How to… check your website? Kostenlose Tools zum Website-Check
Worauf sollte man achten?
Es ist ganz schön komplex, eine Website DSGVO-konform zu betreiben. Im Hintergrund werden zahlreiche Plugins, externe Ressourcen und andere Quellen geladen. Cookies werden eingesetzt, um Tracking, Analyse und Funktionen auf Eurer Website zu ermöglichen.
Gleichzeitig gibt es immer mehr Verordnungen, Gesetze und Anforderungen, die erfüllt werden müssen. Immer wieder kommen Meldungen in den Medien, dass wegen nicht korrekter Einstellungen Abmahnungen verschickt werden. Ob berechtigt oder nicht, für Euch als Website-Betreiber allemal unnötig und nervig. Manchmal auch teuer.
Wir zeigen Euch, wie Ihr Eure Website mit ein paar Tools testen könnt und ob die Website dann auch wirklich datenschutzkonform ist!
Bestandteile eines Website-Checks auf Datenschutzkonformität
- Technische IST-Analyse des Online-Auftritts
- Prüfung der externen Dienste z.B. Tracking-Tools, Webfonts etc.
- Prüfung der vorhandenen Datenschutztexte (Datenschutzerklärung, Cookie-Banner, Cookie-Policy, Newsletteranmeldung und und und)
- Überprüfung der Einstellungen des Cookie-Banners. Funktioniert alles wie gedacht? Wurden die Cookies richtig einsortiert und ist die richtige Rechtsgrundlage im Einsatz?
Welche Tools eignen sich dafür?
Also grundsätzlich ist erstmal zu sagen, dass es eine Unmenge an brauchbaren Tools zur Analyse gibt. Wir beschränken uns in diesem Beitrag auf drei, die sich in unserem Alltag als Datenschützer bewährt haben.
Qualys
Qualys SSL-Labs bietet ein Tool an, dass die Sicherheit Ihrer SSL-verschlüsselten Website misst. Verschiedene Parameter – beispielsweise der Einsatz von Perfect Forward Secrecy (PFS) – werden zur Bewertung herangezogen. Ratings zwischen A bis F erscheinen am Ende des Tests, für den Ihr einfach Eure Domain eingebt. Dabei steht „A+“ für „ausgezeichnet“ und „F“ für „extrem unsicher“.
Konkret untersucht der kostenlose Online-Test die SSL-Zertifikatskette von Webseiten. Das Sicherheitsprotokoll SSL dient der Verschlüsselung sensibler Daten während einer Online-Übermittlung. Des Weiteren werden auch die Übertagungsprotokolle geprüft – je aktueller, je besser.
Als Best Practice solltet Ihr den Qualys-Test ausführen, nachdem Ihr SSL/TLS-bezogene Änderungen vorgenommen habt.
Eine SSL-Verschlüsselung ist zwingend erforderlich, sobald Ihr eine Website betreibt, auf der von den Usern Daten angegeben werden können. Bspw. Ein Kontaktformular, ein Blog mit Kommentarfunktion oder einen Onlineshop.
Entwicklertools im Browser
Die sogenannten „Entwicklertools“ sind eine Kollektion von hilfreichen Werkzeugen, die in jedem Webbrowser mitgeliefert werden. Sie erlauben es, die gerade angezeigte Webseite zu analysieren und hinter die Kulissen zu schauen.
Wie aktiviert man die Entwicklertools?
Zu den Entwicklertools gelangen wir, wenn wir an einer beliebigen Stelle auf der Webseite einen Rechtsklick tätigen und anschließend auf „Untersuchen“ / „Element durchsuchen“ gehen oder einfach F12 auf der Tastatur drücken.
Die Entwicklertools positionieren
Oft ist es auf der rechten Seite voreingestellt. Oben rechts in der Ecke finden sich drei kleine Punkte, hinter denen weitere Einstellungen verborgen sind. Unter anderem kann das »Dock« mit der Codeansicht unten, links oder in einem eigenen Fenster positioniert werden.
Welche Cookies werden gesetzt?
Nachdem Ihr die Entwicklertools geöffnet habt, klickt oben bei den Tabs auf Application/App und anschließend links in der Liste auf Storage > Cookies > URL Eurer Website.
Hier seht Ihr nun, welche Cookies auf Eurer Website gesetzt werden. Unter der Spalte Domain seht Ihr, ob das Cookie aus einer externen Quelle stammt oder direkt von der Website eingebunden wird. Cookies aus externer Quelle sind in den meisten Fällen ein Problem und sollten – wo möglich – unterbunden werden.
Technisch notwendige Cookies (z.B. Funktionscookies) sind alle Cookies, die keine Analyse- oder Marketing-Zwecke verfolgen, sondern notwendig für eine Funktion der Website sind. Ein Cookie zum Speichern des Warenkorbes ist bspw. ein technisch notwendiges Cookie, wie auch das Cookie zum Speichern der Cookie-Banner-Einstellungen.
Welche Dienste werden geladen?
Um zu ermitteln, welche Dienste (z.B. Google Fonts, Google Analytics etc.) geladen werden, klickt in den Tabs auf Network/Netzwerk. Die Netzwerk-Konsole gibt detaillierte Auskünfte darüber, welche Dateien geladen werden, wie groß sie sind, welche Web Services im Hintergrund laufen und wo potenzielle Problemstellen und Risiken verborgen liegen.
Das Netzwerktool ist zunächst leer. Ihr müsst die Website neu laden, um Informationen zu erhalten. Mit einem Rechtsklick auf eine Spalte könnt ihr die Spaltenanzeige ändern.
Wenn Ihr die Spalte „Domain“ hinzufügt, seht Ihr, ob es sich bei einem Dienst um den eines Drittanbieters handelt. Immer wenn Daten über eine externe URL geladen werden, muss geklärt werden, um welche Daten es sich handelt. Da aber in 99 % der Fälle zumindest die IP-Adresse des Users gesendet wird, ist diese Datenübertragung datenschutzrechtlich relevant.
In der Filterzeile über den Spalten könnt Ihr ein Häkchen bei Anfragen von Drittanbietern setzen und so alle Drittanbieter herausfiltern.
Da wir jetzt wissen, wo wir uns anschauen können, welche Cookies geladen werden, müssen wir nur noch herausfinden, was sich hinter diesen kryptischen Abkürzungen verbirgt.
Cookie-Art/Zweck ermitteln
cookiedatabase.org
Es ist durchaus schwierig, die Art oder den Zweck eines Cookies zu ermitteln, vor allem wenn dessen Bezeichnung (Cookie Name) keinen Anhaltspunkt bietet und die angezeigte Domain mit der eigenen Website identisch ist. Aber auch dafür gibt es eine Lösung:
cookiedatabase.org ist eine sehr praktische Cookie-Datenbank, mit der Ihr Cookies identifizieren könnt. Es stehen zwar nicht alle Cookies in dieser Datenbank, aber die gängigsten findet Ihr in jedem Fall.
Cookiedatabase.org ist ein Projekt, das 2019 gestartet wurde, um mehr Transparenz in die Online-Welt zu bringen. Das Projekt wird finanziell unterstützt von Complianz, einer Datenschutz-Suite für WordPress, und dem SIDN Fund, einer niederländischen Stiftung, die sich für die Stärkung der Nutzer und ein sicheres Internet für alle einsetzt.
Über die Suchfunktion erhaltet Ihr Informationen über Cookies, wie z.B. von welchem Dienst das Cookie stammt, zu welchem Zweck das Cookie verwendet wird, wie lange das Cookie gespeichert wird und welche Funktion das Cookie hat. Gebt dazu einfach den Namen des Cookies ein.
Prüfung der Datenschutzerklärung
Generell muss in der Datenschutzerklärung über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufgeklärt werden – etwa über die Verarbeitung der IP-Adresse, von Browser-Daten, Cookies, Webanalyse-Tools wie Google Analytics sowie Social-Media-Plugins.
DSGVO-Checkliste zur Datenschutzerklärung
Zwingend erforderliche Daten
- Name und Kontaktdaten des Verantwortlichen (ggf. auch Vertreter)
- Zweck und Rechtsgrundlage der Verarbeitungen – Also was wird auf der Website gemacht, welche Tools werden dazu eingesetzt und welche Legitimation habt Ihr dafür?
- Falls die Rechtsgrundlage der Art. 6 Abs. 1 lit. f DSGVO ist, müsst Ihr die berechtigten Interessen des Verantwortlichen oder Dritter beschreiben
- Aufklärung über Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung)
- Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
- Speicherdauer der Daten (jedenfalls die Kriterien für die Festlegung dieser Dauer)
- Sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten
Die grundlegenden Fragen
Eine Datenschutzerklärung muss Antwort auf folgende Fragen geben können:
- Welche personenbezogenen Daten werden verarbeitet?
- Was passiert mit den erhobenen Daten?
- Warum werden überhaupt Daten erhoben?
- Werden die erhobenen Daten an Dritte weitergegeben?
- Findet ein grenzüberschreitender Datentransfer/-Übermittlung statt?
- Welche Maßnahmen werden zur Gewährleistung der Sicherheit der Daten ergriffen?
- Sind alle Tools wie Google Analytics/Matomo, Newsletter-Tools wie Mailchimp/RapidMail und Social-Media-Einbindungen/Videoeinbindungen (YouTube) enthalten?
- Wurde ein Auftragsverarbeitungsvertrag mit Dienstleistern, die personenbezogene Daten für Euch verarbeiten, geschlossen?
WICHTIG: Die Datenschutzerklärung muss eindeutig als solche gekennzeichnet sein. Daher ist es nicht ausreichend, sie innerhalb des Impressums unterzubringen. Datenschutzerklärung und Impressum sind klar voneinander zu trennen.
Fazit
Die DSGVO-Konformität einer Website einfach mal so nebenbei zu prüfen, ist kaum möglich. Der größte Aufwand liegt unserer Erfahrung nach im Identifizieren von Webseitenerweiterungen und Cookies. Auch die Information der Betroffenen ist ein weiterer Punkt, der Hürden bereithält. Zum einen muss der Grundsatz der Transparenz gewährleistet sein und eine einfache Sprache verwendet werden, zum anderen müssen die rechtlichen Vorgaben erfüllt werden. Letzteres führt eher dazu, dass Datenschutzerklärungen zu langen Rechtstexten mutieren und der Otto-Normal-Bürger nicht versteht, was passiert. Es bleibt also eine Herausforderung und ein Spagat, um aus einer ordentlichen Analyse eine vernünftige Datenschutzerklärung und Anpassung der Website abzuleiten.
Benötigt Ihr Hilfe bei der Überprüfung Eurer Website oder bei der Erstellung einer vollständigen Datenschutzerklärung? Wir helfen Euch gerne. Schreibt uns einfach eine unverbindliche E-Mail oder meldet Euch über das Kontakformular.