Praxisnahe Umsetzung seit 2013
Ihr Experte für Datenschutz und Informationssicherheit
Website Audit DSGVO
Bleiben Sie datenschutzkonform auf Ihren Websites durch ein regelmäßiges Monitoring und eine professionelle Beratung
Home » Website Audit DSGVO
Der Webauftritt selbst kostete nur 4.000 Euro.
die Strafe wegen Nicht-Einhaltung der Gesetze 20.000 Euro!
- Beschwerden vom unzufriedenen oder besorgten Website-Besuchern können in Sekundenschnelle an die Aufsichtsbehörden weitergeleitet werden. Die Folgen eines Fehlverhaltens können kostspielig sein und den Wert der Website deutlich übersteigen! Vom ganzen Ärger mal abgesehen.
- Ungarn: 25.000 Euro Strafe für ein Medienunternehmen für einen nicht rechtskonformen Consentbanner
- Frankreich: 60 Millionen Euro für einen nicht rechtskonform gestalteten Widerruf im Consent-Banner
- Hamburg: 20.000 Euro für eine Sicherheitslücke auf der Website
- Baden-Württemberg: 100.000 Euro Strafe für fehlende technische Sicherheitsmaßnahmen
- Spanien: 12.000 Euro Strafe für fehlende Informationen über die Datenverarbeitung und Dark-Patterns im Consent-Banner
- Kroatien: 30.000 Euro für ein Online-Wettanbieter für fehlende Informationen zur Datenverarbeitung, fehlende Einwilligungen und Widerrufsmöglichkeiten
- Frankreich: 40 Mio Euro für fehlende Einwilligungen (Tracking), fehlende / unzureichende Informationen zur Datenverarbeitung und Nichtbeachtung von Betroffenenrechten
- Schweden: 1 Mio Euro für einen unrechtmäßigen Drittlandtransfer durch Google Analytics
- Frankreich: 380.000 Euro für u. a. fehlende Einwilligungen und unzureichende Sicherheitsmaßnahmen auf der Website
- Deutschland: 50.000 Euro für die fehlende Widerrufsmöglichkeit von Einwilligungen bei einem E‑Mail-Newsletter
Wenn Sie Unterstützung für Ihre Online-Auftritte suchen, sollten wir uns kennenlernen.
Seit 2013 unterstütze ich Unternehmen bei der Planung und beim Betrieb datenschutzkonformer Websites.
Nehmen Sie gerne Kontakt mit mir auf. Ich erstelle Ihnen einen kostenlosen Report für Ihre Website.
Kennen Sie das?
Wo fängt man an?
Sie möchten eine neue Website gestalten und wissen nicht, worauf man achten muss, um die Gesetze des Datenschutzes einzuhalten?
Sie legen die Erstellung in die Hände von Marketingagenturen, die jedoch im Bereich Datenschutz keine Expertise haben oder die Verantwortung übernehmen?
Sie haben verschiedene Websites, die von mehreren Agenturen betrieben werden und verlieren den Überblick?
Wer soll es machen?
Jemanden zu finden, um die Vorgaben des Datenschutzes auf einer Website zu beachten, ist nicht einfach.
Die Person muss immer auf dem Laufenden bleiben. Gerichtsurteile müssen regelmäßig gelesen werden, um ggf. Auswirkungen auf die eigene Website einschl. aller Unterseiten zu erkennen.
Auch Aufsichtsbehörden bringen regelmäßig Jahresberichte und Orientierungshilfen heraus, die Sie ebenfalls berücksichtigen müssen.
Audit Ihrer Online-Auftritte
Permanentes Monitoring Ihrer Online-Auftritte mit konkreten und praxisnahmen Hinweise, wie Sie Ihre Website im Datenschutz optimieren können.
Aktuelle Datenschutzhinweise
Generatoren für Datenschutzhinweise bieten einen entscheidenden Nachteil. Sie gehen nicht auf die Spezialitäten Ihres Unternehmen und Ihrer Website ein.
Umfangreiche Texte werden erstellt, die für Sie gar nicht zutreffen. Ich erstelle Ihnen Datenschutzhinweise, die zu Ihnen passen und transparent und aktuell auf Ihrer Website eingebunden werden.
Schulung Ihrer Beschäftigten
Dienstleister, Einwilligungen, Social Media Plugins, Cookies, Formulare, Newsletter, Gewinnspiele, Online-Shops u. v. m.
Mehr Informationen erhalten Sie im Bereich Schulung.
Website Audit DSGVO — Details
Als Betreiber von Websites sollten Sie schon von Beginn an überlegen, welche Dienste und Dienstleister Sie einsetzen möchten. Gerichte und Aufsichtsbehörden haben sich in der Vergangenheit umfangreich geäußert, welche Regeln auf Websites eingehalten werden müssen. Die Websites müssen dann entsprechend angepasst werden. Dies erzeugt unnötige Aufwände für Ihre Organisation, die Sie hätten vermeiden können.
Ich erstelle Ihnen regelmäßig und automatisiert einen technischen Prüfbericht Ihrer Websites. Die Voraussetzung ist, dass Sie keine Maßnahmen etabliert haben, die einen Scan der Website verhindern. Ergänzend erfolgt eine manuelle Prüfung, da der automatische Scan nicht alle Feinheiten des Datenschutzes enthält. Es werden alle Dienste, Cookies, Hersteller und Consentbanner geprüft und bewertet. Wenn Sie es wünschen, erhalten Sie zudem Hinweise zu Optimierungsmaßnahmen oder ich übernehme die gesamte Kommunikation mit Ihrer Marketingabteilung oder ‑agentur, um Ihre Websites datenschutzkonform zu gestalten.
Aber: Die Beurteilung der Rechtmäßigkeit einer Website hängt stark von der aktuellen Rechtsprechung und den Aussagen der Aufsichtsbehörden ab. Hier gibt es regelmäßig Veränderungen, die zu einer Anpassung Ihrer Website führen kann.
Inhalte der Audits im technischen Prüfbericht
- Verwendung nicht-notwendiger Cookies oder externer Dienste ohne Einwilligung
- Übermittlung von Daten in unsichere Drittstaaten
- Verletzung der Informationspflichten über externe Dienste in den Datenschutzhinweisen
- Sämtliche Cookies, Elemente im Web-Speicher und externe Dienste werden über alle Unterseiten aufgelistet
- Scans mit Veränderungsmeldungen pro Tag, Monat oder Quartal
- Prüfung der Serversicherheit und SSL-Zertifikate Ihres Webservers auf Schwachstellen
- Erkennung von Formularen zur schnellen Auffindbarkeit auf allen Unterseiten
Zusatzdienste zur datenschutzkonformen Gestaltung
- Erstellung von Datenschutzhinweisen maßgeschneidert für Ihre Website
- Detaillierte Prüfung und Optimierung von E‑Mail-Newslettern, Formularen, Gewinnspielen, Karten und Videos u. v. m.
- Detaillierte Prüfung und Optimierung von Formularen und Hinweistexten
- Konkrete Handlungsanweisungen mit Optionen zur datenschutzkonformen Umsetzung
- Erstellung von Texten für Einwilligungstools (“Consentbanner”) einschl. Gestaltungshinweise
- Schulung Ihrer Beschäftigten bei der Gestaltung von datenschutzkonformen Websites
- Koordination und Projektmanagement bei der Umsetzung des Datenschutzes für Ihre Websites und Online-Auftritte
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung des Website-Audits weiter. Überzeugen Sie sich.
“Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.”
“Kompliment an dieser Stelle an ihren Datenschutzbeauftragten Herrn Niehoff. Ich habe selten so fundierte Anweisungen zu der Optimierung eines Online-Auftrittes bekommen, bei denen ich zu 100% mitgehe.”
Website Audit — Funktionsumfang
Das vollautomatische Webaudit-Tool hilft Ihnen, umfassende technische Prüfberichte ohne Aufwand zu erstellen. Manuelle Untersuchungen von Websites sind aufwändig. Ich identifiziere durch Automatisierung alle externen Dienste und Cookies, durchsuche Unterseiten der Websites, erstellt umfassende Reports mit Risiko-Bewertung.
Website Audits in Minuten
Das cloudbasierte Tool scannt alle Seiten Ihrer Websites vollautomatisch. Die Datenbank enthält tausende von Anbietern von Cookies und externe Dienste und wird ständig weiterentwickelt. Sie erhalten damit einen Detailgrad, der manuell nicht möglich wäre.
Ein umfangreiches Reporting in deutscher und englischer Sprache per PDF oder Link wird Ihnen zur Verfügung gestellt.
Verarbeitungen und Cookies
Cookies, Elemente im Web-Speicher und externe Dienste werden gelistet, so dass Sie umfassende Daten zur Datenverarbeitung durch Dritte auf Ihrer Website haben.
- Cookies-Speicherdauer
- Anbieter des Cookies, Web-Speicher-Elements oder Dienstes
- Zweckermittlung Cookie / Dienst (Werbung, Analytics, Funktional etc.)
- Datenverarbeitung ohne Einwilligung
- Übermittlung in unsichere Drittländer
Risikobewertung
Nicht alle Schwachstellen werden entdeckt. Dies kann nur durch eine manuelle Prüfung erfolgen.
Sicherheit auf der Website
Das Website-Audit überprüft, ob Daten verschlüsselt übertragen werden, ob das SSL-Zertifikat dem neuesten Stand der Technik entspricht und ob korrekte Security-Header konfiguriert sind.
Die Informationen unterstützen Sie dabei, Ihre Website sicher zu gestalten. Dazu wird der Dienst Mozilla Observatory integriert. Die Ergebnisse sind verlinkt mit passenden Erläuterungen versehen.
Diese Punkte sind für Sie relevant, wenn Sie z. B. Daten über Kontaktformulare oder im Bewerbungsprozess sicher übermitteln wollen.
Kontinuierliche Verbesserung
Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, Lernen und Anpassung. Das PDCA-Modell (Plan – Do – Check – Act) fasst diese Erkenntnis auf, indem sie die Ist-Situation des Unternehmens permanent infrage stellt und im Unternehmen in einem wiederkehrenden Regelkreis Verbesserungen an Abläufen und Prozessen startet.
Anstatt “Never touch“ lautet das PDCA-Motto „Always touch a running system”. Der PDCA-Begriff steht für ein grundlegendes Modell andauernder Verbesserung.
Binden Sie mich rechtzeitig bei der Gestaltung Ihrer Website mit ein. Dies verhindert Aufwand und unnötige Kosten im Nachgang. Machen Sie den Datenschutz nicht nach der Veröffentlichung oder kurz vorher. Ich erkläre Ihnen, worauf Sie achten müssen.
Die stetige Verbesserung Ihrer Websites erfolgt durch regelmäßige Audits und konkrete Handlungsempfehlungen für die Optimierung Ihrer Website aus Datenschutzsicht.
Unterstützung bei der Planung Ihrer Website aus Sicht des Datenschutzes
Beratung bei der Umsetzung und des operativen Betriebes Ihrer Website aus Sicht des Datenschutzes
Sofern notwendig — Beseitigung von Mängeln oder Risikominimierung
Regelmäßiges Audit Ihrer Website gem. DSGVO, TDDDG und weiterer Gesetze
“Ich biete maßgeschneiderte Lösungen für Unternehmen, denen Datenschutz und Informationssicherheit wichtig sind. Gerne nehme ich mir Zeit für eine persönliche Beratung und erstelle Ihnen unverbindlich und kostenlos ein auf Sie zugeschnittenes Angebot.
Ich bevorzuge Unternehmen, die Datenschutz und Informationssicherheit umsetzen wollen. Wenn Sie eine kostengünstige Beratung von der Stange bevorzugen, passen wir nicht zusammen”.
Häufig gestellte Fragen rund um die Datenschutzhinweise
Unternehmen, die eine oder mehrere Websites, Online-Auftritte oder Social Media Auftritte betreiben, müssen die gesetzlichen Vorgaben beachten. Finden Sie hier typische Fragen, die mich von meinen Kunden erreichen.
Wenn Sie einen Online-Auftritt betreiben, müssen Sie verschiedene rechtliche Anforderungen beachten. Dabei spielt es keine Rolle, ob es sich um eine Landingpage, eine einfache Werbeseite, einen Online-Shop oder ein Bewerbungsportal handelt. Da Online-Auftritte in der Regel weltweit öffentlich einsehbar sind, sollten Sie die gesetzlichen Vorgaben einhalten, um Abmahnungen zu vermeiden. Andernfalls drohen kostenpflichtige Abmahnungen durch Wettbewerber, Verbraucherschutzzentralen oder Aufsichtsbehörden.
Die folgenden Punkte sind für den Datenschutz relevant:
- Impressum
- Informationen zum Datenschutz (“Datenschutzhinweise”)
- Fremde Inhalte von Diensteanbietern, z.B. Google Maps oder YouTube-Videos
- Online-Shops
- Social-Media-Buttons oder Plugins
- Pixel-Technologien oder Analysetools
- E‑Mail-Newsletter und Werbung
- Kontaktformulare
- Verschlüsselungstechniken
und vieles mehr.
Jeder Online-Auftritt muss individuell geprüft werden. Auch automatische Prüftools können nicht alle unterschiedlichen Anforderungen für Sie erfüllen. Wenn Sie konkrete Fragen haben, die ich Ihnen schnell beantworten kann, vereinbaren Sie doch gleich einen Termin für eine kostenlose Erstberatung.
Sie müssen auf Ihrer Website verständliche Datenschutzhinweise bereitstellen. Da bereits beim Besuch Ihrer Website personenbezogene Daten wie die IP-Adresse verarbeitet werden, ist dies notwendig.
Folgende Informationen sollten für jeden Verarbeitungszweck klar und einfach erklärt werden:
- Wer ist für die Datenverarbeitung verantwortlich? Geben Sie den Namen und die Kontaktdaten an.
- Wer ist der Datenschutzbeauftragte (falls vorhanden)? Geben Sie die Kontaktdaten an.
- Warum werden die personenbezogenen Daten verarbeitet und auf welcher rechtlichen Grundlage?
- Falls berechtigte Interessen die Grundlage sind, welche Interessen sind das?
- Wer bekommt die Daten? Nennen Sie die Empfänger oder Kategorien von Empfängern.
- Werden Daten an Länder außerhalb der EU oder internationale Organisationen übermittelt? Falls ja, geben Sie Informationen zu den Schutzmaßnahmen an.
- Wie lange werden die Daten gespeichert oder wie wird diese Dauer festgelegt?
- Welche Rechte hat die betroffene Person? (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit)
- Falls die Verarbeitung auf einer Einwilligung beruht, wie kann diese Einwilligung widerrufen werden?
- Wo kann man sich beschweren, wenn man glaubt, dass die Daten falsch verarbeitet werden? (Kontakt zur Aufsichtsbehörde)
- Muss man die Daten bereitstellen und was passiert, wenn man das nicht tut?
- Werden Entscheidungen automatisiert getroffen oder wird Profiling durchgeführt? Falls ja, erklären Sie kurz, wie das funktioniert und welche Auswirkungen das hat.
Diese Hinweise sollen sicherstellen, dass Ihre Besucher verstehen, wie ihre Daten verarbeitet werden und welche Rechte sie haben.
Bei unvollständigen oder fehlerhaften Datenschutzhinweisen drohen Abmahnungen, Bußgelder von mehreren tausend Euro oder Schadensersatzforderungen. Wenn Sie unsicher sind, was zu tun ist, nehmen Sie bitte Kontakt mit uns auf.
Die folgenden Pflichten sind bei kommerziellen Websites zu beachten:
- Impressum
- Hinweise zum Datenschutz
- ggf. Informationen zur Streitbeilegung
- ggf. Haftungsausschluss
- ggf. Werbung im Internet
- ggf. Allgemeine Geschäftsbedingungen und Teilnahmebedingungen
- ggf. sonstige Informationspflichten, die sich aus anderen Gesetzen ergeben, z.B. BGB, Preisangabenverordnung oder Wohnungsvermittlungsgesetz.
Ich berate Sie ausschließlich im Datenschutzrecht. Bei wettbewerbsrechtlichen Fragen ziehe ich stets auf das Wettbewerbsrecht spezialisierte Rechtsanwälte hinzu. Folgende Rechtsverstöße werden immer wieder wegen Wettbewerbsverstößen vor Gericht verhandelt. Diese führen dann zu Unterlassungs‑, Schadensersatz- und Gewinnabschöpfungsansprüchen.
Verstöße im Zusammenhang mit Online-Shops sind
- falsches oder unvollständiges Impressum
- falsche oder unvollständige Preisangaben
- Fehlerhafte oder unvollständige Belehrung über das Widerrufs- oder Rückgaberecht des Verbrauchers
- Fehlerhafte oder unvollständige Datenschutzhinweise
- Unzulässige Klauseln in Allgemeinen Geschäftsbedingungen bei Geschäften mit Privatkunden
Jedes Unternehmen, das eine kommerzielle Website betreibt, muss auf dieser Website entsprechende Datenschutzinformationen veröffentlichen. Es gibt keine Formvorschriften. Die Informationen müssen klar und transparent auf die Zielgruppe zugeschnitten sein. Ein typischer Aufbau ist
- Titel und Einleitung
- Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
- Angaben zur Datenverarbeitung, Rechtsgrundlage, Empfänger, Speicherdauer etc. gem. Art. 13 DSGVO
- Auflistung der betroffenen Rechte nach Art. 15 DSGVO
Im Internet gibt es auch diverse Generatoren, die kleine Unternehmen bei der Erstellung unterstützen. Ich halte von diesen Generatoren nicht viel, da jede Webseite individuelle Aspekte hat. Die erstellten Datenschutzhinweise sind sehr allgemein gehalten und listen diverse Rechtsgrundlagen auf, um alle Möglichkeiten abzudecken. Das hält einer Prüfung durch eine Aufsichtsbehörde nicht immer stand. Ich biete meinen Kunden maßgeschneiderte Datenschutzhinweise an, die auch der Realität entsprechen. Zögern Sie nicht, mich zu kontaktieren.
Heutzutage ist es sehr selten, dass eine Website keine Datenschutzhinweise enthält. Allerdings sind die Datenschutzhinweise fast immer schlecht formuliert. Häufig werden Generatoren eingesetzt, die dann ohne Fachkenntnis verwendet werden. Häufig werden zu viele Informationen gegeben oder die Informationen sind nicht konkret genug, da alle Möglichkeiten genannt werden, die für die Website nicht relevant sind.
Fehlerhafte Datenschutzhinweise können von Verbraucherzentralen, Aufsichtsbehörden, Abmahnanwälten oder auch von Mitbewerbern abgemahnt werden. Das kostet Zeit und Nerven. Gelegentlich verhängen Aufsichtsbehörden oder Verbraucherzentralen auch Bußgelder. Die Höhe hängt natürlich von der Art des Verstoßes ab. Wenn Sie mehr wissen wollen oder Unterstützung benötigen, wenden Sie sich bitte an uns.
Die Häufigkeit, mit der Datenschutzhinweise auf einer Website aktualisiert werden müssen, hängt von diversen Faktoren ab, wie zum Beispiel:
- Es gibt neue Datenschutzgesetze oder Änderungen an bestehenden Gesetzen. Beispiele hierfür sind die Einführung der Datenschutz-Grundverordnung in der EU oder Änderungen des Bundesdatenschutzgesetzes in Deutschland oder die Novellierung des TDDDG.
- Gerichtsurteile präzisieren die datenschutzrechtliche Umsetzung auf Websites.
- Sie verändern Ihre Datenverarbeitung, erheben neue Daten, ändern die Zwecke der Verarbeitung, setzen neue Technologien oder Dienstleister ein oder schalten Dienste ganz oder teilweise ab.
- Hersteller von Trackingverfahren oder Analysetools ändern ihre Produkte, setzen zum Beispiel neue Dienstleister mit Sitz in einem Drittland ein.
- Sie nehmen interne Änderungen vor, die eine Anpassung erforderlich machen, z. B. eine Umstrukturierung des Unternehmens, Änderungen des Firmennamens, der Ansprechpartner oder des Standorts.
- Rückmeldungen von Nutzern, die eine Änderung erforderlich machen.
Häufig wird ein jährliches Audit empfohlen, aber wenn sich die Rahmenbedingungen schnell ändern, kann ein häufigeres Audit erforderlich sein. Um das Risiko von Bußgeldern zu minimieren, ist es außerdem ratsam, die Hinweise bei Änderungen in den oben genannten Bereichen zu aktualisieren.
Kontakt
- Massgeschneiderte Beratung für Online-Auftritte
- Automatisierte Audits der Websites nach DSGVO
- Zeitnahe Risikobasierte Beratung
Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.