Der Launch ist kein Endpunkt – aber es gibt 50 Dinge, die davor erledigt sein müssen. Wir haben Projekte begleitet, bei denen am ersten Go-Live-Tag die robots.txt noch auf Disallow: / stand – die komplette Website für Google unsichtbar, drei Wochen lang. Oder die Datenschutzerklärung fehlte, Google Fonts lud von externen Servern, und der erste Besucher hätte technisch bereits einen DSGVO-Verstoß melden können.
Kein einzelner Fehler davon ist catastrophic alleine. Zusammen – und unentdeckt über Wochen – können sie erheblichen Schaden anrichten: an Rankings, an rechtlicher Sicherheit, an eurem Ruf. Diese Checklist ist das, was wir intern durcharbeiten, bevor eine Website live geht.

![]()
Technical (10 Punkte)
1. SSL-Zertifikat aktiv und korrekt konfiguriert. Nicht nur, dass HTTPS läuft – prüft, ob das Zertifikat für alle Subdomains gilt (www + non-www), nicht abgelaufen ist und keine Mixed-Content-Warnungen im Browser auftauchen. Tools wie SSL Labs geben euch in Sekunden ein detailliertes Bild.
2. robots.txt korrekt gesetzt. Die häufigste Launch-Katastrophe: Staging-Umgebungen arbeiten oft mit Disallow: /, damit Google nicht indexiert. Wenn diese Datei versehentlich auf die Live-Domain übertragen wird, indexiert Google nichts mehr. Prüft robots.txt manuell auf der Live-Domain vor und nach dem Launch.
3. sitemap.xml eingereicht in der Google Search Console. Erstellt eine vollständige XML-Sitemap mit allen kanonischen URLs, reicht sie in der GSC ein und prüft, ob Google sie fehlerfrei lesen kann. Seiten, die nicht in der Sitemap stehen, werden langsamer entdeckt.
4. Benutzerdefinierte 404-Seite vorhanden. Eine nackte Server-404-Antwort ohne Inhalt ist schlechte UX und ein verpasstes Binding-Signal. Eure 404-Seite sollte Navigation, Suchfeld und einen klaren Hinweis enthalten.
5. Redirects korrekt gesetzt (alte URLs → neue). Wenn URLs sich im Relaunch geändert haben, müssen alle alten Pfade mit 301-Redirects auf die neuen zeigen – nicht auf die Startseite. Jeder tote Link ist verlorener Link-Juice und kaputte Nutzererfahrung.
6. Canonical Tags korrekt gesetzt. Jede Seite sollte genau eine kanonische URL haben – ohne Trailing-Slash-Inkonsistenzen, ohne doppelte Versionen durch Filter-Parameter. Canonical-Fehler führen zu Duplicate-Content-Problemen, die Monate brauchen um sich auszuwirken.
7. Responsive- und Mobile-Check auf echten Geräten. Browser-DevTools sind kein Ersatz für echte Geräte. Testet auf iOS Safari, Android Chrome – und wenn ihr Zeit habt, auf einem günstigeren Android-Gerät mit langsamer Verbindung.
8. Browser-Kompatibilität geprüft. Chrome, Firefox, Safari, Edge – zumindest die aktuelle Version. Kritische Elemente wie Formulare, Animationen und Layouts auf Darstellungsunterschiede prüfen. Safari ist oft der Ausreißer.
9. Alle Formulare funktionieren inklusive Bestätigungs-E-Mail. Das klingt trivial und wird trotzdem regelmäßig vergessen. Testet Kontaktformular, Newsletter-Anmeldung, Anfrage-Flows – und prüft, ob die Bestätigungs-Mail ankommt und nicht im Spam landet.
10. Broken Links intern und extern geprüft. Tools wie Screaming Frog oder ahrefs crawlen eure Website in Minuten und listen alle 404-Links auf. Ein sauberer Launch hat keine kaputten Links.
Performance (8 Punkte)
11. PageSpeed Score überprüft. Zielwerte: Mobile > 70, Desktop > 85. Alles darunter ist ein Signal, das ihr noch vor Launch adressieren solltet – zumindest die kritischen Issues.
12. Bilder komprimiert und in modernen Formaten. WebP ist Standard, AVIF zunehmend unterstützt. Bilder, die noch als unkomprimierte JPEG oder PNG ausgeliefert werden, sind der häufigste Grund für schlechte Load Times.
13. Lazy Loading für below-the-fold Inhalte aktiv. Bilder und iframes, die erst nach dem initialen Viewport sichtbar werden, sollten nicht beim ersten Paint geladen werden. loading="lazy" auf <img> ist der minimale Einstieg.
14. Core Web Vitals im grünen Bereich. LCP unter 2,5s, INP unter 200ms, CLS unter 0,1. Prüft das sowohl im Lab (PageSpeed Insights) als auch mit realen Nutzerdaten aus dem Chrome UX Report, wenn verfügbar.
15. Caching-Header konfiguriert. Statische Assets (Bilder, Fonts, JS, CSS) sollten mit Cache-Control-Headern ausgeliefert werden, die aggressive Browser-Caching ermöglichen. Ohne das lädt jeder wiederkehrende Besucher alles neu.
16. CDN eingerichtet (wo relevant). Für internationale Zielgruppen oder High-Traffic-Erwartungen: Assets über ein Content Delivery Network ausliefern, das geografisch nahe am Nutzer ist. Vercel, Cloudflare und ähnliche Lösungen übernehmen das oft automatisch.
17. Third-Party Scripts async oder defer geladen. Jedes synchron geladene Script blockiert den Browser-Rendering-Prozess. Analytics, Chat-Widgets, Tag-Manager – alles, was nicht für den initialen Render notwendig ist, gehört in async oder defer.
18. Font-Optimierung umgesetzt. Entweder selbst-gehostete Fonts mit font-display: swap, oder in Next.js das eingebaute next/font, das Fonts automatisch optimiert, lokal cached und Layout-Shift verhindert.
SEO (10 Punkte)
19. Title Tags auf allen Seiten einzigartig und keyword-optimiert. Jede Seite braucht einen eigenen Title Tag – nicht das gleiche Pattern mit nur dem Seitennamen. Länge: 50–60 Zeichen, Hauptkeyword vorne.
20. Meta Descriptions auf allen Seiten. Kein direkter Ranking-Faktor, aber starker Click-Through-Faktor. 130–155 Zeichen, handlungsorientiert, unterschiedlich pro Seite.
21. Genau eine H1 pro Seite. Mehrere H1s oder fehlende H1s sind strukturelle SEO-Fehler. Screaming Frog zeigt euch das für die gesamte Website in einem Crawl.
22. Alt-Texte für alle inhaltlich relevanten Bilder. Dekorative Bilder bekommen alt="". Produktbilder, Infografiken, Screenshots brauchen beschreibende Alt-Texte – nicht „image001.jpg".
23. Schema Markup implementiert. Mindestens Organization und WebSite auf der Startseite. Je nach Inhalt: Article, Product, LocalBusiness, BreadcrumbList. JSON-LD im <head> ist der empfohlene Weg.
24. Hreflang korrekt gesetzt (bei mehrsprachigen Seiten). Wenn ihr in mehreren Sprachen oder Regionen live geht, braucht jede Sprachversion korrekte hreflang-Tags – inklusive x-default. Fehler hier führen zu Kannibalisierung zwischen Sprachversionen.
25. Interne Verlinkungsstruktur geprüft. Sind wichtige Seiten erreichbar? Haben sie eingehende interne Links? Sind Orphan Pages vorhanden (Seiten ohne interne Links)? Eine flache, logische Linkstruktur hilft Google beim Crawling.
26. Google Search Console eingerichtet und verifiziert. Eigentumsnachweis per HTML-Tag, DNS-Eintrag oder Google Analytics Verknüpfung. Ohne GSC habt ihr keine direkte Kommunikation mit Google – keine Crawl-Fehler-Meldungen, kein manuelles Ranking-Feedback.
27. Google Analytics 4 oder alternatives Tracking aktiv. Ohne Tracking startet ihr blind. Tag Manager oder direktes GA4-Script – Hauptsache, Daten fließen vom ersten Tag an.
28. GSC-Eigentumsnachweis und Property korrekt konfiguriert. Prüft, ob sowohl www als auch non-www in der GSC vorhanden sind und ob die bevorzugte Domain korrekt gesetzt ist.
Content (7 Punkte)
29. Alle Texte auf Typos und Platzhalter geprüft. „Lorem ipsum", „[Hier Text einfügen]", doppelte Leerzeichen, fehlende Zeilenumbrüche – das passiert auch erfahrenen Teams. Ein frisches Augenpaar vor dem Launch ist Pflicht.
30. Impressum mit vollständigen Pflichtangaben. Für gewerbliche deutsche Websites nach § 5 TMG zwingend: vollständiger Name / Firma, Anschrift, Kontaktdaten, Handelsregisternummer (wenn vorhanden), Umsatzsteuer-ID (wenn vorhanden), verantwortliche Person für journalistische Inhalte. Fehlendes Impressum ist abmahnfähig.
31. Datenschutzerklärung aktuell und vollständig. Nicht die Version von 2019. Aktuelle DSGVO-konforme Erklärung mit allen genutzten Tools, Rechtsgrundlagen und Betroffenenrechten. Datenschutz-Generator-Tools wie jene von anwalt.de oder Usercentrics helfen, sind aber kein Ersatz für rechtliche Prüfung.
32. Cookie-Banner und Consent Management konfiguriert. Nicht nur optisch vorhanden – technisch korrekt. Marketing-Cookies dürfen erst nach Zustimmung geladen werden. Kein Pre-Tick, kein „Weiter" das implizit als Zustimmung zählt.
33. Kontaktformular-Datenschutzhinweis vorhanden. Jedes Formular, das persönliche Daten verarbeitet, braucht einen direkten Hinweis auf die Datenschutzerklärung und den Verarbeitungszweck. Ein kurzer Satz mit Link reicht – aber er muss da sein.
34. 404-Fehlerseite mit sinnvollem Inhalt. Die 404-Seite sollte nicht nur den Fehler melden, sondern Navigation, populäre Inhalte und eine Suchoption anbieten. Nutzer, die eine 404-Seite sehen, sind nicht verloren – wenn die Seite ihnen hilft.
35. Alle Links intern und extern geprüft. Broken External Links sind nicht nur schlechte UX – sie signalisieren Google, dass eure Seite nicht gepflegt ist. Prüft zumindest die im Footer, in der Navigation und in den Haupt-Content-Seiten verlinkten externen URLs.
Legal / DSGVO (8 Punkte)
36. Impressum nach § 5 TMG vollständig. Gleiche Anforderung wie oben – aber hier explizit als rechtliche Pflicht: der Impressum-Link muss von jeder Seite in maximal zwei Klicks erreichbar sein.
37. Datenschutzerklärung DSGVO-konform. Enthält: Verantwortlicher, Datenschutzbeauftragter (wenn Pflicht), welche Daten erhoben werden, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange gespeichert wird, welche Drittanbieter involviert sind, wie Betroffenenrechte ausgeübt werden können.
38. Cookie-Consent technisch korrekt implementiert. Das bedeutet: kein Google Analytics, kein Facebook Pixel, kein Marketing-Tool lädt, bevor der Nutzer zugestimmt hat. Das ist keine Frage des Banners – das ist Frage der technischen Implementierung dahinter.
39. Eingebettete Drittanbieter DSGVO-konform eingebunden. Google Fonts von externem Server überträgt IP-Adressen an Google – ohne Consent rechtswidrig. Google Maps, YouTube-Embeds, Vimeo – alles braucht einen Consent-Wrapper oder Selbst-Hosting. Das gilt auch für Social-Media-Plugins.
40. Kontaktformular: Verarbeitungshinweis beim Formular. Nicht nur in der Datenschutzerklärung versteckt – direkt beim Formular erklärt: Wer verarbeitet die Daten? Zu welchem Zweck? Datenschutzerklärung verlinkt.
41. SSL / HTTPS auf allen Seiten und Subdomains aktiv. Nicht nur HTTPS – prüft, ob HTTP-Aufrufe auf HTTPS weitergeleitet werden und kein Mixed Content die Verbindung kompromittiert.
42. Auftragsverarbeitungsvertrag (AVV) mit Dienstleistern abgeschlossen. Wer personenbezogene Daten im Auftrag verarbeitet (Hosting-Anbieter, E-Mail-Tool, CRM), braucht einen AVV. Die meisten großen Anbieter (AWS, Google, Mailchimp) bieten das in den Account-Einstellungen an.
43. Widerrufsrecht bei E-Commerce korrekt kommuniziert. Online-Shops brauchen eine Widerrufsbelehrung nach den deutschen gesetzlichen Anforderungen – inklusive Muster-Widerrufsformular. Fehlt das, haftet der Händler.
Analytics & Tracking (7 Punkte)
44. GA4-Property korrekt konfiguriert und Datenstrom aktiv. Nicht nur den Code eingebunden – sondern verifiziert, dass Events in GA4 ankommen. DebugView in GA4 zeigt Echtzeit-Events.
45. Wichtige Ziele/Conversions als Events markiert. Formularabsendungen, Käufe, Newsletter-Anmeldungen, Telefon-Klicks – wenn diese Events nicht als Conversion markiert sind, seht ihr im Bericht nur Traffic, aber keine Wirksamkeit.
46. E-Commerce Tracking eingerichtet (wenn Shop). GA4-E-Commerce-Events: view_item, add_to_cart, begin_checkout, purchase. Ohne das sind E-Commerce-Berichte leer und Conversion-Optimierung unmöglich.
47. Google Ads Conversion Tracking aktiv (wenn PPC genutzt wird). Wenn Paid Ads laufen, muss das Conversion Tracking vor dem ersten Budget-Euro korrekt laufen. Blinde Kampagnen optimieren gegen keine Daten.
48. Facebook/Meta Pixel eingebunden (wenn Social Ads relevant). Pixel muss hinter Consent stehen – erst nach Zustimmung laden. Und: mit dem Conversion API kombinieren, weil Browser-Blocker und iOS 14+ die Cookie-basierte Erfassung stark einschränken.
49. Heatmap-Tool eingerichtet (wenn geplant). Hotjar, Microsoft Clarity oder ähnliche Tools geben wertvolle qualitative Einblicke in erstes Nutzerverhalten. Direkt vom Launch-Tag an aktiviert, sammelt ihr die wertvollsten ersten Daten.
50. Uptime Monitoring eingerichtet. Wenn eure Website down geht, solltet ihr es vor euren Nutzern wissen. Tools wie Uptime Robot, Better Uptime oder Checkly machen das kostenlos oder günstig – und senden eine SMS oder Slack-Nachricht beim ersten Ausfall.
Diese 50 Punkte sind keine Theorie – das ist der tatsächliche Stand, den wir vor jedem Launch durchgehen. Wenn ihr einen bevorstehenden Go-Live habt und eine unabhängige Durchsicht wollt, begleiten wir euch dabei: strukturiert, ohne PowerPoint, mit konkreten Findings und priorisierten Fixes vor dem Livegang.