Die DSGVO, das Datenschutz­monster?

Im Mai 2018 ging alles plötzlich Schlag auf Schlag: die neue Datenschutzgrundverordnung (kurz DSGVO) wurde eingeführt und durchgesetzt. Überall konnte man panische Blog-Posts und aufgeregte Gleichgültigkeit oder hypersensiblen Aktionismus verspüren. Seitdem ist alles ein bisschen anders, wenn es um Web Design und sämtliche Online-Abwicklungen geht.

Das Ziel der Datenschutzgeschichte ist nobel: die Daten der Nutzer/innen im Netz sollen geschützt werden – vor Verkauf von Gewohnheitsdaten, vor Missbrauch und so weiter. Das Problem: im Web funktionierte bis dato (und eigentlich auch immer noch) alles Wichtige mit Datenaustausch und Informationsspeicherung. Ein Beispiel hierfür sind Cookies, die sich die Nutzer merken, damit sie sich beim nächsten Besuch der Website nicht noch einmal einloggen müssen. Oder eben für uns Web Designer eher interessant: Analytische Daten via Google Analytics, die uns Aufschluss darüber geben, wie User sich auf unserer Website bewegen und was verbesserungswürdig ist und nicht verstanden wird.

Jetzt galt es natürlich diese beiden Seiten und Interessen irgendwie wieder auf einen Nenner zu bekommen.

Plötzlich sollten Web Designer am besten Juristen sein

Um’s kurz zu machen: man steigt eigentlich kaum noch durch. Die DSGVO von Mai 2018 hat sich mittlerweile schonwieder ein paar Mal gewandelt. Grund hierfür sind weitere Entscheidungen von Gerichten zu Einzelheiten. Die Frage, ob die eigene Website bereits datenschutzkonform ist, muss man sich leider immer wieder stellen. Das Thema kann sehr heikel werden, denn Datenschutzverletzungen können schnell mal abgemahnt werden, was Euch viel Geld und Nerven kosten kann.

Tipp

Verfolgt News rund um das Thema Datenschutz im Web Design. Es ist ein dröges Thema, aber leider muss es sein. Zudem solltet Ihr Blogs von Online-Rechtsanwälten etc. eine Change geben, um immer auf dem neuesten Stand zu sein.

Schauen wir uns mal an, auf welche Dinge wir (Stand November 2020) unbedingt achten sollten.

Consent-Banner – der natürliche Feind der UX

Jeder kennt es, jeder hasst es: das Consent-Banner für Cookies auf Webseiten. Leider ist es mittlerweile Pflicht, User zunächst mit diesem superaufdringlichen Pop-Up zu nerven und die Einwilligung zu den Cookies auf der Website einzuholen. Das hat in Hinblick auf die User Experience (UX) natürlich absolut keine positiven Auswirkungen – im Gegenteil.

Das Consent-Banner fragt die User Eurer Website, ob und wie sie ihre Daten mitteilen möchten. Der gängige Weg dies umzusetzen besteht meistens aus mehreren Haken, die man setzen kann. Cookies werden zu Gruppen zusammengefasst, die dann dort abgehakt werden können. Typischerweise gibt es diese Gruppen:

Das Problem für uns: tatsächlich wählt die Mehrheit der Nutzer nur die funktionalen Cookies und lässt uns damit teilweise auf dem Trockenen liegen. Die Folgen sind verfälschte Nutzungsdaten in der Analyse, womöglich fehlende multimediale Inhalte, wie z.B. Videos von Youtube und so weiter.

Wichtig!

Alle Inhalte, für die Ihr zunächst eine Einwilligung Eurer Nutzer einholen müsst, dürfen vor dieser Einwilligung NICHT GELADEN WERDEN!

Tipp

Falls Ihr keine Ahnung habt, wie Ihr herausfindet, welche Cookies Ihr überhaupt verwendet, holt Euch am besten Hilfe von einem Entwickler. Andererseits gibt es für CMS-Installationen wie WordPress zahlreiche automatisierte Plugins, die Euch durch eine Installation von Cookie-Bannern führt und unterstützt.

Tipp

Gestaltet Euren Cookie-Banner möglichst so, dass die Nutzer unbedingt auf den „Alles akzeptieren“-Button drücken wollen. Das könnt Ihr über einen besonders lauten „Alles akzeptieren“-Button (z.B. kräftige Farbe) bewerkstelligen im Kontrast zu einem sehr unauffälligen „Alles ablehnen“-Button.

Fonts richtig einsetzen

Es ist zunehmend beliebter geworden, vor allem durch die einfache Handhabung, Schriftarten von Google Fonts oder von Adobe Typekit zur Gestaltung von Webauftritten zu verwenden. Allerdings haben wir dank DSGVO das Problem, dass diese Schriften standardmäßig über die Server von Google und Adobe bewerkstelligt werden. Hierbei werden Daten von unserer Website zu deren Servern ausgetauscht und damit werden auch die Daten von unseren Nutzern verschifft. Das heißt, dass diese Dienste auch im Consent-Banner deaktiviert werden müssen, sobald Nutzer nur funktionale Cookies verwenden möchten. Die Folge? Die Seite sieht nicht so aus, wie wir das angedacht hatten, da logischerweise auch die extern zu ladenen Fonts durch Systemschriften ersetzt werden.

Tipp

Google Fonts bietet die Möglichkeit die Schriften direkt auf unserem Webserver abzulegen und von dort aus zu laden. Dadurch fällt der Datenaustausch zu den Servern von Google weg und wir umgehen das Problem komplett.

Tipp

Bei Adobe Typekit ist das schon eine andere Sache. Diese Schriftarten können ausschließlich über die Adobe Server geladen und bereitgestellt werden. Wenn Ihr eine Schrift von Adobe unbedingt verwenden wollt, dann solltet Ihr euch die Weblizenz zu dieser Font woanders kaufen und diese Font dann auf euren Server laden. Ihr könnt auch einfach bei allem was mit Web Design zu tun hat die Finger von Adobe Typekit lassen – vielleicht ändert sich hier ja in Zukunft auch noch was.

Videos verschicken leider auch Daten

Im Prinzip wissen wir ja alle wer an dem ganzen Schlamassel im Endeffekt Schuld hat: die großen Datenkraken, die ihr Geld mit unseren Nutzungsdaten durch den Verkauf eben dieser Daten für Werbung machen. Folglich trifft die Umsetzung der DSGVO auf unseren Webseiten die Verwendung von Videos von Plattformen wie Youtube, Vimeo und was es sonst noch alles gibt. Diese Dienste funktionieren auch nur, indem Sie Daten zwischen deren Servern und unserer Website austauschen.

Natürlich können wir die Videos einfach auf eigenem Webspace hosten und sie von dort aus abspielen. Allerdings haben wir meistens dadurch nicht die gute Distribution von verschiedenen Dateiformaten und -größen, um zum Beispiel mobil eine bessere, angepasste UX bieten zu können. Youtube würde all das mitbringen. Tja.

Tipp

Ihr habt zwei Möglichkeiten: bindet Youtube-Videos ein und hofft auf die Cookie-Einwilligung Eurer Nutzer oder hostet die Videos auf Eurem Server selbst. Beim eigenen Hosting der Videos solltet Ihr unbedingt darauf achten, schlanke schlaue Plugins zu verwenden, die angepasste Dateigrößen ausspielen oder die Videos einfach selbst möglichst klein zu komprimieren. Dann wird das schon.

Kartendienste und Orte

Auch kaum mehr wegzudenken sind Google Maps. Neben der praktischen Eigenschaft sich direkt an Orte navigieren zu können, bieten diese auch schnell eine Übersicht, wo das Objekt der Begierde sich überhaupt befindet. Leider werden auch hier alle Daten mit Google ausgetauscht und sind somit auf das Einverständnis der Nutzer angewiesen.

Platzhalter für Google Maps
Ihr solltet Platzhalter an Stellen einbauen, wo durch fehlende Einwilligungen sonst Lücken wären.

Soziale Medien

Es gibt ja immer mehr den Drang dazu, Inhalte sozialer Medien wie Twitter, Instagram und TikTok auf Webseiten einzubauen. Während ich das bei Twitter noch verstehen kann, sehe ich bei bildbasierten Netzwerken wie Instagram eigentlich keinen plausiblen Grund, warum man das tun sollte. Stellt die Bilder doch einfach in besserer Qualität auf Eure Website! Klar, mir ist bewusst, dass man in Blogs auch gerne mal über die 10 besten Instagram-Fotografen oder ähnliches berichtet. 😉

Wenn Ihr soziale Medien auf Eurem Webprojekt einbetten wollt, müsst Ihr auch hier die Einwilligung zum Datenaustausch von den Nutzern einholen und diese Inhalte vorher per Skript blockieren!

Die Datenschutz­erklärung

Ihr benötigt übrigens eine ausführliche Datenschutzerklärung auf Eurer Website. Diese muss auf jeder Seite immer zugänglich sein (im Übrigen gilt das auch für das Impressum). Was genau alles drinstehen muss, diese Infos holt Ihr Euch am besten von jemandem mit juristischem Hintergrund. Ihr könnt im Netz auch zahlreiche Anleitungen und Vorformulierungen finden und diese nutzen.

Fazit

Derweilen gibt es allerdings auch viele Anbieter für Alternativen zu Diensten der großen Datenkraken wie Facebook und Google. Ein Beispiel hierfür ist Matomo (ehemals Piwik), ein Analysetool, das ohne Cookies auskommen kann. Ich denke in Zukunft werden viele weitere Anbieter in diese Richtung gehen, da sich das Thema immer weiter verschärfen wird. Bis dahin machen wir das Beste aus dem was wir haben.

Neueste Artikel
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.