69% der getesteten Websites sind abmahngefährdet!

Ein wichtiger Schritt zur Absicherung und Verschlüsselung des Übertragungsweges ist der Einsatz eines SSL Zertifikats. Fast alle Hosting-Provider bieten ein kostenloses SSL-Zertifikat an, was einfach ausgestellt und eingesetzt werden kann.

Als Website-Betreiber stehen Sie in der Pflicht, alle auf Ihrer Seite erhobenen Daten zu schützen – heißt: zu verschlüsseln. Aktueller Stand der Technik ist hierbei das HTTPS-Protokoll, auch als SSL-Zertifikat bekannt. Die Verschlüsselung hindert Unbefugte daran, die auf Ihrer Website eingegebenen Daten auszulesen. Das macht sie zum wichtigen Sicherheitsfaktor, der auf der DSGVO-Checkliste Ihrer Website keinesfalls fehlen darf.

Eine sichere Verbindung erkennen Sie am Präfix https:// bzw. dem kleinen Schloss in der URL-Leiste.

Jede Online-Präsenz, die nicht ausschließlich privaten Zwecken dient, benötigt ein Impressum. Pflichtangaben für das Impressum variieren nach Branche und Rechtsform.

Dazu zählen u.a. Kontakt, Unternehmensanschrift, Hinweis zur Streitschlichtung, Umsatzsteuer-ID, Haftung für Inhalte etc. nach §5 Telemediengesetz. Das korrekte Impressum sollte auf der Website leicht zugänglich und mit einem Klick zu erreichen sein. Daher wird es meistens im Fußbereich (Footer) platziert. Die DSGVO hat im übrigen zu keinen Änderungen in der Impressumspflicht geführt.

Eine Datenschutzerklärung auf Ihrer Internetpräsenz ist für Webseitenbetreiber verpflichtend. In dieser müssen Nutzer nach Art. 13, 14 DSGVO über Art, Umfang und Zweck der Erhebung und Verwendung ihrer Daten informiert werden. Der Inhalt der Datenschutzerklärung hängt davon ab, was Sie auf der Webseite anbieten.

Ein Cookie-Hinweis ist nicht auf jeder Website notwendig, auch wenn das viele Website-Betreiber glauben. Sie benötigen die Einwilligung nur für Cookies, die das Nutzerverhalten analysieren und Nutzerdaten an Drittanbieter weitergeben. Wenn Sie nur technische und informationspflichtige First-Party-Cookies verwenden, brauchen Sie kein Cookie-Banner. Es reicht dann aus, die Erhebungs- und Verwendungsbeschreibung in der Datenschutzerklärung aktuell zu halten.

Wozu braucht man überhaupt Cookies? Cookies sind kleine Textdateien, die auf dem Computer der Besucher gespeichert werden. Dadurch kann sich die Webseite wieder an den Besucher erinnern. Dafür benötigt Ihre Website die Erlaubnis des Besuchers in der Form eines Cookie-Consent-Banners. Werden Cookies auf dem Endgerät eines Nutzers gesetzt, darf dies nur geschehen, wenn Nutzer dazu aktiv einwilligen.

Der Einsatz von First-Party-Cookies ist nur informationspflichtig. Zustimmen müssen Nutzer hier nicht in jedem Fall. Session-Cookies sind für das reibungslose Funktionieren der Website erforderlich. Für den Einsatz solcher essentiellen Cookies brauchen Sie keine Einwilligung einzuholen. First-Party-Cookies werden nur zur Nutzung innerhalb der eigenen Website und nur von Ihrem Unternehmen selbst gesetzt. Dazu gehören technische Cookies für interne Funktionalitäten wie Login-Status, Warenkorbinhalt in Shops, persönliche Spracheinstellungen oder der Besucherzähler, der die Zugriffe auf Ihre Webseite zählt.

Einwilligungsbedürftige Cookies dürfen erst dann gesetzt werden, wenn vorher die Einwilligung erteilt wurde. Dazu gehören sogenannte Marketing- oder Analyse-Cookies wie von Google Analytics, Google Maps, Kontaktformularen und YouTube-Videos. Nutzer müssen dem Einsatz dieser Cookies und der damit verbundenen Datenübertragung ausdrücklich zustimmen. Diese Art der Cookies heißen Third-Party-Cookies, da die Cookies für Anbieter außerhalb der Nutzerbeziehung mit Ihnen gesetzt und genutzt werden. Hier reicht es nicht aus, wenn Nutzer über den Einsatz von Cookies nur informiert werden.

Google Fonts, Adobe Fonts (früher Typekit), Font-Awesome & Co. sind auf vielen Websites direkt eingebunden. Das spart etwas Speicherplatz im Webspace der Website und garantiert vor allem die Verwendung der aktuellen Schriftartversion. Durch diesen Abruf beginnt schon der Datenaustausch mit Google-Servern in den USA. Diesem Datenaustausch können Nutzer zu diesem Zeitpunkt noch nicht zustimmen, denn die Schrift wurde bereits abgerufen.

Es gibt eine DSGVO-konforme Möglichkeit, Google Fonts einzubinden. Dabei wird die Schriftart heruntergeladen und lokal auf dem Server der Website vorgehalten. Dadurch erfolgt kein Datenabruf bei Google und die Datenverbindung kommt nicht zustande.

Auch manche WordPress-Themes, Plugins sowie eingebundene Elemente können eingebundene Google Fonts enthalten, die oft nur von Spezialisten entfernt werden können. Hier müssen diese Apps durch DSGVO-konforme Alternativen ersetzt werden.

Unser aktueller DSGVO-Website-Checker testet, ob Google-Fonts datenschutzgemäß in Ihre Website eingebaut sind.

Auch andere Google-Tools dürfen laut DSGVO nur auf ausdrückliche Einwilligung des Nutzers eingebunden werden. So darf beispielsweise eine Anfahrtskizze in Google Maps nicht direkt auf der Seite angezeigt werden, sondern der User muss der Anzeige des Drittanbieter-Inhalts samt der dann erfolgenden Datenübertragung zuvor ausdrücklich zustimmen, bevor die Karte erscheint.

Ein aktuelles DSGVO-Website-Checktool sollte daher unbedingt auch einen Google-Maps-Test oder besser noch andere Scanner enthalten, der auch andere Tools und Anbieter ermittelt.

Auch die Verwendung urheberrechtlich geschützter Texte kann eine Abmahnung nach sich ziehen und zu Schadensersatzforderungen führen. Das gilt auch für bestimmte Äußerungen über andere Personen oder Unternehmen, egal ob auf der eigenen Webseite oder im Blog, in dem Dritte Beiträge schreiben können und sollen. Hier bestehen besondere Pflichten zur Kontrolle bzw. auch zur Löschung von Inhalten, die durch andere Personen eingestellt wurden und Rechte verletzen.

Jede Website wirkt wesentlich ansprechender, wenn sie schick gestaltet ist. Daher ist es weitverbreitet, eine Website mit Bildern optisch aufzuwerten. Dabei sollte man aber auf keinen Fall die Angabe der Bildquelle vergessen. Es ist wichtig Bilder zu lizensieren, Nutzungsrechte zu klären, und den Urheber des Bildes zu nennen.

Im Internet gibt es viele Quellen für kostenlose Stockfotos, Bilder und Vektorgrafiken wie shutterstock, istockphoto, depositphotos, freepic, pixabay, etc. zum Verwenden auf Ihrer Website. Überprüfen sie auch hier im Einzelfall die Bedingungen zur Verwendung. Damit Ihre Website abmahnsicher bleibt.

Hacker nutzen regelmäßig unsichere einfache Kontaktformulare, um gefährliche Scripts einzuschleusen. Wir überprüfen ebenfalls, ob die Online-Formulare auf Ihrer Website vor Missbrauch und Cyber-Angriffen geschützt sind.

Wenn Sie das Kontaktformular Ihrer Webseite gemäß geltender Datenschutzbestimmungen anlegen möchten, müssen Sie die Datenabfrage auf das Nötigste beschränken. Das ist die E-Mail-Adresse, Telefonnummer und der Name des Absenders. Alle weiteren Informationen sollten freiwillige Angabe bleiben.

Die Nutzung von Tracking Tools (z.B. Google Analytics) ist nur mit Einwilligung der Website-Besucher möglich, wenn die Daten wie bei Google für Werbezwecke genutzt werden sollen. Datenschutzgerechte Anonymisierung bei Google Analytics und Einbau einer Optout-Möglichkeit.

Wenn Sie auf Ihrer Seite Werbebanner oder Affiliate-Partnerprogramme, wie z.B. Amazon, Google AdSense, Digistore24 Marketplace, etc. eingebunden haben, gilt Ihre Seite automatisch nicht mehr als persönliche Homepage und es gilt das Wettbewerbsrecht.

Die Folge sind zahlreiche rechtliche Pflichten, die vielen Webseitenbetreibern nicht bekannt sind. Damit steigt natürlich die Gefahr, wegen Verstößen gegen das Wettbewerbsrecht abgemahnt zu werden.

Webseitenbetreiber, die Werbung auf der Seite einbinden oder selbst Werbung schalten, müssen sich mit den Themen Wettbewerbsrecht und Markenrecht beschäftigen. Abmahnungen im Markenrecht und Wettbewerbsrecht sind aufgrund der hohen Streitwerte aber sehr viel teurer als etwa Abmahnungen wegen eines fehlerhaften Impressums.

In Deutschland dürfen die offiziellen Plugins von Facebook & Co. nicht ohne Zustimmung genutzt werden, denn mit der Einbindung der Plugins werden bereits Daten an Facebook übertragen.

Es ist allgemein bekannt, dass Meta mit seinen Apps Facebook, WhatsApp und Instagram personenbezogene Daten in großem Umfang speichert.

Die datenschutzkonforme Lösung für die abmahnsichere Facebook-Einbindung als  Webseitenbetreiber ist, die Besucher Ihrer Webseite darauf hinzuweisen und die Einwilligung für das Tracking über das Consent-Banner. Weisen Sie in der Datenschutzerklärung Ihrer Webseite auf die aktive Nutzung von Facebook hin.

Die Datenschutzhinweise sollten folgendes enthalten:

• Betroffenenrechte können bei Facebook Ireland Ltd. geltend gemacht werden.
• Die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten liegt bei Facebook /Meta Platforms Ireland Limited.
• Facebook erfüllt sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten.
• Facebook Ireland Ltd. stellt den Betroffenen die wesentlichen Informationen zur Verfügung (wenn auch unzureichend, wie der Datenschutz-Aktivist Max Schrems bemängelt).
• Websitebetreiber treffen keine Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten aus Art. 13 DSGVO ergebenden Informationen.

Wenn Sie Ihr Facebook-Profil auf Ihrer Website datenschutzkonform vernetzen möchten, ist immer eine ausreichende Information in den Datenschutzhinweisen und die Möglichkeit des Widerspruchs nötig.

Der Hyperlink (kurz Link) beschreibt die Verknüpfung im Hypertext auf andere Internetseiten oder andere elektronische Dokumente. Hyperlinks als externer Link zu einer fremden Internetseite gesetzt, verlässt der Seitennutzer die Ausgangs-Website.

Als kommerzieller Seitenbetreiber muss man prüfen, ob die verlinkten Inhalte mit Erlaubnis des Urhebers ins Netz gestellt wurden. Die Richter sind der Ansicht, dass kommerzielle Seitenbetreiber insoweit höhere Sorgfaltspflichten haben als Privatpersonen – dies gelte eben auch beim Setzen von Hyperlinks.

Aus langjähriger Erfahren wissen wir genau, wo die Schwachstellen zu finden sind und wie diese vor Abmahnungen und Cyber-Angriffen zu schützen sind.

Wordfence, Hersteller eines der bekanntesten WordPress Security Plugins, zeigt in aktuellen Statistiken, dass stündlich allein in deren abgesicherten Netzwerk 3 Mio. Angriffe auf WordPress Webseiten stattfinden. Das sind pro Tag ca. 80 Mio. Angriffe.

Hackers don’t break in, they log in

Der Login ist die häufigste Stelle ist, an der Angriffe auf WordPress erfolgreich sind. Schützen Sie Ihre Website, indem Sie die Anmelde-URL ändern und den Zugriff auf die Seite wp-login.php und das wp-admin-Verzeichnis für nicht verbundene Personen verhindern. Ein sicheres Passwort und Nutzername (nicht admin) ist hier selbstverständlich. Auch Probleme beim Hosting und Sicherheitslücken in Themes und Plugins sind typische Einfallstore bei WordPress.

Aus langjähriger Erfahren wissen wir genau, wo die Schwachstellen zu finden sind und wie Sie Ihren Internetauftritt vor Cyber-Attacken und Hacker-Angriffen schützen.

Die DSGVO schreibt Webseitenbetreibern vor, technische und organisatorische Maßnahmen nach dem Stand der Technik zu ergreifen, um unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten zu verhindern.

Dazu gehören individuelle Sicherheitsvorkehrungen wie sichere Passwörter und wenn notwendig, die Zwei-Faktor-Authentifizierung.

Die DSGVO (Art. 32 DSGVO) und das TMG (§ 13 Abs. 7 TMG) schreiben Webseiten-Betreiber vor, technische und organisatorische Maßnahmen nach dem Stand der Technik zu ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.