Was heißt die DSGVO für Deine Website?
ICh habe mich die letzten Wochen mit kaum etwas anderem beschäftigt und diverse Website Betreiber dabei unterstützt ihr Seite DSGVO konform zu machen. Da gibt es einiges zu beachten und es wird dann immer spannend, wenn man eben personenbezogene Daten verarbeitet und dann vielleicht auch noch an Dritte weitergibt. Ich habe dazu neulich bei der IHK Südlicher Oberrhein in Lahr vor fast 40 Leuten einen Vortrag gehalten. Dort war wirklich diese große Unsicherheit zu spüren. Es gibt Fragen über Fragen und was vielleicht noch viel schlimmer ist, das noch völlig unklar ist, wie dieses Gesetz denn n ur wirklich von Richtern ausgelegt wird. Denn erst an dieser Stelle bekommen wir gewissheit zu unseren offenen Fragen. Jetzt kann in dieses Gesetz jdere reininterpretieren, was er möchte. Dies spürt man an allen Ecken und besonders DAtenschützer und Anwälte habe da sehr unterschiedliche Meinungen.
Erfassung personenbezogener Daten auf Deiner Website
Grundsätze der DSGVO
Es geht darum, sich mehr Gedanken über die Verabeitung von personenbezogene Daten zu machen. Es geht um Transparenz, was wird mit den Daten gemacht. Es geht um Minimalismus, nur das was für die Anwendung benötigt wird. Es geht um Widerruf, Zweckbindung, Einsicht und Löschung von personenbezogenen Daten. Mehr zu den Grundsätzen findest Du hier (Link zu Datenschutzbeauftragter-info.de).
IP-Adresse
Das ganze fängt mit der IP Adresse des Besuchers auf Deiner Website an. Diese IP ist wie eine Telefonnummer und eben personenbezogen. Wenn also jemand Eure Website aufruft, bekommt er genau an diese Adresse seine Antwort geliefert – nämlich den Code, den der Browser benötigt, um Eure Website darstellen zu können. Dazu gehört HTML, CSS, Java Script und weitere Informationen. Ein Beispiel sind die von Google zur Verfügung gestellten Webfonts. Diese werden genutzt, um die Website gut aussehen zu lassen. Dafür müssen diese im Normalfall von Google angefordert werden, wenn sie nicht bereits beim Besucher vorliegen. Ein weiteres Beispiel sind Videos von Youtube oder Vimeo, auch hier muss über die IP Adresse die Kommunikation zwischen den Diensten aufgebaut werden – nach Hause telefonieren.
E-Mail Adresse
Will nun der Besucher weiteres von Dir lesen (Newsletter), vielleicht einen Kommentar hinterlassen oder mit Dir in Kontakt kommen, wird er zuerst einmal nach seiner E-Mail Adresse gefragt. Nach dem Minimalismus, wäre das ja nach DSGVO auch ausreichend für die weitere Verarbeitung. Aber was passiert dann mit den Informationen. Werden sie in einer Datenbank gespeichert, versand über eine sichere Verbindung oder vielleicht an einen Drittanbieter weiter gegeben. All diese Informationen solltest Du dem Besucher und Nutzer Deiner Website geben.
Cookies
Das Thema mit den Cookies ist schon etwas komplizierter. Cookies werden auf der Festplatte des Besuchers gespeichert. Welche Cookies, warum werden sie gespeichert, wie lange werden sie gespeichert bzw. wann wider gelöscht. Hier geht es im Wesentlichen darum, möglichst den Besucher nicht verfolgen zu können. Dies machen größere Netze ja ganz gerne, um Dir passende Werbung anzeigen zu können. Eben hast Du nach neuen Schuhen geschaut und dann bekommst Du beim Besuch der nächsten Website Angebote zu Schuhen präsentiert. Noch extremer, so nach dem Motoo, Deine Freunde (Bilder Deiner Kontakte) haben diese Schuhe auch gekauft. Da gruselt es einen echt manchmal Mächtig, was die Großen so alles von einem wissen.
Aber als Webworker wie ich einer bin, kommt man nicht darum, überall dabei zu sein. Genau an dieser Stelle fände ich es gut, wenn da mehr Sorgfalt einzug halten würde.
Wie kann ich sehen, was die Website alles macht?
Es gibt für die gängigen Browser Erweiterungen, den Besucher unterstützen, heraus zu finden was so eine Website mit meinen Daten macht. Ein sehr bekanntes und gutes Tool ist Ghostery (Link zur Website von Ghostery). Hier sehe ich auf Anhieb, was die Website macht:
Sehr Vorteilhaft bei dieser Lösung: der Besucher kann im Ghostery steuern, von welchen Trackern er nicht verfolgt werden möchte.
Eine weitere Möglichkeit sind die Entwicklertools der Browser. Hier kann man etwas genauer schaun, braucht aber auch mehr Erfahrung. Hier kann wesentlich auch das Thema Cookies beobachtet werden.
Wichtige Schritte und Maßnahmen
Analyse
Im ersten Schritt schauen wir uns also erstmal an, was wir in welcher Form an personenbezogenen Daten verarbeiten. Wie wir diese schützen und wo wir sie an Dritte weitergeben. Im Falle der IP Adresse wären das zuerst der Provider/Hoster, wo unsere Website liegt. Dann vielleicht Googl wegen der Fonts oder Maps, vielleicht YouTube oder gar Google Analytics. Im Falle der E-Mail Adresse, das Newsletter Formular, die Kommentare oder das Kontaktformular.
Minimalisieren
Im zweiten Schritt überlegen wir uns, was brauchen wir davon wirklich. Brauchen wir Google Analytics oder geht es vielleicht etwas einfacher (wann hast Du Die das letzte Mal bei Google Analytics Deine Daten angesehen?). Brauchen wir den Namen bei der Newsletter – ist nicht notwendig. Gibt es einfache technische Lösungen die Daten der Besucher zu schützen. Um ein paar zu nennen – Spam Erkennung von Kommentaren, Teilen Button, Facebook Connect, …
Übrigens genau der richtige Zeitpunkt mal Dein WordPress ordentlich auszumisten.
Verträge zur Auftragsverarbeitung
Immer dann, wenn Ihr die personenbezogenen Daten an Dritte weiter reicht, benötigt Ihr von diesem eine Vertrag zur Auftragsverarbeitung. Im Prinzip soll er genau sorgfältig mit den Daten umgehen wie Ihr. Die meisten Hoster, Newsletter Anbieter oder zum Beispiel Google Analytics bieten solche Verträge inzwischen an.
Datenschutzerklärung anpassen
Dann nutzen wir einen Datenschutzerklärungs Generator (kann auch als Checkliste für die ersten beiden Schritte dienen). Hier gibt es inzwischen eine große Vielzahl im Netz. Und auch hier sind die Ergebnisse so unterschiedliche wie die Meinungen im Netz. Hier ein paar, die ich kenne:
E-Recht24.de
datenschutz-generator.de
activemind.de/datenschutz/datenschutzhinweis-generator/
it-recht-kanzlei.de (Aktualisierungsservice)
mein-datenschutzbeauftragter.de/datenschutzerklaerung-konfigurator/
Ich selbst nutze den von E-Recht24, da ich dort als Agentur Partner Zgriff auf die Pro Version habe. Das ict nicht der Weisheit letzte Schuss, aber auf jeden Fall der richtige Schritt. Alles wird man sicherlich auch dort nicht finden und endgültige rechtssicherheit kann nur ein Anwalt liefern.
In vier Schritten zur DSGVO konformen Website …
schön, wenn es so einfach wäre. Wer wenig von der Materie weiß, wird sicherlich oft überfordert sein. Im Zweifel zu sagen, viel hilft viel, wird auch nicht helfen. Deshalb mehr in der Datenschutzerklärung stehen zu haben, als wirklich passiert ist auch nicht sinnvoll. Also holt Euch Hilfe von Eurem Webmaster oder einem Datenschutzbeauftragten.
Und dann
Leider ist die Website nur ein ganz kleiner Teil, aber einer der nach Außen sichtbar ist. Also fangen die meisten hiermit an. Was jetzt schon bis zum 25. Mai, wenn die DSGVO in Kraft tritt, knapp wird. Was ist allerdings noch zu tun?
Ihr müsst eine Verarbeitungsverzeichnis anlegen, Euch Technische und organisatorische Maßnahmen zum Schutz der Daten überlegen. Dies schließt alles in Eurem Unternehmen ein. Egal ob noch Analog (Kundenkartei) oder Digital. Also kommen Themen dazu wie Datensicherung, Verschlüsselung, E-Mail Archivierung und so weiter.
Fazit
Dieser Beitrag geht nirgends wirklich in die Tiefe, das kann er auch nicht, da sich das eben wie ein Fass ohne Boden anfühlt. Besonders macht die hohe Unsicherheit bei der Interpretation des Gesetzes es extrem schwierig, alles richtig zu machen. Aber deshalb seinen Laden zu schließen, halte ich für deutlich übertrieben. Im Zweifel wendet Euch an Eure Landesdatenschutzbehörde. Die berät Euch zu allen Themen rund um die DSGVO.
Ich selbst weiß inzwischen auch schon recht viel, helfe vielen Kunden dabei, ihre Website und auch ihr Unternehmen DSGVO konform zu gestalten. Ich bleibe da am Ball und werde mich zum externen Datenschutzbeauftragten zertifizieren lassen. Dann kann ich meinen Kunden weiterhin optimal unterstützen.
Seht die DSGVO als Chance, Eurer Unternehmen ein wenig besser und Eure Prozesse transparenter zu machen.