Wie überprüfe ich meine Website auf Datenschutzkonformität?

Viele Seitenbetreiber stellen für einen Datenschutz Check einen externen Datenschutzbeauftragten ein. Dieser prüft dann alle Prozesse im Unternehmen auf Datenschutzkonformität und leitet Maßnahmen zur Behebung von Problemen ein. Dieser Prozess kann allerdings kostspielig und langwierig sein. Doch wir erklären Ihnen, wie Sie schnell und einfach erkennen können, wie Ihre Webseite in einem Datenschutz Check abschneidet.

Es gibt viele gesetzliche Vorschriften über den Umgang mit den Daten Ihrer Nutzer. Die relevantesten Gesetze sind dabei:

Die Datenschutz Grundverordnung (DSGVO) ist das wichtigste und relevanteste Datenschutzgesetz für deutsche Nutzer. Die DSGVO regelt, wie Websites mit der Erhebung, Speicherung und Weiterverarbeitung von personenbezogenen Daten umgehen müssen.

Personenbezogene Daten sind alle Informationen, die sich auf eine Person beziehen und die zur Identifizierung einer Person führen. Die DSGVO ist nicht „nur” für das Internet relevant, sondern regelt den allgemeinen Umgang mit personenbezogenen Daten.

Wenn beispielsweise einer IP-Adresse bestimmte Handlungen auf einer Webseite zugeschrieben werden, dann fällt diese unter die Vorschriften der DSGVO. Besonders beim Umgang mit Third-Party-Technologien, wie Tracking (Google Analytics Tag) oder Remarketing (Facebook Pixel) findet die DSGVO Anwendung.

Gut zu wissen: Im Englischen bezeichnet man die DSGVO als GDPR. Daher auch der häufig verwendete Begriff „GDPR compliance“, den man bei vielen Webseiten findet. Der Begriff bezeichnet nichts anderes als DSGVO-Konformität.

Während die ePrivacy-Richtlinie bereits in Kraft ist, ist die ePrivacy-Verordnung noch in Planung. Sie ergänzen die DSGVO in vielen wichtigen Bereichen. Besonders aber regeln sie, wie mit Cookies und externen Technologien umgegangen werden muss, die (personenbezogene) Daten verwenden wollen. Diese dürfen dadurch nur nach ausdrücklicher Einwilligung verarbeitet werden. Die ePrivacy-Verordnung erweitert das Datenschutzkonzept der EU vor allem auf Kommunikationsdienste.

Dieses Gesetz regelt, dass nicht nur die Webseitenbetreiber verantwortlich sind, wenn sie bei der Verarbeitung von personenbezogenen Daten gegen den Datenschutz verstoßen, sondern auch die Unternehmen, auf deren Server die Daten verarbeitet werden. So kann auch Google zur Rechenschaft gezogen werden, wenn eine Seite Daten über Google Analytics sammelt, ohne zuvor die Einwilligung der Nutzer einzuholen.

Da diese drei Datenschutzgesetze hier nur grob umrissen werden und zusätzlich viele weitere Gesetze in Betracht gezogen werden müssen, entsteht schnell ein Chaos, das für viele Unternehmen gar nicht überschaubar ist. Neben den Konsequenzen, die Ihrem Unternehmen bei Datenschutzverstößen bevorstehen, droht eventuell auch ein Verlust von Daten durch den Digital Markets Act (DMA). Google muss nun sichergehen, dass die Daten, die über Sie an die Google Server gelangen, auch datenschutzkonform eingeholt wurden. Falls das nicht der Fall ist, kann Google Ihnen bspw. das Nutzen von Google Analytics 4 untersagen.

Welche Lösung gibt es also für eine schnelle Erfassung aller datenschutzrelevanten Technologien auf Ihrer Webseite?

Wie schon der Name verrät, überprüft ein Datenschutz-Audit, welche Technologien auf Ihrer Webseite Daten sammeln. Da der Datenschutz-Audit direkt prüft, welche Daten ohne Einwilligung gesammelt werden, lässt sich auch direkt ein bestimmtes Risiko auslesen. Dieses Risiko gilt einerseits den Daten Ihrer Nutzer, die Sie als verantwortungsvoller Webseitenbetreiber schützen wollen. Zum Anderen gilt das Risiko auch Ihnen, da Sie sich eventuellen Rechtskonsequenzen aussetzen. Die Strafen für den unrechtmäßigen Umgang mit persönlichen Daten können durchaus hoch sein.

Es empfiehlt sich, einen Website-Cookie-Check in häufigeren Intervallen durchzuführen, um ständige Gewissheit über die Einhaltung der Datenschutzvorschriften auf Ihrer Webseite zu bekommen. Sie stärken damit nicht nur Ihren Rechtsschutz, sondern stärken damit auch das Vertrauen Ihrer Nutzer in Ihre Seite und Ihr Angebot.

Aufgrund der Vielzahl von Rechtstexten und Technologien kann schnell Verwirrung darüber entstehen, was Webseitenbetreiber bei der Verarbeitung von Daten und dem Einsatz von Technologien beachten müssen. Der Datenschutz-Audit erkennt, welche dieser Technologien zum Einsatz kommen.

Cookies sind kleine Textdateien, die im Browser oder auf einer Seite gespeichert werden können. Diese Daten können bei einem erneuten Aufruf einer Webseite abgerufen werden und liefern so Informationen über den Nutzer. Man unterscheidet zwischen First-Party- und Third-Party-Cookies sowie zwischen technisch notwendigen und nicht notwendigen Cookies. Alle Cookies fallen in eine der ersten beiden Kategorien, sowie in eine der zwei nachstehenden Kategorien.

Technisch notwendige Cookies können verwendet werden, um beim Online-Shopping bei der nächsten Sitzung noch den Warenkorb von der letzten Sitzung anzuzeigen. Technisch nicht notwendige Cookies werden beispielsweise für das Sammeln von (personenbezogenen) Daten eingesetzt und unterliegen damit anderen Vorschriften. First-Party-Cookies bezeichnen solche, die grundsätzlich vom Webseitenbetreiber stammen und dabei handelt es sich häufig um technisch notwendige Cookies. Bei Third-Party-Cookies werden Daten auf externen Servern und mit externer Software bearbeitet. Dadurch sind nicht technisch notwendige oder Third-Party-Cookies am riskantesten für den Datenschutz Audit. Gerade hier muss ermittelt werden, ob die Seite diese nur nach ausdrücklicher Einwilligung verwendet. Hier können Sie sich detailliert über Cookies informieren.

Pixel sind eine weitere Möglichkeit, Nutzerdaten abzurufen. Pixel sind eigentlich immer eine Third-Party-Technologie. Da ein Pixel ein Bild ist, das auf einem externen Server des Anbieters liegt, werden beim Laden eines Pixels auch fast immer personenbezogene Daten übermittelt. Auch diese sind für einen Datenschutz Check dadurch sehr wichtig.

Fast alle datenschutzrelevanten Tracking-Technologien fallen unter diese beiden Kategorien. Es gibt noch einige andere Möglichkeiten des Trackings wie bspw. das Server-Side-Tracking, das allerdings nochmal ganz andere rechtliche Fragen aufwirft. Für die überwiegende Mehrheit im Internet ist eine Überprüfung der oben genannten Technologien ausreichend.

Ein automatisierter Datenschutz-Audit analysiert den Code Ihrer Webseite und prüft dadurch, welche Daten abgefragt und verarbeitet werden. Er gibt vor, ein normaler Nutzer zu sein, der Ihre Seite besuchen möchte. Anders als sonst, ist aber der Inhalt der Seite für einen solchen „Crawler” unerheblich. Er setzt seine Aufmerksamkeit allein darauf, welche Daten von ihm verlangt werden. Er erkennt also, ob es sich um First-Party-Cookies oder technisch notwendige Cookies handelt, oder ob es Third-Party-Technologien sind. Diese Anfragen werden dann verarbeitet, kategorisiert und an Sie weitergegeben. Dadurch bekommen Sie in wenigen Minuten einen Überblick über alle Technologien, die zum Einsatz kommen.

Der Datenschutz-Audit liefert Ihnen einen vollständigen Überblick und dadurch die Grundlage für einen Plan, wie Sie schnellstmöglich datenschutzkonform werden. Zudem ist der Datenschutz-Audit eine freiwillige Leistung. Er dient nur als Grundlage für die Erkennung und Behebung von möglichen Problemen und wird nicht etwa vom Gesetzgeber gefordert.

Der Datenschutz Audit erstellt also eine Checkliste, mit dessen Hilfe Sie Lösungen für Ihre Webseite erarbeiten können. Hierfür benötigen Sie allerdings eine hochqualitative Analyse, wie sie beispielsweise von Usercentrics angeboten wird. Es genügt nicht, nur Probleme aufzulisten.

Häufig fragt man sich bei einem negativen Audit-Ergebnis: Wie kann mir so etwas passieren? Am Häufigsten passieren diese Fehler unabsichtlich. Die Vorschriften sind häufig neu und die Tools weisen nicht unbedingt auf die Besonderheiten bei deren Einpflege hin. Um personenbezogene Daten DSGVO-konform mit Google Analytics verarbeiten zu können, muss ein umfassendes Datenschutzkonzept eingerichtet werden.

Allerdings gilt: „Unwissenheit schützt vor Strafe nicht.” Es braucht folglich eine Lösung, um die Ergebnisse aus einem solchen Audit umzusetzen. Dafür kommen sogenannte Consent Management Platforms zum Einsatz.

Eine Consent Management Platform ist ein ganzheitliches Konzept für die Erfassung von Einwilligungen auf Webseiten. Mit Hilfe eines Cookie-Banners (rechtlich genauer und besser bekannt als Consent-Banner) wird abgefragt, welchen Technologien ein Nutzer zustimmen möchte. Im Folgenden aktiviert die Software dann die akzeptierten Technologien und speichert die Einstellungen und Daten datenschutzkonform ab. Zudem können über das Cookie Banner Informationen über die Technologien hinterlegt werden, die den Nutzern als Informationsquelle über die Cookies dienen. CMPs sind ein einfacher Weg DSGVO konform fzu werden, müssen dafür aber bestimmten Qualitätsstandards entsprechen. Besonders wichtig ist dabei die Einhaltung von Branchenstandards (TCF 2.2) und Google. Hier können Sie mehr darüber erfahren, welche Qualitätsstandards eine CMP erfüllen sollte.

Wichtig ist auch, dass das in der CMP verwendete Cookie Banner DSGVO konform ist und alle gültigen Rechtsvorschriften einhält. Der Consent Manager muss also vollumfänglich qualitativ hochwertig sein. Wenn das Cookie Banner oder die Verarbeitung der Informationen ungenügend sind, sind auch die Cookies nicht mehr DSGVO-konform gesetzt.

Die Usercentrics CMP entspricht den höchsten Qualitätsstandards, besitzt eine Google-Zertifizierung und ist voll integrierbar mit dem Google Consent Mode V2. Sie können die Ergebnisse aus Ihrem Datenschutz-Audit direkt in die Einpflege der Usercentrics CMP einfließen lassen.