Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

"Die DSGVO-Gazette" #12: Datenschutz-Black-Box-Test - Den eigenen Außenauftritt prüfen

Nein, ich schreibe hier und jetzt nicht über das Schrems-II Urteil. Das überlasse ich anderen Personen. Es gibt mittlerweile genug Checklisten zum Fast-US-Exit oder Muster-Notfallpläne bei Anfragen von Datenschutz-Aufsichtsbehörden. Auch Unkenrufe von Open-Source-Sympathisanten oder Aufrufe zu Kurzschlusshandlungen zum Beispiel auf Twitter. Ein übrigens nicht viel beachteter Lichtblick in diesem Zusammenhang ist der Beginn der Gespräche zwischen dem U.S. Secretary of Commerce und der EU-Kommission. Wieso eigentlich auch über solche Sondierungsgespräche berichten - das würde ja nur die ganzen Checklisten und Muster-Notfallpläne ad absurdum führen.

Ich möchte heute über ein Thema sprechen, welches viele (kleine und mittlere) Unternehmen ein Hilfsmittel darstellt, um ihre eigene Datenschutz-Konformität selber prüfen zu können. Der Datenschutz-Black-Box-Test.

Vorab: Sie wollen einen kostenlosen Black-Box-Test des Außenauftritts Ihres Unternehmens nach den Aspekten IT-Sicherheit und Datenschutz? Sind Sie Geschäftsführer*in? Dann nennen Sie mir Ihre Firma, und fragen Sie den Black-Box-Test unverbindlich an.

1. Prüfen Sie, in welche Richtungen Ihre Unternehmens-Webseite funkt.

Nutzen Sie dazu die Funktion "Element untersuchen" im Browserfeld und gehen auf "Netzwerkanalyse". Dann sehen Sie, mit welchen Domains Ihre Webseite Verbindungen aufbaut. Das können zum Beispiel Fonts-Server, Videoserver (YouTube), Trackingserver (intern: Matomo, extern: Google Analytics) oder Social-Media-Add-ons sein wie Instagram oder Tiktok.

Für alle genannten Verbindungen müssen Sie die Rechtsgrundlage der Verarbeitung klären, die Informationspflichten einholen und die Auftragsverarbeitung nach europäsischen Recht sicherstellen.

Sie können die Verbindungen dann als "HAR-Datei" speichern, zum Beispiel um damit gegenüber ihrer Werbeagentur abzustimmen, welche Elemente erlaubt sind oder nicht.

2. Googlen Sie Ihre Webseite sich mal selber.

"Googeln? Ein Datenschutz meint, ich soll Google benutzen?" Ja, machen Sie das. Suchen Sie nach "site:domain.tld". Dann finden Sie alle Seiten, die Google von Ihrer Webseite indiziert hat. Auch Subdomänen oder Verweise, die längst nicht mehr aktiv sind, werden aufgelistet.

Gehen Sie alle Verweise durch, die Ihnen "Spanisch" vorkommen. Sie werden neben toten Verweisen auch alte oder mittlerweile falsche Informationen finden. Subdomänen werden auf Inhalte verweisen, die Sie längst als inaktiv vermutet haben. Vielleicht finden Sie auch eine Hintertür in Bereiche Ihrer Webseite, die eigentlich nur für Zwischenhändlern oder für Sie selber sichtbar sein sollten.

Listen Sie die Inhalte, die von Ihrer Internetseite verschwinden sollen auf und beauftragten Sie jemande/jemanden, die/der das für Sie löscht. Prüfen Sie dann, ob die veralteten Inhalte auch tatsächlich gelöscht sind.

3. Lesen Sie sich die robots.txt aufmerksam durch.

Die Robots.txt ist eine kleine Textdatei auf der untersten Ebene Ihres Webservers. Diese gibt Webseiten vor, welche Bereiche nicht untersucht werden sollen. Die meisten Suchmaschinen halten sich auch daran - wenige, im Darknet aufrufbare Suchmaschinen, interessiert das weniger.

Sie finden in der robots.txt häufige Verweise auf Loginseiten, Subdomänen, "versteckte" Verzeichnisse usw. Suchen Sie die Einträge ab und handeln Sie analog zu Punkt 2.

4. Nutzen Sie mal http anstelle von https.

Fast alle Internetseiten bauen mittlerweile TLS (früher SSL)-Verbindungen zwischen dem Browser und dem Webserver auf. Das ist nicht nur aus Datenschutzsicht sinnvoll. Denn auch Google traut Seiten ohne https (seit August 2014) weniger, weswegen diese Seite im Pagerank ordentlich einbüßen.

Falls Sie - trotz TLS-Zertifikat - weiterhin ihre Webseite mit http aufrufen können, hat Ihr Webadministrator gepennt. Der muss "HTTP Strict Transport Security" auf dem Server einbauen. Bei der Apache-Serverkonfiguration sieht das zum Beispiel folgendermaßen aus:

Header always set Strict-Transport-Security "max-age=4838400; includeSubdomains;"

Diese Liste lässt sich natürlich weiter führen. Je nach Präsenz und Branche haben die Internetpräsenzen unterschiedliche Sollbruchstellen. Fakt ist, dass keine bisher untersuchte Internetpräsenz ohne "wesentliche/schwerwiegende" Mängel aus so einer (vollständigen) Prüfung raus kam.

Bei Fragen wenden Sie sich gerne an mich.

Übrigens: Sie wollen einen kostenlosen Black-Box-Test des Außenauftritts Ihres Unternehmens nach den Aspekten IT-Sicherheit und Datenschutz? Sind Sie Geschäftsführer*in? Dann nennen Sie mir Ihre Firma, und fragen Sie den Black-Box-Test unverbindlich an.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen

Photo by Scott Graham on Unsplash