Datenschutz – FAQ – häufig gestellte SEO Fragen

Google Analytics 4 kann unter bestimmten Voraussetzungen DSGVO-konform eingesetzt werden. Dazu gehören: Abschluss eines Auftragsverarbeitungsvertrags mit Google, Deaktivierung der Datenweitergabe für Werbezwecke, Implementierung eines Cookie-Consent-Banners, Anpassung der Datenschutzerklärung und Bereitstellung einer Opt-Out-Möglichkeit. Die IP-Anonymisierung ist in GA4 standardmäßig aktiviert.

Ein rechtlich konformer Cookie-Banner muss folgende Anforderungen erfüllen: Aktive Einwilligung (Opt-in) für alle nicht-essentiellen Cookies, granulare Auswahlmöglichkeiten für verschiedene Cookie-Kategorien, einfache Widerrufsmöglichkeit, keine vorab gesetzten Häkchen bei Marketing-Cookies und klare Informationen über den Zweck jeder Cookie-Kategorie. Der Banner darf nicht durch Design-Tricks zur Einwilligung manipulieren.

Ein Datenschutzbeauftragter ist erforderlich, wenn Ihr Unternehmen mehr als 20 Personen beschäftigt, die ständig mit der Verarbeitung personenbezogener Daten befasst sind, oder wenn Sie umfangreiche systematische Überwachungen von Personen durchführen. Für die meisten kleineren Websites ist kein Datenschutzbeauftragter gesetzlich vorgeschrieben, kann aber bei komplexeren Datenverarbeitungen sinnvoll sein.

Google Fonts sollten lokal gehostet werden, um DSGVO-Konformität zu gewährleisten. Laden Sie die benötigten Schriftarten von Google Fonts herunter und hosten Sie diese auf Ihrem eigenen Server. Alternativ können Sie CSS-Systemschriften verwenden oder datenschutzfreundliche Font-CDNs nutzen. Die direkte Einbindung über Google-Server überträgt IP-Adressen und ist datenschutzrechtlich problematisch.

Datenschutzfreundliche SEO-Tools sind: Matomo (selbst gehostet), Plausible Analytics, Fathom Analytics, Simple Analytics für Web-Analytics. Für technisches SEO: Screaming Frog (lokale Installation), Sitebulb, OnPage.org. Wichtig ist, dass Tools in der EU gehostet werden, keine unnötigen Daten sammeln und Auftragsverarbeitungsverträge anbieten. Prüfen Sie immer die Datenschutzerklärungen und Server-Standorte.

Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten, das alle SEO-bezogenen Datenverarbeitungen umfasst: verwendete Tools, Zweck der Verarbeitung, Kategorien betroffener Personen, Empfänger der Daten, Drittland-Übermittlungen, Löschfristen und technische Schutzmaßnahmen. Dokumentieren Sie auch Rechtsgrundlagen für jede Verarbeitung und aktualisieren Sie das Verzeichnis regelmäßig.

Für die datenschutzkonforme Nutzung der Google Search Console sollten Sie: einen Auftragsverarbeitungsvertrag mit Google abschließen, die Nutzung in der Datenschutzerklärung erwähnen, den Zugriff auf autorisierte Personen beschränken, regelmäßig nicht mehr benötigte Daten löschen und die Datenverarbeitung dokumentieren. Die Search Console verarbeitet Website-Performance-Daten und Suchanfragen, die als personenbezogene Daten gelten können.

Server-Logs enthalten IP-Adressen und gelten als personenbezogene Daten. Implementieren Sie IP-Anonymisierung durch Kürzung der letzten Oktette, begrenzen Sie die Speicherdauer auf maximal 7 Tage (außer bei Sicherheitsvorfällen), dokumentieren Sie die Log-Verarbeitung in Ihrer Datenschutzerklärung und verwenden Sie Log-Analyse-Tools, die DSGVO-konform arbeiten. Löschen Sie Logs regelmäßig automatisiert.

Heatmap-Tools können DSGVO-konform eingesetzt werden, erfordern aber: explizite Einwilligung der Nutzer vor Aktivierung, Anonymisierung von Nutzerdaten, Ausschluss sensibler Bereiche (Formulare, Login-Bereiche), kurze Speicherdauer der Aufzeichnungen, Auftragsverarbeitungsvertrag mit dem Tool-Anbieter und detaillierte Information in der Datenschutzerklärung. Viele Anbieter bieten inzwischen DSGVO-konforme Einstellungen an.

DSGVO-Verstöße können Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes zur Folge haben. Auch kleinere Websites sind nicht ausgenommen – Bußgelder werden nach Schwere des Verstoßes, Unternehmensgröße und Kooperationsbereitschaft bemessen. Häufige Verstöße betreffen: nicht-konforme Cookie-Banner (10.000-50.000€), fehlende Einwilligungen für Analytics-Tools (5.000-100.000€) und unzulässige Datenübermittlungen in Drittländer.

Nutzen Sie 2-Klick-Lösungen oder datenschutzfreundliche Alternativen wie Shariff. Standard Social Media Plugins laden bereits beim Seitenaufruf Daten von Facebook, Twitter etc. und übertragen Nutzerdaten. Bei 2-Klick-Lösungen werden die Plugins erst nach expliziter Nutzerinteraktion geladen. Informieren Sie über die Datenübertragung und bieten Sie lokale Sharing-Optionen an. Vermeiden Sie Auto-Loading von Social Media Inhalten.

Das EU-US Data Privacy Framework ermöglicht wieder Datenübertragungen an zertifizierte US-Unternehmen. Prüfen Sie, ob Ihre SEO-Tool-Anbieter (Google, Microsoft, etc.) zertifiziert sind. Trotzdem sollten Sie zusätzliche Schutzmaßnahmen implementieren: Standardvertragsklauseln, Verschlüsselung, Datenminimierung und regelmäßige Compliance-Überprüfungen. Das Framework kann jederzeit widerrufen werden, daher sind alternative EU-Tools empfehlenswert.

Aktualisieren Sie Ihre Datenschutzerklärung immer dann, wenn sich die Datenverarbeitung ändert: neue SEO-Tools, geänderte Cookie-Verwendung, neue Tracking-Methoden oder rechtliche Änderungen. Eine quartalsweise Überprüfung ist empfehlenswert. Bei wesentlichen Änderungen müssen Sie die Nutzer informieren und gegebenenfalls neue Einwilligungen einholen. Dokumentieren Sie alle Änderungen mit Datum und Grund der Anpassung.

A/B-Testing ist datenschutzkonform möglich, erfordert aber: Einwilligung der Nutzer vor Testbeginn, Anonymisierung der Testdaten, kurze Testdauer, Ausschluss sensibler Inhalte vom Testing, Dokumentation der Datenverarbeitung und Information in der Datenschutzerklärung. Nutzen Sie Testing-Tools mit EU-Servern und Auftragsverarbeitungsverträgen. Vermeiden Sie Tests, die Nutzer diskriminieren oder manipulieren könnten.

Bewahren Sie SEO-Daten nur so lange auf, wie für den Zweck erforderlich: Analytics-Daten maximal 26 Monate (Google-Standard) oder kürzer, Server-Logs maximal 7 Tage, A/B-Test-Daten nur für die Testdauer, Keyword-Rankings für aktuelle SEO-Strategien relevant. Löschen Sie nicht mehr benötigte Daten automatisiert und dokumentieren Sie Ihre Löschkonzepte. Längere Speicherung ist nur bei berechtigten Interessen oder gesetzlichen Aufbewahrungspflichten zulässig.