Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Lösungen für häufige Datenschutzprobleme auf Webseiten: So vermeiden Sie rechtliche Probleme

0

Viele Datenschutzprobleme auf Webseiten sind vermeidbar. Populäre Tools werden häufig rechtswidrig eingesetzt, obwohl es gute Möglichkeiten gibt, das zu vermeiden. Mein Beitrag zeigt häufige Datenschutzprobleme und mögliche Lösungen.

Wenn Sie nicht wissen, wie es um Ihre Webseite bestellt ist, empfehle ich, zuerst einen online Datenscutz-Check zu machen:

Sie finden nachfolgend Lösungsvorschläge für häufige Datenschutzprobleme. Dieser Artikel wird regelmäßig um neue Lösungen ergänzt. Sollten Sie eine Lösung vermissen, schreiben Sie mich unter Nennung des Datenschutzproblems einfach an.

Häufige Datenschutzprobleme und Lösungsmöglichkeiten

Schnellübersicht

Tool/ProblemLösungsvorschlag
Google AnalyticsMatomo (lokal), WP Statistics (WordPress) oder Trackboxx (deutscher Anbieter)
Google Tag ManagerNicht mehr nutzen oder nur nach Einwilligung, alternativ eine JavaScript-Lösung verwenden
Google MapsKarte von Dr. DSGVO, Vorschaubild, Button für Routenplanung oder Karte weglassen (Nutzen?)
OpenStreetMapKarte von Dr. DSGVO, Vorschaubild, Button für Routenplanung oder Karte weglassen (Nutzen?)
Externe Google SchriftenLokale Google Schriften
Externe BilddateienLokale Bilddateien
Externe JavaScript-BibliothekenLokale JavaScript-Bibliotheken
Externe Hilfsdateien (CSS…)Lokale Hilfsdateien
YouTube VideosLokal ablegen (abspielen mit video Tag) oder Vorschaubild mit Link auf Videoplattform oder Video weglassen (Nutzen?)
Vimeo VideosLokal ablegen (abspielen mit video Tag) oder Vorschaubild mit Link auf Videoplattform oder Video weglassen (Nutzen?)
SoundCloud Audio PlayerAudio-Datei lokal halten und über audio Tag abspielen
Google reCAPTCHAWeglassen oder Contact Form 7 Image Captcha (WordPress) oder PHP Lösung oder auf Lösung von Dr. DSGVO warten
CookiesUninteressant, da Cookies über Tools erzeugt werden. Technisch notwendige Cookies sind überdies erlaubt
Cookie PopupRein informative Popups (“Diese Seite verwendet Cookies. OK”) ersatzlos streichen. Einwilligungsabfragen möglichst vermeiden und keine der populären Lösungen einsetzen, ohne dass die Risiken bestens bekannt sind
CloudflareDSGVO-konformer Einsatz ist nicht möglich
NewsletterKeine amerikanischen Anbieter nutzen! Bei wenigen 1000 Abonnenten Mailversand über eigenen Mailserver möglich!
VG WortIst erlaubt, keine Maßnahme erforderlich
kritische Tools und Datenschutzprobleme samt möglicher Lösungen

Cookies

Cookies werden oft als Aufhänger genommen, um eine Einwilligung abzufragen. Dies ist falsch bzw. zu kurz gedacht. Cookies entstehen nicht einfach so, sondern werden von Tools wie Google Analytics gesetzt. In Wirklichkeit muss also eine Einwilligung für Tools abgefragt werden, die letztendlich für das Vorhandensein von Cookies verantwortlich sind.

Für Cookies, die technisch notwendig sind, muss keine Einwilligung abgefragt werden. Diese Cookies dürfen einfach so verwendet werden. Technisch notwendig und somit unkritisch sind beispielsweise folgende Cookies:

  • VG Wort: Zählpixel für die Autorenvergütung (anders geht es eben nicht)
  • Sitzungsverwaltung: Welcher Nutzer ist angemeldet? Beispiel: WordPress-Sitzungsverwaltung
  • Rein funktionale Konfiguration der Webseite, beispielsweise Rolle eines Web Shop Besuchers (Privatmann versus Unternehmen)
  • Cookies zur Abrechnung unter Partnern (genaue Untersuchung notwendig)

Alle anderen Cookies, also solche, die technisch nicht notwendig sind, dürfen erst nach Einwilligung durch den Besucher der Webseite gesetzt oder ausgelesen werden.

Beispiele für Dienste, die kritische Cookies verwenden:

  • Google (Universal) Analytics (Standardkonfiguration): Damit ist die Google Analytics Variante gemeint, die fast jede Webseite heutzutage einsetzt
  • Google reCAPTCHA
  • Google Maps
  • YouTube Videos (ohne erweiterte Datenschutzeinstellungen)
  • Vimeo Videos

Lösung

  • Technisch notwendige Cookies dürfen einfach so verwendet werden
  • Andere Cookies sollten so weit wie möglich vermieden werden, indem Tools, die diese Cookies einbringen, so weit wie möglich vermieden werden. Siehe weiter unten für Alternativen für kritische Tools
  • Einwilligungsabfragen müssen zahlreichen rechtlichen Vorschriften genügen. Checkliste

Tools ohne wirklichen Mehrwert

Vor Einführung der DSGVO (25.05.2018) verwendeten zahlreiche Webseiten Tools wie Google Maps, weil

  • jeder sie verwendete,
  • sie als schick galten,
  • niemand den tatsächlichen Nutzen hinterfragte.

Seit Gültigkeit der DSGVO sollte der Nutzen eingesetzter Tools ehrlich hinterfragt werden. Beispiele:

  • Google Analytics: Ich behaupte, die meisten benötigen dieses Tool nicht. Gehören auch Sie dazu? Alternativen: Matomo, Trackboxx (deutscher Anbieter)
  • Google Maps: Ich behaupte, auf den meisten Webseiten macht eine Standardkarte keinen Sinn:
    • Routenplanung: Verwenden Sie einen Button Ihr Weg zu uns mit Absprung auf die Google Maps Webseite
    • Standortanzeige: Finden Sie wirklich, dass eine Standardkarte, am besten noch mit maximaler Vogelperspektive, Ihren Standort gut darstellt?
    • Alternative: Verwenden Sie die datenschutzfreundliche interaktive Karte von mir
  • Google reCAPTCHA: Macht für manche Webseiten durchaus Sinn. Haben Sie reCAPTCHA von Google im Einsatz, weil Ihnen jemand gesagt hat, Sie brauchen es? Oder hatten Sie zuvor zu viel Spam erhalten? In Kürze wird es eine datenschutzfreundliche Lösung von mir geben
  • Google Tag Manager: Viele Tools werden einfach direkt geladen. Dazu braucht man keinen Tag Manager.
  • YouTube und Vimeo Videos: Ich behaupte, eingebundene Videos machen auf vielen Webseiten keinen wirklichen Sinn, vor allem, wenn Sie in einem Mini-Fenster dargestellt werden. Alternativen: Vorschaubild mit Link auf Videoplattform; Video lokal ablegen und mit HTML-Tag video abspielen; Kein Video

Einsatz von Consent Tools

Viele Webseiten setzen sogenannte Consent Tools ein, um angeblich sicherzustellen, dass kritische Tools wie Google Analytics erst geladen werden, nachdem der Nutzer eingewilligt hat.

Andere Namen für Consent Tools sind:

  • Cookie Blocker
  • Cookie Popup
  • Cookie Consent
  • Cookie Tool
  • Consent Management Platform (CMP)
  • Einwilligungsabfrage

Leider verwenden viele diese Consent Tools falsch. Viele meinen, dass das Cookie Tool wie durch ein Wunder sicherstellen kann, dass Tools korrekt unterdrückt werden, bis eine Einwilligung vom Nutzer vorliegt. Das ist falsch.

Sorgen Sie dafür, dass der Code zum Laden von einwilligungspflichtigen Tools erst vorhanden ist, nachdem eine Einwilligung erteilt wurde. Arbeiten Sie nicht mit aktivierten Codes, die dann wir durch ein Wunder vom Cookie Tool deaktiviert werden sollen.

Am besten verzichten Sie ganz auf sogenannte Einwilligungslösungen, weil es sich nicht um Lösungen handelt. Siehe meinen umfangreichen Praxistest, der das Versagen der Consent Tools bekannter Anbieter demonstriert.

Wenn Sie unbedingt eine Einwilligungsabfrage einbauen müssen: Verwenden Sie eine eigene Lösung oder warten Sie, bis ich eine kostenfreie Lösung bereitstelle (über den Newsletter erfahren Sie, wann es soweit ist).

Ohne Einwilligung geladene Tools

Ein Dienst darf erst nach Einwilligung geladen werden, wenn mindestens einer der folgenden Gründe zutrifft:

  1. Der Dienst verwendet technisch nicht notwendige Cookies (es ist egal, ob es sogenannte First-Party oder Third-Party Cookies sind). Vgl. §15 Abs. 3 TMG
  2. Der Dienst ruft Dateien aus einem unsicheren Drittland ab (Beispiel: USA). Vgl. Art. 44 DSGVO
  3. Der Dienst führt nicht notwendige Datentransfers aus. Vgl. Art. 5 Abs. 1 c DSGVO (Datenminimierung)

Folgende Dienste dürfen erst nach Einwilligung geladen werden (Auszug mit Angabe des Grunds):

Genauere Begründungen finden Sie in Artikeln auf dieser Webseite.

Allgemein gilt: Tools von Google und von Anbietern sozialer Medienplattformen (Facebook, Twitter, Instagram, TikTok etc.) sind als datenschutzfeindlich anzusehen. Beispiel Google: Die Datenschutzhinweise des Konzerns sind derart intransparent, dass Sie als Verwender von Google Tools Ihrer Pflicht quasi nicht nachkommen können, die Besucher Ihrer Webseite transparent über die Datenerhebungen aufgrund des Einsatzes von Google Tools aufzuklären. Der Haftende sind in dem Fall Sie als Verantwortlicher für die Webseite, nicht Google (außer, es besteht ein explizit geschlossenes Vertragsverhältnis, woraus eine gemeinsame Veantwortlichkeit entstehen könnte).

Lösung

  • Dienste ersatzlos streichen, wenn der Nutzen nicht feststellbar ist (Beispiel: Erhöht sich Ihr Umsatz oder noch besser Ihr Gewinn, wenn Sie einen bestimmten Dienst einbinden?)
  • Dienst durch Alternative ersetzen: Siehe Infos in diesem Beitrag
  • Dienst erst nach Einwilligung laden: Meist nur mit rechtlichem Restrisiko möglich
  • Google Tag Manager ersatzlos streichen oder erst nach Einwilligung laden oder mit kleinem JavaScript-Code laden

Externe Google Fonts

Google Schriften dürfen ohne Einwilligung nicht vom Google Server geladen werden: Begründung.

Binden Sie die Schriftdateien lokal ein. Dies ist lizenzrechtlich erlaubt und datenschutzrechtlich völlig unproblematisch. Sie können dann sogar auf wahrscheinlich falsche Datenschutztexte verzichten.

Lösung

  • Google Webfonts Helper verwenden, um Schriften lokal zu installieren
  • WordPress: Theme-Einstellungen anpassen, so dass Google Fonts nicht extern geladen werden (geht nicht für alle Themens); Theme verwenden, das datenschutzfreundlich ist
  • Manuelles Installieren: Siehe Was ist die Lösung in meinem Beitrag zu Google Schriften

Unnötige Abrufe von Dateien Dritter

Viele Webseiten laden Dateien von einem Dritt-Server, obwohl die Dateien auch einfach lokal abgelegt werden könnten.

Lösung

  • Bilder herunterladen und lokal einbinden
  • JavaScript-Bibliotheken wie jQuery herunterladen und lokal einbinden
  • Layout-Dateien (CSS-Dateien) herunterladen und lokal einbinden. Achtung: Auch referenzierte Ressourcen in den Dateien berücksichtigen

Fazit

Vor allem kleinere Webseiten oder Webseiten mit wenigen Besuchern kommen oft ohne kritische Tools aus und können sich und den Besuchern der Webseite somit eine nervige Einwilligungsabfrage ersparen.

Prüfen Sie genau den Nutzen bisher eingesetzter Tools und verlassen Sie sich nicht auf die Meinung anderer.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnissen die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/webseite-dsgvo-loesungen
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Artikel 16 DSGVO-Gesetz: Recht auf Berichtigung