Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Das VeriSign-Vertrauenssiegel, heute von DigiCert betrieben, ist ein Drittanbieter-Sicherheitssiegel, das auf Websites eingebettet wird, um Besuchern die Gültigkeit des SSL-Zertifikats zu signalisieren. Beim Laden des Siegels wird eine Anfrage an externe Server (seal.digicert.com) gesendet, dabei werden IP-Adresse und User-Agent des Besuchers an Server in den USA übertragen. Obwohl das Siegel überwiegend cookielos ist und ein geringes Tracking-Risiko aufweist, stellt es eine Übermittlung personenbezogener Daten in ein Drittland dar und muss in Datenschutzerklärung und Cookie-Hinweis dokumentiert werden.
Das VeriSign-Vertrauenssiegel, früher als VeriSign Secured Seal und später als Norton Secured Seal (Symantec) bekannt, ist ein Drittanbieter-Badge zur Anzeige des SSL/TLS-Zertifikatsstatus und zur Vertrauensbildung bei Websitebesuchern. Nach mehreren Eigentumsübergängen (VeriSign an Symantec, dann an DigiCert) wird die Infrastruktur heute von DigiCert betrieben. Websites binden ein Skript oder ein Bild von DigiCert-Domains ein. Das Siegel ist verbreitet auf E-Commerce- und Finanzdienstleistungsseiten.
Beim Laden des Siegels sendet der Browser des Besuchers eine Anfrage an die DigiCert-Server (seal.digicert.com für aktuelle Siegel, historisch seal.verisign.com). Dabei werden IP-Adresse, User-Agent und HTTP-Referrer des Besuchers an US-Infrastruktur übertragen. Das Siegel ist für Tracking-Zwecke weitgehend cookielos; seine Hauptfunktion ist die Anzeige eines dynamischen Badges zur Bestätigung der Zertifikatsgültigkeit. Einige Implementierungen können einen kurzlebigen technischen Cookie zur Zwischenspeicherung des Siegelstatus setzen, jedoch erfolgt kein Verhaltens-Profiling.
Nach der DSGVO stellt die Übermittlung einer IP-Adresse an einen Drittserver eine Verarbeitung personenbezogener Daten dar. Die geeignete Rechtsgrundlage für das Laden eines statischen Siegels ist das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO). Nach der ePrivacy-Richtlinie ist bei nicht unbedingt erforderlichen Cookies eine vorherige Einwilligung erforderlich. Da das Siegel überwiegend cookielos ist und einem Sicherheitszweck dient, fällt es in der Regel unter das berechtigte Interesse, aber die Übermittlung in die USA muss dokumentiert und abgesichert sein.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
DigiCert ist ein US-amerikanisches Unternehmen; das Laden des Siegels führt zu einer Datenübermittlung in die USA, ein Drittland im Sinne von Kapitel V DSGVO. Websitebetreiber müssen einen geeigneten Übermittlungsmechanismus sicherstellen: den EU-US-Datenschutzrahmen (sofern DigiCert zertifiziert ist) oder Standardvertragsklauseln (SCC). Diese Übermittlung muss in der Datenschutzerklärung offengelegt werden, einschließlich der Identität des Empfängers (DigiCert, Inc.), der übermittelten Daten (IP-Adresse, User-Agent) und der angewandten Schutzmaßnahme.
Zur DSGVO-konformen Nutzung des VeriSign/DigiCert-Siegels: (1) das Siegel im VVT unter berechtigtem Interesse dokumentieren; (2) die Übermittlung an DigiCert in den USA in der Datenschutzerklärung mit dem anwendbaren Übermittlungsmechanismus offenlegen; (3) die Siegel-Domains (seal.digicert.com) in der Cookie-Richtlinie auflisten; (4) prüfen, ob die aktuelle Implementierung Cookies setzt und diese ggf. kategorisieren; (5) Self-Hosting eines statischen Siegelbildes als datenschutzfreundliche Alternative in Betracht ziehen.
Websites using VeriSign Vertrauenssiegel (DigiCert) must obtain user consent under GDPR regulations.
DPIA considerations
Eine vollständige DSFA ist für ein statisches Siegel unwahrscheinlich. Die Übermittlung von IP-Adressen an DigiCert-Server in den USA ist jedoch im Rahmen des Drittlandtransfer-Regimes zu bewerten (SCC oder EU-US-Datenschutzrahmen). Dokumentieren Sie diese Übermittlung im Verzeichnis der Verarbeitungstätigkeiten (VVT). Werden nicht notwendige Cookies gesetzt, ist die Verhältnismäßigkeit der Einholung einer Einwilligung zu prüfen.
Sample consent text
Wir binden das DigiCert/VeriSign-Vertrauenssiegel auf dieser Website ein, um den Status unseres SSL-Zertifikats anzuzeigen. Beim Laden dieses Siegels werden Ihre IP-Adresse und Browser-Informationen an DigiCert-Server in den USA übertragen. Diese Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Darstellung der Website-Sicherheit. Es werden keine Tracking-Cookies durch dieses Siegel gesetzt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Third-party domains contacted
seal.digicert.comseal.verisign.comtrustseal.verisign.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| Norton_sd | functional | Session | Technical cookie set by some DigiCert/VeriSign seal implementations to cache the seal verification state and avoid redundant checks on each page load. Not used for tracking or advertising. |
VeriSign Vertrauenssiegel (DigiCert) erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Das VeriSign/DigiCert-Vertrauenssiegel ist weitgehend cookielos. Der Hauptbetrieb besteht im Laden eines Badge-Bildes von seal.digicert.com, wofür keine Cookies erforderlich sind. Einige ältere oder dynamische Siegel-Implementierungen können einen kurzlebigen technischen Cookie setzen, um den Siegelstatus zwischenzuspeichern oder das Zertifikat zu verifizieren, dieser wird jedoch nicht für Werbung oder Verhaltens-Tracking verwendet.
Für ein statisches Vertrauenssiegel, das auf Grundlage des berechtigten Interesses geladen wird, ist in der Regel keine Einwilligung erforderlich. Da das Siegel einem echten Sicherheitskommunikationszweck dient und kein Verhaltens-Tracking durchführt, akzeptieren die meisten Datenschutzbehörden das berechtigte Interesse als Rechtsgrundlage. Werden jedoch nicht notwendige Cookies gesetzt, schreibt die ePrivacy-Richtlinie eine vorherige Einwilligung vor.
Die geeignete Rechtsgrundlage nach DSGVO ist das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO). Der Websitebetreiber hat ein echtes Interesse daran, die SSL-Zertifikatsgültigkeit anzuzeigen, und dieses Interesse überwiegt angesichts der minimalen betroffenen Daten nicht die Rechte der Besucher. Eine kurze Interessenabwägung (LIA) sollte dokumentiert werden, um diese Grundlage zu stützen.
Ja. DigiCert ist ein US-amerikanisches Unternehmen und das Laden des Siegels überträgt die IP-Adresse und den User-Agent des Besuchers an DigiCert-Server in den USA. Dies ist eine Drittlandübermittlung im Sinne von Kapitel V DSGVO. Die Übermittlung sollte durch den EU-US-Datenschutzrahmen oder Standardvertragsklauseln (SCC) abgedeckt und in Ihrer Datenschutzerklärung offengelegt werden.
Eine vollständige DSFA ist für ein statisches Vertrauenssiegel in der Regel nicht erforderlich, da es ein geringes Risiko für Personen darstellt: kein Profiling, kein Verhaltens-Tracking, und nur minimale Daten (IP-Adresse) werden übertragen. Die US-Datenübermittlung sollte jedoch im Rahmen Ihrer Transferfolgenabschätzung bewertet werden. Dokumentieren Sie die Verarbeitung in Ihrem Verzeichnis der Verarbeitungstätigkeiten (VVT).
Für eine konforme Implementierung: dokumentieren Sie das Siegel im VVT unter berechtigtem Interesse; legen Sie die DigiCert-US-Datenübermittlung in Ihrer Datenschutzerklärung mit der anwendbaren Schutzmaßnahme (SCC oder EU-US-DPR) offen; listen Sie seal.digicert.com in Ihrer Cookie-Richtlinie auf; führen Sie eine kurze Interessenabwägung durch; und erwägen Sie das Self-Hosting eines statischen Siegelbildes, um den Drittanbieter-Datenfluss vollständig zu vermeiden.
Datenschutzfreundliche Alternativen umfassen: (1) Self-Hosting eines statischen Siegelbildes, das von DigiCert heruntergeladen wird, wodurch die Netzwerkanfrage an Dritte entfällt; (2) Verwendung eines textbasierten oder reinen CSS-Vertrauensindikators ohne externe Ressourcen; (3) Anzeige des Schlosssymbols in der Browser-Adressleiste, das integriert ist und keinen Drittanbieter erfordert. Jede Alternative, die externe Anfragen vermeidet, beseitigt vollständig das Datentransferproblem.
Fügen Sie in Ihrer Cookie-Richtlinie oder Datenschutzerklärung unter "Sicherheit" oder "Drittanbieterdienste" einen Eintrag hinzu: benennen Sie den Dienst als DigiCert Site Seal (ehemals VeriSign), beschreiben Sie ihn als Vertrauenssiegel, das seal.digicert.com kontaktiert, um Ihr SSL-Zertifikat zu verifizieren, geben Sie an, dass die IP-Adresse des Besuchers an DigiCert in den USA übertragen wird, nennen Sie die Rechtsgrundlage (berechtigtes Interesse) und notieren Sie, dass keine Tracking-Cookies gesetzt werden. Aktualisieren Sie diese Erklärung bei jedem Anbieterwechsel.