DSGVO für Websites – neue EU-Datenschutzregeln ab Mai

Betrifft Websites mit Kontaktformular, Newsletter, Statistik, Affiliate-Links, Maps, Mehrsprachigkeit, E-Mails …

Weil ich derzeit fast täglich auf die neue DSGVO (=Datenschutzgrundverordnung) angesprochen werde, möchte ich hier meinen aktuellen Wissenstand zum Thema zusammenfassen. Selbstverständlich ist diese kleine Übersicht ohne Gewähr – wer endgültige Gewissheit will, sollte sich schnurstracks zum (Online-)Anwalt begeben, an einem Seminar teilnehmen oder sich in die kompakten (nicht kostenlosen) professionellen Handreichungen zur DSGVO einlesen. Die entsprechenden Link-Tipps folgen ganz unten.

Zunächst mal: ruhig Blut.

Bei von mir erstellten Websites achte ich zwar schon immer darauf, dass so wenig Daten wie möglich erhoben und archiviert werden, schließlich bin ich geprägt von den Volkszählungsprotesten des vorigen Jahrhunderts. Trotzdem ist es nicht ganz leicht, technisch den Überblick zu behalten, welche Datensätze wo wie und warum gesetzt, gesammelt und verfolgt werden. Wer zudem im Netz mit erweiterten Statistiken, Shops, Affiliate und Social-Web-Links jongliert, muss auf jeden Fall in Sachen Datenschutz aktiv werden. Es ist wie Buchhaltung – mühsam, aber unumgänglich. Die meisten Website-Betreibenden müssen, um der DSGVO gerecht zu werden, bis Mai ein paar Stellschrauben festzurren. Und zwar nicht nur intern im eigenen Unternehmen, in der Verwaltung von Kundendaten und E-Mail-Archiven, sondern auch online auf jeder professionell betriebenen Website, egal ob selbstständig, freiberuflich, kaufmännisch, NGO, Schule oder Verein.

Es betrifft uns alle und ist Fünf vor Mai.

Die meisten der von mir erstellten und betreuten Websites sind, RA Schwenke sei Dank, bereits mit einer guten bis sehr guten Datenschutzerklärung ausgestattet. Diese ist in Deutschland schon länger Pflicht und gilt nun eben auch EU-weit. Die Inhalte älterer Datenschutzerklärungen sollten trotzdem auf Aktualität geprüft werden.

Kurz und bündig

Schnell und standardisiert kann eine Website-Datenschutzerklärung erstellt werden mithilfe folgender großartiger, unersetzlicher und vor allem großzügiger Online-Angebote, die nur noch mit den jeweiligen Kontaktdaten ergänzt werden müssen:

www.datenschutz-generator.de von RA Schwenke, Berlin (der wird gerade umgestellt auf die neuen Anforderungen, am besten noch ein paar Tage abwarten)

www.e-recht24.de – ebenfalls mit einem Online-Generator für eine „Muster-Datenschutzerklärung“ bzw. dem monatlichen Abo für laufende Website-Rechtsbetreuung der RA Siebert/Fernkorn, Berlin.

Darum geht’s bei Webseiten

Eine kleine Checkliste zum Abarbeiten, ohne Garantie auf Vollständigkeit:

• Cookies (im Browser prüfen, z.B. in Firefox oben in der Adressleiste auf das „i“ vor der URL klicken, dann über den Pfeil zu „weitere Informationen“),
• eingebundene Fonts (Schriften) und Icons (Ionicons usw.),
• Social-Web-Sharing mit Weiterleitung (WP-Plugin-Tipp: Shariff Wrapper),
• von fremden Seiten bzw. aus dem Social Web eingebundene Inhalte (YouTube-Videos, Instagram-Feed, Social Web Wall, Facebook-Feed usw.),
• iFrames und Affiliate-Links (amazon & Co.), VG-Wort,
• Landkarten (Google Maps u.a. – Tipp: OpenStreetMaps/OSM),
• Kommentarfunktion (IP-Abgleich und -Speicherung, fremde Inhalte) und Gravatar-Profile,
• Statistiken und Tracking aller Art,
• Security-Plugins (IP-Abgleich, Life-Traffic, interne Autoren-Überwachung durch Admins),
• Formulare aller Art wie Kontaktformulare (SSL),
• Newsletter,
• Kundendaten-Verarbeitung aller Art, auch bei E-Mail,
• … was fehlt?

Leicht auffindbar

Die Datenschutzerklärung muss bereits heute von jeder Unterseite aus als eigenständig benannter Link mit einem Klick erreichbar sein. [Sie kann imho trotzdem gestalterisch mit dem Impressum auf einer Seite aufführt werden, obwohl eine Trennung womöglich übersichtlicher ist.]

Je nach Art der Website gelten andere Vorschriften

Was genau in die Datenschutzerklärung hinein muss, ist individuell sehr verschieden. Aus diesem Grund gibt es leider keine simple, standardisierte Anleitung, die sich viele wünschen. Wer eine Website betreibt, muss sich selbst (und die Webdesignerin) fragen, was genau den Datenschutz betreffen könnte. Manche schillernde Funktion wird unter Abwägung der Nachteile schnell unattraktiv, angefangen von der Google Map. Ein simpler Link zum Routenplaner ist beispielsweise sicherer und oftmals praktischer. Wer Laufkundschaft hat und nicht auf eine Landkarte verzichten will, kann z.B. OpenStreetMaps (OSM) verwenden (WP-Plugin-Tipp: OSM) bzw. eine selbst erstellte oder lizensierte Grafik.

Typische Website-Arten und die DSGVO

1. Online-Shops

Erstelle ich selten und kann nicht viel dazu sagen. Wer online Waren, Lizenzen oder Workshops vertreibt, muss sich weit mehr Gedanken machen. Ich empfehle, einen Anwalt, die Handelskammern oder Branchenexperten zu befragen – oder sich in die u.g. Online-Workshops und Handbücher zur DSGVO einzuarbeiten. Besonders auf dem Prüfstand sind die Shop-Software, Statistik, Social-Web-Sharing, Zahlungsmodalitäten und Kundenverwaltung.

2. Kontaktformulare und SSL

Von der Wiege bis zur Bahre, Formulare, Formulare. Viele sind überflüssig, manche nützlich – wie Anmeldeformulare, Übersichten, Umfragen, Multiple-Choice usw. Besonders verbreitet sind Kontaktformulare. Website-Betreibende möchten ihre E-Mail-Adresse verbergen (und hoffen, das bewahrt sie vor Spam), Kontaktwillige sparen den Weg über das eigene Mailprogramm (doch dann fehlt ihnen die Versandkopie). Wer ein Kontaktformular auf der Website führen will, sollte dort eine Bestätigung der Datenschutzerklärung platzieren. Für Formulare ist künftig nur die Datenübertragung per SSL-Verbindung erlaubt (https://) – wer die Website noch nicht umgestellt hat, sollte dies schleunigst tun bzw. tun lassen.

3. E-Mail

Manche meiner Kunden und Kundinnen verwenden statt eines eigenen Webhoster und eigenen E-Mail-Programms (Outlook, Thunderbird, Apple-Mail) auch für geschäftliche Elektropost kostenlose Mailprogramme wie googlemail, gmx, aol, t-online und manche sogar hotmail. Manche laden dort ganze Adressbücher hoch oder führen exorbitante Mail-Archive von mehreren Gigabyte, kein Witz. Damit werfen sie ohne Not ihre eigenen Daten aber vor allem die ihrer Kunden und Kontakte dem Tracking zum Fraß vor. Kostenlos hat einen Preis, er wird mit Daten bezahlt. Auch sichere Passwörter sind ein Datenschutz-Thema, d.h. verantwortungsvoll mit Daten umzugehen.

Das Pro und Contra von E-Mailprogrammen wird schön einfach (für Lehrkörper;) erklärt auf: lehrerfortbildung-bw.de/…/dossiers/sicherheit/email

Einzelne Hoster gehen unterschiedlich mit E-Mail-Daten um. Auch dieser Bereich ist von der DSGVO betroffen. Daher muss geprüft werden, wie der eigene Hoster E-Mails verwaltet und archiviert, für manche gibt es neue Vereinbarungen und technische Neuerungen.

4. Newsletter Datenschutzklausel

Mailchimp ist beliebt, um automatisch Blogbeiträge via RSS-Feed als Newsletter zu verschicken. Viele meiner Kundinnen und Kunden nutzen es. Andere verwenden Cleverreach, das sogar explizit mit der Einhaltung der Datenschutzregeln wirbt, aber Blogbeiträge per RSS derzeit leider nicht automatisch versenden kann. Beide Firmen bieten das seit vielen Jahren vorgeschriebe Double-Opt-In-Verfahren an, d.h. die doppelte Abfrage der Abo-Zustimmung. Im Newsletter muss ein Link zur Datenschutzerklärung sowie in der Bestätigungsmail ein Hinweis eingefügt werden.

5. Website-Technik und Rechtliches

Eine kleine Checkliste habe ich oben bereits zusammengefasst. Je nach dem, wie die eigene Website technisch aufgebaut ist und welche zusätzlichen Statistiken und Marketing-Tools verwendet werden, muss eine passende Datenschutzerklärung erstellt werden. IT und Recht gehen dabei Hand in Hand – ein neues Traumpaar?

Die Google Web Fonts, die bei den meisten ästhetisch schönen WordPress-Themes eingesetzt werden, sind leider ebenfalls kritisch zu sehen. Jede Abfrage läuft über einen Google Server – außer, die Fonts sind lokal eingebunden. Wobei die Lizenzen zu prüfen sind und der Font in einen Webfont umgewandelt werden muss, was natürlich Arbeitsaufwand/Kosten bedeutet. Dafür gibt es keine schnelle Lösung – außer, die Fonts zu deaktivieren … das wird bitter. Eine Alternative ist, Webfonts-Lizenzen bei fontshop u.ä. zu kaufen.

Ob die leidige Cookies-Abfrage als Pop-Up im Einzelfall nötig ist, darüber streiten sich die Geister. Besser wärs, ganz auf Cookies zu verzichten, wenn das möglich ist. Denn, „zur allgemeinen Funktion der Website“, wie es manchmal heißt, braucht man sie definitiv nicht. Was auf internationalen Websites erlaubt ist, darf in Europa oft nicht eingesetzt werden – auch dann nicht, wenn es scheinbar „alle“ tun. Bisher wurde das nicht so genau genommen – ab sofort wird das anders und es drohen drakonische Strafen, so heißt es.

Gravatare können im WordPress-Backend deaktiviert werden – auch wenn das dann nicht so schön personalisiert wie bisher aussieht. Eine Statistik mit dem WP-Plugin Statify zu führen, ist in vielen Fällen die beste Lösung, Analytics muss echt nicht sein, auch Piwik ist sehr mächtig und dann gibts da noch die Statistiken der Hoster. Technisch kompliziert wird die Lösung für Content Distribution Networks (CDN) z.B. für Bibliotheken für jquery, bootstrap u.ä. – die Scripte von nicht-europäischen Servern ausliefern …

Ich gehe davon aus, dass WordPress.org die europäischen WordPress-User in der Alten Welt hoffentlich dabei unterstützen wird, EU-gesetzeskonforme Webseiten zu erstellen – z.B. bei der IP-Speicherung der Kommentare. Ist ja noch etwas Zeit – bis 25. Mai.

Fazit: Umso wichtiger wird es, im Internet auf vertrauenswürdige Anbieter zu setzen, denen die Schutzwürdigkeit von Daten bewusst und ein Anliegen ist. Die Online-Verwaltung von Firmendaten und Daten von Kundinnen und Kunden ist bisher nicht nur bei Online-Shops nicht immer so klar und abgesichert, wie man sich das wünschen würde. Das wird ab sofort hoffentlich besser.

Weiterführende Informationen:

Einen genau recherchierten, ausführlichen Beitrag zur DSGVO für Freiberufliche und Einzelunternehmen verfasste Dr. Katja Flitzner. Toll und umfassend, dem ist nichts hinzuzufügen.

haufe.de über Informationspflichten: Neue Pflichten für Website-Betreiber durch die DSGVO

Konkret zur Cookies-Hinweispflicht: e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html

Die DSGVO betrifft nicht nur die Website, sondern die gesamte Datenverwaltung im Unternehmen – die meisten haben sich längst vorbereitet. Mehr Informationen auf schnellstem Wege und von berufener Stelle:

• https://www.e-recht24.de/datenschutzgrundverordnung.html – DSGVO-Spezial für eRecht24 Premium (ab 14,90 / Monat, Probemonat)
• https://t3n.de/news/dsgvo-fuer-unternehmer-t3n-guide-911252/ – DSGVO-Ratgeber für Unternehmer von t3n und RA Schwenke (PDF 73 S., 99 Euro)
• https://www.heise-events.de/dsgvocheck – iX Webinar Aufzeichnung (79 Euro): Bereit für die DSGVO: Die Checkliste

Das wars.