Suchen

Inside dacuro: Webseitenprüfung – Wie, Weshalb, Warum?

Inside dacuro: Webseitenprüfung – Wie, Weshalb, Warum?

von Sandra Hoffmann (Kommentare: 0)

Inside dacuro: Webseitenprüfung – Wie, Weshalb, Warum?

Webseiten gehören weiterhin maßgeblich zum Aushängeschild von Unternehmen und stellen eine wichtige Referenz für Kunden dar, die oftmals über den ersten Eindruck entscheidet. Neben der Beantwortung der ganz klassischen Frage, ob ein Unternehmen überhaupt das (an-)bietet, was der Kunde sucht, entscheiden ggf. auch ein ansprechendes, übersichtliches Layout und gutes Marketing über das erste Bauchgefühl sowie die darauffolgende Kaufentscheidung.

Zwischenzeitlich spielt hierbei nicht nur die Authentizität eines Unternehmens, sondern auch dessen Seriosität für Kunden eine große Rolle. Neben Qualitätsmerkmalen, guten Bewertungen und einem realistischen Preis-Leistungsverhältnis fällt mittlerweile auch der datenschutzkonforme Umgang mit Kundendaten unter den Begriff der Seriosität bzw. Aufrichtigkeit. Bei der wachsenden Masse an Fake-Webseiten und Spam-E-Mails ist dieser Faktor ein immer größer werdendes Auswahlkriterium. Scheitert es bereits bei der Webseite mit dem korrekten Umgang von personenbezogenen Daten, stellt sich sofort die Frage, wie das Unternehmen im weiteren Verlauf der Geschäftsbeziehung mit diesen umgehen wird.

Es ist nicht schwierig, mit einfachen Mitteln herauszufinden, ob das Cookie-Banner auf einer Webseite ausschließlich Zierde ist oder tatsächlich seiner angedachten Funktion nachkommt. Auch der Irrglaube, man müsse immer „alle Cookies akzeptieren“, damit eine Webseite funktioniert, löst sich bei Usern – zum Glück – immer mehr in Luft auf. Hinzu kommt, dass Webseiten eine große Angriffsfläche für Abmahnanwälte, Aufsichtsbehörden oder Konkurrenzunternehmen darstellen. Ergänzend kommt hinzu, dass sich in der deutschen Rechtsprechung Urteile mehren, bei denen Webseiten Bestandteil von (monetären) Schadensersatzansprüchen sind.

Aus diesem Grund prüft die dacuro GmbH bei ihren Kunden grundsätzlich zeitnah die Datenschutzkonformität der Webseite und überwacht diese laufend über ein Monitoring. Wie dieses Audit einer Webseite in etwa abläuft und weshalb der Aufwand für die Prüfung im Vorfeld nicht immer exakt kalkulierbar ist, möchten wir in diesem Blog-Beitrag vorstellen.

Webseite – weit mehr als DSGVO

Viele vergessen: Die Datenschutzgrundverordnung (DSGVO) gilt immer dann, wenn ein Unternehmen in der EU aktiv ist und dabei personenbezogene Daten verarbeitet. Es spielt hierbei keine Rolle, ob die Daten physisch in der EU verarbeitet werden oder ob das Unternehmen im Ausland sitzt. Hierdurch sind die die Vorgaben der DSGVO nicht nur von deutschen oder europäischen Unternehmen zu beachten, sondern ggf. weltweit anwendbar. Für deutsche Unternehmen sind jedoch weitere Rechtsgebiete zu beachten, damit man für die Unternehmenspräsenz im Internet „keine auf den Deckel“ bekommt. Für Webseitenbetreiber, die nicht als Privatperson auftreten, werden ggf. auch nachfolgende Rechtsvorgaben relevant:

  • das Digitale-Dienste-Gesetz (DDG)
  • das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG)
  • ergänzend zur DSGVO das Bundesdatenschutzgesetz (BDSG-neu) bzw. das jeweilige Landesdatenschutzgesetz
  • das Barrierefreiheitsstärkungsgesetz (BFSG)
  • der Medienstaatsvertrag (MStV)
  • das Gesetz über Digitale Dienste (Digital Services Act = DSA)
  • die Produktsicherheitsverordnung (GPSR)
  • und das Gesetz gegen den Unlauteren Wettbewerb (UWG)

Nicht alle der genannten Gesetze sind für jeden Webseitenbetreiber gleichermaßen relevant oder verpflichtend. Zudem fallen einige dieser Regelungen nicht unmittelbar in den Bereich des Datenschutzrechts.

Bei unseren Webseitenprüfungen liegt der Fokus auf den datenschutzrechtlichen Anforderungen der DSGVO und den damit verbundenen rechtlichen Vorgaben. Ergänzend geben wir auf Basis unserer langjährigen Erfahrung auch Hinweise zu weiteren rechtlichen Themen. Diese Hinweise sind jedoch rechtlich unverbindlich, können aber im Einzelfall eine sinnvolle Orientierung bieten und sollten gegebenenfalls weitergehend geprüft werden.

Aufwand einer Webseitenprüfung

Soll die Prüfung einer Webseite für ein Unternehmen durchgeführt werden, ist die erste Frage meist: „Wie viele Stunden dauert die Prüfung?“. Ehrliche Antwort: „Ich weiß es nicht“.

Jetzt denken Sie mit Sicherheit, DAS ist doch total unseriös! Nein, um bei der Wahrheit zu bleiben, das ist es nicht. Denn, die Prüfdauer bei Webseiten kann immer nur grob und unverbindlich geschätzt werden. Wer Ihnen hier etwas anderes verspricht, ist entweder nicht realistisch oder überprüft ausschließlich oberflächlich einzelne 0815-Standards. Denn der Aufwand für eine wirklich gute und vollumfängliche Webseitenprüfung hängt unter anderem von nachfolgenden Punkten ab:

  • Wie viele (Unter-)Seiten hat die Webseite?
  • Ist ein Cookie-Consent-Tool eingebunden?
  • Falls ja: ist es korrekt konfiguriert und erfüllt die restlichen Vorgaben der DSGVO?
  • Welche externen Dienste und Anbieter kommen zum Einsatz?
  • Kommen nur „offensichtliche“ externe Dienste zum Einsatz oder gibt es „versteckte“, wie z. B. eine Personalsoftware über den Karriere-Link?
  • Beinhaltetet die Webseite „Eigenprogrammierungen“?
  • Handelt es sich um einen Online-Shop?
  • Werden Formulare eingesetzt?
  • Kann man einen Newsletter abonnieren?
  • Kann man sich über die Webseite bewerben?
  • Führen Links ggf. zu weiteren Webseiten (anderen Domains) des Verantwortlichen?

Es benötigt bereits Zeit, um sich eine grobe Übersicht der bereits genannten Themenbereiche, zu verschaffen und mit allem, was hierbei „on top“ oder versteckt hinzukommt, wird der Prüfumfang bei jeder Domain aufwendiger und umfangreicher.

Warum reicht ein automatisierter Webseiten-Scan nicht?

Auch wir führen ein automatisiertes Webseitenmonitoring durch, das uns in technischer Hinsicht unterstützt und Veränderungen im laufenden Betrieb aufzeigt. Leider kennen wir auch vermehrt Datenschutzunternehmen, die ausschließlich mit einem Startseiten-Scan (= Scan einer Seite) versuchen, eine Aussage zur Webseite ihres Kunden zu treffen oder auf diese Weise Neue zu ködern. Doch der ausschließliche Scan einer Startseite sagt recht wenig über die eigentliche Datenschutzkonformität der gesamten Webseite aus.

Das Webseitenmonitoring, das von der dacuro GmbH eingesetzt wird, scannt die gesamte Domain bis zu einer Seitentiefe von 500 Unterseiten, bevor dieses abbricht. Der Scann hat hierbei einen großen Vorteil: er prüft technisch die korrekte Funktionalität des Cookie-Consent-Banners. Hierbei wird überprüft, ob und welche externen Dienste über das Banner korrekt bzw. nicht korrekt implementiert sind. Sprich: werden die Dienste erst nach (proaktiver) Einwilligung des Users aktiv? Ist beispielsweise auf der Unterseite 327 ein Dienst falsch eingebunden, lässt sich dieser über den Scan unproblematisch finden. Zudem werden mit Hilfe des Scans ggf. vorhandene Sicherheitslücken, wie z. B. veraltete WordPress-Versionen, eine fehlende HTTPS-Verschlüsselung oder abgelaufene Zertifikate, aufgezeigt.

Doch mehr „Wunder“ kann eine automatisierte, technische Überprüfung nicht bieten. An diesem Punkt teilt sich auch die Spreu vom Weizen, was die Qualität bei Webseitenprüfungen betrifft. Denn alle weiteren datenschutzrechtlich relevanten Punkte, wie das Layout des Consent-Banners, welches ebenfalls einige Vorgaben erfüllen muss, können nicht automatisiert überprüft werden. Auch die Einholung von Einwilligungen bei Formularen, das Abonnement eines Newsletters oder das Bewerbungsverfahren, können nicht mit technischen Mitteln geprüft werden. Kommt ggf. hinzu, dass Sie auf Ihrer Webseite eine „Neben“-Domain eingebunden haben, wird diese ebenfalls nicht über einen automatischen Scan erfasst. Denn dieser beschränkt sich immer nur auf die Domain, mit der das Online-Tool „gefüttert“ wurde. Je nach Anzahl der Seiten und Komplexität einer Webseite, müssen alle weiteren Themenbereiche im Detail manuell überprüft werden. Und genau diese „Wundertüte“ kann die Gesamtprüfung einer Webseite entsprechend aufwändiger und zeitintensiver machen. Dies ist ebenfalls einer der Gründe, weshalb es nicht möglich ist, vorab den genauen Aufwand für eine Webseitenprüfung festzulegen.

Was wird bei einer Webseite überprüft?

Wir prüfen die jeweilige Domain nach einem groben System, das sich in nachfolgende Teilbereiche gliedert:  

- Startseite

Kommen auf der Webseite externe Dienste zum Einsatz, beinhaltet die lapidare Prüfung der Startseite oftmals weitaus mehr als den Standard. Denn in diesen Fällen ist ebenfalls zu prüfen: gibt es ein Consent-Banner zur Einholung der Einwilligungen? Ist dieses technisch korrekt konfiguriert? Entspricht das Banner auch den restlichen Vorgaben der DSGVO?

- Impressum

Das Impressum ist Ihre Anbieterkennzeichnung und stellt im Rahmen der DSGVO die Pflichtinformationen gem. Art. 13 DSGVO Ihres Unternehmens dar. Aus diesem Grund dürfen auf dieser Seite keine externen Dienste enthalten sein und die Seite muss „neutral“ bleiben. Hier prüfen wir im Schwerpunkt auf Vollständigkeit der Angaben gem. der Vorgaben des DDG. Denn, wie bereits erläutert, ist die Prüfung des Impressums im Kern keine Datenschutzfrage, weshalb wir aus rechtlichen Gründen teilweise nur unverbindliche Hinweise geben, die Sie prüfen sollten.

- Datenschutzerklärung

Auch die sogenannte „Datenschutzerklärung“ oder die „Datenschutzhinweise“ stellen Pflichtinformationen gem. DSGVO dar. Hier müssen Sie über alle Dienste informieren, die auf Ihrer Webseite eingesetzt werden und welche Rechte Personen haben, die von diesen Datenverarbeitungen betroffen sind. Bei dieser Überprüfung kann das automatisierte Webseitenmonitoring eine zusätzliche Unterstützung darstellen. Denn beim Scan der Seiten hinsichtlich externer Dienste erfolgt parallel auch der Abgleich, ob der verwendete Anbieter in der Datenschutzerklärung genannt wird.
Doch auch hier steckt der Teufel im Detail. Der Scan erkennt in der Regel keine veralteten Adressangaben oder ungültige Normen, wie z. B. die im Mai 2024 erfolgte Änderung des TTDSG zum TDDDG, welches im Wording aufgrund des EU-Kontextes zu den „digitalen Diensten“ erfolgt ist. Auch eine Überprüfung der im Text genannten Rechtsgrundlagen lässt sich nicht automatisiert durchführen, weshalb eine Datenschutzerklärung immer auch manuell abgeglichen werden muss. Abschließend geben wir Feedback, ob die vorhandenen Angaben (rechtlich) aktuell sind oder erneuert werden sollten. Auf Wunsch des Kunden generieren wir dann eine aktuelle Version und stellen diese bereit. Bei diesem Schritt lässt sich ebenfalls einiges mit Hilfe von vorformulierten Generator-Texten bewerkstelligen. Textbausteine, für die es jedoch keine Standardformulierungen gibt, erstellen wir für unsere Kunden individuell.

- Online-/Kontakt-Formulare

Formulare in jedweder Form müssen ebenfalls manuell überprüft werden, da hierbei festgestellt werden muss, für welchen Zweck es eingesetzt wird. Entsprechend ist zu prüfen, ob beispielsweise das Prinzip der Datenminimierung (= so viele Daten wie nötig, so wenige Daten wie möglich) eingehalten wird. Eine derartige Überprüfung lässt sich ausschließlich über den Kontext, in dem das Formular auf der Webseite eingesetzt wird, kontrollieren. Gleiches gilt für die allseits bekannte „Check-Box“ zur vermeintlichen „Zustimmung zum Datenschutz“ in diesem Kontext, die gerne als Pflichtfeld verwendet wird. Der Einsatz des kleinen Kästchens hält sich weiterhin hartnäckig, obwohl es in der Regel gar nicht notwendig ist.

- Bewerbungen

Sobald es möglich ist, dass sich potenzielle Bewerber und Bewerberinnen über die Webseite eines Unternehmens bewerben können, ist zu prüfen, wie dies realisiert wurde. Gibt es ein Online-Formular oder wird eine eigene E-Mail-Adresse verwendet? Oder ist auf den Seiten ein externer Dienstleister eingebunden, über den die eingegebenen Daten ggf. direkt in eine Personalsoftware aufgenommen werden? Und in welcher Form werden die Bewerber über die Datenverarbeitung informiert? Auch hier schließt sich wieder der Kreis, dass der Datenverarbeiter (= das Unternehmen) seinen Pflichtinformationen nachkommen muss.  

- Hinweise & sonstige Auffälligkeiten

Wir bieten ergänzend immer den Service, dass wir auf Auffälligkeiten, die uns bei einer Prüfung begegnen, hinweisen. Kommen Fotos von Mitarbeitenden auf der Webseite zum Einsatz, stellt sich immer auch die Frage, ob hierfür die Einwilligungen vorliegen. Des Weiteren kann es sich hierbei um ganz banale Dinge handeln. Zum Beispiel ein Link, der auf eine Fehler-Seite führt, ein Navigationsproblem oder ein auffälliger Tippfehler. Auch diese Punkte gehören nicht im klassischen Sinn zur datenschutzrechtlichen Prüfung einer Webseite, zeigen jedoch sehr deutlich, wie detailliert und gewissenhaft wir prüfen. Solche unscheinbaren Punkte helfen unseren Kunden oftmals, simple Herausforderungen zu beheben, um die eigene Auswirkung zu optimieren. Zudem nehmen wir abschließend ggf. auch die auf den Seiten eingebundenen externen Dienstleiste unter die Lupe. Hierdurch verschaffen wir uns einen ersten Eindruck, ob bzw. wie DSGVO-konform diese sind. Denn: Papier ist geduldig und der Abschluss des Vertrages zur Auftragsverarbeitung (AV-Vertrag) regelt nur den formellen Umgang mit personenbezogenen Daten. Doch dieser weicht in der Praxis gelegentlich von der Theorie ab, was zur echten Herausforderung für ein Unternehmen werden kann.

Fazit

Unternehmen stehen heute vor der Herausforderung, eine Vielzahl an gesetzlichen Vorgaben einzuhalten. Der damit verbundene bürokratische Aufwand ist oft hoch und wird nicht selten als hinderlich im Arbeitsalltag empfunden. Gerade der Datenschutz gehört für viele zu den unbeliebten Aufgaben – obwohl er eine zentrale Rolle spielt.

Gleichzeitig zeigt die Realität, wie wichtig dieses Thema ist: Cyberkriminalität nimmt weiter zu. Immer mehr Unternehmen und Privatpersonen werden Opfer von Phishing, Ransomware oder betrügerischen Webseiten. Der jährliche Schaden liegt inzwischen bei über 200 Milliarden Euro, und nahezu jeder zehnte Mensch ist betroffen. Vor diesem Hintergrund stellt sich die Frage, ob es wirklich sinnvoll ist, beim Datenschutz Abstriche zu machen, nur um Prozesse zu vereinfachen.

Für seriöse Unternehmen bietet sich hier eine klare Chance: Wer sorgfältig und verantwortungsvoll mit personenbezogenen Daten umgeht, zeigt Respekt und Professionalität gegenüber Kunden und Geschäftspartnern. Genau das wird heute zunehmend wahrgenommen – und kann ein entscheidender Wettbewerbsvorteil sein. Dies unterscheidet oftmals die Spreu vom Weizen und der erste Schritt beginnt oft schon bei der eigenen Webseite. Eine datenschutzkonforme und „saubere“ Online-Präsenz signalisiert Sicherheit, Transparenz und Vertrauen. Sie kann damit die Grundlage für eine langfristige und erfolgreiche Geschäftsbeziehung bilden.

dacuro GmbH

Die dacuro GmbH stellt nicht nur den externen Datenschutzbeauftragten für Unternehmen und öffentliche Stellen. Die zuvor beschriebene Prüfung von Webseiten ist nicht ausschließlich Bestandteil unserer ganzheitlichen Datenschutz-Betreuung. Wir bieten das Webseiten-Audit auch als eigene Dienstleistung, ohne dass Sie hierfür das vollständige „Datenschutz-Paket“ buchen müssen. Möchten Sie Ihre nächste Kundenbeziehung mit einer seriösen Internet-Präsenz starten? Dann nehmen Sie gerne Kontakt zu uns auf.

TAGS

Zurück

Einen Kommentar schreiben

Bitte addieren Sie 6 und 7.

Updates Anmeldung zum Newsletter

Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.