DSGVO Leitfaden

Wie Sie Ihre Website datenschutzkonform gestalten

Die Google Fonts Abmahnwelle vom Spätsommer '22 im Zusammenhang mit der nicht datenschutzkonformen Verwendung von Google Fonts in Websites hat das Thema DSGVO im Web aus einem längeren Dornröschenschlaf geweckt. Zwar ist die erwähnte Abmahnwelle nach hinten losgegangen, und der Anwalt wird nun seinerseits geklagt, dennoch sollte man das Thema Datenschutz als Website-Betreiber nicht zu sehr auf die leichte Schulter nehmen. Klar ist: Es gibt gesetzliche Datenschutzregeln wie die DSGVO, und für deren Einhaltung ist der Website Betreiber verantwortlich - und nicht etwa die Web-Agentur.

Aufklärung, Beratung, Umsetzungskompetenz

Wozu wir uns als Webagentur in Sachen DSGVO verpflichtet sehen

Auch wenn wir als Webagentur nicht verantwortlich im Sinne der DSGVO sind, und auch keinen Rechtsanwalt ersetzen können, lassen wir Kunden mit der komplexen Datenschutz-Thematik natürlich nicht im Regen stehen. Unsere Aufgabe als Web-Agentur sehen wir im Bereich der Beratung, Aufklärung und Schulung, sowie in der Umsetzungskompetenz zur Herstellung einer möglichst DSGVO konformen Website - soweit es eben auch in unserem Einflussbereich liegt. Die Grenzen unseres Wirkungsbereichs als Webagentur sollten jedoch von vornherein bewusst sein:

Abgrenzung

Warum wir keine DSGVO Garantie abgeben können

  • Der Zustand "DSGVO konform" ist immer eine Punktbetrachtung
  • Er kann jederzeit abhanden kommen, wenn unterschiedliche Akteure an einem Webauftritt arbeiten und Änderungen vornehmen, welche einen neuen Verstoß gegen Datenschutzregeln darstellen (Beispiel: Die Verwendung zusätzlicher Google Fonts, konfiguriert durch Redakteure im CMS wie Wordpress, was die unerlaubte Übertragung der IP Adresse des Website-Besuchers auslöst).
  • Durch das Fortschreiten der Rechtsprechung können neue Maßnahmen notwendig werden
  • Wir sind zum Thema gut informiert, aber auch keine Rechstanwälte, die auf Datenschutz spezialisiert sind. Unsere DSGVO Checks können keine anwaltliche Prüfung ersetzen.

 

5 Schritte

zur DSGVO konformen Website

1. DSGVO Check

First things first: Wissen, wo man steht

Um festzustellen, ob eine Website den Datenschutzvorgaben entspricht, bzw. zu analysieren wo es Probleme gibt, steht an erster Stelle immer ein DSGVO Website Check. Dieser wird je nach Anbieter preislich zwischen EUR 200.- und 500.- angesiedelt sein, abhängig auch vom Umfang und Komplexität der Website.
Ergebnis des Website Checks ist eine Liste an datenschutzrechtlichen Verstößen, die es zu beheben gilt - oder natürlich im besten Fall die Feststellung, dass die Website alle Vorgaben erfüllt. Meist wird ersteres der Fall sein, da ja meist der Verdacht der NIchterfüllung Anlass für einen DSGVO Check ist.

 

Identifikation einwilligungspflichtiger Dienste

Alle Cookies und externen Dienste, welche personenbezogene Daten abrufen und nicht für die Grundfunktionalität der Website selbst benötigt werden, erfordern die Einwilligung des Users. Häufig werden Cookies und andere Dienste für Statistik- oder Marketingzwecke in Websites eingebunden, welche unbedingt die Zustimmung des Users erfordern, um geladen werden zu dürfen und damit personenbezogene Daten abrufen zu dürfen. Darunter fällt z.B. der beliebte Webstatistik-Dienst Google Analytics, von dem der Website-User beim Benutzen der Website gar nicht sichtbar mitbekommt, dass der Dienst überhaupt im Einsatz ist.

Etwas weniger bekannt ist, dass auch durch die Einbettung sichtbarer Inhalte wie YouTube Videos oder dem Kartendienst Google Maps Cookies gesetzt und die IP-Adresse des Users an Google Server übertragen wird. Gleiches passiert bei der Verwendung der Google Fonts - Anlass zum jüngsten Abmahn-Weckruf aus dem DSGVO-Dornröschenschlaf, wie einleitend erwähnt.

 

2. Cookies zähmen leicht gemacht

Wem das alles jetzt schon zu kompliziert klingt: Der einfachste Weg zur DSGVO-konformen Website ist natürlich ganz grundsätzlich mal jener, einfach alle datenschutzrelevanten Dienste aus der Website auszubauen. Wo keine personenbezogenen Daten abgefragt werden, kann auch kein datenschutzrechtlicher Verstoß passieren. Das ist aber nur für jene Website-Betreiber eine gangbare Lösung, die den Online Auftritt eher als "digitale Visitenkarte" denn als Marketing-Instrument sehen.

Viele andere werden - auch wenn im Sinne der "Datensparsamkeit" sehr bewusst mit personenbezogenen Daten umgegangen wird, weiter mit einwilligungspflichtigen Cookies zurecht kommen müssen. Und spätestens dann wird die Verwendung eines Cookie Consent Tools notwendig.

Wie der Name schon sagt, geht es dabei um Dienste, welche die Einwilligung der User zu den auf der Website verwendeten Cookies verwalten. Unter zahlreichen am Markt verfügbaren Cookie Consent Tools haben wir uns für den vorwiegenden Einsatz von Cookiebot von Usercentric entschieden, können aber auf Kundenwunsch (mit etwas mehr Einarbeitungszeit) auch jedes andere Tool implementieren, wenn dies erwünscht ist.

 

Wie sich der Einsatz von Cookie Consent Tools auf Zugriffs-Statistiken auswirkt

Ja, ich will!
Die meisten User werden der Verwendung von Cookies zustimmen, so zeigt die Erfahrung. Man kann als groben "Daumen mal Pi Wert" annehmen, dass ca. 2/3 der User der Verwendung von Cookies zustimmen (was im Einzelfall auch stark abweichen kann). Die Zustimmung lässt sich unterstützen, indem man die Abfrage charmant formuliert und erklärt, dass man - sinngemäß - nichts Böses mit den Daten vor hat. Oftmals ist auch die Option "Alle zulassen" farblich hervorgehoben, aber Achtung: das fällt - wenn auch häufig praktiziert - unter "Nudging".
Nein, ich will nicht!
Seien Sie sich bewusst, dass nicht alle User der Verwendung von Cookies zustimmen werden. Einige werden auf die Option "Ablehnen" klicken, wenige werden eine differenzierte Einstellung vornehmen. Was bedeutet, dass diese User nicht mehr zählbar sind und ihr Surfverhalten nicht mehr analysierbar ist.
Weniger gezählte User ≠ weniger Traffic
Der Einsatz des Cookie Consent Tools wird sich in Ihrem Webstatistik Tool wie Google Analytics niederschlagen und in der Kurve einen Knick nach unten auslösen. Was nach einem Rückgang der Userzahlen aussieht, heißt in diesem Fall nur, dass weniger User gezählt werden.
Tipp: Legen Sie im Webstatistik Tool einen zeitlich zuordenbaren Vermerk "Einführung Cookie Consent Tool" an - dann bleibt der vermeintliche Besucherrückgang auch später korrekt interpretierbar.
Weniger Daten, weniger personalisierte Werbung
Die Konsequenz von einem Weniger an Marketingdaten ist ganz klar ein Weniger an personalisierter Werbung. Das ist aus "gutem Grund" ja sozusagen auch Sinn der Übung: Mit Herstellung des rechtskonformen Zustands und dem Einholen der Einwilligung der User fällt man ja nicht um Marketingdaten um, sondern man stellt den vorgesehenen und rechtskonformen Zustand erst her. Letztlich hat man davor ungefragt zu viele Daten erhoben und eine Datenschutzverletzung begangen. Ab jetzt gehören Sie also zu den "Guten" :)
Es geht um mehr als Cookies
Ein weit verbreiteter Irrglaube: Mit Cookies sind alle Kekse gegessen. Leider falsch!
Auch andere externe Dienste verlangen die Einwilligung der User - denn auch das Laden dieser Dienste löst die Übertragung personenbezogener Daten aus. Dies betrifft beispielsweise das Laden von YouTube Videos oder die Einbindung von Google Maps.
Die gute Nachricht: Für TYPO3 Websites haben wir eine pragmatische Lösung im Zusammenspiel mit Cookiebot gefunden - bitte hier weiterlesen:

3. TYPO3 DSGVO Plugin mit Content Wrapper

Management einwilligungspflichtiger sichtbarer Inhalte

Da es nicht nur um Cookies, sondern auch um die Zustimmung zu anderen externen Diensten geht, ist selbst das Setup eines Cookie Consent Tools auch oft nicht ausreichend. Cookie Consent Tools zähmen Cookies, aber eben keine anderen Dienste - außer, man programmiert das dazu:

Mit unserer TYPO3 DSGVO Extension lassen sich in Kombination mit Cookiebot auch User Consents zu Diensten wie YouTube Videos, Google Maps, Social Walls, Widgets und externen Inhalten aller Art abbilden:

  • Klickt der User in Cookiebot auf "Alle zulassen", so werden auch die externen Inhalte, die im TYPO3 Backend als "DSGVO-kritisch" markiert sind, automatisch geladen.
  • Stimmt der User dem automatischen Laden aller externen Inhalte NICHT zu, so wird der betreffende Content auf der Website auch nicht geladen bzw. angezeigt. Stattdessen wird z.B. nur eine graue Fläche mit einem Hinweistext ausgegeben, der User muss das Laden des Inhalts dann "an Ort und Stelle" mittels Button bestätigen.

Gesteuert werden die einwilligungspflichtigen Elemente über "Consent Wrapper" Elemente im TYPO3 Backend - sprich: die betreffenden Content Elemente werden quasi per Mauscklick als datenschutzrelevant markiert, und verhalten sich dann DSGVO-konform, wie oben beschrieben.

4. Think Twice

Weniger ist Mehr - über die Einsicht, Dinge wegzulassen

Dinge wegzulassen, die Sie vielleicht gar nicht benötigen, macht Ihnen das Leben mit DSGVO und Datenschutz auf jeden Fall leichter. Hinterfragen Sie bewusst, welche und wie umfangreich Sie personenbezogene Daten Ihrer Website Besucher tatsächlich sammeln möchten. Und wen oder was man damit tatsächlich fördert und voran bringt. Kostenlose Dienste sind eben nur scheinbar kostenlos - wir bezahlen Google Analytics, YouTube, Google Maps & Co. mit unseren Daten.

Vielleicht braucht es den einen oder anderen Dienst aber gar nicht auf der Website? Vielleicht ist der Dienst durch weniger "datensammelwütige" Alternativanbieter ersetzbar? Vielleicht reicht auch eine externe Verlinkung, um die direkte Einbettung externer Inhalte in die Website zu vermeiden.

Exkurs

Erwähnenswert finden wir, dass unsere TYPO3 Social Wall komplett datenschutzkonform ist.

Viele Social Wall Dienste halten einem DSGVO Check ganz einfach nicht stand.
Unsere selbst entwickelte TYPO3 Extension hält hingegen alle datenschutzrechtlichen Regeln ein und kann Facebook, Instagram, YouTube und Blog Beiträge ausgeben.
Fragen Sie uns gern nach unserer Social Wall Lösung!

5. Last not Least: Die Datenschutzerklärung

Bitte vergessen Sie nicht, Ihre Datenschutzerklärung sorgfältig zu erstellen und laufend aktuell zu halten. Diese beinhaltet eine vollständige Übersicht darüber, welche personenbezogenen Daten in welcher Form abgefragt, gespeichert, verarbeitet oder zu Dritten übertragen werden. Die Prüfung der Datenschutzerklärung sollte jedenfalls immer auch Bestandteil eines DSGVO Checks sein.

Wir unterstützen Website-Kunden einerseits mit Muster-Datenschutzerklärungen, andererseits übernehmen wir auch das individuelle Setup der Datenschutzerklärung mit allen relevanten Inhalten, soweit sie uns vorliegen und eruierbar sind (bei Drittanbietern manchmal nur lückenhaft erfassbar).

Tipps & Workarounds

Quick Fixes für häufige Anwendungsfälle

Web Fonts

Problemstellung: Die in der Website verwendeten Schriftarten ("Web Fonts") werden von Servern außerhalb der EU geladen. Dazu wird die IP-Adresse des Users übertragen, was ohne Einwilligung des Users nicht DSGVO-konform ist.

Lösung: Webfonts lokal einbinden, sofern das der jeweilige Fontanbieter unterstützt (das ist der Fall bei Google Fonts, Fonts.com, Myfonts.com; unseres Wissens nicht möglich bei Adobe Fonts). Wenn der Fontanbieter die lokale Einbindung nicht unterstützt: Ggf. den Font-Anbieter wechseln und die Schriftart im Idealfall durch die gleiche oder eine sehr ähnliche Schrift ersetzen.

Google Analytics

Problemstellung: Google Analytics ist bekannt dafür, Nutzerdaten zu sammeln und an US-Server zu übertragen. Das ist ohne Einwilligung des Users nicht zulässig.

Lösungen:

  • Vor dem Laden von Google Analytics die Zustimmung des Users einholen, sprich: auf der Website eine Consent Lösung umsetzen.
  • Eine von vornherein DSGVO konforme Alternative umsetzen, z.B. Matomo statt Google Analytics einsetzen. Wenn richtig konfiguriert, kann Matomo ohne Einwilligung des Users ausgeführt werden. Für diese Lösung spricht, dass man mit Matomo tendentiell mehr Trackingdaten als mit einer DSGVO-konformen Google Analytics Einbindung sammeln kann, da eben keine Zustimmung notwendig ist. Eine Optout-Möglichkeit muss auch bei Matomo in der Datenschutzerklärung möglich sein.
  • Natürlich ist auch die komplette Entfernung von Google Analytics eine Möglichkeit, das Problem zu beheben. In vielen Fällen werden Daten gesammelt, ohne dass irgendwer (außer Google) diese auswertet und sinnvoll verarbeitet.

Google Maps

Jeder kennt Google Maps - den beliebten Kartendienst mit Routenplanerfunktion.
Problemstellung: Google Maps überträgt beim Laden personenbezogene Daten und ist damit einwilligungspflichtig.

Lösung:

  • Openstreetmap ist eine gute Open Source Alternative zu Google Maps, die in Websites direkt eingebaut werden kann. Auf Google Maps lässt sich außerdem wunderbar extern verlinken. Wir empfehlen als Google Maps Ersatz daher die Kombination aus der Kartendarstellung mittels Openstreemap und der externen Verlinkung auf Google Maps, wie z.B. hier:
    Hotel Solaria, Ischgl
  • Weiters ist möglich, dass Google Maps im Web CMS in einen "Consent Wrapper" gepackt wird - und der User direkt an Ort und Stelle dem Laden des externen Contents zustimmen muss, bevor dieser geladen und sichtbar wird. Diese Lösung ist etwa hier im Einsatz (nur nachvollziehbar, wenn man in der Cookie Abfrage nicht alle Cookies akzeptiert):
    Hotel Ludinmühle, Schwarzwald

Videos (YouTube, Vimeo, ...)

Problemstellung: Bei Videos von YouTube oder anderen Streaming Plattformen ist die Einbettung direkt in der Website ebenfalls mit einwilligungspflichtigen Cookies und Datenübertragungen verbunden.

Lösungen:

  • Videos nicht direkt einbetten, sondern extern verlinken, ODER
  • die externen Video-Inhalte mittels Consent Wrapper verpacken und die Verwaltung mit dem Cookie Consent Tool verknüpfen.

Recaptcha

Recaptcha ist ein beliebter Google Dienst, um Online Formulare gegen Spambot-Missbrauch zu schützen.
Problemstellung: Bei der Verwendung wird die IP-Adresse des Users übertragen.

Lösung: Hier bleibt nur der Ausbau des Dienstes, da die Nutzung von Recaptcha nicht DSGVO-konform möglich ist. Als Alternative kann eine Honeypot Lösung zur Absicherung von Online Formularen verwendet werden.

Website Check

Wenn Sie unsicher sind, ob Ihre Website Datenschutz-konform ist, können wir diese gerne für Sie prüfen. Die Umsetzung erforderlicher Maßnahmen erfolgt jeweils durch die Webagentur.

Schreiben Sie uns