← zurück zur Blog-Übersicht

dsgvo-website-wordpress

Webdesign

DSGVO und deine Website

Nützliche Links aus dem Beitrag:

Zu eRecht24.de

3 3 Übersicht zum Inhalt

Ich hab neulich wieder eine Website gesehen, bei der mich fast der Schlag getroffen hat. Google Fonts extern geladen, kein richtiger Cookie-Banner, Datenschutzerklärung von 2019. Und die Inhaberin hatte keine Ahnung, dass da überhaupt was nicht stimmt.

Das ist kein Einzelfall. Das ist Alltag.

Ich will damit nicht mit dem Finger zeigen. Die meisten, die ich kenne, haben ihre Website selbst zusammengebaut, so gut es eben ging, und hatten dabei ganz andere Dinge im Kopf als Paragraphen und Datenschutzgesetze. Völlig verständlich.

Aber genau deshalb schreibe ich diesen Beitrag. Nicht um Angst zu machen, sondern damit du weißt, was da eigentlich passiert, und was du tun kannst, bevor es jemand anderes für dich herausfindet.

Hinweis: Dieser Beitrag ist keine Rechtsberatung. Er soll dir einen Überblick geben, worauf es ankommt. Für rechtssichere Auskunft wende dich bitte an eine Datenschutzbeauftragte oder einen Anwalt.

 

Was ist die DSGVO?

DSGVO steht für Datenschutz-Grundverordnung. Seit Mai 2018 gilt sie europaweit und regelt, wie Unternehmen und auch Selbstständige mit personenbezogenen Daten umgehen dürfen. Sie ersetzt seitdem die alten nationalen Datenschutzgesetze und gilt für alle, die eine Website betreiben und dabei Daten von EU-Bürgern verarbeiten.

Klingt nach großem Konzern-Thema? Ist es nicht. Die DSGVO gilt genauso für den Einzelunternehmer mit einer kleinen Unternehmenswebsite wie für den Mittelständler mit 50 Mitarbeitern. Wer online ist, ist dabei.

 

Was sind eigentlich personenbezogene Daten?

Bevor wir weitermachen, kurz zum Grundverständnis: Personenbezogene Daten sind alle Informationen, mit denen sich eine Person direkt oder indirekt identifizieren lässt.

Das klingt erst mal abstrakt. Konkret heißt das:

  • Name und E-Mail-Adresse oder andere Kontaktdaten (z. B. aus einem Kontaktformular)
  • IP-Adresse (wird bei jedem Website-Besuch übertragen)
  • Standortdaten
  • Geräte- und Browserinformationen
  • Nutzungsverhalten auf deiner Website (welche Seiten jemand besucht, wie lange er bleibt usw.)

All das sind personenbezogene Daten. Und sobald deine Website diese Daten verarbeitet, bist du als Betreiber dafür verantwortlich. Das gilt für den Solo-Selbstständigen genauso wie für ein mittelständisches Unternehmen oder einen Großkonzern.

 

Was deine Website alles tut, ohne dass du es weißt

Viele denken, ihre Website sei „einfach nur eine Visitenkarte”. Aber schon beim ersten Aufruf passiert mehr als man denkt. Serversoftware speichert IP-Adressen in Logs. Schriften werden von externen Servern geladen. Videos, Karten oder Social-Media-Buttons verbinden sich mit Drittanbietern. Analysetools messen, wer was wie lange anschaut.

Jede dieser Verbindungen kann personenbezogene Daten übertragen, und zwar oft, ohne dass der Besucher dem zugestimmt hat. Genau das ist der Punkt, an dem die DSGVO greift.

 

Die häufigsten Fehler, die ich in der Praxis sehe

 

Google Fonts und externe Schriftarten

Google Fonts sind beliebt, weil sie kostenlos sind und gut aussehen. Das Problem: Wenn sie direkt von Googles Servern geladen werden, wird dabei die IP-Adresse deiner Besucher an Google übertragen. Das ist ein Transfer personenbezogener Daten in die USA, ohne dass der Besucher dem zugestimmt hat.

Die Lösung ist einfach: Schriftarten lokal auf dem eigenen Server hosten. Dann gehen keine Daten an Drittanbieter raus. Alternativ gibt es auch Plugins, die das für dich erledigen.

 

Analysetools ohne Einwilligung

Google Analytics ist das meistgenutzte Tool, um Besucherzahlen zu messen. Gleichzeitig ist es eines der riskantesten, wenn es falsch eingebunden wird. Wer Google Analytics ohne aktive Einwilligung der Besucher betreibt, handelt nicht DSGVO-konform. Punkt.

Eine datenschutzfreundliche Alternative ist Independent Analytics*. Das Tool läuft direkt auf dem eigenen Server, speichert keine personenbezogenen Daten und braucht keinen Cookie-Banner. Das ist für kleine Websites oft die sauberste Lösung und reicht häuftig schon aus um zu sehen, wo kommen die Leute her und welche Seiten sind interessieren sie am meisten.

 

Ein Cookie-Banner, der keiner ist

„Wir nutzen Cookies. OK” ist kein gültiger Cookie-Banner. Eine echte Einwilligung bedeutet: Der Besucher kann aktiv Ja oder Nein sagen, und zwar bevor irgendwelche Cookies gesetzt werden. Wer nur einen Hinweis anzeigt, ohne dass Besucher wählen können, erhält keine wirksame Einwilligung.

Manipulative Banner, bei denen „Ablehnen” gut versteckt ist oder „Alle akzeptieren” vorgewählt ist, sind genauso problematisch. Aufsichtsbehörden schauen sich das inzwischen sehr genau an.

Ein Tool, das ich dafür empfehlen kann, ist Real Cookie Banner*. Es ist speziell für WordPress und WooCommerce entwickelt, rechtlich solide aufgebaut und verhältnismäßig einfach einzurichten.

 

Fehlende oder lückenhafte Datenschutzerklärung

Jede Website, die personenbezogene Daten verarbeitet, braucht eine Datenschutzerklärung. Das sind faktisch alle Websites. Darin muss unter anderem stehen, welche Daten du sammelst, wozu, auf welcher rechtlichen Grundlage und ob Drittanbieter im Spiel sind.

Eine Datenschutzerklärung, die vor drei Jahren einmal irgendwo kopiert wurde und seitdem nicht mehr angefasst wurde, genügt oft nicht mehr. Jedes neue Plugin, jedes neue Tool muss dort auftauchen.

Für die Erstellung und Aktualisierung der Datenschutzerklärung nutze ich selbst eRecht24*. Dort gibt es einen Generator, der speziell auf die deutsche Rechtslage ausgerichtet ist und regelmäßig aktualisiert wird.

 

Kein Auftragsverarbeitungsvertrag (AVV)

Wer einen externen Dienstleister nutzt, der Daten im Auftrag verarbeitet, zum Beispiel einen Hosting-Anbieter, ein E-Mail-Marketing-Tool oder einen Zahlungsanbieter, der braucht einen Auftragsverarbeitungsvertrag (AVV). Das ist kein optionales Dokument, sondern gesetzlich vorgeschrieben.

Viele große Anbieter haben diesen Vertrag inzwischen als Standarddokument in ihren Konten hinterlegt. Aber den meisten ist nicht bewusst, dass sie ihn aktiv abschließen müssen.

 

Kontaktformulare ohne HTTPS oder ohne Hinweis

Wenn jemand über dein Kontaktformular Daten eingibt, müssen diese Daten sicher übertragen werden. Das bedeutet: deine Website braucht ein SSL-Zertifikat (erkennbar am „https://” in der Adresszeile). Wer noch auf http:// läuft, hat ein Problem.

Außerdem müssen Nutzer beim Formular darauf hingewiesen werden, wie ihre Daten verwendet werden, mit einem kurzen Hinweis und einem Link zur Datenschutzerklärung.

 

Eingebettete Videos von YouTube und Co.

Ein YouTube-Video auf der Website einbetten ist schnell gemacht. Einfach den Einbettungscode kopieren, ins CMS einfügen, fertig. Das Problem dabei: Sobald die Seite geladen wird, stellt der Browser eine direkte Verbindung zu YouTubes Servern her, und das passiert, bevor der Besucher irgendwas geklickt hat. Dabei werden unter anderem die IP-Adresse, Gerätedaten und Informationen über das Nutzerverhalten übertragen. Und das an Google-Server, oft in den USA.

Das gilt nicht nur für YouTube. Vimeo, Spotify-Einbindungen, Podcast-Player von Drittanbietern und ähnliche externe Inhalte funktionieren genauso. Sobald externe Inhalte direkt geladen werden, fließen Daten, ob der Besucher will oder nicht.

Die Lösung heißt „erweiterter Datenschutzmodus” oder noch besser: ein sogenannter 2-Klick-Ansatz. Dabei wird zunächst nur ein Vorschaubild angezeigt. Das Video lädt erst, wenn der Besucher aktiv darauf klickt und damit auch der Verbindung zu YouTube zustimmt. Viele Cookie-Consent-Tools wie Real Cookie Banner unterstützen genau dieses Vorgehen direkt mit.

 

Was wirklich passieren kann

Und jetzt der Teil, um den es geht. Nicht als Drohung, sondern als sachlicher Überblick.

 

Beschwerden bei der Aufsichtsbehörde

Jede Person kann eine Beschwerde bei der zuständigen Landesdatenschutzbehörde einreichen, wenn sie der Meinung ist, dass eine Website ihre Daten nicht korrekt behandelt. Die Behörde prüft dann und kann Auskunft von dir verlangen. Wer nicht kooperiert, riskiert zusätzliche Maßnahmen.

 

Bußgelder

Der gesetzliche Rahmen ist hoch: Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Für Soloselbstständige und KMU wird es natürlich nicht so hoch. Aber das ist kein Grund zur Entwarnung.

Realistisch betrachtet: Schon ein einfacher Fall mit Behördenkontakt, anwaltlicher Unterstützung und technischem Umbau kann 4.000 bis 20.000 Euro kosten. Das ist kein theoretisches Szenario, das sind reale Kosten aus der Praxis.

 

Abmahnungen durch Mitbewerber

Seit 2021 können Mitbewerber Verstöße gegen die DSGVO auch wettbewerbsrechtlich geltend machen. Der Europäische Gerichtshof hat das 2024 nochmals bekräftigt. Wer also eine Website mit klar sichtbaren Mängeln betreibt, kann auch von einem Konkurrenten abgemahnt werden.

 

Schadensersatzansprüche von Besuchern

Auch Besucher deiner Website können Schadensersatz verlangen, wenn ihre Daten ohne Einwilligung verarbeitet wurden. Der Europäische Gerichtshof hat klargestellt, dass schon ein kurzer Kontrollverlust über die eigenen Daten als Schaden gewertet werden kann. Es braucht also keine große Datenpanne, um haftbar zu sein.

 

Was du jetzt tun kannst

Die gute Nachricht: Die meisten Probleme lassen sich beheben. Und wer jetzt handelt, ist besser aufgestellt als wer wartet, bis die erste Beschwerde kommt.

Schritt 1: Prüfe, ob deine Website auf https:// läuft. Falls nicht, lass das zeitnah nachrüsten.

Schritt 2: Schau nach, ob Google Fonts oder andere externe Ressourcen direkt von Drittservern geladen werden. Wenn ja, auf lokales Hosting umstellen.

Schritt 3: Analysetools prüfen. Wenn du Google Analytics nutzt, sicherstellen, dass eine gültige Einwilligung vorliegt, oder auf eine datenschutzfreundlichere Alternative wie Independent Analytics wechseln.

Schritt 4: Cookie-Banner auf Wirksamkeit prüfen. Werden Cookies wirklich erst nach Einwilligung gesetzt? Haben Besucher eine echte Ablehnoption? Real Cookie Banner* ist ein guter Ausgangspunkt.

Schritt 5: Datenschutzerklärung aktualisieren. Alle eingesetzten Tools und Dienste müssen dort erwähnt sein. eRecht24* bietet dafür einen soliden Generator.

Schritt 6: AVV mit deinem Hoster und anderen Dienstleistern abschließen. Das ist kein großer Aufwand, aber oft schlicht vergessen.

Schritt 7: Kontaktformular prüfen. Gibt es einen Datenschutzhinweis mit Link zur Datenschutzerklärung? Läuft das Formular über eine gesicherte Verbindung?

 

Kurz zusammengefasst

DSGVO ist kein Thema, das man einmal erledigt und dann vergisst. Websites verändern sich, neue Plugins kommen dazu, Tools werden ausgetauscht. Wer das im Blick behält, ist langfristig auf der sicheren Seite.

Und wer sich nicht sicher ist, wo bei der eigenen Website Handlungsbedarf besteht, kann das gern mit mir gemeinsam anschauen. Ich bin keine Datenschutzbeauftragte und auch keine Anwältin. Aber ich kenne die technischen Baustellen, die ich bei Websites immer wieder sehe, und helfe dir gern.

Häufige Fragen zu dem Thema ...

Wie oft muss ich meine Datenschutzerklärung aktualisieren?

Immer dann, wenn sich etwas an deiner Website ändert. Neues Plugin eingebaut? Datenschutzerklärung prüfen. Analysetool gewechselt? Datenschutzerklärung aktualisieren. Newsletter-Tool dazugekommen? Gleiches Spiel. Es gibt keine gesetzliche Frist, aber die Erklärung muss jederzeit den tatsächlichen Stand deiner Website widerspiegeln. Einmal im Jahr einen kurzen Check zu machen ist eine gute Gewohnheit.

Kann ich einfach die Datenschutzerklärung einer anderen Website kopieren?

Nein, und das aus zwei Gründen. Erstens ist eine fremde Datenschutzerklärung urheberrechtlich geschützt. Zweitens passt sie nicht zu deiner Website, weil sie andere Tools, andere Anbieter und andere Verarbeitungszwecke beschreibt. Eine falsche oder fremde Datenschutzerklärung ist genauso problematisch wie gar keine. Nutze lieber einen Generator wie eRecht24, der speziell auf die deutsche Rechtslage ausgerichtet ist und dir hilft, alle relevanten Punkte abzudecken.

Ich hab meine Website von jemand anderem bauen lassen. Bin ich trotzdem für die DSGVO verantwortlich?

Ja. Die rechtliche Verantwortung liegt immer beim Betreiber der Website, also bei dir. Auch wenn ein Webdesigner oder eine Agentur die Seite gebaut hat, bist du als Inhaber dafür verantwortlich, dass sie DSGVO-konform ist. Das ist auch ein guter Grund, beim Thema Website-Erstellung genau hinzuschauen, was eingebaut wird und ob der Dienstleister das Thema Datenschutz ernst nimmt.

Was ist, wenn ein Plugin auf meiner WordPress-Website Daten überträgt, ohne dass ich es weiß?

Das ist tatsächlich eine der häufigsten Fallen bei WordPress. Viele Plugins laden externe Ressourcen, schicken Daten an den Plugin-Hersteller oder binden Drittdienste ein, ohne dass das auf den ersten Blick sichtbar ist. Deshalb lohnt es sich, regelmäßig zu prüfen, welche Verbindungen deine Website aufbaut, zum Beispiel mit den Browser-Entwicklertools oder einem Cookie-Scanner.

Wo finde ich den AVV bei meinen Anbietern und wie schließe ich ihn ab?

Das ist von Anbieter zu Anbieter unterschiedlich, aber die meisten haben den Prozess inzwischen relativ einfach gemacht. In der Regel findest du den AVV im Kundenbereich unter Begriffen wie „Datenschutz", „Rechtliches" oder „Compliance". Das gilt für Hosting-Anbieter genauso wie für Newsletter-Tools, Zahlungsanbieter, Buchungstools, Formular-Plugins mit externem Versand oder CRM-Systeme. Überall dort, wo ein externer Anbieter Daten deiner Kunden oder Besucher für dich verarbeitet, brauchst du einen AVV.
Am einfachsten gehst du deine genutzten Tools einmal der Reihe nach durch und fragst dich bei jedem: Verarbeitet dieser Anbieter Daten meiner Kunden oder Besucher? Wenn ja, muss ein AVV her. Wer bei einem Anbieter nicht fündig wird, sollte dort direkt nachfragen.

Du hast noch Fragen zu dem Thema?

Schreib mir gern!
Cookie Consent with Real Cookie Banner