Inhaltsverzeichnis
Auf den Punkt gebracht: Webseiten-Analyse selber durchführen

- Identifizieren Sie alle Cookies / Plugins und sonstigen Add-ons Ihrer Webseite. Verwenden Sie dazu Onlinedienste oder Browser-Add-ons.
- Analysieren Sie die Ergebnisse auf Datenschutzrelevanz. Werden Cookies gesetzt oder personenbezogene Daten übertragen?
- Prüfen Sie Ihre Webseite inhaltlich. Haben Sie Formulare eingebunden? Gibt es andere Möglichkeiten der Interaktion mit den Webseitenbesuchern?
- Erstellen Sie eine Datenschutzerklärung, die alle identifizierten und analysierten Punkte enthält, die DSGVO relevant sind.
Ist Ihre Website DSGVO-konform?
Diese Frage stellen sich nach dem Inkrafttreten der DSGVO im Mai 2018 immer mehr Webseitenbetreiber. Zumal die Urteile des EuGHs vom 29. Juli 2019 (Einwilligung für Social-Media-Plugins) und 1. Oktober 2019 (Einwilligung für Cookies) die Betreiber nicht wirklich beruhigen. Eher wird die Panik noch größer.
Ein Webseitencheck ist mit Aufwand verbunden – und daher auch mit Kosten.
Wie Sie den Status Ihrer Webseite bezüglich Datenschutz selbst beurteilen können, zeigen wir Ihnen in diesem Beitrag.
Anmerkung: Wir geben uns die größte Mühe, immer auf dem aktuellen Stand zu sein. Trotzdem können wir an dieser Stelle keine Garantie geben. Es handelt sich hierbei auch um keine Rechtsberatung!
DSGVO Webseiten-Check selbst durchführen
Wir haben inzwischen viele Webseiten unserer Kunden geprüft. Unsere Vorgehensweise ist sehr detailliert und teilweise aufwändig.
Nachfolgend zeigen wir Ihnen, worauf es ankommt und welche Hilfsmittel Sie zur Analyse verwenden können. Wir nennen die Tools und Werkzeuge, mit denen wir arbeiten. Das heißt allerdings nicht, dass es keine vergleichbaren Anbieter gibt. Es geht uns hier nicht um Werbung für einzelne Dienste. Wir geben auch keine Bewertung oder erhalten Provision, wenn Sie einen der Dienste nutzen. Wir zeigen lediglich unsere Vorgehensweise zur konformen DSGVO Webseite.
Viele Wegen führen nach Rom. Und wir möchten nicht behaupten, dass wir den einzig möglichen Weg kennen.
Anbei finden Sie eine kompakte Checkliste, in der die genannten Punkte noch einmal kurz zusammen gefasst werden. Für unsere Kunden stellen wir eine ausführliche Vorlage für einen Webseitenbericht und die zu prüfenden Punkte zur Verfügung.
Wie können Sie den Stand der Anforderungen der DSGVO auf Ihrer Webseite selber prüfen?
Tools zum Prüfen der DSGVO-Anforderungen an Ihre Onlinepräsenz
Jetzt kommt Werbung! … allerdings unbezahlt 😉
- uMatrix Browserplugin
- Ghostery Browserplugin
- Webdienst dataskydd https://webbkoll.dataskydd.net/de/
- Cookie Checker von Cookiebot https://www.cookie-checker.com
Basis-Anforderungen für eine datenschutzkonforme Webseite
Verschlüsselte Übertragung
Eine HTTPS Verschlüsselung der Webseite sollte nicht diskutiert werden. Wie das Landgericht Würzburg in seinem Urteil mit dem Aktenzeichen
11 O 1741/18 bekannt gab, ist eine Verschlüsselung der Webseite als aktueller Stand der Technik anzusehen. Wir empfehlen eine Verschlüsselung der Webseite generell, auch wenn diese keine personenbezogenen Daten überträgt. Dabei ist es wichtig, dass die ganze Domain per Default HTTPS verwendet und nicht nur einzelne Seiten. Auch empfehlen wir, eine Weiterleitung zu konfigurieren. Diese sorgt dafür, dass Seitenbesucher, die nur HTTP eingeben, trotzdem an die verschlüsselte Seite unter HTTPS weitergeleitet werden.
Neben dem Sicherheitsaspekt kann sich eine Verschlüsselung der Seite auch in anderen Bereichen günstig auswirken. So bevorzugen einige Browser verschlüsselte Seiten. Und auch in Hinblick auf SEO ist davon auszugehen, dass verschlüsselte Seiten bei Google besser ranken.
Neben HTTPS sollten Sie auch prüfen, ob Ihre Seite auch das HSTS Verfahren umgesetzt hat. HSTS ist ein zusätzliches Sicherheitskriterium für die HTTPS Verbindungsverschlüsselung.
Eine Bewertung von HTTPS und HSTS erhalten Sie für Ihre Webseite über den Dienst dataskydd.
Referrer Richtlinie
Dataskydd liefert Ihnen ebenfalls Informationen darüber, ob Ihre Webseite beim Weiterleiten zu einer anderen Seite die Quelle (also Ihre eigene Seite) mitgibt. Sie leiten zum Beispiel auf unsere Seite weiter und geben die Referrer Informationen mit. Damit ist es für uns ersichtlich, dass der User von Ihrer Seite kam.
Dies kann nicht pauschal als negativ eingestuft werden. Manchmal kann es sinnvoll oder notwendig sein, diese Informationen mitzugeben. Prüfen Sie dies im Einzelfall für Ihre Webseite.
Sicherheitseinstellungen für Ihren Webserver
Über die Auswertung von Dataskydd erhalten Sie Informationen über den Sicherheitszustand Ihres Webservers. Dataskydd gibt einige Empfehlungen aus, die Sie prüfen können.
DSGVO-Check für installierte Plugins und Webseiten-Erweiterungen durchführen
- Öffnen Sie die zu prüfende Webseite im Browser, in dem Sie die Erweiterungen (z.B. uMatrix, Ghostery) installiert haben
- Stellen Sie sicher, dass uMatrix und ggf. weitere Ad-Blocker, die bei Ihnen laufen, nichts blockieren.
- Prüfen Sie Ihre Webseite mit dem Plugin oder dem Onlinedienst von BuiltWith.
- Erfassen Sie alle Plugins / Erweiterungen und sonstigen Installationen, die von uMatrix, Ghostery, BuiltWith oder anderen Diensten gemeldet werden.
- Wir empfehlen Ihnen, sich eine Tabelle anzulegen, die ähnlich der folgenden Tabelle aufgebaut ist
- Im ersten Schritt reicht es, wenn Sie nur die 1. und 2. Spalte ausfüllen (Name und Zweck). Wichtig ist es, den Zweck der Erweiterung so korrekt wie möglich zu beschreiben- also was genau das Plugin oder die Erweiterung macht.
Daraus leiten sich später die Vorgaben ab, ob Opt-in, Opt-out oder die Erwähnung in der Datenschutzerklärung überhaupt notwendig ist.
Wenn Sie Erweiterungen verwenden, deren Funktionalität nicht bekannt ist und der Hersteller auch keine Angaben macht, sollten Sie im Zweifelsfall lieber von deren Einsatz absehen.
Name der Installation Erweiterung | Zweck | Relevant für DSE | Opt-in nötig | Opt-out nötig | AV nötig |
CMS: WordPress (selbst gehostet) | Content Management System zur Verwaltung der Inhalte | ||||
Google Fonts | Schriftarten | ||||
Google Analytics | Erfassung der Besucherstatistik | ||||
… |
- Prüfen Sie Ihre Seite über den Dienst von Dataskydd: https://webbkoll.dataskydd.net/
- Ergänzen Sie fehlende Erweiterungen / Cookies / Plugins in der Tabelle
- Notieren Sie die weiteren Ergebnisse von Dataskydd in einem Bericht
Bewerten der Erweiterungen / Cookies / Plugins… bezüglich DSGVO und weiteren Datenschutz-Vorgaben
Im vorherigen Punkt haben Sie nun alles erfasst, was auf Ihrer Webseite installiert ist. Vielleicht sind ein paar Erweiterungen dabei, die Sie selbst überraschen. Vielleicht haben Sie gar nicht alles bewusst bzw. direkt installiert?
Jetzt kommt der schwierigere Teil des DSGVO Webseiten-Checks. Sie müssen Ihre Webseiten-Erweiterungen bezüglich des Datenschutzes bewerten. Muss das Cookie oder Plugin in der Datenschutzerklärung erwähnt werden? Ist für die Ausführung der Funktion ein Opt-in oder eine Opt-out- Möglichkeit für den Benutzer notwendig?
Wir versuchen Ihnen anhand der folgenden Fragen die Entscheidungsfindung etwas zu erleichtern.
Muss das Plugin / Cookie / die Erweiterung in der Datenschutzerklärung angegeben werden?
Diese Frage können Sie mit „Ja“ beantworten, wenn zum Beispiel einer der folgenden Punkte zutrifft:
- Personenbezogene Daten des Webseitenbesuchers werden erfasst und lokal gespeichert (keine Übermittlung zu einem Drittanbieter). Dazu gehört auch die IP-Adresse.
- Personenbezogene Daten (z.B. die IP-Adresse) werden an einen externen Dienst übermittelt, um bestimmte Funktionalitäten auf der Webseite ausführen zu können (egal, ob die Funktion zwingend für den Betrieb der Webseite ist oder nicht).
- Dazu gehören z.B. auch Web Fonts.
Nicht DSE relevant ist die Erweiterung, wenn keine personenbezogenen Daten zur Ausführung der Funktion verarbeitet werden. Das wäre zum Beispiel der Fall, wenn Sie zwar Webfonts, wie Google Fonts, nutzen, diese aber lokal installiert haben.
Ist ein Opt-in für die Ausführung des Cookies / Plugins / der Erweiterung der Webseite nötig?
Unter Opt-In bzw. Opt-Out versteht man, dass ein Benutzer die Möglichkeit hat, die Verarbeitung seiner personenbezogenen Daten zu unterbinden. Sie sind eines der wichtigsten Mittel, Ihre Webseite DSGVO konform zu gestalten. Die Datenschutzkonferenz hat in ihrer Orientierungshilfe für Anbieter von Telemedien die Unterscheidung von Opt-In und Opt-Out folgendermaßen definiert:
Der maßgebliche Unterschied zwischen einer Widerspruchslösung (Opt-Out) und einer Einwilligung (Opt-In) ist, dass im Falle einer Widerspruchslösung zunächst eine Datenverarbeitung stattfindet, die lediglich durch Erklärung eines Widerspruchs für die Zukunft untersagt werden kann. Anders liegt der Fall hingegen, wenn eine Einwilligung (Opt-In) erforderlich ist. Dann darf eine Datenverarbeitung nämlich erst stattfinden, nachdem eine wirksame Einwilligung vom Nutzer tatsächlich erteilt worden ist.
Orientierungshilfe für Anbieter von Telemedien (DSK)
Durch das Urteil vom 1. Oktober 2019 des EuGHs vereinfacht sich die Beantwortung der Frage – allerdings leider zum Nachteil von Seitenbetreiber und Seitenbesucher.
Die grundsätzliche Frage lautet: Ist die Erweiterung zwingend für die Funktion oder das Erscheinungsbild der Webseite?
Wenn Sie diese Frage mit „Ja“ beantworten können, müssen Sie kein Opt-in des Benutzers einholen.
Für alle anderen Fälle, wie z.B. für die Erfassung der Besucherstatistik, ist ein Opt-in nötig.
Wichtig! Das EuGH entschied im Oktober ebenfalls, dass auch die Vorauswahl nicht mehr erlaubt ist. Der Besucher muss die optionalen Cookies und sonstige Webseitenerweiterungen aktiv auswählen. Aktiv bedeutet in diesem Fall, ohne Vorauswahl der Checkbox.
Egal ob mit Einwilligung oder ohne. Informieren müssen Sie immer über die verwendeten Cookies in der Datenschutzerklärung oder über einen anderen Weg (z.B. direkt über den Cookie Banner).
Ist eine Opt-out-Möglichkeit für die Erfassung personenbezogener Daten über die Webseite nötig?
Inzwischen kann man Opt-in und Opt-out eigentlich gleichsetzen. Das heißt: Überall, wo die Möglichkeit für ein Opt-in gegeben ist, muss auch eine spätere Opt-out-Möglichkeit für den Benutzer gegeben sein.
Beispielsweise, wenn bestimmte Cookies, die der Benutzer blockiert hat, für das Abspielen eines Videos notwendig sind. Dafür empfehlen wir, dem Seitenbesucher einen Link in der Datenschutzerklärung bereitzustellen, der den Cookie-Hinweis erneut erscheinen lässt. Auch ein Hinweis auf die Datenschutzerklärung (mit Link) sollte in keinem Cookie-Hinweis fehlen.
Welche Anforderungen muss ein Cookie-Banner erfüllen?
Der Cookie-Hinweis bzw. Cookie-Banner darf die Links zu Datenschutzerklärung und Impressum nicht überdecken. Auch muss der Benutzer – wie oben erwähnt – die Möglichkeit haben, seine Einstellungen nachträglich zu ändern (Widerruf).
Wir empfehlen, ein Cookie-Banner zu wählen, das die verwendeten Cookies kategorisiert (z.B. notwendig für die Funktion, Statistik, Marketing, Personalisierung…).
Der Benutzer muss die Möglichkeit haben, aktiv und freiwillig auszuwählen, welche Cookies / Kategorien von Cookies er zulassen möchte, bevor Sie mit dem Tracking starten. Eine technisch einwandfreie Implementierung durch den Webseitenbetreiber ist natürlich vorausgesetzt.
Anlässlich des Safer Internet Days 2019 hat auch das Landesamt für den Datenschutz Bayern einige Cookie-Banner auf Webseiten unter die Lupe genommen. Ihrer Einschätzung nach kann mit vielen Cookie-Hinweisen, wie sie derzeit im Einsatz sind, ungewolltes Tracking nicht verhindert werden.
Update März 2022: FAQ zu Cookies & Tracking des LFDI Baden-Württemberg
Die Aufsichtsbehörde von Baden-Württemberg gibt zahlreiche Tipps und Erläuterungen in einem ausführlichen FAQ zum Thema Cookies und Tracking. Insbesondere zur Ausgestaltung von Cookie-Banner nimmt die Behörde folgende Stellung dazu:
Deutlich und verständlich: Klare, nicht irreführende Überschrift – bloße Respektbekundungen bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Weitergabe Ihrer Nutzerdaten an Dritte zur Ermittlung Ihrer Interessen“.
Zweck der Verarbeitung: Der Gegenstand der Einwilligung muss deutlich gemacht werden – klare Beantwortung der folgenden Fragen: Welche personenbezogenen Daten sind betroffen? Was passiert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die personenbezogenen Daten mit weiteren Daten verknüpft? Welchen Zwecken dient das?
Datenschutzfreundliche Voreinstellung: Die Einwilligung darf nicht voreingestellt sein – ein Opt-in ist notwendig.
Keine vorherigen (Dritt-)Verbindungen: Es dürfen keine Daten weitergegeben werden, bevor eine Einwilligung durch den Nutzenden erteilt wurde. Das bedeutet: Technisch muss sichergestellt sein, dass während der Einwilligungs-Banner angezeigt wird, keine weiterführenden (Tracking-)Skripte ausgeführt werden und/oder nicht notwendige Cookies im Browser abgelegt werden.
Keine Manipulation (Nudging): Nutzer_innen dürfen nicht unterschwellig zur Abgabe einer Einwilligung beeinflusst werden. Das ist beispielsweise dann der Fall, wenn Buttons/Schaltflächen durch eine farbliche Hervorhebung, Größe oder Position deutlich auffälliger gestaltet sind. Auf Nudging, also die Beeinflussung des Nutzenden, um sein/e Entscheidung zu manipulieren, soll verzichtet werden.
Einfach zugängliche Ablehnung: Bereits auf der ersten Ebene muss es möglich sein, dem Ablegen von Cookies bzw. dem Zugriff auf Informationen auf dem Endgerät zu widersprechen. Nicht Einwilligen muss genauso einfach sein wie Einwilligen. Zum Hintergrund: Oftmals ist die Verweigerung erst auf Ebene zwei (oder drei) bzw. über mehrere Klicks erreichbar. Wie auch bei der Einwilligung muss dem Nutzenden eine einfache Möglichkeit angeboten werden, der Verarbeitung seiner Daten zu widersprechen.
Erreichbarkeit Datenschutzerklärung / Impressum: Der Zugriff auf Impressum und Datenschutzhinweise darf nicht verhindert oder eingeschränkt werden, bevor eine Einwilligung durch den Nutzenden erteilt wurde.
Freiwilligkeit der Einwilligung: Die Freiwilligkeit der Einwilligungserklärung muss deutlich gemacht werden und ein Hinweis auf das Recht auf einen jederzeitigen Widerruf muss enthalten sein (Art. 7 Abs. 3 Satz 3 DS-GVO); beispielsweise „Diese Einwilligung ist freiwillig, sie stellt keine Bedingung für die Nutzung dieser Website dar und kann jederzeit widerrufen werden, indem […]“.
Widerrufsmöglichkeit: Wie der Widerruf zu erklären ist, ist in der Information zur Einwilligungserklärung klar und deutlich zu beschreiben. Die Erklärung des Widerrufs muss jederzeit so einfach sein wie die Einwilligungserklärung selbst (Art. 7 Abs. 3 Satz 4 DS-GVO).
FAQ zu Cookies und Tracking, Nr. 4.3; LfDI Baden-Württemberg, Stand: März 2022
Cookie-Richtlinie und e-Privacy-Verordnung
In Deutschland wurde die Cookie-Richtlinie bisher nicht umgesetzt, da die bisherige Regelung im Telemediengesetz, kurz TMG, als ausreichend angesehen wurde.
Darüber hinaus plant die EU die sogenannte e-Privacy-Verordnung. Auch die e-Privacy-Verordnung soll sich mit Cookies befassen. Sie wird, sobald sie in Kraft tritt, die Regelung aus dem TMG ablösen. Bis zum Inkrafttreten der e-Privacy-Verordnung wird es daher wohl noch einige Unklarheiten darüber geben, wie genau ein DSGVO konformer Cookie-Hinweis aussieht. Die Urteile des EuGH geben aber schon eine Richtung vor.
Handelt es sich beim Plugin-Anbieter um einen Auftragsverarbeiter?
Die Frage kann nicht generell mit einem Ja oder Nein beantwortet werden. Grundsätzlich muss man zwei Fälle unterscheiden:
- Der Anbieter erstellt die Software für die Webseitenerweiterung. Nach der Installation am eigenen Webserver oder im eigenen CMS werden die personenbezogenen Daten nur lokal am eigenen Server gespeichert. Es erfolgt keine Übertragung von Daten an den Hersteller der Software.
- Der Anbieter erstellt die Software bzw. stellt einen Webdienst zur Verfügung, der auf der eigenen Webseite eingebunden werden kann. Im Betrieb werden Daten des Webseitenbesuchers erfasst und zu den Servern des Anbieters übertragen.
Im ersten Fall kann man eine Auftragsverarbeitung ausschließen. Für Fall zwei muss dann genau geprüft werden, um welche Verarbeitung es sich handelt. Ist die Verarbeitung personenbezogener Daten die Kernaufgabe des Anbieters? Dann ist ein AV-Vertrag auf jeden Fall nötig.
Alle weiteren Möglichkeiten können wir an dieser Stelle nicht pauschal beantworten. Mehr Informationen zur Auftragsverarbeitung finden Sie im Blogartikel zur Auftragsverarbeitung.
Beispiele für Webseiten-Erweiterungen
Da das Thema doch sehr komplex ist, zeigen wir ein paar Beispiele aus unserer Webseite. Wir nutzen WordPress und haben verschiedene Plugins installiert. Folgende Tabelle zeigt einige Beispiele:
Name der Installation Erweiterung | Zweck | Relevant für DSE | Opt-in nötig | Opt-out nötig | AV nötig |
AMP | Optimierung der Seite für Mobilgeräte | Nein | Nein | Nein | Nein |
Google Fonts | Schriftarten | Ja | Ja | Nein | Nein |
Google Analytics | Erfassung der Besucherstatistik | Ja | Ja | Ja | Ja |
BackUpWordPress | Software zur automatischen Erstellung von Backups von WordPress | Nein | Nein | Nein | Nein |
Newsletter 2Go | Einbinden eines Anmeldeformulars für den Newsletter | Ja | Nein | Nein | Ja |
Update März 2022: Einsatz von Google Fonts nur mit Einwilligung zulässig
Beim Einsatz von Google Fonts wird die IP-Adresse an die Google Server übermittelt. Viele Webseitenbetreiber haben sich beim Einsatz von Google Fonts auf das berechtigte Interesse berufen.
Das Landgericht München hat jedoch entschieden, dass der Einsatz von Google Fonts ohne Zustimmung des Nutzers nicht erfolgen darf.
Auf Grund des Urteils zu Google Fonts empfehlen wir dringend
- Google Fonts lokal zu installieren oder eine
- Einwilligung (Opt-In) des Nutzers einzuholen.
Aus unserer Sicht lässt sich das Urteil auch auf weitere Schriftarten z.B. Adobe Fonts, Font Awesome etc. ableiten. Wir empfehlen auch für diese Anbieter die obigen Handlungen vorzunehmen.
Update August 2022: Abmahnungen bezüglich Google Fonts
Aktuell werden zahlreiche Abmahnschreiben meist von Privatpersonen an die Webseitebetreiber zum Einsatz von Goolge Fonts versandt. In dem Abmahnschreiben fordern sie die Betreiber zur Zahlung von 100,00 € Schadenersatz auf.
Rechtsanwälte raten zunächst, den Anspruch prüfen zu lassen und eine Zahlung ggf. erst nach ausführlicher Prüfung durchzuführen.
Sollten Sie ein solches Abmahnschreiben erhalten, bitten wir Sie um Kontaktierung eines Fachanwalt.
Update Februar 2022: Einsatz von Google Analytics ist nicht datenschutzkonform
Die österreichische sowie die französische Aufsichtsbehörde sehen den Einsatz von Google Analytics wegen des US-Datentransfer als nicht datenschutzkonform an. Google beruft sich zwar auf die Standardvertragsklauseln; jedoch sind diese nicht ausreichend. Daher ist der Einsatz von Google Analytics derzeit mit einem Risiko verbunden.
Unsere Empfehlung lautet daher, datenschutzkonforme Alternativen wie z.B. Matomo (lokale Installation) zu prüfen und diese ggf. einzusetzen.
Sofern Sie jedoch Google Analytics weiterhin einsetzen, empfehlen wir folgende Maßnahmen umzusetzen:
- Auftragsverarbeitungsvertrag mit Google schließen
- Einwilligung der Nutzer einholen
- IP-Anonymisierung vornehmen (sofern nicht Google Analytics 4 genutzt wird)
- Datenschutzerklärung für Google Analytics prüfen und ggf. anpassen
Im Blogartikel von Dr. Datenschutz finden Sie weitere und sehr gute Informationen zum datenschutzkonformen Einsatz von Google Analytics.
Update Mai 2020
Der Europäische Datenschutzausschuss (EDSA) hat am 05.05.2020 Leitlinien zur Einwilligung für die Nutzung von Webseiten aktualisiert.
Die Kernaussagen der Leitlinien fassen wir Ihnen kurz zusammen:
Cookie-Walls
Der Zugang zu einer Webseite darf nicht abhängig davon gemacht werden, ob Cookies akzeptiert werden oder nicht. Das bedeutet, der Webseitenbesucher darf nicht dazu gedrängt werden, die Cookies zu akzeptieren, um den Inhalt der Webseite zu sichten.
Lässt der Webseitenbetreiber dem Besucher jedoch die Wahl zwischen der Bezahlung des Inhalts (z.B. Abo) und die Akzeptanz der Cookies, sieht der EDSA darin keinen Verstoß bei der Ausgestaltung der Einwilligung.
Möchte der Webseitenbesucher den Inhalt nicht bezahlen und akzeptiert die Cookies, bezahlt er sozusagen mit seinen Daten.
Ignorieren des Cookie-Banners
Ignoriert der Webseitenbesucher den Cookie-Banner bzw. das Einwilligungsbanner, stellt dies keine wirksame Einwilligung dar.
Der EDSA sieht darin keine eindeutige bestätigende Handlung, um die Rechtmäßigkeit der Einwilligung zu gewährleisten.
Update November 2020
Das LfDI Niedersachsen prüfte mittels eines Fragebogens 22 Webseiten von 22 kleinen Unternehmen mit einer oder mehreren Webseiten.
Die Aufsichtsbehörde stellte positiv fest, dass sich die Betreiber wohl intensiv mit dem Thema Cookies und Cookie-Bannern auseinandergesetzt haben. Die Weiteren Ergebnisse können hier eingesehen werden.
Des Weiteren veröffentlichte das LfDI eine Handreichung für Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer. Insbesondere wird in der Handreichung erläutert, welche Anforderungen die Einwilligung zu erfüllen hat, zu welchem Zeitpunkt die Einwilligung einzuholen ist und welche Informationen der Einwilligungsbanner bereitstellen muss.
Erlaubtes Nudging
Spannend ist bei der Handreichung auch die Auseinandersetzung mit der grafischen Gestaltung der Einwilligungsbanner. Durch das sog. „Nudging“ soll der Nutzer unterbewusst zu Handlungen bewegt werden. Die Handreichung zeigt verschiedene Beispiele auf und welche Varianten beim Nudging eingesetzt werden.
Wird Nudging vom Verantwortlichen mit dem Ziel eingesetzt, den Betroffenen zur Erteilung der Einwilligung zu verleiten, so kann damit je nach konkreter Ausgestaltung gegen unterschiedliche rechtliche Vorgaben für die datenschutzrechtliche Einwilligung verstoßen werden. Fest steht, dass einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.
Die Landesdatenschutzbeauftragte für den Datenschutz Niedersachsen, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer
(November 2020)
Einwilligung seitens Minderjährigen
Es wird in der Handreichung empfohlen auf einwilligungsbedürftige Cookies/Tools/Plugins zu verzichten, wenn der Inhalt an Kinder und Minderjährige richtet.
Sofern jedoch eine Einwilligung von Minderjährigen unter 16 Jahren nötig ist, hat der Seitenbetreiber sicherzustellen, dass diese durch die Eltern erteilt wurde.
Dafür reicht es beispielsweise nicht aus, dass die Schaltfläche, mit der die Einwilligung abgeben werden soll, erst aktiviert wird, wenn der Nutzer zuvor über den Klick einer Schaltfläche bestätigt, dass er ein Elternteil ist. […]. Es ist aber ein angemessenes Verfahren Online-Identitätsprüfungsverfahren auf der Webseite einzubinden, das eine geringe Wahrscheinlichkeit für einen Missbrauch bietet.
Die Landesdatenschutzbeauftragte für den Datenschutz Niedersachsen, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer
(November 2020)
DSGVO Webseiten-Check – Inhalte
Den größten Teil haben wir nun abgedeckt. Jetzt geht es um die Inhalte. Sind diese datenschutzkonform auf der Webseite eingebunden?
Medien
Kaum eine Seite kommt ohne eingebettete Medien aus – Videos von YouTube, Landkarten von Google oder OpenStreetMap, um nur zwei Beispiele zu nennen.
In der Regel werden bereits beim Laden der Seite Daten an den Dienstanbieter übertragen. Das bedeutet, noch bevor der Besucher der Webseite das Video ansieht, weiß YouTube schon, dass der Benutzer gerade die Seite mit dem Video besucht.
Medien sollten daher so eingebunden werden, dass die Inhalte erst beim aktiven Betrachten geladen werden. Der Begriff „Aktives Betrachten“ ist mir gerade eingefallen. Letztendlich bedeutet das nichts anderes, als eine explizite Angabe des Users, dass er das Video nun ansehen möchte. Am besten per Klick auf das Objekt.
Newsletter
Wird ein Newsletter angeboten, gibt es dafür ein paar Grundregeln.
Kopplungsverbot: Sie müssen sicherstellen, dass der Newsletter nicht an etwas gekoppelt ist. Beispiel: Sie bieten ein kostenloses Dokument an. Der Interessent ist automatisch in Ihrer Newsletterliste, wenn er das Dokument anfordert oder sich für ein kostenloses Webinar anmeldet. Das würde laut DSGVO gegen das Kopplungsverbot verstoßen.
Newsletteranbieter datenschutzkonform: Nutzen Sie nur Dienste von Anbietern, die als DSGVO konform gelten. Schließen Sie einen Auftragsverarbeitungsvertrag mit dem Anbieter.
Datensparsamkeit bei der Anmeldung: Für den Newsletterversand ist nur die Angabe der E-Mail-Adresse zwingend. Vermeiden Sie daher weitere Abfragen von persönlichen Daten. Falls Sie diese tatsächlich abfragen möchten, stellen Sie sicher, dass es sich um freiwillige Angaben handelt.
Double Opt-in: Die Anmeldung muss zweistufig umgesetzt werden. Der Interessent trägt seine E-Mail-Adresse ein. Als nächstes erhält er eine Bestätigungsmail. In dieser E-Mail muss er den angegebenen Link anklicken. Erst dann darf er offiziell für den Newsletter angemeldet sein.
Hinweis auf Datenschutzerklärung: Beim Anmeldeformular sollte klar erkenntlich sein, was der Betroffene „erhält“. Beschreiben Sie kurz Ihren Newsletter. Bieten Sie rein Informationen an oder werden Sie auch Werbung versenden? Falls Werbung, nur eigene oder auch von Dritten? Verweisen Sie auch auf die Datenschutzerklärung. In dieser muss der Newsletterversand klar dargestellt werden. Eine Bestätigung dieser Datenschutzerklärung ist allerdings NICHT notwendig!
Formulare
Daten, die über Formulare erhoben werden, unterliegen der Zweckbindung. Das heißt, sie dürfen erst einmal nur für den Zweck genutzt werden, für den sie erhoben wurden.
Falls Sie Formulare anbieten, über die die Betroffenen mit Ihnen in Kontakt treten können, sollten Sie folgendes beachten:
Datensparsamkeit: Wie auch bei der Newsletter-Anmeldungen ist es wichtig, nur die Daten als Pflichtfeld abzufragen, die für die Beantwortung der Anfrage zwingend sind. Erfolgt die Antwort durch Sie per E-Mail, dann sollte die Telefonnummer maximal ein optionales Feld sein.
Hinweis auf Datenschutzerklärung: In der Datenschutzerklärung müssen Sie den Zweck des Formulars beschreiben und weitere Pflichtangaben nach Art. 13 DSGVO zum Verfahren angeben. Aus dem Verfahren ergibt sich die Rechtmäßigkeit der Verarbeitung. In der Regel kann man bei Anfrageformularen argumentieren, dass es sich um eine vertragliche oder vorvertragliche Maßnahme nach Art. 6 (1) lit. b DSGVO handelt. In diesem Fall reicht ein Hinweis auf die Datenschutzerklärung wie bei der Newsletter-Anmeldungen aus.
Bilder von Personen
Verwenden Sie eigene Bilder auf Ihrer Webseite? Sind auf den Bildern Personen abgebildet? In diesem Fall ist es zwingend nötig, dass Sie sich die Einwilligung zur Veröffentlichung der Bilder einholen.
Respektieren Sie es auch, wenn Mitarbeiter deren Veröffentlichung ablehnen.
DSGVO Webseiten-Check – Social Media Profile
Dieser Punkt betrifft weniger die Webseite. Trotzdem gibt es eine Verbindung von Ihren Profilen in den sozialen Medien zu Ihrer Internetpräsenz.
Für jedes Profil, das Sie in den sozialen Medien betreiben, benötigen Sie einen Hinweis in Ihrer Datenschutzerklärung.
Zudem empfehlen wir Ihnen, im Titel oder Untertitel der Datenschutzerklärung einen Hinweis anzugeben. Zeigen Sie explizit auf, für welche sozialen Profile diese Datenschutzerklärung ebenfalls gilt.
Verweisen Sie auf Ihren Profilen in den sozialen Medien wiederum auf die Datenschutzerklärung Ihrer Webseite.
Datenschutzerklärung erstellen
Und schon sind wir am Ende des Webseitenchecks angekommen. Jetzt brauchen wir nur noch eine vollständige Datenschutzerklärung und Ihre Webseite ist DSGVO-konform.
Dem Thema Datenschutzerklärung erstellen widme ich einen eigenen Beitrag. Je nachdem, ob Sie viele individuelle Webseitenerweiterungen nutzen, kann der Aufwand zur Erstellung einer Datenschutzerklärung auch umfangreich sein.
Fazit: DSGVO-konforme Webseite
Einfach mal so schnell nebenbei eine Webseite auf DSGVO-Konformität zu überprüfen – das geht kaum. Der größte Aufwand liegt aus unserer Erfahrung in der Analyse der identifizierten Webseitenerweiterungen.
Wie ist Ihre Erfahrung mit der Erstellung einer datenschutzkonformen Webseite? Wie stellen Sie sicher, dass Ihre Webseite den aktuellen Anforderungen entspricht? Verwenden Sie spezielle Tools oder Dienste? Wir sind gespannt. Teilen Sie es uns doch in einem Kommentar mit.
Checkliste für die DSGVO-konforme Webseite
Eine tolle Anleitung zum Erstellen einer Webseite hat Finn Hillebrand in seinem Beitrag auf Blogmojo zusammen gestellt. Hier geht’s zum Artikel!
Hilfe beim Webseiten-Check
Benötigen Sie Unterstützung beim Prüfen Ihrer Webseite oder bei der Erstellung einer vollständigen Datenschutzerklärung? Gerne unterstützen wir Sie. Schreiben Sie uns eine unverbindliche E-Mail.
Quellen
Europäischer Datenschutzausschuss: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
LfDI Baden-Württemberg: FAQ zu Cookies und Tracking – Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Hallo Frau Stoiber,
schöner Artikel!
Haben Sie vielleicht Lust / Interesse, die Liste der Cookie-Scanner zu erweitern? Und zwar um diesen:https://cookiebox.pro/
Schöne Grüße
hallo Herr Beek,
danke für den Link. Wir sehen uns das Produkt gerne mal an.
Herzliche Grüße
Regina Stoiber
Hallo,
vielen Dank für diesen ausführlichen Artikel.
Ich möchte einen Blog starten (ohne damit Geld zu verdienen) und bin etwas verwirrt, was das Thema Datenschutz angeht. Der Artikel hat einiges klar gestellt. Allerdings hat er auch Fragen aufgeworfen.
Vor allem das mit den Social-Media Profilen…
Wenn ich auf meiner WordPress Website einen ganz normalen Link (kein Widget oder Sharebutton oder so) zu meinem privaten Instagramprofil setze, muss ich dann auch eine Datenschutzerklärung dazu abgeben und wenn ja, was muss da rein? Inwiefern werden da denn personenbezogene Daten gespeichert bzw. wie finde ich das heraus?
Liebe Grüße
Lena
Hallo Lena,
freut mich, dass dir der Artikel weiter geholfen hat.
Wenn du in den sozialen Medien nur auf dein privates Profil verlinkst und kein Business Profil bzw. keine Unternehmensseite auf Facebook, LinkedIn und Co hast, dann brauchst du das nicht in der DSE zu erwähnen.
LG Regina
Hallo Regina,
danke für tollen Artikel, der wohl alle Problematiken beleuchtet!
Ein Frage hätte ich: Warum siehst Du bei Google Fonts nicht die Pflicht zum Opt-In?
Ich hätte gedacht, dass die eben auch potentiell als Tracking missbraucht werden können, auch wenn Google etwas anderes behauptet 🙂
Viele Grüße, Axel
Hallo Axel,
Danke für das Feedback.
Wir orientieren uns bei Google Fonts an der Aussage des Bay. Landesamt für Datenschutz, die den Einsatz ohne Opt-In ermöglicht sieht. Diese Meinung teilen wir auch. Es wird ja nur die IP-Adresse übergeben, ohne Tracking.
Wenn Google tatsächlich andere Verarbeitungen mit den Daten durchführt, die sie öffentlich kommunizieren, sehe ich das Problem eigentlich wo anders. Aber wir vertreten grundsätzlich schon die Einstellung, erst mal den Anbietern zu vertrauen. Wenn man Google generell misstraut (was man ja machen kann), dann sollte man aber auch keine Google Dienste verwenden.
Viele Grüße
Regina
Hallo Regina,
wäre die Quelle dafür hier?
https://www.lda.bayern.de/de/faq.html
Die Aussage ist ja ein bisschen „grundsätzlich schon“, aber „eigentlich nicht“ 🙂
Oder habe ich etwas übersehen?
Viele Grüße, Axel
Vielen Dank für den Artikel!
Allerdings ist mir aufgefallen, dass das Cookie-Banner auf Ihrer Seite nicht den Anforderungen entspricht. Gibt es bereits neue Anforderungen bzw. wurden Anforderungen gelockert?
So fehlt bei Ihnen z.B. der Link im Impressum und vor allem auch eine Möglichkeit, bereits auf der ersten Ebene dem Ablegen von Cookies zu widersprechen.
Das führt bei mir nun doch zu einiger Verwirrung.
Was ist denn nun gültig?
Viele Grüße
Nina
Liebe Nina,
nein, das stimmt, der Cookie Banner muss noch angepasst werden. Leider gibt’s technisch ein Problem. Was ziemlich ärgerlich ist, wenn wir daher mit schlechtem Beispiel voran gehen.
Der Link zu Impressum und Datenschutz muss nicht zwingend am Cookie Banner sein. Ein Link auf die beiden Seiten darf nur durch den Cookie Banner nicht verdeckt sein. Daher haben viele die Links direkt im Cookie Banner. Wenn sie aber über die reguläre Seite zu klicken sind, reicht das aus.
Ich hoffe, dass wir bald mit „sauberem“ Beispiel voran gehen können und nur noch essentielle Cookies haben.
Viele Grüße
Regina
Hi,
toller Artikel.
Jetzt stellt sich mir allerdings die Frage, wenn ich eine Seite komplett DSGVO-konform aufbaue, keine Cookies einsetze, weil mir Besucherzahlen / Statistiken generell völlig egal sind, muss ich dann dennoch einen Cookie Hinweis setzen? Oder reicht es, in der Datenschutzerklärung, um die ich ja wegen der Server Logs nicht herumkomme, einen Punkt hinzuzufügen, dass ich selbst keine persönlichen Daten erhebe, verarbeite oder auch an andere weiter gebe?
Hallo Christian,
danke dir für den Kommentar. Sehr gute Frage, die wir erst selbst kürzlich diskutiert hatten mit einer Anwältin. Das LfDI hat dazu nämlich das Thema sogar in den FAQs aufgegriffen: https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/#11_braucht_jede_webseite_einen_cookie-_oder_einwilligungs-banner
Unterm Strich bräuchte man tatsächlich auch keinen Hinweis, wenn man nur essentielle Cookies hat. Die Frage ist aber, was denkt der User, der die Seite besucht? Meint der, der Betreiber hat das vergessen oder unterschlägt es. Ist die Seite super „sauber“ oder so viel Werbung und Zeug, dass man gar nicht darauf hinweisen möchte.
Wir haben für uns beschlossen, wir machen es wie der Bund auf seiner Seite (z.B. beim BSI) und machen nur einen Hinweis, dass essentielle Cookies auf der Seite vorhanden sind, auch wenn es das nicht bräuchte.
Ich hoffe, das hilft dir weiter.
viele Grüße
Regina