Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

DSGVO-Check von 249 Webseiten mittelständischer Unternehmen mit eigener Scanner-Software

0

Die Webseiten von 249 mittelständischen Unternehmen wurden mit meiner Software gescannt. Fast alle Websites weisen erhebliche Datenschutzprobleme auf. Dabei fällt auf, dass viele Probleme leicht vermeidbar sind. Zu Unwissenheit kommt oft wahrscheinlich Gleichgültigkeit oder falsche Beratung.

Einleitung

Alle Jahre wieder mache ich mir den Spaß, um mit einem automatisierten Webseiten-Check zahlreiche Internetseiten zu prüfen. Diesmal waren die Seiten mittelständischer Unternehmen aus Deutschland Gegenstand der Untersuchung.

Die Grafik oben zeigt einen Ausschnitt aus dem Bericht, den meine Software generiert hat. Von 249 untersuchten Webseiten enthalten 221 erhebliche rechtliche Mängel und sind somit direkt angreifbar. Die Beweise kann man bei Bedarf im Internet sehen und direkt dokumentieren, bevor daraus ein Anschreiben wird.

Die Webseiten wurden ermittelt, indem die Mitgliederliste eines Verbands mittelständischer Unternehmen eingelesen wurde. Der Mittelstand ist immerhin das Rückgrat der deutschen Wirtschaft, hört man oft.

Jede Webseite erhielt eine Note. Die Note ergab sich aus den Befunden, die meine Software erstellt hat und die grundlegend und stichprobenartig sowie bei merkwürdig erscheinenden Fällen von mir nachgeprüft wurden.

Die Noten im Bericht sind willkürlich gewählt. Note eins allerdings bedeutet, dass keine nennenswerten Verstöße gegen die DSGVO oder das TMG (Cookies) gefunden wurden. Welche Note was genau bedeutet, spielt hier gar keine besondere Rolle. Denn Note 4, die Durchschnittsnote, ist so schlecht, dass eine Webseite mit dieser Note quasi objektiv als Datensünder bezeichnet werden kann.

Das Datenschutz-Niveau auf den untersuchten Webseiten des Mittelstands ist Besorgnis erregend.

Gründe sind m. E. meist Unwissenheit oder falsche Beratung, selten auch Gleichgültigkeit.

Eine schlechte Note gab es auch, wenn keine Datenschutzhinweise verfügbar waren oder wenn diese für eingesetzte Tools in erheblicher Weise unvollständig waren.

Der Einsatz von Tools und der Abruf von (bekannten) Dateien von Dritt-Servern ohne AVV ohne Einwilligung wurde ebenfalls negativ beurteilt. Dabei unterscheidet mein Bericht schon danach, ob beispielsweise Matomo mit Cookies eingesetzt wurde oder Google Analytics. Auch erkennt der DSGVO Website Scanner, ob harmlose Cookies eingesetzt werden:

Die gefundenen Cookies wurden als harmlos eingestuft.

Wurde ein Consent Tool erkannt, welches (von mir) als besonders kritisch bewertet wird, führte das zur Meldung „Schädliche Cookie-Abfrage“. Zu dieser Beurteilung kam ich nach tausenden untersuchten Webseiten und zahlreicher geprüfter Cookie Popups in der Praxis. Insgesamt wurden (nur) 45 solcher schädlicher Consent Tools erkannt. Die Zahl ist als unter Grenze zu verstehen, weil die Automatik hier sehr vorsichtig klassifiziert und manche Consent Popups nicht automatisch erkannt werden. Auch ändern sich ab und zu Schnittstellen von Tools, sodass die Erkennung nicht immer aktuell möglich ist. Immerhin handelt es sich hier um ein unfinanziertes Projekt. Außerdem basiert die Klassifikation der Automatik auf einem Stand von früher. Mittlerweile würde ich nahezu jedes Consent Tool als schädlich bewerten (siehe hierzu meine Untersuchungen).

Der Befund „Datenschutztexte fehlen“ wurde für 50 Webseiten ausgestellt. Auch hier wurde sehr wohlwollend geprüft. Für weniger bekannte Tools ist in der zugrunde liegenden Datenbank nicht hinterlegt, wie erkannt werden kann, ob ein Datenschutztext vorhanden ist oder nicht. Außerdem funktioniert die Erkennung der Seite mit der Datenschutzerklärung zwar sehr gut, wurde aber im Zweifel als unrichtig angesehen. Ich wollte mir einfach nicht mehr Arbeit als nötig machen. Ziel war eine qualitative Aussage und nicht eine exakte Zahl von Problemen. Wichtig war mir nur, dass die genannten Zahlen bei negativen Befunden nie zu hoch sind, sondern lieber viel niedriger.

Die genauere Nennung von Rechtsgrundlagen, auf Basis derer die Bewertung stattfand, spare ich hier aus. Der interessierte Leser findet zahlreiche Artikel und Rechtsgrundlagen dazu auf Dr. DSGVO. Unter anderem sind zu nennen:

Meine Scanner-Software funktioniert zwar hervorragend (das zeigen viele tausend Praxistests), jedoch habe ich zur Sicherheit die Ergebnisse manuell nachgeprüft. Aufgrund der 249 Treffer konnte ich nicht jeden Befund in Augenschein nehmen. Zahlreiche Befunde sind jedoch mit absoluter Sicherheit zutreffend. Andererseits existieren auf vielen geprüften Webseiten weitere Probleme, die durch die Automatik nicht erfasst werden konnten. Ich wage also zu behaupten, dass das Ergebnis als repräsentativ angesehen werden kann.

Statistik

Auf den 249 geprüften Webseiten wurden folgende kritische Tools am häufigsten ohne Einwilligung geladen (in Klammern die Anzahl der nutzenden Webseiten):

Zur Begründung, warum die einzelnen Tools ohne Einwilligung nicht DSGVO-konform nutzbar sind, habe ich in der eben genannten Liste Links auf meine Artikel angegeben.

Es fällt auf, dass externe Google Schriften das am häufigsten anzutreffende Datenschutzproblem sind, gleichzeitig aber am leichtesten vermeidbar wären. Auch Google Analytics wird übermäßig oft eingesetzt, obwohl der Nutzen für die meisten Unternehmen sehr begrenzt ist. Wer wissen will, welche Seite wie oft aufgerufen wurde oder über welche Suchbegriffe, kommt leicht ohne diesen Datenkraken aus. Ebenso wird der Google Tag Manager oft eingesetzt, obwohl er meist völlig unnötig ist. Hieran ist m. E. die Bequemlichkeit und Unwissenheit von Web-Agenturen mit Schuld. Zu diesen Aussagen und zu anderen finden Sie im Dr. DSGVO Blog zahlreiche Belege und Beweise.

Hier ein Blick auf einige Meldungen, die mein Tool im Risikobericht zu jeder einzelnen Webseite ausgeben kann.

Erkannte Datenschutzrisiken auf einer gescannten Webseite.

Die Angaben sollten selbsterklärend sein. Die im Bild genannten möglichen Risiken sind nicht ganz ernst gemeint. Was die Abmahnung betrifft, stimmt die Nennung nach wie vor oder gerade jetzt. Die Sanktion durch deutsche Behörden ist allerdings ein selteneres Ereignis als ein Meteoriteneinschlag auf der Erde (wir reden vom digitalen Datenschutz, nicht von anderen Vorfällen, die weitaus weniger oft vorkommen und weitaus schwieriger zu beweisen sind).

In einer Rangliste werden alle geprüften Webseiten ausgegeben. Pro Webseite ist ein Screenshot zu sehen. Über die Datenschutz-Note wird die Rangliste sortiert. Mit Kürzeln wird für den schnellen Blick ausgegeben, welche Befunde zu jeder Website vorhanden sind.

Rangliste: Risikobewertung geprüfter Webseiten zum Datenschutz.

Die Namen der Webseiten sind aus rechtlichen Gründen unkenntlich gemacht. Gleiches gilt für die Screenshots zu den einzelnen Seiten.

In der Spalte „Risiken“ sind die Befunde in Kürze genannt. Die Legende hierfür ist:

  • D = Datenschutzerklärung fehlt (eine Seite mit Datenschutzhinweisen ist nicht vorhanden)
  • R = Rechtstexte fehlen (allgemeine Pflichtangaben wie Betroffenenrechte oder spezielle Angaben wie Datenschutztexte zu eingesetzten Diensten)
  • S = Zertifikatsfehler (SSL-Zertifikat abgelaufen, Weiterleitung funktioniert nicht, Verschlüsselung zu gering, keine vertrauenswürdige Zertifizierungsstelle, ungültige Domäne o.ä.)
  • K = Kritische Tools (zur genauen Bewertung ist eine Einzelprüfung notwendig. Beispielsweise ist Matomo je nach Konfiguration entweder unkritisch oder einwilligungspflichtig)
  • E = Externe Dateien (Beispielsweise handelt es sich um externe Bilder, bei denen man nahezu immer davon ausgehen kann, dass kein AVV vorliegt)
  • N = Schädliche Cookie-Abfrage
  • T = Tracker ohne Einwilligung (Tracker ist ein ungenauer Begriff. Gemeint ist damit so etwas wie Google Analytics)
  • C = Cookies ohne Einwilligung
  • M = Datenschutzerklärung mehrfach (fließt nicht in die Note ein, deutet nicht selten auf ein Problem hin; bei mehrsprachigen Seiten manchmal ein Falschpositiv)

Auch die Anzahl der gefundenen Seiten wird angezeigt. Um auf den Scan nicht zu lange warten zu müssen, wurden nicht alle Unterseiten einer Webseite gescannt, sondern nur ein kleiner Teil. Das Ranking zeigt nicht alle 249 Webseiten, weil einige wenige aufgrund von Timeouts, Verbindungsabweisungen oder anderen technischen Gründen nicht zugänglich waren.

Ignorierte Webseiten (Auszug) und mögliche Gründe.

Übrigens kam es auch auf eigentlich leeren Webseiten nicht selten zu Verstößen. Der Grund ist, dass sogenannte Domain-Händler wie Sedo auf solchen Seiten Google-Tools mit Cookies einbauen, von denen der Betreiber der Webseite oft nichts weiß. Es gibt sogar Fälle, in denen diese Verseuchung auf 404-Seiten (“Die aufgerufene Seite existiert nicht”) inmitten einer ansonsten vitalen Webseite feststellbar ist.

Klickt man im Bericht auf einen Eintrag, zeigt der Bericht Detailbefunde zu jeder einzelnen Webseite an. Auf der ersten Detailseite ist ein Screenshot zur Webseite gezeigt. Außerdem enthält sie die weiter oben genannten Befunde in Textform. Zu SSL-Zertifikaten werden die Prüfungsergebnisse angezeigt. Ein positiver Befund sieht so aus:

Positiver Befund zu einem SSL-Zertifikat.

Die nächste Seite enthält technische Informationen zur Webseite. Hier ein Beispiel:

Detailergebnis zu einer gescannten Webseite (Auszug).

Auf dieser zweiten von drei Berichtseiten pro Webseite sind auszugsweise die geprüften Seiten (Unterseiten) genannt. Danach folgt eine Liste mit Cookies, die garantiert ohne Einwilligung geladen wurden. Im Bild sieht man die üblichen Verdächtigen, nämlich drei Cookies von Google Analytics und ein harmloses Cookie von Typo3. Auch wenn es nicht im Bild steht, handelt es sich hier um einen Auszug der erkannten Cookies.

Ebenfalls ist ein Auszug der ohne Einwilligung geladenen Dateien gegeben. Im Bild zu erkennen ist, dass eine jQuery JavaScript Bibliothek von einem Dritten geladen wird, obwohl dies nur mit AVV zulässig wäre. Ebenso werden der Google Tag Manager und Google Maps ohne Einwilligung geladen. Beides ist nicht erlaubt, wie ich bereits mehrfach in meinem Blog technisch und rechtlich begründet habe. Als Sonderfall werden Ladevorgänge für Bilddateien und Zählpixel ausgegeben.

Auf der nächsten Seite des Detailberichts für eine Webseite folgen spezifischere Angaben.

Details zu Befunden einer Webseite (Auszug).

Alle ohne Einwilligung geladenen Tools werden namentlich erwähnt und anhand meiner Wissensdatenbank klassifiziert. Notwendige allgemeine Datenschutztexte wie Betroffenenrechte scheinen vorhanden zu sein. Jedoch fehlen spezifische Angaben zu Font Awesome Schriften und der oben bereits erwähnten jQuery Datei. Wenn allgemeine Rechtstexte als fehlend erkannt werden, sieht die Meldung so aus:

Automatische Erkennung: Rechtstexte, die in der Datenschutzerklärung anscheinend fehlen.

Für die Statistik und um die Ergebnisse besser nachprüfen zu können, werden wichtige erkannte Seiten ausgegeben. Insbesondere gehören dazu die Datenschutzerklärung und das Impressum bzw. die Anbieterkennzeichnung. Auch mögliche Kontaktformulare werden ausgegeben. Die Zahlen in Klammern geben die Wahrscheinlichkeit an, dass es sich um eine der genannten Seitentypen handelt. Das Kontaktformular wurde nur mit einem Wahrscheinlichkeitswert von 0,7 auf meiner eigenen Skala erkannt. Hier lohnt sich eine manuelle Nachprüfung. Werte ab 1,0 deuten auf ein recht wahrscheinliches Vorhandensein des genannten Seitentyps hin. Die Kontaktformulare flossen nicht mit in die Bewertung der Webseiten ein. Auch hier kann man viel falsch machen. Häufiger Fehler sind zu viele nicht notwendige Mussfelder. Das könnte man als Verstoß werten (siehe Rechtsgrundlagen).

Fazit

Mit einem automatisierten Webseiten-Check lassen sich leicht und jederzeit Datenschutzprobleme auf Webseiten erkennen. Erst damit, so behaupte ich aus Erfahrung, gelingt es, Webseiten datenschutzkonform zu gestalten. Sobald es die ersten handfesten Gerichtsurteile gibt, wird es wesentlich mehr Abmahnungen geben, so meine Prognose.

Die Ergebnisse sind erschreckend, aber leider nicht überraschend. Die beschriebenen Datenschutzverstöße auf Webseiten sind seit Jahren vorzufinden und zeichnen ein Bild davon, wie wenig ernst viele Datenschutzgesetze nehmen. Manche meinen sicher auch, dass verbotene Werbemaßnahmen das Risiko wert seien, weil sie diese für unabdingbar halten.

Jede Privatperson kann eine Abmahnung gegen die Verantwortliche einer besuchten Webseite erlassen und Unterlassung fordern. Eine erste Einschätzung zu einem Fall gebe ich gerne. Einfach eine Nachricht schreiben, aber bitte nicht anonym. Ich behandle alle Anfragen vertraulich, möchte aber wissen, mit wem ich es zu tun habe.

Die Lösung von Datenschutzproblemen ist vor allem für kleine und mittelständische Firmen meiner Einschätzung nach oft einfach. Nicht selten sorgen Agenturen dafür, dass angeblich ganz tolle Tools von Google und anderen bekannten Größen auf eine Seite kommen. Die Agentur selbst will dafür oft keine Haftung übernehmen und weiß meistens auch nicht, was sie das tut. Unabhängig davon sind für die genannten Unternehmen Tools wie Google Analytics meiner Erfahrung nach meistens nicht zielführend.

Datenschutzbeauftragte hingegen sind eigentlich gar nicht dafür zuständig und auch nicht in der Lage, Webseiten so tiefgehend zu prüfen, dass sie ihren Kunden Detailempfehlungen geben könnten. Dieses technische Thema, welches zudem rechtliche Kenntnisse erfordert, ist beim DSB jedenfalls nicht anzusiedeln. Der DSB hat andere Aufgaben.

Im Übrigen halte ich es für merkwürdig, wenn eine Agentur einem Kunden ein Tool für dessen Webseite vorschlägt und der Kunde dann seinen DSB fragt, was zu tun sei. Das sollte in diesem Fall die Agentur wissen, oder das Tool nicht vorschlagen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Checkliste für Webseiten-Tools: Wann ist eine Einwilligung notwendig?