info@netz-gaenger.de       📞 +49 151 / 28859057

Du hast deine eigene Website? Welche DSGVO-Anforderungen solltest du beachten: Ein Experten-Interview mit iubenda

Das Thema DSGVO ist auch nach Jahren immer noch für viele ein rotes Tuch. Gerade, wenn es um die Anforderungen an Website-Betreiber geht. Sophia von iubenda hat mir für ein Interview Rede und Antwort gestanden um die wichtigsten Regelungen dieses Datenschutz-„Ungetüms“ zu erläutern und Tipps zu geben wie und mit welchem Partner man die DSGVO umsetzen kann.

Rechtlicher Hinweis: Dieser Artikel dient nur zu Informations- und Bildungszwecken und sollte nicht als Rechtsberatung ausgelegt werden. Die hierin enthaltene Information sollte nicht als Ersatz für eine individuelle Rechtsberatung durch deinen eigenen Anwalt dienen.

Als Websitebetreiber und Web-Entwickler sehe ich die Datenschutz-Grundverordnung (DSGVO), die seit 2018 in Kraft ist, als eine Anleitung wie ich die Daten meiner Kunden rechtmäßig verarbeiten kann. Durch mehr Transparenz in der Online-Datenverarbeitung, nehmen wir alle daran Teil mehr Vertrauen untereinander aufzubauen. Vor allem wichtig, da es sich um persönliche und individuelle Information handelt.

Glücklicherweise funktionieren heutzutage alle Websites recht ähnlich, sodass wir heute hoffentlich einige Tipps mitnehmen können, ohne den gesamten Text der DSGVO (88 Seiten!) lesen zu müssen.

iubenda bietet eine DSGVO-taugliche, 360°-Compliance-Lösung für Firmen, App-Entwickler:innen und Agenturen auf Anwalts-Level an. iubendas mehr als 90.000 Kund:innen in über 100 Ländern decken die ganze Spanne von Kleinstunternehmen bis hin zu Konzernen mit mehreren hundert Mio. Seitenaufrufen pro Monat ab. Kurz gesagt, iubenda ist einer der führenden Experten zum Thema Online-Compliance.

Heute habe ich Sophia von iubenda hier, die mir einige der häufigsten gestellten Fragen zur Einhaltung der DSGVO-Anforderungen beantworten wird.


Hallo Sophia, schön dass du dir die Zeit nimmst, um uns ein paar Fragen zum Thema Datenschutz zu beantworten. Fangen wir doch direkt mit der ersten Frage an: Was sind einige der wichtigsten Punkte, die man beachten muss, wenn man eine Website betreibt?

Sophia: Hallo René, klar, gerne! Die DSGVO gibt konkrete Richtlinien, die Websitebetreiber beachten müssen. Allerdings, sollte man zuallerst klarstellen, für wen diese überhaupt gilt. Wenn du oder deine Nutzer in der EU ansässig sind oder wenn deine Dienstleistungen in der EU stattfinden, musst du dich an die Gesetze der DSGVO halten.

Fast alle Webseiten benötigen eine Datenschutzerklärung und Cookie-Richtlinie. Wenn du zusätzlich auch noch Tracking-Dienste wie Google Analytics, Google Ad Sense oder Facebook Conversion Tracking verwendest, musst du dies in deiner Datenschutzerklärung und Cookie-Richtlinie erwähnen und durch einen Cookie-Hinweis (Cookie-Banner) die Einwilligung deiner Nutzer einholen. Denn schon hier fängt man an, personenbezogene Daten zu sammeln.

Zum Thema Cookie-Banner findet man auch mehr Informationen dazu in der ePrivacy-Richtlinie (sog. EU-Cookie-Richtlinie). Demnach ist es Pflicht den Banner auf deiner Webseite anzuzeigen, mit klaren Regeln, wie ein Banner aussehen sollte.

Ein Cookie-Banner gibt deinen Nutzern die Möglichkeit, die Verarbeitung der persönlichen Daten zuzustimmen oder abzulehnen. Zusätzlich, mit der Hilfe einer Cookie Management Plattform können Nutzer diese Präferenzen anschließend auch ändern. Leider halten sich nur sehr wenige Websites an die Best-Practice-Beispiele.

Für E-Commerce-Betreiber ist definitiv ein AGB-Dokument (Allgemeine Geschäftsbedingungen) nötig, damit du dich als Geschäftsinhaber vor möglichen Haftungsansprüchen schützen kannst.

Ich habe den Eindruck, dass viele Websites ihre Cookie-Banner nicht richtig darstellen und damit den Nutzern richtig auf die Nerven gehen, wenn z. B. keine offensichtliche Ablehnung-Taste zu finden ist. Ist das überhaupt legal? Und was ist die korrekte DSGVO-konforme Art und Weise, einen Cookie-Hinweis anzuzeigen?

Sophia: Das ärgert mich als Nutzer auch! Und da sind die Vorgaben mittlerweile relativ klar. Die kurze Antwort ist, dass (insbesondere in Deutschland) explizite „Bestätigen“- UND „Ablehnen“ Buttons auf dem Cookie-Banner deutlich sichtbar sein müssen. Der Widerruf sollte so einfach wie die Einholung der Zustimmung sein und auf eine Cookie-Richtlinie verlinken.

Wenn personenbezogene Daten gesammelt oder auch Dienste verwendet werden, die datenschutzrechtlich kritisch oder in einer Grauzone (z. B. Analytics) sind, muss der User darüber aufgeklärt werden und er muss die Möglichkeit haben, diesem Vorhaben zu widersprechen. Man darf den User nicht in eine bestimmte Richtung beeinflussen z. B. das optische Vorheben des „Bestätigen“-Buttons oder das Verstecken des „Ablehnen“-Buttons ist nicht erlaubt. Auch wenn man das noch häufig sieht.

Zusammengefasst, der Cookie-Banner muss
a. beim ersten Besuch des Nutzers angezeigt werden;
b. eine Cookie-Richtlinie beinhalten, die alle erforderlichen Informationen enthält;
c. dem Nutzer die Möglichkeit geben, seine Einwilligung zu erteilen. Vor der Einwilligung können keine Cookies – mit Ausnahme der technisch notwendigen Cookies – installiert werden.

Und was ist mit der vorherigen Blockierung von Cookies? Müssen wir als Ansässige in Deutschland, eine Skript-Blockierung einstellen?

Sophia: Genau, in Deutschland und generell in der EU müssen nicht-technische Cookies, also Cookies, die Daten z.B. für Marketing Zwecke erheben, blockiert werden, bis die Zustimmung erteilt wird. Technische Cookies sind Cookies, mit denen die Website nicht funktionieren kann, wie z. B. wenn ausgewählte Produkte im Warenkorb bis zum Check-out gespeichert werden.

Wenn ich einen einfachen Blog betreibe, muss ich mich dann trotzdem an die DSGVO halten? Auch, wenn ich keine Dienstleistungen verkaufe? Ich verarbeite die personenbezogenen Daten meiner Kunden nicht.

Sophia: Also, selbst bei einem Blog oder einer einfachen Website, unabhängig von deinem Standort oder den gesetzlichen Anforderungen benötigst du immer eine Datenschutzerklärung, insbesondere hier in Deutschland! Du informierst deine Nutzer darüber, welche personenbezogenen Daten du sammelst und wie die Daten verarbeitet werden. Sogar die Sammlung von IP-Adressen gilt schon als personenbezogene Daten und erfordert eine Datenschutzerklärung.

Ich biete auch einen Newsletter an. Ist nur eine Datenschutzerklärung auf meiner Webseite dann ausreichend?

Sophia: Wenn du einen Newsletter anbietest, ist nicht nur eine Datenschutzerklärung erforderlich, sondern auch ein Zustimmungsnachweis. Grundsätzlich musst du in der Lage sein, die Identität des Nutzers festzustellen, der deinen Newsletter abonniert hat. Dazu gehört zusätzlich eine detaillierte Aufzeichnung darüber; wann dieser Nutzer eingewilligt hat, welche Daten zum Zeitpunkt der Einwilligung mitgeteilt wurden, Methoden zur Einwilligung (z. B. Newsletter-Formular, beim Check-out etc.) und ob die Einwilligung zurückgezogen wurde oder nicht.

Zusammengefasst, benötigst du eine Datenschutzerklärung und z.B. eine Consent-Solution, um die Daten deiner Newsletter-Abonnenten zu erfassen und aufzubewahren.

Nehmen wir an, ich betreibe eine E-Commerce-Website. Was brauche ich, damit ich DSGVO-konform bin?

Sophia: Für E-Commerce ist es grundsätzlich empfohlen, dass man eine Datenschutzerklärung hat, eine Cookie-Verwaltung, AGBs und Einwilligungs- und Datenverarbeitungsverzeichnisse.

Als Faustregel gilt, dass man zuerst die Gesetze des Landes folgt, in dem man als Unternehmenseigentümer ansässig ist, und anschließend die Gesetze des Landes, in dem die Kunden ansässig sind.

Weiterhin solltest du sicherstellen, dass deine rechtlichen Dokumente in allen Sprachen verfügbar sind, die deine Website anbietet.

Muss ich meine Richtlinien in allen Sprachen anbieten, aus denen meine Kunden herkommen?

Sophia: Grundsätzlich solltest du deine Richtlinien in allen Sprachen anbieten, in denen deine Website verfügbar ist, damit diese für deine Nutzer verständlich sind. In einigen Ländern wie z. B. Deutschland könnte es notwendig sein, diese Dokumente in der Amtssprache deines Landes zur Verfügung zu stellen, auch wenn deine Webseite nicht in dieser Sprache verfügbar ist.

Mit iubenda ist das recht einfach zu implementieren. Unsere Software-Lösungen sind in bis zu 9 Sprachen verfügbar, darunter Deutsch, Englisch (US), Englisch (UK), Italienisch, Französisch, Portugiesisch (BR), Russisch, Spanisch und Niederländisch! Und jede Änderung, die du in einer Sprache der Dokumente vornimmst, wird automatisch auch in den anderen Sprachen übernommen.

Es soll negative Auswirkungen für potenzielle Werbeeinnahmen geben, wenn man die DSGVO nicht einhält. Wie ist das möglich?

Sophia: Das ist richtig. Wer die DSGVO nicht einhält, verliert potenziell Möglichkeiten des Trackings und der Monetisierung (z. B. Retargeting). Der Grund dafür ist das IAB TCF.

Was genau meine ich damit?

Das IAB Europe Transparency and Consent Framework ist eine Initiative des IAB Tech Lab – (auf Englisch) einer gemeinnützigen Organisation, die sich aus digitalen Publishern, Ad-tech-Unternehmen, Vermarktern und anderen Unternehmen zusammensetzt, die im interaktiven Marketing tätig sind. Das Gremium setzt sich aus einigen ziemlich bekannten Marken wie Google, AppNexus, LinkedIn, Microsoft und anderen zusammen.

Das TCF bietet ein Standardverfahren zur Erfassung der informierten Einwilligung der Nutzer und ermöglicht die nahtlose Übermittlung der Einwilligungspräferenzen der Nutzer über die gesamte Werbelieferkette hinweg. Damit können Drittanbieter die personenbezogenen Daten der Nutzer rechtlich verarbeiten.

Das IAB Transparency and Consent Framework ist im Idealfall für Erstanbieter gedacht, die mit Drittanbieterinserenten zusammenarbeiten (d.h. Publisher, die Anzeigen auf ihrer Website schalten). Es wird dringend empfohlen, dem TCF zu entsprechen, wenn man in diese Kategorie fällt, da einige Werbenetzwerke den Zugang zu deinem Netzwerk einschränken können, wenn nicht, was wiederum Werbeeinnahmen potenziell verringern könnte.

Mit iubenda’s Cookie Solution ist es einfach, wir haben eine eingebaute Funktion, die mit nur einem Klick aktiviert werden kann und schon entspricht man dem IAB Framework.

Vielen Dank für die ganze Info! Und wie sieht es mit euren Preisen aus?

Sophia: Unsere Pläne kannst du individuell anpassen, je nachdem, wie viele Websites du betreibst und wie viele Sprachen du benötigst.

Wir bieten eine kostenlose Basisversion für einige unsere Produkte zum Testen an, allerdings sind diese in ihrer Funktion recht eingeschränkt. Darüber hinaus bieten wir einen Pay-per-License-Plan an, zum Mindestpreis von 29 Euro pro Jahr.

[Hinweis an meine Leser: Über diesen Vorteils-Link spart ihr 10% im ersten Jahr, also bares Geld!] 

Falls du dir aber nicht sicher bist, welcher Plan am besten zu dir passt, ist unser Support-Team immer erreichbar. Schreib uns eine Mail und wir helfen gerne!

Danke für das Gespräch Sophia!

Hat dir mein Beitrag geholfen?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 5 / 5. Anzahl Bewertungen: 1

Letzte Version vom 29. April 2022 von Netzgänger

Kaffee für den Blogger...

Ich konnte dir bei einem WordPress-Problem helfen? Ich würde mich über eine kleine Kaffee-Spende freuen. :)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert