Welche rechtlichen Risiken decken professionelle Websiteüberprüfungen wirklich auf? 

Unternehmen verlassen sich gerne darauf, dass ihre Agentur die Website datenschutzkonform einrichtet – und genau das ist einer der gefährlichsten Irrtümer. Agenturen aktivieren Plugins, Schriftarten, Tracking-Lösungen, Analysetools und CDNs aus technischer Routine, ohne die datenschutzrechtlichen Folgen zu prüfen oder Verantwortung dafür zu übernehmen. Während nach außen der Eindruck entsteht, „alles sei erledigt“, trägt die Geschäftsleitung die volle Haftung für genau die Fehler, die diese technische Vorgehensweise erzeugt. Erst ein Website-Scan zeigt, welche Daten im Hintergrund tatsächlich verarbeitet werden – oft mit Ergebnissen, die Verantwortliche so nicht erwartet haben. 

Viele Verantwortliche gehen davon aus, dass ihre Website korrekt aufgebaut ist, solange ein Consent-Banner vorhanden ist und die Datenschutzerklärung gepflegt wirkt. Diese Annahme ist nachvollziehbar, aber realitätsfern. Moderne Websysteme bestehen aus vielen voneinander abhängigen Komponenten, die personenbezogene Daten verarbeiten können, ohne dass dies sichtbar oder dokumentiert wäre. Updates, technische Erweiterungen und automatisch nachladende Skripte verändern oft das Verhalten der Website – ohne dass jemand davon erfährt.

Häufige Auslöser für ungewollte Datenverarbeitungen sind:

• automatisch nachladende Skripte von Plugins oder Themes
• Funktionsupdates, die neue Datenflüsse auslösen
• Einbindungen durch externe Dienstleister oder Agenturen
• Consent-Banner, die technisch nicht blockieren
• fehlende Dokumentation und fehlende Transparenz über Abhängigkeiten

Die Folge ist ein technisches System, das anders funktioniert als geplant – und dessen datenschutzrechtliche Risiken erst auffallen, wenn ein Scan die tatsächlichen Datenflüsse sichtbar macht - oder bereits eine Abmahnung eintrifft.

Wie sieht unser Angebot "Website-Scan DSGVO" für Unternehmen aus?

Ein professioneller Website-Scan liefert eine vollständige Analyse aller gesetzten Cookies, Storage-Objekte, externen Dienste und Verbindungen. Er zeigt, welche Elemente bereits vor der Einwilligung aktiv sind, wohin Daten gesendet werden und welche Mechanismen gegen Einwilligungs- oder Informationspflichten verstoßen. Zusätzlich werden technische Sicherheitsaspekte bewertet, beispielsweise TLS-Konfiguration oder gesetzte Security-Header.

Typische Ergebnisse eines Website-Scans umfassen:

• aktive Cookies und Webspeicher mit Zweck und Herkunft
• externe Dienste inkl. Domain, Ladeverhalten und möglichem Drittlandbezug
• Abweichungen zwischen Realität und Datenschutzerklärung
• technische Auffälligkeiten wie fehlende Header oder unsaubere Weiterleitungen

Wie bereiten wir die Ergebnisse eines Website-Scans auf? 

So wertvoll diese Analyse ist – sie ersetzt keine juristische Bewertung. Automatisierte Tools erkennen nicht, ob eine Verarbeitung zulässig ist, ob eine Einwilligung erforderlich wäre oder ob ein Drittlandtransfer tatsächlich problematisch ist. Erst die datenschutzrechtliche Einordnung zeigt, welche Befunde kritisch sind und welche lediglich organisatorischen Optimierungsbedarf darstellen.

In der Praxis begegnen wir als Datenschutzbeauftragte immer wieder denselben Fehlern: nicht gelistete Dienste in der Datenschutzerklärung, falsch konfigurierte Consent-Banner, fehlerhafte Standard-Einstellungen von Themes oder Plugins und unerkannte Übermittlungen in Drittländer. Diese Befunde sind nicht deshalb problematisch, weil jemand absichtlich etwas falsch macht – sondern weil technische Entscheidungen getroffen werden, ohne die rechtlichen Auswirkungen mitzudenken.

Um die Ergebnisse dauerhaft nutzbar zu machen, ordnen wir die Funde daher in drei Kategorien ein:

1. Rechtlich kritisch: z. B. Verstöße gegen Art. 5, 6, 13 DSGVO
2. Technisch relevant: Sicherheits- oder Performance-Themen ohne direkte Datenschutzwirkung
3. Organisatorisch/qualitativ: fehlende Dokumentation, veraltete Skripte, unsaubere Setups

Das sorgt dafür, dass Verantwortliche genau wissen, welche Probleme sofort adressiert werden müssen – und welche später.

Wie wir das machen?

Der Analyseprozess folgt einer klaren Struktur, in der technische Transparenz und rechtliche Bewertung miteinander verzahnt werden:

• Vollständige technische Analyse aller Seiten, Skripte und Dienste
• Abgleich mit der Datenschutzerklärung
• Bewertung aller Befunde nach rechtlicher Relevanz
• Priorisierter Maßnahmenplan
• Optionaler Nachscan

Dieses Vorgehen macht aus einer technischen Momentaufnahme ein nutzbares Werkzeug für Datenschutz und Unternehmensführung.

Warum Unternehmen davon profitieren

Ein strukturierter Website-Scan schafft nicht nur Transparenz, sondern reduziert echte Risiken. Verantwortliche erhalten:

• rechtliche Sicherheit durch fachliche Einordnung
• weniger Abmahn- und Beschwerderisiken
• bessere Kommunikation mit Agenturen
• saubere Dokumentationen im DSMS
• ein vollständiges Bild aller Datenflüsse

Damit wird ein technisches System, das sonst eine „Blackbox“ wäre, nachvollziehbar und steuerbar.

Regelmäßige Prüfung statt einmaligem Check

Risiken entstehen oft nicht bei der Erstkonfiguration, sondern später durch Änderungen, Updates oder neue Funktionen. Eine einmalige Prüfung zeigt nur den Status quo – dauerhaft sicher wird eine Website erst durch regelmäßige Kontrollen.

Deshalb bieten wir Website-Analysen sowohl als Einzelprüfung als auch als regelmäßige Audits (monatlich oder vierteljährlich) an. Eine kontinuierliche Überwachung erkennt neue Risiken frühzeitig und dokumentiert technische Änderungen sauber. Weitere Informationen:

www.datiq.de/datenschutz/leistungen/website-sicherheit-und-rechtskonformitaet

FAQ: Website-Scan & Datenschutz

Was deckt ein Website-Scan auf?

Cookies, Skripte, externe Dienste, Datenflüsse, Consent-Verhalten und technische Schwachstellen.

Ersetzt ein technischer Scan eine rechtliche Bewertung?

Nein. Die juristische Einordnung erfolgt erst durch Fachleute.

Wie oft sollte man prüfen?

Dynamische Websites: monatlich oder vierteljährlich.
Statische Websites: jährlich.

Warum fehlen oft Angaben in der Datenschutzerklärung?

Weil Agenturen Funktionen oder Tools einbinden, ohne Datenschutzfolgen zu prüfen.

Reduziert ein Scan Abmahnrisiken?

Ja. Viele typische Fehler werden früh erkennbar.