Der kostenlose Ein-Click-Check: Ist meine Website DSGVO-konform?
Datenschutz-Grundverordnung: Die Regeln für Websites werden strenger
Inzwischen hat es wohl jeder Website-Betreiber verstanden: Die DSGVO hat die Spielregeln für Websitebetreiber deutlich verschärft. Der Datenschutz ist zu einem zentralen Thema geworden. Ganz besonders heikel ist die Datennutzung durch Cookies und die Datenübertragung an Dritte, vor allem außerhalb der EU. Da die Strafen für Verstöße gegen die DSGVO sehr hoch sein können und die Behörden inzwischen auch mehr Verdachtsfälle verfolgen, sollte jeder Betreiber seine Internetseite(n) auf problematische Elemente und Vorgänge überprüfen und alles rechtssicher machen. Dazu gehören ganz besonders veraltete oder fehlende Cookiebanner und vermeintlich kostenfreie Tools, die die Gestaltung der Website bequemer machen, etwa Dienstleistungen von Google (Fonts, Maps, Analytics etc.).
Ist meine Homepage DSGVO-konform? Machen Sie den kostenlosen Website-Check!
Es gibt inzwischen eine große Anzahl von Check-Programmen für Online-Präsenzen, sogar einige kostenlose. Oft allerdings sind diese Scanprogramme vor allem auf den Verkauf kostenpflichtiger Vollversionen oder Beratungen ausgerichtet. In manchen Fällen werden auch die Ergebnisse unübersichtlich und für Laien kaum verständlich ausgegeben, so dass sich etwaige Risikoelemente nicht ohne Hilfe beheben lassen.
Wir empfehlen Ihnen daher die kostenlose Website-Analyse von Cookiebox.pro, die alle Cookies und Datenübertragungen auf Ihrer Internetseite prüft, übersichtlich darstellt und Ihnen Tipps zur Behebung von Problemen gibt. Der Datenschutz-Scanner prüft dabei nicht nur die Startseite, sondern auch zwei zufällig ausgewählte Unterseiten und simuliert einen echten Websitebesuch, ohne Ihrem Cookiebanner zuzustimmen. Dabei protokolliert er alle Datenströme, die durch seinen Besuch ausgelöst werden.
Insights from the outside: Welche Daten sammelt Ihre Website?
Nutzen Sie den # 1 Cookie-Scanner der COOKIEBOX GmbH für ein kostenlosen Website-Check Ihrer Domain! In 1 Minute erhalten Sie einen detallierten Datenschutz-Risikobericht – und sehen auf einem Blick, welche Cookies, Pixel, Tags, Third-Party-Services auf Ihrer Website im Einsatz sind.
Sie wollen den Scanner auf Ihrer eigenen Website einbauen? Wir stellen Ihnen das Quickcheck Widget kostenlos in Ihrem Wunschdesign zur Verfügung... Mehr erfahren
Wie mache ich meine Website DSGVO-konform?
Das Ergebnis Ihres Website-Checktools sollte Ihnen anzeigen, wo Probleme aufgetreten sind und wie sie sich lösen lassen. Dazu gehören beispielsweise Empfehlungen,
- ein Cookie-Banner bzw. Consent-Management-Tool einzubinden,
- eine Datenschutzerklärung vorzunehmen und gut erreichbar auf der Seite zu platzieren,
- das Cookiebanner zu aktualisieren, falls es Datenübertragungen in Drittländer gibt,
- Google Fonts DSGVO-konform einzubinden oder zu entfernen,
- Google Maps aus der Seite zu entfernen.
Was sind Cookies?
Cookies sind kleine Textdateien oder Pixel, die im Browser der User über einen bestimmten Zeitraum zu einem bestimmten Zweck gespeichert werden. Sie enthalten oftmals Informationen, die für den jeweiligen Besucher oder die Besucherin spezifisch sind (personenbezogene Daten) – oder manchmal nur für das Gerät, mit dem er/sie die Website besucht, wie Gerätemodell, Browser oder IP-Adresse.
Manche Cookies werden nur für die Dauer des Websitebesuchs gespeichert, andere wiederum können über Wochen, Monate oder sogar Jahre im Browser eines Nutzers gespeichert werden, um ein Nutzerprofil zu erstellen – unter Umständen sogar, indem verschiedene Cookies kombiniert werden. Sie dringen somit tief in die Privatsphäre der NutzerInnen ein. Daher wird hier eine Einwilligung erforderlich. Aufgrund der unterschiedlichen Funktionen und Auswirkungen von Cookies werden diese in Kategorien unterteilt.
Vor allem Cookies von Drittparteien außerhalb der EU führen schnell in die DSGVO-Falle. Oft genug sind diese in Tools oder Add-Ons versteckt, schwer zu finden und noch schwieriger zu beheben.
Was muss bei Cookies beachtet werden?
Es wird unterschieden zwischen informationspflichtigen und einwilligungspflichtigen Cookies.
Über den Einsatz von Cookies muss in jedem Fall informiert werden, sie sind also informationspflichtig. Zustimmen müssen die NutzerInnen hingegen nicht in jedem Fall. Einige Cookies sind beispielsweise für das reibungslose Funktionieren der Website erforderlich. Für den Einsatz solcher essentiellen oder auch notwendigen Cookies brauchen Sie keine Einwilligung des Nutzers oder der Nutzerin. Ein Beispiel für ein solches notwendiges Cookie ist beispielsweise die Einbindung der Consent-Management-Platform selbst. Ebenfalls nicht zustimmungspflichtig sind die technischen Cookies für interne Funktionalitäten wie
- Session Cookies, etwa für Warenkorbinhalte, Loginstatus oder Spracheinstellungen,
- Zugriff-Zähl-Cookies, die eine Überlastung von Websites verhindern.
In diesen Bereich gehören die sogenannten First-Party-Cookies, die nur innerhalb der Website, nur für die Dauer des Websitebesuchs und nur von Ihrem Unternehmen selbst genutzt werden.
Zu den einwilligungspflichtigen Cookies zählen sogenannte Marketing- oder Analyse-Cookies wie zum Beispiel Google Analytics. Auch funktionale Cookies wie beispielsweise von Google Maps, Kontaktformularen und Youtube-Videos sind einwilligungspflichtig. Das bedeutet, die NutzerInnen müssen dem Einsatz dieser Cookies und der damit verbundenen Datenübertragung ausdrücklich zustimmen. Tun sie dies nicht, müssen die Datenübertragungen unterbleiben – gleichzeitig darf die Website nicht schlechter funktionieren als mit Einwilligung. Diese Art der Cookies heißen Third-Party-Cookies, da die Cookies für Anbieter außerhalb der Nutzerbeziehung mit Ihnen gesetzt und genutzt werden.
Welche Cookies sind erlaubt?
Grundsätzlich verboten sind Cookies, die ohne Information und Einwilligung der Nutzerin oder des Nutzers gesetzt werden und unerlaubt personenbezogene Daten in Länder außerhalb der EU übermitteln.
Nach ausdrücklicher Einwilligung erlaubt, aber nur mit einer Einwilligungspflicht nutzbar sind Cookies, die nach einer freiwilligen, selbst verwaltbaren Einwilligung der User Daten in Drittländer übertragen. Hierbei sind allerdings recht viele Bestimmungen der DSGVO zu beachten, so muss etwa ein Auftragsverarbeitungsvertrag (AVV) zwischen allen Beteiligten bestehen und Sie als Websitebetreiber sind für den ordnungsgemäßen Umgang mit den Daten verantwortlich.
Über die Verwendung technisch notwendiger Cookies, die grundlegende Funktionalitäten der Website sicherstellen und keine Datenübertragung außerhalb Ihres Unternehmens beinhalten, müssen Sie nur informieren – und zwar vollständig, etwa in der Datenschutzerklärung Ihrer Homepage. Eine Zustimmung der User ist in diesem Fall nicht notwendig.
Was ist an Google Fonts & Co. so problematisch?
Google Fonts sind auf vielen Websites direkt eingebunden, das bedeutet, sie werden bei jedem Seitenaufruf per Link aus den USA zugespielt. Das spart zwar Platz im Webspace der Seite und garantiert auch die Verwendung der aktuellen Schriftartversion. Durch den Abruf wird allerdings eine Datenübertragung an die Google-Server in den USA ausgelöst, der der User gar nicht zustimmen kann. Denn um ihm die Homepage und die entsprechenden Informationen anzuzeigen, muss ja die Schrift bereits abgerufen werden.
Es gibt eine DSGVO-konforme Möglichkeit, Google Fonts einzubinden. Dabei wird die Schriftart heruntergeladen und lokal auf dem Server der Website vorgehalten. Dadurch erfolgt kein Datenabruf bei Google und die Datenverbindung kommt nicht zustande.Lesen Sie mehr unter https://www.cookiebox.pro/google-fonts-check/
Auch andere Google- Tools dürfen laut DSGVO nur auf ausdrückliche Einwilligung des Nutzers eingebunden werden. So darf beispielsweise eine Anfahrtskizze in Google Maps nicht direkt auf der Seite angezeigt werden, sondern der User muss der Anzeige des Drittanbieter-Inhalts samt der dann erfolgenden Datenübertragung zuvor ausdrücklich zustimmen, bevor die Karte erscheint.
Auch manche WordPress-Themes, Plug-Ins sowie eingebundene Elemente wie Rechner oder Onlinekalender können fehlerhaft eingebundene Google Fonts enthalten, die oft nur von Spezialisten entfernt werden können – oder die Anwendungen müssen durch DSGVO-konforme Alternativen ersetzt werden.
Ein aktuelles DSGVO-Website-Checktool sollte daher unbedingt auch einen Google-Fonts-Check oder besser noch einen Third-Party-Scanner enthalten, der auch andere Tools und Anbieter ermittelt.
Was bedeutet Consent bei Cookies?
Dass die DSGVO eine Zustimmung („Consent“) zum Einsatz von Cookies beim Websitebesuch erzwingt, spricht sich langsam herum – auch wenn es noch genügend Seiten gibt, die veraltete Cookiebanner zeigen. Denn eine einfache Information à la „Wir nutzen Cookies“„ mit der einzigen Option „Zustimmen“ ist mangels Aus- und Abwahlmöglichkeit schon lange nicht mehr zulässig. Inzwischen darf der „Zustimmen“-Button nicht mehr anders gestaltet sein als der „Auswahl“- und der „Ablehnen“-Button, damit die Optionen gleichwertig erscheinen.
Für eine informierte Einwilligung muss die Nutzerin bzw. der Nutzer genau informiert werden, welche Cookies von wem zu welchem Zwecke gesetzt werden. Es muss für jedes einzelne Cookie die Möglichkeit bestehen, es an- oder abzuwählen (Voreinstellung immer „aus“!) und die Auswahl auch nachträglich noch zu verändern. Nur die Cookies, die für die laufende Session erlaubt wurden, dürfen auch ausgespielt werden.
Mehr dazu: Cookie Banner Design Regeln
Gestaltung des Cookie-Banners - die wichtigsten Do's and Don'ts
Wie überprüfe ich, welche Cookies meine Website setzt?
Aktuell rollt eine große Abmahnwelle, die genau die Schwachstellen „Cookies/Cookiebanner“ und „Google Fonts/Maps“ auf Websites aufgreift. Eine solche Abmahnung kann unter Umständen richtig teuer werden. Daher sollte jede Websitebetreiberin und jeder Websitebetreiber schleunigst und regelmäßig einen Website-Check durchführen und herausfinden, welche Cookies auf der eigenen Website existieren und ob diese einwilligungspflichtig sind. Denn gerade die von anderen ProgrammiererInnen erstellten Elemente (Apps, Plug-Ins, Add-Ons, zugelieferte Tools) verändern sich ständig, und die Einbindung DSGVO-bedenklicher Elemente wird zumeist nicht mitgeteilt. Dadurch veralten die Abfragen im Cookie-Banner oft unbemerkt und können dann abgemahnt werden.
Wann brauche ich eine Datenschutzerklärung auf meiner Homepage?
Sobald Sie auf Ihrer Seite personenbezogene Daten erheben, müssen Sie eine Datenschutzerklärung auf die Website bringen, und zwar in der obersten Ebene der Seitenhierarchie. Die Datenschutzerklärung muss also jederzeit von jeder Seite aus erreichbar sein.
In der Datenschutzerklärung müssen Sie detailliert aufführen, welche personenbezogenen Daten Sie erheben, zu welchem Zweck Sie dies tun und was mit diesen Daten geschieht. Wenn Sie einen oder mehrere Drittanbieter eingebunden haben, die für Sie oder gar auf eigene Rechnung personenbezogene Daten verarbeitet (Facebook, Google, Apple etc.), müssen Sie jeden einzelnen eingebundenen Anbieter aufführen und auch für diesen erklären, welche Daten Ihrer User er zu welchem Zweck verarbeitet, ob diese mit anderen Daten zusammengeführt werden und wie lange sie gespeichert werden. Die Datenschutzerklärung kann also sehr lang werden, wenn Sie viele Fremdanbieter eingebunden haben. Alle Cookies dieser Anbieter müssen Sie dann auch analog in Ihr Cookie-Consent-Platform und das Cookie-Banner einbinden und die Option zur Deaktivierung ermöglichen.
Ihre Datenschutzerklärung muss unter anderem folgende Informationen in einer für Laien verständlichen Darstellung enthalten:
- Rechte des Nutzers
- Löschung von Daten
- Widerspruchsrecht
- die Weitergabe von Daten an Dritte und Drittanbieter
- Einbindungen von Diensten und Inhalten Dritter
- Erbringung vertraglicher Leistungen
- Kontaktaufnahme über das Kontaktformular
- Verwendung von Session-Cookies
- Einsatz von datenverarbeitenden Anti-Spam-Plugins
Detaillierte Informationen finden Sie unter https://www.cookiebox.pro/datenschutzerklaerung-erstellen/
CLOUD DSE: In nur 5 Minuten zur kostenfreien Datenschutzerklärung?
Das Thema Datenschutz assoziieren wenige mit außerordentlich viel Spaß sowie einer leichten Umsetzung.
Lösungsvorschlag: Was sagen Sie zu einer kostenfreien Datenschutzerklärung, welche Ihnen eine Zeit- und Sorgenersparnis garantiert. Die in nur 2 Minuten eingebunden und mit sämtlichen CMS und Shops kompatibel ist (jederzeit anpassbar? Check!).
Little Goodie - umfassender Gesundheits-Check-up: On top erhalten Sie einen monatlichen DSGVO-Check inkl. Ergebnisreport und Empfehlungen per Mail.
Wann brauche ich ein Consent Management Tool?
Wenn Sie Cookies auf Ihrer Website verwenden, müssen die BesucherInnen vorab detailliert über alle aktuell auf Ihrer Website eingesetzten Cookies auf Ihrer Website informiert werden, bevor sie ihre freiwillige Zustimmung („Consent“) erteilen – oder eben auch nicht. Sie müssen auch die Möglichkeit haben, ihre Zustimmung nur zu einem Teil der Cookies zu geben („Opt-In“) oder ihre Zustimmung zu einzelnen Cookies später wieder zurückzuziehen („Opt-Out“).
Über die CMP holen sich Websitebetreiber die Einwilligung zum Einsatz von einwilligungspflichtigen Cookies von ihren Besuchern ein und dokumentieren die Nutzerentscheidung. Die NutzerInnen sehen von diesem Tool nur die Oberfläche des Cookie-Banners. Tatsächlich aber verwaltet die dahinterstehende Plattform die Einwilligungen und passt die Funktionalitäten der Website der getroffenen Einwilligung an.
Erst wenn die NutzerInnen freiwillig der Setzung von Cookies zugestimmt haben und Sie dies über Ihr Tool dokumentiert haben, dürfen Sie überhaupt die Cookies setzen, denen die NutzerInnen zugestimmt haben. Und wenn sie später ihre Entscheidung widerrufen, müssen Sie dies sofort bei der Ausspielung von Cookies berücksichtigen.
Auch wenn die auf Ihrer Website eingesetzten Unterprogramme und Tools (Plug-Ins- Add-Ons etc.) ihre Cookiesetzungen verändern, müssen Sie darüber informieren. Entsprechend müssen rechtliche und technische Änderungen aller Website-Bestandteile ständig nachverfolgt und die Einstellungsmöglichkeiten angepasst werden. Auch die rechtlichen Erläuterungstexte müssen regelmäßig überprüft und aktualisiert werden. Das bedeutet für Sie: Sobald Sie einen externen Cookiepartner auf Ihrer Seite haben, muss es ein Verwaltungstool geben, das die Entscheidungen der Nutzers bezüglich der zu setzenden Cookies verwaltet – ein Consent Management Tool.
Cookie Consent-Management-Tools gibt es inzwischen wie Sand am Meer. Bevor Sie sich jedoch für ein Tool entscheiden, sollten Sie ermitteln, welche Cookies von Ihrer Website überhaupt gesetzt werden. Denn die risikoreichsten Cookies sind die, die personenbezogene Daten ungefragt in Drittländer übermitteln – sei es nun z. B. Russland, China oder die USA.
Mehr dazu: 10 Tools für Cookie Banner und Cookie Management
CMP Technik - Anleitungen, Tipps und Tricks für die technische Intergration Ihres Cookie Banners und Consent Management Systems.
Was muss eine Consent Management Platform können?
Wenn Sie eine Consent-Management-Platform auswählen, sollten Sie folgende Aspekte zur Bedingung machen:
- Es muss eine rechtssichere Dokumentation der Einwilligung zu gesetzten Cookies erfolgen.
- Das Tool muss die Möglichkeit bieten, die Einwilligung per Click mit sofortiger Wirkung zu widerrufen
- Das Tool musss dem Nutzer alle erforderlichen, aktuellen Informationen zu dem jeweiligen Cookie liefern, und zwar in laienverständlicher Darstellung
- Die Freiwilligkeit der Einwilligung und die Zustimmung muss granular (für jede einzelne Entscheidung) sichergestellt werden
- Der Nutzer muss der Nutzung von Cookies explizit zustimmen und die Entscheidung muss dokumentiert werden, bevor die Cookies zum Einsatz kommen.
Wann brauche ich kein Cookie Banner?
Wenn Sie nur technische und informationspflichtige First-Party-Cookies verwenden, brauchen Sie kein Cookie-Banner. Es reicht dann aus, die Erhebungs- und Verwendungsbeschreibung in der Datenschutzerklärung aktuell zu halten.
So gestalte ich meine Website DSGVO-konform: 6 einfache Schritte
Sie wollen jetzt nachsehen, ob Ihre Website der DSGVO entspricht? Dann folgen Sie der folgenden kleinen Checkliste:
- Analysieren Sie den Zweck Ihrer Website: Welche Daten, die Sie darauf erheben, brauchen Sie wirklich, um diesen Zweck zu erreichen?
- Prüfen Sie, welche cookiesetzenden Dienste Sie auf Ihrer Website verwenden.
- Welche dieser Dienste sind wirklich unbedingt und in diesem Umfang erforderlich? Weniger ist hierbei auch aus Nutzersicht mehr!
- Nehmen Sie die Beschreibung der absolut notwendigen Dienste (auch die eigenen) in die Datenschutzerklärung auf.
- Falls einwilligungspflichtige Dienste dabei sind, benötigen Sie zwingend (!) eine Consent-Management-Platform und das zugehörige Cookie-Banner.
- Versuchen Sie die Cookie-Speicherzeiten so kurz wie möglich zu gestalten und so wenig Nutzerdaten wie irgend machbar zu erfassen – das entspricht der Vorgabe der Datensparsamkeit.
Falls Sie ein Cookie-Banner verwenden müssen, achten Sie darauf, dass die Cookies wirklich erst gesetzt werden, wenn der User die entsprechenden Kästchen anklickt. Sie dürfen KEINE Ankreuzfelder vorab auf „annehmen“ einstellen und auch den Zustimm-Button nicht attraktiver gestalten als den Auswahl- und den Abwahl-Button. Stellen Sie auch sicher, dass die Informationstexte zu den Cookies aktuell sind und die Nutzer ihre Auswahl später noch ändern können.
Wie kann ich meine Website auf unerlaubte Datenübertragung prüfen?
Ein kostenloser Website Check scannt und analysiert die gesamte Website auf Cookies und problematische Elemente und gibt auch aus, welche kritisch sind – insbesondere also die, die bereits vor Einwilligung des Nutzers Cookies setzen oder unerlaubt Daten in Drittländer senden. Er prüft die gesamte Website mit allen externen Elementen auf Cookies, sodass Sie als Websitebetreibenden einen Überblick über die aktuell verwendeten Tools, PlugIns & Services sowie alle verwendeten First- und Third-Party Cookies und Tracker einer Seite bekommen. Mit diesen Informationen können Sie dann die Datenschutzerklärung sowie die Consent-Management-Platform anpassen und den DSGVO-konformen Umgang mit Nutzerdaten sicherstellen. Aufgrund der häufigen Updates externer Elemente sollten Sie diesen Check regelmäßig wiederholen.
Wir empfehlen Ihnen die kostenlose DSGVO-Website-Analyse von Cookiebox.pro, die alle Cookies und Datenübertragungen auf Ihrer Website prüft, übersichtlich Darstellung und Ihnen Tipps zur Behebung von Problemen gibt. Der Datenschutz-Scanner checkt dabei nicht nur die Startseite, sondern auch zwei zufällig ausgewählte Unterseiten und simuliert einen echten Websitebesuch, ohne irgendeiner Datenübertragung zuzustimmen. Dabei protokolliert er alle Datenströme, die durch seinen Besuch ausgelöst werden – sowohl durch direkte Cookies als auch durch Tools wie Google Fonts.
Insights from the outside: Welche Daten sammelt Ihre Website?
Nutzen Sie den # 1 Cookie-Scanner der COOKIEBOX GmbH für ein kostenlosen Website-Check Ihrer Domain! In 1 Minute erhalten Sie einen detallierten Datenschutz-Risikobericht – und sehen auf einem Blick, welche Cookies, Pixel, Tags, Third-Party-Services auf Ihrer Website im Einsatz sind.
Sie wollen den Scanner auf Ihrer eigenen Website einbauen? Wir stellen Ihnen das Quickcheck Widget kostenlos in Ihrem Wunschdesign zur Verfügung... Mehr erfahren
Wie halte ich meine Website DSGVO-sicher?
Da sich die technischen Elemente ebenso wie zugekaufte oder externe Inhalte ständig ändern und plötzlich nicht-DSGVO-konforme Cookies enthalten können, hilft hier nur ein regelmäßiger Website-Check. Dieser sollte nicht nur die Startseite umfassen, sondern auch einige Unterseiten, am besten allerdings einen Scan der gesamten Website (einen sogenannten Deep Dive Audit) durchführen. Das dauert zwar etwas länger, ist dafür aber auch umfassend und abmahnsicher.
Einfacher ist es, eine gute, Ihrem Bedarf angepasste Consent-Management-Platform (CMP) einzubinden. Die Angebote unterscheiden sich in Funktionsumfang und auch preislich sehr stark. Gern beraten wir Sie, welche CMP für Sie und die Zielsetzungen Ihrer Online-Präsenz optimal ist.
Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?
Wir helfen Ihnen gerne:
Ihr Ansprechpartner
Jörg ter Beek
Datenschutzexperte