Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Der DSGVO-Webseiten-Check: Das hat es damit auf sich

Viele nutzen mein online Tool, um Webseiten auf Datenschutzprobleme hin zu untersuchen. Gelegentlich bezweifelt jemand das Ergebnis. Eine persönliche Nachprüfung zeigt, dass mein Tool eigentlich immer recht hat.

Der DSGVO-Website-Check liegt grundsätzlich fast immer richtig.

Bezieht sich auf den Gesamtbefund sowie die Erfahrungen aus der Praxis.

Was untersucht das Tool?

Mein online Tool prüft Webseiten auf verschiedene Datenschutzprobleme hin. Hier die wichtigsten Prüfungen:

  • Cookies, die einer Einwilligung bedürfen
  • Datentransfers zu Dritten, die einer Einwilligung bedürfen
  • SSL-Zertifikatsprüfung

Die ersten beiden Punkte lassen sich auf den Einsatz von Tools (Diensten) zurückführen. Ein solches Tool ist etwa Google reCAPTCHA. Nur durch Tools entstehen Cookies. Die Frage nach Cookies ist also auf die Frage des Einsatzes von Tools zurückzuführen. Cookies alleine gibt es nicht.

Datentransfers zu Dritten sind ebenfalls auf Tools zurückzuführen. Beispielsweise bei Google Analytics. Allerdings können solche einwilligungspflichtigen Datentransfers auch vorliegen, wenn ein Bild von einer externen Adresse eingebunden wird. Das ist illegitim, weil leicht vermeidbar.

Nicht jede Webseite muss ein SSL-Zertifikat aufweisen. Der aktuelle Rechtsstand ist, dass dieses nur erforderlich ist, wenn die Webseite ein Kontaktformular anbietet. Ein vorhandenes SSL-Zertifikat, welches fehlerhaft ist (Weiterleitung fehlt, Verschlüsselung zu gering, Herausgeber nicht vertrauenswürdig, nicht mehr gültig, nicht gültig für Domäne), wird vom Tool als Fehler ausgewiesen. Hier muss genauer geschaut werden, ob tatsächlich ein Datenschutzproblem vorliegt. Sofern auch Probleme aus den vorigen beiden genannten Kategorien vorliegen, ist die Sachlage eindeutiger.

Warum hat das Tool fast immer recht?

Der DSGVO-Scanner kann mit vollständiger Sicherheit folgendes feststellen:

  • Werden Cookies ohne Einwilligung verwendet?
  • Werden Dateien abgerufen?

Aus der ersten Frage heraus kann mit hoher Sicherheit gefolgert werden, ob die verwendeten Cookies einwilligungspflichtig sind. Die Unsicherheit ist sehr gering. Bisher hatte mein Tool immer recht. Zumindest hat sich nie jemand mit einem berechtigten Einwand gemeldet. Alle Meldungen konnten entkräftet werden.

Die zweite Frage lässt Schlussfolgerungen zu, ob bestimmte Tools eingesetzt werden. Diese Folgerung ist allerdings nicht wirklich wichtig. Bereits der Abruf einer externen Datei ist fast immer einwilligungspflichtig. Ob ein AVV vorliegt oder nicht, kann das Tool natürlich nicht feststellen. Für Dienste bekannter Anbieter gibt es bekanntermaßen allerdings oft entweder gar keinen AVV oder keinen rechtskonformen AVV.

Wurde ein Datentransfer einem Tool zugeordnet, stimmt die Zuordnung fast immer. Man kann das in der Praxis auch leicht nachprüfen. Das Tool muss ja nicht immer richtig liegen, sondern soll in erster Linie zeigen, ob sich ein genaues Hinsehen auf die Webseite lohnt. Und hier liegt das Tool quasi immer richtig. Beim persönlichen Nachsehen stellt man dann oft fest, dass weitere Probleme auf einer Webseite existieren, als die, welche mein DSGVO-Tool ausgespuckt hat.

Mit dem Tool wurden viele tausend Webseiten geprüft, und zwar sowohl durch mich als auch durch Dritte. Meiner Firma habe ich die Nutzungsrechte für das Tool übertragen. Darüber haben zahlreiche Kunden in einer bezahlten Nutzung viele Webseiten geprüft. Wer bezahlt, will auch Qualität. Bisher gab es keine Beschwerden, sondern nur Rückfragen und Unsicherheiten, die mit Argumenten entkräftet werden konnten.

Mir selbst ist die Rechtslage zum digitalen Datenschutz, vor allem auf Webseiten, ganz gut bekannt. Lesen Sie meine Beiträge, um zu sehen, ob ich recht habe.

Haben Sie Zweifel am Ergebnis des Tools oder will Ihnen jemand einreden, alles sei in Ordnung, obwohl das Tool Datenschutzverstöße gemeldet hat? Dann schreiben Sie mich an! Wenn eine Agentur behauptet, alles sei richtig, dann fragen Sie diese nach einer Haftungsübernahme. Schnell werden Sie sehen, wie das Ausredengebäude in sich zusammenfällt.

Als betroffene Person (Privatperson) haben Sie die Möglichkeit, eine Abmahnung zu erlassen. Machen Sie das doch mal und warten Sie die Reaktion ab. Wenn Sie bzw. Ihr Anwalt als Antwort wieder Ausreden erhalten, wissen Sie, dass Sie bereits kampflos gewonnen haben. Die Formalien muss man dann vor Gericht regeln. Der Verlierer zahlt. Der Gewinner erhält Genugtuung und weiß, dass der Datenschutz einen wichtigen Schritt nach vorne gemacht hat. Oft wird es allerdings nicht zu Prozess kommen, weil der Datensünder vorher einknickt und bezahlt.

Mein Tool versus Google Fonts Checker

Kaum kamen die Massenabmahnungen wegen Google Fonts, haben sich manche berufen gefühlt, einen Fonts Checker anzubieten. Wie so oft im Leben, sind bessere Ergebnisse zu erwarten, wenn mehr Erfahrung vorhanden ist. So auch in diesem Fall. Mein Checker kann mehr als Google Fonts Checker und liefert auch bessere Ergebnisse. Hier ein realer Dialog per Mail eines Nutzers meines Website-Checks mit mir:

Nutzer: Mit Neugier habe ich Ihr Website-Check-Tool ausprobiert und war etwas erstaunt, dass auf meiner Website Google Fonts angeblich extern eingebunden werden. Diese habe ich nämlich gerade alle auf lokales Hosting umgestellt. Die Developer Tools zeigen mir auch für die geladenen Schriften lokale URLs an, die bekannten Google URLs sind nicht zu finden. Diverse andere Font-Checker geben auch alle grünes Licht.

Ist Ihr Tool hier also im Irrtum oder irren sich alle anderen? 😉

Antwort von mir: Alle anderen irren sich. Auf der Seite <URL> sind Google Fonts eingebunden, wie ich eben manuell nachgeprüft habe.

Konversation per Mail mit einem Nutzer des DR. DSGVO Webseiten-Checks.

Was ist mit Webbkoll?

Webbkoll/Dataskydd ist ein online Tool, das Webseiten scannt. Es ist im Gegensatz zu meinem Tool viel stärker technisch orientiert. Das ist insofern wenig hilfreich, wenn es um die Beurteilung nach DSGVO geht. Denn hierbei spielt nicht nur die Technik, sondern auch die Rechtslage eine große Rolle. Nur in Datentransfers und Cookies zu denken, ist zu kurz gedacht.

Webbkoll/Dataskydd findet anscheinend weniger Datenschutzprobleme als mein Tool.

Meine eigene Wahrnehmung und Erkenntnis aus einigen geprüften Fällen.

Wie ich auf Mastodon erfahren habe, reden sich manche Firmen damit raus, wenn sie mit dem Ergebnis meines Tools konfrontiert werden, dass Webbkoll keine Probleme melden würde. Mein Tool berücksichtigt im Gegensatz zu Webbkoll alle möglichen Rechtsgrundlagen. Zu diesen gehören insbesondere:

Mein Tool irrt sich so gut wie nie. Das belegen tausenden Beispiele aus der Praxis. Schreiben Sie mir im Zweifel. Gerne erhalten Sie die Rechtsgrundlagen, auf Basis deren ein Datenschutzproblem vorliegt. Dazu gibt es eine kurze technische Analyse, damit sich niemand herausreden kann.

Informieren Sie sich

Sie möchten mehr erfahren und Datenschutzproblemen auf den Grund gehen? Folgende Möglichkeiten biete ich Ihnen direkt und kostenfrei an:

Newsletter

Der Dr. DSGVO Newsletter erscheint regelmäßig. Finden Sie fundierte Untersuchungen, Beweise und die Darstellung komplexer Sachverhalte.

Newsletter

Blog

Der Dr. DSGVO Blog enthält Evergreen Artikel, also Beiträge, die aktuell bleiben und so schnell nicht veralten. Beispielsweise gilt für Google Analytics spätestens seit dem 25.05.2018 eine Einwilligungspflicht. Daran hat sich bis heute nichts geändert. Aktuelle Informationen runden das Angebot ab. Beispielsweise das Eingeständnis von Google, dass alle Analytics-Daten immer in den USA verarbeitet werden.

Dr. DSGVO Blog

Persönlicher Kontakt

Gerne können Sie mich kontaktieren, wenn Sie eine Frage haben oder eine Einschätzung zum digitalen Datenschutz brauchen. Auch Anregungen und Themenvorschläge nehme ich gerne an.

Nachricht schreiben