So machst du deine Webseite fit für die DSGVO (Datenschutz-Grundverordnung 2018)

So machst du deine Webseite fit für die DSGVO (Datenschutz-Grundverordnung 2018)

Hilfe! Die DSGVO kommt und ich bin immernoch nicht bereit! Was nun? Keine Sorge, wir zeigen dir wie du deine Webseite noch heute fit machst! Deshalb zögere nicht lange und mach‘ dich an die Arbeit – denn mit diesem Tutorial wurde es um einiges leicher, sich durch den Gesetzesjungel zu navigieren! Wusstest du, dass die DSGVO schon am 25. Mai 2016 in Kraft getreten ist und jetzt die 2-jährige Anpassungsfrist vorbei ist?

Achtung: Dieser Artikel beschäftigt sich mit der technischen Umsetzung von gesetzlichen Vorschriften. Dafür ist eine Erwägung der Rechtslage notwendig. Während der Inhalt mit größter Sorgfalt erstellt wurde und ich meine Quellen im Text verlinkt habe, bin ich trotzdem kein Anwalt und biete somit auch keine Rechtsberatung. Die Umsetzung geschieht auf eigene Verantwortung. Haftung ist ausgeschlossen.

1. Datenschutzerklärung laut DSGVO

Die DsGvo macht neue Vorgaben für die Datenschutzerklärung einer Webseite. Diese soll in einfacher, verständlicher Sprache formuliert sein und unter Nennung konkreter Rechtsgrundlagen sollen die folgenden Punkte abgedeckt werden:

  • Welche Datenverarbeitungsvorgänge finden statt? (Analytics, Cookies, Social Media, Newsletter, etc.)
  • Wie wird mit Kunden/Bestelldaten umgegangen?
  • Wie lange werden Personendaten gespeichert? Wann werden sie gelöscht?
  • Auskunft, Berichtigung, Löschung, Widerspruch über die Datenerhebung
  • Recht auf Datenherausgabe

So weit, so gut, doch wie erstelle ich also eine rechtmäßige Datenschutzerklärung für meine Webseite? Leider ist dies noch nicht vollkommen kostenlos möglich.

Es kommt darauf, welche Datenverarbeitungsvorgänge stattfinden. Wer vollkommen ohne Kosten für einen herkömmlichen Onlineshop, Blog oder eine Präsentationswebseite eine Erklärung braucht, der kann einen einfachen Datenschutz-generator benutzen. Grundsätzlich raten wir jedoch von der Nutzung solcher Dienste ab, da diese nicht unbedingt abmahnsicher sind. Grund dafür ist, dass die DSGVO eine grundlegende, präzise Formulierung verlangt. Online-Tools generieren meist jedoch umfangreiche Erklärungen, die alle Punkte ansprechen sollen; teilweise können auch einzelne Formulierungen unzutreffend sein.

Wer mit kleinem Budget seine Seite mit einem Schlag auf die DSGVO vorbereiten will, kann dies auch mit dem DSGVO-Update von Picnature erreichen. Bestandteil unserer umfangreichen Leistungen im Bereich Webseitenerstellung ist selbstverständlich auch die Unterstützung bei der Umsetzung einer DSGVOkonformen Datenschutzerklärung und praktischer, anwaltlich geprüfter Inhalte zur DSGVO.

Bei komplizierteren Vorgängen, wie z.B. die Nutzung von Lieferanten-Schnittstellen, reicht die Nutzung eines Generators definitiv nicht aus, sondern es sollte ein Anwalt zur Hilfe gezogen werden. Wer seine Datenschutzerklärung bereits anwaltlich erstellt hat, sollte jetzt nochmal den Anwalt kontaktieren, da die alte Erklärung unter Umständen nicht mehr vollständig korrekt ist.

2. Verwendung von Cookies

Die Verwendung von Cookies ist in Deutschland noch umstritten. Man ist sich hier noch nicht einig, ob Nutzer vor dem Einsatz von Cookies eine Einwilligung abgeben müssen oder ob ein einfacher Hinweis auf die Nutzung von Cookies reicht. Der ein oder andere möge sich nun fragen: warum das Theater? Warum holen wir uns nicht einfach die Einwilligung?

Für die Einwilligung muss vor dem Laden der Webseite ein Popup gezeigt werden, welches den Zugriff auf die Seite verhindert, bevor der Nutzer einwilligt. Und bei einem Cookie-Hinweis bekommt man schnell den Eindruck, dass streng vertrauliche Daten gesammelt werden, auch wenn es nur um herkömmliche Cookies geht. Das Resultat: der Nutzer fürchtet sich vor der Einwilligung und schließt die Seite. Solche „Cookie-Stopper“ sind also Hauptauslöser für eine hohe Bounce-rate.

Cookies schmecken nicht, wenn sie nicht DSGVO konform sind.Meiner Meinung nach sollte der Gesetzgeber sich hier mehr damit beschäftigen, was durch Cookies gespeichert werden darf. Wer sich in der Bäckerei ein zuckerüberfülltes Teilchen holt, muss dem Bäcker auch keine Einwilligung für die Verwendung von Zucker geben. Vielmehr sollte man sich sicher sein, dass der Bäcker mir keine Giftstoffe oder andere Schweinereien reinmischen darf. In dieser Hinsicht sind Cookies und Zucker das selbe: ohne Zucker gäbe es kein Süßgebäck und ohne Cookies keine Internetseiten.

Gewissermaßen ist eine „Cookie-Einwilligung“ ein Widerspruch in sich selbst, da man ohne Cookies gar nicht wissen kann, ob ein Nutzer schonmal eine Seite besucht hat. Woher soll man also wissen, ob der Nutzer noch eine Einwilligung abgeben muss?

Die ePrivacy-Verordnung, welche frühestens im Mai 2019 verabschiedet werden soll, schafft hier hoffentlich mehr Klarheit. Man sollte sich allerdings nicht zu früh freuen, denn es ist wahrscheinlich, dass mit der ePrivacy-Verordnung noch mehr Anforderungen auf uns zukommen, wie z.B. die Auswahlmöglichkeit für die Einwilligung in verschiedene Cookies.

Technische Umsetzung

Um also aufwendigen, kontraproduktiven Methoden aus dem Weg zu gehen, möchten wir dir die folgende Methode nahelegen. Diese stellt ein geringes Risiko dar (weil eben nicht die Einwilligung vorrausgesetzt wird) und ist technisch einfach umzusetzen.

  • Beim ersten Besuch eines Benutzers sollte ein Cookie-Banner angezeigt werden, welcher über die Nutzung von Cookies aufklärt und ggf. eine Einwilligung fordert.
  • Dieser Cookie-Banner sollte auf die Datenschutzerklärung der Seite verlinken.
  • In der Datenschutzerklärung sollte dem Nutzer ein Opt-Out-Link zur Verfügung stehen.

Die technische Umsetzung bei der oben beschriebenen Methode ist relativ einfach und unaufwendig. Hierbei reicht es, ein entsprechendes Plugin für einen Cookiebanner im eigenen CMS einzubauen. Hier eine Liste von funktionsfähigen Plugins für gängige Content-Management-Systeme:

Entsprechende Opt-Out-Links werden von den betroffenen Anbietern (Google Analytics, etracker, etc.) selbst bereitgestellt und müssen nur verlinkt werden.

3. Tracking-Tools, Drittanbieter

Bei der Verwendung von Tracking-Tools sind neben der Bereitstellung von Opt-Out-Links noch weitere Maßnahmen zu ergreifen.

Schließe mit allen Anbietern einen ADV-Vertrag

Es muss ein Auftragsdatenverarbeitungsvertrag (kurz: ADV-Vertrag) mit jeglichen Drittanbietern geschlossen werden. Und zwar nicht nur mit Google für die Nutzung von Analytics, sondern mit auch mit Newsletter-Anbietern, Ticket-Systemen, Webhosts, etc.. Hier musst du dich beim jeweiligen Anbieter informieren und ggf. einen entsprechenden Vertrag anfragen. Google stellt wie die meisten anderen Anbieter einen solchen Vertrag glücklicherweise unter diesem Link bereit.
Auch für Agenturen und Selbstständige: wir müssen nun einen AV-Vertrag mit unseren Kunden schließen!

 

 

 

IP-Anonymisierung

Das Gesetz verlangt von uns, dass IP-Adressen für die Nutzung von Trackingdiensten anonymisiert werden. Das bedeutet, dass Nutzerdaten zwar erhoben werden, doch nicht auf einen spezifischen Nutzer zurückverfolgt werden können. Dies hat keine Auswirkungen auf die Statistiken, die gesammelt werden, sondern es ist nur für den Datenschutz wichtig.

Wer beispielsweise die IP-Maskierung für Google Analytics aktivieren möchte, muss nur die folgende Zeile in den bestehenden Analytics-Code der Seite einbauen:

ga('set', 'anonymizeIp', true);

Dieser Code-Schnipsel sollte vor dem senden des Pageviews eingebunden werden. Am Ende sieht das dann ungefähr so aus:

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

4. Kontaktformulare und SSL

Beinahe jede Internetseite nutzt ein Kontaktformular, und unabhängig davon, wie oft dieses verwendet wird, gibt es auch hier einige Fettnäpfchen. Da mit Versenden eines Kontaktformulars immer personenbezogene Daten verwendet werden, schreibt das Gesetz hier vor, dass diese verschlüsselt werden müssen. Dies lässt sich mithilfe eines SSL-Zertifikats realisieren, welches normalerweise beim Host bestellbar ist. Ob eine Webseite mit SSL verschlüsselt ist lässt sich ganz einfach am grünen Schloss in der Adressleiste sowie am https:// anstatt http:// erkennen.

Falls deine Webseite noch nicht mit SSL-Verschlüsselt ist, wird es übrigens ohnehin höchste Zeit, dies zu tun. Das grüne Schloss schafft nicht nur Vertrauen und Authorität in den Augen des Besuchers, sondern es bringt auch Vorteile für SEO. Denn Google selbst hat gesagt, dass das Internet standardmäßig sicher sein sollte. Außerdem sind SSL-Zertifikate heutzutage nicht teuer und sollten nicht mehr als 20€ im Jahr kosten.

Checkbox im Kontaktformular?

Wer sich jetzt fragt: warum ist das Gesetz hier so sinnvoll? Wo bleibt die Unklarheit? Dem wird jetzt geholfen, denn auch das Thema Checkbox im Kontaktformular ist heiß umstritten.

Viele sind der Meinung, dass in jedes Kontaktformular eine Checkbox hineingehört, welche der Nutzer anklicken muss, um der Speicherung seiner Daten zuzustimmen. Dies ist Blödsinn – zunächst ist es absolut selbstverständlich, dass beim Verschicken einer Nachricht durch ein Kontaktformular die Daten auf irgendeine Weise (z.B. per Email, Datenbanken…) verarbeitet werden. Außerdem muss der Nutzer laut Art.7 Abs. 3 DSGVO diese Einwilligung auch widerrufen können. Wer sich also eine Einwilligung per Checkbox holt, der kann sich darauf freuen, diese bald irgendwie aus seinem Mailaccount, der Datenbank oder aus Backups löschen zu können.

Vielmehr müssen wir hier der Hinweispflicht nachgehen und den Nutzer über die Verarbeitung seiner Daten aufklären. Denn ohne Verarbeitung der Daten können wir nicht mit dem Kunden kommunizieren. Dies kann mit oder ohne Checkbox realisiert werden, wichtig ist nur, nicht etwa eine Einwilligung zu holen, sondern den Nutzer über Art und Zweck der Verarbeitung aufzuklären (s. Art. 13 DSGVO). Die konkrete Rechtsgrundlage hierfür ist:

die Verarbeitung ist für die Erfüllung eines Vertrags (...) oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

DSGVO Art. 6 Abs. 1b

Laut DSGVO sind wir also berechtigt, persönliche Daten zu verarbeiten, solange dies für die Erfüllung eines Vertrags notwendig ist. Schreibt uns also ein potentieller Kunde mittels des Kontaktformulars, so ist dies als Anbahnung an ein Vertragsverhältnis zu sehen. In diesem Fall erlaubt die DSGVO ausdrücklich die Verarbeitung der Daten (solange wir der Hinweispflicht nachgehen).

Schlusswort

Ich hoffe, ich konnte einigen Leuten mit diesem Artikel helfen, die eigene Seite an die Anforderungen der DSGVO anzupassen. Ich halte es persönlich für ein Schlamassel, dass dies überhaupt notwendig ist – denn wenn der Gesetzgeber klare Vorschriften und Gesetze formulieren würde, dann wäre dies nicht nötig. Das Problem ist einfach, dass Webseiten nicht von Anwälten erstellt werden, sondern von Computernerds. Ich frage mich, ob jemals der Tag kommen wird, an dem es klar formlierte, eindeutige Vorschriften für den Betrieb von Webseiten gibt. Denn zurzeit scheint es mir so, als würden neue Datenschutzgesetze nichts anderes als juristisches Chaos auslösen – der eigentliche Zweck sollte der Verbraucherschutz sein, und davon merkt man nicht viel.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.