DSGVO und Webseiten – Ich habe fertig …

Wenige Tage vor dem Ende der Übergangsfrist zum 25.5.2018 entfaltet die DSGVO vielfältigen erhöhten Blutdruck, Märchen und Mythen und vor allem viel Unsicherheit.

Um alles zu verstehen, ist man wohl besser Jurist und Informatiker (das „UND“ ist hier als ein mathematisch logisches UND gemeint, also „Jurimatiker“). Aber auch die Fachleute geben unterschiedliche Auskünfte, da es wohl einigen Interpretationsspielraum gibt (den erst die Gerichte präzisieren werden), die Bundesregierung ein mögliches „Ausführungsgesetzt“ nicht gemacht hat und die neue europäische ePrivacy-Ordnung noch fehlt. So weit, so schlecht.

Will man nun als Blogger, Webseitenbetreiber oder Fotograf weiter online präsent sein (und ist dies nicht ausschließlich im privaten oder familiären Sinne), muss man sich überlegen, ob man cool auf die ersten Gerichtsurteile wartet oder auf die Fertigstellung der ePrivacy-Ordnung. Man kann auch darauf setzt, dass man nicht erwischt wird oder man kann sich nach bestem Wissen absichern. Ich versuche mich mal abzusichern.

Prinzipiell ist die DSGVO ja auch ein richtiger Schritt. Konzerne wir Facebook, google und andere sammeln Massen an Daten von uns, die wir ja (dumm) freiwillig hergeben und erfinden daraus immer neue Geschäftsmodelle. Die Intelligenz und Erfahrung der Menschheit lehrt uns, dass das nicht gut für die Mehrheit der Menschen endet.

„Wie das Gold den Durst nach Golde,
Mehrt der Ruhm die Gier der Degen,
Denn je mehr die Menschen dürfen,
Desto dreister wird ihr Mögen.“
(
Friedrich Wilhelm Weber, aus Dreizehnlinden)

In den letzten Monaten sind viele „Skandale“ rund um das Thema „Daten“ passiert, die tatsächlich in der Öffentlichkeit wahrgenommen wurden (Cambridge Analytica und Facebook, Strava’s Heatmap und das US-Militär). Staaten wie China zeigen mit ihrer Umsetzung des Citizen Score noch ganz andere Möglichkeiten des Missbrauchs von Daten auf, die unsere freie demokratische Gesellschaft bedrohen.
Bei uns ist z.B. der kritische Punkt im Bereich der Versicherungswirtschaft und der Gesundheitsversorgung/-finanzierung bereits erreicht, was aber kaum jemanden in diesem Land stört, weil es den meisten Menschen immer noch nicht klar ist, wie sie Teil dieses Systems sind und es durch ihr Verhalten (Social-Media und Konsum) oft erst möglich machen.

Also, widmen wir der Idee eines besseren Datenschutzes doch mal einen positiven Gedanken. Dazu gehört dann auch, dass ich als „Datensammler“ (auch wenn ich ganz unwichtig bin und nur gute Absichten habe) die erhobenen persönlichen Daten ordentlich behandele oder besser gar nicht erst erhebe.
Deshalb habe ich mich an die „Verbesserung“ meiner Webseite gemacht. Hierfür habe ich einen Workshop besucht, unzählige Webartikel gelesen, mich mit KollegInnen ausgetauscht und einen Podcast gehört. Herausgekommen ist dabei folgende Checkliste (die Erklärungen sind nicht technisch präzise, sondern sollen eher auch dem technischen Laien eine Vorstellung vermitteln):

  • https – SSL-Verschlüsselung
    Immer dann, wenn persönliche Daten übertragen werden können, z.B. in einem Kontaktformular, sollte die Verbindung zur Webseite „gesichert“ sein. Das hierzu verwendete Protokoll zum Seitenaufruf nennt sich „https“ im Gegensatz zum unverschlüsselten „http-Aufruf“. Dies gilt allerdings auch schon nach bisheriger Vorschrift. Nun ist der Zeitpunkt gut, dies nochmal zu prüfen.
  • http referrer policy
    Normalerweise übergibt der Browser beim Aufruf einer neuen Webseite, die Adresse von der Webseite von der man kommt. Das sollte unterbunden werden. Dazu kann man html-Code in die Webseite einfügen.
  • Cookies
    Cookies sind kleine Dateien, die beim Besuch einer Webseite auf die Festplatte des eigenen Computers geschrieben werden und später wieder ausgelesen werden können. Manche von jeder Webseite, manche nur von bestimmten. Darauf muss man den Kunden hinweisen, damit er die Cookies z.B. ablehnen oder nach der Sitzung löschen kann.
  • Zugriffsstatistikprogramme
    Fast jede Webseite misst ihre Zugriffszahlen. Dabei werden Mengen an Daten gespeichert. Nicht alles ist zulässig. Auf jeden Fall muss darüber aufgeklärt werden und es Bedarf eines Auftragsdatenverarbeitungsvertrages mit dem Dienstleister. Weiterhin sollte den Besuchern erklärt werden, wie sie Auskunft über die gesammelten Daten bekommen und wie sie diese löschen lassen können. Dies gilt für alle anderen Punkte im Folgenden, wo Daten von fremden Dritten gespeichert werden.
  • Spamschutz
    Um Spam zu erkennen, werden vom Dienstleister Daten über den Absender eines Kommentars gespeichert und dieser wird klassifiziert. Darüber muss aufgeklärt werden und es müssen ebenfalls alle Maßnahmen für externe Dienstleister getroffen werden.
  • Kommentare
    Bei Kommentaren sollte darauf geachtet werden, dass nur die unbedingt notwendigen Informationen abgefragt und gespeichert werden. Viele Blog-Systeme speichern in ihrer Datenbank nicht nur die Felder aus dem Kommentarformular, sondern auch die IP-Adresse des Rechners, von dem der Kommentar abgeschickt wurde. Dies lässt sich entweder komplett unterdrücken oder die IP-Adresse so kürzen, dass kein Personenbezug mehr möglich ist. Was mit den Daten passiert und ob diese eventuell extern verarbeitet werden, muss natürlich in der Datenschutzerklärung aufgeführt werden.
  • Gravatar
    Gravatar ist ein Dienst bei welchem man ein Avatar (Bild) von sich hinterlegen kann, der dann automatisch bei z.B. WordPress eingebunden wird. Bei Verwendung ist ein Hinweis nötig, ein Auftragsdatenverarbeitungsvertrag mit allen anderen Folgen bei externen Dienstleistern.
  • Google Fonts/Adobe Typekit etc. checken und ggf. austauschen
    Viele Themes auf Webseiten benutzen google Fonts (Schriftarten) oder ähnliche Dienste. Mit der Einbettung in die Webseite wird ein Tracking von z.B. google ausgelöst. Dieses muss entweder wieder benannt, erklärt und geregelt werden oder man entfernt die entsprechenden Fonts oder speichert sie lokal.
  • Social Media checken, 2-Button-Lösung oder deinstallieren
    Social-Media-Buttons von z.B. Facebook, twitter etc. tracken automatisch die Besucher der eigenen Seite. Dies ist nicht zulässig. Es gibt eine sogenannte „2-Button-Lösung“, welche das Tracking erst nach dem ersten Klick auf den Social-Media-Button auslöst. Dabei gibt der Nutzer die „Zustimmung“, dass er getrackt werden will. Alles muss natürlich in der Datenschutzerklärung genau beschrieben werden.
  • google-Adwords, Amazon-Affiliate oder ähnliche Dienste
  • Alle diese Dienste übergeben persönliche Daten im Hintergrund. Es ist zu verfahren wie bei Zugriffsstatistiken.
  • Einbindung von YouTube
    Eingebundene Videos tracken die Besucher der Webseite. Man kann im „Einbindungscode“ dies verhindern, bis endgültig das Video abgespielt wird. Auch dies muss sich in der Datenschutzerklärung wiederfinden.
  • Newsletter Anmeldung
    In der Newsletteranmeldung muss ausdrücklich auf das Tracking, die Protokollierung, den Dienstleister etc. im Rahmen von Newslettern hingewiesen werden. Ebenso muss die Abmeldung und Löschung der erhoben persönlichen Daten erklärt werden. Auftragsdatenverarbeitungsvertrag versteht sich ja mittlerweile von selbst 😉
  • Server Logfiles
    Jeder Server einer Webseite protokolliert Daten über die Besucher. Dies muss erklärt werden und eine Löschfrist ist anzugeben. Natürlich gilt wieder Erklärung der Auskunft, Löschung etc.
  • Datenschutzerklärung/Impressum
    Die Datenschutzerklärung und das Impressum müssen auf einen Klick erreichbar sein, wenn die Seite aufgerufen wird. In der Datenschutzerklärung muss alles oben genannte aufgeführt sein. Ebenso braucht es einige Formalien wie verantwortlicher Ansprechpartner, Adresse, Telefon, E-Mail etc.
  • Auftragsdatenverarbeitungsverträge
    Mit allen Dienstleistern, die Daten erhalten, verarbeiten oder klassifizieren braucht man einen Auftragsdatenverarbeitungsvertrag.
  • Verfahrensverzeichnis
    Alle Belange des Datenschutzes rund um die Webseite müssen im Verfahrensverzeichnis beschrieben werden.

Alle aufgeführten Punkte sind aus der Perspektive der Vorsicht betrachtet und werden vielleicht später mit der ePrivacy-Ordnung oder durch Gerichtsurteile obsolet. Jeder muss also selbst einschätzen, was er an seiner Webseite für Optimierungen vornehmen möchte.

Dies ist keine Rechtsberatung, sondern ein Erfahrungsbericht aus dem realen Leben und kann natürlich Fehlinterpretationen und -einschätzungen enthalten. Es muss jeder selbst entscheiden und eine Abwägung aller Interessen durchführen. Ich optimiere nun meine Webseite weiter.

Interessante Links zu den Themen:

Podcast zum Thema DSGVO in Folge 54 und 55

Einbinden von YouTube-Videos

Blogbeitrag von content IQ

Datenschutz Generator Dr.Schwenke

2-Klick-Button-Lösung für Social Media

Erfahrungsbericht eines Lehrers mit der Schulhomepage

Und nun noch ein kurzes Wort zur digitalen Fotografie von Menschen. Man kann die Auffassung teilen, dass das Erstellen eines Fotos mit erkennbaren Personen darauf den Regelungen über das Speichern persönlicher Daten im Sinne der DSGVO unterliegt. Das träfe dann alle Aufnahmen, die nicht rein familiär oder persönlich sind. Eine öffentlicher Instagram- oder Facebookaccount, eine eigene Webseite ohne Zugangsregelung etc. würden schon nicht mehr als persönlich/familiär gelten. Ergo, bräuchte der Fotograf, der nicht in einer Eigenschaft als hauptberuflicher Pressefotograf agiert, eine Einwilligung der Personen oder müsste eine Abwägung der Interessen der Aufgenommenen auf Schutz ihrer persönlichen Daten und dem wie auch immer gelagerten eigenen Interesse als Fotografen vornehmen, welche dann in einer Entscheidung für oder gegen die Aufnahmen des Fotos müdet. Hier steige ich jetzt mal aus und habe fertig …

Interessante Links:

DSGVO für Fotografen

Hamburger Datenschutzbehörde zum Fotografieren von Menschen in der Menge

__________
Bild: CC0 – www.pixabay.com

Danke an @DerLinkshaender für weitere gute Anemerkungen.