Datenschutzprüfungen für Webseiten2019-08-06T12:23:47+02:00

Datenschutzprüfungen für Webseiten: Überblick

Eine Webseite ist nur datenschutzkonform, wenn sie alle Datenschutzrichtlinien erfüllt. Um das sicherzustellen, muss eine umfangreiche Bestandsaufnahme (Prüfung der Webseite) durchgeführt werden.

Was ist eine Bestandsaufnahme?

Die Bestandsaufnahme für eine Webseite ermittelt, welche Vorgänge mit Bezug zum Datenschutz existieren. Einige Beispiele hierfür:

  • Analysewerkzeuge wie Google Analytics, Facebook Pixel oder etracker
  • Kontaktformulare, Kommentarfelder und Newsletter
  • Extern geladene Dateien wie Bilder, Schriftarten oder Paypal-Formulare
  • Videos (Youtube, Vimeo) und Audiodateien (Soundcloud)
  • Tracking Cookies
  • Werbeeinblendungen
  • Kundeninteraktionen wie Chat-Funktionen
  • Scripte with Javascript-Bibliotheken
  • Plugins wie Anti-Spam-Funktionen

Weiterhin muss sichergestellt sein, dass alle Betroffenenrechte in der Datenschutzerklärung genannt sind. Das bekommt allerdings fast jeder hin, weil diese Texte im Prinzip für jede Webseite gleich sein können.

Sehr wichtig ist die korrekte Erreichbarkeit der Datenschutzerklärung. Sie muss auf jedem Endgerät mit maximal zwei Klicks erreichbar sein. Endgeräte sind:

  • Smartphones
  • Tablets
  • Notebooks
  • Desktop-PCs
  • Touch Screens

Um das alles zu prüfen, muss jede einzelne Seite einer Homepage untersucht werden. Es reicht dabei nicht, auf Sicht zu prüfen, sich also alle Seiten im Browser einfach nur anzusehen. So könnte man zwar erkennen, dass auf einer bestimmten Seite ein Video eingebunden ist. Man könnte aber nicht sehen, ob der Einbettungscode DSGVO-konform ist.

Automatische und manuelle Prüfung

Eine Datenschutzprüfung kann teilweise automatisch erfolgen, nämlich unter Zuhilfenahme einer speziellen Analyse-Software. Diese Art von Tool gibt es nicht frei zu kaufen. Man kann höchstens einen Auftrag erteilen, dass jemand, der diese Software besitzt, einen Scan einer Webseite durchführt.

Die Prüfung mit einem Tool

Ein Tool kann vieles besser als ein Mensch prüfen. Beispiele hierfür:

  • Scan einer Vielzahl von Seiten einer Internetpräsenz: Viele Webseiten bestehen aus 50 oder mehr Unterseiten
  • Quellcode-Prüfungen, u.a. um Einbettungscodes zu prüfen und um überhaupt Tools & Plugins erkennen zu können
  • Erkennung unsichtbarer Plugins
  • Erkennung von Videos, auf Seite 47 eingebunden werden
  • Erkennung von Tools, die nur auf einer Seite einer Homepage eingesetzt werden, Beispiel Gravatare (WordPress)
  • Erkennung von Tools, deren Existenz dem Webseitenbetreiber nicht bekannt sind, wieder das Beispiele Gravatare (WordPress lädt dieses Tool selbständig)

Die Vorteile eines solchen Roboter-Tools liegen auf der Hand:

  • Es ist schneller als ein Mensch
  • Es ermüdet nicht
  • Es findet Probleme, die tief im System versteckt sind
  • Es ist günstiger als ein Mensch

Jedoch haben solche Scanner Tools ihre Grenzen. Für eine hohe Datenschutzsicherheit sind deshalb zusätzliche manuelle Prüfungen notwendig.

Die manuelle Prüfung

Eine manuelle Prüfung wird idealerweise von einem IT-Experten mit Datenschutzfachwissen vorgenommen. In dieser Prüfung wird alles gecheckt, was mit einer Software nicht oder nicht gut untersucht werden kann. Beispiele hierfür:

  • Erreichbarkeit von Impressum und Datenschutzerklärung auf allen Endgeräten
  • Dynamisch nachgeladene Tools (also Tools, die nur manchmal oder zeitverzögert geladen werden)
  • Kontaktformulare (Datensparsamkeit, wirksame Einwilligungsabfrage)
  • Impressumsprüfung
  • Erkennung von schädlichen Haftungsauschlüssen
  • Prüfung der Korrektheit von Opt-In oder Opt-Out Möglichkeiten: Abwahlmöglichkeiten und Abfrage einer Einwilligung vor Einsatz bestimmter Tools

Der IT-Experte findet außerdem Auffälligkeiten, die eben nur ein Mensch erkennen kann. Ein Beispiel für ein nicht erreichbares Impressum, welches ein Mensch erkennen kann, nicht aber eine Roboter-Software:

Verdeckter Impressumslink

Der rote Kringel im Bild zeigt die Stelle, wo das Impressum verlinkt ist, aber durch das Cookie Banner verdeckt wird.

Fazit

Für eine hohe DSGVO-Sicherheit muss eine Webseite sowohl automatisiert als auch manuell geprüft werden. Erst dann kann seriös eine Datenschutzerklärung erstellt werden. Erst dann können bestimmte Tools DSGVO-konform konfiguriert werden (vgl. etwa Google Analytics und das Urteil vom Landgericht Dresden).

Standard und Professional-Paket

Unser Standard-Paket führt einen automatisierten Scan einer Webseite aus. Das ist deutlich mehr als ein Anwalt oder Datenschutzbeauftragter für einen ähnlichen Preis leisten kann (sofern er Ahnung von Webseiten und IT hat).

Das Professional-Paket enthält neben dem automatisierten Check eine Vielzahl weiterer Prüfungen, die von einem IT-Spezialisten und Datenschutz-Experten vorgenommen werden. Das Premium-Paket ist nur für wenige Unternehmen notwendig, die eine große Webseite und mehr als 20 Mitarbeiter haben.

Die Pakete im Vergleich:

Datenschutzpakete für Webseiten