DSGVO Webseiten Check und Audit inkl. Checkliste

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, die besonders oft in meiner Beratungspraxis vorkommen.

Am Ende des Artikels sollen Sie in der Lage sein, einen Datenschutz Websitecheck mit Hilfe von kostenlosen Tools und Checklisten alleine durchzuführen. Das gilt sowohl für Ihren Webauftritt als auch für im Auftrag geprüfte Seiten.

In diesem Artikel erfahren Sie:

  • Was die gesetzlichen Grundlagen für die Erstellung einer rechtssicheren Webseite sind,
  • wie Sie Schritt-für-Schritt eine Webseite nach DSGVO überprüfen,
  • wie Sie mit Hilfe von Checklisten viele Lücken finden, die es geben könnte
  • und wie Sie mit Hilfe von kostenlosen Tools Ihre Webseite prüfen können.

Gesetzliche Grundlagen zum Datenschutz auf Webseiten

Bei dem Betrieb einer Internetseite, egal ob Firmenblog oder Onlineshop, fallen grundsätzlich personenbezogene Daten an. Sei es durch Log-Daten, Tracking oder durch die direkte Eingabe von z.B. einer E-Mail Adresse.

Durch diesen Umstand sind zwingend alle Regeln der DSGVO und weiterer Datenschutzgesetze einzuhalten, also z.B. das Einhalten der Rechtsgrundlagen (z.B. Einwilligung einholen) oder die Datensparsamkeit (nur so viele Daten erheben, wie wirklich notwendig). Diese Pflicht trifft alle Unternehmen, welche in der EU aktiv sind (Marktortprinzip).

Ein Webseitenaudit nach DSGVO sollte auch rechtliches checken.

Darüber hinaus ist noch ggf. das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) zu beachten oder es gelten andere Gesetze, wie z.B. das Jugendschutzgesetz.

Oft wird angenommen, dass nach DSGVO auch ein Impressum bereitgestellt werden muss. Diese Pflicht fußt allerdings auf §5 TMG.

Folgen einer nicht datenschutzkonformen Webseite

Sollte Ihre Webseite nicht den Regeln der DSGVO entsprechen, können verschiedene Folgen auf Sie zu kommen.

  • Schadensersatz von Betroffenen. Ein prominentes Beispiel ist das Urteil des LG München I, nach dessen Auffassung stehen einem Geschädigten 100€ Schmerzensgeld zu, weil seine IP Adresse ohne seine Einwilligung an Google Server übertragen wurde.
  • Imageschaden. Eine Webseite die offenkundig nicht DSGVO-konform ist, ist ein schlechtes Aushängeschild für das Unternehmen. Datenschutzskandale können zu weiteren Schäden führen.
  • Behördliche Maßnahmen. Es kommt auch immer mal wieder vor, dass sich Datenschutzbehörden Webseiten genauer anschauen. Meistens auf Grund von Beschwerden von Bürgern.
  • Abstrafung durch Suchmaschinen. Auch Suchmaschinen sind mittlerweile sensibel für die Sicherheit von Seiten, auf die sie verlinken. So kann eine fehlende SSL-Verschlüsselung dazu führen, dass eine Webseite nicht mehr in den Suchergebnissen auftaucht.

Webseitencheck nach DSGVO durchführen – so geht’s

Benötigte Zeit: 5 Tage.

Wie Sie eine Website nach DSGVO durchchecken

  1. Stecken Sie den Umfang der Prüfung ab

    Klären Sie, bevor Sie starten, was Sie prüfen wollen. Ist es nur die Firmenwebsite oder auch ein Tool, welches angeboten wird? Gibt es nur eine Seite oder mehrere? Versuchen Sie alle Webauftritte zu finden, welche angeboten werden, nur so können Sie sicher sein alles zu erwischen.

  2. Sehen Sie sich auf der Seite um

    Simulieren Sie einen Besuch eines normalen Webseiten Betrachters. Fragen Sie sich, ob Sie alle Informationen, wie Impressum und Datenschutzerklärung finden. Tipp: Schalten Sie Ihren AdBlocker aus und nutzen Sie wenn möglich einen Chrome Browser ohne Plugins oder sonstigen Erweiterungen. Wenn Sie ein Cookiebanner sehen, prüfen Sie dieses auf Funktionalität und Inhalt.

  3. Notieren Sie Ihre Findings bei jedem Schritt

    Sollten Sie bereits jetzt Punkte gefunden haben, notieren Sie diese. Es bietet sich an Screenshots anzufertigen, die die Probleme zeigen und diese z.B. in einem Word Dokument zu sammeln. Auch Punkte die in Ordnung sind, sollten auftauchen.

  4. Nutzen Sie Tools und Software

    Weiter unten werden einige Tools vorgestellt, welche Ihnen helfen können einen Webseitenaudit noch tiefer durchzuführen. Nutzen Sie am besten Webkoll und speichern Sie das Protokoll ab. Im Anschluss können Sie dies z.B. mit der IT-Abteilung durchgehen.

  5. Gehen Sie die Webseiten Checkliste durch

    Zum Schluss sollten Sie noch eine Checkliste durcharbeiten, welche Ihnen hilft noch die letzten offenen Punkte zu entdecken. Ein Webseiten Audit nach DSGVO kann sehr komplex sein und es ist leicht möglich sich in Details zu verlieren.

  6. Erstellen Sie einen Bericht und geben Sie Handlungsempfehlungen

    Ihr Webseitenprüfung sollte nun beendet sein und Sie sollten Ihre Findings an Ihren Auftraggeber oder Vorgesetzten weitergeben. Geben Sie konkrete Handlungshinweise. Ein Beispiel könnte sein: “Datenschutzerklärung enthält keinen Hinweis zu Cookie XY. Klären, wofür das Cookie ist und ggf. in die DSE aufnehmen oder deaktivieren.”

Nun sollten Sie ein Ergebnis haben und feststellen können ob die von Ihnen geprüfte Webseite DSGVO-konform ist oder nicht. Etablieren Sie auch direkt eine Kontrollfunktion. Sie sollten überprüfen, ob Ihre Empfehlungen umgesetzt wurden und ggf. jährlich prüfen, ob die Webseite noch konform ist.

Tools und Hilfen zum DSGVO Webseiten Check

Wenn Sie Ihre Website auf mögliche DSGVO-Verstöße untersuchen möchten, haben Sie verschiedene kostenlose Tools zur Auswahl, welche Ihnen dabei helfen können. Diese geben Ihnen meistens ein Protokoll oder eine sonstige Auswertung, nach welcher Sie Ihre Webseite verbessern können.

Hier ist es wichtig möglichst nicht nur die Homepage zu testen, sondern auch Unterseiten, insofern das Tool es nicht automatisch macht.

Sinnvoll zu testen sind:

  • Hauptseite (Homepage)
  • Datenschutzerklärungsseite
  • Ggf. Login-Formulare
  • Ggf. einen zufällig gewählten Blogbeitrag.

Hintergrund ist, dass oft auf unterschiedlichen, oft auch unscheinbaren, Seiten unterschiedliche Software ihren Dienst verrichtet.

Webkoll – Browser Simulation mit Protokoll

Webkoll ist ein kostenloser Service der NGO Dataskydd.net, welche sich für die Einhaltung von Datenschutzgrundsätzen einsetzt. Das Tool ist dabei selbst sparsam und speichert Ergebnisse nur für 24h und speichert keine IP-Adressen. Damit ist es ideal für einen DSGVO Webseiten Check.

Url: https://webbkoll.dataskydd.net/de/

Der große Vorteil ist, dass dieser Service auch auf Deutsch verfügbar ist. Viele andere Tools gibt es nur auf Englisch.

Sie geben dort einfach die URL der Seite ein, von welcher Sie einen Auditbericht erstellen wollen und erhalten nach kurzer Wartezeit Ihren Bericht.

Screenshot der Seite https://webbkoll.dataskydd.net/de mit dem Ergebnis des Webseiten Audit nach DSGVO.

Hier wurde der Bericht für die Seite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) als Test gewählt. Im oberen Abschnitt werden die wichtigsten Ergebnisse zusammengefasst, darunter erscheinen ausführliche Analysen und Erklärungen der Begriffe. 

Mit dem Webkoll-Tool haben Sie eine erste Übersicht, wo Sie ansetzen sollten und Ihre Webseite verbessern sollten. Als besonders wichtig einzustufen sind die Punkte:

  • HTTPS als Voreinstellung (SSL Verschlüsselung der Webseite)
  • Cookies (werden Cookies gesetzt und wenn ja, welcher Art und von wem?)
  • Drittanfragen (Werden u.U. Anfragen von Servern aus dem Ausland beantwortet und somit z.B. Daten an Google übermittelt?)

Die anderen Punkte sind natürlich auch wichtig, aber auch schwerer Umzusetzen, da sie oft einen Eingriff in die Webinfrastruktur oder das CMS benötigen.

PrivacyScore – Sehr umfangreiche Testmöglichkeiten

Das Angebot von PrivacyScore entstand aus einer Kollaboration verschiedener Universitäten und Institute, u.a. der Universität Bamberg, der TU Darmstadt und einiger weiterer Universitäten und Fachhochschulen. Es wird gefördert durch die DFG.

Bei diesem Service ist allerdings zu beachten, dass Scanergebnisse gespeichert werden. Es ist allerdings möglich seine Seite auf eine Blacklist zu setzen, oder die IP des Dienstes auszuschließen, falls Sie keine Scans wünschen.

Die Ergebnisse des Website Scans sind leider nicht komplett auf Deutsch übersetzt.

URL: https://privacyscore.org/

Geben Sie zum Scannen Ihrer Website einfach Ihre Adresse in das Feld ein und starten Sie den Scan. Es kann ein Paar Minuten dauern, bis ein Ergebnis vorliegt, je nachdem wie voll die Warteschlange ist.

Screenshot von der Seite https://privacyscore.org/site/198233/ zum Website Check nach DSGVO.
Wichtige Sektionen sind hier 3rd Party Tracking, Cookies, SSL Verschlüsselung und die dargestellten Attack Vektoren.

Für einen ersten Eindruck ist das Tool gut zu gebrauchen, allerdings muss man sich bewusst machen, dass es schon länger nicht aktualisiert wurde und die Ergebnisse ggf. unzuverlässig sind.

Avalex – Prüfung auf Rechtstexte und eingesetzte Software

Avalex ist ein kostenpflichtiger Dienst, welcher Datenschutzerklärungen, Impressum und Co. generiert. Kostenlos ist der Webseiten Scanner, welcher allerdings nur auf die rechtliche Komponente eingeht. Hier wird geprüft, ob Impressum, Datenschutzerklärung, Widerrufsbelehrung und AGB vorhanden sind. Anschließend wird eine Bewertung abgegeben, ob Formulierungen angreifbar sind.

Für eine erste rechtliche Einschätzung ist das Tool sehr gut zu gebrauchen und kann erste Impulse geben, ob ggf. die Datenschutzerklärung aktualisiert werden sollte.

URL: https://www.avalex.de/152.html

Zwischenfazit kostenlose Software für DSGVO Website Audits

Grundsätzlich ist zu sagen, dass es gute kostenlose Tools gibt, welche einen ersten Überblick darüber geben können, ob etwas auf einer Website bzgl. DSGVO und Datenschutz allgemein zu tun ist. Besonders zu empfehlen ist das Tool von Webkoll, da es sehr umfangreiche Anleitungen und Erklärungen zu problematischen Teilen auf der Website gibt.

Noch zu erwähnen sind die Chrome DevTools, welche z.B. in Chrome eingebunden sind und einen noch tieferen Einblick in Cookies, 3rd Party Requests und weiteres bieten. Kurzanleitung: Rechtsklick auf einen beliebigen Teil der Webseite  > Element untersuchen > Sources. 

Screenshot aus der Google Dev Console in Chrome zur DSGVO konformität.

Auch hilfreich sind Browser Plugins wie uMatrix oder Ghostery, welche eigentlich dazu gedacht sind Tracker und Werbung zu blockieren, aber auch einen guten Überblick über Probleme auf Ihrer Webseite geben können.

Dennoch sollte am Ende immer auch ein Fachkundiger Berater oder der Datenschutzbeauftragte über die Ergebnisse schauen.

Anforderungen an eine DSGVO konforme Webseite – kostenlose Checkliste

Hier geht’s zum Download als PDF.

Grundsätzlich sollte eine Webseite sicher und datenschutzfreundlich sein. D.h. sie sollte immer auf dem neuesten Stand sein (softwareseitig) und nur so viel an Daten sammeln, wie unbedingt nötig. Darüber hinaus sollte auch rechtlich dafür gesorgt werden, dass z.B. der Serverstandort und die Speicherung der Daten nicht in unsicheren Drittstaaten erfolgt.

Digitale Illustration einer Verschlüsselung z.B. auf Websites.

Folgende Punkte sollten auf Ihrer Homepage also unbedingt beachtet werden und in den DSGVO Webseiten Check:

  • Ihre Seite sollte SSL verschlüsselt sein und das überall, also auf allen Unterseiten oder Subdomains. Auch wenn Nutzer Ihre Seite ohne https eingeben, sollten Sie auf die sichere Seite weitergeleitet werden.
  • Übertragungswege, z.B. in Kontaktformularen, sollten verschlüsselt sein. Überlegen Sie auch E-Mail Verkehr verschlüsselt anzubieten, z.B. über PGP.
  • Analysewerkzeuge sollten so sparsam wie möglich eingesetzt werden. Es sollte nach Alternativen zu Google Analytics Ausschau gehalten werden.
  • Serverstandort ist in der EU oder am besten noch in Deutschland.
  • Drittanbieter Software sollte nur fremde Server mit Nutzerdaten versorgen, wenn Sie dies explizit wünschen oder es unbedingt notwendig ist. Drittanbieteranfragen sollten nie in unsichere Drittstaaten erfolgen (Stichwort: Google Webfonts)
  • Sollten dennoch Drittstaatentransfers benötigt werden, stellen Sie sicher, das geeignete Garantien vereinbart wurden und sonstige rechtliche Anforderungen eingehalten werden.
  • Cookies sollten nur dann gesetzt werden, wenn entweder eine Einwilligung vorliegt oder sie unbedingt zum Betrieb der Website notwendig sind (z.B. Session Cookies).
  • Externe Services (z.B. Youtube Videos oder Kartendienste) sollten nur mit der sog. Zwei-Klick Lösung [https://www.dr-datenschutz.de/wie-kann-google-maps-dsgvo-konform-eingebunden-werden/] eingebunden werden. D.h. Daten werden erst übertragen, wenn der Nutzer dies explizit wünscht.
  • Newsletterformulare, Kontaktformulare und andere Kontaktwege sollten datensparsam zu befüllen sein. Ein Kontaktformular benötigt normalerweise nur die E-Mail Adresse und einen Namen als Input. Ein Double Opt-in sollte immer erfolgen.
  • Datenschutzerklärung gut erreichbar, richtig und aktuell halten. Sorgen Sie dafür, dass sich Besucher ein Bild über das Datenschutzniveau Ihrer Seite machen können. Damit sichern Sie sich auch direkt ab und erfüllen Ihre Informationspflichten.
  • AV-Verträge mit Dienstleistern abschließen.
  • Begrenzen Sie die Speicherdauer von personenbezogenen Daten. Prüfen Sie Ihre Tools und Ihre Website-Einstellungen, ob unnötig lange Daten gespeichert werden. Im Anschluss sollten Sie sinnvolle Löschfristen festlegen.
  • Behalten Sie den Überblick und installieren Sie Plugins oder neue Software nur nach ausreichender Prüfung auf die DSGVO-Konformität. Oft schleichen sich auf Webseiten Tracker und Drittanbieteranfragen ein, weil neue Software ohne Prüfung installiert wird.
  • Veröffentlichen Sie Fotos von Personen nur, wenn Sie deren Einwilligung haben.
  • Haben Sie einen Prozess etabliert, der die regelmäßige Überprüfung der Website beinhaltet?
  • Optional: Referrer Richtlinie – hiermit verhindern Sie, dass eine Seite auf die Sie einen Besucher verweisen (z.B. via Link) weiß, woher er kommt.
  • Optional: Gibt es ein Impressum, werden die AGB verlinkt?

Spezielle Anforderungen beim DSGVO Webseiten Check

Die häufigsten Probleme auf Websites, die dazu führen können, dass Ihre Webseite nicht DSGVO-konform ist, lassen sich in drei Hauptfelder aufteilen. Diesen begegne ich immer wieder in meiner Beratungspraxis.

Mangelhafte, unvollständige oder nicht vorhandene Datenschutzerklärung

Die Datenschutzerklärung dient dazu, den Besuchern Ihres Webauftrittes zu erklären, wie Sie Daten erheben, speichern oder weitergeben. Sie sollte von jeder Unterseite aus innerhalb kurzer Zeit erreichbar sein. Ihre Datenschutzerklärung sollte darüber hinaus aktuell sein und dem entsprechen, was Sie auch wirklich machen. Alle Cookies, Tracker und Analysewerkzeuge sollten darin vorkommen, insofern Sie Personenbezug herstellen.

Datenschutzerklärung für alle Dienste.

Lassen Sie Ihre Datenschutzerklärung entweder vom Anwalt erstellen oder nehmen Sie einen der vielen guten und teilweise kostenlosen Generatoren. Ein häufiger Fehler ist, die Datenschutzerklärung nur einmal zu erstellen und dann nicht mehr anzupassen. Prüfen Sie mindestens jährlich, ob noch alles aktuell ist.

Drittanbieteranfragen, Cookies, Tracking und die Einbindung von Diensten

Leider wissen viele Webseitenbetreiber gar nicht, welche Cookies Sie auf den Endgeräten Ihrer Besucher setzen oder welche Daten welche Tools “nach Hause” funken. Hier helfen die o.g. Tools zur Analyse. Beim genauen Aufspüren der Gründe für z.B. Drittanbieteranfragen kann oft nur die IT-Abteilung, die Agentur oder Ihr Hoster helfen, wenn Sie Ihre Webseite nicht selbst pflegen.

Das prominenteste Beispiel für sog. 3rd Party Requests sind Google Web Fonts. Diese werden häufig von Plugins automatisch geladen, wenn Sie eine bestimmte Schriftart zur Darstellung benötigen. Dies ist insofern problematisch, dass jedes Laden dieser Schriftarten mit einer Serveranfrage bei Google in den USA einhergeht.

Ein weiterer Fall, der häufig auf nicht DSGVO-konformen Websites zu finden ist, sind gesetzte Cookies, welche nicht notwendig sind und für die keine Einwilligung eingeholt wird. Achten Sie darauf, sich für gesetzte Cookies, z.B. zum Tracking des Surfverhaltens von Nutzern, eine Einwilligung einzuholen. Dies kann z.B. durch sog. Cookie Banner erfolgen.

Newsletterversand und Kontaktformular

Sollten Sie einen Newsletter versenden und dafür die Kontaktinformationen abfragen, müssen Sie sich an die Grundsätze der Informiertheit, Transparenz und Datensparsamkeit halten. Konkret bedeute dies:

Doch auch wenn Sie nur ein Kontaktformular auf Ihrer Webseite haben, müssen Sie sich an die o.g. Punkte halten, wenn sie relevant sind. Achten Sie hier vor allem auf eine verschlüsselte Übertragung und die Löschung, wenn die Daten nicht mehr benötigt werden.

Auch beim Newsletterversand sollte die DSGVO beachtet werden.

All diese Regeln sollten Sie auch beim Versand von Postwurfsendungen an Privatpersonen beachten. Auch dort gilt die DSGVO und damit die gleichen Regeln wie online.

Weitere spezielle Stolperfallen beim Datenschutz auf Webseiten

  • Bilder von Personen auf der Webseite, welche nicht Ihre Einwilligung zur Veröffentlichung gegeben haben (z.B. Über Uns Seite, Mitarbeiterbilder).
  • Datenweitergabe an Dritte ohne die Zustimmung des Betroffenen (z.B. Adresshandel oder Kooperationen).
  • Bewerbungsformulare, welche nicht abgesichert oder veraltet sind.
  • Content Delivery Networks (CDNs), welche Ihren Sitz außerhalb der EU haben, werden genutzt.
  • Veraltete Systeme oder andere Sicherheitslücken, welche von Hackern ausgenutzt werden können.
  • Die umfangreichen Dokumentations- und Rechenschaftspflichten nach DSGVO nicht beachten.

Häufige Fragen zum Thema Webseite Datenschutzkonform gestalten

Ist meine Website DSGVO konform?

Diese Frage kann ein Website Audit nach DSGVO beantworten. Dort wird geprüft, ob die Anforderungen auf Seiten des Datenschutzes eingehalten werden und ob noch Lücken sind. Eine Website ist dann DSGVO konform, wenn Sie die Grundsätze der DSGVO einhält.

Welche Website braucht eine Datenschutzerklärung?

Grundsätzlich benötigt jede Website eine Datenschutzerklärung nach DSGVO, außer sie ist der rein privaten Sphäre zuzuordnen.

Was muss eine Website enthalten nach DSGVO?

Eine Webseite sollte nach DSGVO vor allem eine Datenschutzerklärung beinhalten. Es muss also für einen Nutzer ersichtlich sein, was mit seinen Daten geschieht, wenn er eine Webseite besucht. Darüber hinaus gibt es weitere Anforderungen wie Impressum oder AGB, welche allerdings außerhalb der DSGVO liegen.

Wie prüfe ich eine Datenschutzerklärung?

Eine Datenschutzerklärung sollte aktuell sein, die tatsächliche Faktenlage abbilden und gut verständlich sein. Sie sollte außerdem gut erreichbar sein (möglichst mit einem Klick). Prüfen Sie deshalb eine Datenschutzerklärung zu erst nach diesen Prinzipien. Eine rein rechtliche Prüfung sollten Sie einem Anwalt überlassen oder eine komplett neue Datenschutzerklärung erstellen, z.B. über einen Generator. Sie sollte regelmäßig mittels DSGVO Webseiten Check überprüft werden.

Wie macht man eine Datenschutzerklärung?

Eine Datenschutzerklärung kann entweder von einem Fachanwalt erstellt werden oder über Generatoren erstellt werden. Je nach Komplexität ist das eine dem anderen überlegen. Beachten Sie allerdings, dass eine anwaltliche Erstellung deutlich teurer sein kann, als das Nutzen eines Generators.

Wann muss ich eine Datenschutzerklärung haben?

Sobald die Website live gegangen ist und im Internet angeboten wird, muss eine Datenschutzerklärung vorliegen. Eine Ausnahme ist, wenn die Webseite dem rein privaten Bereich zuzuordnen ist.

Weiterführende Links zum Thema Webseitencheck nach DSGVO durchführen

Zusammenfassung – Website Check nach DSGVO selber machen

Eine Website DSGVO konform zu prüfen und zu gestalten ist nicht schwer. Wichtig ist, sich an die Grundsätze der DSGVO zu halten und die eingesetzte Technik im Blick zu haben. Durch den Einsatz von Tools und Checklisten, wird die Arbeit noch leichter und gründlicher. Ein DSGVO Webseiten Check lohnt sich: eine DSGVO konforme Website wirkt vertrauenswürdig auf potentielle Kunden und gibt Abmahner keine Chance.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto