Datenschutz auf deiner Website in 5 simplen Schritten umsetzen – DSGVO, Cookie & Co.

Du kennst das: schnell mal eine Website erstellen und zack – gefangen im Gesetzes-Dschungel.

Die DSGVO ist nicht jedermanns Freund, wenn es ums verstehen geht. Was hab ich geflucht, als ich mich Anfang 2021 intensiv mit dem Thema Datenschutz auf der Website auseinander gesetzt habe! Cookies, Daten, USA… da gings rund in meinem Kopf!

Ich dachte mir, was ich mir mühsam in stundenlanger Recherche durchgelesen habe gebe ich kurz wieder. DSGVO auf der Website kann auch einfach sein – wenn man ein paar grundlegende Dinge versteht und beachtet.

Allerdings bin ich keine Rechtsanwältin und keine Datenschutzbeauftragte, somit sind alle Angaben ohne Gewähr und Haftung – wenn du dir ganz sicher sein willst kontakiere einen Anwalt für Internetrecht. Ich kann auch die Seite von Dr. Schwenke empfehlen, die ich dir unten nochmal verlinke.

Was hat die DSGVO denn mit meiner Website zu tun?!

Dazu erkläre ich dir einmal kurz, was bei einem Website-Besuch IMMER passiert.

Eine Website ist lokal auf einem Server (riesige Computerdatenbank) bei einem sogenannten Hoster gespeichert. Dort existiert eine Datenbank mit Verbindung zum www. Wenn nun deine Webadresse in einem Browser eingetippt wird, wird eine Verbindung zu diesem Server hergestellt und die Daten abgerufen. In deinem Browser werden sogenannte Cookies (Codeschnipselchen) gesetzt, um die Dateien überhaupt aufbauen zu können. Ohne diese Cookies kann die Website gar nicht geladen werden. Die DSGVO bemängelt, dass damit bereits die IP-Adresse und vielleicht weitere Daten des besuchenden Browsers gespeichert werden.

Weiter geht es mit den Kontaktdaten. In der EU brauchen wir als Gewerbetreibende eine Einwilligung, um jemanden kontaktieren zu dürfen. Da du durch die Kontaktaufnahme über die Website an Daten gelangst, musst du in der Datenschutzerklärung angeben, wie du diese verwaltest.

Je nachdem was du auf deiner Website im Einsatz hast, können Daten wie IP-Adresse, etc. auch weitergegeben werden. Unsicher ist, was zum Beispiel Google und Facebook an Daten abgreifen, wenn eine Verbindung zu deren Servern hergestellt wird. Dazu komme ich später beim Cookie-Banner nochmal.

Fangen wir mal an, du wirst sehen, so schwer ist es gar nicht.

Rechtliche Angaben auf deiner Website

Die Datenschutzerklärung

Jede Seite muss eine Datenschutzerklärung haben. In dieser muss unter anderem beschrieben sein, welche Daten aufgenommen werden und wie mit ihnen umgegangen wird. Dazu gehört das Hosting der Website, der Datenschutzverantwortliche, allgemeine Aufklärung über Cookies, eventuell verwendetet Analysetools, alles was eine Verbindung zu Google und Facebook herstellt, wie mit Kontaktdaten umgegangen wird und und und…

Von Vorteil ist auch, wenn in der Datenschutzerklärung nochmal die Möglichkeit gegeben wird, die Cookie-einstellungen zu ändern. Außer du hast dazu eine separate Seite erstellt.

Wichtig: die Datenschutzerklärung muss von überall auf deiner Seite mit 1 Klick erreichbar sein. Darum wird sie gerne im Footer platziert, der auf jeder Seite angezeigt wird. Wenn du ein Cookie-Plugin verwendest, das die Seite blockiert, muss auch dort ein Link zur DSE enthalten sein.

Tipp: eine eigene Datenschutzerklärung erstellen, nicht kopieren! Was ich schon gesehen habe, inkl. fremder Links, fremden Einstellungen etc… Das ist peinlich und schlicht falsch. Es gibt gute Generatoren für die DSE. Verlinke ich dir ganz unten.

Impressum

Muss auch jede Seite enthalten. Darin stehen Name, Anschrift und einige weitere Daten über den Webseiten-Betreiber. Es darf kein Postfach oder eine Nicht-Unternehmens-Adresse verwendet werden. Ziel ist es, den Käufer/Besucher zu schützen und das Unternehmen transparent zu machen. Der Schutz geht meiner Meinung nach leider nur in eine Richtung.

Auch das Impressum muss von jeder Seite mit 1 Klick erreichbar sein. Auch das Impressum kannst du dir über einen Generator erstellen lassen.

Datenschutzhinweis

Wenn du ein Kontaktformular, Kommentarfunktion, Newsletteranmeldung oder sonstige Möglichkeiten zum Empfang von Daten anbietest, solltest du zumindest auf die Datenschutzerklärung hinweisen. Gib in deiner DSE an, wie du mit Kontaktdaten umgehst und verweise darauf.

Wenn du externe Anbieter verwendest, über welchen die Kontaktdaten aufgenommen werden. Populär sind hier Terminbuchungsportale oder Newsletteranbieter – das muss natürlich separat in die DSE und für den Besucher klar ersichtlich sein.

Serverstandort

Der Standort deines Hosters sollte sich in Deutschland befinden. So ist sichergestellt, dass auch er unter die DSGVO fällt und deine Daten dort sicher sind.

Tracking

Sobald Daten deiner Websitebesucher abgegriffen und an einen anderen Anbieter weitergeleitet werden, fällt das unter Web-Tracking. Die Daten werden gespeichert und können ausgewertet werden. Ein paar Beispiele für klassisches Tracking:

Googlefonts

Solange deine Website nur Text und ein paar Bilder von dir enthält bist du ziemlich safe. Solange du Systemschriftarten verwendest, wie die von WordPress. Das sind etwa 5 oder 6 unterschiedliche Schriften.

Wenn du Google Fonts verwendest, sieht das schon wieder anders aus. Die Schriften sind nicht lokal auf deinem Server gespeichert, sondern werden von Google abgerufen. Es ist unklar, welche Daten dabei vom Besucher aufgegriffen werden. Noch unklarer ist, was damit in den USA passiert. Verzichte darum auf Google Fonts oder lade die Schriften lokal hoch. Wie das geht erfährst du bei Powerfrau Nicole.

Google Maps & Youtube

Dasselbe Thema hast du mit Google Maps und Youtube. Wenn du Google-Produkte auf deiner Website einbettest, werden sie beim Besuch abgerufen – Verbindung zu Google Servern – Daten verschwinden ins Nirvana. Kennen wir ja von den Google Fonts. Musst du nun darauf verzichten? Nein. Ich zeige dir gleich eine Möglichkeit, trotzdem beides zu verwenden.

Analyse

Google Analytics und das Facebook Pixel sind beliebte Analyse-Tools. Damit lässt sich tracken, welche Besucher wann und von wo auf der Website waren. Teilweise sogar welche Buttons geklickt wurden und wann der Absprung erfolgte. Das sind schon sehr genaue Daten, die deinem Besucher da zugeordnet werden können. Du als Website-Betreiber erhältst zwar einen super Einblick in das Nutzerverhalten deiner Besucher und kannst deine Website verbessern, aber verarbeitet werden die Daten bei Google & Co. Was damit passiert? Who knows…

Wozu ein teures Cookie-Plugin?

Weil es deine Lösung sein kann, wenn du auf nichts von dem genannten Schnick-Schnack verzichten willst! Auch Cookie-Plugins schützen dich nicht zu 100 %. Einfach, weil Datenschutz je Website abgeklärt werden muss und es ständig Neuerungen gibt.

Ein gutes Cookie-Plugin hat folgende Aufgabe: Es wird ein Cookie beim Besuch der Website gesetzt, ja. Das ist nötig um diese vom Server abzurufen und somit ok – weil ohne geht nicht.

Dann ist das Cookie-Plugin zur Stelle. Es blockiert die Seite und kappt alle anderen Verbindungen, bevor sich diese auf die Daten stürzen und ihre Arbeit machen wollen. Analysetool und alles, was sonst noch auf der Website auf den Besucher lauert, werden in den Wartemodus versetzt. Erst wenn dein Besucher die Einwilligung erteilt hat, dürfen sie loslegen.

Das Plugin bietet auch die Möglichkeit, gezielt auszusuchen, welche Cookies gesetzt werden dürfen und welche nicht. Probier es mal aus, wenn du das nächste Mal auf eine fremde Website gehst. Wenn du deine Einwilligung nicht gibst, werden Maps und Videos nicht geladen und du siehst darauf einen Hinweis. Oder schau dir mal die Einstellmöglichkeiten für die Cookies an, ist ganz spannend.

Es bringt aber nichts, nur das Plugin zu installieren. Du musst das mit den Cookies und dem Blockieren dann auch einrichten. Ebenso gibt es Vorgaben zur Gestaltung des Plugins. Dazu gehört: Link zur DSE & Impressum, Buttons in der selben Farbe, einen alle ablehnen und einen alle akzeptieren Button. Infos zu den einzelnen Cookies.

Dein Plugin spuckt dir auch einen Shortcode aus, den du auf deiner DSE-Seite einbinden kannst. Dort kann dein Besucher die Cookie-Einstellungen jederzeit ändern.

Ist so ein Plugin Pflicht? Scheinbar nein. Es liegt in deinem Ermessen, ob du lieber auf Nummer sicher gehen willst oder eine Abmahnung in Kauf nimmst. Mit dem richtigen Cookie-Plugin zeigst du zumindest den Willen, deine Besucher maximal zu schützen und kannst die Einwilligung nachweisen.

Ich verwende am liebsten Borlabs-Cookie*. Verlinke ich dir unten nochmal.

Noch was Interessantes

Willst du sehen, was andere Seiten so verwenden?

Du kannst zum einen über das kleine Schloss links neben der URL klicken und dort schon viel über die gesetzten Cookies erkennen.

Du kannst auch in die Entwickler-Tools deines Browsers gehen. Bei Chrome funktioniert das über Rechtsklick – Untersuchen. Wenn du nun zum Reiter „Sources“ wechselst und da mal ein bisschen rumklickst, kannst du erkennen, welche Server-Verbindungen hergestellt werden.

Schlusswort

DSGVO kann Angst machen. Sich als Gewerbetreibender oder Website-Besitzer damit zu beschäftigen ist ein Muss. Ich möchte schließlich auch nicht, dass meine Telefonnummer bei allen deinen Freunden landet.

Aber wenn du verstehst, was auf deiner Seite enthalten ist, wie sich zum Beispiel Google-Maps überhaupt aufbauen kann, dann kannst du auch entsprechend handeln. So schwer ist das gar nicht. Wichtig ist, dass du etwas machst. Impressum, Datenschutzerklärung sind ein Muss. Bei allem anderen hast du die Wahl, ob du es wirklich brauchst.

Ich hoffe, ich konnte etwas Licht ins Dunkel bringen – nochmal der Hinweis: Ich übernehme keine Haftung für Korrektheit meiner Inhalte. Wenn du sicher gehen willst, informiere dich bei einem Anwalt für Internetrecht.

Hier kommst du zu den restlichen Beiträgen des Websitechecks:

Websiteerlebnis

SEO-Basics

Sicherheit & Sicherung

 

Hier noch die versprochenen Links:

Generator eRecht24

Generator Dr. Schwenke

Borlabs Cookie Plugin*

Dr. Schwenke. Da ist alles noch viel ausführlicher.

Fragen? Dann schrei(b)!