Unsere Scan-Methodik & Rechtsgrundlage
Sitetals ist ein unabhängiges Compliance-Forschungsprojekt. Diese Seite erläutert in voller Transparenz, wie wir Compliance-Probleme aufdecken, warum wir Website-Betreiber kontaktieren und welcher rechtliche Rahmen unsere Kontaktaufnahme regelt.
Wer wir sind
Sitetals ist ein unabhängiges Sicherheits- und Compliance-Forschungsprojekt, keine Anwaltskanzlei und kein Dienstleister. Wir führen systematische technische Überprüfungen öffentlich zugänglicher Webseiten durch, um potenzielle Risiken im Hinblick auf die Einhaltung EU-rechtlicher Vorgaben (DSGVO, TDDDG, TMG) zu identifizieren, und melden unsere Erkenntnisse den Website-Betreibern nach Treu und Glauben gemäß den Grundsätzen der Responsible Disclosure.
Wir unterhalten keine geschäftliche Beziehung zu irgendeiner Aufsichtsbehörde (CNIL, den deutschen Datenschutzbehörden oder anderen) und sind in keiner Weise mit ihnen verbunden.
Unsere technische Methodik
Ausschließlich passive Erfassung
Alle Compliance-Prüfungen erfolgen ausschließlich über standardmäßige, nicht authentifizierte öffentliche HTTP(S)-GET-Anfragen — dieselbe Methode, die jeder gewöhnliche Webbrowser beim Besuch einer Website verwendet. Wir tun Folgendes nicht:
- authentifizierten Zugang, Anmeldedaten oder Session-Tokens verwenden
- Verzeichnis-Brute-Forcing oder Path-Fuzzing betreiben
- versuchen, Web Application Firewalls (WAFs) oder Rate Limits zu umgehen
- auf nicht öffentliche, passwortgeschützte oder Mitgliedern vorbehaltene Bereiche zugreifen
- Website-Inhalte oder personenbezogene Daten von Website-Besuchern speichern, indexieren oder aufbewahren
- Profile der von uns kontaktierten Betreiber erstellen, anreichern oder sie re-identifizieren
Die einzigen personenbezogenen Daten, die wir aus einem Scan aufbewahren, sind die öffentlich gelistete geschäftliche Kontakt-E-Mail-Adresse, die wir auf Grundlage unserer dokumentierten Abwägung des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) ausschließlich dazu verarbeiten, eine einzige Hinweis-E-Mail zu versenden und Opt-out-Anfragen nachzukommen.
Unser Scanner liest nur das, was jeder anonyme Besucher sehen kann. Technische Protokolle werden aufbewahrt, um im Falle einer behördlichen Anfrage den rechtmäßigen, passiven Zugriff nachweisen zu können.
Ermittlung der Kontakt-E-Mail-Adresse
Wir ermitteln Kontakt-E-Mail-Adressen ausschließlich aus:
- öffentlich gelisteten E-Mail-Adressen auf der Startseite, im Impressum, in den Mentions Légales oder auf der Kontaktseite der Website
- Dem
Contact:-Feld in einer/.well-known/security.txt-Datei (bevorzugt — gemäß RFC 9116 ist dies der vorgesehene Kanal für Responsible Disclosure)
Wir bevorzugen generische geschäftliche Adressen (info@, contact@, datenschutz@, security@). Wir kontaktieren keine auf eine namentlich genannte Person lautenden Adressen, es sei denn, sie sind ausdrücklich in einer security.txt-Datei aufgeführt.
Abwägung des berechtigten Interesses (LIA)
Hinweis für deutsche Websites: Die folgende Abwägung beschreibt die allgemeine Rechtsgrundlage unserer EU-weiten Methodik für Länder, in denen wir Hinweis-E-Mails versenden. Sie gilt nicht für deutsche (.de) Betreiber — für Deutschland führen wir ausschließlich den passiven Scan durch und nehmen zu keinem Zeitpunkt Kontakt per E-Mail auf.
Rechtsgrundlage für die Verarbeitung von Kontakt-E-Mail-Adressen: Art. 6 Abs. 1 lit. f DSGVO
Zweck: Benachrichtigung nach Treu und Glauben von Website-Betreibern über potenzielle Risiken im Hinblick auf die Einhaltung EU-rechtlicher Vorgaben, derer sie sich möglicherweise nicht bewusst sind.
Erforderlichkeit: Die Kontaktaufnahme per E-Mail ist der einzige praktikable Kanal, um Website-Betreiber zu erreichen, wenn kein anderer vorgesehener Meldemechanismus (wie etwa security.txt) existiert.
Abwägung: Der geringfügige Eingriff, eine einzige informative E-Mail zu erhalten, steht in einem angemessenen Verhältnis zum Nutzen, möglicherweise behördliche Sanktionen (einschließlich erheblicher Bußgelder nach der DSGVO) für das Unternehmen des Empfängers abzuwenden, und wird durch diesen Nutzen überwogen. Die E-Mail wird nur einmal versandt, ohne Nachfassen, ohne Tracking und mit einem sofortigen Opt-out-Mechanismus. Wir versenden keinerlei Kontaktaufnahme an deutsche (.de) Betreiber — für Deutschland gilt ausschließlich der Scan. Die Benachrichtigungen sind rein informativ und können einen optionalen Link zu einem kostenpflichtigen Analysebericht enthalten, den der Empfänger nach Belieben ignorieren kann.
Ein vollständiges, unterzeichnetes LIA-Dokument wird intern von Sitetals geführt und steht den Datenschutzbehörden auf Anfrage innerhalb von 14 Tagen zur Verfügung.
Unsere E-Mail-Richtlinie
Nur eine einzige E-Mail
Wir versenden genau eine Benachrichtigung pro Domain. Wir versenden niemals Erinnerungen oder Nachfassnachrichten und kontaktieren Betreiber, die nicht antworten, nicht erneut. Wenn sie nicht tätig werden, ist die Angelegenheit damit beendet.
Nur generische geschäftliche Adressen
Wir bevorzugen generische geschäftliche Adressen (info@, contact@, datenschutz@, security@, usw.) und schließen Adressen aus, die auf eine namentlich genannte Person lauten. Wir kontaktieren keine auf eine namentlich genannte Person lautenden E-Mail-Adressen, es sei denn, sie sind ausdrücklich als Meldekontakt in einer security.txt-Datei veröffentlicht.
Kein Tracking
Unsere Kontakt-E-Mails enthalten keine Tracking-Pixel zur Öffnungsmessung, keine Link-Klick-Tracker und keine Lesebestätigungen. Wir wissen bewusst nicht, ob unsere E-Mails geöffnet werden — das ist beabsichtigt und kein Versehen.
Sofortiges Opt-out
Jede Antwort mit dem Betreff „Abmelden“ / „Désabonner“ / „Unsubscribe“ oder eine E-Mail an optout@compliance.sitetals.com führt zur dauerhaften Entfernung von allen Kontaktlisten. Keine Bestätigung erforderlich. Keine Verzögerung. Die Adresse wird sofort gesperrt und nie wieder kontaktiert.
Deutschland: nur Scan — keine Outreach-E-Mails
Methodik (Deutsch)
Sitetals ist ein unabhängiges Sicherheits- und Compliance-Forschungsprojekt. Wir führen ausschließlich passive technische Überprüfungen öffentlich zugänglicher Webseiten durch (Standard-HTTP(S)-GET-Anfragen, ohne Authentifizierung) — identisch mit dem Vorgehen eines normalen Websitebesuchers.
Kein Outreach in Deutschland
Für deutsche Websites bieten wir ausschließlich den Scan an — wir versenden keinerlei Benachrichtigungs- oder Outreach-E-Mails an deutsche Betreiber.
Fragen oder Bedenken?
Wenn Sie eine unserer Hinweis-E-Mails erhalten haben und Fragen zu unserer Methodik haben, von unseren Listen entfernt werden möchten oder der Ansicht sind, dass unsere Scan-Ergebnisse unzutreffend sind — kontaktieren Sie uns bitte direkt.
Kontaktieren Sie uns →