Damit die Daten von Besuchern einer Webseite geschützt sind, gibt es zahlreiche Regeln, die durch die DSGVO vorgegeben sind und eingehalten werden müssen. In diesem Artikel gehen wir auf typische Problemstellen von Webseiten ein und geben praktische Tipps mit an die Hand, was in regelmäßigen Abständen überprüft werden sollte.
Um die DSGVO-Konformität einer Website zu prüfen, ist ein strukturierter Ansatz erforderlich, der technische, rechtliche und organisatorische Aspekte berücksichtigt. Der Fokus liegt darauf, sicherzustellen, dass die Website die Datenschutzgrundsätze wie Transparenz, Datenminimierung und Sicherheit einhält.
Ein erster Schritt ist die Analyse der Datenschutzerklärung. Diese muss klar, verständlich und umfassend formuliert sein. Es sollte deutlich werden, welche Daten zu welchem Zweck erhoben werden, wer diese verarbeitet und ob Dritte involviert sind. Auch die Rechte der Nutzer – wie Auskunft, Berichtigung oder Löschung – müssen verständlich erklärt werden.
Im zweiten Schritt wird überprüft, ob für jede Verarbeitung personenbezogener Daten eine rechtliche Grundlage besteht. Zum Beispiel dürfen Cookies oder Tracking-Tools erst nach einer aktiven Einwilligung durch die Nutzer gesetzt werden. Die Einwilligung muss widerrufbar sein, und die verwendeten Tools müssen entsprechend dokumentiert sein.
Weiterhin ist die technische Umsetzung der Datensicherheit entscheidend. Hier wird geprüft, ob die Datenübertragung durch HTTPS verschlüsselt ist und ob Sicherheitsmaßnahmen wie regelmäßige Software-Updates, Firewalls und Zugriffsbegrenzungen umgesetzt wurden. Zudem sollte die Website den Grundsatz der Datenminimierung umsetzen, indem sie nur die notwendigen Daten erhebt und speichert.
Ein weiterer wichtiger Punkt ist die Einhaltung er Informationspflichten bei Kontaktformularen, Newsletter-Anmeldungen oder Online-Shops. Nutzer müssen vorab informiert werden, welche Daten sie bereitstellen und wie diese verwendet werden. Auch ein Double-Opt-in-Verfahren bei Anmeldungen ist ratsam, um die Einwilligung eindeutig nachweisen zu können.
Abschließend sollte die gesamte Website mit Hilfe eines Tools oder durch Experten auf Schwachstellen überprüft werden. Tools wie Cookie-Scanner oder Datenschutzprüfungen helfen, versteckte Tracking-Skripte oder unzulässige Datenverarbeitungen aufzudecken. Dennoch ist es ratsam, eine juristische und technische Prüfung zu kombinieren, da automatisierte Tools nicht alle Aspekte abdecken können.
Durch die Kombination dieser Maßnahmen lässt sich die DSGVO-Konformität einer Website fundiert bewerten und gegebenenfalls verbessern.
Kontaktformulare
Kontaktformulare auf einer Website unterliegen besonderen Anforderungen der DSGVO, da sie in der Regel personenbezogene Daten wie Name, E-Mail-Adresse oder Telefonnummer erfassen. Um die Datenschutzvorgaben einzuhalten, sollten die folgenden Aspekte berücksichtigt werden:
Datenminimierung
Das Kontaktformular sollte nur die Daten abfragen, die für den jeweiligen Zweck tatsächlich notwendig sind. Beispielsweise könnten Pflichtfelder auf Name und E-Mail-Adresse beschränkt werden, während Felder wie Telefonnummer oder zusätzliche Informationen optional sein sollten. Eine zu umfangreiche Abfrage von Daten verstößt gegen den Grundsatz der Datenminimierung.
Transparente Information
Nutzer müssen klar und verständlich informiert werden, was mit ihren Daten geschieht. Direkt neben oder unter dem Formular sollte ein Hinweis auf die Verarbeitung der Daten stehen. Dies kann beispielsweise so aussehen:
Die von Ihnen eingegebenen Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Weitere Informationen finden Sie in unserer Datenschutzerklärung
Ein Link zur vollständigen Datenschutzerklärung sollte gut sichtbar integriert sein.
Einwilligung
Wenn die Verarbeitung der eingegebenen Daten über den Zweck der bloßen Beantwortung der Anfrage hinausgeht (z.B. für Werbezwecke oder Newsletter), ist eine ausdrückliche Einwilligung erforderlich. Dies geschieht am besten durch ein zusätzliches, freiwilliges Kontrollkästchen wie:
Ich stimme der Verarbeitung meiner Daten für [Zweck] gemäß der Datenschutzerklärung zu.
Das Kästchen darf dabei nicht vorab angehakt sein.
Rechtsgrundlage
Die rechtliche Grundlage für die Datenverarbeitung muss eindeutig sein. In der Regel basiert die Verarbeitung von Daten aus Kontaktformularen auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung oder vorvertragliche Maßnahmen) oder, wenn die Anfrage nicht zwingend erforderlich ist, auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Sicherstellung der Datensicherheit
Die Daten, die über das Formular versendet werden, müssen vor unbefugtem Zugriff geschützt sein. Dies bedeutet insbesondere:
- SSL-/TLS-Verschlüsselung:
- Die gesamte Website, einschließlich des Kontaktformulars, muss über eine verschlüsselte Verbindung laufen (HTTPS).
- Sicherer E-Mail-Versand:
- Wenn die Formulardaten per E-Mail weitergeleitet werden, sollte auch der E-Mail-Server verschlüsselt sein.
- Speicherdauer minimieren:
- Gespeicherte Daten sollten nach der Bearbeitung der Anfrage gelöscht werden, sofern keine rechtlichen Aufbewahrungspflichten bestehen.
| Double-Opt-in bei sensiblen Anfragen | Bei besonders sensiblen Anfragen oder wenn das Kontaktformular zur Anmeldung für Services (z.B. Newsletter) genutzt wird, ist ein Double-Opt-in-Verfahren ratsam. Hierbei erhält der Nutzer eine Bestätigungs-E-Mail, in der er aktiv zustimmen muss, bevor seine Daten verarbeitet werden. |
| Logging und Nachweisbarkeit | Die Verarbeitung der Daten sollte protokolliert werden, um im Falle einer Nachfrage nachweisen zu können, dass die Daten im Einklang mit der DSGVO verarbeitet wurden. besonders bei Einwilligung ist es wichtig, den Zeitpunkt und die Umstände der Zustimmung dokumentieren zu können. |
| Auftragsverarbeitungsvertrag | Wenn ein Drittanbieter (z.B. ein externer Webhoster oder ein E-Mail-Dienstleister) an der Verarbeitung der Formulardaten beteiligt ist, muss mit diesem ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen werden. Dieser regelt, wie der Dienstleister die Daten verarbeitet und schützt. |
Ein DSGVO-konformes Kontaktformular verlangt nicht nur technische Sicherheit, sondern auch transparente Information und klare Einwilligungen. Die Nutzer sollten genau wissen, welche Daten erfasst werden, warum dies geschieht, und wie sie ihre Rechte ausüben können. Durch regelmäßige Prüfungen und den Einsatz sicherer Technologien kann die Konformität langfristig gewährleistet werden.
Einbindung von Google Fonts
Die Einbindung von Google Fonts hat im vergangenen Jahr zu einer großen Abmahnwelle geführt, da das Münchner Landgericht Januar 2022 in einem Urteil feststellte, dass die Einbindung extern geladener Google Fonts nur mit Einwilligung der Nutzer geschehen darf. Es erfordert besondere Vorsicht im Hinblick auf die DSGVO, da bei einer falschen Integration personenbezogene Daten, insbesondere die IP-Adresse der Website-Besucher, an Google-Server in den USA übertragen werden können. Dies kann rechtliche Konsequenzen haben, da der Europäische Gerichtshof (EuGH) im Schrems-II-Urteil strengere Anforderungen an Datenübertragungen in Drittländer gestellt hat.
Probleme bei der direkten Einbindung von Google Fonts
| IP-Adresse-Übertragung | Wenn Google Fonts dynamisch von den Servern von Google geladen werden, wird die IP-Adresse des Nutzers an Google übertragen. Die IP-Adresse gilt als personenbezogenes Datum. |
| Rechtsgrundlage fehlt | Eine solche Datenübertragung erfordert entweder die ausdrückliche Einwilligung des Nutzers oder einen Nachweis über ein berechtigtes Interesse (was schwer nachzuweisen ist). |
| Datenübertragung in die USA | Nach Schrems II müssen zusätzliche Schutzmaßnahmen getroffen werden, da die USA nicht als sicheres Drittland gelten. |
DSGVO-konforme Einbindung von Google Fonts
Es gibt mehrere Möglichkeiten, Google Fonts DSGVO-konform zu integrieren:
- Lokale Einbindung der Fonts
- Die sicherste Methode ist, die gewünschten Google Fons herunterzuladen und lokal auf dem Server der Website zu speichern. Dadurch wird keine Verbindung zu den Servern von Google hergestellt, und es findet keine Datenübertragung statt.
- Nutzung mit einer Einwilligung (z.B. Cookie-Banner)
- Wenn Sie Google Fonts weiterhin direkt von den Google-Servern laden möchten, benötigen Sie eine explizite Einwilligung des Nutzers. Diese Einwilligung sollte über ein Cookie-Banner oder ein vergleichbares Consent-Management-Tool eingeholt werden.
- Vorgehen:
- Integrieren Sie Google Fonts so, dass sie erst nach Zustimmung des Nutzers geladen werden.
- Implementieren Sie ein Consent-Management-Tool, das verhindert, dass die Fonts vor der Einwilligung geladen werden.
- Informieren Sie die Nutzer in Ihrer Datenschutzerklärung, dass die Nutzung von Google Fonts mit der Übertragung personenbezogener Daten an Google verbunden sein kann.
- Vorgehen:
- Wenn Sie Google Fonts weiterhin direkt von den Google-Servern laden möchten, benötigen Sie eine explizite Einwilligung des Nutzers. Diese Einwilligung sollte über ein Cookie-Banner oder ein vergleichbares Consent-Management-Tool eingeholt werden.
- Nutzung einer Proxy-Lösung
- Eine weitere Möglichkeit ist, Google Fonts über einen Server-Proxy zu laden. Dabei wird die Verbindung zwischen dem Nutzer und den Google-Servern durch Ihre eigenen Server zwischengeschaltet. So bleibt die IP-Adresse des Nutzers verborgen.
- Vorgehen:
- Verwenden Sie ein Plugin oder ein Skript, das die Fonts über Ihren Server zwischenspeichert (z.B. bei WordPress gibt es dafür Plugins).
- Der Proxy-Server lädt die Schriftarten von Google und stellt sie den Nutzern bereit, ohne deren Daten weiterzugeben.
- Vorgehen:
- Eine weitere Möglichkeit ist, Google Fonts über einen Server-Proxy zu laden. Dabei wird die Verbindung zwischen dem Nutzer und den Google-Servern durch Ihre eigenen Server zwischengeschaltet. So bleibt die IP-Adresse des Nutzers verborgen.
Zusätzliche Maßnahmen
Unabhängig von der Einbindungsweise sollten Sie Ihre Datenschutzerklärung anpassen.
- Bei lokaler Einbindung:
- Erwähnen Sie, dass Schriftarten lokal gehostet werden und keine Datenübertragung an Dritte stattfindet.
- Bei externer Einbindung mit Einwilligung:
- Erklärung Sie, welche Daten an Google übertragen werden und auf welcher Rechtsgrundlage dies geschieht.
Die lokale Einbindung der Google Fonts ist die sicherste und DSGVO-konforme Methode, da keine Daten an Google übermittelt werden. Alternativ können Proxy-Server oder Einwilligungsmechanismen genutzt werden, sind jedoch komplexer und weniger benutzerfreundlich. Es ist ratsam, immer auf Nummer sicher zu gehen und Schriftarten lokal zu hosten, um rechtliche Risiken zu vermeiden.
Funktionierender Cookie Banner
Der Cookie Banner sollte regelmäßig auf die korrekte Funktionsweise überprüft werden. Ein Cookie Banner ist dafür da, zunächst die Einwilligung des Nutzers für die Nutzung seiner Daten durch verschiedene Dienste einzuholen.
Bevor diese Einwilligung nicht gegeben wurde, dürfen Cookies nicht geladen werden. Wenn der Benutzer der Webseite nicht einwilligt, dass diese Cookies verwenden darf, muss der Cookie Banner auch tatsächlich dafür sorgen, dass dies unterbunden wird. Manche Funktionalitäten der Webseite funktionieren unter Umständen nicht korrekt, wenn der Erhebung von Daten durch Cookies nicht zugestimmt wurde.
Ein funktionierender und DSGVO-konformer Cookie-Banner muss den Nutzern ermöglichen, selbst zu entscheiden, welche Arten von Cookies gesetzt werden dürfen, bevor diese aktiviert werden. Dabei sollte der Banner nicht nur technisch korrekt umgesetzt sein, sondern auch klar, transparent und benutzerfreundlich gestaltet sein.
Merkmale eines funktionierenden Cookie-Banners
Ein Cookie Banner sollte die folgenden Aspekte abdecken:
| Transparenz und Informationen | • Der Nutzer muss klar darüber informiert werden, welche Arten von Cookies verwendet werden (z.B. notwendige, statistische, Marketing-Cookies). • Der Banner sollte erklären, warum die Cookies verwendet werden und gegebenenfalls auf die Datenschutzerklärung verlinken, die detaillierte Informationen bietet. |
| Einwilligungspflicht für nicht notwendige Cookies | • Notwendige Cookies dürfen ohne Einwilligung gesetzt werden (z.B. für die grundlegende Funktionalität der Website wie Warenkörbe). • Alle anderen Cookies (z.B. für Tracking oder Marketing) dürfen nur mit vorheriger, aktiver Einwilligung gesetzt werden. |
| Granulare Auswahlmöglichkeiten | • Nutzer müssen die Möglichkeit haben, spezifisch auszuwählen, welche Arten von Cookies sie zulassen oder ablehnen möchten. • Ein „Alle akzeptieren“-Button sollte durch einen gleichwertigen „Nut notwendige Cookies akzeptieren“-Button ergänzt werden. |
| Widerrufsmöglichkeit | Nutzer müssen ihre Einwilligung jederzeit widerrufen können, z.B. über einen leicht zugänglichen Link wie „Cookie-Einstellungen“ im Footer. |
| Dokumentation und Nachweis | Die Einwilligung muss protokolliert werden, um sie im Falle einer Prüfung nachweisen zu können. Dabei sollten Datum, Uhrzeit und die getroffene Auswahl gespeichert werden. |
Technische Umsetzung eines Cookie-Banners
- Auswahl eines Cookie-Consent-Tools
- Ein gutes Consent-Management-Tool (CMP) erleichtert die Umsetzung eines funktionierenden Cookie-Banners. beliebte Tools sind:
- Borlabs Cookie (für WordPress)
- Cookiebot
- Usercentrics
- Complianz
- Diese Tools bieten vorgefertigte Lösungen, die individuell angepasst werden können.
- Ein gutes Consent-Management-Tool (CMP) erleichtert die Umsetzung eines funktionierenden Cookie-Banners. beliebte Tools sind:
Funktionalitäten und Anpassungen
- Automatische Blockierung von Cookies
- Cookies dürfen erst nach der Einwilligung gesetzt werden. Tools wie Cookiebot bieten automatische Skriptblockaden, bis die Zustimmung erfolgt.
- Falls der Cookie-Banner selbst erstellt wird, müssen Tracking-Skripte (z.B. Google Analytics) erst nach Zustimmung aktiviert werden.
- Responsive Design
- Der Cookie-Banner sollte auf allen Geräten (Desktop, Tablet, Smartphone) gut lesbar und einfach bedienbar sein.
- Logik zur Speicherung der Auswahl
- Die Auswahl des Nutzers wird in einem technisch notwendigen Cookie oder im Local Storage gespeichert, damit der Banner bei einem erneuten Besuch nicht erneut angezeigt wird.
Aktuelles Impressum und Datenschutzerklärung
Ein aktuelles Impressum und eine rechtskonforme Datenschutzerklärung sind für die meisten Webseiten Pflicht. Um dafür zu sorgen, dass das Impressum und die Datenschutzerklärung stets auf dem neuesten Stand sind, sollte man sich als Webseitenbetreiber immer über aktuelle Gerichtsurteile und Änderungen der DSGVO auf dem Laufenden halten. Auf diese Weise kann man auch hier verhindern, dass die Webseite rechtswidrig wird.
Ein rechtlich aktuelles Impressum und eine Datenschutzerklärung sind essenziell für die Einhaltung des DSGVO und des Telemediengesetzes (TMG) bzw. des Medienstaatsvertrags (MStV). Beide Dokumente sollten regelmäßig überprüft und an neue Gesetze oder Urteile angepasst werden.
Pflichtangaben für geschäftliche Websites
| Name und Anschrift | • Vollständiger Name des Unternehmens oder des Website-Betreibers. • Vollständige Anschrift, keine Postfachadresse. |
| Kontaktmöglichkeiten | • Eine E-Mail-Adresse, über die der Betreiber erreichbar ist. • Telefonnummer (optional, aber empfohlen). |
| Vertretungsberechtigte Personen | • Bei juristischen Personen (z.B. GmbH, AG) müssen die vertretungsberechtigten Personen (Geschäftsführer, Vorstand) genannt werden. |
| Registernummer | • Handelsregister-, Vereinsregister-, Partnerschafts- oder Genossenschaftsregisternummer sowie das Registergericht, sofern anwendbar. |
| Umsatzsteuer-ID oder Wirtschafts-ID | • Falls vorhanden, die Umsatzsteuer-Identifikationsnummer (gemäß § 27a UStG). |
| Aufsichtsbehörde | • Bei bestimmten Berufsgruppen (z.B. Anwälte, Ärzte) muss die zuständige Aufsichtsbehörde angegeben werden. |
| Angaben zu berufsrechtlichen Regelungen | • Für reglementierte Berufe (z.B. Architekten, Steuerberater) sind Angaben zu den geltenden Berufsregelungen und Kammermitgliedschaften erforderlich. |
| Verantwortlicher für den Inhalt (§ 18 Abs. 2 MStV) | • Bei journalistisch-redaktionellen Angeboten muss ein Verantwortlicher für den Inhalt mit Anschrift genannt werden. |
Datenschutzerklärung – Inhalte gemäß DSGVO
Die Datenschutzerklärung muss Nutzer umfassend darüber informieren, welche personenbezogenen Daten gesammelt werden, warum dies geschieht, und welche rechte sie haben. Sie ist gemäß Art. 12-14 DSGVO Pflicht.
- Wichtige Inhalte
- Name und Kontaktdaten des Verantwortlichen
- Identität des Verantwortlichen (z.B. Website-Betreiber).
- Kontaktdaten des Datenschutzbeauftragten, falls vorhanden.
- Zwecke und Rechtsgrundlagen der Datenverarbeitung
- Detaillierte Erklärung, wofür die Daten verarbeitet werden (z.B. Kontaktformular, Newsletter, Analyse-Tools).
- Drittanbieter und Empfänger
- Offenlegung von Drittanbietern (z.B. Hosting-Provider, Google Analytics, Zahlungsanbieter).
- Datenübermittlung in Drittstaaten
- Erklärung, ob und wie Daten in Drittländer (außerhalb der EU) übermittelt werden, z.B. bei Google-Diensten.
- Speicherdauer der Daten
- Angabe, wie lange personenbezogene Daten gespeichert werden.
- Rechte der Nutzer
- Hinweis auf Rechte wie Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch und Beschwerde bei der Aufsichtsbehörde.
- Cookies und Tracking
- Erklärung, welche Cookies verwendet werden und zu welchem Zweck.
- Hinweis auf die Möglichkeit, Cookies zu deaktivieren oder die Zustimmung zu ändern.
- Einwilligung und Widerruf
- Informationen darüber, wie Nutzer ihre Einwilligung widerrufen können.
- Name und Kontaktdaten des Verantwortlichen
Newsletter
Beim Newsletter gilt ähnlich wie beim Kontaktformular, das zunächst die Einwilligung zur Datenverarbeitung eingeholt werden muss, bevor der Newsletter verschickt werden darf. E-Mails dürfen von Webseitenbetreiber erst an denjenigen, der sich für den Newsletter eingetragen hat, verschicken, wenn dieser im Double Opt-In Verfahren zugestimmt hat, dass E-Mails gesendet werden dürfen. Ebenfalls sollte man überprüfen, ob die Newsletter-Software, die verwendet wird, DSGVO-konform ist.
Alle genannten Aspekte sollten regelmäßig überprüft werden, um die DSGVO-Konformität der eigenen Webseite sicherzustellen. Die Maßnahmen können entweder manuell durchgeführt werden, als auch durch professionelle Tools, mit denen sich spezielle DSGVO Checks durchführen lassen. Ein besonders genaues Tool dieser Art kann man bei decareto.com erwerben.
Ein Newsletter ist ein mächtiges Marketing-Tool, erfordert aber eine sorgfältige Planung und technische Umsetzung, um DSGVO-konform zu sein. Das Double-Opt-in-Verfahren, transparente Informationen und ein klarer Widerrufsmechanismus sind wesentliche Bestandteile. Durch die Verwendung eines professionellen Newsletter-Tools können viele dieser Anforderungen automatisch umgesetzt werden.
Fazit – DSGVO Konformität
DSGVO-Konformität ist entscheidend, um den Schutz personenbezogener Daten zu gewährleisten und rechtliche Risiken zu minimieren. Unternehmen und Website-Betreiber müssen klare Prozesse zur Datenverarbeitung etablieren, Nutzer umfassend informieren und Einwilligungen einholen, bevor Daten verarbeitet werden. Ein korrekt gestalteter Cookie-Banner, eine transparente Datenschutzerklärung sowie datenschutzfreundliche Tools sind Grundvoraussetzungen.
Ebenso wichtig ist die Sicherstellung der Datensicherheit durch SSL-Verschlüsselung und die Minimierung der erhobenen Daten. Mit Auftragsverarbeitungsverträgen (AVV) garantieren Unternehmen die DSGVO-Konformität externer Dienstleister. Verstöße können zu hohen Bußgeldern und Reputationsverlust führen.
DSGVO-Konformität erfordert kontinuierliche Überprüfung, besonders bei neuen Technologien oder geänderten rechtlichen Rahmenbedingungen. Ein umfassender Ansatz schützt nicht nur die Privatsphäre der Nutzer, sondern schafft auch Vertrauen. Unternehmen sollten Datenschutz als Chance verstehen, um Verantwortung zu zeigen und langfristig Wettbewerbsvorteile zu sichern.
FAQ
Was bedeutet DSGVO-Konformität?
DSGVO-Konformität bedeutet, dass personenbezogene Daten gemäß den Anforderungen der Datenschutz-Grundverordnung (DSGVO) verarbeitet werden. Das umfasst den Schutz der Privatsphäre, die Sicherstellung von Transparenz, die Einholung von Einwilligungen und die Einhaltung der rechte betroffener Personen.
Welche Daten fallen unter die DSGVO?
Die DSGVO gilt für personenbezogene Daten. Dazu gehören alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, wie:
• Name, Adresse, Telefonnummer
• E-Mail-Adressen (auch geschäftliche)
• IP-Adressen und Cookies
• Gesundheits- und Finanzdaten
Was muss ich als Website-Betreiber tun, um DSGVO-konform zu sein?
• Datenschutzerklärung bereitstellen: Diese muss klar und transparent über die Verarbeitung personenbezogener Daten informieren.
• Cookie-Banner: Stellen Sie sicher, dass nicht notwendige Cookies erst nach Zustimmung gesetzt werden.
• Einwilligungen einholen: Für Newsletter oder Kontaktformulare muss die aktive Zustimmung des Nutzers eingeholt werden.
• Auftragsverarbeitungsverträge (AVV): Wenn Sie externe Dienstleister (z.B. für Hosting oder Newsletter) nutzen, benötigen Sie AVV's mit diesen Anbietern.
