Jahres-Audit für Ihre Website:
12 Punkte, die einmal pro Jahr geprüft gehören
Eine Website ist kein Gerät, das man einmal anschafft und vergisst. Was Sie einmal jährlich systematisch prüfen sollten — und woran Sie merken, dass etwas aus dem Ruder läuft, bevor Kunden es merken.
Eine Geschäfts-Website altert leise. Verträge laufen weiter, ohne dass jemand hinschaut. Drittanbieter werden ausgetauscht, ohne dass die Datenschutzerklärung angepasst wird. Bilder bleiben jahrelang online, deren Lizenzen längst abgelaufen sind. Suchmaschinen-Bewertungen verändern sich, ohne dass Ihre Sichtbarkeit mitgepflegt wird.
Ein Jahres-Audit fängt diesen schleichenden Verfall ab — bevor er zu rechtlichen Risiken, Vertrauensverlusten oder ausbleibenden Anfragen führt. Diese Checkliste ist für Geschäftsführer geschrieben, nicht für Entwickler. Sie hilft Ihnen, den Status Ihrer Website systematisch zu prüfen und mit klaren Prioritäten in Handlung zu übersetzen.
Vier Bereiche, drei Punkte je Bereich
Zwölf Prüfpunkte, in vier thematische Cluster gegliedert
SSL, Backup, Hosting-Vertrag
Datenschutz, Cookie-Banner, Pflichtangaben
Indexierung, Performance, Mobile
Bilder, Formulare, Bewertungen
Wer alle vier Bereiche jährlich abprüft, hat das Risiko eines schleichenden Schadens nahezu eliminiert.
Warum ein Jahres-Audit
Drei Veränderungen passieren immer im Hintergrund: Suchmaschinen ändern ihre Bewertungslogik. Browser verschärfen ihre Sicherheitsanforderungen. Gesetze werden neu erlassen oder konkretisiert. Wer einmal eine saubere Website gebaut hat und nichts mehr anfasst, hat nach drei Jahren eine veraltete Website — und merkt es zuerst nur an unsichtbaren Auswirkungen: weniger Besucher, weniger Anfragen, schlechtere Rankings.
Der Jahres-Audit ist die Antwort darauf. Er macht das Unsichtbare sichtbar und priorisiert Handlung. Wer ihn jedes Jahr am gleichen Termin macht, sieht außerdem die Entwicklung — und kann strategisch entscheiden, ob die nächste größere Investition ein Relaunch oder doch ein Neustart sein sollte.
Tragen Sie den Jahres-Audit als wiederkehrenden Termin ein — entweder Anfang des Geschäftsjahres oder kurz vor der Sommerpause. Erfahrungsgemäß werden Audits, die „bei Gelegenheit" gemacht werden sollen, gar nicht gemacht.
Sicherheit und technische Grundlagen
Drei Punkte, die nicht versagen dürfen — sonst wird die Website unsichtbar, unsicher oder unrettbar.
1. SSL-Zertifikat und HTTPS-Setup
Prüfen Sie, ob das Zertifikat gültig ist, ob die automatische Erneuerung funktioniert und ob alle Subdomains abgedeckt sind. Eine ganzseitige „Nicht sicher"-Warnung kostet binnen Tagen Sichtbarkeit und Vertrauen. Wie Sie SSL in zwei Minuten selbst prüfen, beschreibt der Artikel zu SSL und das Schloss in der Adresszeile.
2. Backup-Strategie und Wiederherstellbarkeit
Ein Backup, das nie getestet wurde, ist kein Backup. Lassen Sie sich vom Hoster die Backup-Frequenz, die Aufbewahrungsfristen und die Wiederherstellungs-Zeiten schriftlich bestätigen. Spielen Sie einmal jährlich ein Test-Backup auf eine Test-Umgebung ein — alles andere ist Hoffnung, kein Plan.
3. Hosting-Vertrag und Inhaberdaten
Steht der Hosting-Vertrag noch auf dem aktuellen Inhaber? Ist der Auftragsverarbeitungsvertrag (AVV) auf dem neuesten Stand? Wer den Vertragsstand vernachlässigt, sammelt rechtliche Altlasten an, die spätestens beim nächsten Inhaberwechsel teuer werden.
E-Mail-Postfächer von Mitarbeitern, die nicht mehr im Unternehmen sind. Sie laufen oft jahrelang weiter und empfangen Bestätigungs-Mails, Newsletter und manchmal Kunden-Anfragen, die niemand beantwortet. Im Jahres-Audit gehört jedes aktive Postfach mit einem aktuellen Mitarbeiter abgeglichen.
Datenschutz und Compliance
Recht und Datenschutz ändern sich schneller als die meisten Unternehmen nachpflegen. Drei Punkte, die jedes Jahr neu zu beantworten sind.
4. Datenschutzerklärung — Drittanbieter-Aktualität
Stimmen die in der Datenschutzerklärung genannten Drittanbieter noch mit dem aktuellen Stack überein? Wenn Sie ein Newsletter-Tool gewechselt, ein neues Analytics-System eingeführt oder ein Buchungs-Plugin hinzugefügt haben — die Erklärung muss das spiegeln. Eine veraltete Datenschutzerklärung ist nach DSGVO-Logik so unwirksam wie keine.
5. Cookie-Banner und Consent-Logik
Erfasst Ihr Banner alle relevanten Drittanbieter? Wird die Einwilligung sauber dokumentiert? Können Nutzer ihre Wahl ändern? Wie ein DSGVO-konformer Cookie-Banner aufgesetzt sein muss, damit er rechtlich trägt und Sie trotzdem keine Besucher verliert, ist ein eigener Beitrag wert.
6. Impressum und Pflichtangaben
Sind alle Pflichtangaben aktuell? Stimmt die vertretungsberechtigte Person? Sind die Aufsichtsbehörden korrekt benannt, falls Ihr Beruf eine kennt? Eine Adressänderung oder ein Wechsel der Geschäftsführung muss spätestens beim Jahres-Audit ins Impressum durchgezogen werden — Versäumnisse hier sind klassische Abmahn-Vorlagen.
Allein im Jahr 2025 gab es mehrere für Mittelständler relevante regulatorische Verschärfungen: das Barrierefreiheitsstärkungsgesetz (BFSG) trat in Kraft, die EmpCo-Richtlinie zur Werbung mit Nachhaltigkeit wurde finalisiert, und die EU-Vorgaben zu KI-Systemen wirken sich auf Chatbot-Einsätze aus. Wer einmal geprüft hat, hat heute schon wieder einen veralteten Stand.
Quelle: Bundesgesetzblatt, EU-Amtsblatt 2025Sichtbarkeit und Performance
Eine Website, die niemand findet, ist eine teure Visitenkarte ohne Adresse. Drei Punkte, die jährlich nachjustiert werden sollten.
7. Indexierung und Suchmaschinen-Sichtbarkeit
Sind alle wichtigen Seiten in den Suchergebnissen vorhanden? Werden Test- oder alte Versionen aus Versehen mit-indexiert? Stimmt die Sitemap mit der tatsächlichen Seitenstruktur überein? Mit einem freien Suchmaschinen-Tool wie der Google Search Console sehen Sie auf einen Blick, welche Seiten ranken und welche unsichtbar bleiben — und welcher Anteil an Ihren Anfragen aus KI-gestützten Suchen kommt, wird zunehmend wichtig.
8. Page Speed und Core Web Vitals
Wie lange dauert es, bis Ihre Startseite vollständig geladen ist? Bewegen sich die Core Web Vitals (Ladezeit, Interaktivität, Layoutstabilität) im grünen Bereich? Browser-Anforderungen und Suchmaschinen-Bewertungen verschärfen sich hier jedes Jahr — was vor zwei Jahren noch akzeptabel war, ist heute oft eine Bremse.
9. Mobile-Tauglichkeit auf realen Geräten
Testen Sie Ihre Website auf mindestens drei realen Smartphones unterschiedlicher Größe — nicht nur in der Browser-Vorschau. Was im Entwickler-Modus sauber aussieht, kann auf einem alten Mid-Range-Gerät träge oder kaputt wirken. Über die Hälfte aller Besuche kommen heute mobil, und ein einziger nicht-tappbarer Button kostet jede Anfrage.
Inhalte und Vertrauen
Die letzte Audit-Säule ist die kunden-sichtbare. Drei Punkte, die direkt entscheiden, ob ein Besucher zu einer Anfrage wird.
10. Bilder und Bildrechte-Dokumentation
Liegt für jedes verwendete Bild eine gültige Lizenz vor? Sind die Lizenz-Belege für eventuelle Nachfragen sauber dokumentiert? Bei Stockfotos, KI-Bildern und eigenen Shootings gelten unterschiedliche Regeln, und ein abgemahntes Bild kostet schneller Geld als die meisten Geschäftsführer annehmen.
11. Kontaktformulare und Empfangs-Adressen
Funktioniert jedes Formular auf der Website? Geht jede ausgelöste Mail an eine Adresse, die noch existiert und gelesen wird? Erfahrungsgemäß sind 1 bis 2 Formulare auf jeder gewachsenen Mittelstands-Website verwaist — Anfragen verschwinden, ohne dass jemand davon erfährt. Lösen Sie jedes Formular mit einer Test-Mail aus und prüfen Sie den Eingang.
12. Bewertungs-Profile und Vertrauenssignale
Sind die wichtigsten Bewertungs-Profile aktuell gepflegt? Werden neue Bewertungen zeitnah beantwortet? Stimmen die Angaben in Ihrem lokalen Unternehmensprofil noch mit der Realität überein — Öffnungszeiten, Telefonnummer, aktuelle Leistungen? Tote Profile signalisieren toten Betrieb.
Pro Punkt eine Zeile in einer Tabelle: Status, Datum, Verantwortlicher, kurze Notiz. Beim nächsten Jahres-Audit sehen Sie auf einen Blick, was sich bewegt hat — und welche Punkte ungeprüft geblieben sind, weil niemand sich zuständig fühlte.
Die häufigsten Audit-Befunde
Wer einen Jahres-Audit zum ersten Mal durchführt, findet erfahrungsgemäß ähnliche Lücken — quer durch Branchen und Unternehmensgrößen. Diese sechs Befunde tauchen am häufigsten auf, lassen sich aber zügig schließen.
Drittanbieter wurden ergänzt, Erklärung nicht — DSGVO-Verstoß ohne Wissen
Backups laufen, aber niemand hat sie je wiederhergestellt — im Ernstfall oft unbrauchbar
Postfächer ehemaliger Mitarbeiter empfangen Mails, die niemand liest — auch von Kunden
Fotos im Einsatz, deren Quelle niemand mehr dokumentieren kann — Abmahnrisiko
Kontaktformular schickt an gelöschte Mailadresse — Anfragen verschwinden ungelesen
Plugins, Themes oder CMS seit Monaten ohne Update — Sicherheitslücken summieren sich
Die ersten drei Befunde gehören in die „sofort"-Kategorie — sie betreffen Rechtsrisiken oder den Verlust von Geschäftsanfragen. Die letzten drei sind ebenfalls dringend, lassen sich aber strukturiert binnen weniger Wochen abarbeiten. Erfahrungsgemäß deckt ein erster Audit alle sechs Punkte gleichzeitig auf — und der zweite Audit im nächsten Jahr nur noch ein bis zwei davon.
Den Audit organisieren
Ein Jahres-Audit funktioniert nur, wenn Verantwortlichkeit, Termin und Ergebnis klar definiert sind. Drei Schritte, die den Unterschied zwischen „guter Vorsatz" und „echte Routine" machen.
Verantwortlicher festlegen
Eine Person im Unternehmen — typischerweise Marketing-, IT- oder Geschäfts-Verantwortlicher — übernimmt die Steuerung. Diese Person fragt die anderen Disziplinen ab, sammelt die Ergebnisse und stellt das Audit-Dokument zusammen. Ohne klaren Verantwortlichen verläuft sich der Audit zwischen Aufgabengebieten.
Externe Begleitung gezielt einsetzen
Drei Bereiche brauchen erfahrungsgemäß externe Tiefe: technische Konfiguration (SSL, Server, Backup-Wiederherstellung), rechtliche Aktualität (DSGVO, neue Regelwerke), Sichtbarkeitsanalyse (SEO und Suchmaschinen-Trends). Hier lohnt sich ein strukturierter Tech-Audit oder eine begleitende Strategie-Beratung, die externe Perspektive in Ihren internen Audit-Prozess einbringt.
Ergebnis priorisieren und planen
Am Ende des Audits stehen zwölf Befunde. Sortieren Sie sie in drei Eimer: sofort, schnell, planbar. Sofort heißt: rechtliches Risiko oder Komplettausfall — binnen 48 Stunden bearbeiten. Schnell heißt: konkrete Lücke, binnen 14 Tagen behebbar. Planbar heißt: keine akute Gefahr, gehört in den nächsten Quartalsplan. Wer alle Befunde sofort angehen will, schafft am Ende keinen.
Den Audit ungeprüft an einen einzigen Dienstleister auslagern, der sowohl die Befunde stellt als auch die Behebung verkauft. Wer prüft und gleichzeitig Lösungen anbietet, hat einen Anreiz, mehr Befunde zu finden. Trennen Sie Audit und Umsetzung — entweder durch zwei Anbieter oder durch eine vertraglich klare Trennung.
Häufig gestellte Fragen
Einmal im Jahr ist ein guter Rhythmus für die vollständige Liste — am besten an einem festen Termin wie dem Start des Geschäftsjahres oder kurz vor der Sommerpause. Ergänzend lohnen sich kleine Quartals-Checks auf die zeitkritischen Punkte (SSL, Backup, Mailrouting). Wer einen aktiven Online-Vertrieb hat, sollte SEO und Performance halbjährlich prüfen, weil sich Suchmaschinen-Bewertungen und Browser-Anforderungen schneller ändern als das Geschäftsjahr.
Die meisten Punkte können Sie als Geschäftsführer selbst prüfen — etwa Impressum, Bewertungs-Profile oder Kontaktformular. Drei Bereiche brauchen erfahrungsgemäß externe Begleitung: technische Tiefe (SSL-Konfiguration, Backup-Wiederherstellung), rechtliche Aktualität (DSGVO und neue Regelwerke) und Sichtbarkeitsanalyse (SEO und KI-Sichtbarkeit). Interner Verantwortlicher plus externer Sparringspartner ist die belastbarste Aufstellung.
Für eine mittelständische Website ist mit zwei bis vier Werktagen verteilt über zwei Wochen zu rechnen — keine zwei Tage durchgängig. Die meisten Punkte sind in 30 bis 60 Minuten geprüft, einige (Backup-Test, vollständige Datenschutz-Aktualisierung) brauchen länger. Wenn Sie den Audit zum ersten Mal machen, planen Sie eher das Doppelte ein, weil Sie Strukturen und Zugänge erst aufbauen.
Nicht panisch werden — die meisten Punkte sind binnen Tagen behebbar, sobald jemand mit Erfahrung darauf schaut. Sortieren Sie nach drei Kategorien: sofort (rechtliche Risiken wie fehlendes Impressum oder abgelaufenes SSL), schnell (Backup-Lücken, Mail-Konfiguration, Cookie-Banner), planbar (Performance-Optimierung, SEO-Strategie). Die ersten beiden Kategorien sollten innerhalb von zwei Wochen erledigt sein, die dritte darf in den nächsten Quartalsplan.
Tools sind eine gute Ergänzung, ersetzen aber kein menschliches Urteil. Sie zeigen technische Symptome (langsame Ladezeit, fehlende Header, abgelaufenes Zertifikat) — sie bewerten aber nicht, ob Ihre Datenschutzerklärung den Drittanbieter-Bestand wirklich abdeckt, ob Ihr Cookie-Banner rechtssicher ist oder ob Ihre Inhalte zur Suchintention Ihrer Zielgruppe passen. Ein Tool-Bericht ist eine Liste mit Hinweisen, kein Audit. Erst die menschliche Bewertung priorisiert und entscheidet.
Ein einfaches Tabellen-Dokument reicht: pro Punkt eine Zeile mit Status (geprüft / behoben / offen), Datum, verantwortlicher Person und kurzer Notiz. Speichern Sie es zentral, nicht nur lokal. Beim nächsten Jahres-Audit sehen Sie auf einen Blick, was sich verändert hat und wo Sie schon einmal Hand angelegt haben — das spart erfahrungsgemäß die Hälfte der Zeit der Erstprüfung.
Eine Stunde im Jahr, die alles in Bewegung hält
Eine Website ist kein abgeschlossenes Projekt — sie ist ein lebendiger Teil Ihres Unternehmens, der ohne Pflege still verfällt. Der Jahres-Audit ist die Antwort darauf: ein fester Termin, eine klare Liste, eine dokumentierte Übersicht. Mehr braucht es im Alltag nicht.
Zwölf Punkte sind keine Bürokratie — sie sind das Fundament, auf dem alles andere steht. Sicherheit, Compliance, Sichtbarkeit, Vertrauen. Wer diese vier Säulen einmal jährlich systematisch prüft, hat das Risiko des leisen Verfalls fast vollständig ausgeschaltet — und kann sich auf das konzentrieren, was eine Website wirklich leisten soll: Anfragen bringen.
Wir prüfen Ihre Website in 2 Werktagen anhand der 12 Audit-Punkte — und nennen die Reihenfolge, in der Sie offene Befunde am schnellsten schließen.