DSGVO-konforme Webseite selber prüfen – Checkliste zum Webseiten-Check

Anforderungen der DSGVO an die Webseite selber prüfen - DSGVO Checkliste

Auf den Punkt gebracht: Webseiten-Analyse selber durchführen

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Identifizieren Sie alle Cookies / Plugins und sonstigen Add-ons Ihrer Webseite. Verwenden Sie dazu Onlinedienste oder Browser-Add-ons.
  • Analysieren Sie die Ergebnisse auf Datenschutzrelevanz. Werden Cookies gesetzt oder personenbezogene Daten übertragen?
  • Prüfen Sie Ihre Webseite inhaltlich. Haben Sie Formulare eingebunden? Gibt es andere Möglichkeiten der Interaktion mit den Webseitenbesuchern?
  • Erstellen Sie eine Datenschutzerklärung, die alle identifizierten und analysierten Punkte enthält, die DSGVO relevant sind.

Ist Ihre Website DSGVO-konform?

Diese Frage stellen sich nach dem Inkrafttreten der DSGVO im Mai 2018 immer mehr Webseitenbetreiber. Zumal die Urteile des EuGHs vom 29. Juli 2019 (Einwilligung für Social-Media-Plugins) und 1. Oktober 2019 (Einwilligung für Cookies) die Betreiber nicht wirklich beruhigen. Eher wird die Panik noch größer.

Ein Webseitencheck ist mit Aufwand verbunden – und daher auch mit Kosten.
Wie Sie den Status Ihrer Webseite bezüglich Datenschutz selbst beurteilen können, zeigen wir Ihnen in diesem Beitrag.

Anmerkung: Wir geben uns die größte Mühe, immer auf dem aktuellen Stand zu sein. Trotzdem können wir an dieser Stelle keine Garantie geben. Es handelt sich hierbei auch um keine Rechtsberatung!

DSGVO Webseiten-Check selbst durchführen

Wir haben inzwischen viele Webseiten unserer Kunden geprüft. Unsere Vorgehensweise ist sehr detailliert und teilweise aufwändig.

Nachfolgend zeigen wir Ihnen, worauf es ankommt und welche Hilfsmittel Sie zur Analyse verwenden können. Wir nennen die Tools und Werkzeuge, mit denen wir arbeiten. Das heißt allerdings nicht, dass es keine vergleichbaren Anbieter gibt. Es geht uns hier nicht um Werbung für einzelne Dienste. Wir geben auch keine Bewertung oder erhalten Provision, wenn Sie einen der Dienste nutzen. Wir zeigen lediglich unsere Vorgehensweise zur konformen DSGVO Webseite.

Viele Wegen führen nach Rom. Und wir möchten nicht behaupten, dass wir den einzig möglichen Weg kennen.

Anbei finden Sie eine kompakte Checkliste, in der die genannten Punkte noch einmal kurz zusammen gefasst werden. Für unsere Kunden stellen wir eine ausführliche Vorlage für einen Webseitenbericht und die zu prüfenden Punkte zur Verfügung.

Wie können Sie den Stand der Anforderungen der DSGVO auf Ihrer Webseite selber prüfen?

Tools zum Prüfen der DSGVO-Anforderungen an Ihre Onlinepräsenz

Jetzt kommt Werbung! … allerdings unbezahlt 😉

Basis-Anforderungen für eine datenschutzkonforme Webseite

Verschlüsselte Übertragung

Eine HTTPS Verschlüsselung der Webseite sollte nicht diskutiert werden. Wie das Landgericht Würzburg in seinem Urteil mit dem Aktenzeichen 
11 O 1741/18
bekannt gab, ist eine Verschlüsselung der Webseite als aktueller Stand der Technik anzusehen. Wir empfehlen eine Verschlüsselung der Webseite generell, auch wenn diese keine personenbezogenen Daten überträgt. Dabei ist es wichtig, dass die ganze Domain per Default HTTPS verwendet und nicht nur einzelne Seiten. Auch empfehlen wir, eine Weiterleitung zu konfigurieren. Diese sorgt dafür, dass Seitenbesucher, die nur HTTP eingeben, trotzdem an die verschlüsselte Seite unter HTTPS weitergeleitet werden.

Neben dem Sicherheitsaspekt kann sich eine Verschlüsselung der Seite auch in anderen Bereichen günstig auswirken. So bevorzugen einige Browser verschlüsselte Seiten. Und auch in Hinblick auf SEO ist davon auszugehen, dass verschlüsselte Seiten bei Google besser ranken. 

Neben HTTPS sollten Sie auch prüfen, ob Ihre Seite auch das HSTS Verfahren umgesetzt hat. HSTS ist ein zusätzliches Sicherheitskriterium für die HTTPS Verbindungsverschlüsselung.

Eine Bewertung von HTTPS und HSTS erhalten Sie für Ihre Webseite über den Dienst dataskydd.

Referrer Richtlinie

Dataskydd liefert Ihnen ebenfalls Informationen darüber, ob Ihre Webseite beim Weiterleiten zu einer anderen Seite die Quelle (also Ihre eigene Seite) mitgibt. Sie leiten zum Beispiel auf unsere Seite weiter und geben die Referrer Informationen mit. Damit ist es für uns ersichtlich, dass der User von Ihrer Seite kam.

Dies kann nicht pauschal als negativ eingestuft werden. Manchmal kann es sinnvoll oder notwendig sein, diese Informationen mitzugeben. Prüfen Sie dies im Einzelfall für Ihre Webseite.

Sicherheitseinstellungen für Ihren Webserver

Über die Auswertung von Dataskydd erhalten Sie Informationen über den Sicherheitszustand Ihres Webservers. Dataskydd gibt einige Empfehlungen aus, die Sie prüfen können.

DSGVO-Check für installierte Plugins und Webseiten-Erweiterungen durchführen

  • Öffnen Sie die zu prüfende Webseite im Browser, in dem Sie die Erweiterungen (z.B. uMatrix, Ghostery) installiert haben
  • Stellen Sie sicher, dass uMatrix und ggf. weitere Ad-Blocker, die bei Ihnen laufen, nichts blockieren.
  • Prüfen Sie Ihre Webseite mit dem Plugin oder dem Onlinedienst von BuiltWith.
  • Erfassen Sie alle Plugins / Erweiterungen und sonstigen Installationen, die von uMatrix, Ghostery, BuiltWith oder anderen Diensten gemeldet werden.
    1. Wir empfehlen Ihnen, sich eine Tabelle anzulegen, die ähnlich der folgenden Tabelle aufgebaut ist
    2. Im ersten Schritt reicht es, wenn Sie nur die 1. und 2. Spalte ausfüllen (Name und Zweck). Wichtig ist es, den Zweck der Erweiterung so korrekt wie möglich zu beschreiben- also was genau das Plugin oder die Erweiterung macht.
      Daraus leiten sich später die Vorgaben ab, ob Opt-in, Opt-out oder die Erwähnung in der Datenschutzerklärung überhaupt notwendig ist.

      Wenn Sie Erweiterungen verwenden, deren Funktionalität nicht bekannt ist und der Hersteller auch keine Angaben macht, sollten Sie im Zweifelsfall lieber von deren Einsatz absehen.
Name der Installation
Erweiterung
ZweckRelevant
für DSE
Opt-in
nötig
Opt-out
nötig
AV nötig
CMS: WordPress (selbst
gehostet)
Content Management
System zur Verwaltung der Inhalte
Google FontsSchriftarten
Google AnalyticsErfassung der
Besucherstatistik
  • Prüfen Sie Ihre Seite über den Dienst von Datasky: https://webbkoll.dataskydd.net/
  • Ergänzen Sie fehlende Erweiterungen / Cookies / Plugins in der Tabelle
  • Notieren Sie die weiteren Ergebnisse von Datasky in einem Bericht

Bewerten der Erweiterungen / Cookies / Plugins… bezüglich DSGVO und weiteren Datenschutz-Vorgaben

Im vorherigen Punkt haben Sie nun alles erfasst, was auf Ihrer Webseite installiert ist. Vielleicht sind ein paar Erweiterungen dabei, die Sie selbst überraschen. Vielleicht haben Sie gar nicht alles bewusst bzw. direkt installiert?

Jetzt kommt der schwierigere Teil des DSGVO Webseiten-Checks. Sie müssen Ihre Webseiten-Erweiterungen bezüglich des Datenschutzes bewerten. Muss das Cookie oder Plugin in der Datenschutzerklärung erwähnt werden? Ist für die Ausführung der Funktion ein Opt-in oder eine Opt-out- Möglichkeit für den Benutzer notwendig?

Wir versuchen Ihnen anhand der folgenden Fragen die Entscheidungsfindung etwas zu erleichtern.

Muss das Plugin / Cookie / die Erweiterung in der Datenschutzerklärung angegeben werden?

Diese Frage können Sie mit „Ja“ beantworten, wenn zum Beispiel einer der folgenden Punkte zutrifft:

  • Personenbezogene Daten des Webseitenbesuchers werden erfasst und lokal gespeichert (keine Übermittlung zu einem Drittanbieter). Dazu gehört auch die IP-Adresse.
  • Personenbezogene Daten (z.B. die IP-Adresse) werden an einen externen Dienst übermittelt, um bestimmte Funktionalitäten auf der Webseite ausführen zu können (egal, ob die Funktion zwingend für den Betrieb der Webseite ist oder nicht).
  • Dazu gehören z.B. auch Web Fonts.

Nicht DSE relevant ist die Erweiterung, wenn keine personenbezogenen Daten zur Ausführung der Funktion verarbeitet werden. Das wäre zum Beispiel der Fall, wenn Sie zwar Webfonts, wie Google Fonts, nutzen, diese aber lokal installiert haben. In diesem Fall müssen Sie die Webfonts auch nicht in der DSE angeben.

Ist ein Opt-in für die Ausführung des Cookies / Plugins / der Erweiterung der Webseite nötig?

Unter Opt-In bzw. Opt-Out versteht man, dass ein Benutzer die Möglichkeit hat, die Verarbeitung seiner personenbezogenen Daten zu unterbinden. Sie sind eines der wichtigsten Mittel, Ihre Webseite DSGVO konform zu gestalten. Die Datenschutzkonferenz hat in ihrer Orientierungshilfe für Anbieter von Telemedien die Unterscheidung von Opt-In und Opt-Out folgendermaßen definiert: 

Der maßgebliche Unterschied zwischen einer Widerspruchslösung (Opt-Out) und einer Einwilligung (Opt-In) ist, dass im Falle einer Widerspruchslösung zunächst eine Datenverarbeitung stattfindet, die lediglich durch Erklärung eines Widerspruchs für die Zukunft untersagt werden kann. Anders liegt der Fall hingegen, wenn eine Einwilligung (Opt-In) erforderlich ist. Dann darf eine Datenverarbeitung nämlich erst stattfinden, nachdem eine wirksame Einwilligung vom Nutzer tatsächlich erteilt worden ist.

Orientierungshilfe für Anbieter von Telemedien (DSK)

Durch das Urteil vom 1. Oktober 2019 des EuGHs vereinfacht sich die Beantwortung der Frage – allerdings leider zum Nachteil von Seitenbetreiber und Seitenbesucher.

Die grundsätzliche Frage lautet: Ist die Erweiterung zwingend für die Funktion oder das Erscheinungsbild der Webseite?

Wenn Sie diese Frage mit „Ja“ beantworten können, müssen Sie kein Opt-in des Benutzers einholen.
Für alle anderen Fälle, wie z.B. für die Erfassung der Besucherstatistik, ist ein Opt-in nötig.

Wichtig! Das EuGH entschied im Oktober ebenfalls, dass auch die Vorauswahl nicht mehr erlaubt ist. Der Besucher muss die optionalen Cookies und sonstige Webseitenerweiterungen aktiv auswählen. Aktiv bedeutet in diesem Fall, ohne Vorauswahl der Checkbox.
Egal ob mit Einwilligung oder ohne. Informieren müssen Sie immer über die verwendeten Cookies in der Datenschutzerklärung oder über einen anderen Weg (z.B. direkt über den Cookie Banner).

Ist eine Opt-out-Möglichkeit für die Erfassung personenbezogener Daten über die Webseite nötig?

Inzwischen kann man Opt-in und Opt-out eigentlich gleichsetzen. Das heißt: Überall, wo die Möglichkeit für ein Opt-in gegeben ist, muss auch eine spätere Opt-out-Möglichkeit für den Benutzer gegeben sein.
Beispielsweise, wenn bestimmte Cookies, die der Benutzer blockiert hat, für das Abspielen eines Videos notwendig sind. Dafür empfehlen wir, dem Seitenbesucher einen Link in der Datenschutzerklärung bereitzustellen, der den Cookie-Hinweis erneut erscheinen lässt. Auch ein Hinweis auf die Datenschutzerklärung (mit Link) sollte in keinem Cookie-Hinweis fehlen.

Welche Anforderungen muss ein Cookie-Banner erfüllen?

Der Cookie-Hinweis bzw. Cookie-Banner darf die Links zu Datenschutzerklärung und Impressum nicht überdecken. Auch muss der Benutzer – wie oben erwähnt – die Möglichkeit haben, seine Einstellungen nachträglich zu ändern (Widerruf).

Wir empfehlen, ein Cookie-Banner zu wählen, das die verwendeten Cookies kategorisiert (z.B. notwendig für die Funktion, Statistik, Marketing, Personalisierung…).

Der Benutzer muss die Möglichkeit haben, aktiv und freiwillig auszuwählen, welche Cookies / Kategorien von Cookies er zulassen möchte, bevor Sie mit dem Tracking starten. Eine technisch einwandfreie Implementierung durch den Webseitenbetreiber ist natürlich vorausgesetzt.

Anlässlich des Safer Internet Days 2019 hat auch das Landesamt für den Datenschutz Bayern einige Cookie-Banner auf Webseiten unter die Lupe genommen. Ihrer Einschätzung nach kann mit vielen Cookie-Hinweisen, wie sie derzeit im Einsatz sind, ungewolltes Tracking nicht verhindert werden.

Cookie-Richtlinie und e-Privacy-Verordnung

In Deutschland wurde die Cookie-Richtlinie bisher nicht umgesetzt, da die bisherige Regelung im Telemediengesetz, kurz TMG, als ausreichend angesehen wurde.

Darüber hinaus plant die EU die sogenannte e-Privacy-Verordnung. Auch die e-Privacy-Verordnung soll sich mit Cookies befassen. Sie wird, sobald sie in Kraft tritt, die Regelung aus dem TMG ablösen. Bis zum Inkrafttreten der e-Privacy-Verordnung wird es daher wohl noch einige Unklarheiten darüber geben, wie genau ein DSGVO konformer Cookie-Hinweis aussieht. Die Urteile des EuGH geben aber schon eine Richtung vor.

Handelt es sich beim Plugin-Anbieter um einen Auftragsverarbeiter?

Die Frage kann nicht generell mit einem Ja oder Nein beantwortet werden. Grundsätzlich muss man zwei Fälle unterscheiden:

  1. Der Anbieter erstellt die Software für die Webseitenerweiterung. Nach der Installation am eigenen Webserver oder im eigenen CMS werden die personenbezogenen Daten nur lokal am eigenen Server gespeichert. Es erfolgt keine Übertragung von Daten an den Hersteller der Software.
  2. Der Anbieter erstellt die Software bzw. stellt einen Webdienst zur Verfügung, der auf der eigenen Webseite eingebunden werden kann. Im Betrieb werden Daten des Webseitenbesuchers erfasst und zu den Servern des Anbieters übertragen.

Im ersten Fall kann man eine Auftragsverarbeitung ausschließen. Für Fall zwei muss dann genau geprüft werden, um welche Verarbeitung es sich handelt. Ist die Verarbeitung personenbezogener Daten die Kernaufgabe des Anbieters? Dann ist ein AV-Vertrag auf jeden Fall nötig.
Alle weiteren Möglichkeiten können wir an dieser Stelle nicht pauschal beantworten. Mehr Informationen zur Auftragsverarbeitung finden Sie im Blogartikel zur Auftragsverarbeitung.

Beispiele für Webseiten-Erweiterungen

Da das Thema doch sehr komplex ist, zeigen wir ein paar Beispiele aus unserer Webseite. Wir nutzen WordPress und haben verschiedene Plugins installiert. Folgende Tabelle zeigt einige Beispiele:

Name der Installation
Erweiterung
ZweckRelevant
für DSE
Opt-in
nötig
Opt-out
nötig
AV nötig
AMPOptimierung der Seite für MobilgeräteNeinNeinNeinNein
Google FontsSchriftartenJaNeinNeinNein
Google AnalyticsErfassung der
Besucherstatistik
JaJaJaJa
BackUpWordPressSoftware zur automatischen Erstellung von Backups von WordPressNeinNeinNeinNein
Newsletter 2GoEinbinden eines Anmeldeformulars für den NewsletterJaNeinNeinJa

DSGVO Webseiten-Check – Inhalte

Den größten Teil haben wir nun abgedeckt. Jetzt geht es um die Inhalte. Sind diese datenschutzkonform auf der Webseite eingebunden?

Medien

Kaum eine Seite kommt ohne eingebettete Medien aus – Videos von YouTube, Landkarten von Google oder OpenStreetMap, um nur zwei Beispiele zu nennen.

In der Regel werden bereits beim Laden der Seite Daten an den Dienstanbieter übertragen. Das bedeutet, noch bevor der Besucher der Webseite das Video ansieht, weiß YouTube schon, dass der Benutzer gerade die Seite mit dem Video besucht.

Medien sollten daher so eingebunden werden, dass die Inhalte erst beim aktiven Betrachten geladen werden. Der Begriff „Aktives Betrachten“ ist mir gerade eingefallen. Letztendlich bedeutet das nichts anderes, als eine explizite Angabe des Users, dass er das Video nun ansehen möchte. Am besten per Klick auf das Objekt.

Newsletter

Wird ein Newsletter angeboten, gibt es dafür ein paar Grundregeln.

Kopplungsverbot: Sie müssen sicherstellen, dass der Newsletter nicht an etwas gekoppelt ist. Beispiel: Sie bieten ein kostenloses Dokument an. Der Interessent ist automatisch in Ihrer Newsletterliste, wenn er das Dokument anfordert oder sich für ein kostenloses Webinar anmeldet. Das würde laut DSGVO gegen das Kopplungsverbot verstoßen.

Newsletteranbieter datenschutzkonform: Nutzen Sie nur Dienste von Anbietern, die als DSGVO konform gelten. Schließen Sie einen Auftragsverarbeitungsvertrag mit dem Anbieter.

Datensparsamkeit bei der Anmeldung: Für den Newsletterversand ist nur die Angabe der E-Mail-Adresse zwingend. Vermeiden Sie daher weitere Abfragen von persönlichen Daten. Falls Sie diese tatsächlich abfragen möchten, stellen Sie sicher, dass es sich um freiwillige Angaben handelt.

Double Opt-in: Die Anmeldung muss zweistufig umgesetzt werden. Der Interessent trägt seine E-Mail-Adresse ein. Als nächstes erhält er eine Bestätigungsmail. In dieser E-Mail muss er den angegebenen Link anklicken. Erst dann darf er offiziell für den Newsletter angemeldet sein.

Hinweis auf Datenschutzerklärung: Beim Anmeldeformular sollte klar erkenntlich sein, was der Betroffene „erhält“. Beschreiben Sie kurz Ihren Newsletter. Bieten Sie rein Informationen an oder werden Sie auch Werbung versenden? Falls Werbung, nur eigene oder auch von Dritten? Verweisen Sie auch auf die Datenschutzerklärung. In dieser muss der Newsletterversand klar dargestellt werden. Eine Bestätigung dieser Datenschutzerklärung ist allerdings NICHT notwendig!

Formulare

Daten, die über Formulare erhoben werden, unterliegen der Zweckbindung. Das heißt, sie dürfen erst einmal nur für den Zweck genutzt werden, für den sie erhoben wurden.
Falls Sie Formulare anbieten, über die die Betroffenen mit Ihnen in Kontakt treten können, sollten Sie folgendes beachten:

Datensparsamkeit: Wie auch bei der Newsletter-Anmeldungen ist es wichtig, nur die Daten als Pflichtfeld abzufragen, die für die Beantwortung der Anfrage zwingend sind. Erfolgt die Antwort durch Sie per E-Mail, dann sollte die Telefonnummer maximal ein optionales Feld sein.

Hinweis auf Datenschutzerklärung: In der Datenschutzerklärung müssen Sie den Zweck des Formulars beschreiben und weitere Pflichtangaben nach Art. 13 DSGVO zum Verfahren angeben. Aus dem Verfahren ergibt sich die Rechtmäßigkeit der Verarbeitung. In der Regel kann man bei Anfrageformularen argumentieren, dass es sich um eine vertragliche oder vorvertragliche Maßnahme nach Art. 6 (1) lit. b DSGVO handelt. In diesem Fall reicht ein Hinweis auf die Datenschutzerklärung wie bei der Newsletter-Anmeldungen aus.

Bilder von Personen

Verwenden Sie eigene Bilder auf Ihrer Webseite? Sind auf den Bildern Personen abgebildet? In diesem Fall ist es zwingend nötig, dass Sie sich die Einwilligung zur Veröffentlichung der Bilder einholen.
Respektieren Sie es auch, wenn Mitarbeiter deren Veröffentlichung ablehnen.

DSGVO Webseiten-Check – Social Media Profile

Dieser Punkt betrifft weniger die Webseite. Trotzdem gibt es eine Verbindung von Ihren Profilen in den sozialen Medien zu Ihrer Internetpräsenz.

Für jedes Profil, das Sie in den sozialen Medien betreiben, benötigen Sie einen Hinweis in Ihrer Datenschutzerklärung.

Zudem empfehlen wir Ihnen, im Titel oder Untertitel der Datenschutzerklärung einen Hinweis anzugeben. Zeigen Sie explizit auf, für welche sozialen Profile diese Datenschutzerklärung ebenfalls gilt.

Verweisen Sie auf Ihren Profilen in den sozialen Medien wiederum auf die Datenschutzerklärung Ihrer Webseite.

Datenschutzerklärung erstellen

Und schon sind wir am Ende des Webseitenchecks angekommen. Jetzt brauchen wir nur noch eine vollständige Datenschutzerklärung und Ihre Webseite ist DSGVO-konform.

Dem Thema Datenschutzerklärung erstellen widme ich einen eigenen Beitrag. Je nachdem, ob Sie viele individuelle Webseitenerweiterungen nutzen, kann der Aufwand zur Erstellung einer Datenschutzerklärung auch umfangreich sein.

Fazit: DSGVO-konforme Webseite

Einfach mal so schnell nebenbei eine Webseite auf DSGVO-Konformität zu überprüfen – das geht kaum. Der größte Aufwand liegt aus unserer Erfahrung in der Analyse der identifizierten Webseitenerweiterungen.

Wie ist Ihre Erfahrung mit der Erstellung einer datenschutzkonformen Webseite? Wie stellen Sie sicher, dass Ihre Webseite den aktuellen Anforderungen entspricht? Verwenden Sie spezielle Tools oder Dienste? Wir sind gespannt. Teilen Sie es uns doch in einem Kommentar mit.

Checkliste für die DSGVO-konforme Webseite

Eine tolle Anleitung zum Erstellen einer Webseite hat Finn Hillebrand in seinem Beitrag auf Blogmojo zusammen gestellt. Hier geht’s zum Artikel!

Hilfe beim Webseiten-Check

Benötigen Sie Unterstützung beim Prüfen Ihrer Webseite oder bei der Erstellung einer vollständigen Datenschutzerklärung? Gerne unterstützen wir Sie. Schreiben Sie uns eine unverbindliche E-Mail.

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.