Online Webseiten-Check von Dr. DSGVO: Fehler in Sekunden finden

Kategorien: Datenschutz und Künstliche Intelligenz

Der beliebte Website-Checks kann kostenfrei genutzt werden und hilft beim Finden und Beheben von Datenschutzproblemen. Ein Redesign des Checks und der zusätzlichen Leistungspakete sorgt für mehr Klarheit und Spaß beim Finden von Fehlern.

Einleitung

Den Website-Check in seiner jetzigen Form gibt es bereits seit dem Jahr 2017. Die DSGVO kam zwar erst 2018, aber in 2017 hatte der BGH mit seinem Breyer-Urteil festgestellt, dass quasi jede Datenübertragung im Internet als personenbezogen anzusehen ist. Der Grund ist, dass IP-Adressen bei jedem Aufruf einer Webseite vom Nutzer an den Website-Betreiber übermittelt werden. Der BGH definierte IP-Adressen selbst dann als personenbezogen, wenn es sich um häufig wechselnde (dynamische) Adressen handelt.

Ein Scanner, der Technik & Recht gleichermaßen berücksichtigt.

Ganz anders als reine Techniklösungen wie Webkoll.

Das besondere am DSGVO-Scanner von Dr. DSGVO ist die Kombination aus Technik und Recht und die Tatsache, dass er wohl der erste Scanner seiner Art gewesen sein dürfte, der dazu auch noch online frei verfügbar gemacht wurde.

Webseiten sind ein zutiefst technisches Konstrukt. Die DSGVO wiederum ist eine Verordnung mit juristischem Gehalt. Nur die Technik zu betrachten, hilft dem juristisch Kundigen nicht. Und nur die Rechtsvorschriften zu berücksichtigen, hilft dem technischen Laien nicht. Daher bietet der Website-Check Hilfestellungen zur Behebung von Datenschutzproblemen. Diese Empfehlungen entstehen durch Interpretation der technischen Gegebenheiten, die der Scanner feststellt, im Lichte der DSGVO.

Es war an der Zeit, die Optik des Checks zu verbessern und zeitgemäßer zu gestalten. Die Prüfergebnisse hingegen sind nach wie vor zuverlässig. Geprüft wird das, was prüfbar ist. Davon ausgenommen sind somit Serverstandorte, die aus IP-Adressen abgeleitet werden. Das geht nämlich nicht zuverlässig und ist Augenwischerei.

Die Neuerungen:
Redesign der Optik, bessere Zugänglichkeit der Vollversionen, Performance-Checks, Internationalisierung

Einige Neuerungen wuren bereits realisiert, andere werden bald veröffentlicht.

Außerdem wird eine neue Option für die Vollversionen des Checks bereitgestellt, damit die Vollversionen einer größeren Gruppe zugänglich werden. Die Ergebnisse des Website-Checks werden zeitnah auch in englischer Sprache bereitgestellt werden.

Wird KI für den Website-Check eingesetzt?

Die Check selbst nutzen keine KI. Es gibt keinen Grund, warum KI verwendet werden müsste, um Befunde zu ermitteln und zu interpretieren. All das geht zuverlässiger, schneller und sicherer ohne KI. Wenn es mit KI besser gehen würde, wäre KI im Prozess integriert.

Für die Aufbereitung der Optik und die Erstellung neuer Sektionen inklusive eines Bestellformulars und der Angebotsseite mit den verschiedenen Varianten der Vollversionen wurde allerdings KI eingesetzt. Dank KI konnte das Design so nicht nur erheblich verbessert, sondern auch mit akzeptablem Aufwand geleistet werden.

Klareres Design

Der Website-Check existiert in unterschiedlichen Ausprägungen (siehe unten). Daher ist eine Neugestaltung der Optik eine anspruchsvolle Anpassung. Jetzt ist sie vollzogen worden. Hier einige der Anpassungen, jeweils gruppiert nach den verschiedenen Scanner-Typen.

Online Website-Check

Der Einstieg in den DSGVO-Webseiten-Check wirkt nun klarer und moderner. Die Tag-Line (Unterüberschrift) sagt direkt, worum es geht: „Datenschutz-Fehler in Sekunden finden“.

Weil immer wieder danach gefragt wurde, ist ein Hinweis auf die Vollversionen vorhanden, die weiter unten genauer vorgestellt werden.

Nach Eingabe einer zu prüfenden Webseite und dem Start des Prüfvorgangs zeigt der Scanner wie bisher eine Fortschrittsanzeige. Je nach Ergebnis der Prüfung sehen die Befunde anders aus. Hier ein Beispiel für ein Scan-Ergebnis:

Das Ergebnis des Schnelltests wird in Form einer kurzen Bewertung gegeben. Im Beispiel lautet die Diagnose „DSGVO-Einhaltung nur bedingt gegeben“. Weil es aus Datenschutzsicht wichtig ist, eine Seite auch optisch zu prüfen, erstellt der Website-Scanner zwei Screenshots. Der linke Screenshot in der Abbildung ist die Ansicht auf größeren Bildschirmen und der rechte Screenshot zeigt die mobile Version. Wichtig ist das deshalb, weil die sogenannten Cookie-Popups mitunter die wichtigen Verlinkungen auf Impressum oder die Datenschutzerklärung verdecken und somit oft ungültig machen. Das kann rechtliche Probleme verursachen.

Manche Webseiten weigern sich, das Recht auf Privatsphäre ausreichend zu berücksichtigen. In bekannten Fällen erscheint dieser Hinweis in der kostenfreien Version des Scanners:

Als Service wird direkt ein Tool angeboten, um eine Datenauskunft beim Betreiber der Website anzufordern. Manche Betreiber antworten immer mit denselben Textbaustein, egal, welche Anfragen Sie stellen. Deshalb erzeugt der Auskunftsgenerator immer andere Texte für Ihre Auskunftsanfrage. So kann im Zweifel leichter gegen den Betreiber vorgegangen werden, weil er sich nicht mehr so leicht herausreden kann.

Achtung: Die Webseite des Spiegel bietet die Wahl zwischen extrem vielen Werbe-Trackern und einem Bezahlmodell. Der Scanner prüft die Website vor dieser "Pay-or-OK-Schranke" (die möglicherweise rechtswidrig ist), auch weil das Simulieren von Clicks auf Webseiten als strafbewehrter Angriff gewertet werden kann. Um eine solcher Website genauer zu prüfen, empfiehlt sich der Pro-Check (siehe unten). Er enthält manuelle Expertenprüfungen, die Sachverhalte beurteilen, die eine Automatik nicht behandeln kann.

Bei (aus Sicht des Scanners) eindeutig rechtswidrigen Webseiten erscheint folgende Meldung:

Dieser Befund des Scanners trifft meistens zu. Beispielsweise bei folgendem Befundbild:

Werden Dienste (andere sagen Tool oder Plugins) von amerikanischen Anbietern eingebunden, erscheint folgende Warnung:

Für die vom Scanner gefundenen Probleme werden oft Lösungsvorschläge angeboten:

Die Buttons verlinken auf Hintergrundartikel auf Dr. DSGVO, die Details zur Thematik vermitteln.

Eine Statistik und der Browser Fingerprint zeigen diverse Zusatzinformationen. Insbesondere Weiterleitungen sind auch aus Datenschutzsicht wichtig. Ebenso wichtig ist es, ob ein SSL-Zertifikat vorhanden ist, ob die Weiterleitung auf SSL durchgängig ist und ob das Zertifikat sicher und noch aktuell ist.

Heutzutage sollte jede Website ein SSL-Zertifikat haben. Früher sagte man, dies solle nur dann vorhanden sein, wenn Kontaktformulare oder ein Newsletter angeboten werden.

Der Scanner zeigt ferner eine Liste der gefundenen und gescannten Seiten. Die Liste wird der Übersichtlichkeit halber gekürzt dargestellt. Außerdem werden gefundene Bilder und Zählpixel aufgelistet.

Zu guter Letzt folgt eine Info zum Tool. Damit hat es folgende Bewandtnis: Oft glauben Website-Betreiber dem Scanner nicht. Das passiert insbesondere dann, wenn auf Spezialseiten Dinge passieren, die außerhalb der Aufmerksamkeit (oder Kontrolle) der Betreiber liegt. Eine Spezialseite ist beispielsweise eine 404-Seite. Nicht selten wird dort ein Google Ads Script eingebunden. Die Nutzer des DSGVO-Checks sind dann derart überrascht, dass sie das nicht glauben wollen.

Ein anderer Fall sind in Vergessenheit geratene Seiten bei Webseiten mit vielen Unterseiten. So kommt es durchaus vor, dass auf einer von 100 Seiten Google Fonts oder ein Social Media Plugin eingebunden ist. Ein gutes Beispiel für letzteres ist das unschöne WordPress-Plugin namens „Gravatar“. Es ist datenfeindlich, hat keinen Nutzen für die Webseite und wird oft automatisch installiert. Der Scanner findet es (jedenfalls dann, wenn die Seite den Scanner durchläuft; in der freien Version ist das nicht so wahrscheinlich wie in den Vollversionen).

Für alle, die sich beteiligen wollen an den Kosten für Hosting und der Arbeit, die in den Scanner und den Dr. DSGVO Blog fließen, gibt es einen Spenden-Button. Übrigens ruft der Kuketz Blog zu Spenden derart auf, dass ihm 3380 € monatlich zufließen (Stand: 11.12.2025, Quelle: sein Blog). Die Spenden für den Dr. DSGVO Blog sind weder auf Daueraufträge ausgerichtet noch derart hoch.

Der kostenfreie Scanner kann aufgrund seines Ressourcenhungers und der Haftungsfrage nicht so viel wie eine Vollversion.

Angebotsseite

Um die verschiedenen Website-Scanner in ihren Vollversionen bereitzustellen, wurde auf der Seite mit den Vollversionen (außerhalb von Dr. DSGVO) ein entsprechendes Angebot bereitgestellt.

Die Beratung steht im Vordergrund (nicht nur auf Dr. DGSVO, wo seit vielen Jahren Privatpersonen und Unternehmer kostenfrei Antworten auf ihre Fragen erhalten), was auch an der neuen Optik erkennbar ist.

Je nach Zielgruppe sind andere Lösungen relevant. Der Filter zeigt direkt die Angebote, die jeweils relevant sind:

Agentur-Paket und Scan-Paket sind weiter unten erklärt.

Der Pro-Check bietet eine manuelle Untersuchung von Webseiten inklusive fachlicher und technischer Beratung sowie rechtlichen Einschätzungen (nebenbei: Rechtsberatung ist jedem erlaubt, nur darf sie nicht den Charakter einer überwiegend juristischen Arbeit haben).

Der Pro-Check kann als Goldstandard bezeichnet werden. Mehr geht für den Preis wohl nicht. Aus Fairnessgründen sind größere Webseiten teurer als kleine. Ein halbwegs bekannter Anwalt (der wahrscheinlich kaum technisches Verständnis hatte) bot einen Check mit ähnlichen Leistungsmerkmalen fast dreimal so teuer an.

Weiterhin gibt es den sogenannten Volkstarif. Im Hintergrund arbeitet der gleiche Scanner wie auf Dr. DSGVO, mit folgenden zwei Unterschieden:

• Scan von bis zu 200 Unterseiten (statt ca. 10 beim freien Scanner)
• Ausführlicher Datenschutzbericht mit Befunden, gefundenen Problemen, Muster-Datenschutztexten, Cookie-Analyse und Lösungsvorschlägen für häufige Probleme (statt einer guten Übersicht beim freien Scanner)

Das Online Tool wird unten erklärt. Es ähnelt dem freien Online Check auf Dr. DSGVO, hat aber deutlich höhere Rate Limits.

Die Vollversionen liefern einen Datenschutzbericht (bis auf das Online-Tool).

Datenschutzberichte des Website-Checks

Beim freien Scanner gibt es keinen solchen Bericht, sondern „nur“ eine hilfreiche Übersicht. Die Vollversionen werden von IT Logic als wwwschutz angeboten.

Eine übersichtliche Statistik zeigt die wesentlichen "Baustellen" an:

Der Bericht enthält viele Informationen (Befunde, erkannte Probleme, Handlungsempfehlunge, Cookie-Liste, Datenschutztexte, Liste erkannter Seiten…). Ein Inhaltsverzeichnis macht diese Inhalte im Bericht leichter zuänglich:

Die Drucken-Funktion ist besonders beliebt, weil aus einer HTML-Seite ein PDF werden kann, welches leicht an Kollegen oder Mandanten weitergegeben werden kann.

Die Handlungsanweisungen geben Empfehlungen, an welche Stelle was getan werden sollte.

Zu den genannten Punkten enthält der Datenschutz-Report hilfreiche Details. So sieht der Leser beispielsweise, welche Seiten als mögliches Impressum erkannt wurden. Eine Webseite sollte nur ein Impressum haben (bezogen auf eine konkrete Domäne!), weil ansonsten Abweichungen entstehen und zu rechtlichen Problemen führen können. Am Impressum wird deutlich, dass der DSGVO-Check mehr tut als nur technische Analysen vorzunehmen. Zwar hat das Impressum direkt nichts mit Datenschutz zu tun, wird aber in einem Atemzug zum Begriff "Webseite" genannt. Deshalb wird die Impressumprüfung mit durchgeführt.

Tipps für das Impressum:

1) Nie die Steuernummer angeben, sondern nur die USt.-ID (sofern vorhanden).

2) Immer den redaktionell Verantwortlichen nennen: Als natürliche (!) Person mit Adresse (Tipp: "Adresse: siehe oben" schreiben und damit auf Website-Betreiberin verweisen.

3) Nie die Rechtsvorschriften angeben, denn diese Angaben sind nicht notwendig, können aber durch neue Gesetze falsch werden. Beispiel: Statt "Verantwortlich gemäß § 5 TMG:" -> "Verantwortlicher für diese Webseite:". Analog für den redaktionell Verantwortlichen!

Diese Prüfungen werden auch im Pro-Check ausgeführt.

Eine Übersicht der wichtigsten Seiten gibt einen guten Überblick für weitere Prüfungen:

Es werden auch Seiten ausgewiesen, die aufgrund weniger relevanter Kriterien als möglicherweise wichtig erkannt wurden. Im Beispiel wurde deshalb eine Seite (URL) als mögliches Kontaktformular genannt. Manche Webseiten bauen ihre Inhalte dynamisch auf, was bei Abruf durch einen Crawler verhindert, dass beispielsweise Formulare zuverlässig erkannt werden können. Es hat sich bewährt, deshalb auch Seiten mit schwächerer Erkennungswahrscheinlichkeit aufzulisten.

Der Website-Scanner erkennt Tools und Plugins, die auf einer Seite vorhanden sind. Die Erkennung funktioniert auch dann, wenn das Tool beim Abruf der Seite gar nicht geladen wurde.

Der häufigste Fall sind Tools, die direkt geladen werden. Deren Erkennung funktioniert über die Auswertung des Netzwerkverkehrs. Setzt ein Plugin Cookies, kann das Plugin über diese Cookies ebenfalls erkannt werden. Dienste, die erst nach Einwilligung geladen werden, können über Quellcode-Analyse, über das Auslesen des Consent Tools oder über eine manuelle Prüfung (Pro-Check) erkannt werden.

Die vom Website-Check erkannten Cookies werden zusammen mit Ihrer Bedeutung, sofern diese bekannt und in der Cookie-Datenbank gespeichert ist, aufgelistet.

Einem Cookie sieht man seinen Zweck nicht an. Für weit verbreitete Dienste ist er oft bekannt. Ausnahmen sind Cookies von Google und anderen Datenkraken, die ungern darüber rede, wie sie Daten von Personen verarbeiten. Im Pro-Check kann der vermutliche Zweck genauer herausgearbeitet werden.

Die meisten Webseiten benötigen kein "Cookie-Popup".

Voraussetzung: Alle unnötigen und einwilligungspflichtigen Datenverarbeitungen sein lassen.

Im Bericht wird neben Details zum gefundenen (oder nicht gefundenen) SSL-Zertifikat auch ausgegeben, welche Datenschutztexte zu den erkannten Tools und Plugins als vorhanden erkannt wurden.

Spannend ist die nachfolgende Information, die dabei hilft, fehlende Datenschutztexte zu erkennen und das Problem zu beheben:

Spätestens seit Mitte des Jahres 2024 ist es wichtig, alle nötigen Datenschutztexte parat zu haben. Denn zu dieser Zeit entschied der EuGH, dass ein Verstoß gegen die Informationspflichen eine rechtsverletzende Datenverarbeitung darstellt (EuGH, Urteil vom 11.07.2024 – C‑757/22). Das heißt, wenn Datenschutztexte beispielsweise für Facebook Connect fehlen, dann ist der Einsatz von Facebook Connect alleine schon deswegen rechtswidrig (siehe Artikel 12 DSGVO).

Damit fehlende Datenschutztexte nicht zum Problem werden, liefert der Datenschutzbericht zahlreiche Mustertexte frei Haus.

Die Texte für die Datenschutzerklärung sind hier aufgrund ihrer Länge nicht dargestellt. Wichtig zu beachten: Die Angaben von Informationen zu einm Tool in der Datenschutzerklärung bedeutet noch nicht, dass das Tool deswegen verwendet werden kann. Vielmehr muss die Rechtsgrundlage nach Art. 6 (1) DSGVO geprüft werden. Für harmlose Plugins kommt man mit dem berechtigten Interesse weiter. Online Shops können sich gelegentlich auf die Vertragserfüllung als Rechtsgrundlage berufen. Ansonsten bleibt meistens nur die Einwilligungsabfrage für eine Legitimation.

In den seitenspezifischen Hinweisen illustriert der Datenschutzbericht detailliert, welche Befunde existieren und wo Handlungsbedarf besteht. Unterfüttert wird dies durch konkrete Angaben zu den Befunden.

Hier beispielsweise wurden auf einer WordPress-Seite mehrere Pluging erkannt. Zu den Plugins erfolgt eine Diagnose, ob sie bedenklich oder unbedenklich sind. Die Diagnose basiert auf einer lokalen Plugin-Datenbank, auf die der Scanner zugreift.

Einige Detail aus dem Bericht konnten hier aufgrund der Detailtiefe des Berichts nicht widergegeben werden.

Das Redesign des Berichts ist in vollem Gange und wird planmäßig Ende des Jahres 2025 abgeschlossen werden. Auch hier gilt: klare Darstellung in ansprechender Optik.

Nicht nur Datenschutzberaters bester Freund

Der Online Website-Scanner wird nicht nur von DSBs, sondern häufig auch von Betreibern von Webseiten genutzt. Während Datenschutzberater häufig mehrere verschiedene Webseiten von Mandanten prüfen, zielen die Betreiber der Seiten meistens auf ihre eigene einzelne Homepage ab.

Um den verschiedenen Bedürfnissen gerecht zu werden, wurden mehrere Nutzungsmodelle entwickelt:

• Freier Online-Scanner: Für alle auf Dr. DSGVO verfügbar.
• Erweiterte freie Version: Für alle Newsletter-Abonnenten verfügbar. Der Scanner prüft mehr Seiten.
• Volkstarif: Check einer einzelnen Website. Innerhalb der Jahreslaufzeit kann die Website beliebig oft geprüft werden. Erhältlich über die IT Logic GmbH unter dem Label wwwschutz.
• Volumentarife für DSBs, Agenturen, Betreiber mehrerer Websites:
  • Agentur-Paket: Frei definierbare Websites, bis die maximale Anzahl der gebuchten Websites erreicht ist. Innerhalb der Jahreslaufzeit kann jede Webseite beliebig oft gescannt werden. Mehr Infos.
  • Scan-Paket: Scan einzelner Websites. Lohnt sich gegenüber dem Agentur-Paket preislich, wenn Websites typischerweise nur 1x pro Jahr geprüft werden oder wenn jede Website im Schnitt nur einmal gescannt wird. Mehr Infos
• Online-Tool: Analog zum freien Online-Scanner, aber Prüfung von bis zu 100 Websites im Monat mit mehr geprüften Seiten pro Scan. Kostenlose Testversion.

Die Inhalte auf Dr. DSGVO sind kostenfrei und bleiben es auch. Die darüber hinaus gehenden Angebote werden daher über die genannte Kanäle bereitgestellt.

Übrigens kommen alle Website-Checks ohne Künstliche Intelligenz aus. Es gab Anfragen von Kunden, wann denn eine KI-Unterstützung kommen würde. Jedoch konnte niemand sagen, was genau denn mit KI gemacht werden soll. Die Auswertung von technischen Befunden ist jedenfalls bestens gelöst, besser als es mit KI möglich ist. Datenschutztexte sind im Muster vorhanden, da bedarf es ebenfalls keiner KI.

Zum Thema AI Act wurde gefragt, ob der Scanner hierzu unterstützen können. Die Antwort ist: Auf Webseiten kann nicht zvuerlässig erkannt werden, ob KI-Systeme wie Chatbots eingebettet sind. Und falls das erkannt wird, sieht der Scanner nur die Benutzeroberfläche und nicht das Sprachmodell oder ähnliches. Was nicht sichtbar ist, kann nicht geprüft werden.

Haben Sie Anregungen oder Wünsche für den Scanner? Dann schreiben Sie einfach kurz.

Bonus

Zusätzlich zum online Datenschutz-Check für Webseiten wird es ein Website Performance Tool geben. Es enthält einen SEO-Checker und einen Security-Checker. Hier ein Bild vom Prototypen:

Webseiten können so geprüft werden auf folgende Kriterien:

• Wie gut finden Suchmaschinen die Website?
• Lädt die Website schnell genug?
• Prüfung von Core Vitals
• Welche Optimierungsmöglichkeiten bestehen? Auch Bilder werden geprüft
• Welche Sicherheitslücken bestehen?
• Wie können die Probleme behoben werden

Extra

Der online Website Check oder auch das eben erwähnte Website Performance Tool gibt es in kostenfreien Varianten. Wer mehr will, sollte dafür bezahlen. Zu teuer darf es aber auch nicht sein. Um das ganze fair und wirtschaftlich zu gestalten, wird es eine Sofort-Kauf Option für niedrigpreisige Produkte geben (Zahlungsplattform aus Europa).

Die Bestellung wird direkt aus dem kostenfreien online Check heraus möglich sein. Hier ein paar Impressionen:

Die Startseite präsentiert sich, genau wie der neue Website-Scan auf Dr. DSGVO, in klarer Optik und zeigt die wesentlichen Vorteile des DSGVO-Checks.

Per online Kauf werden 3 Pakete angeboten, von denen zwei sehr niedrigpreisig sind. Aber es geht noch günstiger: Eine Besonderheit sind die Gutscheincodes und der Rabatt für ein Testimonial (Erfahrungsbericht):

Wer die Vollversion mit Cookie-Scanner und Muster-Datenschutztexten + Lösungsvorschlägen haben möchte, kann also einen Gutschein eingeben, um zu sparen. Die Gutscheine werden immer wieder mal über den Newsletter oder andere geeignete Kanäle vergeben. Sie sind immer zeitlich limitiert und haben eine Obergrenze für die Anzahl der Nutzungen.

Eine andere Möglichkeit für einen Rabatt ist der erwähnte Erfahrungsbericht. Er hilft dabei, den Check zu verbessern. Der Bericht sollte ehrlich und ungeschönt, aber gerne freundlich sein.

Die Erklärungen zum Testimonial-Rabatt sagen hoffenlich alles aus: Der Prozess ist einfach. Der Testimonial-Geber erhält eine Nachfrage per Mail, antwortet mit seinem Erfahrungsbericht und fertig. Entweder wird die Rückmeldung zur Verbessserung des DSGVO-Checkers verwendet oder auf der Webseite veröffentlicht, natürlich datenschutzkonform (mit Pseudonym oder mit Einwilligung).

Falls am Ende noch Fragen offen sein sollten, werden sie möglichst in der FAQ-Sektion beantwortet.

Übrigens erhalten Newsletter Abonnenten bei Verfügbarkeit der Sofortkauf-Option den oben genannten Gutschein-Code für die Vollversion des Website-Checks.

Haben Sie Anregungen für den Check? Dann melden Sie sich gerne. Vielleicht gibt es für gute Impulse ja auch einen Gutschein 😉