Websites durch technische Änderungen an die DSGVO anpassen
Ihre Datenschutzerklärungen sollten Betreiber von Websites und Onlineshops mittlerweile – hoffentlich – alle an die EU-Datenschutzgrundverordnung (DSGVO) angepasst haben. Aber es gibt eine Reihe von Aspekten und Elementen, die dabei oftmals übersehen oder allenfalls stiefmütterlich behandelt werden. Dazu zählen etwa eingebettete YouTube Videos, Karten aus Google Maps und Webfonts. Diese und andere Bestandteile zahlreicher Websites lassen sich nicht einfach durch Textbausteine in der Datenschutzerklärung DSGVO-konform weiterbetreiben. Hier müssen zusätzliche Arbeiten am Code durchgeführt werden. Das ist im Einzelnen aber nicht so aufwendig, wie es zunächst klingen mag. Mithilfe einiger kleinerer, aber ausgesprochen wirksamer Anpassungen am Quelltext lassen sich Websites zukunftssicher an die DSGVO anpassen – zusätzlich zu den Änderungen an der Datenschutzerklärung. Wir zeigen, was genau in welchem Fall zu tun ist.
Inhaltsverzeichnis
Warum reicht es nicht, die Datenschutzerklärung zu überarbeiten?
Nach wie vor dem EU-weit rechtlich bindenden Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 ist die Überarbeitung der Datenschutzerklärung ohne Zweifel der zentrale Baustein auf dem Weg zu einem DSGVO-konformen Onlineshop beziehungsweise zum rechtssicheren Betrieb einer Website. Aber es gibt zahlreiche Elemente und Dienste, die nach gegenwärtigem Kenntnisstand wohl noch etwas mehr Aktivität verlangen, sofern sie eingesetzt werden.
Wer etwa YouTube Videos auf den eigenen Seiten eingebunden hat, kann mit einer geeigneten Passage in der Datenschutzerklärung zwar ein Stück mehr Rechtssicherheit herstellen – am Ende kann aber ein Gerichtsurteil mit Signalwirkung für die ganze EU (analog zur Entscheidung des EuGH zu Facebook Fanpages vor wenigen Wochen) schon bald klarstellen, dass mit dem Einbinden von YouTube Videos in jedem Fall gegen die DSGVO verstoßen wird, weil alle entsprechenden Datenschutzhinweise im Hinblick auf die Übertragung personenbezogener Daten zu kurz greifen. Ob dann alle Betreiber von Shops und Websites hektisch sämtliche eingebundenen Videos von ihren Seiten entfernen?
Da ist es doch besser, sich bereits jetzt eine bessere Strategie zurechtzulegen und sie natürlich auch gleich umzusetzen, so dass allen kommenden Urteilen auf nationaler und EU-Ebene entspannt entgegengesehen werden kann. Und das gilt eben nicht nur für YouTube Videos, sondern auch für zahlreiche weitere Dienste, von denen in fast jedem Webauftritt mindestens ein oder zwei zum Einsatz kommen. Wir empfehlen daher allen, die Shops und Websites betreiben, sofort zu prüfen, ob für sie Handlungsbedarf besteht und welche konkreten Schritte für die schnelle Umsetzung der geeigneten Maßnahmen unternommen werden müssen.
Was ist an welcher Stelle zu tun?
Es gibt eine ganze Reihe von möglichen Baustellen im Quelltext von Websites und Onlineshops, die Anpassungen an die veränderten Rahmenbedingungen seit dem rechtlich bindenden Inkrafttreten der DSGVO nötig machen können. Einige sind längst einem breiten Publikum wohlbekannt und in den meisten Fällen sicherlich bereits abgearbeitet worden. Aber es gibt eben auch eine ganze Reihe von Problemstellungen, deren potenzielle Tragweite bislang eher am Rande diskutiert worden ist und die nach dem Abebben der großen Welle hektischer datenschützender Geschäftigkeit im Mai längst nicht alle Betroffenen erreichen werden. Den Lesern unseres Blogs möchten wir daher eine knappe Übersicht über wichtige technische Änderungen als Ergänzung zu den Anpassungen der Datenschutzerklärung an die DSGVO liefern.
Kontaktformular
Ein Punkt, der vielen bereits bekannt ist, gehört gleichwohl noch einmal in diese Aufzählung: Wer in seinem Webauftritt den Besuchern ein Kontaktformular zum direkten Absenden von Anfragen zur Verfügung stellt, muss den Nutzern des Formulars für einen DSGVO-konformen Betrieb die (natürlich um entsprechende Hinweise ergänzte) Datenschutzerklärung unmittelbar zugänglich machen. Es genügt also nicht, in den Tiefen des Footers der Seite einen Datenschutz-Link unterzubringen. Ein Link zur Datenschutzerklärung sollte daher gut sichtbar im Formular oder unmittelbar darunter platziert werden. Und um Usability-Katastrophen zu vermeiden, muss dabei unbedingt der Parameter target="_blank"
gesetzt werden, damit sich die Datenschutzerklärung in einem neuen Tab oder Fenster öffnet, so dass bereits in das Kontaktformular eingetragene Daten später nicht noch einmal eingegeben werden müssen.
Newsletteranmeldung
Auch im Hinblick auf die Anmeldung zu einem Newsletter ist inzwischen sattsam bekannt, dass es nicht genügt, im Kleingedruckten darauf hinzuweisen, dass in diesem Zuge personenbezogene Daten erhoben und zum Zweck des E-Mail-Versands weiterverarbeitet werden. Der Vollständigkeit halber möchten wir an dieser Stelle aber noch einmal darauf hinweisen, dass Nutzer, die sich zum Newsletter anmelden, zwingend ein Double-Opt-In-Verfahren durchlaufen müssen. Nachdem sie ihre Daten eingegeben und abgesendet haben, müssen sie also zunächst eine E-Mail erhalten, in der sie aktiv noch einmal bestätigen, dass sie den Newsletter auch tatsächlich erhalten möchten. Das auch und gerade auf die DSGVO und die darin angedrohten empfindlichen Bußgelder muss in der Website – beziehungsweise im integrierten Newsletter-Tool – entsprechend umgesetzt sein.
Share-Buttons
Schon seit Jahren ist der Einsatz sogenannter Share-Buttons, mit deren Hilfe Besucher Seiteninhalte wie Produkte oder Blog-Beiträge im Handumdrehen über Social Media verbreiten können, ein viel diskutiertes Thema. Schnell war aufgefallen, dass die angebotenen Lösungen bereits beim Seitenaufruf, also vor der tatsächlichen Nutzung dieser Schaltflächen, munter Daten übertragen. Als Reaktion darauf wurden sogenannte Zwei-Klick-Lösungen entwickelt. Damit werden die eigentlichen Share Buttons erst nachgeladen, nachdem der Nutzer das durch einen Klick aktiv veranlasst hat, während zuvor noch keine Daten an den Anbieter des jeweiligen Dienstes (zum Beispiel Facebook) übertragen werden.
Wer noch immer „echte“ Share Buttons anbietet, die eine direkte Verbindung mit den Dienstanbietern herstellen, muss für Rechtssicherheit im Sinne der DSGVO zwingend eine Zwei-Klick-Lösung einsetzen und deren genaue Funktionsweise entsprechend in der Datenschutzerklärung erläutern. Die von heise online und c’t entwickelte Lösung Shariff ist hier nach wie vor das Maß aller Dinge. Alternativ empfehlen wir den Einsatz von Buttons, die das Teilen von Beiträgen ermöglichen, ohne bereits auf den eigenen Seiten personenbezogene Daten zu sammeln wie zum Beispiel AddToAny.
YouTube Videos
Ein YouTube Video ist schnell und unkompliziert eingebunden. Aber datenschutzrechtlich stellt sich im Hinblick auf die DSGVO ein schwerwiegendes Problem: YouTube überträgt mithilfe einer ganzen Reihe von Cookies fleißig Nutzerdaten, sobald ein Besucher eine Seite aufruft, auf der ein YouTube Video eingebunden ist – und nicht etwa erst dann, wenn das Video abgespielt wird.
Wenigstens für Nutzer, die beim Aufruf einer Seite mit mindestens einem YouTube Video in der aktuellen Browser-Session mit einer Google ID eingeloggt sind, lässt sich mit Sicherheit sagen, dass in diesem Moment personenbezogene Daten an Server in den USA übertragen werden, ohne dass der Nutzer die Möglichkeit gehabt hätte, dem zu widersprechen. Wie genau die Übertragung der Daten von nicht eingeloggten Besuchern zu bewerten ist, wird wohl zu gegebener Zeit durch ein Gericht entschieden werden müssen. Aber eins lässt sich schon jetzt festhalten: Ein bloßer Hinweis in der Datenschutzerklärung reicht vor diesem Hintergrund sicherlich nicht aus. Wer auf seinen Seiten YouTube Videos eingebunden hat, muss seine Besucher beim Schutz ihrer Daten aktiv unterstützen und es ihnen ermöglichen, die entsprechenden Seiten aufzurufen, ohne dass dabei automatisch zahlreiche Cookies gesetzt und Daten an YouTube (respektive Mutter Google) übertragen werden.
YouTube bietet gut in den Detaileinstellungen für das Einbetten versteckt (unterhalb des Videos unter Teilen > Einbetten am Ende der zusätzlich wählbaren Optionen) einen sogenannten „erweiterten Datenschutzmodus“ für das Einbetten von Videos an. Videos, für die dieser Modus aktiviert ist, werden nicht mehr von youtube.com
, sondern von youtube-nocookie.com
geladen und sollen dementsprechend ohne Cookies auskommen.
Allerdings stimmt das nur beinahe, denn wie bereits in diesem Blog-Beitrag moniert worden ist, werden auch trotzdem noch schon beim Seitenaufruf zahlreiche Verbindungen zu Servern von YouTube beziehungsweise Google hergestellt – und es wird sogar noch ein Cookie gesetzt. Der „erweiterte Datenschutzmodus“ ist eben noch längst kein vollständiger Datenschutzmodus und damit potenziell nicht ausreichend für das DSGVO-konforme einbetten von YouTube Videos in eine Website oder einen Onlineshop.
Um in dieser Frage wirklich Rechtssicherheit zu erreichen, bedarf es einer Lösung, die dafür sorgt, dass YouTube Videos beim Seitenaufruf noch gar nicht als iFrame-Elemente eingebettet sind, sondern bis auf Weiteres von Platzhaltern vertreten und erst auf einen Klick des Nutzers hin nachgeladen werden. So haben die Besucher die Möglichkeit, sich auf der Website zunächst über die datenschutzrechtlichen Implikationen des Abspielens von YouTube Videos zu informieren, um dann entscheiden zu können, ob sie die Übertragung von Daten in Kauf nehmen möchten, oder lieber nicht.
Vorbereitete Lösungen dafür gibt es schon. Universal einsetzbar ist diese – übrigens auch für Vimeo Videos funktionierende – auf GitHub bereitstehende Lösung, mit der in der Seite am Ende jedoch wenig ansprechende graue Flächen anstelle der Vorschaubilder angezeigt werden. Wer WordPress einsetzt, kann alternativ auch ein geeignetes Plugin wie das ursprünglich für die Performance-Optimierung entwickelte WP YouTube Lyte einsetzen. Und wer in seinem Webauftritt eine große Zahl von YouTube Videos eingebunden hat, wird je nach eingesetzter Lösung alle Einbettungscodes ändern müssen, was sich allerdings auch stapelweise durchführen lässt. Am Ende aber winken neben einem hervorragenden Datenschutzniveau auch kürzere Ladezeiten, da für eingebettete YouTube Videos beim Seitenaufbau keine aufwendigen Inhalte mehr von externen Servern geladen werden müssen.
Wer Videos oder andere multimediale Inhalte von alternativen Anbietern wie Vimeo, Dailymotion oder Vevo eingebunden hat, muss gegebenenfalls zu anderen geeigneten Mitteln greifen, um die Einbettung rechtssicher zu gestalten, oder aber die Inhalte auf anderem Weg einbinden. Handelt es sich um Medien, für die ein eigenes Urheberrecht besteht, ist es ohnehin ratsam, diese selbst zu hosten und lokal einzubinden.
Google Maps
Wo Google Maps in eine Website oder einen Onlineshop eingebunden sind, verhält es sich ganz ähnlich wie mit YouTube Videos: Die iFrame-Elemente mit den praktischen Kartenausschnitten sorgen dafür, dass bereits beim Seitenaufruf mehrere Cookies auf dem Gerät des Nutzers gesetzt und diverse Verbindungen zu Google Servern hergestellt werden. Und auch hier gilt insbesondere für Nutzer, die mit einer Google ID eingeloggt sind, dass die ungefragt im Hintergrund ablaufende Übermittlung (und vermutlich anschließende Weiterverarbeitung) von personenbezogenen Daten auf Google Servern mit der DSGVO kaum vereinbar ist.
In diesem Fall gibt es eine mit einfachen Mitteln umzusetzende Lösung. Wir empfehlen, die eingebetteten Kartenausschnitte jeweils durch einen entsprechenden Screenshot zu ersetzen und dieses Bild ganz klassisch (mit target="_blank"
und einem aussagekräftigen Title-Attribut) auf die entsprechende interaktive Karte bei Google Maps zu verlinken.
Diese Lösung ist zwar mit geringfügigen Einbußen in puncto User Experience verbunden, aber angesichts des enormen Gewinns im Hinblick auf den Datenschutz für die Nutzer und die Rechtssicherheit des Seitenbetreibers sollte dieses Argument niemanden bezweifeln lassen, dass eingebettete Google Maps keineswegs notwendig sind. Daher empfehlen wir: Google Maps Einbettungscodes aus allen Seiten entfernen.
Webfonts
In Websites und Shops sind sie längst allgegenwärtig: Webfonts. Diese Schriftarten sind für den Einsatz im Web optimiert und können auf dem eigenen Server (beziehungsweise im eigenen Webspace) gehostet oder auch aus externen Quellen eingebunden werden. Daher stehen sie – anders als die jeweils nur lokal auf den Geräten der Nutzer installierten Systemschriften – für die Browser aller Besucher gleichermaßen zur Anzeige der Weboberfläche bereit. Daher lässt sich mit ihrer Hilfe sicherstellen, dass das typografische Erscheinungsbild der Website oder des Onlineshops überall einheitlich ausfällt. Wenn allerdings Webfonts aus externen Quellen eingebunden werden, ist im Zusammenhang mit der DSGVO besondere Vorsicht geboten. Denn auch für die Nutzung von Webfont-Diensten werden bereits beim Seitenaufbau Verbindungen zu externen Servern hergestellt und potenziell personenbezogene Daten der Nutzer übermittelt – zum Beispiel an Google Fonts, einen der größten Anbieter für kostenlose Open Source Webfonts (siehe Urteil LG München: 3 O 17493/20). Auch in diesem Zusammenhang ist anzunehmen, dass mit dem Platzieren eines entsprechenden Absatzes in der Datenschutzerklärung noch nicht genug getan ist, um den Datenschutz der Nutzer adäquat zu gewährleisten.
An dieser Stelle ist zu betonen, dass auch ein Seitenbetreiber, der die eingesetzten Webfonts bereits selbst hostet, dadurch nicht automatisch auf der sicheren Seite ist. Das weltweit am weitesten verbreitete CMS WordPress zum Beispiel hat in allen Standard-Themes (und in den meisten Themes von Drittanbietern) die Verbindung und Kommunikation mit Google Fonts immer schon integriert. Ob der Dienst schließlich auch tatsächlich genutzt wird, oder nicht, spielt dabei keine Rolle. Nachdem die DSGVO rechtlich bindend ist, sollte daher jeder Betreiber eines Shops oder einer Website prüfen, ob sich im Quelltext Aufrufe von Webfont-Diensten finden. Das wird in den allermeisten Fällen so sein. In einem zweiten Schritt muss dann noch überprüft werden, ob die dabei angeforderten Schriftarten in der Seitenoberfläche überhaupt genutzt werden.
Sollten die Webfont-Services völlig umsonst kontaktiert werden, da alle eingesetzten Schriftarten bereits auf dem eigenen Server bereitgestellt werden, ist unsere Handlungsempfehlung sehr einfach: raus damit aus dem Quelltext.
Wenn aber tatsächlich Webfonts aus externen Quellen im Frontend der Website oder des Shops zum Einsatz kommen, gibt es zwei Fälle zu unterscheiden. Handelt es sich um freie Schriftarten, etwa von Google Fonts, kann aus den heruntergeladenen freien Schriften zum Beispiel mit einem geeigneten Generator ein entsprechendes Webfont-Kit erstellt und auf dem eigenen Server eingebunden werden. Wenn es sich um kostenpflichtige Schriftarten von einem kommerziellen Anbieter handelt, hat der Seitenbetreiber üblicherweise nicht das Recht, die Schriften selbst bereitzustellen. Wer keine Lizenzen für geschützte Schriftarten kaufen und nicht auf Schriftarten mit offenen Lizenzen umsteigen will, wird sich am Ende doch mit einem Passus zu Webfonts in der Datenschutzerklärung begnügen müssen.
SSL-Verschlüsselung
Wer einen Onlineshop mit Bestellfunktion betreibt oder den Besuchern seiner Websites ermöglicht, mithilfe eines Kontaktformulars personenbezogene Daten wie ihren Namen, ihre E-Mail-Adresse oder ihre Telefonnummer zu übermitteln, muss nach Maßgabe der technischen Möglichkeiten innerhalb eines wirtschaftlich vertretbaren Rahmens für die Absicherung der Übertragung dieser Daten sorgen. Ausdrücklich wird in diesem Zusammenhang in der DSGVO auf die Verschlüsselung des Datenverkehrs hingewiesen. In der Konsequenz heißt das: Ein SSL-Zertifikat gehört zum absoluten Pflichtprogramm für Shops und Websites. Das ist allerdings nichts Neues, sondern wurde bereits ebenso im deutschen Telemediengesetz festgeschrieben und gilt daher seit Januar 2016. Die meisten betroffenen Shops und Websites haben die Vorgabe inzwischen umgesetzt – aber längst noch nicht alle. Und nun sind im Zeichen der DSGVO die damit verbundenen Bußgeld-Androhungen noch einmal weitaus empfindlicher geworden.
Wer noch immer kein SSL-Zertifikat hat, muss sich daher dringend eins besorgen – und dann gleich auf die richtige Weise (HTTPS-only) seitenweit einbinden lassen. Die damit verbundenen Kosten sind sehr überschaubar und werden durch die positiven Nebeneffekte mehr als aufgewogen. Neben Ranking-Verbesserungen in Suchmaschinen ist mit der zuverlässigen Verschlüsselung von Shops und Websites auch ein nicht zu unterschätzender Reputationsgewinn verbunden, da unverschlüsselte Websites in führenden Browsern immer deutlicher als unsicher gekennzeichnet werden, wie wir bereits vor einigen Monaten berichtet haben.
Google Analytics
Für sehr viele Websites und Onlineshops werden die umfangreichen Möglichkeiten für Tracking und Analyse von Google Analytics genutzt. Das hinterlässt nicht erst seit dem rechtlich bindenden Inkrafttreten der DSGVO seine Spuren in den Datenschutzerklärungen. Aber auch in diesem Zusammenhang genügt das Einfügen der richtigen Texte an der passenden Stelle noch nicht. Denn zusätzlich gibt es zwei datenschutzrechtlich relevante Elemente, die in den Seitenquelltext eingebunden werden müssen: die IP-Anonymisierung und eine Opt-out-Möglichkeit.
1. IP-Anonymisierung aktivieren
Die Daten von Besuchern einer Seite, auf der mithilfe von Google Analytics das Nutzerverhalten ausgewertet wird, landen für die Weiterverarbeitung auf Google Servern. Damit dabei nicht die vollständigen IP-Adressen übertragen werden, kann für den Datenschutz der Nutzer die Kürzung ihrer IPs veranlasst werden. Diese Anonymisierung ist dringend notwendig, da es sich bei vollständigen IP-Adressen (in Verbindung mit den jeweiligen Zeitstempeln) nach Ansicht manches Experten um personenbezogene Daten im Sinne der DSGVO handelt. Realisieren lässt sich das standardmäßige Verschleiern der jeweiligen IP vor der Übertragung an Google Server durch das Hinzufügen einer einzigen Zeile im Google Analytics Trackingcode:
ga('set', 'anonymizeIp', true);
Wenn der Google Tag Manager eingesetzt wird, kann die Option entsprechend hierüber aktiviert werden.
2. Opt-out-Möglichkeit bereitstellen
Damit Nutzer der Verfolgung ihrer Aktivitäten auf der Website auch widersprechen können, muss ihnen diese Möglichkeit auch tatsächlich eingeräumt werden. Der entsprechende Link oder eine geeignete Schaltfläche kann am Ende in der Datenschutzerklärung untergebracht werden. Aber die Funktionalität muss in Form eines JavaScript Schnipsels in den Quelltext eingebunden werden – und zwar vor dem eigentlichen Google Analytics Code. Wie genau der dafür benötigte Code aufgebaut sein muss, erklärt Google hier.
Google AdSense
Websitebetreiber, die Werbeflächen für den Google Dienst AdSense zur Anzeige personalisierter Werbung bereitstellen, sind für den Schutz der Daten ihrer Besucher mitverantwortlich. Zusätzlich zu einem entsprechenden ausführlichen Absatz in der Datenschutzerklärung muss den Nutzern des Webauftritts eine Möglichkeit zum Opt-out bereitgestellt werden. Google hat eine komfortable Funktion zum Erstellen einer Meldung, die den Nutzern ihre Auswahlmöglichkeiten anzeigt, vorbereitet und bietet selbst eine passende Schritt-für-Schritt-Anleitung dazu an. Im Hinblick auf die DSGVO müssen alle AdSense Partner diese Anpassung zwingend vornehmen, wenn sie es nicht bereits getan haben.
Facebook Pixel
Wer mit Facebook Ads Werbung treibt und den Erfolg seiner Kampagnen auf der eigenen Website oder im eigenen Onlineshop mithilfe des Facebook Pixels misst, lässt dabei personenbezogene Daten durch Facebook erfassen und weiterverarbeiten. Damit ist der Betreiber des Webauftritts dafür verantwortlich, seine Besucher über den Umgang mit ihren Daten zu informieren. Zudem muss er ihnen die Möglichkeit einräumen, dieser Praxis zu Widersprechen. Einen solchen Opt-out stellt Facebook für seinen Tracking-Pixel allerdings nicht zur Verfügung, so dass die Betreiber von Shops und Websites hier selbst aktiv werden müssen. Und das ist nicht ganz trivial, sondern in der praktischen Umsetzung mit einigem Aufwand verbunden, wie ein auf adsventure.de veröffentlichter Blog-Beitrag zeigt. Wer auf den Einsatz des Facebook Pixels partout nicht verzichten möchte, sollte die darin gelieferte Schritt-für-Schritt-Anleitung umgehend abarbeiten – beziehungsweise umsetzen lassen. Wer jedoch den Pixel zwar eingebunden hat, letztlich aber kaum oder nie nutzt, ist gerade vor dem Hintergrund der DSGVO gut beraten, den Tracking-Schnipsel wieder aus dem Quelltext zu verbannen. Der Verzicht auf die mit dem Facebook Pixel verbundenen Funktionen ist für den Schutz der Nutzerdaten und die eigene Rechtssicherheit in jedem Fall die effizienteste und wirksamste Lösung.
[Update: 08.08.2019] Cookie Banner: Einer für alle oder Opt-out-Möglichkeiten für nicht notwendige Cookies?
Spätestens seit dem EuGH Urteil im Juli 2019 muss allen Betreibern von Websites und Onlineshops klar sein: Ein Cookie-Banner ist Pflicht. Dabei genügt es jedoch nicht, die Nutzer dezent darauf hinzuweisen, dass auf der Website Cookies eingesetzt werden, etwa „um die Nutzererfahrung zu verbessern“. Es gilt vielmehr, die Informationspflicht dahingehend zu erfüllen, dass den Nutzern mitgeteilt wird, dass (und zu welchen Zwecken) personenbezogene Daten erhoben und übertragen werden. Zudem muss die ausdrückliche Einwilligung der Besucher eingeholt werden, bevor sie das Angebot nutzen.
Wer das gern etwas differenzierter hätte und gern gleich mehrere Fliegen mit einer Klappe schlagen würde, kann auch einen Dienst zur Bereitstellung von – mehr oder weniger – komplexen Opt-out-Möglichkeiten für nicht unbedingt notwendige Cookies einsetzen. Auf diese Weise können Websitebetreiber es ihren Besuchern in Form eines Cookie-Banners oder eines Overlays ermöglichen, sich beim ersten Seitenaufruf über die im Zusammenhang mit der Website gesetzten Cookies zu informieren. Zugleich erhalten die Nutzer durch Lösungen wie Cookiebot die Gelegenheit, dem Einsatz derjenigen Cookies, die für die korrekte Anzeige und Bedienbarkeit des Angebots verzichtbar sind (Tracking, Marketing und andere Funktionen), mithilfe einer Reihe von Checkboxen sehr komfortabel zu widersprechen.
Im Hinblick auf den tatsächlichen Schutz der Nutzerdaten und auf die DSGVO-Konformität der Website ist das eine sehr interessante Option. Allerdings geht damit auch eine massive Störung der Besucher einher. Denn wenn der erste Eindruck einer Website durch eine mehr oder weniger aufdringliche Cookie-Meldung getrübt wird, ist das ein denkbar schlechter Start für das Nutzererlebnis. Das weiß jeder aus der alltäglich wiederkehrenden Erfahrung in den vergangenen Monaten.
Einige – wenn auch nicht alle – der oben genannten Elemente werden zwar grundsätzlich durch Lösungen wie Cookiebot abgedeckt, allerdings können dabei unerwünschte Nebeneffekte auftreten oder die Bestimmungen der DSGVO nur unvollständig erfüllt werden. Wenn ein Nutzer beispielsweise kurzerhand alle optionalen Cookies ablehnt, wird er später (ohne nachträgliche Änderung seiner Cookie-Einstellungen) keine YouTube Videos abspielen können – auch wenn er das womöglich gern täte. Und wer nimmt sich schon die Zeit, zu Beginn eines Website-Besuchs wirklich alle Cookie-Erklärungen durchzuarbeiten, um anschließend wohlüberlegt entscheiden zu können, welche Checkboxen abzuwählen sind? Ein Beispiel für ein Problem, das im Hinblick auf die DSGVO nur unvollständig durch den Einsatz von Cookiebot gelöst wird, ist der Facebook Pixel. Denn der wird nur zu einem Teil (die JavaScript Komponente) deaktiviert, wenn Nutzer ihre Zustimmung verweigern, während die Noscript-Komponente weiterhin im Quelltext bleibt, beziehungsweise zusätzlich von Hand entfernt werden müsste, was wiederum bei manchen Besuchern die Funktion des Pixels lahmlegen würde – auch wenn sie der Datenübermittlung zugestimmt haben.
Fazit
Am Ende lässt sich zusammenfassend festhalten: Dieses Thema geht uns alle an. Denn in dieser Aufzählung von möglichen Bestandteilen von Websites und Onlineshops finden sich fast für jeden Betreiber eines Webauftritts mindestens ein bis zwei Elemente, die in technischer Hinsicht auf DSGVO-Konformität überprüft und gegebenenfalls angepasst werden müssen. In den meisten Fällen lässt sich jedoch mit sehr geringem Aufwand sehr viel bewirken. Und während die Usability der Seiten nicht nennenswert unter den Maßnahmen leidet, ist die Umsetzung einiger der hier zusammengetragenen technischen Änderungen mit Verbesserungen in den Bereichen Reputation und Performance verbunden. Es gibt also mehr als genug Gründe, umgehend für den Schutz von Nutzerdaten aktiv zu werden und für Rechtssicherheit zu sorgen.