Die DSGVO für Betreiber kleiner Webseiten

In den letzten Wochen und Monaten ist das Thema DSGVO immer mehr in den Vordergrund gerückt und ich habe mir die Sache deshalb auch genauer angesehen. Ich habe recht viel Zeit am Portal von e-recht24.de* verbracht, denn dort habe ich einen Agenturaccount und kann den Anwälten direkt Fragen stellen. Zuerst habe ich – wie viele andere Webdesigner auch – ziemlich panisch reagiert, sobald das Thema DSGVO aufkam und im letzten Jahr hatte ich es wohl eher verdrängt. Da die Datenschutzgrundverordnung aber mit dem 25. 5. 2018 in gesamt Europa wirksam werden wird, konnte ich das Thema irgendwann einfach nicht mehr ignorieren. Der folgende Text erklärt daher, was ich recherchiert habe, was wohl auf die Betreiber von kleineren Webprojekten zukommen wird und welche Änderungsvorschläge es dazu gibt.

Doch bevor ich anfange, muss ich natürlich etwas erklären: Die hier geäußerten Meinungen sind die Ergebnisse meiner privaten Recherchen. Zu Risiken und Nebenwirkungen fragen Sie bitte Ihren gut informierten Anwalt! Als erster Einstieg in die komplexe Thematik DSGVO können sie aber trotzdem ganz nützlich sein.

Die DSGVO – was ist das eigentlich?

Die Datenschutzgrundverordnung ist ein Gesetz, das den Umgang mit personenbezogenen Daten in ganz Europa regelt. Grob vereinfacht geht es darum, dass alle Bürgerinnen und Bürger in Zukunft wissen sollen, was mit ihren Daten passiert. Im Grunde also eine gute Sache, denn die diversen Skandale rund um Facebook & Co. sind ja wohl allen noch in Erinnerung. Und dass Google seine Suchmaschine nicht aus reiner Menschenliebe zur Verfügung stellt, sondern aus dem Handel mit Nutzerdaten extrem viel Gewinn macht, dürfte in der Zwischenzeit wohl allgemein bekannt sein. Ich habe darüber ja bereits auch in anderen Blogartikeln berichtet. Z. B. hier (Thema: Alternativen zur Googlesuche), hier (Theama: Metadaten) und hier (Thema sind ebenfalls die Metadaten).

Wenn jetzt schön langsam ein paar Leuten dämmert, dass Donald Trump vielleicht auch mit der Hilfe von Facebookdaten Präsident werden konnte, dann ist es ja im Grunde recht gut. Also nicht dass Donald Trump Präsident wurde, sondern dass die Nutzung von Facebook massive Nebenwirkungen haben kann.

Die DSGVO ist also ein erster Schritt um den Menschen die Hoheit über ihre eigenen Daten wieder zu geben und ist insoferne eigentlich zu begrüßen. Was nicht zu begrüßen ist, das ist, dass in Deutschland bereits kleinste Verstöße gegen das Datenschutzgesetz zu teuren Abmahnungen führen können. Aber die Geschäftemacherei mit Abmahnungen ist ein anderes Thema. Und wer einige Grundregeln beachtet, der sollte – hoffentlich – keine Abmahnung befürchten müssen.

Welche konkreten Auswirkungen hat die DSGVO für kleine Webseiten?

Ich habe eine Reihe von Kunden, die kleine Webprojekte laufen haben. Also genau genommen, habe ich fast nur solche Kunden, wogegen ich bei den größeren DAX-Konzernen recht schlecht aufgestellt bin. Und meine kleinen Kunden, die haben sehr spezifische Probleme, was die DSGVO betrifft. Sie haben weder eine Rechtsabteilung noch einen Datenschutzbeauftragten und müssen sich trotzdem an Regeln halten, von denen sie nicht das Geringste verstehen. Daher ist es eine berechtigte Frage: Was sollen Lieschen Müller und Max Mustermann am Abend des 24. Mai 2018 machen, damit ihre Webseite der DSGVO entspricht?

Die Antwort ist sehr einfach: Sie sollen am 24. 5. gar nichts machen. Und zwar aus mehreren Gründen. Zum Einen, weil sie die notwendigen Arbeiten bereits viel früher machen sollen, nicht erst in letzter Sekunde. Und zum Anderen weil es ohnehin nicht extrem viel zu tun gibt für diese Zielgruppe, wenn sie ihr Webprojekt in Deutschland betreiben. Das deutsche Datenschutzgesetz ist sehr streng und daher sind viele Themen, die jetzt unter dem Stichwort DSGVO diskutiert werden, eigentlich schon längst verpflichtend. Auch wenn es bis jetzt hartnäckig ingoriert wurde. Ich zähle hier mal auf:

• Jede Webseite benötigt bereits heute eine Datenschutzerklärung und ein Impressum. Beide sind äusserst komplex und sollten von einem guten Rechtsanwalt gemacht werden. Ein Datenschutzgenerator ist natürlich ausreichend, wenn zwei Faktoren zutreffen: Er muss korrekt arbeiten und wer ihn bedient muss wissen, was er tut. Ich habe im Mitgleiderberiech von e-recht24.de* passende Tools zur Verfügung und erledige dies daher für meine Kunden.
• Wer Analysetools einsetzt (z. B. Google Analytics oder Matomo, ehemals Piwik) muss bereits heute sehr strenge Bestimmungen beachten. Die Anonymisierung der Daten ist ohnehin Pflicht, bei Google Analytics mauss man zusätzlich einen unterschriebenen (!) Vertrag mit Google vorweisen können. Also ein Vertrag auf Papier, kein OK per Mail! Google unterschreibt diese Vertrage sogar. Man lese und staune! Der große Google gibt sich mit dem gemeinen Fussvolk ab! Das liegt wohl nur daran, dass Google vom Hamburger Datenschutzbeauftragten dazu gezwungen wurde, solche Verträge abzuschließen… ;)
• Die diversen Buttons von Social-Media Anbietern entsprechen fast alle nicht den deutschen Datenschutzbestimmungen, weil sie bereits Daten an die Betreiber versenden, ohne, dass man sie aktiv nutzt. Derzeit kenne ich lediglich zwei (!) Tools, die das nicht tun. Das eine ist über e-recht24.de* zu beziehen, das andere ist Shariff, das ich auf meiner Seite verwende. Wer also nicht will, dass Donald Trump wieder gewählt wird, oder andere Datenpiraten Zugriff auf Userdaten erhalten, sollte in jedem Fall zu Shariff greifen. Und Abmahnung erhält man auch keine, wenn man Shariff nutzt. Ein netter Nebeneffekt.
• Viele, viele, viele Plugins und Themes, die von vielen, vielen Webseiten genutzt werden, entsprechen bereits heute nicht den gesetzlichen Vorschriften. So werden z. B. Google-Fonts von fast allen Seiten/ Themes genutzt und Google erhält dadurch wertvolle Nutzerdaten. Bis jetzt hat noch kein Hahn danach gekräht, abgemahnt wird es auch (noch) nicht. Ob sich durch die DSGVO also was ändert, wird man erst sehen. Aber wie gesagt: “Illegal” sind viele Themes und/oder Plugins bereits jetzt. Google Fonts sollte man aber in jedem Fall besser lokal über den eigenen Server anbieten. Von der Lizensierung der Fonts her, müsste das kein Problem sein, da sie als Open Source angeboten werden, kamnn man sie auch runterladen und ameigenen Server abspeichern. Technisch ist das etwas aufwändiger, aber es unterbindet den Datentransfert zu Google und ist insoferne recht sinnvoll.
• Leider zählen auch Google Maps zu den Features, die “eigentlich” nicht gehen. Auch hier werden Nutzerdaten abgefragt. Aber auch hier ändert sich durch die DSGVO nichts. Oder doch??? Die Auskünfte sind hier sehr unterschiedlich, selbst mein Rechtsanwalt sagt oft, dass viele Fragen wohl erst in Prozessen entschieden werden müssen. Nachdem ich nicht der Erste sein will, der in einem Prozess herausfinden muss, wie diese Themen von den Gerichten interpretiert werden, rate ich aber eher zu freien Karten wie z. B: Openstreetmap
• Verschlüsselung: Bereits heute müssen Webseiten, bei denen personenbezogene Daten übertragen werden, über eine SSL-Verschlüsselung verfügen. Personenbezogene Daten werden bereits mit einem einfachen Kontaktformular oder einem einzigen Blogkommentar übertragen! Also lautet die Devise: https aktivieren! Ein netter Nebeneffekt ist, dass Seiten schneller laden und dadurch in den Suchmaschinen besser gelistet werden.

Gibt es auch Neuheiten für kleine Webseiten durch die DSGVO?

Ja, es gibt ein paar Neuheiten, die in Zukunft wohl zu beachten sein werden.

Der wichtigste Punkt, von dem ich derzeit weder verstehe, wie ein Yogatudio oder ein Zahnarzt ihn umsetzen wird, ist folgender: Nutzer, deren personenbezogene Daten gespeichert werden, müssen jederzeit die Möglichkeit haben, die Löschung dieser Daten zu verlangen. So muss es in der Datenschutzerklärung stehen. Aber was macht die Zahnärztin, wenn ihr Max Müller schreibt, dass bitte per sofort alle personenbezogenen Daten von ihm gelöscht werden müssen und dass er bitte darüber Auskunft haben möchte?

UPDATE 20. 5. 2018: SUPER! WordPress hat mit dem neuesten update der Core-Funktioen jetzt die Möglichkeit implementiert, dass die personenbezogenen Nutzerdaten mit ein paar Mausklicks exportiert oder gelöscht werden können. Die entsprechenden Funktionen befinden sich im Adminbereich unter dem Menüpunkt “Werkzeuge”.

Darüber hinaus müssen alle Webseitenbetreiber ein Verarbeitungsverzeichnis der von ihnen verarbeiteten Daten führen. Viel Spass! Das wird für die Kleinstseitenbetreiber lustig werden. Für Betriebe unter 250 Mitarbeitern, die nur in geringem Ausmaß personenbezogene Daten verarbeiten, kann es Ausnahmeregelungen geben. Beten wir also, dass die Zahnärztin “in geringem Ausmaß” personenbezogene Daten verarbeitet.

Der Rest ist dann mehr oder weniger Pipifax: So müssen z. B. alle Formulare bei denen Kundendaten übermittelt werden, vor dem Absenden eine Checkbox anbieten, bei der auf die Datenschutzbestimmungen hingewiesen wird. Der Absender muss also aktiv bestätigen, dass er es in Kauf nimmt, dass Daten gesendet werden. Dies betrifft vor allem Kontaktformulare, und Blogkommentare. Für beides gibt es ein entsprechendes WordPress-Plugin, das leider ein Problem hat: Es funktioniert derzeit z. B: in Zusammenarbeit mit dem Kontaktformular Contact Form 7, aber es funktioniert nicht bei den Blogkommentaren. ;) Aber bis zum 25. Mai ist noch etwas Zeit, ich denke, da wird es ein Update geben.

UPDATE 20. 5. 2018: Ja, es gab ein Update, das Plugin funktioniert jetzt perfekt! Daher poste ich jetzt auch den Link: https://de.wordpress.org/plugins/wp-gdpr-compliance/

Auch Bestellformulare für Newsletter müssen so eine Checkbox aufweisen, in der man aktiv zustimmt, dass Daten übermittelt, gespeichert und verarbeitet werden. Das ist also ein Feature, das das jeweilige Newsletterplugin haben muss.

Ein Cookieshinweis ist natürlich eine interessante Sache, allerdings gehen da die Rechtsmeinungen auseinander. Mit dem Cookies-Hinweis ist man auf jeden Fall auf der sicheren Seite, aber Achtung: Der Cookies-Hinweis, der ja oft unten eingeblendet wird, DARF KEINESFALLS DAS IMPRESSUM ÜBERDECKEN! Ihr müsst also prüfen, ob auf allen Geräten das Impressum weiterhin sichtbar bzw. mit einem Klick zugänglich ist!

Apropos WordPress und Plugins: WordPress selbst (also die nackten Core-Funktionen ohne Plugins/ Themes oder anderen Erweiterungen) wird die DSGVO sehr ernst nehmen, Da muss man hoffentlich keine Sorge haben. Soviel ich erfahren habe, arbeitet das Core-Team an einer entsprechenden Umsetzung, die hoffentlich zeitgerecht veröffentlicht wird.
UPDATE 20. 5. 2018: Alles OK, WordPress hat sich um die DSGVO gekümmert! Super! ;)
Was sich Pluginautoren in Usbekistan oder Texas so alles ausdenken, steht aber in den Sternen. Hier könnte es eventuell schwer werden, die “Schlechten” von den “Guten” zu unterscheiden. Aber wie gesagt: Die meisten Rechtsprobleme bestehen bereits jetzt, durch die DSGVO kommen zwar noch ein paar Verschärfungen dazu, aber im Grunde wären auch schon heute 90% der Webseiten abmahnbar. Ich arbeite ohnehin bevorzugt mit ausgewählten Plugins, wer dann darüber hinaus bestimmte Funktionen haben will, muss das auf eigenes Risiko machen.

Ein wichtiges Plugin, das sehr häufig genutzt wird ist Woocommerce, das jede Webseite in einen Shop verwandelt. Woocommerce hat nie den deutschen Datenschutzbestimmungen entsprochen und wird es wohl auch nach der DSGVO nicht. Allerdings gibt es mehrere Plugins, die Woocommerce an deutsches Recht anpassen. Woocommerce Germanized etwa. Hier werden die Pluginautoren entsprechende Anpassungen an die DSGVO zeitgerecht einbauen. Ich habe mich konkret erkundigt: Die DSGVO ist für Woocommerce so wichtig, dass es da wohl Anpassungen zur Rechtssicherheit bezüglich der persönlichen Daten geben wird.

Und: im Plugin-Repository von WordPress gibt es bereits jetzt einige Plugins, die sich mit dem Thema DSGVO beschäftigen. Die meisten haben aber nur um die 20 oder 30 aktive Installationen, wirklich dafür interessieren dürften sich derzeit nicht sehr viele Menschen.

OK, das wars mal für heute, aber dies ist lediglich der erste Teil meiner kleinen Serie zum Thema “DSGVO. Demnächst geht es weiter. Zum Abschluss poste ich noch einen interessanten Links zum Thema DSGVO: https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/

Im zweiten Teil des Beitrags möchte ich mich mit der konkreten Frage beschäftigen, was es denn wohl bedeutet, wenn ein User gelöscht werden möchte. Von wo soll er denn gelöscht werden? Im Grunde gibt es ja unendlich viele Orte an denen er Spuren hinterlassen hat: Hier eine Auswahl

• Mailkorrespondenz
• Blogkommentare
• CRM-System (Customer Relation Management)
• Tracking (Piwik/ Google-Analytics) (Falls ja, wie lange?, Muss das in der Datenschutzerklärung besprochen werden? Trotz Anonymisiiserung der IP? )
• Auch in den Backups der Seite? (Falls ja, wie lange zurückliegend? Muss das in der Datenschutzerklärung besprochen werden? Technisch betrachtet wäre das der Horror. ;))
• Serverlogs (wie lange? Muss in der Datenschutzerklärung genannt werden?)
• Hat der User auch am Server des Hosters zu löschende Spuren hinterlassen?

Aber es wird auch andere Praxistipps geben. ;)