Auf den Punkt gebracht: Webseiten-Analyse selber durchführen

Ist Ihre Website DSGVO-konform?

Diese Frage stellen sich nach dem Inkrafttreten der DSGVO im Mai 2018 immer mehr Webseitenbetreiber. Zumal die Urteile des EuGHs vom 29. Juli 2019 (Einwilligung für Social-Media-Plugins) und 1. Oktober 2019 (Einwilligung für Cookies) die Betreiber nicht wirklich beruhigen. Eher wird die Panik noch größer.

Ein Webseitencheck ist mit Aufwand verbunden – und daher auch mit Kosten.
Wie Sie den Status Ihrer Webseite bezüglich Datenschutz selbst beurteilen können, zeigen wir Ihnen in diesem Beitrag.

Anmerkung: Wir geben uns die größte Mühe, immer auf dem aktuellen Stand zu sein. Trotzdem können wir an dieser Stelle keine Garantie geben. Es handelt sich hierbei auch um keine Rechtsberatung!

DSGVO Webseiten-Check selbst durchführen

Wir haben inzwischen viele Webseiten unserer Kunden geprüft. Unsere Vorgehensweise ist sehr detailliert und teilweise aufwändig.

Nachfolgend zeigen wir Ihnen, worauf es ankommt und welche Hilfsmittel Sie zur Analyse verwenden können. Wir nennen die Tools und Werkzeuge, mit denen wir arbeiten. Das heißt allerdings nicht, dass es keine vergleichbaren Anbieter gibt. Es geht uns hier nicht um Werbung für einzelne Dienste. Wir geben auch keine Bewertung oder erhalten Provision, wenn Sie einen der Dienste nutzen. Wir zeigen lediglich unsere Vorgehensweise zur konformen DSGVO Webseite.

Viele Wegen führen nach Rom. Und wir möchten nicht behaupten, dass wir den einzig möglichen Weg kennen.

Anbei finden Sie eine kompakte Checkliste, in der die genannten Punkte noch einmal kurz zusammen gefasst werden. Für unsere Kunden stellen wir eine ausführliche Vorlage für einen Webseitenbericht und die zu prüfenden Punkte zur Verfügung.

Wie können Sie den Stand der Anforderungen der DSGVO auf Ihrer Webseite selber prüfen?

Tools zum Prüfen der DSGVO-Anforderungen an Ihre Onlinepräsenz

Jetzt kommt Werbung! … allerdings unbezahlt 😉

• uMatrix Browserplugin
• Ghostery Browserplugin
• Webdienst dataskydd https://webbkoll.dataskydd.net/de/
• Cookie Checker von Cookiebot https://www.cookie-checker.com

Basis-Anforderungen für eine datenschutzkonforme Webseite

Verschlüsselte Übertragung

Eine HTTPS Verschlüsselung der Webseite sollte nicht diskutiert werden. Wie das Landgericht Würzburg in seinem Urteil mit dem Aktenzeichen 
11 O 1741/18 bekannt gab, ist eine Verschlüsselung der Webseite als aktueller Stand der Technik anzusehen. Wir empfehlen eine Verschlüsselung der Webseite generell, auch wenn diese keine personenbezogenen Daten überträgt. Dabei ist es wichtig, dass die ganze Domain per Default HTTPS verwendet und nicht nur einzelne Seiten. Auch empfehlen wir, eine Weiterleitung zu konfigurieren. Diese sorgt dafür, dass Seitenbesucher, die nur HTTP eingeben, trotzdem an die verschlüsselte Seite unter HTTPS weitergeleitet werden.

Neben dem Sicherheitsaspekt kann sich eine Verschlüsselung der Seite auch in anderen Bereichen günstig auswirken. So bevorzugen einige Browser verschlüsselte Seiten. Und auch in Hinblick auf SEO ist davon auszugehen, dass verschlüsselte Seiten bei Google besser ranken. 

Neben HTTPS sollten Sie auch prüfen, ob Ihre Seite auch das HSTS Verfahren umgesetzt hat. HSTS ist ein zusätzliches Sicherheitskriterium für die HTTPS Verbindungsverschlüsselung.

Eine Bewertung von HTTPS und HSTS erhalten Sie für Ihre Webseite über den Dienst dataskydd.

Referrer Richtlinie

Dataskydd liefert Ihnen ebenfalls Informationen darüber, ob Ihre Webseite beim Weiterleiten zu einer anderen Seite die Quelle (also Ihre eigene Seite) mitgibt. Sie leiten zum Beispiel auf unsere Seite weiter und geben die Referrer Informationen mit. Damit ist es für uns ersichtlich, dass der User von Ihrer Seite kam.

Dies kann nicht pauschal als negativ eingestuft werden. Manchmal kann es sinnvoll oder notwendig sein, diese Informationen mitzugeben. Prüfen Sie dies im Einzelfall für Ihre Webseite.

Sicherheitseinstellungen für Ihren Webserver

Über die Auswertung von Dataskydd erhalten Sie Informationen über den Sicherheitszustand Ihres Webservers. Dataskydd gibt einige Empfehlungen aus, die Sie prüfen können.

DSGVO-Check für installierte Plugins und Webseiten-Erweiterungen durchführen

• Öffnen Sie die zu prüfende Webseite im Browser, in dem Sie die Erweiterungen (z.B. uMatrix, Ghostery) installiert haben
• Stellen Sie sicher, dass uMatrix und ggf. weitere Ad-Blocker, die bei Ihnen laufen, nichts blockieren.
• Prüfen Sie Ihre Webseite mit dem Plugin oder dem Onlinedienst von BuiltWith.
• Erfassen Sie alle Plugins / Erweiterungen und sonstigen Installationen, die von uMatrix, Ghostery, BuiltWith oder anderen Diensten gemeldet werden.
  1. Wir empfehlen Ihnen, sich eine Tabelle anzulegen, die ähnlich der folgenden Tabelle aufgebaut ist
  2. Im ersten Schritt reicht es, wenn Sie nur die 1. und 2. Spalte ausfüllen (Name und Zweck). Wichtig ist es, den Zweck der Erweiterung so korrekt wie möglich zu beschreiben- also was genau das Plugin oder die Erweiterung macht.
     Daraus leiten sich später die Vorgaben ab, ob Opt-in, Opt-out oder die Erwähnung in der Datenschutzerklärung überhaupt notwendig ist.
     
     Wenn Sie Erweiterungen verwenden, deren Funktionalität nicht bekannt ist und der Hersteller auch keine Angaben macht, sollten Sie im Zweifelsfall lieber von deren Einsatz absehen.

Name der Installation Erweiterung	Zweck	Relevant für DSE	Opt-in nötig	Opt-out nötig	AV nötig
CMS: WordPress (selbst gehostet)	Content Management System zur Verwaltung der Inhalte
Google Fonts	Schriftarten
Google Analytics	Erfassung der Besucherstatistik
…

• Prüfen Sie Ihre Seite über den Dienst von Dataskydd: https://webbkoll.dataskydd.net/
• Ergänzen Sie fehlende Erweiterungen / Cookies / Plugins in der Tabelle
• Notieren Sie die weiteren Ergebnisse von Dataskydd in einem Bericht

Bewerten der Erweiterungen / Cookies / Plugins… bezüglich DSGVO und weiteren Datenschutz-Vorgaben

Im vorherigen Punkt haben Sie nun alles erfasst, was auf Ihrer Webseite installiert ist. Vielleicht sind ein paar Erweiterungen dabei, die Sie selbst überraschen. Vielleicht haben Sie gar nicht alles bewusst bzw. direkt installiert?

Jetzt kommt der schwierigere Teil des DSGVO Webseiten-Checks. Sie müssen Ihre Webseiten-Erweiterungen bezüglich des Datenschutzes bewerten. Muss das Cookie oder Plugin in der Datenschutzerklärung erwähnt werden? Ist für die Ausführung der Funktion ein Opt-in oder eine Opt-out- Möglichkeit für den Benutzer notwendig?

Wir versuchen Ihnen anhand der folgenden Fragen die Entscheidungsfindung etwas zu erleichtern.

Muss das Plugin / Cookie / die Erweiterung in der Datenschutzerklärung angegeben werden?

Diese Frage können Sie mit „Ja“ beantworten, wenn zum Beispiel einer der folgenden Punkte zutrifft:

• Personenbezogene Daten des Webseitenbesuchers werden erfasst und lokal gespeichert (keine Übermittlung zu einem Drittanbieter). Dazu gehört auch die IP-Adresse.
• Personenbezogene Daten (z.B. die IP-Adresse) werden an einen externen Dienst übermittelt, um bestimmte Funktionalitäten auf der Webseite ausführen zu können (egal, ob die Funktion zwingend für den Betrieb der Webseite ist oder nicht).
• Dazu gehören z.B. auch Web Fonts.

Nicht DSE relevant ist die Erweiterung, wenn keine personenbezogenen Daten zur Ausführung der Funktion verarbeitet werden. Das wäre zum Beispiel der Fall, wenn Sie zwar Webfonts, wie Google Fonts, nutzen, diese aber lokal installiert haben.

Ist ein Opt-in für die Ausführung des Cookies / Plugins / der Erweiterung der Webseite nötig?

Unter Opt-In bzw. Opt-Out versteht man, dass ein Benutzer die Möglichkeit hat, die Verarbeitung seiner personenbezogenen Daten zu unterbinden. Sie sind eines der wichtigsten Mittel, Ihre Webseite DSGVO konform zu gestalten. Die Datenschutzkonferenz hat in ihrer Orientierungshilfe für Anbieter von Telemedien die Unterscheidung von Opt-In und Opt-Out folgendermaßen definiert: 

Der maßgebliche Unterschied zwischen einer Widerspruchslösung (Opt-Out) und einer Einwilligung (Opt-In) ist, dass im Falle einer Widerspruchslösung zunächst eine Datenverarbeitung stattfindet, die lediglich durch Erklärung eines Widerspruchs für die Zukunft untersagt werden kann. Anders liegt der Fall hingegen, wenn eine Einwilligung (Opt-In) erforderlich ist. Dann darf eine Datenverarbeitung nämlich erst stattfinden, nachdem eine wirksame Einwilligung vom Nutzer tatsächlich erteilt worden ist.

Orientierungshilfe für Anbieter von Telemedien (DSK)

Durch das Urteil vom 1. Oktober 2019 des EuGHs vereinfacht sich die Beantwortung der Frage – allerdings leider zum Nachteil von Seitenbetreiber und Seitenbesucher.

Die grundsätzliche Frage lautet: Ist die Erweiterung zwingend für die Funktion oder das Erscheinungsbild der Webseite?

Wenn Sie diese Frage mit „Ja“ beantworten können, müssen Sie kein Opt-in des Benutzers einholen.
Für alle anderen Fälle, wie z.B. für die Erfassung der Besucherstatistik, ist ein Opt-in nötig.

Wichtig! Das EuGH entschied im Oktober ebenfalls, dass auch die Vorauswahl nicht mehr erlaubt ist. Der Besucher muss die optionalen Cookies und sonstige Webseitenerweiterungen aktiv auswählen. Aktiv bedeutet in diesem Fall, ohne Vorauswahl der Checkbox.
Egal ob mit Einwilligung oder ohne. Informieren müssen Sie immer über die verwendeten Cookies in der Datenschutzerklärung oder über einen anderen Weg (z.B. direkt über den Cookie Banner).

Ist eine Opt-out-Möglichkeit für die Erfassung personenbezogener Daten über die Webseite nötig?

Inzwischen kann man Opt-in und Opt-out eigentlich gleichsetzen. Das heißt: Überall, wo die Möglichkeit für ein Opt-in gegeben ist, muss auch eine spätere Opt-out-Möglichkeit für den Benutzer gegeben sein.
Beispielsweise, wenn bestimmte Cookies, die der Benutzer blockiert hat, für das Abspielen eines Videos notwendig sind. Dafür empfehlen wir, dem Seitenbesucher einen Link in der Datenschutzerklärung bereitzustellen, der den Cookie-Hinweis erneut erscheinen lässt. Auch ein Hinweis auf die Datenschutzerklärung (mit Link) sollte in keinem Cookie-Hinweis fehlen.

Welche Anforderungen muss ein Cookie-Banner erfüllen?

Der Cookie-Hinweis bzw. Cookie-Banner darf die Links zu Datenschutzerklärung und Impressum nicht überdecken. Auch muss der Benutzer – wie oben erwähnt – die Möglichkeit haben, seine Einstellungen nachträglich zu ändern (Widerruf).

Wir empfehlen, ein Cookie-Banner zu wählen, das die verwendeten Cookies kategorisiert (z.B. notwendig für die Funktion, Statistik, Marketing, Personalisierung…).

Der Benutzer muss die Möglichkeit haben, aktiv und freiwillig auszuwählen, welche Cookies / Kategorien von Cookies er zulassen möchte, bevor Sie mit dem Tracking starten. Eine technisch einwandfreie Implementierung durch den Webseitenbetreiber ist natürlich vorausgesetzt.

Anlässlich des Safer Internet Days 2019 hat auch das Landesamt für den Datenschutz Bayern einige Cookie-Banner auf Webseiten unter die Lupe genommen. Ihrer Einschätzung nach kann mit vielen Cookie-Hinweisen, wie sie derzeit im Einsatz sind, ungewolltes Tracking nicht verhindert werden.

Update März 2022: FAQ zu Cookies & Tracking des LFDI Baden-Württemberg

Die Aufsichtsbehörde von Baden-Württemberg gibt zahlreiche Tipps und Erläuterungen in einem ausführlichen FAQ zum Thema Cookies und Tracking. Insbesondere zur Ausgestaltung von Cookie-Banner nimmt die Behörde folgende Stellung dazu:

Deutlich und verständlich: Klare, nicht irreführende Überschrift – bloße Respektbekundungen bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Weitergabe Ihrer Nutzerdaten an Dritte zur Ermittlung Ihrer Interessen“.

Zweck der Verarbeitung: Der Gegenstand der Einwilligung muss deutlich gemacht werden – klare Beantwortung der folgenden Fragen: Welche personenbezogenen Daten sind betroffen? Was passiert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die personenbezogenen Daten mit weiteren Daten verknüpft? Welchen Zwecken dient das?

Datenschutzfreundliche Voreinstellung: Die Einwilligung darf nicht voreingestellt sein – ein Opt-in ist notwendig.

Keine vorherigen (Dritt-)Verbindungen: Es dürfen keine Daten weitergegeben werden, bevor eine Einwilligung durch den Nutzenden erteilt wurde. Das bedeutet: Technisch muss sichergestellt sein, dass während der Einwilligungs-Banner angezeigt wird, keine weiterführenden (Tracking-)Skripte ausgeführt werden und/oder nicht notwendige Cookies im Browser abgelegt werden.

Keine Manipulation (Nudging): Nutzer_innen dürfen nicht unterschwellig zur Abgabe einer Einwilligung beeinflusst werden. Das ist beispielsweise dann der Fall, wenn Buttons/Schaltflächen durch eine farbliche Hervorhebung, Größe oder Position deutlich auffälliger gestaltet sind. Auf Nudging, also die Beeinflussung des Nutzenden, um sein/e Entscheidung zu manipulieren, soll verzichtet werden.

Einfach zugängliche Ablehnung: Bereits auf der ersten Ebene muss es möglich sein, dem Ablegen von Cookies bzw. dem Zugriff auf Informationen auf dem Endgerät zu widersprechen. Nicht Einwilligen muss genauso einfach sein wie Einwilligen. Zum Hintergrund: Oftmals ist die Verweigerung erst auf Ebene zwei (oder drei) bzw. über mehrere Klicks erreichbar. Wie auch bei der Einwilligung muss dem Nutzenden eine einfache Möglichkeit angeboten werden, der Verarbeitung seiner Daten zu widersprechen.

Erreichbarkeit Datenschutzerklärung / Impressum: Der Zugriff auf Impressum und Datenschutzhinweise darf nicht verhindert oder eingeschränkt werden, bevor eine Einwilligung durch den Nutzenden erteilt wurde.

Freiwilligkeit der Einwilligung: Die Freiwilligkeit der Einwilligungserklärung muss deutlich gemacht werden und ein Hinweis auf das Recht auf einen jederzeitigen Widerruf muss enthalten sein (Art. 7 Abs. 3 Satz 3 DS-GVO); beispielsweise „Diese Einwilligung ist freiwillig, sie stellt keine Bedingung für die Nutzung dieser Website dar und kann jederzeit widerrufen werden, indem […]“.

Widerrufsmöglichkeit: Wie der Widerruf zu erklären ist, ist in der Information zur Einwilligungserklärung klar und deutlich zu beschreiben. Die Erklärung des Widerrufs muss jederzeit so einfach sein wie die Einwilligungserklärung selbst (Art. 7 Abs. 3 Satz 4 DS-GVO).

FAQ zu Cookies und Tracking, Nr. 4.3; LfDI Baden-Württemberg, Stand: März 2022

Cookie-Richtlinie und e-Privacy-Verordnung

In Deutschland wurde die Cookie-Richtlinie bisher nicht umgesetzt, da die bisherige Regelung im Telemediengesetz, kurz TMG, als ausreichend angesehen wurde.

Darüber hinaus plant die EU die sogenannte e-Privacy-Verordnung. Auch die e-Privacy-Verordnung soll sich mit Cookies befassen. Sie wird, sobald sie in Kraft tritt, die Regelung aus dem TMG ablösen. Bis zum Inkrafttreten der e-Privacy-Verordnung wird es daher wohl noch einige Unklarheiten darüber geben, wie genau ein DSGVO konformer Cookie-Hinweis aussieht. Die Urteile des EuGH geben aber schon eine Richtung vor.

Handelt es sich beim Plugin-Anbieter um einen Auftragsverarbeiter?

Die Frage kann nicht generell mit einem Ja oder Nein beantwortet werden. Grundsätzlich muss man zwei Fälle unterscheiden:

1. Der Anbieter erstellt die Software für die Webseitenerweiterung. Nach der Installation am eigenen Webserver oder im eigenen CMS werden die personenbezogenen Daten nur lokal am eigenen Server gespeichert. Es erfolgt keine Übertragung von Daten an den Hersteller der Software.
2. Der Anbieter erstellt die Software bzw. stellt einen Webdienst zur Verfügung, der auf der eigenen Webseite eingebunden werden kann. Im Betrieb werden Daten des Webseitenbesuchers erfasst und zu den Servern des Anbieters übertragen.

Im ersten Fall kann man eine Auftragsverarbeitung ausschließen. Für Fall zwei muss dann genau geprüft werden, um welche Verarbeitung es sich handelt. Ist die Verarbeitung personenbezogener Daten die Kernaufgabe des Anbieters? Dann ist ein AV-Vertrag auf jeden Fall nötig.
Alle weiteren Möglichkeiten können wir an dieser Stelle nicht pauschal beantworten. Mehr Informationen zur Auftragsverarbeitung finden Sie im Blogartikel zur Auftragsverarbeitung.

Beispiele für Webseiten-Erweiterungen

Da das Thema doch sehr komplex ist, zeigen wir ein paar Beispiele aus unserer Webseite. Wir nutzen WordPress und haben verschiedene Plugins installiert. Folgende Tabelle zeigt einige Beispiele:

Name der Installation Erweiterung	Zweck	Relevant für DSE	Opt-in nötig	Opt-out nötig	AV nötig
AMP	Optimierung der Seite für Mobilgeräte	Nein	Nein	Nein	Nein
Google Fonts	Schriftarten	Ja	Ja	Nein	Nein
Google Analytics	Erfassung der Besucherstatistik	Ja	Ja	Ja	Ja
BackUpWordPress	Software zur automatischen Erstellung von Backups von WordPress	Nein	Nein	Nein	Nein
Newsletter 2Go	Einbinden eines Anmeldeformulars für den Newsletter	Ja	Nein	Nein	Ja

Update März 2022: Einsatz von Google Fonts nur mit Einwilligung zulässig

Beim Einsatz von Google Fonts wird die IP-Adresse an die Google Server übermittelt. Viele Webseitenbetreiber haben sich beim Einsatz von Google Fonts auf das berechtigte Interesse berufen.

Das Landgericht München hat jedoch entschieden, dass der Einsatz von Google Fonts ohne Zustimmung des Nutzers nicht erfolgen darf.

Auf Grund des Urteils zu Google Fonts empfehlen wir dringend

• Google Fonts lokal zu installieren oder eine
• Einwilligung (Opt-In) des Nutzers einzuholen.

Aus unserer Sicht lässt sich das Urteil auch auf weitere Schriftarten z.B. Adobe Fonts, Font Awesome etc. ableiten. Wir empfehlen auch für diese Anbieter die obigen Handlungen vorzunehmen.

Update August 2022: Abmahnungen bezüglich Google Fonts

Aktuell werden zahlreiche Abmahnschreiben meist von Privatpersonen an die Webseitebetreiber zum Einsatz von Goolge Fonts versandt. In dem Abmahnschreiben fordern sie die Betreiber zur Zahlung von 100,00 € Schadenersatz auf.

Rechtsanwälte raten zunächst, den Anspruch prüfen zu lassen und eine Zahlung ggf. erst nach ausführlicher Prüfung durchzuführen.

Sollten Sie ein solches Abmahnschreiben erhalten, bitten wir Sie um Kontaktierung eines Fachanwalt.

Update Februar 2022: Einsatz von Google Analytics ist nicht datenschutzkonform

Die österreichische sowie die französische Aufsichtsbehörde sehen den Einsatz von Google Analytics wegen des US-Datentransfer als nicht datenschutzkonform an. Google beruft sich zwar auf die Standardvertragsklauseln; jedoch sind diese nicht ausreichend. Daher ist der Einsatz von Google Analytics derzeit mit einem Risiko verbunden.

Unsere Empfehlung lautet daher, datenschutzkonforme Alternativen wie z.B. Matomo (lokale Installation) zu prüfen und diese ggf. einzusetzen.

Sofern Sie jedoch Google Analytics weiterhin einsetzen, empfehlen wir folgende Maßnahmen umzusetzen:

• Auftragsverarbeitungsvertrag mit Google schließen
• Einwilligung der Nutzer einholen
• IP-Anonymisierung vornehmen (sofern nicht Google Analytics 4 genutzt wird)
• Datenschutzerklärung für Google Analytics prüfen und ggf. anpassen

Im Blogartikel von Dr. Datenschutz finden Sie weitere und sehr gute Informationen zum datenschutzkonformen Einsatz von Google Analytics.

Update Mai 2020

Der Europäische Datenschutzausschuss (EDSA) hat am 05.05.2020 Leitlinien zur Einwilligung für die Nutzung von Webseiten aktualisiert.

Die Kernaussagen der Leitlinien fassen wir Ihnen kurz zusammen:

Cookie-Walls

Der Zugang zu einer Webseite darf nicht abhängig davon gemacht werden, ob Cookies akzeptiert werden oder nicht. Das bedeutet, der Webseitenbesucher darf nicht dazu gedrängt werden, die Cookies zu akzeptieren, um den Inhalt der Webseite zu sichten.

Lässt der Webseitenbetreiber dem Besucher jedoch die Wahl zwischen der Bezahlung des Inhalts (z.B. Abo) und die Akzeptanz der Cookies, sieht der EDSA darin keinen Verstoß bei der Ausgestaltung der Einwilligung.

Möchte der Webseitenbesucher den Inhalt nicht bezahlen und akzeptiert die Cookies, bezahlt er sozusagen mit seinen Daten.

Ignorieren des Cookie-Banners

Ignoriert der Webseitenbesucher den Cookie-Banner bzw. das Einwilligungsbanner, stellt dies keine wirksame Einwilligung dar.

Der EDSA sieht darin keine eindeutige bestätigende Handlung, um die Rechtmäßigkeit der Einwilligung zu gewährleisten.

Update November 2020

Das LfDI Niedersachsen prüfte mittels eines Fragebogens 22 Webseiten von 22 kleinen Unternehmen mit einer oder mehreren Webseiten.

Die Aufsichtsbehörde stellte positiv fest, dass sich die Betreiber wohl intensiv mit dem Thema Cookies und Cookie-Bannern auseinandergesetzt haben. Die Weiteren Ergebnisse können hier eingesehen werden.

Des Weiteren veröffentlichte das LfDI eine Handreichung für Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer. Insbesondere wird in der Handreichung erläutert, welche Anforderungen die Einwilligung zu erfüllen hat, zu welchem Zeitpunkt die Einwilligung einzuholen ist und welche Informationen der Einwilligungsbanner bereitstellen muss.

Erlaubtes Nudging

Spannend ist bei der Handreichung auch die Auseinandersetzung mit der grafischen Gestaltung der Einwilligungsbanner. Durch das sog. „Nudging“ soll der Nutzer unterbewusst zu Handlungen bewegt werden. Die Handreichung zeigt verschiedene Beispiele auf und welche Varianten beim Nudging eingesetzt werden.

Wird Nudging vom Verantwortlichen mit dem Ziel eingesetzt, den Betroffenen zur Erteilung der Einwilligung zu verleiten, so kann damit je nach konkreter Ausgestaltung gegen unterschiedliche rechtliche Vorgaben für die datenschutzrechtliche Einwilligung verstoßen werden. Fest steht, dass einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.

Die Landesdatenschutzbeauftragte für den Datenschutz Niedersachsen, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer
(November 2020)

Einwilligung seitens Minderjährigen

Es wird in der Handreichung empfohlen auf einwilligungsbedürftige Cookies/Tools/Plugins zu verzichten, wenn der Inhalt an Kinder und Minderjährige richtet.

Sofern jedoch eine Einwilligung von Minderjährigen unter 16 Jahren nötig ist, hat der Seitenbetreiber sicherzustellen, dass diese durch die Eltern erteilt wurde.

Dafür reicht es beispielsweise nicht aus, dass die Schaltfläche, mit der die Einwilligung abgeben werden soll, erst aktiviert wird, wenn der Nutzer zuvor über den Klick einer Schaltfläche bestätigt, dass er ein Elternteil ist. […]. Es ist aber ein angemessenes Verfahren Online-Identitätsprüfungsverfahren auf der Webseite einzubinden, das eine geringe Wahrscheinlichkeit für einen Missbrauch bietet.

Die Landesdatenschutzbeauftragte für den Datenschutz Niedersachsen, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer
(November 2020)

DSGVO Webseiten-Check – Inhalte

Den größten Teil haben wir nun abgedeckt. Jetzt geht es um die Inhalte. Sind diese datenschutzkonform auf der Webseite eingebunden?

Medien

Kaum eine Seite kommt ohne eingebettete Medien aus – Videos von YouTube, Landkarten von Google oder OpenStreetMap, um nur zwei Beispiele zu nennen.

In der Regel werden bereits beim Laden der Seite Daten an den Dienstanbieter übertragen. Das bedeutet, noch bevor der Besucher der Webseite das Video ansieht, weiß YouTube schon, dass der Benutzer gerade die Seite mit dem Video besucht.

Medien sollten daher so eingebunden werden, dass die Inhalte erst beim aktiven Betrachten geladen werden. Der Begriff „Aktives Betrachten“ ist mir gerade eingefallen. Letztendlich bedeutet das nichts anderes, als eine explizite Angabe des Users, dass er das Video nun ansehen möchte. Am besten per Klick auf das Objekt.

Newsletter

Wird ein Newsletter angeboten, gibt es dafür ein paar Grundregeln.

Kopplungsverbot: Sie müssen sicherstellen, dass der Newsletter nicht an etwas gekoppelt ist. Beispiel: Sie bieten ein kostenloses Dokument an. Der Interessent ist automatisch in Ihrer Newsletterliste, wenn er das Dokument anfordert oder sich für ein kostenloses Webinar anmeldet. Das würde laut DSGVO gegen das Kopplungsverbot verstoßen.

Newsletteranbieter datenschutzkonform: Nutzen Sie nur Dienste von Anbietern, die als DSGVO konform gelten. Schließen Sie einen Auftragsverarbeitungsvertrag mit dem Anbieter.

Datensparsamkeit bei der Anmeldung: Für den Newsletterversand ist nur die Angabe der E-Mail-Adresse zwingend. Vermeiden Sie daher weitere Abfragen von persönlichen Daten. Falls Sie diese tatsächlich abfragen möchten, stellen Sie sicher, dass es sich um freiwillige Angaben handelt.

Double Opt-in: Die Anmeldung muss zweistufig umgesetzt werden. Der Interessent trägt seine E-Mail-Adresse ein. Als nächstes erhält er eine Bestätigungsmail. In dieser E-Mail muss er den angegebenen Link anklicken. Erst dann darf er offiziell für den Newsletter angemeldet sein.

Hinweis auf Datenschutzerklärung: Beim Anmeldeformular sollte klar erkenntlich sein, was der Betroffene „erhält“. Beschreiben Sie kurz Ihren Newsletter. Bieten Sie rein Informationen an oder werden Sie auch Werbung versenden? Falls Werbung, nur eigene oder auch von Dritten? Verweisen Sie auch auf die Datenschutzerklärung. In dieser muss der Newsletterversand klar dargestellt werden. Eine Bestätigung dieser Datenschutzerklärung ist allerdings NICHT notwendig!

Formulare

Daten, die über Formulare erhoben werden, unterliegen der Zweckbindung. Das heißt, sie dürfen erst einmal nur für den Zweck genutzt werden, für den sie erhoben wurden.
Falls Sie Formulare anbieten, über die die Betroffenen mit Ihnen in Kontakt treten können, sollten Sie folgendes beachten:

Datensparsamkeit: Wie auch bei der Newsletter-Anmeldungen ist es wichtig, nur die Daten als Pflichtfeld abzufragen, die für die Beantwortung der Anfrage zwingend sind. Erfolgt die Antwort durch Sie per E-Mail, dann sollte die Telefonnummer maximal ein optionales Feld sein.

Hinweis auf Datenschutzerklärung: In der Datenschutzerklärung müssen Sie den Zweck des Formulars beschreiben und weitere Pflichtangaben nach Art. 13 DSGVO zum Verfahren angeben. Aus dem Verfahren ergibt sich die Rechtmäßigkeit der Verarbeitung. In der Regel kann man bei Anfrageformularen argumentieren, dass es sich um eine vertragliche oder vorvertragliche Maßnahme nach Art. 6 (1) lit. b DSGVO handelt. In diesem Fall reicht ein Hinweis auf die Datenschutzerklärung wie bei der Newsletter-Anmeldungen aus.

Bilder von Personen

Verwenden Sie eigene Bilder auf Ihrer Webseite? Sind auf den Bildern Personen abgebildet? In diesem Fall ist es zwingend nötig, dass Sie sich die Einwilligung zur Veröffentlichung der Bilder einholen.
Respektieren Sie es auch, wenn Mitarbeiter deren Veröffentlichung ablehnen.

DSGVO Webseiten-Check – Social Media Profile

Dieser Punkt betrifft weniger die Webseite. Trotzdem gibt es eine Verbindung von Ihren Profilen in den sozialen Medien zu Ihrer Internetpräsenz.

Für jedes Profil, das Sie in den sozialen Medien betreiben, benötigen Sie einen Hinweis in Ihrer Datenschutzerklärung.

Zudem empfehlen wir Ihnen, im Titel oder Untertitel der Datenschutzerklärung einen Hinweis anzugeben. Zeigen Sie explizit auf, für welche sozialen Profile diese Datenschutzerklärung ebenfalls gilt.

Verweisen Sie auf Ihren Profilen in den sozialen Medien wiederum auf die Datenschutzerklärung Ihrer Webseite.

Datenschutzerklärung erstellen

Und schon sind wir am Ende des Webseitenchecks angekommen. Jetzt brauchen wir nur noch eine vollständige Datenschutzerklärung und Ihre Webseite ist DSGVO-konform.

Dem Thema Datenschutzerklärung erstellen widme ich einen eigenen Beitrag. Je nachdem, ob Sie viele individuelle Webseitenerweiterungen nutzen, kann der Aufwand zur Erstellung einer Datenschutzerklärung auch umfangreich sein.

Fazit: DSGVO-konforme Webseite

Einfach mal so schnell nebenbei eine Webseite auf DSGVO-Konformität zu überprüfen – das geht kaum. Der größte Aufwand liegt aus unserer Erfahrung in der Analyse der identifizierten Webseitenerweiterungen.

Wie ist Ihre Erfahrung mit der Erstellung einer datenschutzkonformen Webseite? Wie stellen Sie sicher, dass Ihre Webseite den aktuellen Anforderungen entspricht? Verwenden Sie spezielle Tools oder Dienste? Wir sind gespannt. Teilen Sie es uns doch in einem Kommentar mit.

Checkliste für die DSGVO-konforme Webseite

Eine tolle Anleitung zum Erstellen einer Webseite hat Finn Hillebrand in seinem Beitrag auf Blogmojo zusammen gestellt. Hier geht’s zum Artikel!

Hilfe beim Webseiten-Check

Benötigen Sie Unterstützung beim Prüfen Ihrer Webseite oder bei der Erstellung einer vollständigen Datenschutzerklärung? Gerne unterstützen wir Sie. Schreiben Sie uns eine unverbindliche E-Mail.

Quellen

Europäischer Datenschutzausschuss: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

LfDI Baden-Württemberg: FAQ zu Cookies und Tracking – Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg