What is a GDPR compliance audit?

A GDPR compliance audit is a systematic review of how your organization processes personal data, assessing compliance with GDPR requirements including Article 32 security measures, data subject rights, consent management, and data processing agreements.

How much does a security audit cost?

Our security audits start with a free initial assessment. Comprehensive GDPR compliance audits and penetration testing packages are priced based on scope, infrastructure size, and complexity. Contact us for a customized quote.

What is the GDPR fine for non-compliance?

GDPR fines can reach up to 4% of annual global turnover or €20 million, whichever is higher. Our compliance audits help identify and fix gaps before regulators do, protecting your business from these substantial penalties.

How long does a GDPR compliance audit take?

A standard GDPR compliance audit takes 2-4 weeks depending on the size and complexity of your organization. We provide a detailed report with findings, risk ratings, and remediation steps.

Do you offer ongoing security monitoring?

Yes, we provide 24/7 continuous security monitoring with real-time alerts for threats, vulnerabilities, and compliance drift. Our monitoring platform scans your infrastructure continuously and notifies you immediately of any issues.

Compliance Hub

DSGVO-Exzellenz

Ausrichtung mit Artikel 32 Sicherheitsanforderungen

GA4-Konformitäts-Checkliste

Keine Tracker vor Einwilligung

Keine Datenübertragung

gtag.js nur bei Einwilligung

Kein AVV-Verstoß

GA4 Zero-State Audit-Protokoll

Technische Methodik zur Überprüfung, ob das Cookie-Einwilligungs-Tor nicht autorisierte Datenerfassung verhindert. Umfasst Netzwerk-Monitoring-Muster, Konsolen-Validierung und Bibliotheksanalyse.

Netzwerk-Monitoring-Leitfaden

Überwachen Sie den Netzwerk-Tab in DevTools auf nicht autorisierte Anfragen. Suchen Sie nach: collect?v=2, config/update, gtm.js vor Einwilligung, POST an google-analytics.com/g/collect, gtag-Übertragung. Vor Klick auf Akzeptieren ist ein DSGVO-Verstoß.

Der Zero-State-Test

Schritt 1: Inkognito/Privat-Fenster öffnen. Schritt 2: Alle Website-Daten löschen. Schritt 3: Alle Browser-Erweiterungen deaktivieren. Schritt 4: DevTools Netzwerk-Tab öffnen. Schritt 5: Zu Ihrer Website navigieren. Schritt 6: Verifizieren Sie NULL Anfragen an google-analytics.com oder googletagmanager.com. Schritt 7: Überprüfen Sie alle Subressourcen auf Tracking-Skripte. Schritt 8: Dokumentieren Sie den Anfangszustand per Screenshot.

Konsolen-Befehle

Befehl 1: typeof gtag === undefined (muss true vor Einwilligung sein). Befehl 2: typeof ga === undefined (muss true sein). Befehl 3: window.dataLayer === undefined || window.dataLayer.length === 0 (muss leer vor Einwilligung sein). Befehl 4: Object.keys(window).filter(k => k.includes("tag")).length === 0 (keine Tag-Objekte vor Einwilligung). Jedes false-Ergebnis zeigt Verstöße an.

Bibliothek vs. Beacon-Analyse

KRITISCH: Das Laden von gtag.js vom Google CDN überträgt die Client-IP-Adresse ohne Einwilligung an Google. Die Script-Fetch-Anfragen werden ausgeführt, bevor jegliche Einwilligungslogik ausgeführt wird. Dies kann einen DSGVO-Verstoß darstellen, da IP-Adressen gemäß Erwägungsgrund 26 personenbezogene Daten sind. Compliance-Ansatz: Nutzen Sie Google Analytics nur nach ausdrücklicher Einwilligung über Measurement Protocol (POST-Beacons) oder nutzen Sie datenschutzfreundliche Alternativen wie Plausible, Matomo oder selbst gehostete Analytics mit aktivierter IP-Anonymisierung.

IP-Adressen-Leckage-Bewertung

Das Laden von Skripten von googletagmanager.com/gtag/js und google-analytics.com/analytics.js erstellt DNS-Abfragen und TLS-Handshakes, die die Client-IP an Google-Server offenbaren. Selbst ohne Auslösen von Events stellt das bloße Ressourcen-Laden eine Datenübertragung dar. Audit: Überprüfen Sie im Netzwerk-Tab die ersten Anfragen für gtag.js oder analytics.js. Verifizieren Sie das Timing: wenn geladen, bevor das Cookie-Banner erscheint = Verstoß. Verifizieren Sie DNS: vor-aufgelöste Domains zeigen Vor-Laden an.

Abschließende Audit-Checkliste

Prüfen: gtag.js NICHT im initialen DOM vorhanden; dataLayer ist leeres Array []; Keine Anfragen an *.google-analytics.com in den ersten 5 Sekunden; Keine Anfragen an *.googletagmanager.com in den ersten 5 Sekunden; Cookie-Banner ist ERSTES interaktives Element; Keine gtag()-Aufrufe im Quellcode vor Einwilligungsbehandlung; Einwilligungs-Callback injiziert tatsächlich gtag.js (Timing verifizieren); Ablehnen-Option beendet sofort alle GA-Verbindungen; Cookie-Ablehnung löscht alle gesetzten Cookies; AVV schließt Google als Datenverarbeiter ein; IP-Adresse wird nicht in Vor-Einwilligungs-Anfragen übertragen; POST-Beacons werden nur nach explizitem Opt-in gefeuert; Messbare Daten enthalten keine PII vor Einwilligung.

Artikel 32 lesen