Hand aufs Herz: Wann haben Sie das letzte Mal Ihre eigene Website auf DSGVO-Konformität geprüft? Die meisten Betriebe haben ihre Website vor einiger Zeit mit bestem Wissen und Gewissen aufgesetzt. Doch was gestern noch Standard war, kann heute bereits ein Risiko sein. Die gute Nachricht: Häufige Abmahnfallen wie Google Fonts, YouTube-Videos und Cookie-Banner lassen sich mit wenigen technischen Anpassungen vermeiden.

Warum Schriftarten ein Datenschutzproblem sind

Es ist der Klassiker unter den Abmahnungen: die dynamische Einbindung von Google Fonts. Nahezu jede moderne Website nutzt sie. Das Problem entsteht, wenn die Schriftart direkt vom Google-Server geladen wird.

Was passiert technisch? Ruft ein Besucher Ihre Website auf, sendet sein Browser eine Anfrage an die Server von Google in den USA, um die Schriftart zu laden. Bei dieser Anfrage wird unweigerlich die IP-Adresse des Besuchers – ein personenbezogenes Datum – an Google übermittelt. Und das passiert, bevor der Nutzer überhaupt die Chance hatte, dem via Cookie-Banner zuzustimmen oder dies abzulehnen.

Ein Urteil des Landgerichts München (Az. 3 O 17493/20) hat klargestellt, dass diese Praxis ohne Einwilligung gegen die DSGVO verstoßen kann.

Hosten Sie Ihre Schriftarten lokal

Die datenschutzfreundlichste Variante ist das „lokale Hosting“ (oder „Self-Hosting“) der Schriftarten.

Was bedeutet das? Statt die Schriftarten bei jedem Aufruf von Google zu „borgen“, laden Sie die benötigten Font-Dateien (z.B. im WOFF2-Format) herunter und laden sie direkt auf Ihren eigenen Webserver hoch. Anschließend passen Sie den CSS-Code Ihrer Website so an, dass sie die Schriften von Ihrem eigenen Server lädt.

Der Vorteil: Es findet keine Übertragung personenbezogener Daten an Dritte (wie Google) statt. Die IP-Adresse Ihres Besuchers verbleibt auf Ihrem Server. So lässt sich das Risiko einer Datenschutzverletzung technisch reduzieren.

Datenübertragung vor dem „Play“-Button

Videos sind beliebt im Marketing, doch die Standard-Einbettung von YouTube ist eine weitere Datenfalle. Wenn Sie ein YouTube-Video per „iframe“ einbinden, lädt der Browser oft schon beim Seitenaufruf Daten von Google-Servern. Cookies werden gesetzt und Daten fließen, noch bevor der Besucher überhaupt Interesse am Video signalisiert hat.

Eine etablierte Methode für datenschutzfreundliche Video-Einbindungen ist die sogenannte „Zwei-Klick-Lösung“ (oder „erweiterter Datenschutzmodus“).

Wie funktioniert das? Statt des Videos wird zunächst nur ein Vorschaubild (Thumbnail) mit einem Datenschutzhinweis geladen. Erst wenn der Nutzer aktiv auf dieses Vorschaubild klickt (Klick 1), erteilt er die Einwilligung, dass Inhalte von YouTube geladen werden dürfen. Die Verbindung zu YouTube wird hergestellt, und mit dem zweiten Klick (Klick 2) startet das Video.

Viele Content-Management-Systeme (CMS) und Plugins bieten diese Funktion bereits an. Alternativ bietet YouTube selbst den „erweiterten Datenschutzmodus“ an (durch Nutzung der Domain youtube-nocookie.com im Einbettungscode), der das Tracking zumindest einschränkt, bis das Video abgespielt wird.

Gut gemeint ist nicht immer gut gemacht

Fast jede Website hat eines, doch die wenigsten Cookie-Banner sind wirklich konform. Seit dem „Planet49“-Urteil des EuGH (Az. C-673/17) und dem Inkrafttreten des „Telekommunikation-Telemedien-Datenschutz-Gesetz“ (TTDSG) in Deutschland sind die Anforderungen klar definiert.

Die häufigsten Fehler in der Praxis:

• Kein „Ablehnen“-Button: Der Nutzer muss genauso leicht ablehnen können, wie er zustimmen kann. Ein versteckter Ablehn-Link reicht nicht.
• Voreingestellte Häkchen: Es darf nur ein Häkchen bei „Technisch Notwendig“ (essenziell) voreingestellt sein. Alle anderen (Marketing, Statistik etc.) müssen standardmäßig deaktiviert sein (Opt-in).
• „Dark Patterns“: Der „Zustimmen“-Button ist grün und riesig, der „Ablehnen“-Button ist grau und kaum lesbar. Eine solche Gestaltung kann als manipulativ und rechtlich problematisch angesehen werden.

Ein konformes Banner sollte eine aktive, informierte und freiwillige Einwilligung ermöglichen, die jederzeit widerrufbar ist. „Viele Unternehmen sehen das Cookie-Banner als lästige Pflicht. Doch einmal sauber aufgesetzt, spart man sich viel Ärger und eventuelle teure Abmahnungen,“ sagt Hendrik Fülle, Datenschutzexperte in Dingolfing.

Kleiner Check, große Wirkung

Bei allem Fokus auf die Technik: Vergessen Sie nicht die Grundlagen. Veraltete Datenschutzerklärungen (fehlen die Erwähnungen der oben genannten Tools?) oder unvollständige Impressen sind nach wie vor Abmahngrund Nummer eins. Prüfen Sie, ob alle Angaben aktuell und vollständig sind.

Ausblick

Die digitale Welt verändert sich rasant. Was heute gilt, kann morgen schon wieder überholt sein. Website-Compliance ist daher kein einmaliges Projekt, sondern ein kontinuierlicher Prozess – und leider auch ein häufiges Abmahnthema. Lassen Sie Ihre Website lieber einmal mehr prüfen als einmal zu wenig. Bei Bedarf unterstützen wir Sie gerne dabei.