Skip to main content
Blog

So wird deine Website Datenschutz-fit

Cookie, Tracking, Datenschut­zerklärung … wie genau war das denn jetzt nochmal? Wir geben Antworten auf die wichtigsten Fragen zum Thema. In 9 Schritten wird auch deine Website DSVGO-fit!

Letzte Aktualisierung: September 2023

Cookie-Banner richtig konfigurieren

Die allseits „beliebten“ Cookie-Banner, die uns aktuell auf fast jeder Website entgegenspringen, sind die wohl offensichtlichste Veränderung seit Beginn des DSGVO-Zeitalters. Dabei gilt aber: Der Banner ist nur dann notwendig, wenn Cookies verwendet werden, die technisch nicht notwendig sind.

Was sind technisch nicht notwendige Cookies?

Zum Beispiel wenn:

  • ich Daten mit einem Trackingtool wie Google Analytics oder Matomo Analytics sammle
  • YouTube-Videos auf meiner Seite geladen werden
  • ein Anfahrtsplan via Google Maps eingebunden ist

Welche Kriterien muss ein technisch korrekter Cookie-Banner erfüllen?

  • Der Cookie-Banner muss neben dem „Zulassen- Button“ auch einen in Größe und Darstellung gleichwertigen Button beinhalten, der nur die notwendigen Cookies erlaubt.
  • Das Ablehnen der Cookies muss mit einem einzigen Klick möglich sein.
  • Außerdem sollte der Banner den User:innen die Möglichkeit geben, die Einstellungen für jede Cookie-Kategorie (Marketing, Statistik, … ) einzeln zu setzen.
Unser Tipp für WordPress:

Das WordPress-Plugin Borlabs ist zwar kostenpflichtig, bietet aber derzeit einen der besten Cookie-Banner auf dem Markt.

Richtig konfiguriert nimmt dir das Plugin viel Arbeit ab, außerdem wird es dank einem engagierten Support-Team immer rasch den jeweils aktuellen Rechtsprechungen angepasst.

#2

Social-Plugins korrekt in deine Website einbinden

Unter Social Plugins fallen zum Beispiel die weit verbreiteten „Share- oder Like-Buttons, die eine Verbindung zu deinem Social-Media-Account herstellen.

Die wichtigste Regel dabei ist:

Social Media Plugins dürfen technisch nur mit der „Shariff“ oder „Zwei-Klick-Methode“ eingebunden werden.

Bei der „Zwei-Klick-Methode“ erhalten die User:innen beim ersten Klick eine Warnung, dass Daten nun an Facebook weitergeleitet werden. Erst durch die Bestätigung mittels zweitem Klick wird der Button aktiv und die User:innen können den Vorgang abschließen.

Eine gute Erklärung zum „Shariff-Button“ findest du hier. →

#3

Tracking im Einklang mit der DSGVO

Empfiehlt sich Tracking mit Google Analyitcs?

In aller Munde – aber leider nicht datenschutzkonform – ist Google Analytics. Der amerikanische Trackingdienst ist schon seit einiger Zeit in Österreich nicht mehr mit der Datenschutz­grundverordnung vereinbar, was auch in zahlreichen Medienberichten nachzulesen ist →.

Aber was bedeutet das für die österreichischen Website-Betreiber:innen? Ist Tracking komplett untersagt? Gibt es Alternativen, und wenn ja – welche?

Unser Tipp:

Als datenschutz­konforme Alternative zu Google Analytics empfehlen wir den Einsatz von Matomo Analytics.

Was muss ich bei Matomo Analytics als Trackingtool beachten?

Matomo kann ganz einfach mittels Plugin in jede WordPress-Website eingebunden werden.

Aber Achtung: Die Hersteller:innen behaupten ziemlich frech auf ihrer eigenen Website, dass in der cookie-freien Variante keine Zustimmung der User:innen für den Einsatz des Plugins erforderlich ist. Nach genauer Betrachtung der Datenschutzgrundverordnung müssen wir dem aber widersprechen.

Auch in der cookie-freien Variante darf Matomo nur geladen werden, wenn die Userin oder der User über den Cookie Banner dem Tracking ausdrücklich zugestimmt hat.

Ebenso muss der Cookie-Banner so konfiguriert werden, dass die IP-Adresse gekürzt wird. Und last but not least sollte in der Datenschutzerklärung nochmal zusätzlich ein Ein- und Ausschalter für das Tracking eingebaut werden (Opt-Out).

#4

SSL-Zertifikat für eine sichere Website

Sicherheits­warnungen im Browser abwenden

Mit einem gültigen SSL-Zertifikat ist deine Website über https und somit ohne Sicherheitswarnung im Browser verfügbar. Konkret bedeutet das, dass die Übertragung zwischen Client und Server verschlüsselt stattfindet. Das Zertifikat ist heutzutage Standard und darf auf keiner Website fehlen.

Unser Tipp:

Am besten wird auch die unverschlüsselte http-Variante der Website auf die verschlüsselte https-Version weitergeleitet.

So wird garantiert, dass deine User:innen immer auf der richtigen, sicheren Website landen und keine unangenehme Fehlermeldung aufpoppt.

#5

Google Fonts datenschutz­konform einbinden

Google Fonts, also jene Schriften, die kostenlos von Google zur Verfügung gestellt werden, dürfen nur lokal am eigenen Server der Website gespeichert und nicht über Google dynamisch bezogen werden.

Grund dafür ist, dass bei der dynamischen Einbindung im Hintergrund Daten ohne Einverständnis der User:innen an Google gesendet werden.

Unser Tipp:

Das Tool Google Webfonts Helper ermöglicht es dir, die gewünschte Google-Schriftart für das lokale Einbinden in die Website herunterzuladen.

Woher weiß ich, ob meine Website überhaupt dynamisch Google Fonts lädt?

In unserem Video zeigen wir, wie du den eingebundenen Fonts auf die Schliche kommen.

#6

Formulare korrekt aufbauen

Hast du ein Formular auf deiner Website, zum Beispiel ein Kontakt- oder Anfrageformular, musst du auch an dieser Stelle deine User:innen über die Verarbeitung ihrer Daten aufklären. Dies kann zum Beispiel über eine Checkbox mit Verlinkung zu deiner Datenschutz­erklärung erfolgen.

Unser Tipp:

Klingt kompliziert – geht aber ganz einfach. Zum Beispiel so:

Ich habe die Datenschutzbestimmungen zur Kenntnis genommen.

#7

YouTube, Google Maps & Co richtig einbinden

Wenn du auf deiner Website einen Anfahrtsplan über Google Maps oder auch ein YouTube-Video einbinden möchtest, musst du die User:innen für das Laden dieser externen Inhalte über den Cookie-Banner um Erlaubnis bitten.

Der Banner muss im Rückschluss auch so konfiguriert sein, dass ohne diese Zustimmung die jeweiligen Einbindungen geblockt werden.

Unser Tipp:

Keep it simple. Diesen Aufwand kannst du schnell umgehen: Verlinke einfach mit einem Button direkt zum Video auf YouTube oder auch direkt auf Google Maps zum Anfahrtsplan.

Welche Alternative gibt es zu Google Maps?

Als Alternative für den Einsatz von Google Maps ist auch das Einfügen eines Screenshots von Open Street Map möglich. Bitte denke dabei aber unbedingt an den rechtlich erforderlichen Copyright-Hinweis.

Achtung: Screenshots von Google Maps sind rechtlich untersagt!

#8

Newsletter­versand: datenschutz­konforme Tools und Anmeldung

Es gibt zahlreiche große und kleinere Anbieter:innen am Markt, um deine Community mit Newslettern auf dem Laufenden zu halten. In ihren Funktionen sind viele ähnlich aufgebaut. Achten solltest du bei der Auswahl deines zukünftigen Tools darauf, dass der Service datenschutzkonform aufgebaut ist. Unsere Empfehlung ist daher, anstatt amerikanischen lieber europäischen Anbieter:innen den Vorzug zu geben.

Ich nutze MailChimp. Soll ich dabei bleiben?

Weit verbreitet und äußerst beliebt ist Mailchimp. Die schlechte Nachricht: Leider ist der Service, seit das Datenschutzabkommen zwischen Europa und den USA (= Privacy Shield) gefallen ist, bei uns nicht mehr datenschutzkonform. Solltest du noch damit arbeiten, empfehlen wir auf ein europäisches Angebot umzusteigen.

Welches Newsletter-Tool kann ich verwenden?

Es gibt zahlreiche Alternativen zu Mailchimp auf dem europäischen Markt. Egal für welches System du dich entscheidest: Wichtig ist, dass die Anmeldung über ein Double-Opt-In erfolgt.

Unter Double-Opt-In ist zu verstehen, dass die User:innen nach dem Ausfüllen des Anmeldeformulars ein Bestätigungsmail zum Verifizieren und Bestätigen ihrer E-Mail-Adresse erhalten. Erst wenn die Newsletteranmeldung über diesen zweiten Schritt bestätigt wurde, ist die Anmeldung gültig. Zusätzlich muss jeder versendete Newsletter die Möglichkeit zur Abmeldung bieten.

Achte außerdem darauf, dass du nur Personen, die sich aktiv für deinen Newsletter angemeldet haben, in deinen Verteiler aufnimmst. Ohne Einwilligung der Adressat:innen dürfen keine Massenmails verschickt werden!

Unser Tipp:

Wir arbeiten seit Jahren mit dem Tool rapidmail.at. Abgesehen von den zahlreichen kostenlosen Designvorlagen, die mit einem übersichtlichen und intuitiven Drag & Drop Editor bearbeitet werden können, zeichnet sich das Unternehmen durch schnellen und zuverlässigen Support aus. Ein Blick lohnt sich.

#9

Vollständige und passende Datenschutzerklärung

Braucht meine Website eine Datenschutz­erklärung?

Die Antwort ist ganz klar: Ja, jede Website muss eine Datenschutzerklärung beinhalten.

Es ist notwendig, dass sie, genauso wie das Impressum, von jeder Seite aus mit nur einem einzigen Klick erreichbar ist. Die Platzierung des Links im Footer-Menü bietet sich daher meistens gut an.

Der Menüpunkt sollte außerdem mit der Bezeichnung „Datenschutz“ oder „Datenschutzerklärung“ gekennzeichnet werden. Mehr Info zur Benennung des Menüpunkts findest du übrigens hier. Die angeführten Informationen sollen möglichst verständlich und übersichtlich gestaltet sein.

In der Datenschutzerklärung werden alle oben angeführten Techniken aufgelistet und beschrieben. Ebenso notwendig sind Informationen über Speicherung, Rechtsgrundlage und Löschfristen aller von der Website gespeicherten Daten.

Wichtig bei der Datenschut­erklärung:

Es dürfen nur die Punkte angeführt werden, die auch tatsächlich auf deine Seite zutreffen!

Wenn du einen Cookie-Banner in Einsatz hast, empfiehlt es sich in der Datenschutz­erklärung einen Button einzubauen, der die Einstellungsmöglichkeiten des Banners nochmal aufrufbar macht.

Welche Inhalte müssen in einer Datenschutzerklärung angeführt werden?

Eine korrekte Datenschutzerklärung gibt Aufschluss zu folgenden Themen:

  • Kontaktdaten der verantwortlichen Person
  • Logfiles am Server, Verwendung von Cookies inklusive Liste aller Cookies mit Namen, Zweck und Speicherdauer
  • Kontaktaufnahme via Mail und / oder Formular
  • Newsletterversand
  • Trackingtool / Web-Analyse-Tool
  • Social-Media-Plugins (Facebook, Instagram etc.)
  • Webkonferenzen
  • Webshop
  • Hinweis auf die gemeinsame Verwantwortung der Verarbeitungen von Daten beim Betrieb einer Facebook-Seite
  • Rechte der betroffenen Personen
  • Hyperlinks zu fremden Websiten
  • Datensicherheit

Unser Fazit

Websites datenschutz­konform aufzubauen ist keine Raketenwissenschaft. Dennoch gibt es dabei einiges zu beachten. Tückisch sind vor allem immer wieder Drittanbieter:innen wie Plugin-Hersteller:innen, die im Hintergrund Daten sammeln, ohne, dass sich die Websitebetreiber:innen dessen überhaupt bewusst sind. Das gilt zum Beispiel für Google Fonts.

Wenn du unsicher bist, wende dich einfach an uns. Denn: Wozu sich die Haare raufen, wenn es Komplizinnen gibt, die dir das Thema Datenschutz abnehmen können?

Mehr zum
Thema

Meine WordPress Website wurde gehackt: Wie kann ich sie retten?

In diesem Blogartikel befassen wir uns mit einem Thema, das alle Website-Betreiber:innen betrifft: Was tun, wenn die eigene WordPress …

YOOtheme im Fokus: 5 unschlagbare Argumente für den Page Builder

Wenn es um Webentwicklung und UX-Design geht, gibt es eines ganz sicher nicht: Stillstand! Wir lieben unsere Branche für …