wwwschutz versus Cookie-Lösungen2020-09-07T09:57:08+02:00

Was ist das Problem mit sogenannten Cookie Bots oder Cookie Consent Lösungen und wie sieht eine gute Lösung aus?

Fallstudie

Cookie Blocker, die durch Einfügen von wenigen Zeilen Code (zum Laden eines Consent Scripts) auf einer Webseite arbeiten, sind unsicher und halten nicht, was vielen von Ihnen erwarten!

Vielmehr werden zahlreiche kritische Cookies gesetzt, obwohl gar keine Einwilligung eingeholt wurde. Die Content Lösungen von CookieBot, UserCentrics und consent manager sowie Borlabs Cookie bieten ohne tiefergehende zusätzliche Anpassungen keine ausreichende Rechtssicherheit, wie die folgenden Untersuchungen zeigen.

Hier der Beweis, dass Cookies nur durch den bloßen Einsatz von Cookie Blockern nicht wirksam blockiert werden (Stand: 29.11.2019 oder später; die jeweils geprüfte Seite ist im Screenshot zu sehen) – weiter unten folgt eine Erklärung, warum diese sogenannten Lösungen nicht richtig funktionieren können und was für DSGVO-konforme Webseiten nötig ist.

Update 21.02.2020: Die dänische Datenschutzbehörde hat eine populäre Cookie-Lösung für rechtswidrig erklärt. Prüfen Sie Ihre Webseite so oft wie nötig mit dem Volkstarif – und das zu einem sensationellen Preis (sagen wir und unsere Kunden):

Die Chancen stehen gut, dass Sie den Preis auch super finden. Doch weiter im Text, in dem wir betrachten, warum sogenannte Cookie Consent Lösungen nicht so funktionieren, wie viele glauben oder sich wünschen.

Im folgenden werden überwiegend technische Belange von Cookie Consent Lösungen untersucht. Dass die meisten sogenannten Lösungen aus inhaltlicher Sicht bei weitem nicht rechtskonform erscheinen, kann gemäß der Richtlinie des Lfdi Baden-Württemberg zu Einwilligungsabfragen angenommen werden.

Die Einwilligungsabfrage der geprüften Webseite mit CookieBot sieht wie folgt aus:

Einwilligungsabfrage für Cookies

Ohne, dass etwas angeklickt wird, werden folgende Cookies gesetzt (Analyse mit unserer Datenschutz-Software wwwschutz sowie zusätzliche Verifikation mit Browser):

Die Webseite setze Cookies von Google, obwohl der Einwilligungs-Banner nicht bestätigt wurde

Ein zweites Beispiel: Die Webseite reliaslearning.de hat eine inhaltlich bessere CookieBot Einwilligungsabfrage, die auch ein Ablehnen von Cookies (scheinbar) erlaubt:

Einwilligungsabfrage von CookieBot ohne gewünschte Wirkung

Dennoch werden direkt beim Laden der Webseite folgende Cookies geladen (Stand: 03.08.2020, Test mit unserem eigenen Tool sowie zur Sicherheit Verifikation mit Browser):

Geladene Cookies ohne Einwilligung auf reliaslearning.de

Ein ähnlich trauriges Bild ergibt sich für UserCentrics: Die damit angeblich erzeugte Einwilligungsabfrage ist nicht wirkungsvoll, wie ein Test der Webseite sellerboost.de beweist (Stand: 29.11.2019, Nachtest am 17.12.2019, weiterer Nachtest am 03.08.2020):

UserCentrics Cookie Consent auf sellerboost.de

Mittlerweile kaum überraschend, dass ohne jede Aktion (insbesondere ohne, dass man auf Akzeptieren im UserCentrics Popup geklickt hat) folgende Cookies gesetzt werden (Stand 29.11.2019):

Gesetzte Cookies auf sellerboost.de trotz unbestätigtem UserCentrics Cookie Consent

Selbst nach Einsatz des Google Tag Managers (Stand: 18.01.2020, Nachtest am 03.08.2020) wurde auf der sellerboost Site ohne bestätigte Cookie-Abfrage noch ein Google Cookie geladen (NID, siehe vorigen Screenshot) sowie ebenso weitere Cookies (diese aber nicht immer, sondern nur bei den meisten Tests). Sollte über den Google Tag Manager Cookies wirksam blockiert werden können , bleiben zwei Probleme:

  1. Auch beim Laden des Tag Managers werden umfangreiche Daten an Google gesendet, die zum Nachverfolgen des Nutzers geeignet sind –> Browser Fingerprint, in unserem Online Tool einsehbar
  2. Der Google Tag Manager unterstützt nicht alle möglichen Tools, Scripte, Videos, Karten und Plugins Dritter, sondern nur einige wenige

Ein weiteres Beispiel: Auf der Webseite bauinsolvenz-buchalik.de wird Google Analytics samt dreier Google-Cookies (_ga, _gat, _gid) geladen, obwohl das Cookie Popup noch unbestätigt ist (Stand: 18.01.2020).

Der Consent Manager, eine weitere sogenannte Consent Lösung, versagt beispielsweise auf der Webseite engelhorn.de (Stand: 05.12.2019, Nachtest: 03.08.2020):

Auf engelhorn.de trotz Consent Manager Banner gesetzte Cookies.

Die lange Liste der Cookies zeigt Drittanbieter, ein Indikator, dass neben diesen kritischen Cookies auch die zugehörigen Scripte ohne Einwilligung geladen wurden.

Der Cookie Banner, der nicht bestätigt wurde, sieht wie folgt aus:

Wahrscheinlich wurden auf der Webseite die vom ConsentManager in englischer Sprache bereitgestellten Informationen (Stand: 21.01.2020), wie die Webseite (tiefgehend) anzupassen ist, nicht berücksichtigt. Daran wird deutlich, dass eine “Kaum-Aufwand Lösung” nicht geeignet ist, um eine Webseite DSGVO-konform zu gestalten.

Eine mit Borlabs Cookie versehene Webseite ist seo-agentur-online-marketing-webdesign.de. Das Cookie Popup stellt sich so dar (Stand: 17.12.2019, am 03.08.2020 war die Statistik-Feld nicht mehr vorhanden):

Nicht ausreichendes Borlabs Cookie Einwilligungs-Popup

Ohne Einwilligung werden aber dennoch direkt folgende Cookies gesetzt und die genannten Tracker und Tools geladen:

Ohne Einwilligung geladene Tracker und Tools

Wer es selber prüfen möchte, kann einen kostenfreien online Testzugang zu unserer KI-Software für Webseiten erhalten). Das Ergebnis des Tests zusammengefasst:

  • Die o.g. Webseiten zeigen einen Cookiebot Consent Banner (Einwilligungsabfrage) an.
  • Gleichzeitig werden die o.g. Cookies geladen: Cookies von Google Analytics und DoubleClick sowie von LinkedIn, HubSpot und weiteren.
  • Der Einwilligungsbanner ist oft rechtswidrig gestaltet: Er lässt nur ein Akzeptieren der Cookies zu, nicht aber ein Ablehnen.
  • Ein nicht funktionierender Einwilligungsbanner ist wahrscheinlich schlechter als gar kein Einwilligungsbanner, da der Eindruck der Täuschung oder Fahrlässigkeit entstehen könnte

Diese gefühlte Sicherheit ist nicht nur gefährlich, sondern führt zu einer großen Zahl rechtswidriger Webseiten!

Erklärung für das Versagen der sogenannten Consent Lösungen

Das Grundprinzip der Cookie Consent Lösungen ist folgendes:

  1. Ein Blocker Script der Consent Lösung wird als erstes auf der Seite geladen
  2. Das Script versucht, alle folgenden Scripte zu blockieren, also nicht zu laden
  3. Erst, nachdem der Nutzer eingewilligt hat, werden die blockierten Scripte geladen
  4. Über Scripte werden Cookies gesetzt, daher müssen die Scripte als Ursache blockiert werden
  5. Wird die Webseite, wo das Consent Script eingesetzt wird, nicht aufwändig präpariert, versagen die Cookie Consent Lösungen meist.
  6. Cookie Consent Lösungen fokussieren Cookies. Was ist mit Datenschutztexten, externen Ressourcen (wie Google Schriften), falsch konfigurierten YouTube Videos, Kontaktformularen, Newslettern oder der Erreichbarkeit der Datenschutzerklärung?

Wird das Blocker-Script nicht als erstes und vor allen anderen Scripten geladen, kann es logischerweise den Browser nicht davon abhalten, die anderen Scripte zu laden. Was viele nicht wissen ist, dass Anbieter von Consent Lösungen anscheinend von ihren Kunden erwarten, dass deren Webseite umfangrweich angepasst wird, damit das Consent Script die Webseite DSGVO-sicher machen kann. Dies widerspricht nach unserer Erfahrung aus vielen Gesprächen dem, was Fachleute wie Datenschutzbeauftragte denken, wenn sie über Consent Lösungen sprechen.

Moderne Browser wie Firefox optimieren die Ladezeiten von Webseiten, indem sie mehrere Scripte gleichzeitig laden. Dies ist insbesondere der Fall, wenn die Scripte von unterschiedlichen Anbietern kommen, etwa ein Script von Ihrer Webseite und eines von Google.

Hier ein Auszug aus dem von Firefox generierten Ladeprofil von Scripten einer deutschen Webseite, die UserCentrics einsetzt:

Mozilla Firefox lädt mehrere Scripte gleichzeitig

Wie man sehen kann, wird parallel zum Blocker-Script ein weiteres Script geladen, welches dann nicht mehr blockiert werden kann.

Im Chrome Browser von Google ist das Bild vergleichbar:

Chrome lädt Dateien in nicht festgelegter Reihenfolge

Im Bild zu sehen ist, dass file2.js vor file1.js geladen wird, obwohl in der HTML-Datei zur Webseite file1.js vorher zum Laden angegeben ist. In einem Artikel zu Javascript Ladestrategien wird das Phänomen und das obige Bild näher erklärt.

Wegen dieses optimierten Fadevorgangs wird das Blocker-Script nicht garantiert als erstes geladen, bevor die anderen Scripte geladen werden können. Deshalb kann das Blocker-Script nicht zuverlässig funktionieren. Zusätzlich gibt es die Möglichkeit, (zeitlich) weniger wichtige Scripte asynchron zu laden. Wie ein moderner Browser diese Scripte lädt, ist Sache des Herstellers und somit außerhalb einer garantierten Kontrolle.

Außerdem können mittels einem Vorladen (Preload) Ressourcen zeitoptimiert geladen werden, was es noch schwieriger (eigentlich unmöglich) macht, die Kontrolle über den Ladevorgang zu behalten.

Weil die Consent Lösungen ohne aufwändige Anpassung einer Webseite nicht zuverlässig blockieren können, verschlimmbessern sie die Rechtssicherheit auf Webseiten: Diese sogenannten Lösungen sind irreführend (wie unsere Umfragen bestätigen). Eine Analogie hierzu: An einer Tür steht “Sie können durch diese Tür gefahrlos durchgehen.” Wenn Sie durch die Tür gehen, fallen Sie in ein Loch im Boden. Das Schild könnte man als Täuschung oder Fahrlässigkeit deuten.

Selbst wenn ein Blocker-Script leider nicht blockierbare Cookies nach dem Setzen (sofort) wieder löscht, ändert das wenig an der Grundproblematik. Denn beim Abruf von Google Schriften, Google Maps, Google Analytics usw. via Script werden umfangreiche personenbezogene oder zu Personen zuordenbare Daten an Google bzw. andere Anbieter weitergereicht. Neben der Netzwerkadresse (IP-Adresse) ist das insbesondere der Browser Fingerabdruck (auch Device Fingerprint genannt). Hiermit kann bereits ein Tracking stattfinden.

Auch das Optimieren der Ladereihenfolge bringt keine Rechtssicherheit. Schließlich weiß niemand, wie Browser den Ladeprozess für Scripte intern gestalten. Wer sich hierauf verlässt und hofft, dass alles gut wird, hat sich seinem Schicksal bereist hingegeben und arbeitet anscheinend lieber mit Placebo-Lösungen als Datenschutzgesetze einzuhalten. Eine Prüfung mit unserer Datenschutz-Software zeigt regelmäßig, dass diese Maßnahmen nicht fruchtbar sind.

Die einzige funktionierende Möglichkeit, wann die Cookie Blocker funktionieren können, ist, wenn die Webseite so angepasst wird, dass alle Script-Tags und andere kritische Tags von Hause aus nicht geladen werden. Dies kann nur rechtssicher gelingen, wenn ein extrem mächtiges Plugin verwendet wird, welches alle Ressourcen kennt (scheint unmöglich) oder wenn die Webseite manuell entsprechend angepasst wird. Prüfen Sie hier direkt (keine Mailadresse nötig!) und kostenfrei, ob Ihr Consent Anbieter richtig arbeitet.

Denken Sie weiterhin an die Tatsache, dass es Google mittels Ihrer IP-Adresse immer möglich ist, auf Ihren Google Nutzer zu schließen, wenn Sie gerade mit Ihrem Google Konto angemeldet sind, während Sie eine Webseite besuchen, die Google Tools lädt!

Weitere Befunde

Das Screening einer recht bekannten deutschen Webseite mit einer sogenannten Cookie Consent Lösung hat folgendes Ergebnis gebracht:

Ergebnis von Cookiebot zu einem eingebundenen YouTube-Video für die Datenschutzerklärung

Wie man sehen kann, wurden für ein YouTube-Video vom Tool drei Cookies gefunden. Ebenfalls erkennen kann man im Screenshot, dass die dazu generierten Hinweistexte technisch und nicht nutzerfreundlich sind. Vom Einbinden eines Videos wird nicht direkt gesprochen, das wäre aber notwendig. Für die Datenschutzerklärung ist diese Form der Information nicht ausreichend.

Das Cookie Popup Banner enthält zu YouTube Videos folgenden Hinweis:

Ergebnis von Cookiebot zu einem eingebundenen YouTube-Video für das Cookie Popup

Dieser Hinweis enthält keine Information dazu, dass es sich um ein eingebundenes Video hält und von welcher Kategorie von Empfängern das Cookie ausgewertet wird. Dies ist rechtlich fragwürdig.

Die Darstellung auf einer Webseite in Form einer Cookie Bar enthält folgende Informationen:

Von Cookiebot generierte Beschreibungen zu eingesetzten Cookies

Die dargestellten Cookies werden nach unserer Recherche für die analysierte Webseite gar nicht erstellt. Vielmehr scheint es so zu sein, dass die genannten Cookie-Namen einer internen Datenbank entstammen, in der auch die genannten Zwecke statisch abgelegt sind. Man kann übrigens auch sehr schön daran erkennen, dass die Namen (höchstwahrscheinlich) erfunden sind, weil Cookie-Namen von Trackern immer kryptische, kurze Namen haben und nicht aussagekräftig sind oder sein wollen!

Probleme mit Cookie Consent Lösungen

Das oben gezeigte Ergebnis eines Cookie Consent Tools liefert nur eine scheinbare Lösung im Sinne einer Rechtssicherheit und DSGVO-Konformität. Die Probleme mit dem Cookie Consent, wie er oben gezeigt ist:

  • Es spielt beim Consent Banner keine Rolle, wie viele Cookies gesetzt werden, wenn ein YouTube-Video eingebunden wird
  • In der Cookie Bar muss erwähnt werden, dass Cookies gesetzt werden, weil ein YouTube Video eingebunden wird, dass die Firma Google als Betreiber von YouTube diese Daten erhält und auswertet
  • Welche Auswertungen von Nutzerdaten von Drittparteien vorgenommen werden, muss kategorienbezogen erklärt werden
  • Die ausgegebenen Cookie-Namen gibt es (zumindest teilweise) gar nicht
  • In der Datenschutzerklärung reicht die Information über Cookies nicht aus, wenn man ein YouTube Video oder ein Tracking Tool einbindet
  • Fachliche Informationen, die zur Aufklärung des Nutzers geeignet sind, fehlen
  • Der Webseitenbetreiber wird nicht informiert, dass er ein YouTube-Video ohne erweiterte Datenschutzeinstellungen eingebunden hat
  • Die im Cookie Banner genannten Anbieter müssen namentlich genannt werden. Die Nennung der abrufenden URL reicht nicht aus
  • Der Typ des Cookies sollte in allgemein verständlicher Sprache genannt werden. Eine Nennung wie HTTP Local Storage scheint nicht geeignet für eine Nutzerinformation
Gefahr durch Cookie Consent
Gängige Cookie Consent Tools bieten nur eine gefühlte Rechtssicherheit, weil sie kompliziert anmutende Formulierungen generieren. Diese Formulierungen sind unvollständig, irreführend und somit rechtswidrig. Cookie Consent Tools berücksichtigen im Wesentlichen Cookies, die nur einer von vielen Aspekten des Datenschutzes auf Webseiten sind. Sie vernachlässigen u.a. das korrekte Einbinden von YouTube-Videos, Datenschutztexte oder den Browser-Fingerabdruck.

Eine DSGVO-konforme Webseite erreicht man nur, wenn insbesondere

  • das Laden von Scripten, die Cookies setzen, wirksam unterdrückt werden kann, etwa, indem (zusätzlich zum Einsatz von den genannten Lösungen) Javascript-Tags durch andere Tags ersetzt werden (oft ist das viel Arbeit und wir fragen uns, was dann der Nutzen von Consent Lösungen sein soll),
  • weitere DSGVO-Notwendigkeiten (zusätzlich) umgesetzt werden (Stichworte: Datenschutztexte, Kontaktformulare, Newsletter-Formulare, Erreichbarkeit der Datenschutzerklärung),
  • die Einwilligungsbanner eine wirksame, informierte Abfrage des Nutzers darstellen (es ist fraglich, ob die Einwilligungstexte die DSGVO-Vorgaben umfänglich erfüllen).

Diese genannten Punkte werden mit Hilfe von Cookie Consent Lösungen nicht ausreichend erfüllt, insbesondere was die ersten beiden Punkte angeht.

Das Ergebnis mit wwwschutz

Die o.g. Probleme werden von wwwschutz thematisiert. wwwschutz führt einen Datenschutz-bezogene Analyse von Webseiten durch und konzentriert sich nicht auf Cookies. Siehe hierzu: Tracking ist auch ohne Cookies möglich.

Im Leistungsumfang von wwwschutz enthalten ist

  • Datenschutz-Analyse der Webseite
  • Abgleich mit eigener Wissensdatenbank
  • Fachlich getriebenes Ergebnis
  • Prüfung auf fehlende Rechtstexte
  • Prüfung auf schädliche Rechtstexte
  • Impressumsprüfung
  • Datenschutzbericht, enthält:
    • Statistik
    • positive und negative Befunde
    • Datenschutzerklärung mit Rechtstexten vom Fachanwalt für IT-Recht
    • Lösungsempfehlungen für gefundene Probleme

Die Datenschutz-Analyse

Mit Hilfe einer eigenen smarten Software wird ein Screening der Webseite vorgenommen. Das Ausfüllen eines Fragebogens ist nicht erforderlich. Für das Screening muss lediglich die Webseite genannt werden.

Die Software fragt aus der wwwschutz-Wissensdatenbank ab, um welches Tool es sich bei gefundenen Ressourcen auf einer Webseite handelt. Zu jedem Tool ist gespeichert, um welchen Typ (Tracker, Video, Karte, Newsletter-Service etc.) es sich handelt.

Ferner weiß wwwschutz, ob ein Tool einer Einwilligung bedarf oder nicht und ob es einer Abwahlmöglichkeit bedarf oder nicht.

Zu allen populären Tools sind in wwwschutz die Rechtstexte für die Datenschutzerklärung von unserem Anwalt hinterlegt worden.

Das Ergebnis des Webseiten-Checks, welches der Kunde oder der Datenschutz-Dienstleister des Kunden erhält, ist der Datenschutzbericht.

Der Datenschutzbericht

Im Datenschutzbericht sind die Informationen enthalten, die für eine DSGVO-konforme Webseite benötigt werden. Anfangs zeigt eine Statistik übersichtlich die Befunde in Kategorien an:

Datenschutzbericht: Statistik zu einer Webseite

Für alle genannten Warnungen und kritischen Punkte sind im Bericht weiterführende Informationen sowie Erklärungen, Lösungen und Anleitungen zu finden.

Gefundene Tools & Komponenten

Im Bericht werden alle im Scan der Webseite gefundenen Komponenten namentlich genannt und mit Datenschutztexten und Hinweisen bei falscher Konfiguration versehen:

Von wwwschutz gefundene Tools auf einer Webseite

Für komplexe technische Probleme, wie für das sichere Einbinden eines Facebook Pixels werden Code-Beispiele genannt

Unerlaubte Tools

Ein ohne erweiterte Datenschutzeinstellngen eingebundenes YouTube Video etwa ist in der Statistik unter dem Punkt Unerlaubtes Tool verwendet vermerkt. Weiter unten im Bericht findet sich dann eine Anleitung, um das Video mit besseren Datenschutzeinstellungen einzubinden. Ferner liefert der Bericht Empfehlungen, welche Alternativen anstelle von YouTube-Videos in Frage kommen und an sich schon DSGVO-konform sind, ohne eine Einwilligung abzufragen.

Zu den erkannten unerlaubten Tools liefert der Bericht Lösungen, oft in Form von bebilderten Anleitungen:

Anleitung bei falsch eingebundenen YouTube-Videos

Weiterhin werden Alternativen genannt, die DSGVO-konform sind.

Auch externe Schriftarten (wie Google Fonts) erkennt wwwschutz und weist sie im Bericht aus.

Für WordPress führt WWWSchutz zahlreiche Zusatzprüfungen durch. Beispielsweise wird erkannt, ob Gravatare eingesetzt werden. Gravatare sind nicht DSGVO-konform und müssen daher entfernt werden. Im Bericht zeigt eine Anleitung, wie das geht.

Datenschutzerklärung

Benötigte Rechtstexte

Da mit WWWSchutz eine umfassende Bestandsaufnahme aller relevanten Datenströme durchgefüht wird, kann die Datenschutzerklärung daraus abgeleitet werden. Die notwendigen Rechtstexte werden allesamt ausgegeben und können mit einem Klick in die Zwischenablage kopiert werden. Verlinkungen auf Datenschutzhinweise von Drittanbietern (3rd Party) sind ebenfalls enthalten und werden mit in die Zwischenablage kopiert:

Datenschutzerklärung mit allen Rechtstexten: Copy & Paste fähig

Fehlende Rechtstexte

Wer seine Datenschutzerklärung beibehalten und nur die fehlenden Rechtstexte ergänzen möchte, für den ist die Übersicht als fehlend erkannter Texte hilfreich.

Ebenso dient die Erkennung der fehlenden Rechtstexte als Bewertung für unsere Datenschutz-Risikoliste.

Auszug aus unserer Risikoliste für Webseiten.

Third Party Ressourcen

Dateien, die von Drittanbietern nachgeladen werden, sind im Bericht ausgewiesen:

Externe Dateien von Drittanbietern

Sofern es sich um populäre Ressourcen handelt, wird für diese eine Lösungsmöglichkeit genannt. Für unbekannte Ressourcen wird darauf hingewiesen, dass diese möglichst durch eine lokale Kopie zu ersetzen sind. Oft werden Bilder unnötigerweise von Dritten geladen, anstelle sie von der Webseite direkt als lokale Kopie zu laden.

Kontaktformulare

Mit wwwschutz werden auch Kontaktformulare geprüft. Insbesondere werden folgende Merkmale gecheckt:

  • Datensparsamkeit
  • Abfrage einer Einwilligung
  • Verlinkung der Datenschutzerklärung
  • Nennung des Widerrufsrechts

Im Bericht sind fehlerhaft ausgeprägte Formulare konkret mit einer Adresse (URL) benannt. Der Verantwortliche erhält Hinweise, wie die Formulare anzupassen sind:

Konkrete Hinweise zu Kontaktformularen im wwwschutz-Bericht

Impressum

Für das Impressum wird das korrekte Vorhandensein von Pflichtangaben bescheinigt (bzw. gibt es einen Hinweis, wenn dies nicht der Fall ist).

Ferner werden Empfehlungen für zusätzliche Impressumstexte gegeben, die die Rechtssicherheit erhöhen. Schädliche Rechtstexte (wie ungültige Disclaimer) werden mit einer Erklärung, warum diese schädlich sind, ausgewiesen.

Hinweise zum Impressum im wwwschutz-Bericht

Weitere Details

Cookies sind nicht das Hauptproblem

Zahlreiche Lösungen stellen Cookies in den Vordergrund der Betrachtung. Auch wenn nach dem EuGH-Urteil zu Cookies vom 01.10.2019 viele von Cookies als dem Datenschutz-Bösewicht sprechen: DSGVO-Sicherheit bedarf zahlreicher weiterer Betrachtungen als “nur” Cookies. Tracking etwa ist auch ohne Cookies möglich.

Eingebundene externe Ressourcen & Dateien

Rein technisch kann man einfach feststellen, welche externen Dateien wie Bilder, Scripte oder Stylesheets eine Webseite einbindet. Es reicht nicht aus, eine externe Datei zu kennen. Man muss auch deren Zwecke und Gefahrenpotential hinsichtlich der DSGVO kennen sowie die Datenschutztexte und Opt-In & Opt-Out Erfordernisse dafür kennen und idealerweise gute Alternativen benennen können.

Genau dies tut wwwschutz:

  • Erkennung der Datenschutzerklärung
  • Identifizieren von zahlreichen Tools Dritter
  • Passende Datenschutztexte pro Tool
  • Erkennung fehlender Rechtstexte
  • Kenntnis über rechtliche Anforderungen und Ausgabe einer entsprechenden Empfehlung
  • Benennung von Alternativen bei kritischen Tools
  • Anleitungen für häufige Probleme

Wichtig zu verstehen ist, dass Cookies nicht das Problem auf Webseiten sind. Vielmehr sind die Probleme:

  • Erkennung von Datenströmen
  • Tracking
  • Falsch konfigurierte Tools und Videos
  • Unerlaubte Tools
  • Falsch ausgeprägte Kontaktformulare
  • Cookie Banner, die entweder unwirksam sind oder wichtige Links verdecken
  • Unvollständige Datenschutzerklärungen
  • Fehlerhafte Angaben im Impressum (kein Datenschutzthema, aber in einem Zuge damit genannt)

Um diese Probleme zu vermeiden, wurde wwwschutz entwickelt.

Sie können eine online Testversion kostenfrei ausprobieren:

  1. Webseite eingeben
  2. Start drücken
  3. Ergebnisse direkt in Ihrem Browser sehen

Das ganze funktioniert ohne Eingabe einer Maildresse! Einfach loslegen.