- Mein Kompromiss für die DSGVO
- Der Händler des Chaos – wer macht das Geld
- Welche Strafe kann auf dich zukommen
- Woher weißt du, dass du bestraft werden kannst?
- Cookie-Banner – einfacher gemacht
- Die Tools zum Verstecken – Server-Tracking
- Cookies Ja | Nein
- Conversion Tracking – ein gewisses Risiko eingehen
- Spezifische Tipps, um deine Webseite DSGVO-konform zu machen“
Eine Webseite für die DSGVO fit zu machen, ist theoretisch einfach. Das Problem ist, dass du damit nicht mehr effektiv werben kannst.
Wenn du die Leute fragst, ob sie getrackt werden wollen, sagen etwa 80% nein. In dem Moment, in dem du versuchst, dies zu minimieren, indem du es schwierig machst, das Tracken abzulehnen, verstößt du gegen die Datenschutzverordnung.
Wenn du nicht genug Daten hast, hat es keinen Sinn, Daten zu sammeln.
Eine Webseite, die keine Daten sammelt, wird in den meisten Fällen schlechter abschneiden als eine Webseite, die viele Daten sammelt. Das führt dazu, dass Webseitenbesitzer mehr Geld für Anzeigen und andere komplizierte Tools bezahlen müssen. Das bedeutet mehr Geld für Facebook und Google.
Ein Kompromiss ist nötig, um die Dinge zu vereinfachen.
Wenn du deine Webseite DSGVO konform machst, kann das die Geschwindigkeit und die Benutzerfreundlichkeit verbessern.
Im weiteren Verlauf des Artikels habe ich meine Empfehlungen für WordPress aufgeführt.
Mein Kompromiss für die DSGVO
- Minimiere die Nutzung externer Tools
- Verhindere Abmahnungen durch Anwälte, indem du Tools außerhalb ihrer Reichweite lädst – etwas umstritten, aber dazu später mehr.
- Geht ein kalkuliertes Risiko ein, wenn ihr Tools wie das Conversion-Tracking braucht.
Diese Tipps mögen kontrovers erscheinen und sie sind auf jeden Fall nicht ganz DSGVO-konform. Das Problem ist, dass die DSGVO sehr, sehr schwer umzusetzen ist. Sie ist so weitreichend, dass kaum ein einziges Unternehmen wirklich zu 100% konform ist.
Der Händler des Chaos – wer macht das Geld
Die meisten Leute, die in dieser Hinsicht Vorschläge machen, übertreiben, empfehlen Dinge, die den Erfolg einer Webseite erheblich behindern oder sind schlichtweg falsch.
Warum also die Panik? Nun, es gibt Geld zu verdienen.
Einige Anwälte drängen Unternehmen dazu, bestimmte Cookie-Banner zu verwenden. Sie verdienen auch Geld, indem sie Tools empfehlen, mit denen sie Partnerschaften haben.
Unternehmen nutzen daher professionelle Tools zum „Einwilligungsmanagement“, die etwa 20 EUR pro Monat kosten.
Das Problem bei vielen dieser Tools ist, dass du eine Einwilligung brauchst, um die Einwilligung mit einem externen Unternehmen zu verwalten. Das ist ein Widerspruch in sich und funktioniert nicht. (Diese Tools speichern Cookies und laden Inhalte von externen Servern)
Auf der anderen Seite ziehen Verstöße gegen diese Regeln nur dann drakonische Strafen nach sich, wenn die staatlichen Datenschutzbehörden dich einweihen und du bestraft wirst. Anwälte, die dir Abmahnungen schicken, kosten dich beim ersten Mal nur 150 EUR. In vielen Fällen kannst du sie einfach ignorieren.
Das bedeutet nicht, dass du die Regeln nicht anwenden sollst. Es bedeutet nur, dass du dabei dein eigenes Wohlbefinden und das deiner Nutzer im Blick haben solltest.
Aber lass uns einen Schritt zurückgehen.
Welche Strafe kann auf dich zukommen
Erstens sind drakonische Strafen aufgrund der DSGVO selten, da sie von den Datenschutzabteilungen der Regierungen kommen müssen, die sich nur selten für kleinere Unternehmen interessieren. Bei Nichteinhaltung der DSGVO können Geldstrafen von bis zu 4 % oder maximal 20 Millionen EUR verhängt werden.
Die größte Bedrohung sind Anwälte, die versuchen, etwas Geld zu verdienen.
Das Hauptproblem, das es zu lösen gilt, ist die Abmahnung durch einen Anwalt, der schnelles Geld verdienen will.
Andererseits ist es rechtlich nicht einmal festgelegt, ob Wettbewerber dich durch einen Anwalt abmahnen können.
Woher weißt du, dass du bestraft werden kannst?
Die „professionellen“ Anwälte, die Unternehmen systematisch abmahnen, nutzen Tools, um zu prüfen, ob eine Webseite bestimmten Code lädt. Eine Webseite wird geladen, und sie haben ein einfaches Skript, das überprüft, ob ein solcher Code vom Google- oder Facebook-Server geladen wird.
Hier ist ein einfaches Video, das zeigt, wie du überprüfen kannst, ob deine Webseite „konform“ ist. 99% der Anwälte, die dich abmahnen wollen, werden eine einfache Prüfung wie diese durchführen – manuell oder automatisch:
Wenn der Scan negativ ausfällt, wirst du nicht abgemahnt.
Sie suchen fast immer nach Tools von Google oder Facebook. Diese Unternehmen haben die schlechteste Datenschutzbilanz in Europa und so gut wie alle ihre Dienste brauchen eine Genehmigung, bevor sie geladen werden.
Wenn wir also sicherstellen, dass die Dienste dieser Unternehmen zunächst nicht geladen werden, bleiben wir außerhalb der Reichweite dieser Anwälte.
Alle Software dieser Unternehmen sollte erst geladen werden, nachdem die Besucher darüber informiert wurden oder die Bedingungen akzeptiert haben. Später auf dieser Seite werde ich dir einige Tipps geben, wie ich diese Empfehlung umgesetzt habe.
Cookie-Banner – einfacher gemacht
Abgesehen davon, dass sie sehr ärgerlich sind, lügen diese Banner meistens auch noch heimlich. „Wir kümmern uns um deine Privatsphäre“ ist eine der größten Lügen. Die meisten Leute, die diese Tools benutzen, wollen nur sagen: „Wir wollen deine Daten sammeln, also sag bitte OK.
Anstatt vage Begriffe im Banner mit Sätzen wie „Wir kümmern uns um deine Privatsphäre“ zu verwenden, sei konkret und offen.
Abgesehen davon, dass es näher an der Wahrheit ist, ist es wahrscheinlich auch rechtlich besser. Ein Beispiel: Wenn du die Erlaubnis von jemandem bekommst, der nicht informiert ist, dann hat die Erlaubnis wenig Wert. Wenn du ganz klar sagst, wofür du die Erlaubnis bekommst, ist sie gültig.
Schau dir das Banner von Google vom 15.11.2022 an:
Beachte, wie sie standardmäßig das Tracken von Webseiten nutzen. Google ist wahrscheinlich das Unternehmen, das in Bezug auf die DSGVO am meisten unter die Lupe genommen wird. Wenn sie das können, dann kannst du es auch tun.
Die Meldung sollte einen direkten Hinweis darauf enthalten, dass wir Cookies und Marketing-Tools verwenden, um die Leistung der Webseite zu optimieren. Ohne diese müssten wir viel mehr für unsere Anzeigen bezahlen. Andererseits erhältst du durch die Übermittlung von Daten an Google oder Facebook relevantere Anzeigen, wenn du deren Tools nutzt.
Auf diese Weise sind sich die Leute ausdrücklich des Trackings bewusst und können die Webseite jederzeit verlassen, wenn sie das wollen.
Lade diese Skripte nicht ohne Erlaubnis oder anonymisiere und lade sie lokal.
Die Tools zum Verstecken – Server-Tracking
Wie ich weiter oben schon erwähnt habe, wenn du externe Tools verwendest. Vor allem die von Google und Facebook, empfehle ich dir, sie nur so einzusetzen, dass sie vor dem Browser und dem Nutzer verborgen sind.
Das klingt zwar so, als würdest du versuchen, heimliche Aktivitäten durchzuführen, aber das ist nicht der Fall. Die Daten werden nur dann direkt an Google oder Facebook gesendet, wenn du deren Tools im Browser lädst. Wenn du sie jedoch auf den Server lädst, haben Google und Facebook nur Zugriff auf die Daten, die du ihnen sendest. So hast du mehr Kontrolle.
Das Schöne an der DSGVO ist jedoch, dass sich eine ganz neue Technologie namens Server-Sided Loading entwickelt hat, mit der du Tools wie Google Analytics so nutzen kannst, dass sie DSGVO-konform und zuverlässiger sind.
Grundsätzlich sendet dein Browser Daten an deinen Server, dein Server anonymisiert die Daten und sie werden an Google oder einen anderen Anbieter gesendet.
Das serverseitige Tracking macht es für schießwütige Anwälte unmöglich zu sehen, dass du Google Analytics benutzt. Ich empfehle dir aber trotzdem, diese Tools mit Vorsicht und Verantwortungsbewusstsein zu nutzen.
Cookies Ja | Nein
Abhängig davon, in welchem Land du aktiv bist, musst du die Erlaubnis haben, Cookies zu speichern. In Deutschland sind die Regeln sehr streng – eine Erlaubnis ist nötig.
Meine persönliche Empfehlung ist, Cookies von Google, Facebook oder ähnlichen Unternehmen zu vermeiden. Über andere Tools würde ich mir nicht allzu viele Gedanken machen.
Wenn du zum Beispiel ein Cookie von einem externen Unternehmen speicherst, ist das technisch nicht korrekt, es sei denn, du hast die Erlaubnis dazu oder die Seite kann ohne sie nicht laufen.
Allerdings kann es mühsam sein, sie anders zu installieren. Diese externen Unternehmen missbrauchen deine Daten nicht, sie tun es aus Bequemlichkeit. Deshalb würde ich persönlich ihnen erlauben, sie zu speichern. Das Risiko ist ziemlich gering.
Aber ich würde keine Cookies von Tracking-Firmen speichern, es sei denn, du hast eine tatsächliche Erlaubnis.
Mit Tools, die die Daten woanders speichern, kannst du das ganz vermeiden. Das serverseitige Tracking bietet manchmal Lösungen, die keine Cookies verwenden.
Conversion Tracking – ein gewisses Risiko eingehen
Der Kern von Performance Ads ist das Tracking. Das bedeutet, dass man wissen muss, welche Anzeigen zu Ergebnissen führen. Es gibt zwar Tools wie „matomo“, die man nutzen kann, aber meine Erfahrung ist, dass sie umständlich und nicht gut sind. Facebook-Anzeigen funktionieren zum Beispiel sehr schlecht, wenn du die Daten der Conversions nicht an Facebook sendest. Das Mindeste ist die IP-Adresse, damit FB weiß, welche Anzeige und welche Einstellungen deine Ergebnisse bringen.
Daher würde ich ALLE Nutzer mit oder ohne ihre Zustimmung tracken, WENN sie ein Formular benutzen, eine Conversion durchführen oder ein Unternehmen anrufen.
Stelle sicher, dass du das auf jeden Fall in deine Datenschutzseite aufnimmst.
Das ist zwar nicht 100 % DSGVO-konform, aber in meinen Augen kann man von einer Person, die sich mit einem Unternehmen in Verbindung setzt, erwarten, dass sie sich über die Datenschutzdetails informiert, bevor sie ein Unternehmen kontaktiert.
Von diesen Menschen kann erwartet werden, dass sie wissen, dass ihre Daten gespeichert werden, sobald sie mit einem Unternehmen in Kontakt treten:
- Wenn du eine Webseite in einem Browser öffnest, wird deine IP-Adresse auf dem Server gespeichert.
- Wenn du ein Formular ausfüllst, werden deine Daten im Formular gespeichert und so weiter.
Das ist eine ziemlich gute Rechtfertigung. 😉
Sieh zu, dass du diese Freiheit nicht missbrauchst. Das ist ein kalkuliertes Risiko.
Standardnutzer, die sich nur ein oder zwei Seiten ansehen, würde ich nicht ohne ihre Erlaubnis oder eine klare Benachrichtigung tracken.
Spezifische Tipps, um deine Webseite DSGVO-konform zu machen“
Denken Sie daran, dass dies keine Rechtsberatung ist, sondern ein freundlicher Ratschlag. Ich benutze so gut wie nur WordPress, daher ist dies hauptsächlich für WordPress gedacht.
Datenschutzbestimmungen
Um eine gute Datenschutzrichtlinie zu erstellen, verwende einen DSGVO-Generator. Es gibt viele, google einfach nach „Datenschutzerklärung Generator„
Tracking – Google Analytics oder Matomo?
In letzter Zeit gibt es immer mehr Unternehmen, die Tools wie Matomo oder E-Tracker nutzen, um Bußgelder zu vermeiden. Das Problem mit diesen Tools ist, dass sie Geld kosten und nicht die gleichen Daten liefern, die ich brauche, um die Leistung meiner Webseite zu bewerten. Und ich kann Google Analytics auf eine Weise nutzen, die mit der DSGVO konform ist.
Ich würde Matomo nicht verwenden. Ich bevorzuge es, Google Analytics serverseitig zu nutzen.
Google Analytics serverseitig
Es gibt verschiedene Lösungen für das serverseitige Tracken, aber ich verwende meine eigenen wordpress server-sided tracking Lösungen.
Wie funktioniert das?
Eine normale Tracking-Lösung wie Google Analytics funktioniert so: Alle Anfragen werden bearbeitet und direkt an Google oder Facebook gesendet:
Serverseitiges Tracking funktioniert anders, es sendet Daten an den Server und von dort aus werden sie an Google oder Facebook gesendet. Auf diese Weise können die Daten vollständig anonymisiert werden.
Youtube-Videos
Wenn du youtube nutzt, kann eine DSGVO-Lösung deine Ladezeit erheblich verkürzen.
Youtube lädt direkt von Google und speichert sogar Cookies. Um das zu vermeiden, kannst du ein Skript einbauen, das das Video blockiert, bis die Leute die Erlaubnis geben, das Video anzusehen.
Ich bevorzuge es, das Vorschaubild lokal zu speichern und das Video erst zu laden, wenn eine Person aktiv auf Play drückt. Wie du auf dieser Seite sehen kannst, haben wir unsere eigene Lösung eingerichtet:
Videos
Wenn dir das gefällt, kannst du mich dafür kontaktieren.
Google-Fonts
In der Vergangenheit war es üblich, diese Arten von Schriftarten direkt von Google zu verwenden. Man kann sie einfach auf die eigene Webseite laden und von dort aus nutzen.
Facebook ist knifflig zu benutzen. Man kann die Conversion API nutzen, um Anfragen an den Server zu senden. Das Problem dabei ist, dass es nicht funktioniert, wenn du die Daten anonymisierst. Facebook muss die IP-Adressen bekommen, damit es funktioniert.
Ich würde das also nur mit Erlaubnis verwenden. Lass es nicht ohne die Erlaubnis der Nutzer laden.
Für das Conversion-Tracking kannst du einen Kompromiss eingehen und den Code laden, sobald eine Conversion abgeschlossen ist. Aber das musst du selbst entscheiden, wenn du ein kalkuliertes Risiko eingehen willst.
Google Tag Manager
Ich liebe den Google Tag Manager wirklich und habe ihn in der Vergangenheit ausgiebig genutzt. Ein großartiges Tool, aber leider heikel, wenn es um die DSGVO geht.
In der Vergangenheit habe ich es benutzt, um Cookie-Banner zu erstellen und die gesamte Zustimmung der Nutzer zu verwalten. Das Problem ist, dass zu viele Leute, einschließlich Juristen, denken, dass dieses Tool nicht DSGVO-konform ist, nur weil es von einer externen Webseite geladen wird.
Aus diesem Grund empfehle ich es nicht mehr. Ich weiß, dass es eine Serverlösung gibt, aber ich habe sie noch nicht genug getestet, um mir eine Meinung zu bilden.
Font Awesome – OK mit DSGVO?
Wie viele Webseiten verwenden auch wir Font Awesome. Wenn Kunden sich damit nicht wohlfühlen, können wir die Schriftarten lokal speichern.
Ich persönlich lade sie nicht lokal, ich denke nicht, dass das ein Problem ist. Der Dienst Font Awesome erklärt ganz klar, wie er die Daten verwendet – im Gegensatz zu Google, und er missbraucht definitiv nicht die persönliche IP-Adresse der Besucher. Für mich fällt das unter „berechtigtes Interesse“. Du kannst ihre Datenschutzbestimmungen hier nachlesen.
reCAPTCHA
Ein weiterer Übeltäter auf dem Weg zur DSGVO-Konformität ist dieses wunderbare Tool reCAPTCHA. Unsere Lösung, um reCAPTCHA DSGVO-konform zu machen, ist ein Plugin, das das Laden verzögert, bis eine Person tatsächlich ein Formular ausfüllt. Auf diese Weise werden nur Personen erfasst, die beabsichtigen, dich über eine Webseite zu kontaktieren, was auch im Interesse der Nutzer ist. Du kannst unser Plugin für Contact Fomr 7 verwenden. Es funktioniert für alle Versionen einwandfrei.