Viele Website-Betreiber haben die DSGVO bisher ignoriert oder unzureichend umgesetzt. Mit der Entscheidung des EuGH vom Oktober 2019 bezüglich Cookies und User-Tracking (ePrivacy) hat sich die Sache nochmal verschärft.
Fast alle unserer untersuchten Webseiten verstoßen auf die eine oder andere Art gegen die DSGVO und werden, wenn das Cookie-Gesetz auch in Deutschland umgesetzt wird, abmahnungsgefährdet sein.
Wir helfen Ihnen, Ihre Webseite für die DSGVO fit zu machen.
Vorab: Pauschale Handlungsempfehlungen gibt es nicht. Jede Website ist anders, für jede Website müssen unterschiedliche Datenschutzmaßnahmen ergriffen werden, um den Anforderungen der DSGVO gerecht zu werden. Alle hier genannten Tipps sind nichts rechtsgültig, sie spiegeln nur unsere Erkenntnisse mit Gesprächen von Experten und recherchierten Informationen nieder. Um 100% sicher zu gehen, empfehlen wir, einen entsprechenden Anwalt zu konsolidieren.
Grundproblem ist die Tatsache, dass viele Webseiten, die vor Jahren entwickelt wurden, die Maßnahmen, die die DSVGO verlangt, naturgemäß nicht umgesetzt haben. Vor einigen Jahren war eben noch nicht klar, wie weit der Schutz der User über ihre Daten gehen wird. Hauptproblem sind die IP-Adressen der User: die DSGVO stellt klar, dass IP-Adressen als personenbezogene Daten zu werten sind und deshalb Anwendungsbereich der DSGVO sind.
Ein weiterer Irrtum ist, dass sich die nötigen Maßnahmen nur auf ein Anpassen der Datenschutzerklärung beschränken. Auf Website-Betreiber kommt unter Umständen ein ganzer Maßnahmenkatalog zu, wenn sie weiterhin eine rechtsgültige Website haben wollen.
Wer seine Website bisher noch nicht an die DSVGO angepasst hat, muss unter Umständen damit rechnen, von Mitbewerbern abgemahnt zu werden. Für die Abmahnindustrie sind die hohen Streitwerte ein Anreiz, im Web auf Suche nach Datenschutzverstößen zu gehen.
1. Die Datenschutzerklärung
Die Datenschutzerklärung, die gesondert vom ebenfalls obligatorischen Impressum, eigentlich schon lange verpflichtend ist, muss nun auch an die neue rechtliche Situation angepasst werden. In der Datenschutzerklärung müssen die Besucher der Webseite über alle Vorgänge aufgeklärt werden, bei denen personenbezogene Daten verarbeitet werden.
Sie müssen als Website-Betreiber Besucher wesentlich ausführlicher über ihre Rechte aufklären als bisher. Die DSVGO verlangt nun die Information über das Recht auf Einschränkung der Verarbeitung, das Widerspruchsrecht, das Beschwerderecht bei einer Aufsichtsbehörde sowie das Recht auf Datenübertragbarkeit.
Zudem müssen die Informationen zum Widerspruchsrecht optisch hervorgehoben werden, zum Beispiel durch eine Info-Box oder Umrahmung. Wir raten in jedem Fall, sich rechtlich beraten und die Datenschutzerklärung von einem Fachanwalt erstellen zu lassen.
Falls Sie sich nicht anwaltlich beraten lassen möchten, können Sie auch einen Datenschutzerklärungs-Generator nutzen. Wir weisen an dieser Stelle draufhin, dass alle hier genannten Generatoren keine Anspruch auf Vollständigkeit, Richtigkeit und Beständigkeit erheben.
kostenloser Datenschutzerklärungs-Generatoren
https://www.wbs-law.de/it-und-internet-recht/datenschutzrecht/datenschutzerklaerung/datenschutzgenerator/
https://www.mein-datenschutzbeauftragter.de/datenschutzerklaerung-konfigurator/
kostenpflichtige Datenschutzerklärungs-Generatoren
https://datenschutz-generator.de/
2. Google Recaptcha ersetzen
In letzter Zeit sieht man sie immer öfters: ReCaptchas von Google. Sie sollen zum Beispiel bei Kontaktformularen und Kommentarbereichen Spam verhindern und böswillige Spamroboter von Menschen unterscheiden.
Problem ist nur, dass reCAPTCHA private Daten an außereuropäische Server sendet, nämlich Ihre IP-Adresse. Wenn Sie auf Nummer sicher gehen und die DSVGO auf Ihrer Webseite vollständig umsetzen wollen, empfehlen wir, Googles ReCAPTCHA zu entfernen und durch eine selbstgehosteten Lösung zu ersetzen. Wir beraten Sie diesbezüglich gerne.
3. Kontaktformulare an die DSGVO anpassen
Vorsicht bei Kontaktformularen! Sie erheben an dieser Stelle personenbezogene Daten des Nutzers und müssen ihn VOR Absenden des Formulares mithilfe eines Einwilligungstextes auf der Seite des Kontaktformulares darauf hinweisen.
Verlinken Sie dabei gleich auf den entsprechenden Abschnitt in der Datenschutzerklärung. Wer ganz sicher gehen will, bindet eine Checkbox ein, die angeklicht werden muss und mit der der User bestätigt, dass er den Abschnitt auch gelesen hat.
4. Web-Formulare verschlüsseln
Sendet der User personenbezogene Daten per Webformular an Sie, zum Beispiel in einem Onlineshop oder als Kontaktformuar, muss dieser Vorgang verschlüsselt ablaufen. Der in der DSGVO geregelte Grundsatz der Integrität und Vertraulichkeit sagt aus, dass personenbezogene Daten in einer Weise verarbeitet werden müssen, "die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung [...]."
Achten Sie am besten darauf, dass Ihre ganze Website https-verschlüsselt ist. Google bevorzugt in seinen Suchergebnissen verschlüsselte Websites.
5. Werbung
Wenn Sie als Website-Betreiber Google Ad-Sense-Werbung oder ähnliches einblenden, müssen Sie den User vorab um Erlaubnis bitten. Hierzu ist eine Einwilligung in Form eines Consent-Banners nötig. Diesem komplexen Thema widmen wir uns in unserem Blogbeitrag über Consent-Banner.
6. Google Analytics
Falls Sie Userdaten tracken und diese zu Marketingzwecken per Google Analytics tracken, ist das leider nicht mehr nur mit einem Eintrag in der Datenschutzerklärung getan.
Wir haben in unserem Blog-Beitrag Google Analytics fit für die DSVGO machen alles wissenswerte zu diesem Thema zusammengestellt.
7. Web-Formulare entschlacken
Laut dem Grundsatz der Datenminimierung der DSVGO dürfen Webmaster nur die Daten des Users anfordern, die sie für die jeweilige Aufgabe auch wirklich benötigen. Zum Beispiel sollte bei einer Newsletter-Anmeldung nicht das Geburtsdatum oder die postalische Adresse abgefragt werden.
8. Cookie Hinweise
Schon länger sorgt der Einsatz von Cookies bei Website-Betreibern für Verwirrung und Verunsicherung. Leider ist die DSGVO und auch der EUgH in dieser Hinsicht etwas schwammig. Wenn Sie -jetzt schon- auf Nummer sicher gehen wollen, raten wir Ihnen zu einem Consent-Tool, falls Sie Thirdparty-Cookies nutzen, zum Beispiel über Tracking- und Werbetools. Mehr über Consent-Banner und Cookies erfahren Sie in diesem Blogartikel.
9. Image Proxy für Affiliate-Banner und Produktbilder
Von Affiliate-Partnern wie Amazon eingebundene Banner oder Produktbilder werden häufig von deren Servern geladen. Auch hier geraten wir wieder mit der DSGVO in Konflikt, da beim Laden der Bilder die IP-Adressen des Kunden an die Server der Partner übertragen werden.
Es wäre aber für den Website-Betreiber von Nachteil, wenn er von den Besuchern für das Anzeigen der Banner eine Erlaubnis einholen müsste. Studien zeigen, dass nur 30% der User Werbecookies explizit zulassen, wenn sie die Wahl haben.
Die Lösung ist ein Image-Proxy. Das ist ein kleines Programm, welches auf dem Server des Website-Betreibers läuft und die Aufgabe hat, Bilder von entfernten Rechnern zu laden und dem User anzuzeigen. Der Proxy ist also eine Art Zwischenschritt.
Der Vorteil davon ist, dass das Affiliatenetzwerk immer nur die IP-Adresse des Website-Betreibers sehen kann, von dem das Bild geladen wird. Nicht mehr -wie vorher ohne Proxy- die IP-Adresse des Website-Besuchers, der im Normalfall das Bild laden würde, wenn er die Webseite aufruft. Der User braucht nun auch keine Zustimmung mehr zu geben, da er weder getrackt noch ein Cookie gesetzt wird.
Für Wordpress gibt es entsprechende Plugins, die einen Image-Proxy anbieten. Vielfach muss aber auch eine eigene Lösung entwickelt werden. Falls Sie diesbezüglich Fragen haben, kontaktieren Sie uns.
10. Google Fonts lokal einbinden
Google Fonts ermöglicht es einem Website-Betreiber, hunderte Schriftarten einzubinden, um eine einheitliche Darstellung des Schriftbildes auf dem Rechner des Kunden zu ermöglichen. Viele Website-Besucher haben diese Schriften auf ihrem System nicht installiert, es würde zu Fehldarstellungen und häßlichem Layout führen. Google Fonts schafft hier Abhilfe.
Allerdings werden auch hier wieder Userdaten wie zum Beispiel die IP-Adresse an die amerikanischen Server von Google übertragen. Binden Sie die Fonts lokal auf Ihrem Webserver ein, wenn Sie auf Nummer sicher gehen wollen. Im Self-Wiki erfahren Sie, wie das geht.
11. Einbinden von Maps und Youtube-Videos
Wenn Sie google-Maps-Karten oder Youtube-Videos auf Ihrer Seite einbinden bzw. einbetten, werden beim Aufruf Ihrer Website private Daten an die Server des Dienstleisters gesendet. Hierfür benötigen Sie natürlich eine Einwillung des Users, BEVOR Sie das Video abspielen oder die Karte anzeigen lassen. Auch für dieses Problem hilft entweder ein Consent-Banner oder ein Content-Blocker, der Content so lange blockiert, bis der User seine Einwilligung gegeben hat.
Mehr dazu in unserem Blogbeitrag über Consent-Banner
12. Kennzeichnen Sie Affiliate-Links
Affiliate-Links sind eine tolle Sache: Sie verlinken durch informativen Content auf einen Affiliate-Partner wie zum Beispiel Amazon und erhalten dann ein bisschen Geld, falls ein User, der über Ihren Link auf Amazon gekommen ist und das Produkt erworben hat. Für den User sind das keine Mehrkosten, Sie erhalten für Ihre Arbeit ein kleines Zubrot. Achten Sie nur darauf, diese Links zu kennzeichen: der User muss wissen, dass dieser Link ein Affiliate-Link und somit ein Werbelink ist.
Konklusion
Datenschutz ist eine wichtige Sache: private Userdaten wie die IP-Adresse gehen keinen was an und dürfen nur mit Zustimmung des Users weitergegeben werden. Trackingtools, Werbebanner, eingebundene Videos, Fonts oder auch Karten wie zum Beispiel Google Maps, sind aus datenschutzrechtlicher Sicht problematisch.
Achten Sie als Website-Betreiber penibel darauf, den User vorab zu informieren, bevor seine Daten auf externe Server gereicht werden. Tun Sie das nicht, sind Sie als Betreiber einer Website akut abmahngefährdet.
Falls Sie Fragen zur Ihrer Webseite haben, sprechen Sie uns bitte an!
Über den Autor:
Bernd Fischer ist seit 18 Jahren freiberuflicher Web-Entwickler, IT-Berater und Software-Experte. Er gibt immer mal wieder Kurse rund um die Themen Python, Programmierung, Datenbanken und Software-Lösungen.
0 Kommentare