So wird Ihre Website Datenschutz-fit
Cookie, Tracking, Datenschutzerklärung … wie genau war das denn jetzt nochmal? Wir geben Antworten auf die wichtigsten Fragen zum Thema. In 9 Schritten wird auch Ihre Website DSVGO-fit!
Letzte Aktualisierung: September 2023
Unser 9-Punkte-Programm für Ihre datenschutzkonforme Website:
- Cookie-Banner richtig konfigurieren →
- Social-Plugins korrekt in die Website einbinden →
- Tracking in Einklang mit der DSGVO →
- SSL-Zertifikat für eine sichere Website →
- Google Fonts datenschutzkonform einbinden →
- Formulare korrekt aufbauen →
- YouTube, Google Maps & Co richtig einbinden →
- Newsletterversand – datenschutzkonforme Tools und Anmeldung →
- Vollständige und passende Datenschutzerklärung →
Cookie-Banner richtig konfigurieren
Die allseits „beliebten“ Cookie-Banner, die uns aktuell auf fast jeder Website entgegenspringen, sind die wohl offensichtlichste Veränderung seit Beginn des DSGVO-Zeitalters. Dabei gilt aber: Der Banner ist nur dann notwendig, wenn Cookies verwendet werden, die technisch nicht notwendig sind.
Was sind technisch nicht notwendige Cookies?
Zum Beispiel wenn:
- ich Daten mit einem Trackingtool wie Google Analytics oder Matomo Analytics sammle
- YouTube-Videos auf meiner Seite geladen werden
- ein Anfahrtsplan via Google Maps eingebunden ist
Welche Kriterien muss ein technisch korrekter Cookie-Banner erfüllen?
- Der Cookie-Banner muss neben dem „Zulassen- Button“ auch einen in Größe und Darstellung gleichwertigen Button beinhalten, der nur die notwendigen Cookies erlaubt.
- Das Ablehnen der Cookies muss mit einem einzigen Klick möglich sein.
- Außerdem sollte der Banner den User:innen die Möglichkeit geben, die Einstellungen für jede Cookie-Kategorie (Marketing, Statistik, … ) einzeln zu setzen.
→
Das WordPress-Plugin Borlabs ist zwar kostenpflichtig, bietet aber derzeit einen der besten Cookie-Banner auf dem Markt.
Richtig konfiguriert nimmt einem das Plugin viel Arbeit ab, außerdem wird es dank einem engagierten Support-Team immer rasch den jeweils aktuellen Rechtsprechungen angepasst.
Social-Plugins korrekt in die Website einbinden
Unter Social Plugins fallen zum Beispiel die weit verbreiteten „Share- oder Like-Buttons, die eine Verbindung zu Ihrem Social-Media-Account herstellen.
→
Social Media Plugins dürfen technisch nur mit der „Shariff“ oder „Zwei-Klick-Methode“ eingebunden werden.
Bei der „Zwei-Klick-Methode“ erhalten die User:innen beim ersten Klick eine Warnung, dass Daten nun an Facebook weitergeleitet werden. Erst durch die Bestätigung mittels zweitem Klick wird der Button aktiv und die User:innen können den Vorgang abschließen.
Eine gute Erklärung zum „Shariff-Button“ finden Sie hier. →
Tracking im Einklang mit der DSGVO
Empfiehlt sich Tracking mit Google Analyitcs?
In aller Munde – aber leider nicht datenschutzkonform – ist Google Analytics. Der amerikanische Trackingdienst ist schon seit einiger Zeit in Österreich nicht mehr mit der Datenschutzgrundverordnung vereinbar, was auch in zahlreichen Medienberichten nachzulesen ist →.
Aber was bedeutet das für die österreichischen Website-Betreiber:innen? Ist Tracking komplett untersagt? Gibt es Alternativen, und wenn ja – welche?
→
Als datenschutzkonforme Alternative zu Google Analytics empfehlen wir den Einsatz von Matomo Analytics.
Was muss ich bei Matomo Analytics als Trackingtool beachten?
Matomo kann ganz einfach mittels Plugin in jede WordPress-Website eingebunden werden.
Aber Achtung:
Die Hersteller:innen behaupten ziemlich frech auf ihrer eigenen Website, dass in der cookie-freien Variante keine Zustimmung der User:innen für den Einsatz des Plugins erforderlich ist. Nach genauer Betrachtung der Datenschutzgrundverordnung müssen wir dem aber widersprechen.
Auch in der cookie-freien Variante darf Matomo nur geladen werden, wenn die Userin oder der User über den Cookie Banner dem Tracking ausdrücklich zugestimmt hat.
Ebenso muss der Cookie-Banner so konfiguriert werden, dass die IP-Adresse gekürzt wird. Und last but not least sollte in der Datenschutzerklärung nochmal zusätzlich ein Ein- und Ausschalter für das Tracking eingebaut werden (Opt-Out).
SSL-Zertifikat für eine sichere Website
Sicherheitswarnungen im Browser abwenden
Mit einem gültigen SSL-Zertifikat ist Ihre Website über https und somit ohne Sicherheitswarnung im Browser verfügbar. Konkret bedeutet das, dass die Übertragung zwischen Client und Server verschlüsselt stattfindet.
Das Zertifikat ist heutzutage Standard und darf auf keiner Website fehlen.
→
Am besten wird auch die unverschlüsselte http Variante der Website auf die verschlüsselte https Version weitergeleitet.
So wird garantiert, dass Ihre User:innen immer auf der richtigen, sicheren Website landen und keine unangenehme Fehlermeldung aufpoppt.
Google Fonts datenschutzkonform einbinden
Google Fonts, also jene Schriften, die kostenlos von Google zur Verfügung gestellt werden, dürfen nur lokal am eigenen Server der Website gespeichert und nicht über Google dynamisch bezogen werden.
Grund dafür ist, dass bei der dynamischen Einbindung im Hintergrund Daten ohne Einverständnis der User:innen an Google gesendet werden.
→
Das Tool Google Webfonts Helper ermöglicht es Ihnen, die gewünschte Google-Schriftart für das lokale Einbinden in die Website herunterzuladen.
Woher weiß ich, ob meine Website überhaupt dynamisch Google Fonts lädt?
In unserem Video zeigen wir, wie Sie den eingebundenen Fonts auf die Schliche kommen.
Formulare korrekt aufbauen
Haben Sie ein Formular auf Ihrer Website, zum Beispiel ein Kontakt- oder Anfrageformular, müssen Sie auch an dieser Stelle Ihre User:innen über die Verarbeitung ihrer Daten aufklären.
Dies kann zum Beispiel über eine Checkbox mit Verlinkung zu Ihrer Datenschutzerklärung erfolgen.
→
Klingt kompliziert – geht aber ganz einfach. Zum Beispiel so:
Ich habe die Datenschutzbestimmungen zur Kenntnis genommen.
YouTube, Google Maps & Co richtig einbinden
Wenn Sie auf Ihrer Website einen Anfahrtsplan über Google Maps oder auch ein YouTube-Video einbinden möchten, müssen Sie die User:innen für das Laden dieser externen Inhalte über den Cookie-Banner um Erlaubnis bitten.
Der Banner muss im Rückschluss auch so konfiguriert sein, dass ohne diese Zustimmung die jeweiligen Einbindungen geblockt werden.
→
Keep it simple. Diesen Aufwand kann man schnell umgehen: Verlinken Sie einfach mit einem Button direkt zum Video auf YouTube oder auch direkt auf Google Maps zum Anfahrtsplan.
Welche Alternative gibt es zu Google Maps?
Als Alternative für den Einsatz von Google Maps ist übrigens auch das Einfügen eines Screenshots von Open Street Map möglich. Bitte denken Sie dabei aber unbedingt an den rechtlich erforderlichen Copyright-Hinweis.
Achtung: Screenshots von Google Maps sind rechtlich untersagt!
Newsletterversand – datenschutzkonforme Tools und Anmeldung
Es gibt zahlreiche große und kleinere Anbieter:innen am Markt, um Ihre Community mit Newslettern auf dem Laufenden zu halten. In ihren Funktionen sind viele ähnlich aufgebaut. Achten sollten Sie bei der Auswahl des Anbieters darauf, dass der Service datenschutzkonform aufgebaut ist. Unsere Empfehlung ist daher, anstatt amerikanischen lieber europäischen Tools den Vorzug zu geben.
Ich nutze MailChimp. Soll ich dabei bleiben?
Weit verbreitet und äußerst beliebt ist Mailchimp. Die schlechte Nachricht: Leider ist der Service, seit das Datenschutzabkommen zwischen Europa und den USA (= Privacy Shield) gefallen ist, bei uns nicht mehr datenschutzkonform. Sollten Sie noch damit arbeiten, empfehlen wir auf ein europäisches Angebot umzusteigen.
Welches Tool kann ich verwenden?
Es gibt zahlreiche Alternativen zu Mailchimp auf dem europäischen Markt. Egal für welches System Sie sich entscheiden: Wichtig ist, dass die Anmeldung über ein Double-Opt-In erfolgt.
Unter Double-Opt-In ist zu verstehen, dass die User:innen nach dem Ausfüllen des Anmeldeformulars ein Bestätigungsmail zum Verifizieren und Bestätigen ihrer E-Mail Adresse erhalten. Erst wenn die Newsletteranmeldung über diesen zweiten Schritt bestätigt wurde, ist die Anmeldung gültig. Zusätzlich muss jeder versendete Newsletter die Möglichkeit zur Abmeldung bieten.
Achten Sie außerdem darauf, dass Sie nur Personen, die sich aktiv für Ihren Newsletter angemeldet haben, anschreiben. Ohne Einwilligung der Adressat:innen dürfen keine Massenmails verschickt werden!
→
Wir arbeiten seit Jahren mit dem Anbieter rapidmail.at. Abgesehen von den zahlreichen kostenlosen Designvorlagen, die mit einem übersichtlichen und intuitiven Drag & Drop Editor bearbeitet werden können, zeichnet sich der Anbieter durch schnellen und zuverlässigen Support aus. Ein Blick lohnt sich.
Vollständige und passende Datenschutzerklärung
Braucht meine Website eine Datenschutzerklärung?
Die Antwort ist ganz klar: Ja – jede Datenschutzerklärung auf einer Website ist verpflichtend.
Es ist notwendig, dass sie, genauso wie das Impressum von jeder Seite aus mit nur einem einzigen Klick erreichbar ist. Eine Platzierung im Footer-Menü bietet sich daher meistens gut an.
Der Menüpunkt sollte außerdem mit der Bezeichnung „Datenschutz“ oder „Datenschutzerklärung“ gekennzeichnet werden. Mehr Info zur Benennung des Menüpunkts finden Sie übrigens hier. Die angeführten Informationen sollen möglichst verständlich und übersichtlich gestaltet sein.
In der Datenschutzerklärung werden alle oben angeführten Techniken aufgelistet und beschrieben. Ebenso notwendig sind Informationen über Speicherung, Rechtsgrundlage und Löschfristen aller von der Website gespeicherten Daten.
→
Es sollen nur die Punkte angeführt werden, die auch tatsächlich auf Ihre Seite zutreffen!
Wenn Sie einen Cookie-Banner verwenden, empfiehlt es sich in der Datenschutzerklärung einen Button einzubauen, der die Einstellungsmöglichkeiten des Banners nochmal aufrufbar macht.
Welche Inhalte müssen in einer Datenschutzerklärung angeführt werden?
Eine korrekte Datenschutzerklärung gibt Aufschluss zu folgenden Themen:
- Kontaktdaten der verantwortlichen Person
- Logfiles am Server, Verwendung von Cookies inklusive Liste aller Cookies mit Namen, Zweck und Speicherdauer
- Kontaktaufnahme via Mail und / oder Formular
- Newsletterversand
- Trackingtool / Web-Analyse-Tool
- Social-Media-Plugins (Facebook, Instagram etc.)
- Webkonferenzen
- Webshop
- Hinweis auf die gemeinsame Verwantwortung der Verarbeitungen von Daten beim Betrieb einer Facebook-Seite
- Rechte der betroffenen Personen
- Hyperlinks zu fremden Websiten
- Datensicherheit
Unser Fazit
Unser Fazit
Websites datenschutzkonform aufzubauen ist keine Raketenwissenschaft. Dennoch gibt es dabei einiges zu beachten. Tückisch sind vor allem immer wieder Drittanbieter:innen wie Plugin-Hersteller:innen, die im Hintergrund Daten sammeln, ohne, dass sich die Websitebetreiber:innen dessen überhaupt bewusst sind. Das gilt zum Beispiel für Google Fonts.
Sollten Sie unsicher sein, ist es ratsam, bei der Werbeagentur Ihres Vertrauens um Unterstützung zu bitten. Denn: Wozu sich die Haare raufen, wenn es auch Leute gibt, die Ihnen das Thema Datenschutz abnehmen können?
Katharina