Warum Website-Monitoring zur DSB-Kernaufgabe wird

Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DSGVO abschließend geregelt — doch die Praxis zeigt, dass der digitale Auftritt eines Unternehmens zu einem der konfliktreichsten Prüffelder geworden ist. Aufsichtsbehörden wie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Landesbeauftragten für den Datenschutz (LfDI) nehmen Website-Prüfungen standardmäßig in ihre Inspektionspläne auf. Beschwerden über Cookie-Banner, fehlende Datenschutzerklärungen oder rechtswidrige Drittanbieter-Einbindungen sind inzwischen der häufigste Eingangskanal für Meldungen beim LfDI Bayern und beim Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI).

Art. 39 Abs. 1 lit. b DSGVO verpflichtet den DSB zur Überwachung der Einhaltung der Datenschutzvorschriften. Das bedeutet nicht, dass der DSB bei jedem Update der Website persönlich Hand anlegen muss — wohl aber, dass er ein belastbares Monitoring-System betreiben und dessen Ergebnisse dokumentieren muss. Genau hier liegt die Verbindung zur Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO: Der Verantwortliche muss jederzeit nachweisen können, dass die Verarbeitung personenbezogener Daten auf der Website rechtmäßig erfolgt.

In Unternehmensgruppen (Konzernen) multipliziert sich das Problem. Ein Konzern mit zehn Tochtergesellschaften betreibt typischerweise zehn bis zwanzig eigenständige Web-Domains — jede mit eigenem CMS, eigenem Cookie-Manager und eigener Third-Party-Integration. Für den Konzern-DSB oder den externen Datenschutzbeauftragten, der mehrere Konzerngesellschaften gleichzeitig betreut, ist eine manuelle Überprüfung jeder Domain schlicht nicht skalierbar. Automatisiertes Website-Monitoring ist damit keine Nice-to-have-Funktion, sondern eine strukturelle Voraussetzung für die Erfüllung der gesetzlichen Überwachungspflicht.

Was eine DSGVO-konforme Website erfordert

Die rechtlichen Anforderungen an eine konforme Unternehmenswebsite setzen sich aus mehreren Rechtsgrundlagen zusammen, die ineinandergreifen. Allein die DSGVO reicht nicht aus — es müssen zusätzlich telekommunikationsrechtliche Vorschriften beachtet werden.

Aus Art. 13 und 14 DSGVO folgt die Pflicht, Betroffene bei der Erhebung ihrer personenbezogenen Daten vollständig zu informieren. Eine Datenschutzerklärung muss deshalb die Identität des Verantwortlichen, alle Verarbeitungszwecke mit zugehöriger Rechtsgrundlage, Empfänger und Drittlandtransfers, Speicherfristen sowie sämtliche Betroffenenrechte (Art. 15–21 DSGVO) einschließlich des Beschwerderechts bei der zuständigen Aufsichtsbehörde enthalten. Generierte Texte aus dem Jahr 2020 oder früher genügen diesen Anforderungen regelmäßig nicht mehr, da seitdem zahlreiche EuGH-Entscheidungen und Leitlinien des Europäischen Datenschutzausschusses (EDSA/EDPB) den Mindestinhalt konkretisiert haben.

Für Cookie-Einwilligungen gilt daneben § 25 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz). Diese Norm — nicht die DSGVO selbst — regelt das Einlesen und Speichern von Informationen auf Endgeräten. Das bedeutet: Auch wenn kein personenbezogenes Datum im DSGVO-Sinne verarbeitet wird, ist für das Setzen eines Tracking-Cookies eine vorherige Einwilligung nach § 25 TTDSG erforderlich, sofern kein Ausnahmetatbestand greift. Die Einwilligung selbst muss jedoch den Anforderungen von Art. 7 DSGVO entsprechen: freiwillig, spezifisch, informiert und unmissverständlich durch eine aktive Handlung erteilt. Ein vorab angekreuztes Kästchen oder die Weiternutzung der Website als Einwilligung sind unzulässig.

Die Datenschutzkonferenz (DSK) — das Gremium der deutschen Datenschutz-Aufsichtsbehörden — hat in ihrer Orientierungshilfe zu Telemedien (2021, aktualisiert 2022) klargestellt, dass der Ablehn-Button im Cookie-Banner auf der ersten Ebene genauso prominent sein muss wie der Akzeptier-Button. Dark Patterns, die Nutzende zur Einwilligung drängen, gelten als rechtswidrig und können Bußgelder nach Art. 83 DSGVO auslösen.

Die fünf häufigsten Website-Compliance-Mängel in deutschen Unternehmen

Auf Basis von Behördenveröffentlichungen, Prüfberichten der DSK und der Beschwerdestatistiken der Aufsichtsbehörden lassen sich fünf Mängelkategorien identifizieren, die in deutschen Unternehmenswebsites besonders häufig auftreten:

1. Fehlende oder unvollständige Rechtsgrundlage in der Datenschutzerklärung. Viele Datenschutzerklärungen listen Verarbeitungsvorgänge auf, ohne die konkrete Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO zu benennen. Statt „Wir verarbeiten Ihre Daten zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)" findet sich häufig nur „Wir verarbeiten Ihre Daten zu Vertragszwecken". Diese Ungenauigkeit reicht für eine konforme Informationspflicht nicht aus.
2. Vorausgewählte Checkboxen im Cookie-Banner. Trotz eindeutiger Rechtslage seit dem BGH-Urteil Planet49 (I ZR 7/16, 2019) und der EuGH-Entscheidung C-673/17 finden sich in Prüfungen des LfDI Niedersachsen und des BfDI regelmäßig Banner, bei denen Analyse- oder Marketing-Cookies vorausgewählt sind. Diese Praxis verstößt gegen Art. 7 Abs. 1 DSGVO und § 25 TTDSG.
3. Fehlendes Opt-out für berechtigtes Interesse. Stützt ein Unternehmen eine Verarbeitungstätigkeit auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), muss es nach Art. 21 DSGVO ein jederzeitiges Widerspruchsrecht gewähren. Viele Datenschutzerklärungen erwähnen das Widerspruchsrecht zwar abstrakt, bieten aber keinen funktionsfähigen Mechanismus — keine E-Mail-Adresse, kein Opt-out-Formular, keinen Verweis auf ein Präferenzmanagement-Tool.
4. Google Fonts ohne Einwilligung. Der BGH hat in seinem Urteil vom 20. Januar 2022 (VI ZR 1352/20) festgestellt, dass die dynamische Einbindung von Google Fonts — also das Laden der Schriftarten direkt von Google-Servern bei jedem Seitenaufruf — ohne Einwilligung rechtswidrig ist, weil dabei die IP-Adresse des Nutzers an Google (USA) übertragen wird. Die Lösung ist entweder die lokale Einbindung der Schriftarten oder die Einholung einer wirksamen Einwilligung vor dem ersten Laden. Automatisierter Scan-Tools können diese Einbindung zuverlässig erkennen.
5. Fehlende Auftragsverarbeitungsverträge (AVV) mit Analytics-Anbietern. Art. 28 DSGVO verlangt einen schriftlichen Vertrag mit jedem Auftragsverarbeiter. Für Google Analytics, Matomo (bei externer Hosting), HubSpot, Hotjar oder ähnliche Dienste muss ein AVV abgeschlossen und dokumentiert sein. Gerade bei neu eingesetzten Marketing-Tools vergessen Fachabteilungen regelmäßig, den DSB einzubeziehen und einen AVV nachzuholen.

Automatisches Scanning vs. manuelle Prüfung: ein Vergleich

Eine gründliche manuelle Website-Datenschutzprüfung einer mittelgroßen Unternehmenswebsite umfasst typischerweise folgende Schritte: Sichtung der Datenschutzerklärung (30–60 Min.), Analyse des Cookie-Banners und seiner technischen Implementierung (30–45 Min.), Überprüfung geladener Drittanbieter-Ressourcen mit Browser-Entwicklertools (45–60 Min.), Kontrolle des Impressums (15 Min.) und Dokumentation der Ergebnisse (30 Min.). Insgesamt fallen drei bis vier Stunden pro Domain an — bei einer Konzernstruktur mit zwölf Domains entspricht das bis zu 48 Arbeitsstunden für eine Runde.

Automatisierte Compliance-Scanner erledigen denselben Prüfumfang in unter drei Minuten. Das allein wäre kein ausreichendes Argument — entscheidend sind drei weitere Vorteile:

• Konsistenz: Manuelle Prüfungen variieren je nach Tagesform und Wissensstand des Prüfers. Ein Scanner wendet exakt denselben Regelkatalog auf jede Domain an — ohne subjektive Abweichungen.
• Nachweispflicht (Art. 5 Abs. 2 DSGVO): Zeitgestempelte, maschinenlesbare Prüfberichte belegen gegenüber Aufsichtsbehörden, dass die Überwachungspflicht erfüllt wurde. Ein handschriftliches Prüfprotokoll ohne Zeitstempel hat deutlich geringeren Beweiswert.
• Frequenz: Websites ändern sich — durch CMS-Updates, neue Marketing-Tools oder Änderungen der Entwickler. Wöchentliche oder monatliche automatisierte Scans erkennen Regressionen sofort; manuelle Prüfungen finden allenfalls einmal jährlich statt.

Der DSB sollte automatisierte Scans nicht als Ersatz für tiefgehende Fachprüfungen verstehen, sondern als kontinuierliches Frühwarnsystem: Rote Flags lösen gezielte manuelle Nachprüfung aus; grüne Ampeln dokumentieren den laufenden Compliance-Status.

Portfolio-Monitoring für externe DSBs

Externe Datenschutzbeauftragte betreuen im Durchschnitt zwischen fünf und zwanzig Mandanten gleichzeitig. Jeder Mandant betreibt eine oder mehrere Websites, die rechtlich eigenständig zu beurteilen sind, da jeder Mandant ein eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist. Das bedeutet: Für jeden Mandanten muss eine separate Compliance-Dokumentation geführt werden, die im Falle einer Beschwerde oder Behördenprüfung vorgelegt werden kann.

Portfolio-Monitoring-Lösungen ermöglichen dem externen DSB, alle betreuten Domains in einem zentralen Dashboard zu verwalten. Kernanforderungen an ein solches System:

• Mandantentrennung: Jeder Mandant hat einen eigenen Arbeitsbereich — Daten dürfen nicht zwischen Mandanten einsehbar sein (Vertraulichkeit nach Art. 38 Abs. 5 DSGVO).
• Automatische Scan-Zeitpläne: Monatliche oder wöchentliche Scans ohne manuelle Auslösung — der DSB wird per E-Mail benachrichtigt, wenn Schwellenwerte unterschritten werden.
• Mandantenberichte: Automatisch generierte PDF-Berichte pro Mandant, die direkt weitergeleitet oder als Anlage zum Tätigkeitsbericht des DSB verwendet werden können.
• Regulatory Watch: Automatische Erkennung neuer Leitlinien von BfDI, LfDI und DSK, die den Prüfkatalog aktualisieren könnten — z. B. nach Veröffentlichung neuer DSK-Orientierungshilfen.

Für die Honorarkalkulation des externen DSBs ergibt sich ein weiterer Vorteil: Statt Stunden für Routineprüfungen zu verrechnen, kann er sich auf hochwertige Beratungsleistungen konzentrieren und den Monitoring-Nachweis als inklusiven Mehrwert gegenüber Mitbewerbern positionieren.

Dokumentation für Aufsichtsbehörden (BfDI, LfDI)

Im Rahmen einer Beschwerde oder einer anlasslosen Prüfung durch eine Aufsichtsbehörde fordert der BfDI oder der zuständige LfDI in der Regel Nachweise über die ergriffenen technischen und organisatorischen Maßnahmen. Der Nachweis, dass ein systematisches Website-Monitoring existiert, ist dabei ein konkreter Pluspunkt — er belegt, dass der Verantwortliche die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ernst nimmt und nicht nur reaktiv handelt.

Worauf Aufsichtsbehörden bei Website-Prüfungen typischerweise achten:

• Gibt es einen aktuellen Verzeichniseintrag im Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO, der die Website-bezogenen Verarbeitungen (Kontaktformular, Analytics, Newsletter) abdeckt?
• Wurden für alle eingesetzten Auftragsverarbeiter (Analytics, CDN, Hoster) schriftliche AVV nach Art. 28 DSGVO abgeschlossen?
• Ist für Drittlandtransfers (z. B. USA-basierte Dienste) ein geeigneter Schutzmechanismus nach Art. 46 DSGVO dokumentiert (Standardvertragsklauseln, Angemessenheitsbeschluss)?
• Existieren Einwilligungsprotokolle für erhobene Cookie-Einwilligungen?
• Wann wurde die Datenschutzerklärung zuletzt überprüft und aktualisiert?

Timestamped PDF-Prüfberichte aus automatisierten Scans sind für diese Nachweiszwecke besonders wertvoll: Sie dokumentieren nicht nur den aktuellen Status, sondern auch die Entwicklung über Zeit. Ein Behördenprüfer kann so nachvollziehen, wann ein Mangel erkannt wurde und wie schnell Abhilfemaßnahmen ergriffen wurden.

Im schlimmsten Fall — einer Bußgeldentscheidung nach Art. 83 Abs. 4 oder 5 DSGVO — können dokumentierte Überwachungsmaßnahmen bußgeldmindernd wirken. Die Aufsichtsbehörden berücksichtigen bei der Bemessung des Bußgelds gemäß Art. 83 Abs. 2 lit. d DSGVO ausdrücklich den Grad der Verantwortung und die ergriffenen Maßnahmen zur Minderung des entstandenen Schadens.

Juralex Audit: Funktionen für deutsche DSBs

Juralex Audit wurde speziell für den deutschsprachigen Compliance-Markt entwickelt und berücksichtigt neben der DSGVO ausdrücklich die nationalen Anforderungen aus TTDSG, TMG § 5 (Impressumspflicht) und die aktuellen Orientierungshilfen der DSK. Der Prüfkatalog umfasst über 50 individuelle Checks, die regelmäßig an neue Behördenpublikationen angepasst werden.

Für Datenschutzbeauftragte besonders relevante Funktionen:

• TTDSG-spezifische Cookie-Analyse: Erkennung vorausgewählter Checkboxen, fehlender Ablehnungsoptionen und asymmetrischer Button-Gestaltung — direkt anwendbar auf die DSK-Kriterien aus der Orientierungshilfe Telemedien.
• Impressum-Check nach TMG § 5: Vollständigkeitsprüfung aller Pflichtangaben inklusive Umsatzsteuer-ID, ladungsfähiger Anschrift und Vertretungsberechtigter.
• Drittanbieter-Erkennung: Automatische Identifikation von geladenen Drittressourcen (Google Fonts, Analytics, Pixel, CDNs) mit Hinweis auf Einwilligungspflicht und AVV-Bedarf.
• Regulatory Watch: Automatische Überwachung von Veröffentlichungen des BfDI, der Landesdatenschutzbehörden und der DSK — relevante Änderungen werden direkt im Dashboard angezeigt.
• Multi-Domain-Portfolio: Alle betreuten Domains in einem Dashboard, mit mandantengetrennten Arbeitsbereichen für externe DSBs und Konzernstrukturen.
• PDF-Berichte mit Zeitstempel: Maschinenlesbare, unterschriftsfähige Compliance-Berichte für das VVT, die Behördenkommunikation und die interne Nachweisdokumentation nach Art. 5 Abs. 2 DSGVO.
• Automatische Scan-Zeitpläne: Wöchentliche oder monatliche Wiederholungsscans mit E-Mail-Alert bei Verschlechterung des Compliance-Scores.

Das Ergebnis: DSBs können ihre gesetzliche Überwachungspflicht nach Art. 39 DSGVO dokumentiert erfüllen — ohne dass Routine-Monitoring die gesamte Kapazität bindet. Die eingesparte Zeit fließt in die Beratung, Schulung und strategische Datenschutzarbeit — dort, wo der Mehrwert eines qualifizierten DSBs wirklich liegt.