Gastbeitrag von Dr. Klaus Meffert
Dr. Meffert beschäftigt sich mit dem Thema Datenschutz auf Webseiten. In diesem Gastbeitrag berichtet er, wie Webseiten DSGVO-konform gemacht werden können. Dieser Bericht geht auch auf die häufigsten Probleme in Bezug auf rechtssichere Webseiten (Schwerpunkt Datenschutz) ein und zeigt, welche Maßnahmen zur Abhilfe es gibt.
Hier beschreibt Dr. Meffert wie die DSGVO für Webseiten eingehalten werden kann. Zusätzliche Vorschriften für Webseiten wie die Anbieterkennzeichnung (Impressumspflicht), die Ausgestaltung von AGB oder von Einkaufsprozessen in Internet-Shops werden hier nicht thematisiert. Es geht nur um die datenschutzrechtlichen Betrachtungen, die allerdings sehr wichtig sind. Schließlich kann jede Webseite zu jeder Zeit von jedem, der es möchte, angeschaut, untersucht und bei Bedarf kritisiert werden. Die Webseite ist der öffentlichste Teil jedes Unternehmens.
Inhaltsverzeichnis
Grundlagen zu Datenschutz auf Webseiten
Seit Inkrafttreten der Datenschutzgrundverordnung der EU (DSGVO) hat sich im Internet einiges verändert. Zahlreiche neue Vorschriften müssen eingehalten werden. Dies jedenfalls ist die Wahrnehmung vieler Webseitenbetreiber. Schaut man genauer hin, fällt auf, dass viele Probleme mit Netzwerkadressen zusammenhängen. Später mehr dazu. Ein Urteil des Europäischen Gerichtshofs (EuGh) zum Thema Cookies und Einwilligung vom 01.10.2019 verschärfte die Lage.
Informationspflicht -Betroffenenrechte
Die DSGVO fordert seit dem 25.05.2018, dass Besucher einer Webseite über ihre Rechte aufgeklärt werden. Diese Betroffenenrechte können auf jeder Webseite identisch ausgestaltet sein. Insofern könnte man hierfür auch einen Datenschutzgenerator verwenden. Ansonsten empfehle ich allerdings keinen Datenschutzgenerator, zumindest keinen, der auf einem Fragebogen oder einer Checkliste basiert. Der Grund ist einfach, dass der Fragebogen oder die Checkliste von den meisten Webseiten-Betreibern gar nicht korrekt ausgefüllt werden kann. Außerdem sind derartige Checklisten immer unvollständig, weil es tausende verschiedene Tools wie Tracker oder Schriftarten gibt. Checklisten arbeiten aber mit sehr viel weniger Auswahlmöglichkeiten.
Informationspflicht zu erweiterten Tools und Funktionen
Neben den Betroffenenrechten müssen auch alle eingesetzten Tools in der Datenschutzerklärung benannt werden. Das Problem sind hier nicht die Rechtstexte, sondern die Kenntnis darüber, welche Tools auf der Webseite verwendet werden. Für WordPress-Seiten etwa wissen viele gar nicht, dass sie Gravatare einsetzen. Ein Gravatar ist aus Nutzersicht ein Piktogramm, welches beispielsweise Kommentarfunktionen aufwerten soll. Aus Datenschutzsicht sind Gravatare ein Tracking-Mechanismus. Nicht selten kommt es vor, dass bestimmte Plugins oder Design-Themen auf die Webseite Tracker oder Social Media Plugins einschleppen. Ein Beispiel hierfür ist das Thema Ueneo für WordPress, welches Facebook Connect, das Twitter Widget und das veraltete, aber immer noch als Tracker geltende Google Plus Plugin ohne Abwahlmöglichkeit nachlädt.
Das ist Tracking
Tracking bezeichnet das Identifizieren von Besuchern einer Webseite mit dem Ziel, die Besucher über einen längeren Zeitraum nachzuverfolgen und zu analysieren.
Im Gegensatz dazu stehen einfache Besucherzähler, die einen Besucher höchstens pro Sitzung eindeutig identifizieren. Sobald der Besucher seinen Browser schließt, vergisst der Besucherzähler, wer der Besucher war und zählt ihn beim Besuch einer Woche später erneut. Diese recht einfachen Besucherzähler können nicht nur ermitteln, welche Beiträge auf einer Webseite am häufigsten aufgerufen wurden. Man kann mit ihnen sogar herausfinden, von wo der Aufruf (Referrer) stattfand, zu welchem Zeitpunkt (Datum, Uhrzeit), von welchem Endgerät (PC, Smartphone, iPhone oder Android, Tablet, Notebook) und aus welchem Land.
Tracking kann im Gegensatz dazu noch viel mehr und erkennt Besucher auch wieder, nachdem diese eine Woche später die Webseite erneut aufrufen. Mit Tracking können Bewegungsprofile erstellt und Nutzergewohnheiten ermittelt werden, zumindest theoretisch.
Setzt man Google Analytics oder den Facebook Pixel ein, kann man das sogenannte Retargeting als Werbemaßnahme verwenden. Retargeting ist das Ausspielen von Werbung in den Google Suchergebnissen oder auf Facebook an Nutzer, die zuvor bereits mit der Webseite des Werbetreibenden in Berührung kamen.
Tracking durch Einsatz von Cookies
Um Nutzer nachzuverfolgen, nutzen viele Tracker häufig Cookies. Ein Cookie ist allerdings gar nicht unbedingt notwendig, um Nutzer nachzuverfolgen. Außerdem sind Cookies nur in einem einzigen Browser sichtbar und nicht in einem anderen Browser auf demselben Endgerät oder gar auf einem anderen Endgerät. Zur Nutzeridentifikation eignen sich vielmehr dessen Netzwerkadresse (IP-Adresse) sowie weitere gerätespezifische Kennzeichen. Diese Kennzeichen werden auch als Device Fingerprint, also als Gerätefingerabdruck oder digitaler Fingerabdruck, bezeichnet. Während man das Setzen von Cookies verhindern und gesetzte Cookie wieder löschen kann, kann der digitale Fingerabdruck so gut wie gar nicht eliminiert werden. Durch ständiges Wechseln des Browsers, der dann jeweils im Privatmodus verwendet wird, gelingt es jedenfalls nur teilweise und mit erheblichen Einbußen im Nutzungskomfort.
Netzwerkadressen als personenbezogene Daten
Die als IP-Adresse bezeichnete Netzwerkadresse wird von jedem Endgerät aus gesendet. Das Internet funktioniert nicht ohne diese Netzwerkadressen. Ruft Bernd eine Webseite wie beispiel.de auf, die Google Maps einbindet, erhält die Firma Google automatisch den digitalen Fingerabdruck von Bernd inklusive seiner Netzwerkadresse, obwohl Bernd doch nur die Seite beispiel.de aufrief, die von Marie betrieben wird, aber nicht von Google. Google freut sich über die Datenlieferung über Bernd, die Marie beschert hat und für die Marie verantwortlich ist.
Bereits seit 2017 sind IP-Adressen personenbezogene Daten, wie sowohl der EuGh als auch der Bundesgerichtshof (BGH) höchstrichterlich entschieden hatten. Das Jahr 2017 lag bekanntlich vor der DSGVO, als noch das Bundesdatenschutzgesetz galt. Anscheinend hatte aber niemand bemerkt, dass es plötzlich Urteile zu IP-Adressen gab. Erst mit Start der DSGVO merkte das irgendwann jeder in Form von verschärften Vorschriften im Internet und vielen dachten anscheinend, die DSGVO wäre der Hauptgrund dafür.
Webseiten sind technische Konstrukte
Eine Webseite ist aus Nutzersicht eine hoffentlich ansprechende Darstellung von Inhalten, die miteinander verlinkt sind und Mediendateien wie Bilder oder Videos sowie Funktionen wie Kontaktformulare oder Gefällt-mir-Möglichkeiten enthalten können.
Aus Datenschutzsicht sind Webseiten hochkomplexe Gebilde, die erst einmal wenig bis gar nichts mit rechtlichen Themen zu tun haben. Auf unterster Ebene einer Webseite befindet sich der Quellcode (wenn man vom Server, auf dem die Webseite liegt, absieht). Der Quellcode bestimmt die Gestalt und Funktion der Homepage. Im Quelltext sind Ladeanweisungen für Scripte, Videos, Bilder, Schriftarten, Karten oder Formulare verankert. Alle Ladevorgänge, die Dateien von Servern Dritter abrufen, sind datenschutzrechtlich relevant. Ein Drittserver ist ein Server, der nicht in der Verantwortung des Betreibers der Webseite steht. Populäre Beispiele sind die Server von Google, Adobe, XING oder Facebook. Scripte, die auf dem eigenen Server liegen und Tracking betreiben, sind datenschutzrechtlich ebenso relevant.
SSL-Zertifikate sind ebenfalls technisch bedingt und könnten als Konfiguration der Webseite bezeichnet werden.
Eine Ebene höher als der Quellcode und SSL-Zertifikate befindet sich die Darstellung der Webseite mit all ihren Funktionen. Für die DSGVO ist die konkrete Ausgestaltung von Formularen relevant. Nur in Kürze möchte ich hier die Schlagworte Datenminimierung und Einwilligungsabfragen insbesondere bei Newslettern erwähnen.
Die Datenschutzerklärung auf der Webseite
Außerdem wichtig ist die korrekte Verlinkung der Datenschutzerklärung. Die Datenschutzerklärung ist dann korrekt verlinkt, wenn der Link
- sprechend ist, also etwa mit Datenschutz oder Datenschutzerklärung beschriftet ist,
- von jeder (!) Seite der Webseite aus erreichbar ist,
- von jedem Endgerät von jeder Auflösung aus mit maximal zwei Klicks erreichbar ist,
- entweder direkt oder über ein offensichtliches Menü zugänglich ist.
Eine Anmerkung zum Punkt d): Als Untermenüpunkt in einem Menü, das mit Über uns beschriftet ist, wäre die Datenschutzerklärung beispielsweise nicht rechtssicher verlinkt.
Häufige Probleme auf Webseiten
Nach den Grundlagen zum Datenschutz auf Webseiten stelle ich nun die häufigsten Probleme auf Webseiten mit der DSGVO dar. Mit Hilfe von mehreren Studien konnte ich diese häufigen Probleme ermitteln. Dazu wurden viele hundert Webseiten von deutschen Unternehmen und Organisationen mit Hilfe meiner Datenschutz-Software wwwschutz analysiert (insgesamt wurden so von meiner Firma zig Tausende Webseiten geprüft). Die Prüfung fand vollautomatisch statt. Einige Prüfungen, die nur manuell durch einen Experten möglich sind, fanden also gar nicht statt (Beispiel: Sind Abwahlmöglichkeiten für Tracker und Analyseprodukte korrekt vorhanden?). Aus den vollautomatisch gewonnenen Erkenntnissen lassen sich aber bereits zahlreiche Probleme auf Webseiten mit der DSGVO ableiten. Die Prüfungsergebnisse wurden stichprobenartig manuell überprüft, um die Qualität entsprechend zu sichern.
Studie zu deutschen Webseiten in Bezug auf Datenschutz
Mit wwwschutz wurden folgende deutsche Webseiten gescannt und ausgewertet:
- 425 Universitäten
- 20 große Banken (laut Wikipedia die größten deutschen Banken)
- 97 Versicherungen
- 86 IHK-Webseiten
- 35 zufällig gewählte Webseiten von kleinen und mittelständischen Unternehmen
- 248 Webseiten von Unternehmen aus dem Mittelstand
Die Studienergebnisse sind im Detail hier zu finden.
Tracking
Sehr häufig binden Webseiten Tracking Tools ein, ohne vorher eine Einwilligung abzufragen. Hier spielen auch Cookies eine Rolle, aber nicht nur. Nicht selten kommt es zudem vor, dass eine Einwilligung abgefragt wird, die Abfrage aber technisch nicht funktioniert und somit rechtlich unhaltbar ist. Zu letzterer Kategorie gehören u.a. Webseiten, die Consent Tools von User Centrics, CookieBot oder ähnlichen Anbietern verwenden. Der Grund für das Versagen dieser Einwilligungslösungen ist, kurz gesagt, dass diese für gewöhnlich nicht ohne umfangreiche Anpassung der Webseiten funktionieren. Nur das Consent Script einzubinden und auf ein Wunder zu hoffen, reicht also nicht. Vielmehr müsste die Webseite angepasst werden, damit das Consent Tool richtig funktionierten kann.
Einwilligungen
Zudem sind wirksame Einwilligungen kaum möglich. Beispielsweise darf der Button zum Einwilligen nicht besser hervorgehoben sein als der Ablehnen-Button. Außerdem dürfen keine Vorbelegungen für Tracker aktiviert sein. Weitere Voraussetzungen, die Datenschutzbehörden an Einwilligungslösungen stellen, sollen hier nicht näher thematisiert werden. Ich weise nur darauf hin, dass es aufgrund der zahlreichen Vorschriften und Vorgaben nahezu unmöglich ist, eine wirksame und rechtssichere Einwilligung einzuholen. Daher kann ich nur empfehlen, alle Tracker zu vermeiden, die eine Einwilligung erfordern und lieber mit guten Alternativen zu arbeiten. Unten im Artikel mehr dazu.
Datenschutzerklärung
Bei den Webseiten mittelständischer Unternehmen fehlte recht häufig die Datenschutzerklärung oder war nur ungenügend verlinkt. Somit gilt diese wichtige Seite mit Rechtstexten als nicht vorhanden. Rechtssichere Webseiten entstehen so jedenfalls nicht.
Externe Inhalte
Neben dem oben erwähnten Tracking werden oft auch Tools eingebunden, die keine echten Tracker sind, datenschutzrechtlich aber als solche behandelt werden müssten. Beispielsweise gilt dies meines Erachtens für Google Maps, Google Schriften, YouTube Videos oder Vimeo Videos. Zur Erklärung verweise ich auf die weiter obenstehenden Ausführungen zum digitalen Fingerabdruck und zu Netzwerkadressen, die als personenbezogen gelten.
Fehlende Inhalte in der DSE
Fehlende Rechtstexte sind ebenfalls häufig anzutreffen. Viele bekommen es mittlerweile ganz gut hin, die Betroffenenrechte zu nennen. Das ist allerdings der einfachste Part zur Erfüllung der DSGVO auf Webseiten. Schließlich kann hier für jede Webseite derselbe Text verwendet werden (jedenfalls theoretisch, Urheberrechte müssen auch hier beachtet werden). Dennoch fehlen auf zahlreichen der untersuchten Webseiten einige dieser allgemeinen Rechtstexte. Ein häufigerer Fall ist das Fehlen von spezifischen Erklärungen zu eingesetzten Tools. Hierzu zählen neben Trackern auch Besucherzähler, externen Schriftarten und eingebundene Medien.
Zu Trackern fehlte übrigens oft neben der Einwilligungsabfrage auch eine Abwahlmöglichkeit, auch als Opt-Out bezeichnet.
Ergebnisse der Studie nach Branchen
Versicherungen
Am schlechtesten schnitten in meiner Studie die Webseiten der Versicherungen ab. Von 97 geprüften Webseiten sind laut wwwschutz 75 Webseiten von Versicherungen als risikoreich hinsichtlich der DSGVO anzusehen und nur 22 als relativ unbedenklich. Die Kriterien, was risikoreich ist und was nicht, sind subjektiv von mir gewählt. Allerdings wird eine Webseite erst als risikoreich klassifiziert, wenn sie einen eklatanten Verstoß aufweist. Fehlten lediglich ein paar Rechtstexte, wurde die betreffende Webseite von mir nicht als risikoreich klassifiziert (obwohl die Gefahr einer Abmahnung besteht).
Universitäten
Von den geprüften 425 Universitäts-Webseiten kann immerhin die Hälfte als in Ordnung angesehen werden. Zwar nicht wirklich gut, aber immer noch besser als die Statistik für die großen Banken. Von Banken würde man sich besonders wünschen, dass diese das Thema Datenschutz ernst nehmen, zumal die Ressourcen hier nicht das Problem sein sollten.
Sie sehen also, auch wenn viele meinen, eine rechtssichere Webseite zu haben, ist das Gegenteil der Fall. Es reicht bereits ein falsch eingebundenes YouTube Video, um ungewollt Tracking zu betreiben, von dem nur einer profitiert: Google als Anbieter der YouTube Videoplattform.
So entstehen rechtssichere Webseiten
Eine Einleitungsfrage, bevor ich Ihnen verrate, wie Sie eine rechtssichere Webseite erhalten:
Zu wem bringen Sie Ihr Auto zur Inspektion oder Reparatur?
- Verkehrsrechtsanwalt
- Hausmeister
- Profi-Werkstatt
Sie werden mir Recht geben, dass die Profi-Werkstatt als offensichtlich richtige Antwort nicht den Ruf hat, juristische Expertise zu besitzen. Anscheinend haben Werkstätten aber genügend Kenntnis von rechtlichen Regelungen, um Ihnen Ihr Auto in einem rechtlich unbedenklichen Zustand zurückzugeben.
Die Frage, an wen Sie sich wenden sollten, wenn Ihre Webseite DSGVO-konform gestaltet werden soll, können Sie sich gerne selber beantworten. Ein Hinweis hierzu: Agenturen sind dazu nur in der Lage, wenn sie meist die (technisch) gleiche Art von Webseite bauen, diese überschaubar ist, die Agentur fundierte DSGVO-Kenntnisse nachweisen kann und mit Ihnen über eine Haftungsübernahme spricht.
Schritte zur rechtssicheren Webseite
Der für mich offensichtlich erste Schritt ist lange unbeachtet geblieben. Meiner Wahrnehmung nach hat sich das vor ein paar Monaten geändert. Die Rede ist von der technischen Bestandsaufnahme der Webseite.
Die Bestandaufnahme geht am einfachsten mit Hilfe eines speziellen Datenschutz-Tools. Als Informatiker habe ich ein solches programmiert als ich merkte, dass es selbst mir als technischem Experten mit mittlerweile 30 Jahren IT-Projekterfahrung nicht durch manuelle Aktivitäten gelingt, meine eigenen Webseiten sicher und vor allem mit vernünftigem Aufwand DSGVO-konform zu gestalten.
Bestandsanalyse
Das Datenschutz-Tool scannt alle Unterseiten einer Webseite, also die Startseite und alle von dort erreichbaren Seiten. Oft haben Webseiten über 100 Seiten, in Einzelfällen auch mehrere tausend Seiten. Dabei findet eine statische und eine dynamische Analyse der Webseite statt. Statisch heißt, dass der Quellcode untersucht wird. So findet das Tool inaktive Codes oder solche, die erst 10 Sekunden nach Aufruf einer Seite ausgeführt werden. Ein Beispiel für eine verzögerte Ausführung sind Chat-Bots, die oft erst Sekunden nach dem Aufruf einer Webseite aufpoppen. Die dynamische Analyse hingegen erkennt direkt geladene Scripte und Tools jeder Art. Die Kombination aus statischer und dynamischer Analyse findet zusätzlich Formulare und Newsletter-Tools. Eine SSL-Prüfung wird ebenfalls durchgeführt und prüft, ob die Verschlüsselungstiefe ausreichend oder die Zertifizierungsstelle vertrauenswürdig ist. wwwschutz entdeckt hierbei auch, ob das SSL-Zertifikat durchgängig erreichbar ist, ob also die Weiterleitung von http nach https korrekt eingerichtet ist.
Erst nach der Bestandaufnahme kann man die Datenschutzerklärung erstellen. Bitte lesen Sie den vorigen Satz noch einmal.
Datenschutzerklärung als Abfallprodukt
Die Datenschutzerklärung ist dann nur noch ein Abfallprodukt der umfangreichen, vollständigen Bestandsaufnahme und ohne diese nicht seriös erstellbar. Für alle erkannten Tools muss geprüft werden, ob eine Einwilligungs- und Abwahlmöglichkeit notwendig ist. Diese muss dann ebenfalls in der Datenschutzerklärung eingebunden werden und zwar am besten so, dass sie technisch auch funktioniert. Viele Opt-Out Lösungen bedürfen eines Javascript-Codes. Ein einfacher Link reicht oft nicht aus. Auch hieran scheitern viele Webseiten.
Ich empfehle allerdings nach der Bestandsaufnahme und vor Erstellen der Datenschutzerklärung zu prüfen, ob wirklich alle eingebundenen Tools benötigt werden. Oft binden Internetagenturen Google Analytics ein, ohne dass es wirklich einen Nutzen hat. Ich kenne selbst einige Fälle, wo die Berichte von Google Analytics nie angesehen werden und das Tool nur da ist, weil der Webmaster es einfach so eingebunden hatte oder weil die Agentur den Kunden gewinnen wollte und ihm anfangs mit Analytics demonstrierte, was alles möglich sei.
Einbindung externer Skripte
Oft kommt es auch vor, dass WordPress-Plugins oder Design-Themen externe Scripte einbinden. Diese zu finden ist ohne Datenschutz-Software kaum möglich, ohne Schweißausbrüche zu bekommen. Wer wissen will, wie oft seine Webseite aufgerufen wird und welche Seite am meisten, kann einen Besucherzähler wie WP Statisticsverwenden und braucht ganz sicher nicht Google Analytics. Wer wissen will, wie Besucher die Webseite gefunden haben, dem empfehle ich die Google Webmaster Tools. Sie funktionieren komplett ohne Änderung der eigenen Webseite und müssen in der Datenschutzerklärung nicht deklariert werden. Wer AdWords betreiben möchte, braucht nicht unbedingt Google Analytics und sollte zudem prüfen, ob AdWords wirklich das gewünschte Ergebnis bringen.
Social Media Plugins gelten als Tracker und sollten vermieden werden. Besser ist eine reine Verlinkung direkt auf Ihre Social Media Seite. Übrigens ist der Betrieb von Facebook Fan Pages mit hohen rechtlichen Risiken verbunden, weil Sie als Fanpage Betreiber zusammen mit Facebook für das dort stattfindende (nach gängiger Meinung) unerlaubte Tracking haften.
Einsatz von unbekannten Tools
Wer sich nicht sicher ist, ob ein Tool DSGVO-konform ist oder nicht, hat die Frage bereits beantwortet: Ein rechtssicherer Einsatz ist höchstwahrscheinlich nicht möglich. Ich glaube eher an andere Wunder als dass Google, Facebook oder Apple auf absehbare Zeit datenschutzkonforme Unternehmen werden, die Nutzerdaten nicht außerhalb unseres Rechtsrahmens auswerten, ausbeuten und unerlaubt monetarisieren.
Meine Empfehlung, wenn Sie prüfen wollen, ob ein externes Tool rechtssicher einsetzbar ist: Schauen Sie sich die Webseite des Anbieters an. Ist der Anbieter nicht ermittelbar, ist das Tool nicht DSGVO-konform nutzbar. Weist die Anbieter-Webseite größere Datenschutzmängel auf – etwa Tracking ohne Einwilligung – überlasse ich es Ihrer Phantasie, wie groß die Chance ist, dass das Tool in dasselbe Horn bläst. Schauen Sie doch mal auf die Webseiten von Zoom, Vimeo oder GoToMeeting. Auch der Blick ins Impressum gibt oft einen Hinweis, wie es um ein Unternehmen bestellt ist.
Zusammenfassung: Schritte zur rechtssicheren Webseite (Schwerpunkt Datenschutz)
Zusammengefasst, sind die Schritte hin zur rechtssicheren Webseite die folgenden:
- Vollständige Bestandsaufnahme der gesamten Webseite inklusive aller Unterseiten und Quelltext-Analyse
- Nicht benötigte Tools entfernen
- Benötigte Tools korrekt konfigurieren
- Für Tracker ein funktionierende Einwilligungsabfrage einbauen (diese ist aber rechtssicher kaum realisierbar)
- Datenschutzerklärung anhand der Bestandsaufnahme erstellen
- Für Tracker und Besucherzähler eine Abwahlmöglichkeit in der Datenschutzerklärung einbauen
- SSL-Zertifikat verwenden, sofern Ihre Webseite ein Formular enthält oder Sie sich Diskussionen mit Nutzern ersparen möchten
- Weitere Vorschriften außerhalb der DSGVO beachten
Der wichtigste, weil der erste und grundlegende Schritt ist die Bestandsaufnahme. Daher kann ich nicht oft genug betonen, dass ohne diese Maßnahme eine hohe rechtliche Unsicherheit für Ihre Webseite besteht. Vertrauen Sie nur Dienstleistern wie Agenturen oder Anwälten, wenn diese schon einmal etwas von Haftungsübernahme gehört haben und Haftung nicht durch Fragebögen auf Sie abwälzen.
Fazit
Datenschutz auf Webseiten gelingt nur dann, wenn man einige grundlegende Dinge beachtet. Am einfachsten ist sauberer Datenschutz, wenn alle nicht wirklich benötigten Tools Tracker, Karten und Videos eliminiert und ggfs. durch Alternativen ersetzt werden. So können viele Google Karten mit einem einfachen Button »Route planen« ersetzt werden, was alle Datenschutzprobleme hierfür eliminiert. Schriftarten können immer lokal eingebunden werden, auch wenn dies im Einzelfall technisch anspruchsvoll sein kann.
Datenschutzerklärung
Eine ordentliche Datenschutzerklärung ist nur nach einer sauberen Bestandsaufnahme der gesamten Webseite möglich. Fragebögen und Checklisten helfen hier nur bedingt weiter.
Häufige Probleme mit Trackern können vermieden werden, wenn stattdessen auf Tracking verzichtet und ein einfacher, aber dennoch leistungsfähiger Besucherzähler eingesetzt wird. Sogenannte Consent Lösungen funktionieren in der Praxis meist nicht und sorgen nicht selten für rechtlich bedenklichere Seiten als wenn gar kein Cookie Popup vorhanden wäre.
Webseiten sollten so einfach wie möglich gehalten sein und funktional so umfangreich wie nötig. Das erleichtert den Datenschutz erheblich und verringert das rechtliche Risiko deutlich.
Wie sieht es mit rechtlichen Konsequenzen bei DSGVO-Verstößen auf Webseiten aus?
Abmahnung, Unterlassungserklärung oder Auskunftsbesuch
Abmahnungen durch Mitbewerber sind recht selten. Viel größer ist meiner Einschätzung nach das Risiko, von Privatpersonen eine Unterlassungserklärung zu erhalten. Die Vorstufe, eine Auskunftsanfrage von Kunden oder Personen, mit denen man bisher kommuniziert hat, ist hingegen recht wahrscheinlich, vor allem, wenn der Besucher Ihrer Webseite Grund hat anzunehmen, dass Sie Datenschutz nicht ernst nehmen. Mit Aufsichtsbehörden, die insbesondere dann tätig werden, wenn Auskunftsersuchen nicht ordentlich oder zu langsam beantwortet werden, möchte niemand nähere Bekanntschaft machen. Dann lieber gleich alles richtig machen.
Übrigens sollten Sie selbst nur über eine Abmahnung nachdenken, etwa, wenn jemand Ihre Urheberrechte verletzt hat, wenn Ihre Webseite rechtlich absolut sauber ist.
Über den Autor
D.-Ing. Klaus Meffert ist Diplom-Informatiker und kann aufgrund früher Anfänge in den 80er Jahren auf 30 Jahre IT-Projekterfahrung und zahlreiche Printpublikationen und Bücher zurückblicken. Unter anderem war er lange als Freiberufler für T-Systems und Fresenius tätig, aber auch für zahlreiche kleine und mittelständische Firmen wie Conrad Electronic. Seine Tätigkeitsschwerpunkte sind IT-Lösungen, insbesondere im Online Bereich, Schnittstellen (auch SAP) und technisch anspruchsvolle Projekte.
Seit 2017 beschäftigt sich Dr. Meffert mit dem Datenschutz auf Webseiten und hat mit seiner Firma, der IT Logic GmbH, eine eigene Datenschutz-Software namens wwwschutz entwickelt. Mit dem Online Tool von wwwschutz können beliebige Webseiten in Sekunden geprüft werden.
Sie möchten mehr über die Analyse Ihrer Webseite erfahren und wie Sie selbst die Seite fit machen?
Dann ist unser Webinar für Sie genau richtig!
