Jetzt ist es bald soweit, die neue DSGVO — die Datenschutz-Grundverordnung- steht nach zwei Jahren Übergangszeit in den Startlöchern und tritt am 25. Mai 2018 in Kraft.
Ich habe das Thema recht lange vor mir hergeschoben, doch nun hilft es nichts mehr, ich muss mich um die Umsetzung der DSGVO auf meinen Websites kümmern.
Welche Schritte sind bei der Realisierung durchzuführen? In mehreren Beiträgen werde ich darauf eingehen.
Doch zuvor kurz zum wichtigsten Inhalt der DSGVO.
Hinweis: Ich bin keine Anwältin, daher gebe ich in diesem Beitrag nur meine persönliche Meinung wider. Es handelt sich NICHT um eine Rechtsberatung. Falls du konkrete Hilfe bei der Umsetzung der DSGVO auf deiner Website benötigst, solltest du einen Rechtsanwalt heranziehen.
Zusammenfassung: Inhalt der DSGVO
Die Datenschutzgrundverordnung, deren zweijährige Übergangsfrist am 25. Mai 2018 abläuft, gilt für alle EU-Staaten. In der Verordnung werden Abläufe und Anforderungen an das Datenschutzmanagement von Unternehmen geregelt.
Da es zum Datenschutzmanagement in Europa unterschiedliche Regelungen gab, soll die DSGVO durch die Vereinheitlichung eine neue Sicherheit und Übersichtlichkeit beim Thema “Datenschutz” umsetzen. Auch wegen der großen Datenkraken Google und Facebook, für die die verschärften Regelungen nun auch gelten, wurde diese neue Verordnung wohl eingeführt.
Wer sich die Verordnung durchlesen will, braucht ein gutes Verständnis für abstrakte Formulierungen.
Ich jedenfalls habe nicht viel verstanden, so allgemein und schwammig ist sie geschrieben. Auf keinen Fall wird aus dem Text klar, wie der praktische Einsatz in großen und kleinen Betrieben aussehen soll. Zum Glück ist in den vergangenen Wochen durch zahlreiche Blogartikel die Umsetzung für Webseitenbetreiber und Blogger klarer geworden.
Damit sich auch ein jeder an die neuen Regelungen hält, droht bei Verstoß ein Bußgeld, das in der Höhe bis zu 4 Prozent des Jahresumsatzes ausmachen kann.
Der wesentliche Inhalt der DSGVO ist der Schutz von personenbezogenen Daten, die auch Blogger und Webseiten-Inhaber sammeln, so vor allem über:
- Newsletter: Über die Newsletter-Anmeldung geben die meisten User zumindest ihre E‑Mail-Adresse preis. Damit die Registrierung über den Newsletter gesetzeskonform abläuft, sollte man einen E‑Mail-Marketing-Anbieter (am besten einen deutschsprachigen) wie z. B. Klick-Tipp oder CleverReach einsetzen. Dort läuft die Registrierung über das Double-Opt-In-Verfahren, was vom Gesetzgeber vorgeschrieben wird. Dieser Bereich muss also für die neue DSGVO so gut wie nicht überarbeitet werden. Allerdings muss der Newsletter nun in der Datenschutzerklärung ausführlich erwähnt werden. Was noch wichtig ist: Da der Anbieter der Newsletter-Technik im Auftrag seiner Kunden die Newsletter-Daten speichert, sollte man mit seinem Anbieter einen Vertrag zur Auftragsverarbeitung abschließen.
- Kontaktformulare: Vor allem über Kontaktformulare werden personenbezogene Daten an den Website-Betreiber versendet. Wer ein oder mehrere Kontaktformulare auf seiner Website einsetzt, benötigt auf alle Fälle ein SSL-Zertifikat.
- Blogkommentare: In den Blogkommentaren wird die E‑Mail-Adresse und die IP-Adresse gespeichert.
- Google Analytics und andere Analysetools: Über Google Analytics werden IP-Adressen abgegriffen. Damit man das Tool rechtlich unbedenklich nutzen kann, ist eine IP-Anonymisierung erforderlich. Das lässt sich in dem Google-Analytics-Plugin einstellen. Auch die Nutzung von Google Analytics gehört in die Datenschutzklärung, wo der User einen Link vorfinden sollte, über den er mittels eines Opt-Out-Cookies die Erfassung über Google Analytics deaktivieren kann.
- Cookies: Im Augenblick reicht noch ein Cookies-Hinweis mit einem Opt-Out. Wie das Ganze umgesetzt werden muss, wenn im nächsten Jahr die ePrivacy-Verordnung in Kraft tritt, wird sich noch zeigen. Normalerweise müsste dann ein aktives Opt-In möglich sein, was vieles im Online-Marketing erschweren bis unmöglich machen würde. Den Cookies-Hinweis setze ich mit dem Plugin Cookie Consent
- Facebookpixel: Auch Facebook-Pixel greifen personenbezogene Daten ab. Auch wenn dieser Hinweis in der Datenschutzerklärung aufgeführt wird, ist der Einsatz von Facebook-Pixel in Deutschland nicht ohne rechtliches Risiko möglich, da möglicherweise Daten der Website-Besucher an den Anbieter des Dienstes übertragen werden. Ich werde daher in nächster Zeit keine Facebook-Pixel einsetzen und erst einmal abwarten, wie die Gerichte weiter darüber urteilen.
- Social-Share-Buttons: Diese offiziellen Share-Plugins der sozialen Netzwerke wie Facebook, Twitter, Google + usw. sollten ohnehin längst nicht mehr eingesetzt werden, weil schon beim Betreten der Website Daten an den jeweiligen Anbieter gesendet werden. Ich verwende das Sharing-Plugin Shariff, das Social-Media-Buttons zur Verfügung stellt, die datenschutzkonform sind.
- Werbemittel mit Tracking: Falls Werbemittel wie Banner mit Tracking in die Website eingebunden werden, kann es ebenfalls Probleme mit dem Datenschutz geben. Wie sich dieser Bereich unter der neuen DSGVO entwickeln wird, muss man abwarten.
Um die Websitebesucher über die Verwendung der personenbezogenen Daten (wozu ja schon die IP-Adresse gehört) zu informieren, muss auf alle Fälle die Datenschutzerklärung komplett überarbeitet werden.
Analyse der personenbezogenen Daten
Bevor man an die Umgestaltung seiner Datenschutzerklärung geht, sollte man genau überprüfen, welche personenbezogenen Daten man auf seiner Website erfasst und verarbeitet. Daher beginne ich mit diesem Schritt.
Es spielt bei den erhobenen Daten auch keine Rolle, ob ich sie speichere oder sie von einem Dritten über ein eingebundenes Skript erfasst werden.
Zu den personenbezogenen Daten gehören: die IP-Adresse, Vor- und Nachname, E‑Mail-Adresse, Telefonnummer, postalische Anschrift, Geburtsdatum, Bankdaten etc.
Datenerfassung auf Geld-online-Blog
Auf meinem Blog erfasse ich über mein Kontaktformular, über die Kommentarfunktion sowie über den Newsletter personenbezogene Daten.
Die Daten über den Newsletter werden nicht von mir erfasst, sondern von meinem E‑Mail-Marketing-Anbieter CleverReach.
Darüber hinaus greifen Google Analytics und Google AdSense Daten ab.
Da auch eingebundene Skripte von Partnerprogrammen, iFrames, Google Webfonts, Google Maps und extern eingebundene Bilder wie z. B. Infografiken Daten erfassen, sollte man sich für die Analyse Zeit lassen.
Ich habe einige Skripte von Partnerprogrammen aus meinem Blog gelöscht, weil ich noch keinen genauen Datenschutzhinweis von diesen Programmen vorliegen habe. Normale Affiliate-Links sind — was den Datenschutz angeht — unbedenklich, sodass ich diese nicht von meiner Seite lösche. Affiliate-Links habe ich mit einem Stern als solche gekennzeichnet.
Was ich anfangs vergessen hatte: Auch mein Hoster erfasst Daten von meinen Website-Besuchern. Daher habe ich mit diesen Anbietern, die personenbezogene Daten über meine Websit erfassen, einen Vertrag zur Auftragsverarbeitung abgeschlossen.
Dazu gehören neben meinem Hoster auch Google Analytics (den Vertrag habe ich schon vor längerer Zeit abgeschlossen) und mein Newsletter-Anbieter.
Falls du auch noch einen solchen Vertrag mit deinen Anbietern abschließen musst, das geht recht einfach. Setze dich mit den Anbietern in Verbindung und bitte um einen solchen Vertrag. Meist liegt dieser als Mustervertrag in einer PDF-Datei vor. Der Vertrag sollte in zweifacher Ausführung ausgefüllt und an den Anbieter per Post gesendet werden. Dieser wird dir eine Ausführung unterschrieben zurücksenden.
Ich habe ein paar Plugins deinstalliert, die ebenfalls Daten erfassen, wie JetPack, Limit Login Attempts, Crazy Egg und WP Statistics. Diese habe ich deinstalliert, weil ich vermute, dass diese Plugins Daten auf irgendwelchen Servern in Amerika speichern. Außerdem waren diese Plugins nicht allzu notwendig.
Wer sich die Arbeit der manuellen Analyse nicht antun will, kann eine automatische Analyse durchführen lassen, z. B. über webseitenschutzpaket.de. Allerdings ist das nicht sehr günstig und ob auch hundertprozentig alles analysiert wird, weiß ich nicht. Daher sollte eine automatische Analyse nochmals manuell überprüft werden.
Was brauche ich und was nicht?
Hat man seine Analyse abgeschlossen, steht man vor der Entscheidung, was man weiterhin nutzen will und was nicht.
Ich habe die Plugins, die IP-Adressen abspeichern und die ich nicht wirklich brauche, von meinem Blog gelöscht (siehe oben), genauso verschiedene Skripte von Partnerprogrammen.
Was ich weiterhin verwende:
Kontaktformular: Mein Kontaktformular fragt nicht allzu viele Daten ab. Ich versehe es mit dem Hinweis, dass der Absender sich bereit erklärt, dass die Daten zur Verarbeitung seines Anliegens verwendet werden. Er kann seine Einwilligung jederzeit widerrufen. Außerdem kommt ein Abschnitt über das Kontaktformular und dessen erfassten Daten in die überarbeitete Datenschutzerklärung.
Newsletter, da ich ohnehin das Double-Opt-In-Verfahren verwende, was auch in Zukunft ausreichend sein sollte.
Google AdSense, denn ich kann mich für dessen Verwendung auf meine berechtigtes Interesse als Selbständige berufen. Ob der Einsatz von Google AdSense in der nächsten Zukunft erschwert wird und was sich Google dazu einfallen lässt, muss man ganz einfach abwarten.
Affiliate-Programme, von denen ich hauptsächlich normale Affiliate-Links einsetzen werde.
Google Analytics, da ich die IP-Anonymisierung verwende und auch einen Vertrag zur Auftragsverarbeitung mit Google abgeschlossen habe. Schließlich benötige ich ein Tool zu Besucherauswertung für meine Websites.
DSGVO — doch nicht so schlecht?
Auch wenn die DSGVO uns Webseiten-Betreiber einen großen Arbeitsaufwand aufbürdet, so ist sie zumindest darin sinnvoll, die bisherigen Datenerfassungspraktiken zu überdenken.
Im Zuge der Analyse von personenbezogenen Daten kann — und sollte — man wirklich überlegen, ob man alle installierten Plugins in seiner WordPress-Installation benötigt, ob die Kontaktformulare gebraucht werden und ob die eingesetzten Partnerprogramme nicht doch überdacht und aussortiert werden können. Denn seien wir mal ehrlich, viele Affiliate-Programme werfen so gut wie nichts ab, wozu also die eingebundenen Skripts noch nutzen?
So erscheint die Datenschutz-Grundverordnung wenigstens in diesem Punkt in einem freundlicheren Licht, sie ist sozusagen ein “Daten-Frühjahrsputz” für die eigene Website.
Wer hier bei seinen Datenerfassungen gründlich aufräumt, spart sich im zweiten Schritt — dem Anlegen des Verzeichnisses der Verarbeitungstätigkeiten — einiges an Arbeit. Und genau dieses Verzeichnis steht im zweiten Teil meiner kleinen DSGVO-Artikelreihe im Mittelpunkt.
Es hat mir mindestens so viel Kopfzerbrechen bereitet wie die Analyse der personenbezogenen Daten, wahrscheinlich noch mehr. Aber dazu mehr im nächsten Artikel.
Fazit
Ich hoffe, ich konnte ganz gut vermitteln, wie die Analyse der personenbezogenen Daten ablaufen sollte. Zwar ist die DSGVO noch ein großes theoretisches Gebilde, das sich im Laufe der Zeit durch die Anwendung und durch Gerichtsurteile verdeutlichen wird.
Doch was genau hinter ihr steckt, die genaue Analyse und Erläuterung der Datenerfassung und den Umgang damit, dürfte jetzt schon klar sein. Wer sich mit diesen Prozessen auseinandersetzt und sie entsprechend anpasst, ist mit Sicherheit schon recht weit.
Generell sollten wir uns von diesen Regelungen nicht allzu verrückt machen lassen. Änderungen wird es während der Anwendungsphase der DSGVO genügend geben.
(Bildquelle Artikelanfang: © 3dkombinat # 165336900/Fotolia.com)
