Automatisierter Webseiten-Check: Webseite automatisiert geprüft, jetzt nur noch Behebung der Datenschutz-Probleme nötig?

Kategorien: Datenschutz, Consent Tools und Cookies

Mein online Webseiten-Check zeigt schnell, ob Handlungsbedarf auf einer Webseite besteht. Er ist strenger als der Scanner von sogenannten Cookie-Tools wie Cookiebot. Sind dann alle Probleme bekannt? Reicht es, die so gefundenen Probleme zu beheben, und gut is'? Manche haben wohl ein falsches Verständnis.

Einleitung

Die Motivation für diesen Beitrag entstand über einen Nutzer meines online DSGVO-Checks für Webseiten. Er nutzt konkret Cookiebot. Es hätte auch jedes andere Consent Tool sein können. Wie ich später feststellte, war tatsächlich UserCentrics eingebunden (UserCentrics und Cookiebot haben laut eigener Aussage im September 2021 fusioniert).

Mein oben genannter Webseiten-Check dient dazu, Handlungsbedarf auf Webseiten zu erkennen. Nicht mehr und eher weniger. Denn der Check scannt maximal fünf Unterseiten. Er geht auch nur automatisch vor. Obwohl meine Automatik in der Vollversion auch recht gut Datenschutztexte analysieren kann, passiert das nicht in der online Version.

Der Nutzer meines wohlgemerkt völlig kostenfreien Webseiten-Checks ist ein DSB. Er schickte mir das Ergebnis meines Checks für eine Webseite seines Unternehmens. Er schrieb außerdem unter den Screenshot mit den Datenschutzproblemen, die mein Tool gemeldet hat.

„Heißt, dass unsere Probleme können nur durch die Abschaffung der zwei unteren Punkte gelöst werden können? Laut unserer externen Marketingabteilung gibt es keine andere Lösung und wir als Unternehmen und auch ich als DSB sind die Hände gebunden und wissen nicht, was wir tun sollen. Können Sie uns hier weiterhelfen?“

Schreiben eines DSB an mich.

Mir war nicht klar, was von mir genau erwartet wird. Immerhin hatte ich den Webseiten-Check schon auf eigenen Kosten entwickelt und kostenfrei bereitgestellt. Ich schreibe das hier retrospektiv mit einer Kritik über die Kostenlos-Mentalität zwischen den Zeilen.

Also verwies ich darauf, dass meine Firma gerne einen professionellen Webseiten-Check anbieten kann, wenn das der Wunsch des DSB ist. Er war einverstanden, meine Firma sandte ihm ein Angebot für einen professionellen Webseiten-Check.

Weiterhin erwähnte ich dabei, dass eine technische Anpassung der Webseite auf Wunsch des Kunden ebenfalls möglich ist, und zwar nach Abstimmung und gegen Aufpreis.

Als Antwort darauf kam dann:

Wir haben bereits die Überprüfungen (Schnellprüfung über Ihre Website und auch über Cookiebot vorgenommen).

Wir benötigen lediglich die Behebung des Problems und nicht nochmal eine Analyse.

Vielleicht sind Sie dann doch der falsche Ansprechpartner, denn wir kennen ja unser Problem, nur jemand muss es für uns umsetzen.

Rückantwort des DSB an mich.

Mir wurde damit die Kompetenz abgesprochen, der richtige zu sein für die Behebung von Problemen, die überhaupt erst mit meinem Tool gefunden werden konnten.

Danke, dass ich Ihnen kostenfrei mein Tool bereitstellen darf und dass ich Ihre Fragen kostenfrei beantworten darf. Und entschuldigen Sie bitte, dass ich inkompetenter Trottel Sie mit meiner Existenz belästige. Ich bin es nicht wert, Ihnen helfen zu dürfen.

Probleme und Lösungen

Probleme

Der DSB und die Marketingabteilung seines Unternehmens hatten also die Webseite rudimentär geprüft, nämlich maximal fünf Unterseiten mit meinem Tool und dann noch mit dem kostenfreien Cookiebot.

Cookiebot funktioniert aber nach meiner Untersuchung leider nicht richtig, ebenso wie andere Cookie Scanner. Ebenso legt Cookiebot nicht nur dem Namen nach Wert auf das Falsche, nämlich auf Cookies. Weiterhin kann der Cookiebot Sie auch nicht beraten und keine für Sie individuell passenden Lösungen präsentieren. Hier ein paar Belege:

• Cookiebot bietet keinen AVV: Sie haften
• Cookie Scanner funktionieren nicht, sowie weitere objektive Gründe
• Cookiebot wurde für rechtswidrig erklärt wegen Datentransfers in die USA
• Cookie Tools produzieren in der Praxis rechtswidrige Webseiten. Das gilt also auch für andere Tools, wie etwa UserCentrics, OneTrust oder Borlabs Cookie
• Ohne Beleg: Cookiebot kann nicht mit Ihnen sprechen (hoffentlich glauben Sie mir das jetzt)
• Google Fonts sind rechtswidrig, werden aber von Cookie Scannern nicht erfasst

Auch nach dem so tollen Scan durch Cookiebot wurden anscheinen einige Problemchen nicht gefunden. Der DSB meinte es aber (siehe oben: seine Nachricht an mich).

Mein voller Scan zeigte hingegen folgende immer noch vorhandene Probleme, nachdem der Herr Cookiebot bzw. Frau UserCentrics eingebunden wurde:

• YouTube Video Plugin ohne Einwilligung (USA-Datentransfer, Tracking, Werbe-Tracking) plus Cookies ohne Einwilligung, also drei Verstöße auf einmal
• Google Fonts ohne Einwilligung: siehe Urteil LG München vom 20.01.2022 sowie meine Untersuchung zu Google Fonts
• Hotjar Analytics ohne Einwilligung (Tracking, USA-Transfer?)
• Adobe Typekit ohne Einwilligung (USA-Datentransfer)
• jQeuery Bibliothek vom (amerikanischen) Drittserver (wohl ohne AVV, vgl. Art. 5 DSGVO und Art. 25 DSGVO sowie wohl auch Art. 44ff DSGVO)
• weiteres spare ich hier aus, sonst wird die Liste zu lang

Das Einwilligungsbanner ist zudem in mehrfacher Weise rechtswidrig ausgestaltet:

Nur drei Beispiele für Problemchen in Kürze:

1. Nudging, also unerlaubtes Zurückstellen des Ablehnen-Buttons
2. Fehlerhafter Hinweis auf die Widerrufsmöglichkeit: Ei wo ist denn der Widerrufen-Button?
3. Fehlende Nennung von Risiken in Kürze

Die zweite Ebene des Consent Popups lässt zahlreiche weitere Mängel und Falschaussagen erkennen.

Wer mehr wissen will, findet hier Hinweise auf Vorschriften für Cookie Popups:

1. Checkliste für Einwilligungsabfragen
2. Cookie Popups von A bis Z und FAQ des Landesdatenschutzbeauftragten BW

Lösungen

Offensichtlich reicht es nicht, mal schnell automatisiert eine Webseite zu checken. Es würde vielleicht reichen, wenn man den richtigen Scanner benutzt. Aber anscheinend kann ein sogenannter Cookie-Scanner der altbekannten Cookie-Tools dies nicht leisten.

Nachdem eine ausreichende automatisierte Analyse stattgefunden hat, halte ich eine manuelle Expertenprüfung für notwendig. Diese sollte nur ausgelassen werden, wenn die infrage stehende Webseite von Hause aus sehr datenschutzfreundlich entworfen wurde. Wer sieben Tools einsetzt, vielleicht dazu noch ein Cookie Popup, und danach alles glattbügeln möchte, kommt mit einer Automatik nicht weit.

Je nach individuellen Bedürfnissen sind individuelle Lösungen möglich. Datenschutzfreundliche Alternativen heißt das Stichwort. Diese finden Sie hier in meinem Blog in großer Anzahl. Entweder durch Nennung oder indem ich sie selber bereitstelle. Hier ein paar Beispiele:

• Interaktive Karte statt Google Maps. Sie sparen die Einwilligungsabfrage.
• Untagmanager statt Google Tag Manager. Meist wäre es besser, ganz auf einen Tag Manager zu verzichten.
• Consent Tool, aber nur, falls Sie wissen, was zu tun ist. Ansonsten bezahlen Sie jemanden, der es weiß.
• YouTube Video Plugin Ersatz: Siehe Vorschläge.
• Google Fonts: Schrift lokal einbetten. Sie wissen nicht, wie das geht? Drei Möglichkeiten: 1. So lassen und etwas Falsches tun 2. Webseite abschalten 3. Jemanden bezahlen.

Beispielsweise bei Google Analytics reicht es nach aktuellem Stand nicht, eine Einwilligungsabfrage drüberzulegen. So wie es aussieht, ist Google Analytics gar nicht rechtskonform nutzbar. Ein Glück, gibt es gute Alternativen, die für die meisten mehr aus ausreichend sind. Wer unbedingt Analytics von Google braucht, sollte sich eine Risikoanalyse geben lassen und das Risiko dem angenommenen Nutzen gegenüberstellen.

Wer sich die oben genannte Checkliste für Consent Tools anschaut, wird feststellen, dass eine genaue Prüfung notwendig ist, um das rechtliche Risiken so weit zu reduzieren wie möglich.

Über Datenschutztexte haben wir noch gar nicht gesprochen. Wer in seiner Datenschutzerklärung schreibt, dass Cookies Textdateien seien, macht vielleicht nicht viel falsch, wurde aber vielleicht falsch beraten. Wer schreibt, dass der Google Tag Manager eine cookielose Domäne sei, wurde definitiv falsch beraten und schreibt in rechtlich relevanter Weise falsche Dinge. Hoffentlich hat das Cookie Tool Sie über die rechtlichen Bedingungen zum Google Tag Manager aufgeklärt? Hoffentlich weiß Ihr Cookie Tool, dass Google Analytics die Daten immer in die USA schickt und dass dazu auch volle IP-Adressen gehören. Nicht, dass vergessen wurde zu erwähnen, dass Google Analytics auch als Werkzeug für Hacker dient.

Fazit

Ein automatischer Webseiten-Check ist eine wichtige Grundvoraussetzung, um eine Webseite tief gehend zu analysieren. Viele Datenschutzprobleme können damit erkannt und vielleicht auch schon behoben werden.

Wer viel Rechtssicherheit haben möchte, sollte einen Schritt weiter gehen. Viele Probleme können nur durch persönliche Untersuchung der Webseite gefunden und behoben werden.

Wer ein nerviges Cookie Popup auf der Webseite vermeiden will, sollte die datenschutzfreundlichen Alternativen für eingesetzte Tools und Plugins kennen.

Wie immer im Leben gilt: Ein gutes Ergebnis erfordert mehr Aufwand als ein schlechtes. Eine schnelle Lösung ist oft nicht die beste. Bei komplexen Fragestellungen kann eine schnelle Lösung nicht optimal sein.

Hier noch mal der Link zum kostenfreien Webseiten-Check:

Damit kommen Sie schon recht weit. Wenn Sie ein professionelles Ergebnis benötigen, reicht eine reine Automatik nicht aus. Vor allem dann nicht, wenn die Automatik von jemandem erstellt wurde, der die Rechtsgrundlagen und technischen Gegebenheiten nicht ausreichend kennt. Mir ist ein Anbieter eines solchen Checks bekannt, der zuvor bei mir anfragte, ob er meine Lösung als White Label verwenden darf. Nun hat er es anders, aber den Ergebnissen nach nicht ausreichend gut gemacht.

Schauen Sie sich mal das Beitragsbild ganz oben an: Haben Sie schon mal eine rein automatisierte Zahnheilkunde gesehen oder würden Sie lieber von einem Fachmann geholfen bekommen?