DSGVO Leitfaden
Wie Sie Ihre Website datenschutzkonform gestalten
Die Google Fonts Abmahnwelle vom Spätsommer '22 im Zusammenhang mit der nicht datenschutzkonformen Verwendung von Google Fonts in Websites hat das Thema DSGVO im Web aus einem längeren Dornröschenschlaf geweckt. Zwar ist die erwähnte Abmahnwelle nach hinten losgegangen, und der Anwalt wird nun seinerseits geklagt, dennoch sollte man das Thema Datenschutz als Website-Betreiber nicht zu sehr auf die leichte Schulter nehmen. Klar ist: Es gibt gesetzliche Datenschutzregeln wie die DSGVO, und für deren Einhaltung ist der Website Betreiber verantwortlich - und nicht etwa die Web-Agentur.
Aufklärung, Beratung, Umsetzungskompetenz
Wozu wir uns als Webagentur in Sachen DSGVO verpflichtet sehen
Auch wenn wir als Webagentur nicht verantwortlich im Sinne der DSGVO sind, und auch keinen Rechtsanwalt ersetzen können, lassen wir Kunden mit der komplexen Datenschutz-Thematik natürlich nicht im Regen stehen. Unsere Aufgabe als Web-Agentur sehen wir im Bereich der Beratung, Aufklärung und Schulung, sowie in der Umsetzungskompetenz zur Herstellung einer möglichst DSGVO konformen Website - soweit es eben auch in unserem Einflussbereich liegt. Die Grenzen unseres Wirkungsbereichs als Webagentur sollten jedoch von vornherein bewusst sein:
Abgrenzung
Warum wir keine DSGVO Garantie abgeben können
- Der Zustand "DSGVO konform" ist immer eine Punktbetrachtung
- Er kann jederzeit abhanden kommen, wenn unterschiedliche Akteure an einem Webauftritt arbeiten und Änderungen vornehmen, welche einen neuen Verstoß gegen Datenschutzregeln darstellen (Beispiel: Die Verwendung zusätzlicher Google Fonts, konfiguriert durch Redakteure im CMS wie Wordpress, was die unerlaubte Übertragung der IP Adresse des Website-Besuchers auslöst).
- Durch das Fortschreiten der Rechtsprechung können neue Maßnahmen notwendig werden
- Wir sind zum Thema gut informiert, aber auch keine Rechstanwälte, die auf Datenschutz spezialisiert sind. Unsere DSGVO Checks können keine anwaltliche Prüfung ersetzen.
zur DSGVO konformen Website
1. DSGVO Check
First things first: Wissen, wo man steht
Um festzustellen, ob eine Website den Datenschutzvorgaben entspricht, bzw. zu analysieren wo es Probleme gibt, steht an erster Stelle immer ein DSGVO Website Check. Dieser wird je nach Anbieter preislich zwischen EUR 200.- und 500.- angesiedelt sein, abhängig auch vom Umfang und Komplexität der Website.
Ergebnis des Website Checks ist eine Liste an datenschutzrechtlichen Verstößen, die es zu beheben gilt - oder natürlich im besten Fall die Feststellung, dass die Website alle Vorgaben erfüllt. Meist wird ersteres der Fall sein, da ja meist der Verdacht der NIchterfüllung Anlass für einen DSGVO Check ist.
Identifikation einwilligungspflichtiger Dienste
Alle Cookies und externen Dienste, welche personenbezogene Daten abrufen und nicht für die Grundfunktionalität der Website selbst benötigt werden, erfordern die Einwilligung des Users. Häufig werden Cookies und andere Dienste für Statistik- oder Marketingzwecke in Websites eingebunden, welche unbedingt die Zustimmung des Users erfordern, um geladen werden zu dürfen und damit personenbezogene Daten abrufen zu dürfen. Darunter fällt z.B. der beliebte Webstatistik-Dienst Google Analytics, von dem der Website-User beim Benutzen der Website gar nicht sichtbar mitbekommt, dass der Dienst überhaupt im Einsatz ist.
Etwas weniger bekannt ist, dass auch durch die Einbettung sichtbarer Inhalte wie YouTube Videos oder dem Kartendienst Google Maps Cookies gesetzt und die IP-Adresse des Users an Google Server übertragen wird. Gleiches passiert bei der Verwendung der Google Fonts - Anlass zum jüngsten Abmahn-Weckruf aus dem DSGVO-Dornröschenschlaf, wie einleitend erwähnt.
2. Cookies zähmen leicht gemacht
Wem das alles jetzt schon zu kompliziert klingt: Der einfachste Weg zur DSGVO-konformen Website ist natürlich ganz grundsätzlich mal jener, einfach alle datenschutzrelevanten Dienste aus der Website auszubauen. Wo keine personenbezogenen Daten abgefragt werden, kann auch kein datenschutzrechtlicher Verstoß passieren. Das ist aber nur für jene Website-Betreiber eine gangbare Lösung, die den Online Auftritt eher als "digitale Visitenkarte" denn als Marketing-Instrument sehen.
Viele andere werden - auch wenn im Sinne der "Datensparsamkeit" sehr bewusst mit personenbezogenen Daten umgegangen wird, weiter mit einwilligungspflichtigen Cookies zurecht kommen müssen. Und spätestens dann wird die Verwendung eines Cookie Consent Tools notwendig.
Wie der Name schon sagt, geht es dabei um Dienste, welche die Einwilligung der User zu den auf der Website verwendeten Cookies verwalten. Unter zahlreichen am Markt verfügbaren Cookie Consent Tools haben wir uns für den vorwiegenden Einsatz von Cookiebot von Usercentric entschieden, können aber auf Kundenwunsch (mit etwas mehr Einarbeitungszeit) auch jedes andere Tool implementieren, wenn dies erwünscht ist.
3. TYPO3 DSGVO Plugin mit Content Wrapper
Management einwilligungspflichtiger sichtbarer Inhalte
Da es nicht nur um Cookies, sondern auch um die Zustimmung zu anderen externen Diensten geht, ist selbst das Setup eines Cookie Consent Tools auch oft nicht ausreichend. Cookie Consent Tools zähmen Cookies, aber eben keine anderen Dienste - außer, man programmiert das dazu:
Mit unserer TYPO3 DSGVO Extension lassen sich in Kombination mit Cookiebot auch User Consents zu Diensten wie YouTube Videos, Google Maps, Social Walls, Widgets und externen Inhalten aller Art abbilden:
- Klickt der User in Cookiebot auf "Alle zulassen", so werden auch die externen Inhalte, die im TYPO3 Backend als "DSGVO-kritisch" markiert sind, automatisch geladen.
- Stimmt der User dem automatischen Laden aller externen Inhalte NICHT zu, so wird der betreffende Content auf der Website auch nicht geladen bzw. angezeigt. Stattdessen wird z.B. nur eine graue Fläche mit einem Hinweistext ausgegeben, der User muss das Laden des Inhalts dann "an Ort und Stelle" mittels Button bestätigen.
Gesteuert werden die einwilligungspflichtigen Elemente über "Consent Wrapper" Elemente im TYPO3 Backend - sprich: die betreffenden Content Elemente werden quasi per Mauscklick als datenschutzrelevant markiert, und verhalten sich dann DSGVO-konform, wie oben beschrieben.
4. Think Twice
Weniger ist Mehr - über die Einsicht, Dinge wegzulassen
Dinge wegzulassen, die Sie vielleicht gar nicht benötigen, macht Ihnen das Leben mit DSGVO und Datenschutz auf jeden Fall leichter. Hinterfragen Sie bewusst, welche und wie umfangreich Sie personenbezogene Daten Ihrer Website Besucher tatsächlich sammeln möchten. Und wen oder was man damit tatsächlich fördert und voran bringt. Kostenlose Dienste sind eben nur scheinbar kostenlos - wir bezahlen Google Analytics, YouTube, Google Maps & Co. mit unseren Daten.
Vielleicht braucht es den einen oder anderen Dienst aber gar nicht auf der Website? Vielleicht ist der Dienst durch weniger "datensammelwütige" Alternativanbieter ersetzbar? Vielleicht reicht auch eine externe Verlinkung, um die direkte Einbettung externer Inhalte in die Website zu vermeiden.
Exkurs
Erwähnenswert finden wir, dass unsere TYPO3 Social Wall komplett datenschutzkonform ist.
Viele Social Wall Dienste halten einem DSGVO Check ganz einfach nicht stand.
Unsere selbst entwickelte TYPO3 Extension hält hingegen alle datenschutzrechtlichen Regeln ein und kann Facebook, Instagram, YouTube und Blog Beiträge ausgeben.
Fragen Sie uns gern nach unserer Social Wall Lösung!
5. Last not Least: Die Datenschutzerklärung
Bitte vergessen Sie nicht, Ihre Datenschutzerklärung sorgfältig zu erstellen und laufend aktuell zu halten. Diese beinhaltet eine vollständige Übersicht darüber, welche personenbezogenen Daten in welcher Form abgefragt, gespeichert, verarbeitet oder zu Dritten übertragen werden. Die Prüfung der Datenschutzerklärung sollte jedenfalls immer auch Bestandteil eines DSGVO Checks sein.
Wir unterstützen Website-Kunden einerseits mit Muster-Datenschutzerklärungen, andererseits übernehmen wir auch das individuelle Setup der Datenschutzerklärung mit allen relevanten Inhalten, soweit sie uns vorliegen und eruierbar sind (bei Drittanbietern manchmal nur lückenhaft erfassbar).
Tipps & Workarounds
Quick Fixes für häufige Anwendungsfälle
Web Fonts
Lösung: Webfonts lokal einbinden, sofern das der jeweilige Fontanbieter unterstützt (das ist der Fall bei Google Fonts, Fonts.com, Myfonts.com; unseres Wissens nicht möglich bei Adobe Fonts). Wenn der Fontanbieter die lokale Einbindung nicht unterstützt: Ggf. den Font-Anbieter wechseln und die Schriftart im Idealfall durch die gleiche oder eine sehr ähnliche Schrift ersetzen.
Google Analytics
Lösungen:
- Vor dem Laden von Google Analytics die Zustimmung des Users einholen, sprich: auf der Website eine Consent Lösung umsetzen.
- Eine von vornherein DSGVO konforme Alternative umsetzen, z.B. Matomo statt Google Analytics einsetzen. Wenn richtig konfiguriert, kann Matomo ohne Einwilligung des Users ausgeführt werden. Für diese Lösung spricht, dass man mit Matomo tendentiell mehr Trackingdaten als mit einer DSGVO-konformen Google Analytics Einbindung sammeln kann, da eben keine Zustimmung notwendig ist. Eine Optout-Möglichkeit muss auch bei Matomo in der Datenschutzerklärung möglich sein.
- Natürlich ist auch die komplette Entfernung von Google Analytics eine Möglichkeit, das Problem zu beheben. In vielen Fällen werden Daten gesammelt, ohne dass irgendwer (außer Google) diese auswertet und sinnvoll verarbeitet.
Google Maps
Lösung:
- Openstreetmap ist eine gute Open Source Alternative zu Google Maps, die in Websites direkt eingebaut werden kann. Auf Google Maps lässt sich außerdem wunderbar extern verlinken. Wir empfehlen als Google Maps Ersatz daher die Kombination aus der Kartendarstellung mittels Openstreemap und der externen Verlinkung auf Google Maps, wie z.B. hier:
Hotel Solaria, Ischgl - Weiters ist möglich, dass Google Maps im Web CMS in einen "Consent Wrapper" gepackt wird - und der User direkt an Ort und Stelle dem Laden des externen Contents zustimmen muss, bevor dieser geladen und sichtbar wird. Diese Lösung ist etwa hier im Einsatz (nur nachvollziehbar, wenn man in der Cookie Abfrage nicht alle Cookies akzeptiert):
Hotel Ludinmühle, Schwarzwald
Videos (YouTube, Vimeo, ...)
Lösungen:
- Videos nicht direkt einbetten, sondern extern verlinken, ODER
- die externen Video-Inhalte mittels Consent Wrapper verpacken und die Verwaltung mit dem Cookie Consent Tool verknüpfen.
Recaptcha
Lösung: Hier bleibt nur der Ausbau des Dienstes, da die Nutzung von Recaptcha nicht DSGVO-konform möglich ist. Als Alternative kann eine Honeypot Lösung zur Absicherung von Online Formularen verwendet werden.
Website Check
Wenn Sie unsicher sind, ob Ihre Website Datenschutz-konform ist, können wir diese gerne für Sie prüfen. Die Umsetzung erforderlicher Maßnahmen erfolgt jeweils durch die Webagentur.