSG-Barrierefreiheits-Check
Impressum-Check

Alle Preise netto zzgl. 19 % MwSt. · Experto Mundi / Marcel Peter ist regelbesteuert · Technische Analyse, kein Rechtsurteil · Impressum · Datenschutz