Ratgeber · recht
Datenschutz bei SEO-Tools: warum lokal gewinnt
Viele SEO-Checker laden deine URL oder deinen Quelltext auf fremde Server. Welche DSGVO-Fragen das aufwirft und warum ein Browser-only-Tool wie seitenpruefer.de, das den HTML-Quelltext lokal analysiert, die Compliance-Frage stark vereinfacht.
Wenn Du ein SEO-Tool im Browser öffnest und eine URL oder Deinen Quelltext einfügst, stellst Du Dir selten die Frage, wohin diese Daten eigentlich gehen. Bei vielen Online-Checkern ist die Antwort: auf einen fremden Server. Dort wird Deine Seite abgerufen, analysiert und in manchen Fällen für eine Weile gespeichert. Für eine öffentliche Marketing-Landingpage ist das meist unkritisch. Sobald aber interne Seiten, Kundendaten oder ein Staging-System im Spiel sind, wird aus einer harmlosen Prüfung eine datenschutzrechtliche Frage.
Als Geschäftsführer habe ich diese Frage bei jedem Werkzeug im Blick, das wir intern einsetzen oder veröffentlichen. Beim Seitenprüfer haben wir uns bewusst für einen anderen Weg entschieden: Die Analyse läuft vollständig in Deinem Browser, der Quelltext verlässt Dein Gerät nicht. In diesem Ratgeber erkläre ich, warum dieser Unterschied datenschutzrechtlich so viel ausmacht, welche DSGVO-Artikel überhaupt greifen und wie Du selbst prüfst, was ein Tool mit Deinen Daten tut.
Was mit Deinen Daten bei einem Server-Tool passiert
Die meisten bekannten SEO-Checker funktionieren nach demselben Muster. Du gibst eine URL ein, das Tool ruft die Seite auf seinem eigenen Server ab, zerlegt den HTML-Code und liefert Dir eine Auswertung zurück. Bei anderen Tools fügst Du den Quelltext direkt ein, doch auch dann wandert dieser Text zunächst zum Server, wird dort verarbeitet und teils in Logs oder Datenbanken abgelegt.
Das Problem liegt darin, was in einem HTML-Quelltext alles stecken kann. Viel mehr als der sichtbare Text auf der Seite:
- Interne Pfade und Dateinamen, die Rückschlüsse auf die Systemstruktur erlauben
- HTML-Kommentare, in denen Entwickler Notizen, Namen oder Hinweise hinterlassen
- Namen und Kontaktdaten, etwa in eingebetteten Signaturen oder Autorenangaben
- Eingebettete Daten, zum Beispiel JSON-Blöcke mit personenbezogenen Informationen
- Staging- und Test-URLs, die nicht für die Öffentlichkeit bestimmt sind
Sobald personenbezogene Daten in diesem Quelltext auftauchen und Du ihn an einen fremden Dienst weitergibst, findet eine Verarbeitung im Sinne der DSGVO statt. Das ist nicht automatisch verboten, aber es ist auch nicht folgenlos. Es bringt Pflichten mit sich, die Du kennen und erfüllen musst.
Warum URL-Checker technisch überhaupt einen Server brauchen
An dieser Stelle taucht oft eine berechtigte Frage auf: Wenn die Analyse im Browser laufen kann, warum nutzen dann so viele Tools trotzdem einen Server? Die Antwort liegt in einem Sicherheitsmechanismus, den jeder Browser eingebaut hat, der Same-Origin-Policy.
Diese Regel verbietet einer Webseite, im Hintergrund beliebige fremde Seiten abzurufen und deren Inhalt auszulesen. Ein Skript, das auf Domain A läuft, darf nicht einfach den Inhalt von Domain B einlesen, es sei denn, Domain B erlaubt das ausdrücklich über sogenannte CORS-Header (Cross-Origin Resource Sharing). Die allermeisten Websites setzen diese Erlaubnis nicht, und das ist auch gut so, denn sie schützt Nutzer vor dem heimlichen Abgreifen von Daten.
Für ein SEO-Tool bedeutet das: Ein reiner Browser-Client kann fremde URLs technisch gar nicht direkt abrufen. Deshalb brauchen URL-Checker einen Server als Vermittler. Der Server unterliegt der Same-Origin-Policy nicht und holt die Seite stellvertretend. Genau dieser Umweg ist der Punkt, an dem Deine Daten Dein Gerät verlassen.
Der Seitenprüfer umgeht dieses Problem, indem er gar keine URL abruft. Du kopierst den Quelltext selbst und fügst ihn ein. Damit entfällt der Grund für einen Server vollständig, und die Analyse kann direkt im Browser stattfinden.
Die DSGVO-Bezüge im Überblick
Um einzuordnen, welche Pflichten bei einem Server-Tool entstehen, lohnt ein Blick auf die relevanten Artikel der Datenschutz-Grundverordnung. Ich fasse sie bewusst nüchtern zusammen, ohne Panikmache.
Rechtsgrundlage (Art. 6 Abs. 1 DSGVO). Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage, etwa Deine Einwilligung, die Erfüllung eines Vertrags oder ein berechtigtes Interesse. Gibst Du Quelltext mit personenbezogenen Daten an ein Server-Tool, muss für diese Verarbeitung eine solche Grundlage bestehen.
Sicherheit der Verarbeitung (Art. 32 DSGVO). Wer Daten verarbeitet, muss angemessene technische und organisatorische Maßnahmen treffen, damit sie geschützt sind, etwa durch Verschlüsselung und Zugriffsbeschränkung. Bei einem fremden Server kannst Du diese Maßnahmen nicht selbst kontrollieren, sondern musst dem Anbieter vertrauen.
Auftragsverarbeitung (Art. 28 DSGVO). Verarbeitet ein Dienstleister Daten in Deinem Auftrag, brauchst Du in der Regel einen Auftragsverarbeitungsvertrag mit ihm. Das ist genau der Punkt, an dem ein lokal arbeitendes Tool die Sache stark vereinfacht: Wenn die Daten Dein Gerät nie verlassen, gibt es keinen Auftragsverarbeiter, und dieser Vertrag ist schlicht nicht nötig.
Privacy by Design (Art. 25 DSGVO). Die DSGVO verlangt, Datenschutz von vornherein in die Technik einzubauen, statt ihn nachträglich aufzusetzen. Ein Tool, das gar keine Daten erhebt, weil es lokal rechnet, ist die reinste Form dieses Prinzips. Datensparsamkeit lässt sich kaum konsequenter umsetzen als dadurch, dass gar keine Daten übertragen werden.
Server-Tool und Browser-Tool im direkten Vergleich
Die folgende Tabelle stellt beide Ansätze gegenüber. Sie zeigt, warum die lokale Verarbeitung die Compliance-Frage entschärft, statt sie nur zu verlagern.
| Aspekt | Server-basiertes SEO-Tool | Browser-only-Tool (seitenpruefer.de) |
|---|---|---|
| Ort der Verarbeitung | Fremder Server | Dein Browser (lokal) |
| Daten verlassen das Gerät | Ja | Nein |
| Mögliche Drittland-Übermittlung | Möglich | Ausgeschlossen |
| Auftragsverarbeitung (Art. 28) | Meist erforderlich | Entfällt |
| Speicherung / Logs des Inhalts | Möglich | Nein |
| Kontrolle über die Daten | Beim Anbieter | Bei Dir |
| URL-Abruf möglich | Ja (Server umgeht CORS) | Nein (Du fügst Quelltext ein) |
Der entscheidende Unterschied steht in der zweiten Zeile. Wenn Daten das Gerät nicht verlassen, entfallen die meisten Folgefragen von selbst. Es gibt keinen Auftragsverarbeiter, keine Drittland-Übermittlung und keine fremde Speicherung, weil es schlicht keine Übertragung gibt. Der Seitenprüfer nutzt dafür den DOMParser, der in jedem modernen Browser eingebaut ist, und zerlegt den eingefügten Quelltext direkt vor Ort.
Wie Du selbst prüfst, was ein Tool tut
Du musst einem Anbieter nicht blind glauben. Jeder Browser bringt ein Werkzeug mit, mit dem Du den Datenfluss selbst kontrollieren kannst, die Entwicklerwerkzeuge.
Öffne sie mit der Taste F12 und wechsle in den Netzwerk-Tab (Network). Nutze dann das Tool, das Du prüfen willst, also füge Quelltext ein oder starte die Analyse. Beobachte, ob im Netzwerk-Tab neue Anfragen an einen Server auftauchen, während die Prüfung läuft.
- Bleibt der Netzwerk-Tab still, sobald Du die Analyse anstößt, spricht das dafür, dass die Verarbeitung lokal geschieht. Genau das siehst Du beim Seitenprüfer: Nach dem Laden der Seite und dem Einfügen des Quelltextes wird für die eigentliche Analyse keine weitere Anfrage an einen Server gesendet.
- Erscheinen neue Anfragen mit Deinem Inhalt im Datenkörper (Payload), verlässt der Quelltext Dein Gerät. Das ist der typische Fingerabdruck eines Server-Tools.
Diese Prüfung dauert keine Minute und gibt Dir Gewissheit statt Marketingversprechen. Ich halte sie für den ehrlichsten Test überhaupt, weil sie unabhängig von jeder Datenschutzerklärung zeigt, was tatsächlich passiert.
Praktische Empfehlungen für den Alltag
Aus der Compliance-Perspektive ergibt sich eine einfache Faustregel, die ich unseren eigenen Teams mitgebe.
- Öffentliche Marketingseiten darfst Du bedenkenlos mit fast jedem Tool prüfen. Was ohnehin für jeden im Netz sichtbar ist, wirft kaum Datenschutzfragen auf.
- Interne Seiten, Kundenbereiche und Staging-Systeme solltest Du bevorzugt mit lokalen Tools analysieren. Hier ist der Quelltext oft vertraulich, und ein Browser-only-Werkzeug hält ihn zuverlässig auf Deinem Gerät.
- Im Zweifel den Netzwerk-Tab öffnen und selbst nachsehen, bevor Du sensiblen Quelltext irgendwo einfügst.
Wie wir diese Haltung methodisch über alle unsere Werkzeuge hinweg umsetzen, beschreibe ich im Ratgeber zur AKARA-Toolsite-Methodik. Der Grundgedanke ist immer derselbe: so wenig Daten wie möglich, so lokal wie machbar.
Ehrliche Einordnung: was auch bei lokaler Verarbeitung bleibt
Ich will hier nicht mehr versprechen, als der Ansatz hält. Die reine Analyse Deines Quelltextes findet beim Seitenprüfer lokal statt, das stimmt. Damit die Seite aber überhaupt in Deinem Browser landet, muss Dein Gerät sie einmal von unserem Webserver abrufen, wie bei jeder Website. Dabei entstehen technisch bedingt Server-Logs, die typischerweise die IP-Adresse und den Zeitpunkt des Zugriffs enthalten.
Dieser Vorgang ist strikt getrennt von der Tool-Verarbeitung. Das Ausliefern der Seite ist ein normaler Webzugriff, wie ihn jede Seite erzeugt, die Du aufrufst. Der eingefügte Quelltext ist davon nicht berührt, er bleibt in Deinem Browser. Was genau beim Seitenaufruf protokolliert wird und wie lange, kannst Du in unserer Datenschutzerklärung nachlesen. Transparenz an dieser Stelle gehört für mich zur Ehrlichkeit dazu, denn ein Tool, das mit Datenschutz wirbt, sollte auch die eine verbleibende Verarbeitung offen benennen.
Unter dem Strich vereinfacht die lokale Analyse die Compliance-Frage erheblich. Sie beseitigt den Auftragsverarbeiter, die Drittland-Frage und die fremde Speicherung Deines Inhalts. Für alles, was intern oder vertraulich ist, ist das ein handfester Vorteil, und genau deshalb haben wir den Seitenprüfer so gebaut.
Quellen
- https://dsgvo-gesetz.de/art-32-dsgvo/
- https://dsgvo-gesetz.de/art-28-dsgvo/
- https://developer.mozilla.org/de/docs/Web/HTTP/CORS
Korrekturen oder bessere Quellen? Schreib an info@akara-solutions.de. Änderungen landen mit Datum auf /korrekturen.
