Webdesign

Eine rechtssichere Website | 6 grundlegende Tipps

Obwohl die DSGVO spätestens seit dem 25.05.2018 gilt, ist sie bei weitem noch nicht überall umgesetzt. Deshalb folgende Tipps für eine rechtssichere Website.

von Ellena -

Anforderungen an eine rechtssichere Website

Nur alleine ein ansprechendes Design zeichnet noch keine gute Website aus. Die Besucher wünschen nicht nur eine intuitive Bedienbarkeit, Verschlüsselung, verlustfreie Anpassung an kleinere Bildschirme und kurze Ladezeit. Sie erwarten auch einen verantwortungsvollen Umgang mit ihren persönlichen Daten.

Darüber hinaus kontrollieren die zuständigen Behörden zunehmend häufiger die Internetauftritte und ahnden jegliche Verstöße gegen geltende Gesetze. Deshalb sollte es im Interesse jedes Betreibers oder Inhabers einer Website liegen, sich mit den Anforderungen an eine rechtssichere Website vertraut zu machen. Diese sind den folgenden Gesetzen zu entnehmen:

Grundsätzlich gelten diese Vorschriften sowohl für deutsche, europäische als auch für außereuropäische Internetauftritte.

Eine rechtssichere Website - 6 grundlegende Tipps
Grafik: eb

Internetauftritte in Zahlen

Um einen Eindruck zu bekommen, wovon die Rede ist, hier ein kurzer Einblick in das World Wide Web. Begonnen hat alles 1990 und damals ahnte wahrscheinlich noch niemand, welcher Stein damit ins Rollen gebracht würde.

„Der erste Internetauftritt ging am 13. November 1990 online. Er wurde vom damaligen CERN-Mitarbeiter Tim Berners-Lee entwickelt und veröffentlicht. Am 30. April 1993 kündigte das CERN an, dass das WWW von allen Interessierten frei nutzbar sein werde.“
Quelle: arocom

Laut › Website Hostingrating gab es Anfang 2020, also 30 Jahre später, weltweit

  • 333,8 Millionen registrierte Domain-Namen mit einem Anstieg um ca. 1 Prozent pro Jahr
  • Insgesamt 1.744.517.326 Websites
  • mehr als 600 Millionen Blogs sowie
  • ca. 5.760.000 neue Blog-Beiträge pro Tag

Hinter diesen Zahlen verbergen sich natürlich alle Internetauftritte. Einerseits sind es Suchmaschinen wie Google, Shops wie Amazon, Online-Nachrichten-Portale und Social Media Plattformen, andererseits aber auch Blogs oder kleine Websites, die nur aus wenigen Seiten bestehen und eine begrenzte Zielgruppe haben. Darüber hinaus sind auch solche mitgezählt, die zwar nicht mehr aktiv betrieben werden, aber noch nicht gelöscht wurden.

Betreiben einer Website

Immer noch nehmen es einige Betreibern nicht so genau mit dem Datenschutz und der Sicherheit. Neben denjenigen, die ihren Sitz außerhalb der EU haben, gehören dazu auch viele deutsche, die keine rechtssichere Website online stellen.

In einer vom › Fachverband deutscher Webseiten-Betreiber (FdWB) im März 2020 durchgeführten Studie stellte sich heraus, dass 41 Prozent der 2500 überprüften Websites fehlerhaft waren. Analysiert wurden Internetauftritte kleiner und mittlerer Unternehmen unterschiedlicher Branchen, die nach dem Zufallsprinzip ausgewählt wurden. Dabei richtete sich das Augenmerk des FdWB vor allem auf folgende Faktoren:

  • Aktive und funktionierende SSL-Verschlüsselung
  • Datenschutzerklärung: Enthält alle Unternehmensdaten und ist vorschriftsmäßig verlinkt
  • Korrekter Cookie-Hinweis
  • Vollständige Angaben im Impressum

Im einzelnen kam der Fachverband zu folgenden Ergebnissen – Prozent aller fehlerhaften Seiten:

  • 87 Prozent hatten kein oder kein funktionierendes SSL-Zertifikat
  • 35 Prozent wiesen in der Datenschutzerklärung unvollständige Angaben zum Unternehmen auf
  • 32 Prozent verfügten über gar keine Datenschutzerklärung
  • 27 Prozent nutzten Formulare mit einem oder mehreren Fehlern
  • 19 Prozent machten unvollständige Angaben im Impressum
  • 16 Prozent fehlte die korrekte Verlinkung der Datenschutzerklärung
  • Ebenso viele zeigten Mängel beim Cookie-Banner, insbesondere die fehlende Möglichkeit, Cookies abzulehnen

Ursache kostenlose Baukasten-Systeme?

Auffällig ist, dass viele mangelhafte Websites mit sogenannten Baukasten-Systemen erstellt sind. Besteht da ein Zusammenhang?

Von 1 Million Top-Websites wurden ungefähr 5,6 Prozent mit Baukasten-Systemen erstellt, wobei Squarespace, Wix und Weebly die meistgenutzten sind. Ursächlich für die Mängel auf so erstellten Websites sind vermutlich sowohl die Unkenntnis der Website-Inhaber oder -Ersteller als auch unzureichende Informationen seitens der Baukasten-System-Anbieter.

Ist also die Erstellung durch einen Profi in jedem Fall die bessere Lösung? Im Prinzip ja, wenn du den richtigen Webdesigner findest. Denn auch das Entwickeln einer Website von professionellen Webdesignern bedeutet nicht immer, dass am Ende auch eine rechtssichere Website dabei herauskommt – siehe auch unter » Cookies.

Wie sollte eine rechtssichere Website aussehen?

Grundsätzlich gelten die gesetzlichen Anforderungen für alle Websites, unabhängig von Umfang, Alter, Funktion oder Zielgruppe. Dabei spielt es keine Rolle, wer deine Website erstellt hat und wo sie registriert ist. Denn du als Betreiber und Inhaber haftest für Mängel oder Verstöße. Daraus folgt, dass auch bereits bestehende Internetauftritte entsprechend nachgebessert werden müssen, falls sie die Vorgaben noch nicht oder nicht mehr erfüllen.

Zwar darf ich keine rechtsverbindliche Beratung anbieten, aber trotzdem können dir meine folgenden Tipps helfen, deine Website auf Mängel zu überprüfen und diese in eine rechtssichere Website umzuwandeln. Falls du bereits abgemahnt wurdest, müsstest du dich in jedem Fall an einen zugelassenen Rechtsanwalt wenden. Dieser sollte sich mit IT-Recht auskennen.

Impressum für eine rechtssichere Website

Die Impressumspflicht für deutsche Internetauftritte ergibt sich aus dem Digitale-Dienste-Gesetz (DDG) § 5 beziehungsweise dem Medienstaatsvertrag. Ausgenommen davon sind nur Websites, die ausschließlich persönlichen oder familiären Zwecken dienen. Das Impressum muss jederzeit auffindbar sein und folgende Informationen enthalten:

  • Vor- und Nachname des Website-Betreibers oder -Inhabers
  • bei Unternehmen: Firmenname sowie Vor- und Nachname eines Vertretungsberechtigten
  • Vollständige Anschrift – keine Postfachadresse!
  • Aktuelle E-Mail-Adresse und Telefonnummer
  • Umsatzsteuer oder /Wirtschaftssteuer-Identifikationnummer [1]
  • Hinweis auf Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregistereintrag plus Registernummer, alls vorhanden
  • Namens des oder der Datenschutzbeauftragten

[1] Falls es sich um ein von der Umsatzsteuer befreites Unternehmen, ein angemeldetes Kleingewerbe handelt, wäre ein Hinweis darauf sinnvoll.

Impressum
Lege dafür eine eigene Seite an, gib ihr einen eindeutigen Titel und verlinke sie im Header-Menü oder im Footer-Bereich deiner Website.

Beachtung des Urheberrechts

Obwohl die Reform des Urheberrechts momentan noch nicht abgeschlossen ist, ändert das nichts an den Basisbestimmungen. Denn normalerweise unterliegen alle Inhalte und das Design einer Website dem Urheberrecht.

„§ 2 Geschützte Werke (1) Zu den geschützten Werken der Literatur, Wissenschaft und Kunst gehören insbesondere: 1 Sprachwerke, wie Schriftwerke, Reden und Computerprogramme; 2 Werke der Musik; … 5 Lichtbildwerke einschließlich der Werke, die ähnlich wie Lichtbildwerke geschaffen werden; 6 Filmwerke einschließlich der Werke, die ähnlich wie Filmwerke geschaffen werden; 7 Darstellungen wissenschaftlicher oder technischer Art, wie Zeichnungen, Pläne, Karten, Skizzen, Tabellen und plastische Darstellungen. (2) Werke im Sinne dieses Gesetzes sind nur persönliche geistige Schöpfungen.“
Quelle: BUNDESMINISTERIUM FÜR JUSTIZ UND VERBRAUCHERSCHUTZ

Urheberrecht bei Inhalten aus externen Quellen

Aus den gesetzlichen Vorgaben folgt, dass alle Inhalte mit einer Angabe der Quelle und gegebenenfalls des Namens des Rechteinhabers versehen werden müssen. So gehört zu jedem Zitat eine Quellenangabe. Falls du das Zitat einer Website entnommen hast, bedeutet das für eine rechtssichere Website, dass du auch den entsprechenden Link hinzufügst. Dasselbe gilt für Videos, Musik, und Ähnliches.

Wenn du Bilder, Grafiken oder Piktogramme und das Webdesign nicht selbst erdacht und angefertigt hast, musst du ebenfalls die Quelle nennen. Beispielsweise muss unter jeder Abbildung der Namen des Rechteinhabers – der Agentur, des Designers oder des Fotografen – angegeben sein. Es ist nicht zulässig beispielsweise im Impressum einfach nur eine Liste anzulegen, auf der alle Abbildungen mit den betreffenden Rechteinhabern untereinander aufgeführt sind.

Zwar bieten einige Online-Plattformen auch lizenzfreie Bilder an. Jedoch bezieht sich dies meistens nur auf eine private Verwendung. Da eine Website in den meisten Fällen öffentlich ist, kann die oft undurchsichtige Lizenzierung schnell zur Falle werden.

Noch nicht final geklärt ist, wie die Regelung bei der Verwendung von mittels AI / KI erstellten Inhalten aussieht. Bislang gilt das Urheberrecht nicht für reine KI-Inhalte, jedoch dann, wenn die so erstellten Inhalte anschließend von dir entscheidend verändert wurden. Es reicht dabei nicht, nur die Überschrift zu ändern, sondern die sprachliche Gestaltung und der Inhalt von Texten muss deutlich an deinen Stil angepasst worden sein.

Auch alle von dir selbst erstellten Inhalte unterliegen natürlich dem Urheberrecht. Deshalb gibst du über oder unter jedem Beitrag deinen Namen als Autor an. Genauso verfährst du mit deinen Abbildungen, Videos und sonstigen Werken auf deiner Website. Obwohl es eigentlich zum Allgemeinwissen gehören sollte, dass alle Inhalte einer Website urheberrechtlich geschützt sind und nicht einfach kopiert und anderswo wiederverwendet werden dürfen, passiert dies dennoch nicht selten. Deshalb kannst du zusätzlich einen separaten Urheberrechts-Hinweis schreiben, der für die Website selbst und alle eigenen Inhalte gilt.

Wenn du dafür keine eigene Seite erstellen möchtest, könntest du die Informationen zum Urheberrecht auf der Impressums-Seite hinzufügen. Des Weiteren bietet es sich an, dort auch noch eine Erklärung bezüglich des Haftungsausschlusses für Verlinkungen zu externen Seiten und deren Inhalten anzuhängen.

Bildquelle unter jeder Abbildung
Auch unter jedem Stockfoto muss zumindest der Hinweis auf die Plattform stehen, von der du es heruntergeladen hast. Falls es sich nicht um lizenzfreie Bilder handelt, gehört auch noch der Name des Lizenzinhabers dazu. Lediglich bei einem Cover- oder Hintergrundbild, zum Beispiel auf deiner Startseite oder am Kopf von Beiträgen sowie bei Piktogrammen ist eine Quellenangabe unterhalb der Abbildungen nicht üblich und oft ist dies auch in Form eines Wasserzeichens nicht möglich. Am besten fügst du dann einen Hinweis auf den Rechteinhaber am Ende der betreffenden Seite ein.

Datenschutz

Seit dem 25.05.2018 ist die Datenschutz-Grundverordnung (EU-DSGVO) für alle Internetauftritte bindend. Zusätzlich gilt das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz TDDDG, vor Mai 2024 TTDSG genannt. In erster Linie dienen sie dem Schutz der Verbraucher und Besucher unter anderem von Websites. Eine rechtssichere Website zeichnet sich dadurch aus, dass sie dem Besucher die Selbstbestimmung und Kontrolle über seine persönlichen Daten ermöglicht. Dazu ist folgendes zu beachten:

  • Zweckbindung und Datenminimierung: Erfassung nur absolut notwendiger Daten und deren ausschließlich zweckgebundene Verarbeitung.
  • Privacy by Design: Sicherstellung des Schutzes der Privatsphäre der Besucher, beispielsweise durch Pseudonymisierung oder ähnliche technische Maßnahmen, bereits beim Erstellen einer Website.
  • Einwilligung zur Datenverarbeitung: Diese muss freiwillig, aktiv und für unterschiedliche Vorgänge einzeln möglich sein.

Datenschutzerklärung für eine rechtssichere Website

Wenn du eine rechtssichere Website betreibst, solltest du auch nur die für die Nutzung deiner Website und deines Angebots tatsächlich benötigten personenbezogenen Daten abfragen und speichern. Bei einem Shop benötigst du natürlich Namen, Anschriften und Zahlungsdaten, aber für eine Newsletter-Anmeldung ist die Angabe einer E-Mail Adresse absolut ausreichend. Weitere Daten dürfen nicht als Pflichtangaben abgefragt werden. Darüber hinaus gewährst du den Besuchern und Kunden das Recht auf

  • Information und Auskunft
  • Berichtigung und Löschung
  • Einwilligung
  • Widerruf
  • Widerspruch sowie
  • die Mitnahme ihrer Daten.

Um diese Rechte wahrnehmen zu können, benötigt eine rechtssichere Website eine klar gegliederte Datenschutzerklärung, geschrieben in einer leicht verständlichen Sprache. Neben deinem Namen und deiner Adresse oder einem Verweis auf dein « Impressum enthält sie auch den Namen, die Anschrift sowie die Telefonnummer und E-Mail-Adresse des Ansprechpartners für Fragen des Datenschutzes.

Außerdem gehören alle Informationen über die Erfassung von Daten, deren Zweck sowie eine Begründung für deren Verarbeitung in die Datenschutzerklärung für eine rechtssichere Website. Einerseits gilt dies für alle von dir aktiv abgefragten Daten wie die Anmeldung auf deiner Website, Kontaktdaten, Rechnungs- oder Versanddaten. Andererseits betrifft es aber auch automatisch gespeicherte, technische Daten wie Log-Files und Cookies.

Somit reicht der kurzer Satz „Diese Website erhebt und speichert keine persönlichen Daten“ oder Ähnliches selbst bei Websites, die keine direkt erkennbaren keine Daten speichern, für eine rechtssichere Website nicht aus!

Alle Websites sammeln Daten!
Grundsätzlich erfassen alle Websites Daten der Besucher. Ohne dies wäre ein Aufrufen und Ausliefern einer Website technisch gar nicht möglich. Der Unterschied besteht lediglich darin, dass rein technische Daten nicht eines separaten Cookie-Hinweises bedürfen, während alle anderen erfassten Daten einzeln den Besuchern bekannt gemacht werden und deren Erfassung von ihm ablehnbar sein muss, bevor sie die Website aktiv nutzen.

Muster für eine Datenschutzerklärung

Für eine einfache rechtssichere Website findest du recht gute Vorlagen im Internet, wie zum Beispiel bei eRecht24. Die Betonung liegt dabei jedoch auf Muster. Denn du solltest sie nicht eins-zu-eins übernehmen, sondern sorgfältig an deine Gegebenheiten anpassen. Was du bei der Erstellung des Musters nicht angibst, kann später auch nicht in die Vorlage übernommen werden, denn die Generatoren kennen deine Website nicht und überprüfen sie auch nicht.

Dasselbe gilt auch auch für solche Datenschutz-Seiten, die du von einem Baukasten- oder Redaktionssystem angeboten bekommst, denn der Anbieter ist nicht verpflichtet dir automatisch eine rechtssichere Website zur Verfügung zu stellen. Häufig wird dort zum Beispiel auf Analyse-Tools verwiesen. Deshalb überprüfe, ob die Analyse auch deine Website einschließt. Wenn nicht, musst du es nur erwähnen, wenn du selbst ein solches Tool installiert hast. Ähnliches gilt, wenn du zusätzliche, vom Anbieter nicht berücksichtigte, Funktion integrierst. Auch um diese musst du natürlich deine Datenschutzerklärung ergänzen.

Falls deine Website umfangreicher ist oder es sich um einen Online-Shop handelt, der naturgemäß eine Reihe von persönlichen Daten erfasst, ist es ratsam, einen Rechtsanwalt zu konsultieren, um eine korrekte Datenschutzerklärung für eine rechtssichere Website erstellen zu können.

In keinem Fall solltest du die Datenschutzerklärung einer anderen Website, selbst wenn diese vergleichbare Inhalte hat, kopieren. Einerseits liegt der Teufel oft im Detais, die du nicht kennst. Andererseits stellt dies eine Urheberrechtsverletzung, die auch für Datenschutzerklärungen und ähnliche Pflichtseiten gilt, dar. Wurde der kopierte Text im Original gar von einem Rechtsanwalt erstellt, kann das im Falle einer Abmahnung durch diesen, ausgesprochen teuer werden.

Eine eigenständige Datenschutz-Seite
Bei der Datenschutzerklärung muss es sich um eine eigene Seite mit einer eindeutigen Bezeichnung handeln. So reicht ein kurzer Datenschutz-Hinweis im Impressum, wie noch häufig zu sehen, für eine rechtssichere Website nicht aus! Außerdem muss sie von jeder beliebigen Stelle deiner Website direkt erreichbar sein und alle für deine Website relevanten Informationen enthalten – nicht mehr, aber auch nicht weniger.

Nutzung von Diensten Dritter

Ein weiterer kritischer Punkt für eine rechtssichere Website ist die Verknüpfung deiner Website mit externen Dienstleistern. Hierzu gehören unter anderem

  • Teilen-Buttons und direktes Einbinden von sozialen Netzwerken
  • Google Maps und YouTube-Videos
  • Analyse-Tools wie Google Analytics
  • Google-Fonts
  • Werbe-Einblendungen sowie
  • Affiliate Links, zum Beispiel von Amazon.

Außerdem sind auch zahlreiche WordPress-Plug-ins nicht DSGVO-konform und für eine rechtssichere Website nicht geeignet. Zwar wurden einige inzwischen dahingehend aktualisiert, dass du sie in den jeweiligen Einstellungen entsprechend anpassen kannst. Aber das trifft bei weitem noch nicht auf alle zu. Deshalb musst du selbst die jeweiligen Einstellungen öffnen und diesbezüglich kontrollieren. Falls es eine Option für die DSGVO gibt, aktiviere sie unbedingt, falls nicht, deinstalliere das Plug-in und suche eines, dass anpassbar ist oder erst gar keine kritischen Daten sammelt. Darüber hinaus fügen diese Drittanbieter deiner Website unter Umständen von dir unbemerkt eigene Cookies hinzu.

AV-Vertrag nicht vergessen!
Wenn externe Dienste Daten deiner Besucher sammeln und auf ihren Servern speichern, brauchst du in jedem Fall einen › Auftragsdatenverarbeitungsvertrag (AV Vertrag) mit dem jeweiligen Anbieter. Das fängt beim Hosting an und setzt sich bei Google-Diensten oder Meta fort. Des Weiteren musst du diese Dienste natürlich auch in deiner Datenschutzerklärung angeben.

Privacy-Shield / Data Privacy Framework

Die Verknüpfung mit Dienstleistern aus den USA war und ist bis heute vor allem aufgrund der von diesen gesetzten Tracking-Cookies für eine rechtssichere Website problematisch. Da die Datenschutz-Bestimmungen in den USA wesentlich großzügiger ausgelegt sind, als die der EU-DSGVO, haben zwar einige größere US-Unternehmen im Rahmen des DPF – Data Privacy Frameworks – eine Vereinbarung mit der EU getroffen, wonach sie versichern, die Daten von EU-Bürgern DSGVO-konform zu verarbeiten. Dennoch ist die Rechtmäßigkeit der Übertragung von Daten von EU-Bürgern in die USA aufgrund des auch weiterhin bestehenden Unterschieds in der Datenschutz-Gesetzgebung, nach wie vor umstritten.

Da alle US-Unternehmen, selbst wenn sie die DPF Vereinbarung unterzeichnet haben, letztendlich der US-Gesetzgebung unterliegen, können sie auch beispielsweise die Verwendung der dortigen Überwachungsprogramme seitens der Regierung auf Grundlage des Cloud Acts nicht sicher verhindern. Nicht zuletzt haben auch weiterhin Europäer kaum eine Möglichkeit gegen eine missbräuchliche Verarbeitung ihrer Daten in den USA zu klagen.

Konsequenzen aus dem EuGH-Urteil

Um eine rechtssichere Website zu betreiben, solltest du folglich auf häufig in Websites eingebundene Drittanbieter-Dienste verzichten, auch wenn dank des Data Privacy Frameworks 2.0 eine Datenübertragung unter bestimmten Vorraussetzungen momentan möglich wäre. Ob und wann dieses neue Data Privacy Framework auch wieder ungültig wird, wie das bei seinen Vorgängern nach relativ kurzer Zeit der Fall war, weiß niemand. Dann könntest du dich für eine rechtssichere Website unter Umständen von jetzt auf gleich nicht mehr darauf berufen. Zu den kritischen Diensten gehören unter anderem

  • Dienste von Google wie Analytics, Ads, Doubleclick, Fonts, Maps, reCAPTCHA , YouTube
  • Social Media Plug-ins und Codes von Facebook, Instagram, LinkedIn, Pinterest, Tumblr und Twitter.
  • Das Amazon Partnerprogramm.
  • Cloudflare CDN, MailChimp, WordPress Stats, Adobe Fonts, Vimeo, SoundCloud und Spotify sowie
  • Videokonferenz-Tools wie GoToMeeting, Microsoft Teams, Skype for Business und Zoom.

Theoretisch wäre es zwar denkbar, mittels einer Einblendung wie dem Cookie-Hinweis eine Einwilligung der Besucher der Website zur Datenübertragung einzuholen. Praktisch ist dies für eine rechtssichere Website jedoch aus folgenden Gründen nur sehr begrenzt umsetzbar.

  • Beispielsweise beginnt die Datenübertragung beim Einsatz von Google Fonts bereits während des Aufbaus der Seite, noch bevor der Besucher den Hinweis sieht und entsprechend agieren kann.
  • Du müsstest über jeden verknüpften Dienst einzeln informieren und eine eigene Zustimmen- und Ablehnen-Schaltfläche anbieten. Die daraus resultierende Größe des Hinweis-Feldes wirkt störend und kann den einen oder anderen Besucher zum direkten Verlassen der Website veranlassen.
  • Auch in der Datenschutzerklärung müsstest du für jeden einzelnen Dienst ausführlich über die Datenübertragung, deren Zweck und den Empfänger aufklären.
  • Zuletzt ist es auch sehr fraglich, ob eine Einwilligung in eine Rechtsverletzung, nämlich dem Zugriff auf in den USA gespeicherte Daten durch dortige Behörden oder die Verarbeitung von Daten außerhalb der EU, eigentlich überhaupt rechtswirksam möglich ist.

Alle Datensammler auf der Website ausfindig machen
Überprüfe alle Verknüpfungen mit Drittanbietern sowie Plug-ins dahingehend, ob und welche Daten sie sammeln, wohin die Daten übertragen werden und ob sie die Vorschriften der DSGVO einhalten.
Falls du ein Plug-in nicht anpassen kannst und ein Dienst eine Datenverarbeitung ausschließlich auf EU-Servern nicht garantieren kann, verwende eine Alternativlösung. Sollte es die nicht geben, verzichte auf solche Plug-ins und Dienste zu Gunsten des Datenschutzes und deiner Geldbörse. Denn auch in diesem Fall drohen bei Verstößen erhebliche Bußgelder

Cookies

Grundsätzlich setzt jede Website beim Aufrufen Cookies. Hierbei handelt es sich zunächst um relativ harmlose Session- und technische Cookies, die für eine rechtssichere Website kein Problem darstellen. Einerseits dienen sie der Gewährleistung der Funktion der Website, wie beispielsweise dem Aufrechterhalten der Sitzung. Andererseits ermöglichen sie das schnellere Laden bei weiteren Besuchen derselben Interessenten oder ersparen das wiederholte Einloggen. Da sie entweder auf dem Gerät der Besucher oder beim Website-Betreiber gespeichert sind, werden viele beim Verlassen der Website automatisch gelöscht. Andere können die Besucher in seinem Browser jederzeit selbst löschen.

Etwas problematischer sind Analyse-Cookies, da sie auch Daten erfassen können, die unter Umständen Rückschlüsse auf die jeweilige Person zulassen. Am unkritischsten sind Analyse-Tools wie Matomo, die auf der Datenbank des Website-Betreibers installiert sind. Denn sie speichern nur anonymisierte Daten, die sich keiner konkreten Person zuordnen lassen.

Wesentlich kritischer sind alle Drittanbieter- oder Tracking-Cookies, deren gesammelte Informationen von externen Diensten ausgewertet werden. Dazu gehören die schon erwähnten Google Dienste, aber auch soziale Netzwerke, allen voran Meta mit Facebook und Instagram. Des Weiteren sind auch Werbeeinblendungen als kritisch zu betrachten.

Wenn du diese direkt in deine Website einbettest, wird oft schon in dem Moment ein Cookie gesetzt, in dem ein Besucher deine Website öffnet. Somit verfolgt der Drittanbieter alle Besucher deiner Website, unabhängig davon, ob sie überhaupt auf Inhalte des Drittanbieters klicken. Dies entspricht nicht den Anforderungen an eine rechtssichere Website.

Aufklärung über Cookies

Bisher leitet sich die Pflicht zur Aufklärung über Cookies aus der DSGVO und dem Telemediengesetz beziehungsweise aus dem Medienstaatsvertrag ab, die die e-Privacy-Verordnung ergänzen sollte. Jedoch ist diese Zusatz-Verordnung noch immer nicht endgültig in Kraft getreten. Dennoch müssen schon jetzt Website-Betreiber für eine rechtssichere Website über Cookies in leicht verständlicher Form aufklären.

Außerdem ist eine aktive Zustimmung der Besucher in Form eines Opt-in-Links vor dem Setzen von Tracking- und Analyse-Cookies notwendig. Des weiteren solltest du sicherstellen, dass dein Cookie-Consent-Tool auch ordnungsgemäß arbeitet. Nicht selten existiert zwar ein solcher Hinweis, eine Interaktion damit hat aber keine Auswirkung auf die Cookies der Website. Bestenfalls erscheint eine Fehlermeldung, nicht selten wird aber die Sicherheit vor Datensammlern und Tracking nur vorgespiegelt.

Auch ein einfacher Link zur Datenschutz-Erklärung ohne die oben genannten Zustimmungs- und Ablehnungs-Optionen, wie er immer wieder auf Websites zu sehen ist, reicht nicht aus.

Eine rechtssicherre Website - Cookie-Hinweise
Beispiele für Cookie-Hinweise (Screenshots: eb)

Cookie-Hinweise ähnlich dem Beispiel in der linken Spalte der Abbildung sind zwar sehr minimalistisch, aber soweit noch in Ordnung, sofern für Statistik und Marketing nur je ein zusätzliches Cookie gesetzt wird. Falls es mehrere wären, müssten sie, wie in der mittleren Spalte oben, jeweils einzeln benannt und ablehnbar sein, um eine rechtssichere Website zu betreiben. Wenn du nur essenzielle Cookies verwendest, benötigst du derzeit eigentlich gar keinen Hinweis. Aus Transparenzgründen wäre jedoch eine kurze Mitteilung im Footer nicht verkehrt.

Das einzig positive an den Cookie-Hinweisen in der rechten Spalte und unten auf der Abbildung ist, dass sie zumindest vorhanden sind, was leider immer noch nicht selbstverständlich ist. Allerdings entsprechen sie in keiner Weise den Vorschriften für eine rechtssichere Website und können somit nur der Information dienen, sofern wirklich außer den technisch notwendigen keine anderen Cookies gesetzt werden.

Um einen Eindruck von der Umsetzung des Cookie-Hinweises zu bekommen, habe ich mir 88 Internetauftritte von Webdesignern, die auf den ersten 20 Seiten der Startpage-Suchmaschine erscheinen, angesehen. Zwar ist diese Untersuchung nicht repräsentativ, aber deshalb nicht weniger aufschlussreich.

  • 37 Prozent entsprechen den Vorgaben,
  • 24 Prozent weisen mehr oder weniger gravierende Mängel auf und
  • bei 27 Prozent fehlt ein Hinweis auf Cookies ganz, obwohl Cookies gesetzt sind.

Besonders auffällig ist, dass fast ein Drittel der untersuchten Websites immer noch keinen Hinweis einblenden, obwohl zum Teil sogar kritische Tracking-Cookies gesetzt werden. Manche der Betreiber informieren zwar kurz in ihrer Datenschutzerklärung darüber, aber das reicht für eine rechtssichere Website absolut nicht aus.

Ob deine Website neben den Session-Cookies noch andere setzt, kannst du in deinem Browser herausfinden. Dazu rufst du deine Website auf und klickst in der Suchleiste auf das Schloss oder auf das Schild links neben der URL. Anschließend siehst du wie viele und welche Cookies gesetzt sind, das heißt, ob es sich diesbezüglich um eine rechtssichere Website handelt.

Ausführlicher Cookie-Hinweis ist
… bei Tracking-Cookies Pflicht, muss über die Details informieren sowie einen Opt-in und einen Opt-out Button – möglichst im selben Design – sowie einen Link zur Datenschutzerklärung anbieten. Des Weiteren sollte er so gestaltet sein, dass die Besucher gezwungen werden, ihn zu beachten, zuzustimmen oder Cookies abzulehnen, bevor sie die Website tatsächlich nutzen.

Gesetz über digitale Dienste

Es wäre ja schön, wenn das alle Regelungen gewesen wäre. Doch Anfang 2024 ist eine neue Vorschrift dazu gekommen – der Digital Services Act (DSA). Es gilt für alle digitalen Dienste, die Waren, Dienstleistungen oder Inhalte vermitteln – also eigentlich für alle Websites. Es soll die Entfernung illegaler Inhalte vereinfachen und verpflichtet zur Risikoanalyse und Risikominimierung.

„[…] sollen illegale Inhalte auf Plattformen besser bekämpft werden. Dies betrifft neben Hassrede beispielsweise auch gefälschte Produkte, die zum Kauf angeboten werden. Zudem soll die Entscheidungsfreiheit und Autonomie der Nutzerinnen und Nutzer gestärkt werden, beispielsweise durch das Verbot sogenannter dark patterns, bei denen Nutzerinnen und Nutzer zu Entscheidungen verleitet werden können, die sie nicht frei getroffen hätten.“
Quelle: Bundesregierung

Es wurde Beschwerdestellen eingerichtet, an die sich die Besucher von Websites wenden können und Verstöße werden ggf. strafrechtlich verfolgt.

Barrierefreiheit

Vorläufig die letzte Verordnung tritt am 28.06.2025 in Kraft – die Barrierefreie-Informationstechnik-VerordnungBITV 2.0. Hierbei gibt es keine Übergangsfrist wie bei der Einführung der DSGVO und Verstöße können sofort geahndet werden. Deshalb solltest du deine Website zeitnah dahingehend überprüfen, ob deine Website die folgenden Parameter erfüllt:

  • Klare und einfache Sprache
  • Ausreichender Kontrast von Text- und Hintergrundfarbe
  • Alternativ-Texte für Abbildungen
  • Tastatur- und Mausbedienung müssen möglich sein
  • und anderes mehr

Nachdem du eventuell festgestellte Defizite behoben hast, benötigst du noch eine Barrierefreiheits-Erklärung. Hierbei muss es sich um eine eigene Seite handeln, deren Verlinkung du am besten im Footer-Menü zusammen mit den Links zum Impressum und zur Datenschutzerklärung einfügst. Welchen Inhalt diese Erklärung haben muss, kannst du beispielsweise auf der › Erklärung zur Barrierefreiheit des Bundes nachlesen.

Ist eine rechtssichere Website wichtig?

Natürlich kümmert manche die Rechtssicherheit weniger als andere. Das betrifft anscheinend aber nicht nur die Internet-Nutzer, sondern genauso die Betreiber von Websites. Einerseits scheinen sich einige in der rechtlichen Grauzone relativ sicher zu fühlen. Andererseits fehlt manchen wohl auch die Fachkenntnis, um aus ihrem Internetauftritt eine rechtssichere Website zu machen.

Doch wie bei anderen Gesetzen und Vorschriften schützt auch hier Unwissenheit nicht vor Strafe. Denn die Kontrollen sowie die Strafverfolgung erfolgen unabhängig davon, wie groß die Website oder ein Unternehmen ist. Deshalb kann sich eigentlich keiner in Sicherheit wiegen und Verstöße können sehr teuer sein:

  • Beim Impressum als Ordnungswidrigkeit: Bis zu 50.000 Euro,
  • bei der DSGVO: Bis zu 20 Millionen Euro [1] und
  • bezüglich des DSA drohen Strafen von bis zu 6 Prozent des weltweiten Jahresumsatzes.

[1] Bei größeren Unternehmen können › Bußgelder von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr verhängt werden, je nachdem, welcher Wert der höhere ist.

Angesichts dieser Summen ist es schon verwunderlich, dass immer noch relativ viele Betreiber und Hoster so wenig Wert auf die Rechtssicherheit legen. Selbst einigen Fachkollegen scheint das Aussehen ihrer und einer von ihnen erstellten Website wichtiger zu sein als alle Vorschriften, warum bieten sie sonst nicht von vornherein eine rechtssichere Website an.

EIne rechtssichere Website - Zusammenfassung

Eine rechtssichere Website – Zusammenfassung

Auch wenn es schwierig und aufwendiger sein mag, eine rechtssichere Website zu erstellen, die alle Vorschriften zu 100 Prozenz erfüllt, solltest du es zumindest versuchen. Insbesondere fehlende oder mangelhafte Datenschutzerklärungen und Cookie-Hinweise sollten inzwischen der Vergangenheit angehören. Das betrifft auch Websites, die vor in Kraft treten der jeweiligen Gestze erstellt wurden. Diese müssen unbedingt nachgebessert werden.

Während die Vorschriften hinsichtlich Form und Inhalt des Cookie-Hinweises noch immer regelmäßig angepasst werden, sind die Gesetze bezüglich des Datenschutzes und Urheberrechts eindeutig.

Fazit

Abwarten und hoffen, dass keiner die Mängel bemerkt, ist sicher der falsche Weg. Deshalb sollen dir die Tipps in meinem Beitrag dabei helfen, in Zukunft eine rechtssichere Website zu betreiben. Darüber hinaus zeugen diesbezügliche Nachlässigkeiten von wenig Respekt gegenüber den Nutzern deines Angebots und deren Recht auf vertrauenswürdigen Umgang mit ihren persönlichen Daten.

Eine rechtssichere Website ist kein „nice to have“, sondern für einen seriösen Internetauftritt selbstverständlich.

© eb | › Externe Verlinkungen: Dieser Beitrag enthält keine Affiliate-/Partner-Links.

Ergänzende Beiträge

EU-US Privacy shield – Data Privacy Framework | 10 Tipps Umsetzung der DSGVO | Was hat sich seit 2018 verändert? Cookies im Internet | Antoworten auf 14 wichtige Fragen Schlecht gemachte Webseiten | 7 Tipps zur Optimierung Veraltete Website | 8 gravierende Fehler beheben

NEUESTEr / Aktualisierter BEITRag

WP-Plugins - 12 empfehlenswerte Erweiterungen

WP Plug-ins | 13 empfehlenswerte Erweiterungen

BEITRagskategorien und Lexikon

Webdesign Reviews How To Allgemein Digitales von A bis Z
Fragen oder Anmerkungen? Kontaktiere mich

Blog

DIGITALES VON A BIS Z: Lexikon

Social Media:

Auf Mastodon folgen

Support

KONTAKT

Mo.-Fr. 9:00 - 19:00 Uhr

Mo.-Fr. 9:00 - 20:30 Uhr

Hilfecenter / FAQs

Über eb Webdesign

Cookie-hinweis

Um eine optimale Nutzung zu gewährleisten, setzt meine Website COOKIES, die jedoch nicht an Dritte übermittelt werden. Bei deinem Besuch erfasse und verarbeite ich keine personenbezogenen Daten.

© 2025 eb Webdesign

AGB/Dokumente Impressum Datenschutz Barrierefreiheit