DSGVO ein Jahr später: Tipps zum Thema Datenschutz für deine Webseite

Einleitung

Es ist jetzt fast 1 Jahr her dass die neue Datenschutz Grundverordnung (DSGVO, oder GDPR in Englisch, RGPD in Französisch) für viel Aufregung gesorgt hat. Seit dem 25.5.2018 ist die neue Verordnung direkt anwendbar. Davor gab es eine zwei-jährige Übergangsphase. Das ganze Thema ist natürlich sehr juristisch und zum Teil auch sehr technisch und der Text der Verordnung ist gar nicht so leicht zu verstehen. Teilweise gibt es auch Interpretationsspielraum und der Text ist bewusst schwammig gehalten weil er ja auch ein paar Jahre noch gültig bleiben sollte im besten Falle. Das führt dazu dass viele sich die Frage stellen wie der Text in der Praxis denn richtig umzusetzen sei. Manche Punkte müssen und können auch erst danach von Gerichten ausgelegt und entschieden werden nachdem es zu Präzedenzfällen gekommen ist.

Ende 2017 habe ich angefangen, mich mit dem Thema zu beschäftigen und es gab sehr viele Diskussionen dazu in Foren und Facebook Gruppen. Mittlerweile ist das Thema wieder abgeflacht, das heißt aber nicht, dass man sich nicht mehr damit befassen muß. Im Gegenteil. Eigentlich wollte ich diese Beitrag schon sehr lange veröffentlichen, fand aber keine Zeit dazu und hab ihn jetzt endlich mal fertig gestellt.

Um was geht es eigentlich und wer ist betroffen?

Die DSGVO schreibt jetzt umfangreichere Informationspflichten für Webseitenbetreiber vor. Die DSGVO bezieht sich aber nicht nur auf Webseiten sondern betrifft insgesamt jeden der persönliche Daten irgendwie verarbeitet, auch offline. Jeder der in der EU sitzt und z.B. eine Webseite betreibt die öffentlich erreichbar ist, ist von der Verordnung betroffen. Auch wenn man eine Webseite außerhalb der EU betreibt die für Besucher aus der EU aber zugänglich ist. Somit ist praktisch jeder weltweit betroffen außer man würde Geoblocking einsetzen und verschiedene Länder vom Besuch der Webseite ausschließen, was aber kontraproduktiv ist. Man muß festlegen warum man Daten erhebt und dabei möglichst überall transparent sein, wieso man was wo einträgt und wie lange diese Daten gespeichert werden. Es geht dabei auch nur um personenbezogene Daten (IP-Adressen sind leider auch persönliche Daten, E-Mail-Adressen, Name, Telefonnummer, Fotos mit Personen sowieso usw.). Es gilt das Prinzip der Datenminimierung: Möglichst wenige Daten sammeln und nur was auch wirklich nötig ist. 

Wo finde ich diese DSGVO?

Auf dieser Webseite findet man den Text übersichtlich aufbereitet:
https://dsgvo-gesetz.de/
https://dejure.org/gesetze/DSGVO
auf Französisch z.B. hier:
https://eur-lex.europa.eu/
auf Englisch:
https://gdpr-info.eu/

Disclaimer

Da das Thema DSGVO sehr juristisch behaftet ist, muss man dazu natürlich sagen, dass ich in keinster Weise tieferes juristisches Fachwissen besitze und dazu auch nicht beraten kann/darf. Ich kann für die folgenden Inhalte keine Haftung übernehmen und empfehle jedem, für sein Business Fachanwälte aufzusuchen mit Spezialisierung IT/Datenschutz um gut aufgestellt zu sein und seine Prozesse zu optimieren. Ich gebe in diesem Blogartikel nur nach bestem Gewissen Infos weiter die ich aufgeschnappt, gelesen und gesammelt habe, in der Hoffnung, dass es dem einen oder anderen hilfreich sein kann.

Wie datenschutzfreundlich ist meine Webseite?

Es gibt einige Tools mit denen man seine Webseite überprüfen kann um so die Stellen die datenschutzrechtlich bedenklich sind zu korrigieren.

Webbkoll analysiert per Weboberfläche eine spezifische Domain. Das Resultat wird 48 Stunden gespeichert. D.h. Änderungen werden danach erst sichtbar.
https://webbkoll.dataskydd.net/en

Ghostery ist ein Privacy Tool (Add-on) für den Browser mit dem sicheres Surfen möglich werden soll. Man kann das Tools aber sehr gut zweckentfremden um die Webseite hinsichtlich Tracker usw. zu analysieren. Beispiel weiter unten.
https://www.ghostery.com/de/

Datenschutz Browser

Brave Browser ist ein Browser der auf der Chromium Engine von Google basiert. Er ist spezialisiert auf das Thema Datenschutz und hat »Privacy Shields« eingebaut die vor Tracker und Ads usw. schützen. Wenn da alles auf 0 steht, braucht man keine Bedenken hinsichtlich Cookies zu haben. Wie man im Screenshot sieht, gibt es einige bekannte Webseiten die da nicht so gut aufgestellt sind … 
https://brave.com/

Brave Browser Tracker bei Spiegel.de

Cliqz Browser ist ein Browser vom Anbieter »Cliqz GmbH«, eine Mehrheitsbeteiligung von Hubert Burda Media mit strategischer Minderheitsbeteiligung von Mozilla. Der Browser ist ebenfalls auf Datenschutz spezialisiert und zeigt alle Tracker und Ads an die dann blockiert werden können.
https://cliqz.com

Cliqz Shield bei spiegel.de

Developer Tools

Es gibt in den meisten Browsern mittlerweile auch die Developertools (im Brave Browser z.B. unter View / Developer / Developer Tools). Unter dem Tab »Sources« kann man schön sehen welche externe Dienste geladen werden.

Developer Tools Brave

Hier einmal der Vergleich von der Webseite des Bayerischen Landesamts für Datenschutzaufsicht. Gar keine externe Dienste werden geladen. Das ist der Idealfall.

Developer Tools LDA

Privacy Shield

Wikipedia: »Als Privacy Shield wird eine Absprache im Datenschutzrecht bezeichnet die zwischen der EU und den Vereinigten Staaten ausgehandelt wurde. Diese Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedstaat der EU in die USA übetragen werden. Die von 2000 bis bis 2015 angewandte Safe-Harbor Entscheidung wurde von der EU für ungültig erklärt.«

Unter privacyshield.gov kann man sich unter »Privacy Shield List« anschauen, ob ein bestimmter Plugin-Hersteller oder Dienstleister mit dem man arbeitet an dem Programm teilnimmt. Ist das der Fall, stehen die Karten schon mal gut. Ist das nicht der Fall, ist man gut beraten, sich nach Alternativen umzuschauen; am besten Lösungen von Unternehmen die in der EU sitzen. Man muß außerdem in der Privacy Shield Liste nachschauen ob die Kategorie von Daten die man verarbeitet dort aufgelistet ist (Beschäftigtendaten (HR) oder sonstige personenbezogene Daten, Non-HR). Auf jeden Fall muss man einen AV(= Auftragsdatenverarbeitungs)-Vertrag abschließen.

FAQ der EU zum Privacy Shield: https://ec.europa.eu/newsroom/document.cfm?doc_id=40933

Privacy Shield Mailchimp Rocket Science

Privacy Shield Eintrag des beliebten Newsletter Systems »Mailchimp« aus den USA.

AV-Verträge mit Dienstleistern schließen

Mit jedem Anbieter mit dem man zusammenarbeitet wo personenbezogene Daten übertragen und verarbeitet werden muß ein sog. Auftragsdatenverarbeitungsvertrag abgeschlossen werden, z.B. mit Google, Facebook, Mailchimp, Hosting-Provider usw. Alle großen Player haben mittlerweile so einen Vertrag ausgearbeitet und bieten diesen Online an, zum Ausdrucken oder man kann häufig sofort online zustimmen. Hier sollte man sich eine Liste erstellen mit allen Dienstleistern die personenbezogene Daten verarbeiten und entsprechend dann den Vertrag ausfindig machen auf deren Webseite. Man findet ihn meist unter dem englischen Begriff »Data Processing Agreement«.

Einige Beispiele:
Adobe: https://www.adobe.com/de/privacy/eu-dpa.html
Google Analytics: https://support.google.com/analytics/answer/3379636?hl=de 
Mailchimp: https://admin.mailchimp.com/account/legal/forms/data-processing-agreement

Verzeichnis der Verarbeitungstätigkeiten erstellen

In der DSGVO ist vorgesehen, ein sog. Verarbeitungsverzeichnis zu führen. Das gehört zu den neuen Dokumentationspflichten. Hier muß ganz genau beschrieben werden welche Daten erhoben und wie verarbeitet werden, welche Software und welche Sicherheitsvorkehrungen getroffen werden. Es gilt die Nachweispflicht. Es muss alles protokolliert und niedergeschrieben werden. Die Einwilligung für die Verarbeitung der Daten muß eindrücklich erfolgen. Minderjährige sind ausgeschlossen. Erst ab 16 Jahren darf man eine Einwilligung selbst erteilen. Ansonsten braucht es die Einwilligung des Erziehungsberechtigten.

Steuerdaten müssen 10 Jahre behalten werden. Hier darf man die Daten dann nicht löschen. Ebenso Daten die das Gesetz zur Bearbeitung frei gibt. Krankenhäuser, Notfälle fallen auch da drunter. Personenbezogene Daten können dann verarbeitet werden wenn berechtigte Interessen bestehen. Z.B. wenn Daten gebraucht werden um einen Vertrag zu erfüllen. Online Marketing kann in weitem Sinne auch ein berechtigtes Interesse sein. Man muss dann das Schutzinteresse der Nutzer gegen ein berechtigtes Interesse abwägen.

Muster Verarbeitungsverzeichnis der luxemburgischen Datenschutzbehörde:
https://cnpd.public.lu/de/dossiers-thematiques/guide-monde-associatif/etablissement-registre.html

Hier gibt es ein weiteres gutes Muster zum Herunterladen:
https://www.activemind.de/datenschutz/dokumente/verfahrensverzeichnis/

Das Bayerische Landesamt für Datenschutzaufsicht stellt auch einige Muster zur Verfügung:
https://www.lda.bayern.de/de/kleine-unternehmen.html

Ausführliches PDF der Bitkom zum Thema:
https://www.bitkom.org/sites/default/files/file/import/180529-LF-Verarbeitungsverzeichnis-online.pdf

OpenSource Tool zur Unterstützung des aktiven Datenschutzmanagements:
http://www.datencockpit.at

Datenübertragbarkeit / Portabilität

Bei der Portabilität geht es darum dass die Daten die verarbeitet werden maschinenlesbar sein sollen, so dass ich sie zu jeder Zeit zur einem anderen Anbieter übertragen könnte. Beispiel: Ich benutze jetzt für meine Fitness jetzt eine andere Fitness-Tracker-App. Es muß für den neuen Anbieter möglich sein aus den Daten eine Schnittstelle zu basteln um die Daten zu übernehmen.

Recht auf Vergessen werden

Veröffentlichte Informationen sollen gelöscht werden können und man kann sein Recht auf Vergessen werden einfordern. Die Daten müssen dann gelöscht werden wenn die Zwecke für die sie erhoben wurden nicht mehr notwendig sind. Es kann auch sein dass personenbezogene Daten unrechtmäßig verarbeitet worden sind oder es an der Rechtsgrundlage für die Verarbeitung fehlt. 

Impressum

Jede Webseite ist verpflichtet, ein vollständiges Impressum aufzuführen und eine Datenschutzerklärung (siehe nächster Abschnitt). Die beiden sollten am besten getrennt aber direkt ohne Umwege erreichbar sein (nicht mehr als 2 Klicks). Was gehört hier rein? Zusammenfassend: Name und Anschrift des Website-Anbieters, komplette Anschrift/Adresse, Angabe der Rechtsform, Kontakt (Mailadresse), Telefonnummer, Handelsregisternummer, Umsatzsteuer-ID, bei verschiedenen Unternehmen die behördliche Zulassung (Makler, Spielhallenbetreiber, Finanzunternehmen u.a.)

Es gibt einige Impressumgeneratoren die bei der Erstellung helfen:

https://www.activemind.de/datenschutz/impressums-generator/
https://www.e-recht24.de/impressum-generator.html
https://www.it-recht-kanzlei.de/Tools/Impressum/generator.php

Auch eine Facebookseite braucht eigentlich ein Impressum. Das Gesetz macht keinen Unterschied ob es sich um einen Blog, oder Profil auf Facebook handelt. Inhaltlich geht es um die gleichen Angaben wie auf der Webseite. Die Angaben können dann im Infotab z.B. des Profils untergebracht werden.

Hier gibt es ein Beispiel von RA Sabrina Keese-Haufs das angepasst werden kann:
https://lawlikes.de/fbdse/

Facebook Impressum Generator:
https://www.e-recht24.de/facebook-impressum-generator.html

Datenschutzerklärung

Erst mal ist es wichtig überhaupt eine Datenschutzerklärung haben. Die richtigen Paragraphen müssen drin stehen. Es muß alles rein kommen, alle Tools, alle Plugins die benutzt werden mit Firmenadresse und Beschreibung, was diese Tools machen. Für normale Blogs können Datenschutzerklärung-Generatoren ausreichen (Links hier drunter), sobald es komplizierter wird mit Shops u.s.w., reicht das nicht mehr da man hier auch noch im Offlinebereich agiert. Für 70% wäre es aber sicher ausreichend. 100% rechtssicher – wenn es das überhaupt gibt – geht es nur mit Anwalt. Dazu kommt noch, dass ein deutscher Generator nicht unbedingt für Luxemburg (oder ein anderes Land) gilt da zusätzlich zur DSGVO noch das Landesrecht hinzukommt.

Die Datenschutz-Generatoren fragen erst mal einige Punkte zur Webseite ab und spucken dann entsprechend den Text aus. 100% rechtssicher ist dieser Text aber natürlich nicht. Man muss auch alles präzis und gewissenhaft ausfüllen. In einigen Benutzungsbedingungen drin, dass der Anbieter des Generators dich kontaktieren kann um zu beraten oder zu verkaufen (was man aber danach widerrufen kann). Natürlich versuchen so, einige Rechtsanwälte auch Eigenwerbung zu machen um ihre Dienste zu vermarkten, was deren gutes Recht ist, wenn sie so einen Generator kostenlos anbieten.

Generator von RA Dr. Schwenke:
https://datenschutz-generator.de/

Generator der deutschen Gesellschaft für Datenschutz:
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/

Generator von Rechtsanwalt Christian Solmecke:
https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/
(Hinweis: ich hab gelesen, man verpflichtet sich bei diesem Generator wohl, Werbelinks einzubinden in der Datenschutzerklärung, also ohne Gewähr)

Generator von e-recht24:
https://www.e-recht24.de/

Keine preiswerte Lösung, aber gut durchdacht, die sog. Meffert-Lösung:
https://meine-datenschutzerklaerung.de/

Janolaw, der einzige den ich jetzt entdeckt habe wo auch eine DSE auf französisch möglich zu sein scheint. Kostet zwar, aber nicht viel:
https://www.janolaw.de

Datenschutzerklärung als dynamisches Plugin, kostet allerdings 96 € pro Domain und ist nur für Unternehmen konzipiert:
https://avalex.de/

WordPress 4.9.6 hat einige kleine hilfreiche DSGVO Funktionen eingeführt:
https://wp-ninjas.de/wordpress-update-dsgvo

SSL-Verschlüsselung

In Artikel 32 der DSGVO geht es um die Sicherheit der Verarbeitung. Da steht ausdrücklich dass eine Pseudonymisierung und Verschlüsselung notwendig ist. Eine Verschlüsselung mittels SSL oder TLS entpricht auch 2018 dem Stand der Technik und sollte daher bei jeder Webseite aktiviert werden. Das gilt vor allem wenn man Kontaktformulare drauf hat oder ein Newsletterformular oder auch etwa eine Kommentarfunktion. Aber auch durch Plugins oder Tracking-Tools usw. werden Daten an externe Server übertragen und SSL ist somit ein Muß.

Die Einrichtung einer sicheren Verbindung ist bei jedem Hostingprovider etwas anders. Die meisten bieten das jedoch von Haus aus an, man muß es nur meistens extra konfigurieren und anpassen. Wie erkennt man eine SSL verschlüsselte Seite? Beim Internetbrowser wird es meistens oben in der Adressleiste angezeigt: ein grünes oder geschlossenes Schloss bedeutet verschlüsselt, rot bedeutet unverschlüsselt. Man erkennt es auch oft an der Webadresse: Achte hier auf das S im https://

SSL Verschlüsselung

Mit dem SSL Zertifikat alleine ist es noch nicht getan. Hat man bereits eine Webseite mit vielen internen URLs, dann müssen diese alle umgeschrieben werden. HTTP Links müssen auf HTTPS umgeleitet werden und alte Pfade müssen aktualisiert werden. Eine gute Anleitung für WordPress gibt es z.B. hier auf WordPress Ninjas:
https://wp-ninjas.de/wordpress-https

Cookies

Cookies werden mittlerweile oft als »böse« dargestellt weil sie die Leute tracken. Cookies selbst können aber nicht tracken denn ein Cookie ist eigentlich nur eine Textdatei, die beim Nutzer gespeichert wird. Der Rest geschieht dann durch Skripte, die auf dieses Cookie zugreifen. Solange also diese Skripte blockiert werden, sind die Cookies harmlos. Sicherheitsbrowser wie der oben vorgestellte Brave, Cliqz oder Firefox Klar sowie Add-Ons à la Ghostery können Cookies blockieren.

Cookies sind auch nicht Bestandteil der DSGVO, sondern werden eigentlich erst mit der EU-ePrivacy Verordnung geregelt werden. Die Richtung die es gehen wird ist aber bekannt: Cookies sind auch nur dann problematisch wenn sie personenbezogene Daten enthalten. Das ist nicht bei allen Cookies der Fall. Am besten ist es immer, transparent zu handeln, den Benutzer aufzuklären über die Cookies und via Opt-Out die Möglichkeit des Widerrufs anzubieten bei solchen die fürs Tracking genutzt werden. Dazu muß man den Nutzer beim Erstbesuch auf die Nutzung von Tracking hinweisen und seine Zustimmung holen via Opt-In. Bei einem Opt-In (= explizite Einwilligung / engl.: consent) müsste der Nutzer ansich auch jedem Cookie einzeln zustimmen. Bei Webseiten die viele Cookies setzen wird das in der Praxis nervig …

Die meisten Webseiten bieten zur Zeit nur ein Opt-Out und blenden einen Banner ein mit den Worten: » … Wenn Sie auf dieser Webseite weitersurfen, akzeptieren Sie unsere Cookie-Richtlinie (diese sollte verlinkt werden)«, o.ä. Das wird bald nicht mehr zulässig sein und ist auch logisch. Man muß Ja oder Nein wählen können, anders hat man theoretisch nur die Wahl, die Webseite zu verlassen (falls es dann nicht schon zu spät ist und man getrackt wude). Die Nutzerdaten sollten pseudonymisiert werden (siehe AnonymizeIP).

Auch wenn der Nutzer einverstanden ist getrackt zu werden, muß man dennoch die Möglichkeit bieten, dem Tracking nachträglich zu widersprechen. Z.B. durch einen Link in der Datenschutzerklärung um Google Analytics zu deaktivieren (siehe weiter unten).

Man ist sich in der Realität nicht bewusst, wieviele Cookies so vin den verschiedenen Diensten gesetzt werden. Bei Online-Shops z.B. müssen Cookies notwendigerweise gesetzt werden, sonst funktioniert der Shopprozess nicht wie er soll. Es geht beim Cookie-Consent auch eher um die 3rd Party Cookies die von extern eingebunden werden. Das ist z.B. der Fall wenn Inhalte eingebunden werden von anderen Seiten: Google Maps Karten, Facebook Videos oder Page Boxes, YouTube oder Vimeo Videos, Webfonts, Twitter usw.

Borlabs Cookie ist ein WordPress Plugin das einem erlaubt Cookies nur via Opt-In zu setzen. Erst wenn der Besucher seine Zustimmung gibt wird das JavaScript aktiviert und der Cookie gesetzt. Kostet leider 19 € pro Webseite oder 199 € für Agenturen und beliebig viele Projekte.
https://de.borlabs.io/borlabs-cookie/

DSGVO Pixelmate stellt auch eine elegante Möglichkeit zur Verfügung, ein Optin einzubinden. 29 € für eine Webseite, 49 € für 3 Seiten.
https://wp-dsgvo-plugin.com/

Für andere CMS-Systeme gibt es noch weitere Lösungen. Hier ist eine Auflistung von Mittwald:
https://www.mittwald.de/services-fuer-agenturen/weitere-services/datenschutzkonforme-cookie-nutzung

Do not track Funktion

Es gibt in einigen Browsern (Firefox, Chrome, Opera, Safari …) die »Do not track« Funktion. Diese übermittelt dann den besuchten Webseiten, dass man nicht getrackt werden möchte. Das wirkt aber nicht zu 100%. Effektiver ist es, Tracking Blocker zu nutzen wie »Ghostery« oder »Privacy Badger« odereinen von den oben vorgestellten Sicherheits-Browsern.

Kopplungsverbot

Was ist das sog. Kopplungsverbot? Ein Freebie darf nicht mehr durch Tausch von Mailadresse angeboten werden. D.h. an die Herausgabe von persönlichen Daten gekoppelt werden. Es war/ist gängige Praxis im Online-Marketing, einem potentiell interessierten Kunden ein Freebie anzubieten (E-Book, PDF, Lernvideo o.ä.) um ihn in die E-Mail-Liste zu locken damit er später dann vielleicht mal was kauft. Wenn man Daten nicht braucht darf man sie jedoch nun auch nicht mehr erheben. Für den Download eines PDFs braucht man ja keine Mailadresse, man kann das PDF einfach verlinken zum Sofortdownload. Es braucht dann z.B. ein Kästchen zum Anklicken dass man weitere (Werbe)Mails erhalten möchte. Oder man kann den User vor die Wahl stellen: Entweder das Freebie gegen Tausch der Mailadresse, oder ohne Mailadresse, aber dann gegen Bezahlung von etwa 2 € (Freiwilligkeit der Einwilligung). Oder das Freebie einfach so vergeben und Newsletterfeld drunter: »Ich würde mich freuen, wenn du mich unterstützt und den Newsletter abonnierst«. Das wäre eine elegante Lösung und wenn du sonst gute Inhalte veröffentlichst und Mehrwert bietest, ist die Wahrscheinlichkeit auch groß, dass der Besucher sich hier freiwillig einschreiben möchte.

Newsletter: Hinweis auf Datenschutz

Anbieter von Newslettersystemen befinden sich oft in den USA wie beim allseits beliebten (auch von mir gerne genutzten) Mailchimp. Es handelt sich bei den USA jedoch um ein sog. unsicheres Drittland welches nicht unseren Datenschutzstandards entspricht. Mitglied im ePrivacy-Shield Programm ist ein Muß (siehe weiter oben). Dann kann man den Vertrag mit dem Dienstleister schließen (Data Processing Agreement). Er arbeitet somit in deinem Auftrag.

Bei Newsletter-Systemen muss eine Nachweisbarkeit der Einwilligung vorhanden sein! Man darf Personen nicht manuell eintragen außer man hat eine nachweisbare schriftliche Einwilligung. Das muß dann dokumentiert werden.

Newsletter-Formulare müssen immer per »Double Optin« gestaltet werden, d.h. der User muß separat per Link seine Anmeldung noch einmal bestätigen so dass eine Anmeldung nicht aus Versehen passieren kann.. In jedem Newsletter muß es dann auch eine Abbestellmöglichkeit geben, meist am Schluss des Newsletters. Man sollte auch auf seiner Webseite klar informieren um was es im Newsletter geht und hinzuschreiben was mit den Daten geschieht und wohin sie gehen (das kann auch in die Datenschutzerklärung).

Der Newsletter Anbieter Newsletter2Go empfiehlt, zum Anmeldeformular etwa folgenden Satz hinzuschreiben (muß dann je nach Newsletter-System angepasst werden): »Ihre E-Mail Adresse wird an die datenschutz-zertifizierte Newsletter Software Newsletter2Go zum technischen Versand weitergegeben. Weitere Informationen finden Sie in unserer Datenschutzerklärung [Link zur Datenschutzerklärung].«

Gute Hinweise für Mailchimp Anwender:
https://drschwenke.de/mailchimp-newsletter-datenschutz-muster-checkliste

Newsletter auf der eigenen WordPress-Installation:
https://www.thenewsletterplugin.com

Bilder: Persönlichkeitsrecht

Man muß aufpassen was man auf seiner Webseite veröffentlicht. Das ist zwar nicht ganz neu, aber seit dem Inkrafttreten der DSGVO noch einmal verstärkt aufgetaucht. Wenn ich Fotos veröffentliche mit Personen drauf, so muß ich dafür eine schriftliche Einwilligung haben. Ist dies nicht der Fall, muß die Person unkenntlich gemacht werden oder es darf nicht veröffentlicht werden. Auch wenn ich eine von hinten fotografierte Person veröffentliche oder deren Kopf/Gesicht unkenntlich mache, kann die Person trotzdem identifizierbar sein anhand von der Kleidung oder einem bestimmten Accessoire usw. Auch Autokennzeichen dürfen nicht erkennbar sein und gehören zu den personenbezogenen Daten.

YouTube Videos einbetten

Wie schon oben kurz erläutert, ist das Einbetten von YouTube Videos oder allgemein von das Einbetten von Medien in die Webseite von externen Diensten datenschutzrechtlich problematisch. Es werden hier Daten zwischen den Servern ausgetauscht. Sehr gängig ist ja das Einbetten von YouTube Videos. Welche Möglichkeiten gibt es hier?

Einbetten mit erweitertem Datenschutzmodus

Es gibt eine etwas versteckte Funktion bei YouTube um Videos einzubetten ohne Cookies zu setzen: »Enable privacy-enhanced mode« Hiermit werden weniger Daten an Google-Server gesendet – aber nicht gar keine. Man muß die Option aber explizit auswählen bevor man den Einbetten-Code kopiert.

YouTube Privacy Enhanced Mode – Datenschutzeinstellungen

Datenschutzeinstellungen beim Einbetten von YouTube Videos

Einbetten mit WP YouTube Lyte

Das WordPress Plugin WP YouTube Lyte geht einen Schritt weiter und lädt nur das Vorschaubild von YouTube und alles sonstige erst beim Klicken auf den Play-Button.

Embed video and respect privacy

Bei dem Plugin »Embed Video and respect Privacy« wird gar nichts mehr von Google Servern geladen bis eine Aktion stattfindet.

WordPress plugin for making ebedding videos GDPR compliant:
https://github.com/michaelzangl/wp-video-embed-privacy

Viele Cookie Optin-Lösungen wie das oben erwähnte Borlabs Cookies bieten solche Lösungen auch Out-of-the-Box an. Da werden dann externe Inhalte nicht geladen bis man sein OK dazu gegeben hat, entweder generell oder bei jedem Video einzeln. Allerdings sieht man hier dann meist auch kein Vorschaubild sondern nur ein schwarzes Rechteck mit einem Optin-Text.

IP-Adressen speichern/löschen

Manchmal werden IP-Adressen gespeichert, z.B. beim Hosting Provider zur Statistik (einfach mal nachfragen) oder auch zur Spambekämpfung oder bei Kommentaren im Blog. Das ist manchmal notwendig und zulässig, machmal aber auch unnötig. Wenn man in einem Blog einen Kommentar schreibt, werden in WordPress neben dem Namen und der eingegebenen Mail-Adresse auch die IP-Adresse gespeichert. Da das Speichern der IP-Adresse nicht für die Funktion des Kommentierens notwendig ist, darf sie auch nicht gespeichert werden. Bestehende IP Adressen von Kommentatoren kann man via PHPMyAdmin löschen. Der folgende verlinkte Artikel beschreibt wie das geht. Die zukünftige Speicherung der IP-Adressen von Kommentatoren kann verhindert werden durch Erweiterung der functions.php-Datei oder durch Installieren des kleinen Plugins »Remove IP« wie im verlinkten Artikel erklärt:

Anleitung zur Entfernung der IP Adressen:
https://wp-ninjas.de/wordpress-kommentare-ip-entfernen
https://www.internetkurse-koeln.de/wordpress-kommentar-ip-adressen-nicht-speichern-warum-und-wie/

Dieses WordPress Plugin löscht die IP-Adresse nach 60 Tagen (kann man aber im Code anpassen):
https://wordpress.org/plugins/remove-comment-ips/

Subscribe to Double Opt-in Comments:
https://de.wordpress.org/plugins/subscribe-to-double-opt-in-comments/

Anti-Spam Kommentare

Bei WordPress ist das Plugin »Akismet« vorinstalliert mit dem man wirkungsvoll Spamkommentare bekämpfen kann. Das Problem bei dem Plugin ist allerdings, dass dabei der Kommentartext und die IP-Adresse an einen externen Server übermittelt wird. Als Alternative zu Akismet wird deswegen meistens zu Antispam Bee geraten das ich auch nutze. Allerdings sollte man sich hier die Voreinstellungen einmal genau ansehen und 3 wichtige Kästchen deaktivieren und zwar: »Öffentliche Spamdatenbank berücksichtigen«, »Kommentare aus bestimmten Ländern blockieren«, »Kommentare nur in einer bestimmten Sprache zulassen«. Bei diesen Optionen werden nämlich wieder Daten an externe Server gesendet.

Anleitung Antispam Bee:
https://wp-ninjas.de/spam-kommentare-dsgvo

Eine weitere Alternative: Spam Destroyer:
https://de.wordpress.org/plugins/spam-destroyer/

Social Media Plugins

Social Media Plugins sind datenschutzrechtlich mit der DSGVO grundsätzlich zu vermeiden da hier meist sofort ohne zu fragen Daten zu Facebook, Twitter usw. gesendet werden. Die Alternative ist eine simple Verlinkung über ein Icon beispielsweise. Jede Verlinkung zu externen Seiten sollten erwähnt werden. Man sollte erkennen wo ein Link hinführt wenn man drauf klickt.

Die Facebook Like Box ist datenschutzrechtlich bedenklich

Die beliebte »Facebook Like Box« sollte aus datenschutzrechtlichen Gründen nicht mehr in die Webseite eingebunden werden.

Kontaktformular

Bei einem Kontaktformular werden ebenfalls persönliche Daten übertragen. Voraussetzung ist eine gesicherte SSL oder TLS Verschlüsselung. Hier sind wir ja in dem Fall dass jemand aktiv eine Leistung anfragt, es macht jemand ein Angebot (vorvertraglicher Bereich). Ich brauche diese Daten, mindestens die Mailadresse weil sonst kein Vertrag abgeschlossen werden kann und ich nicht antworten kann. Die IP-Adressen sollten auch hier anonymisiert werden (siehe weiter oben), obwohl die IP-Adresse allein kein Problem ansich ist. Nur in Verbindung mit anderen Daten ist die IP streng genommen identifizierbar.

Datenschutzhinweise für das Kontaktformular

Zu welchem Zweck? Gehen die Daten an einen Dritten? Werden die Daten verschlüsselt? Wie lange werden die Daten behalten? Diese Infos sollten gegeben werden. Der Text könnte so lauten: »Ihre Anfrage wird verschlüsselt per https an unseren Server geschickt. Sie erklären sich damit einverstanden, dass wir die Angaben zur Beantwortung Ihrer Anfrage verwenden dürfen. Hier finden Sie unsere Datenschutzerklärung und Widerrufhinweise«.

Entgegen vieler Diskussionen im Internet braucht es nicht extra eine Checkbox zur Einwilligung der Datenverarbeitung durch Ausfüllen des Formulars. Jemand der ein Formular abschickt, will ja, dass seine Anfrage bearbeitet wird und gibt damit automatisch seine Einwilligung. Die Datenerhebung und -verarbeitung darf natürlich nur zum Zweck der Bearbeitung der Nutzeranfrage dienen. Ausnahme wäre höchstens eine Erhebung von abstrusen Daten. Da müsste man eventuell eine Teileinwilligung verlangen. Weitere Infos bei Stefan Hansen-Oest hier.

Datenvermeidung und Sparsamkeit: Pflichtfelder müssen gekennzeichnet werden und aufs Notwendigste beschränkt.

Retargeting Marketing

Das Retargeting ist eine Marketing Praxis die in Zukunft immer schwieriger umzusetzen ist mit den strengen Datenschutzregeln. Durch das Online-Targeting hat man im Marketing die Möglichkeit, gezielte Werbung auszuliefern, d.h. nur an relevante Zielgruppen. Das ist aber nur mit Hilfe von Nutzerdaten möglich die durch Tracking erfasst werden. Dies wird durch Cookies möglich, z.B. den unsichtbaren sog. »Facebook Pixel« und auch »Google Analytics« aber auch durch Technologien wie »Browser-Fingerprinting« oder »Canvas-Fingerprinting«. Diese Tracking-Methoden funktionieren natürlich am Besten wenn der Nutzer nichts davon weiß. Der Sinn der ganzen neuen Datenschutzregeln ist es, genau dies zu vermeiden.

Da das Cookie-Thema Teil der ePivacy-Verordnung ist und nicht der DSGVO, kann man zur Zeit nur abschätzen welche Richtung es gehen wird. Man kann man diese Techniken zwar wahrscheinlich auch weiterhin einsetzen – jedoch mit der großen Einschränkung dass der User dem Setzen der Cookies / des Trackings explizit zustimmt. Die Einwilligung muß da sein. Wenn ich das als User nicht will, muß ich die Möglichkeit dazu haben, es nicht zuzulassen. Aber auch wenn man zustimmt, muß man nachträglich die Möglichkeit haben, die Entscheidung zu widerrufen. In der Datenschutzerklärung müssen die Retargeting-Maßnahmen auch erläutert werden. Siehe auch den Abschnitt »Cookies« weiter oben.

Web Fonts

Wenn bei einer Webseite Webfonts eingesetzt werden, z.B. die beliebten Google Fonts, dann wird bei jedem Aufruf der Webseite Google Server kontaktiert. Das muß in der DSE (Datenschutzerklärung) aufgeführt werden. Durch diesen externen Aufruf werden Daten übertragen, deshalb wird im Rahmen der DSGVO drüber diskutiert, diese Schriften auf den eigenen Server hochzuladen. Beim Einsetzen von Webfonts wird allerdings kein Cookie gesetzt weshalb man das eigentlich nicht vergleichen kann mit dem Setzen von Google Analytics Code wo der Nutzer mittels IP zugeordnet und getrackt werden kann. Bei Google Fonts besteht die Möglichkeit, sie auf dem eigenen Webserver zu laden und so einzubetten, obwohl dies einige Nachteile mit sich bringt (schlechtere Ladezeiten, administrativer Aufwand, ev. keine einheitliche Darstellung auf anderen Geräten …). Bei anderen Webfont Anbietern wird es jedoch problematisch weil es nicht immer erlaubt ist, die Schriften herunter zu laden und auf den eigenen Server zu packen. Somit bleibt zur Zeit dann nur die Möglichkeit auf das berechtigte Interesse zu verweisen (Art. 6 Abs. 1 lit. f DSGVO), was allerdings Risiken birgt, oder man nutzt keine Webfonts was aus Designersicht natürlich ein großer Rückschritt ist.

Anleitung zum Einbinden der Google Fonts auf dem eigenen Webserver:
https://wp-ninjas.de/wordpress-google-fonts

Blog Abo

Bei Blogs kann es oft interessant sein, Benachrichtigungen zu erhalten wenn ein neuer Beitrag veröffentlicht wird. Es gibt einige Plugins die sowas ermöglichen. Die Regeln sind in etwa gleich wie beim Newsletter. Wichtig ist auch hier wieder einen Double Opt-in zu bieten und auf die Datenschutzerklärung hinzuweisen in der man erklärt was passiert wenn man den Blog abonniert.

Mailpoet:
https://www.mailpoet.com

Subscribe2 Plugin:
https://de.wordpress.org/plugins/subscribe2/

E-Mail Subscribers and Newsletters:
https://de.wordpress.org/plugins/email-subscribers/

Statistik Tools

Google Analytics

Google Analytics ist noch immer das beste Tool wenn man Online Marketing betreiben möchte. Leider ist gerade Google Analytics auch datenschutzrechtlich am Schwierigsten (zusammen mit dem Facebook Pixel). Ein Vertrag zur Auftragsverarbeitung muss abgeschlossen werden (GA Einstellungen > Vertrag elektronisch bestätigen > »Verwaltung« > »Kontoeinstellungen«, Rubrik »Zusatz zur Datenverarbeitung«). Der Tracking-Code muss angepasst werden sowie die Datenschutzerklärung. Ggf. Löschung von Altdaten (alles was ohne IP-Anonymisierung passiert ist)

Das Hauptproblem an Google Analytics ist die Datenübertragung in die USA und ein instabiles Privacy Shield. Analytics ist aber im Gegensatz zu Facebook Pixel und Co einer der wenigen Dienste, die seit Jahren sauber IP-Anonymisierung und ein AV anbieten.

Anonymize IP: https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization
Disable Tracking: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable

Es braucht eine Opt-Out-Möglichkeit, z.B. per Pop-Up wenn man nicht getrackt werden möchte.

Google Analytics Opt-Out Anleitung:
https://wp-ninjas.de/google-analytics-opt-out

WordPress Opt-Out Plugin:
https://de.wordpress.org/plugins/google-analytics-opt-out/

Von Schweizer Solutions gibt es das WordPress Plugin Google Analytics Opt-Out:  
https://wordpress.org/plugins/opt-out-for-google-analytics/

Matomo

Matomo hieß früher: Piwik und ist DIE Google Analytics Alternative. Alle Daten werden hier auf dem eigenen Server gespeichert und man hat die Kontrolle über Cookies und Art der Daten. Eventuell erhält man mehr PageSpeed durch das Vermeiden von externen Datenquellen und weniger Abhängigkeit von Google. Nicht vergessen Updates regelmäßig einzuspielen. 

Google Analytics auf WordPress datenschutzkonform einsetzen mit Borlabs Cookie:
https://sandmann.co/google-analytics-datenschutzkonform/

Weitere Tools: WP Statistics oder Statify.

Google Analytics deaktivieren

Google stellt ein Browser Add-On zur Verfügung mit dem man Analytics deaktivieren kann. Dadurch muß aber auch ein Cookie gesetzt werden der dann in Zukunft die Datenerfassung verhindert.

Facebook Pixel

Wenn der Facebook Pixel eingebunden wird, dann braucht es dafür auch einen Hinweis in Form von PopUp bzw. eine explizite Einwilligung. Siehe oben Abschnitt Cookies.

Sharing Plugins

Vor allem bei Blogs werden gerne Sharing Plugins eingesetzt, die Buttons die durch Klick animieren sollen einen Beitrag in den sozialen Netzwerken zu teilen. Datenschutzrechtlich bietet sich hier »Shariff«. Die Plugins machen erst was wenn der User selbst aktiv wird.

Tools und Linkssammlung

Der Artikel hier ist sicher nicht komplett und man muß am Thema dran bleiben. Wenn man jedoch die hier beschriebenen Maßnahmen umgesetzt hat, ist man schon sehr weit gekommen. Hier noch einige weitere Links:

WordPress DSGVO Plugin:
https://wordpress.org/plugins/shapepress-dsgvo/

Gute Checkliste von Gerald Rusche:
https://geruweb.de/dswebcheck (öffnet direkt PDF Download)

Rechtsanwältin Sabrina Keese-Haufs hat eine EU-DSGVO Checkliste veröffentlicht unter:
https://lawlikes.de/dsgvo-kompakt/

Fragebogen zur Umsetzung der DS-GVO zum 25. Mai 2018:
https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf

Broschüren, Mustervordrucke und Orientierungshilfen:
https://www.datenschutz-bayern.de/nav/0901.html

Die WordPress Ninjas führen eine umfassende Liste mit WordPress Plugins in Bezug auf die DSGVO:
https://wp-ninjas.de/wordpress-plugins-dsgvo

Guter Leitfaden:
https://www.reisen-fotografie.de/dsgvo-als-blogger

Guter Blogbeitrag von Webtimiser:
https://www.webtimiser.de/so-bereitest-du-wordpress-auf-die-dsgvo-vor

Französische Tools:

https://www.donneespersonnelles.fr/mentions-legales-site-internet

2 Kommentare

  1. Veröffentlich von Berna am 21. Februar 2021 um 12:08

    Ich danke Ihnen für den interessanten Artikel. Mittlerweile sollte man sich auf die DSGVO gut eingestellt haben. Am Anfang war es wirklich nicht leicht.
    Mit besten Grüßen
    Berna



  2. […] Als nächstes setzte ich mir einen Talk über Facebook Ads von Florian Litterst von Adsventure.de aufs Programm wo es vor allem um den Facebook Pixel ging und dessen Einsatzmöglichkleiten. Vieles davon kannte ich zwar schon, aber egal. Ungefähr in der Mitte des Vortrags lenkte er die Aufmerksam kurz auf das unliebsame Thema DSGVO und ePrivacy. Jedoch waren diese Aussagen für mich nicht ganz klar und natürlich kann er als Nicht-Anwalt hier auch keine Empfehlungen abgeben, dennoch bin ich der Meinung dass es bei dem Thema ganz klar in die Richtung Optin geht. Facebook Pixel Tracking darf ziemlich sicher in Zukunft – wenn man es richtig und nach Vorschrift machen möchte – nur mit Cookie Optin passieren, also nur mit expliziter Einwilligung des Nutzers. Das ist für uns als Marketer natürlich gar nicht cool, müssen uns aber langsam dran gewöhnen und Vorkehrungen treffen. Siehe dazu auch meinen großen DSGVO Beitrag hier. […]



Hinterlassen Sie einen Kommentar