Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist mit Mai 2018 in Kraft getreten und enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Das betrifft zwar nicht nur Websites, wir werden uns hier aber nur auf Websites konzentrieren.
Kurzum heißt es, dass Nutzer*innen von Websites der Verwendung von bestimmten Diensten zustimmen müssen, da persönliche Daten (meist die IP-Adresse) auf die Server von Drittanbietern wie zB Google, Facebook, LinkedIn usw. übertragen und gespeichert werden. Aufgrund der IP-Adresse ist man theoretisch über mehrere Ecken identifizierbar, warum es als persönliches Datum gilt. Aufgrund des Verhaltens im Internet kann man aufgrund der IP-Adresse aber ein Bild der Nutzer*innen schaffen und aufgrund dieses Bildes gezielte Werbung ausspielen. Wer kennt sie nicht, die Handtasche oder den Griller, die einen über Wochen auf allen Plattformen verfolgen.
Wir zeigen dir ein paar Möglichkeiten, wie du deine Website auf DSGVO Konformität untersuchen kannst:
1. Website Inspektor im Browser
Moderne Browser bieten allesamt die Möglichkeit, den Quellcode in strukturierter Form anzusehen und zu analysieren. Dafür musst du bei geöffneter Website irgendwo (am besten beim Hintergrund) mit rechter Maustaste klicken und "Untersuchen" auswählen oder einfach F12 auf der Tastatur drücken. Es öffnet sich entweder rechts oder darunter ein Fenster mit dem HTML Quellcode.
Du hast nun verschiedene Möglichkeiten:
- Den Quellcode mit Strg + F (Windows) oder Cmd + F (Mac) nach bestimmten Keywords zu untersuchen. Willst du wissen, ob du zB Google Fonts lädst, suche nach "fonts.gstatic.com"
- Klicke im Inspektor oben auf den Tab "Netzwerk" und lade die Seite nochmal ohne Cache neu, mit Strg + F5 (Windows) oder Cmd + R (Mac). Dann füllt sich der Bereich mit allen Server-Requests, die von der Website getätigt werden.
Für unterschiedliche Browser gibt es nun verschiedene Vorgehensweisen:
- Firefox: Du siehst in der Liste direkt den "Host" - hier kannst du sehen, ob du von einer fremden URL Inhalte lädst. Wird unter "Hosts" "fonts.googleapis.com" und/oder "fonts.gstatic.com" gelistet, werden Google Fonts eingebunden.
- Chrome: In der Spalte "Url" siehst du alle URLs, von denen etwas geladen wurde. Wenn hier "fonts.googleapis.com" oder eine andere URL von Google dabei ist, solltest du handeln
- Edge: Du kannst nun filtern und nur "Drittanbieter" Dateien anzeigen lassen.
3. Klicke im Inspektor oben auf den Tab "Debugger" (Firefox) oder "Sources" (Chrome). Hier siehst du eine Liste mit allen Domain, von denen Inhalt geladen wird.
Es sollte generell darauf geachtet werden, ob hier irgendwelche Inhalte von fremden URLs geladen werden und es sollte jede einzelne fremde Quelle untersucht und hinterfragt werden:
- Was ist es?
- Wo kommt es her?
- Brauche ich es?
- Kann es aus DSGVO Sicht Probleme verursachen?
2. Browser Plugin "uBlock Origin"
Mithilfe des Browser-Plugins uBlock Origin für Firefox und uBlock Origin für Chrome sieht man auf einen Blick, welche externen URLs geladen werden und ob Google Fonts oder Google Analytics dabei sind oder nicht. Bei dem Plugin handelt es sich eigentlich um einen AdBlocker, der aber über die AdBlocker-Funktion hinaus noch eine recht übersichtliche Liste extern geladener Inhalte bietet.
Das Plugin im Browser installieren, in der Toolbar anheften und nach dem Laden der Seiten auf das Icon klicken. Schon sieht man, welche URLs von der Seite aufgerufen werden bzw. von welchen URLs Inhalte geladen werden. Grundsätzlich ist hier jede URL interessant, die nicht die eigene ist.
Beispiele für URLs, auf die man achten sollte:
- fonts.gstatic.com
- googletagmanager.com
- google-analytics.com
- analytics.google.com
- facebook.com
- und alle URLS, die eine fremde Domain beinhalten, die nicht die eigene ist
3. Browser Plugin "Cookie Quick Manager"
Mit der Browser Extension Cookie Quick Manager für Firefox oder dem Plugin Cookie-Editor für Chrome kann man alle Cookies, die für eine Domain gesetzt werden, einsehen und verwalten. Das ist deswegen wichtig, weil man als Websitebetreiber wissen muss, welche Cookies für die eigene Website gesetzt werden. Cookies, die von Drittanbietern wie zB Google gesetzt werden, sind zustimmungspflichtig, darum sollte man einen genauen Überblick darüber haben, was ohne Zustimmung gesetzt wird, damit die Website DSGVO-konform bleibt.
4. SYSSY checkt deine Website regelmäßig
Wenn du deine Website bei SYSSY als Projekt angelegt hast, wird diese täglich auf DSGVO Konformität gecheckt. D.h. wir überprüfen, ob auf deiner Website eine ganze Reihe an Diensten ohne aktive Zustimmung zum Cookie-Banner geladen werden.
Warum muss das regelmäßig sein?
Der regelmäßige Check ist sehr wichtig, weil eine Website meist kein statisches Dasein hat, sondern ein dynamischer Teil des Internets ist, sozusagen "lebt". Durch CMS- oder Plugin-Updates oder der Einbindung von Diensten wie zB externen Formularen kann es sein, dass Dinge wie Google Fonts plötzlich wieder auftauchen, obwohl du diese schon eliminiert hattest.
Die Erfahrung hat gezeigt, dass auch DSGVO Probleme auftreten können, weil Kund*innen Inhalte von anderen Websites kopieren und einfügen und dann eine ganze Menge mitgenommen wird - wir haben schon alles gesehen von fremden Facebook Pixeln bis über Bilder und Videos von fremden URLs - was dann nicht nur ein DSGVO-Problem ist, sondern auch schnell zum Lizenzproblem wird.
Bindest du einen neuen Dienst ein und es gibt ein Problem mit der DSGVO, schickt dir SYSSY eine Benachrichtigung und du kannst dich darum kümmern!
Mehr Informationen zum DSGVO-Check.
Lass dich beim Website Management unterstützen
Du willst Hilfe bei der Website-Verwaltung?
SYSSY arbeitet für dich im Hintergrund!