Jetzt ist es bald soweit, die neue DSGVO — die Daten­schutz-Grund­ver­ord­nung- steht nach zwei Jah­ren Über­gangs­zeit in den Start­lö­chern und tritt am 25. Mai 2018 in Kraft.


Ich habe das The­ma recht lan­ge vor mir her­ge­scho­ben, doch nun hilft es nichts mehr, ich muss mich um die Umset­zung der DSGVO auf mei­nen Web­sites kümmern.

Wel­che Schrit­te sind bei der Rea­li­sie­rung durch­zu­füh­ren? In meh­re­ren Bei­trä­gen wer­de ich dar­auf eingehen.

Doch zuvor kurz zum wich­tigs­ten Inhalt der DSGVO.

Hin­weis: Ich bin kei­ne Anwäl­tin, daher gebe ich in die­sem Bei­trag nur mei­ne per­sön­li­che Mei­nung wider. Es han­delt sich NICHT um eine Rechts­be­ra­tung. Falls du kon­kre­te Hil­fe bei der Umset­zung der DSGVO auf dei­ner Web­site benö­tigst, soll­test du einen Rechts­an­walt heranziehen.

Zusammenfassung: Inhalt der DSGVO

Die Daten­schutz­grund­ver­ord­nung, deren zwei­jäh­ri­ge Über­gangs­frist am 25. Mai 2018 abläuft, gilt für alle EU-Staa­ten. In der Ver­ord­nung wer­den Abläu­fe und Anfor­de­run­gen an das Daten­schutz­ma­nage­ment von Unter­neh­men geregelt.

Da es zum Daten­schutz­ma­nage­ment in Euro­pa unter­schied­li­che Rege­lun­gen gab, soll die DSGVO durch die Ver­ein­heit­li­chung eine neue Sicher­heit und Über­sicht­lich­keit beim The­ma “Daten­schutz” umset­zen. Auch wegen der gro­ßen Daten­kra­ken Goog­le und Face­book, für die die ver­schärf­ten Rege­lun­gen nun auch gel­ten, wur­de die­se neue Ver­ord­nung wohl eingeführt.

Wer sich die Ver­ord­nung durch­le­sen will, braucht ein gutes Ver­ständ­nis für abs­trak­te Formulierungen.

Ich jeden­falls habe nicht viel ver­stan­den, so all­ge­mein und schwam­mig ist sie geschrie­ben. Auf kei­nen Fall wird aus dem Text klar, wie der prak­ti­sche Ein­satz in gro­ßen und klei­nen Betrie­ben aus­se­hen soll. Zum Glück ist in den ver­gan­ge­nen Wochen durch zahl­rei­che Blog­ar­ti­kel die Umset­zung für Web­sei­ten­be­trei­ber und Blog­ger kla­rer geworden.

Damit sich auch ein jeder an die neu­en Rege­lun­gen hält, droht bei Ver­stoß ein Buß­geld, das in der Höhe bis zu 4 Pro­zent des Jah­res­um­sat­zes aus­ma­chen kann.

Der wesent­li­che Inhalt der DSGVO ist der Schutz von per­so­nen­be­zo­ge­nen Daten, die auch Blog­ger und Web­sei­ten-Inha­ber sam­meln, so vor allem über:

  • News­let­ter: Über die News­let­ter-Anmel­dung geben die meis­ten User zumin­dest ihre E‑Mail-Adres­se preis. Damit die Regis­trie­rung über den News­let­ter geset­zes­kon­form abläuft, soll­te man einen E‑Mail-Mar­ke­ting-Anbie­ter (am bes­ten einen deutsch­spra­chi­gen) wie z. B. Klick-Tipp oder Cle­ver­Re­ach ein­set­zen. Dort läuft die Regis­trie­rung über das Dou­ble-Opt-In-Ver­fah­ren, was vom Gesetz­ge­ber vor­ge­schrie­ben wird. Die­ser Bereich muss also für die neue DSGVO so gut wie nicht über­ar­bei­tet wer­den. Aller­dings muss der News­let­ter nun in der Daten­schutz­er­klä­rung aus­führ­lich erwähnt wer­den. Was noch wich­tig ist: Da der Anbie­ter der News­let­ter-Tech­nik im Auf­trag sei­ner Kun­den die News­let­ter-Daten spei­chert, soll­te man mit sei­nem Anbie­ter einen Ver­trag zur Auf­trags­ver­ar­bei­tung abschließen.
  • Kon­takt­for­mu­la­re: Vor allem über Kon­takt­for­mu­la­re wer­den per­so­nen­be­zo­ge­ne Daten an den Web­site-Betrei­ber ver­sen­det. Wer ein oder meh­re­re Kon­takt­for­mu­la­re auf sei­ner Web­site ein­setzt, benö­tigt auf alle Fäl­le ein SSL-Zer­ti­fi­kat.
  • Blog­kom­men­ta­re: In den Blog­kom­men­ta­ren wird die E‑Mail-Adres­se und die IP-Adres­se gespeichert.
  • Goog­le Ana­ly­tics und ande­re Ana­ly­se­tools: Über Goog­le Ana­ly­tics wer­den IP-Adres­sen abge­grif­fen. Damit man das Tool recht­lich unbe­denk­lich nut­zen kann, ist eine IP-Anony­mi­sie­rung erfor­der­lich. Das lässt sich in dem Goog­le-Ana­ly­tics-Plugin ein­stel­len. Auch die Nut­zung von Goog­le Ana­ly­tics gehört in die Daten­schutz­klä­rung, wo der User einen Link vor­fin­den soll­te, über den er mit­tels eines Opt-Out-Coo­kies die Erfas­sung über Goog­le Ana­ly­tics deak­ti­vie­ren kann.
  • Coo­kies: Im Augen­blick reicht noch ein Coo­kies-Hin­weis mit einem Opt-Out. Wie das Gan­ze umge­setzt wer­den muss, wenn im nächs­ten Jahr die ePri­va­cy-Ver­ord­nung in Kraft tritt, wird sich noch zei­gen. Nor­ma­ler­wei­se müss­te dann ein akti­ves Opt-In mög­lich sein, was vie­les im Online-Mar­ke­ting erschwe­ren bis unmög­lich machen wür­de. Den Coo­kies-Hin­weis set­ze ich mit dem Plugin Coo­kie Consent
  • Face­book­pi­xel: Auch Face­book-Pixel grei­fen per­so­nen­be­zo­ge­ne Daten ab. Auch wenn die­ser Hin­weis in der Daten­schutz­er­klä­rung auf­ge­führt wird, ist der Ein­satz von Face­book-Pixel in Deutsch­land nicht ohne recht­li­ches Risi­ko mög­lich, da mög­li­cher­wei­se Daten der Web­site-Besu­cher an den Anbie­ter des Diens­tes über­tra­gen wer­den. Ich wer­de daher in nächs­ter Zeit kei­ne Face­book-Pixel ein­set­zen und erst ein­mal abwar­ten, wie die Gerich­te wei­ter dar­über urteilen.
  • Social-Share-But­tons: Die­se offi­zi­el­len Share-Plugins der sozia­len Netz­wer­ke wie Face­book, Twit­ter, Goog­le + usw. soll­ten ohne­hin längst nicht mehr ein­ge­setzt wer­den, weil schon beim Betre­ten der Web­site Daten an den jewei­li­gen Anbie­ter gesen­det wer­den. Ich ver­wen­de das Sharing-Plugin Shariff, das Social-Media-But­tons zur Ver­fü­gung stellt, die daten­schutz­kon­form sind.
  • Wer­be­mit­tel mit Tracking: Falls Wer­be­mit­tel wie Ban­ner mit Tracking in die Web­site ein­ge­bun­den wer­den, kann es eben­falls Pro­ble­me mit dem Daten­schutz geben. Wie sich die­ser Bereich unter der neu­en DSGVO ent­wi­ckeln wird, muss man abwarten.

Um die Web­site­be­su­cher über die Ver­wen­dung der per­so­nen­be­zo­ge­nen Daten (wozu ja schon die IP-Adres­se gehört) zu infor­mie­ren, muss auf alle Fäl­le die Daten­schutz­er­klä­rung kom­plett über­ar­bei­tet werden.

Analyse der personenbezogenen Daten

Bevor man an die Umge­stal­tung sei­ner Daten­schutz­er­klä­rung geht, soll­te man genau über­prü­fen, wel­che per­so­nen­be­zo­ge­nen Daten man auf sei­ner Web­site erfasst und ver­ar­bei­tet. Daher begin­ne ich mit die­sem Schritt.

Es spielt bei den erho­be­nen Daten auch kei­ne Rol­le, ob ich sie spei­che­re oder sie von einem Drit­ten über ein ein­ge­bun­de­nes Skript erfasst werden.

Zu den per­so­nen­be­zo­ge­nen Daten gehö­ren: die IP-Adres­se, Vor- und Nach­na­me, E‑Mail-Adres­se, Tele­fon­num­mer, pos­ta­li­sche Anschrift, Geburts­da­tum, Bank­da­ten etc.

Datenerfassung auf Geld-online-Blog

Auf mei­nem Blog erfas­se ich über mein Kon­takt­for­mu­lar, über die Kom­men­tar­funk­ti­on sowie über den News­let­ter per­so­nen­be­zo­ge­ne Daten.

Die Daten über den News­let­ter wer­den nicht von mir erfasst, son­dern von mei­nem E‑Mail-Mar­ke­ting-Anbie­ter CleverReach.

Dar­über hin­aus grei­fen Goog­le Ana­ly­tics und Goog­le AdSen­se Daten ab.

Da auch ein­ge­bun­de­ne Skrip­te von Part­ner­pro­gram­men, iFrames, Goog­le Web­fonts, Goog­le Maps und extern ein­ge­bun­de­ne Bil­der wie z. B. Info­gra­fi­ken Daten erfas­sen, soll­te man sich für die Ana­ly­se Zeit lassen.

Ich habe eini­ge Skrip­te von Part­ner­pro­gram­men aus mei­nem Blog gelöscht, weil ich noch kei­nen genau­en Daten­schutz­hin­weis von die­sen Pro­gram­men vor­lie­gen habe. Nor­ma­le Affi­lia­te-Links sind — was den Daten­schutz angeht — unbe­denk­lich, sodass ich die­se nicht von mei­ner Sei­te lösche. Affi­lia­te-Links habe ich mit einem Stern als sol­che gekennzeichnet.

Was ich anfangs ver­ges­sen hat­te: Auch mein Hos­ter erfasst Daten von mei­nen Web­site-Besu­chern. Daher habe ich mit die­sen Anbie­tern, die per­so­nen­be­zo­ge­ne Daten über mei­ne Web­sit erfas­sen, einen Ver­trag zur Auf­trags­ver­ar­bei­tung abgeschlossen.

Dazu gehö­ren neben mei­nem Hos­ter auch Goog­le Ana­ly­tics (den Ver­trag habe ich schon vor län­ge­rer Zeit abge­schlos­sen) und mein Newsletter-Anbieter.

Falls du auch noch einen sol­chen Ver­trag mit dei­nen Anbie­tern abschlie­ßen musst, das geht recht ein­fach. Set­ze dich mit den Anbie­tern in Ver­bin­dung und bit­te um einen sol­chen Ver­trag. Meist liegt die­ser als Mus­ter­ver­trag in einer PDF-Datei vor. Der Ver­trag soll­te in zwei­fa­cher Aus­füh­rung aus­ge­füllt und an den Anbie­ter per Post gesen­det wer­den. Die­ser wird dir eine Aus­füh­rung unter­schrie­ben zurücksenden.

Ich habe ein paar Plugins deinstal­liert, die eben­falls Daten erfas­sen, wie Jet­Pack, Limit Log­in Attempts, Cra­zy Egg und WP Sta­tis­tics. Die­se habe ich deinstal­liert, weil ich ver­mu­te, dass die­se Plugins Daten auf irgend­wel­chen Ser­vern in Ame­ri­ka spei­chern. Außer­dem waren die­se Plugins nicht all­zu notwendig.

Wer sich die Arbeit der manu­el­len Ana­ly­se nicht antun will, kann eine auto­ma­ti­sche Ana­ly­se durch­füh­ren las­sen, z. B. über web​sei​ten​schutz​pa​ket​.de. Aller­dings ist das nicht sehr güns­tig und ob auch hun­dert­pro­zen­tig alles ana­ly­siert wird, weiß ich nicht. Daher soll­te eine auto­ma­ti­sche Ana­ly­se noch­mals manu­ell über­prüft werden.

Was brauche ich und was nicht?

Hat man sei­ne Ana­ly­se abge­schlos­sen, steht man vor der Ent­schei­dung, was man wei­ter­hin nut­zen will und was nicht.

Ich habe die Plugins, die IP-Adres­sen abspei­chern und die ich nicht wirk­lich brau­che, von mei­nem Blog gelöscht (sie­he oben), genau­so ver­schie­de­ne Skrip­te von Partnerprogrammen.

Was ich weiterhin verwende:

Kon­takt­for­mu­lar: Mein Kon­takt­for­mu­lar fragt nicht all­zu vie­le Daten ab. Ich ver­se­he es mit dem Hin­weis, dass der Absen­der sich bereit erklärt, dass die Daten zur Ver­ar­bei­tung sei­nes Anlie­gens ver­wen­det wer­den. Er kann sei­ne Ein­wil­li­gung jeder­zeit wider­ru­fen. Außer­dem kommt ein Abschnitt über das Kon­takt­for­mu­lar und des­sen erfass­ten Daten in die über­ar­bei­te­te Datenschutzerklärung.

News­let­ter, da ich ohne­hin das Dou­ble-Opt-In-Ver­fah­ren ver­wen­de, was auch in Zukunft aus­rei­chend sein sollte.

Goog­le AdSen­se, denn ich kann mich für des­sen Ver­wen­dung auf mei­ne berech­tig­tes Inter­es­se als Selb­stän­di­ge beru­fen. Ob der Ein­satz von Goog­le AdSen­se in der nächs­ten Zukunft erschwert wird und was sich Goog­le dazu ein­fal­len lässt, muss man ganz ein­fach abwarten.

Affi­lia­te-Pro­gram­me, von denen ich haupt­säch­lich nor­ma­le Affi­lia­te-Links ein­set­zen werde.

Goog­le Ana­ly­tics, da ich die IP-Anony­mi­sie­rung ver­wen­de und auch einen Ver­trag zur Auf­trags­ver­ar­bei­tung mit Goog­le abge­schlos­sen habe. Schließ­lich benö­ti­ge ich ein Tool zu Besu­cher­aus­wer­tung für mei­ne Websites.

DSGVO — doch nicht so schlecht?

Auch wenn die DSGVO uns Web­sei­ten-Betrei­ber einen gro­ßen Arbeits­auf­wand auf­bür­det, so ist sie zumin­dest dar­in sinn­voll, die bis­he­ri­gen Daten­er­fas­sungs­prak­ti­ken zu überdenken.

Im Zuge der Ana­ly­se von per­so­nen­be­zo­ge­nen Daten kann — und soll­te — man wirk­lich über­le­gen, ob man alle instal­lier­ten Plugins in sei­ner Wor­d­Press-Instal­la­ti­on benö­tigt, ob die Kon­takt­for­mu­la­re gebraucht wer­den und ob die ein­ge­setz­ten Part­ner­pro­gram­me nicht doch über­dacht und aus­sor­tiert wer­den kön­nen. Denn sei­en wir mal ehr­lich, vie­le Affi­lia­te-Pro­gram­me wer­fen so gut wie nichts ab, wozu also die ein­ge­bun­de­nen Skripts noch nutzen?

So erscheint die Daten­schutz-Grund­ver­ord­nung wenigs­tens in die­sem Punkt in einem freund­li­che­ren Licht, sie ist sozu­sa­gen ein “Daten-Früh­jahrs­putz” für die eige­ne Website.

Wer hier bei sei­nen Daten­er­fas­sun­gen gründ­lich auf­räumt, spart sich im zwei­ten Schritt — dem Anle­gen des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten — eini­ges an Arbeit. Und genau die­ses Ver­zeich­nis steht im zwei­ten Teil mei­ner klei­nen DSGVO-Arti­kel­rei­he im Mittelpunkt.

Es hat mir min­des­tens so viel Kopf­zer­bre­chen berei­tet wie die Ana­ly­se der per­so­nen­be­zo­ge­nen Daten, wahr­schein­lich noch mehr. Aber dazu mehr im nächs­ten Artikel.

Fazit

Ich hof­fe, ich konn­te ganz gut ver­mit­teln, wie die Ana­ly­se der per­so­nen­be­zo­ge­nen Daten ablau­fen soll­te. Zwar ist die DSGVO noch ein gro­ßes theo­re­ti­sches Gebil­de, das sich im Lau­fe der Zeit durch die Anwen­dung und durch Gerichts­ur­tei­le ver­deut­li­chen wird.

Doch was genau hin­ter ihr steckt, die genaue Ana­ly­se und Erläu­te­rung der Daten­er­fas­sung und den Umgang damit, dürf­te jetzt schon klar sein. Wer sich mit die­sen Pro­zes­sen aus­ein­an­der­setzt und sie ent­spre­chend anpasst, ist mit Sicher­heit schon recht weit.

Gene­rell soll­ten wir uns von die­sen Rege­lun­gen nicht all­zu ver­rückt machen las­sen. Ände­run­gen wird es wäh­rend der Anwen­dungs­pha­se der DSGVO genü­gend geben.

(Bild­quel­le Arti­kel­an­fang: © 3dkombinat # 165336900/Fotolia.com)