Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Lösungen für häufige Datenschutzprobleme auf Webseiten: So vermeiden Sie rechtliche Probleme

Veröffentlicht am 14. April 2021 von Dr. DSGVO · Zuletzt aktualisiert am 19. Dezember 2022
5
Datenschutz Lösung

Kategorien: Datenschutz, Empfehlungen und Recht

Viele Datenschutzprobleme auf Webseiten sind vermeidbar. Populäre Tools werden häufig rechtswidrig eingesetzt, obwohl es gute Möglichkeiten gibt, das zu vermeiden. Mein Beitrag zeigt häufige Datenschutzprobleme und mögliche Lösungen.

Wenn Sie nicht wissen, wie es um Ihre Webseite bestellt ist, empfehle ich, zuerst einen online Datenscutz-Check zu machen:

Webseite testen

Sie finden nachfolgend Lösungsvorschläge für häufige Datenschutzprobleme. Dieser Artikel wird regelmäßig um neue Lösungen ergänzt. Sollten Sie eine Lösung vermissen, schreiben Sie mich unter Nennung des Datenschutzproblems einfach an.

Häufige Datenschutzprobleme und Lösungsmöglichkeiten

Schnellübersicht

Tool/ProblemLösungsvorschlag
Google AnalyticsMatomo (lokal), WP Statistics (WordPress) oder Trackboxx (deutscher Anbieter)
Google Tag ManagerNicht mehr nutzen oder nur nach Einwilligung, alternativ eine JavaScript-Lösung verwenden
Google MapsKarte von Dr. DSGVO, Vorschaubild, Button für Routenplanung oder Karte weglassen (Nutzen?)
OpenStreetMapKarte von Dr. DSGVO, Vorschaubild, Button für Routenplanung oder Karte weglassen (Nutzen?)
Externe Google SchriftenLokale Google Schriften
Externe BilddateienLokale Bilddateien
Externe JavaScript-BibliothekenLokale JavaScript-Bibliotheken
Externe Hilfsdateien (CSS…)Lokale Hilfsdateien
YouTube VideosLokal ablegen (abspielen mit video Tag) oder Vorschaubild mit Link auf Videoplattform oder Video weglassen (Nutzen?)
Vimeo VideosLokal ablegen (abspielen mit video Tag) oder Vorschaubild mit Link auf Videoplattform oder Video weglassen (Nutzen?)
SoundCloud Audio PlayerAudio-Datei lokal halten und über audio Tag abspielen
Google reCAPTCHAWeglassen oder Contact Form 7 Image Captcha (WordPress) oder PHP Lösung oder auf Lösung von Dr. DSGVO warten
CookiesUninteressant, da Cookies über Tools erzeugt werden. Technisch notwendige Cookies sind überdies erlaubt
Cookie PopupRein informative Popups ("Diese Seite verwendet Cookies. OK") ersatzlos streichen. Einwilligungsabfragen möglichst vermeiden und keine der populären Lösungen einsetzen, ohne dass die Risiken bestens bekannt sind
CloudflareDSGVO-konformer Einsatz ist nicht möglich
NewsletterKeine amerikanischen Anbieter nutzen! Bei wenigen 1000 Abonnenten Mailversand über eigenen Mailserver möglich!
VG WortIst erlaubt, keine Maßnahme erforderlich
kritische Tools und Datenschutzprobleme samt möglicher Lösungen

Cookies

Cookies werden oft als Aufhänger genommen, um eine Einwilligung abzufragen. Dies ist falsch bzw. zu kurz gedacht. Cookies entstehen nicht einfach so, sondern werden von Tools wie Google Analytics gesetzt. In Wirklichkeit muss also eine Einwilligung für Tools abgefragt werden, die letztendlich für das Vorhandensein von Cookies verantwortlich sind.

Für Cookies, die technisch notwendig sind, muss keine Einwilligung abgefragt werden. Diese Cookies dürfen einfach so verwendet werden. Technisch notwendig und somit unkritisch sind beispielsweise folgende Cookies:

  • VG Wort: Zählpixel für die Autorenvergütung (anders geht es eben nicht)
  • Sitzungsverwaltung: Welcher Nutzer ist angemeldet? Beispiel: WordPress-Sitzungsverwaltung
  • Rein funktionale Konfiguration der Webseite, beispielsweise Rolle eines Web Shop Besuchers (Privatmann versus Unternehmen)
  • Cookies zur Abrechnung unter Partnern (genaue Untersuchung notwendig)

Alle anderen Cookies, also solche, die technisch nicht notwendig sind, dürfen erst nach Einwilligung durch den Besucher der Webseite gesetzt oder ausgelesen werden.

Beispiele für Dienste, die kritische Cookies verwenden:

  • Google (Universal) Analytics (Standardkonfiguration): Damit ist die Google Analytics Variante gemeint, die fast jede Webseite heutzutage einsetzt
  • Google reCAPTCHA
  • Google Maps
  • YouTube Videos (ohne erweiterte Datenschutzeinstellungen)
  • Vimeo Videos

Lösung

  • Technisch notwendige Cookies dürfen einfach so verwendet werden
  • Andere Cookies sollten so weit wie möglich vermieden werden, indem Tools, die diese Cookies einbringen, so weit wie möglich vermieden werden. Siehe weiter unten für Alternativen für kritische Tools
  • Einwilligungsabfragen müssen zahlreichen rechtlichen Vorschriften genügen. Checkliste

Tools ohne wirklichen Mehrwert

Vor Einführung der DSGVO (25.05.2018) verwendeten zahlreiche Webseiten Tools wie Google Maps, weil

  • jeder sie verwendete,
  • sie als schick galten,
  • niemand den tatsächlichen Nutzen hinterfragte.

Seit Gültigkeit der DSGVO sollte der Nutzen eingesetzter Tools ehrlich hinterfragt werden. Beispiele:

  • Google Analytics: Ich behaupte, die meisten benötigen dieses Tool nicht. Gehören auch Sie dazu? Alternativen: Matomo, Trackboxx (deutscher Anbieter)
  • Google Maps: Ich behaupte, auf den meisten Webseiten macht eine Standardkarte keinen Sinn:
    • Routenplanung: Verwenden Sie einen Button Ihr Weg zu uns mit Absprung auf die Google Maps Webseite
    • Standortanzeige: Finden Sie wirklich, dass eine Standardkarte, am besten noch mit maximaler Vogelperspektive, Ihren Standort gut darstellt?
    • Alternative: Verwenden Sie die datenschutzfreundliche interaktive Karte von mir
  • Google reCAPTCHA: Macht für manche Webseiten durchaus Sinn. Haben Sie reCAPTCHA von Google im Einsatz, weil Ihnen jemand gesagt hat, Sie brauchen es? Oder hatten Sie zuvor zu viel Spam erhalten? In Kürze wird es eine datenschutzfreundliche Lösung von mir geben
  • Google Tag Manager: Viele Tools werden einfach direkt geladen. Dazu braucht man keinen Tag Manager.
  • YouTube und Vimeo Videos: Ich behaupte, eingebundene Videos machen auf vielen Webseiten keinen wirklichen Sinn, vor allem, wenn Sie in einem Mini-Fenster dargestellt werden. Alternativen: Vorschaubild mit Link auf Videoplattform; Video lokal ablegen und mit HTML-Tag video abspielen; Kein Video

Einsatz von Consent Tools

Viele Webseiten setzen sogenannte Consent Tools ein, um angeblich sicherzustellen, dass kritische Tools wie Google Analytics erst geladen werden, nachdem der Nutzer eingewilligt hat.

Andere Namen für Consent Tools sind:

  • Cookie Blocker
  • Cookie Popup
  • Cookie Consent
  • Cookie Tool
  • Consent Management Platform (CMP)
  • Einwilligungsabfrage

Leider verwenden viele diese Consent Tools falsch. Viele meinen, dass das Cookie Tool wie durch ein Wunder sicherstellen kann, dass Tools korrekt unterdrückt werden, bis eine Einwilligung vom Nutzer vorliegt. Das ist falsch.

Sorgen Sie dafür, dass der Code zum Laden von einwilligungspflichtigen Tools erst vorhanden ist, nachdem eine Einwilligung erteilt wurde. Arbeiten Sie nicht mit aktivierten Codes, die dann wir durch ein Wunder vom Cookie Tool deaktiviert werden sollen.

Am besten verzichten Sie ganz auf sogenannte Einwilligungslösungen, weil es sich nicht um Lösungen handelt. Siehe meinen umfangreichen Praxistest, der das Versagen der Consent Tools bekannter Anbieter demonstriert.

Wenn Sie unbedingt eine Einwilligungsabfrage einbauen müssen: Verwenden Sie eine eigene Lösung oder warten Sie, bis ich eine kostenfreie Lösung bereitstelle (über den Newsletter erfahren Sie, wann es soweit ist).

Ohne Einwilligung geladene Tools

Ein Dienst darf erst nach Einwilligung geladen werden, wenn mindestens einer der folgenden Gründe zutrifft:

  1. Der Dienst verwendet technisch nicht notwendige Cookies (es ist egal, ob es sogenannte First-Party oder Third-Party Cookies sind). Vgl. §15 Abs. 3 TMG + BGH-Urteil zu Planet 49 + Art. 5 Abs. 3 ePrivacy-Richtlinie
  2. Der Dienst ruft Dateien aus einem unsicheren Drittland ab (Beispiel: USA). Vgl. Art. 44 DSGVO
  3. Der Dienst führt nicht notwendige Datentransfers aus. Vgl. Art. 5 Abs. 1 c DSGVO (Datenminimierung)

Folgende Dienste dürfen erst nach Einwilligung geladen werden (Auszug mit Angabe des Grunds):

Genauere Begründungen finden Sie in Artikeln auf dieser Webseite.

Allgemein gilt: Tools von Google und von Anbietern sozialer Medienplattformen (Facebook, Twitter, Instagram, TikTok etc.) sind als datenschutzfeindlich anzusehen. Beispiel Google: Die Datenschutzhinweise des Konzerns sind derart intransparent, dass Sie als Verwender von Google Tools Ihrer Pflicht quasi nicht nachkommen können, die Besucher Ihrer Webseite transparent über die Datenerhebungen aufgrund des Einsatzes von Google Tools aufzuklären. Der Haftende sind in dem Fall Sie als Verantwortlicher für die Webseite, nicht Google (außer, es besteht ein explizit geschlossenes Vertragsverhältnis, woraus eine gemeinsame Veantwortlichkeit entstehen könnte).

Lösung

  • Dienste ersatzlos streichen, wenn der Nutzen nicht feststellbar ist (Beispiel: Erhöht sich Ihr Umsatz oder noch besser Ihr Gewinn, wenn Sie einen bestimmten Dienst einbinden?)
  • Dienst durch Alternative ersetzen: Siehe Infos in diesem Beitrag
  • Dienst erst nach Einwilligung laden: Meist nur mit rechtlichem Restrisiko möglich
  • Google Tag Manager ersatzlos streichen oder erst nach Einwilligung laden oder mit kleinem JavaScript-Code laden

Externe Google Fonts

Google Schriften dürfen ohne Einwilligung nicht vom Google Server geladen werden: Begründung. Wer eine offizielle Begründung benötigt, findet sie im Urteil des LG München vom 20.01.2022 (Az.: 3 O 17493/20).

Binden Sie die Schriftdateien lokal ein. Dies ist lizenzrechtlich erlaubt und datenschutzrechtlich völlig unproblematisch. Sie können dann sogar auf wahrscheinlich falsche Datenschutztexte verzichten.

Lösung

  • Google Webfonts Helper verwenden, um Schriften lokal zu installieren
  • WordPress: Theme-Einstellungen anpassen, so dass Google Fonts nicht extern geladen werden (geht nicht für alle Themens); Theme verwenden, das datenschutzfreundlich ist
  • Manuelles Installieren: Siehe Was ist die Lösung in meinem Beitrag zu Google Schriften

Unnötige Abrufe von Dateien Dritter

Viele Webseiten laden Dateien von einem Dritt-Server, obwohl die Dateien auch einfach lokal abgelegt werden könnten.

Lösung

  • Bilder herunterladen und lokal einbinden
  • JavaScript-Bibliotheken wie jQuery herunterladen und lokal einbinden
  • Layout-Dateien (CSS-Dateien) herunterladen und lokal einbinden. Achtung: Auch referenzierte Ressourcen in den Dateien berücksichtigen

Fazit

Vor allem kleinere Webseiten oder Webseiten mit wenigen Besuchern kommen oft ohne kritische Tools aus und können sich und den Besuchern der Webseite somit eine nervige Einwilligungsabfrage ersparen.

Prüfen Sie genau den Nutzen bisher eingesetzter Tools und verlassen Sie sich nicht auf die Meinung anderer.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/webseite-dsgvo-loesungen
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Brigitte

    Hallo Herr Meffert,
    vielen Dank für die Nutzung dieses Tools. Ich konnte mit dem verteilen des Links doch einige kleinere Webseiten Designer (Private/und Öffentliche) davon überzeugen, dass sie tätig werden müssen. Auch im Blick auf das Urteil das im Januar ergangen war mit den Google Fonts.
    Es wird nun sehr aktiv geackert und rasch agiert, damit die DSGVO möglichst eingehalten wird und auch darauf geachtet, dass nicht mehr einfach so mal ein Tool eingesetzt wird, das kritisch zu betrachten wäre.
    Das war mein Anlass meine Bekannten zu informieren:

    LG München: 3 O 17493/20 vom 20.01.2022 | 3. Zivilkammer Papierfundstellen: GRUR-RS 2022, 612 BeckRS 2022, 612 (rewis.io)

    Herzliche Grüße
    Brigitte Grausam

    Antworten
  2. Bea Schwarz

    Hallo Herr Meffert,

    danke für das Tool und die Infos dazu!

    Wenn die Webseite mit einem Baukasten-Systems erstellt wurde (bspw. Jimdo), werden Fonts, Bilder und Javaskripte immer von "externen Servern", nämllich den Jimdo-Servern gespeichert. Ggf. könnte man im Text ergänzen, dass das Ausnahmen sind?

    Danke & viele Grüße
    Bea

    Antworten
    • Dr. DSGVO

      Hallo Frau Schwarz,

      Ihre Rückmeldung ist natürlich berechtigt. Wenn Sie einen Homepage-Baukasten nutzen, sind einige Dateien aus technischer Sicht Drittadressen. Aus rechtlicher Sicht sind es aber oft Erstadressen. Sie müssten aber einen (gültigen) Auftragsverarbeitungsvertrag mit dem Homepage-Baukastenanbieter haben, damit das zutrifft.
      Da sich die Domänen von Jimdo und anderen ständig ändern können, ist es schwierig, einen aktuellen Stand aufrecht zu erhalten.
      Ich vertrete den Ansatz: Das Tool soll lieber eine Warnung zu viele geben als eine zu wenig. Die Warnung ist ja an sich nicht falsch. Man muss eben im Einzelfall prüfen, ob ein Problem besteht oder nicht.

      Antworten
      • Bea

        Vielen Dank für die Rückmeldung! Und ja, das mit den Warnungen sehe ich genauso. Lieber einmal mehr und nochmal nachdenken, als naiv in die nächste Abwahnfalle zu tappen.

        Herlichen Dank nochmals & viele Grüße!

        Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Artikel 16 DSGVO: Recht auf Berichtigung