Springe zum Inhalt

Webseiten DSGVO-konform gestalten: Problem und Lösung

Die Datenschutzgrundverordnung der EU (DSGVO) führt strenge Datenschutzregeln ein, die insbesondere für Webseiten gelten. beschreiben, was zu tun ist.

Die Datenschutz-konforme Webseite

Eine DSGVO-konforme Webseite muss alle anfallenden personenbezogenen Daten korrekt handhaben. Insbesondere muss in der Datenschutzerklärung über den Umgang mit personenbezogenen Daten aufgeklärt werden.

Das alleine ist schon schwierig genug, reicht aber nicht aus. Wir erklären im Folgenden, welche Schritte notwendig sind, um die DSGVO-konforme Webseite zu erhalten.

Die Rechtsgrundlage für die meisten Datenschutzprobleme ist die Tatsache, dass im Mai 2017 der Bundesgerichtshof entschieden hat, dass IP-Adressen als personenbezogene Daten gelten. Man kann eine Webseite aber gar nicht aufrufen, ohne seine IP-Adresse an den Inhaber der Webseite zu übertragen. Das bedeutet: Bei jedem beliebigen Aufruf einer Webseite werden immer personenbezogene Daten ausgetauscht.

Bestandsaufnahme

An erster Stelle steht die Bestandsaufnahme für die Webseite. Alle eingesetzten Komponenten müssen identifiziert und katalogisiert werden. Komponenten sind:

  • Schriftarten (wie etwa Google Fonts)
  • Videos von YouTube, Vimeo usw.
  • Analysetools
  • Social Media Plugins für Facebook, Twitter usw.
  • Kartenprodukte wie Google Maps
  • Kontaktformulare
  • Werbeeinblendungen
  • Affiliate Links
  • Externe Bilder
  • IFRAMES
  • Sonstige Scripte und externe Dateien

Um eine vollständige Katalogisierung der Webseite zu erhalten, muss jede einzelne Seite der Website genauestens untersucht werden. Das bedeutet, man muss jede Seite (Startseite, Impressum, Datenschutzerklärung, Anfahrtskizze, Kontaktformular, Blog-Artikel, Pressemitteilung etc.)

  1. im Browser einzeln aufrufen (!)
  2. visuell sichtbare Komponenten erkennen und katalogisieren
  3. Kontaktformulare sichten
  4. im Browser nicht direkt erkennbare Komponenten über eine genaue Sichtung des Quelltextes der Seite erkennen
  5. dynamisch nachgeladene Scripte identifizieren (geht nur über Zusatzwerkzeuge)

Abgesehen von den durch Webmaster selbst eingebauten Komponenten müssen selbstverständlich auch jene berücksichtigt werden, die beispielsweise über Plugins - und ohne dass man dies direkt veranlasst hätte - eingebunden wurden.

Datenschutzgeneratoren sind nicht geeignet, die Vielzahl existierender Komponenten ausreichend zu berücksichtigen. Abgesehen davon kennen viele Webseitenbetreiber gar nicht die Antwort auf jede Frage, die der Generator stellt.

Datenschutzerklärung

Alle auf der Webseite vorhandenen Komponenten müssen in der Datenschutzerklärung benannt werden. Pro Komponente muss jeweils ein eigener Text hinzugefügt werden, der den Anbieter der Komponente konkret nennt, ebenso den Grund des Einsatzes der Komponente und einen Link auf die Datenschutzrichtlinie des Anbieters der Komponente. Bei Analyseprodukten etwa muss auch eine Abwahlmöglichkeit (Opt-Out) angegeben werden.

Kontaktformulare

Einwilligung

Der Nutzer muss gemäß Erwägungsgrund 32 seine Einwilligung geben, dass seine Daten zur Beantwortung seiner Anfrage erhoben und verarbeitet werden dürfen. Dazu sollte dringend eine Checkbox (Kontrollkästchen) eingeführt werden, die der Nutzer aktiv anhaken muss, bevor das Formular abgeschickt werden darf.

Widerrufsrecht

Der Nutzer muss direkt am Formular die Möglichkeit genannt bekommen, dass er ein jederzeitiges Widerrufsrecht gegen die Verwendung seiner angegebenen Daten hat. Dieser Text sollte direkt am eben genannten Kontrollkästchen stehen.

Datenminimierung

Die DSGVO führt das Prinzip der Datenminimierung ein. Das bedeutet, es dürfen nur die absolut notwendigen Informationen im Formular abgefragt werden. bei einer Newsletter-Registrierung sollte man das Namensfeld weglassen oder wenigstens durch die Angabe Name oder Pseudonym ergänzen.

Rechtmäßiger Einsatz von Komponenten

Bestimmte Komponenten dürfen nur dann verwendet werden, wenn man deren Konfiguration korrekt gestaltet. Google Analytics darf nur mit anonymisierten IP-Adressen eingesetzt werden. YouTube Videos dürfen nur im erweitertem Datenschutzmodus eingebunden werden.

Social Media Plugins von Facebook, Twitter und Google+ dürfen gar nicht eingesetzt werden, außer man verwendet eine externe Lösung wie Shariff.

Erreichbarkeit von Impressum und Datenschutzerklärung

Diese wichtigen Seiten müssen mit maximal zwei Klicks erreichbar sein und zwar von jeder (!) einzelnen Seite der Webseite aus. Das gilt für alle Endgeräte gleichermaßen, also auch am Smartphone.

Praktische Tipps

Die obigen Hinweise noch einmal in Form von kurzen, praktische Tipps zusammengefasst und ergänzt um weitere Tipps

8 Tipps

Bestandsaufnahme

Prüfen Sie, so gut Sie es können, was auf Ihrer Webseite an Komponenten, Scripten, externen Dateien (Bilder etc.) eingesetzt wird. Brauchen Sie das alles wirklich? Brauchen Sie das Facebook Plugin wirklich oder klickt nur ganz selten jemand drauf? Setzen Sie WordPress ein, schauen Sie in der Plugin-Liste, ob Sie nicht einige Plugins entfernen könenn (probehalber erst mal deaktivieren und Webseite dann testen).

Entfernen Sie alles, was Sie nicht mehr benötigen. Ihre Seite läuft dann auch schneller, ist leichter wartbar und erhält potentiell mehr Traffic.

Analysewerkzeuge

Verzichten Sie, wnn möglich, auf Google Analytics. Setzen Sie lieber WP Statistics ein, wenn Sie WordPress verwenden (kein AV-Vertrag notwendig, rechtlich viel leichter beherrschbar) oder Matomo/Piwik.

Brauchen Sie gar kein Analyse-Tool, dann lassen Sie es einfach weg. Setzen Sie nicht zwei Analytic Tools gleichzeitig ein.

Cookie Popup Banner einsetzen

Fügen Sie es ein, wenn eines der folgenden Kriterien auf Ihre Webseite zutrifft:

  • Sie setzen WordPress, Typo3 oder einen Homepage Baukasten ein
  • Sie setzen Google Produkte wie Google Maps ein
  • Ihre Webseite verwendet an sich Cookies

Cookie Popup Banner: Anzeige

Achten Sie darauf, dass das Banner die Links zu Impressum und Datenschutzerklärung nicht überdeckt. Prüfen Sie das auch auf dem Smartphone

Kontaktformulare: Datenminimierung

Entfernen Sie alle Felder, die Sie nicht mehr benötigen. Wenn der Name abgefragt wird, fragen Sie lieber nach Name oder Pseudonym (sofern möglich).

Kontaktformulare: Einwilligung einholen

Fügen Sie vor dem Abschicken-Button eine Checkbox ein, an der steht, dass der Nutzer damit einverstanden ist, dass seine eingegebenen Daten verwendet werden, um ihn zu kontaktieren. Für Newsletter und Kommentarfelder ändern Sie diesen Text entsprechend des Zwecks des Formulars ab.

Impressum und Datenschutzerklärung

Die Links darauf müssen von allen Seiten Ihrer Webseite aus erreichbar sein. Und zwar mit maximal zwei Klicks. Das ganze gilt für alle Endgeräte, vom Smartphone bis zum HD-Monitor auf dem PC.

Impressum: Pflichtangaben

Zwar kein Datenschutzthema, aber oft falsch gemacht. Achten Sie auf die Angabe der Mailadresse, der USt.-ID (falls vorhanden) und der rechtformspezifischen Angaben. Bei GmbHs etwa sind Geschäftsführer und Amtsgerichtseintrag mit anzugeben.

2 Bonustipps: 2 Tipps

NOINDEX und NOARCHIVE für Impressum und Datenschutzerklärung

Mittels der META-Direktive robots sollten Sie die beiden genannten Spezialseiten auf NOARCHIVE setzen. So werden sie von Suchmaschinen nicht in alten Versionen gehalten. Außerdem sollten sie auf NOINDEX gesetzt werden, um nicht in den Suchergebnissen zu erscheinen.

Webseite aus dem Internet Archiv löschen

Das Internet Archiv unter archive.orgenthält Uraltstände von Webseiten. Das ist schlecht, weil die Rechtstexte und Konfigurationen damals sicher falsch waren, verglichen mit heutigem Rechtsstand. Entfernen Sie Ihre Webseite aus diesem Archiv. Keine Angst: Ihre Webseite bleibt in aktueller Fassung und in den Google Suchergebnissen bestehen.

Die Lösung

Wir haben über 7000 Webseiten analysiert, Keine einzige davon (>99,9%) war ohne größere Datenschutzfehler. Der Schluss ist: Kein Mensch kann diese Aufgabe in endlicher Zeit leisten.

Unsere Lösung basiert auf einer eigens entwickelten Software, die alle Seiten einer Webseite (bis zu 500) einzeln durchgeht und sehr tiefgehend analysiert. Im Anschluss daran führt ein Datenschutzexperte wichtige Prüfungen manuell aus. Das Ergebnis enthält

  • eine individuelle, direkt nutzbare Datenschutzerklärung
  • problematisch eingebundene Komponenten samt Nennung der einzelnen Seiten, die korrigiert werden müssen
  • Hinweise zu Kontaktformularen
  • eine Liste externer Ressourcen, die Probleme bereiten könnten samt Lösungsvorschlägen
  • Erkennung von Cookies
  • weitere Hinweise zur Erhöhung der Rechtssicherheit
  • Prüfung des Impressums auf allgemeine Pflichtangaben.

Für weitere Informationen senden Sie eine Mail an dsgvo@it-logic.de.