Die Spatzen pfeifen es inzwischen von den Dächern, die neue EU-weite Datenschutzverordnung (DSGVO) ist im Anmarsch, sie tritt am 25. Mai 2018 in Kraft. Zum Schutz der persönlichen Daten muss man nun auch als Webseitenbetreiber einiges beachten und ggf. Änderungen vornehmen. Das gilt auch für Content Management Systeme, wie z.B. WordPress oder Joomla. Welche Punkte ihr euch genau auf euren Webseite anschauen solltet, versuchen wir mit diesem Artikel aufzuschlüsseln.


Dazu noch ein Hinweis: Dieser Artikel ist keine Rechtsberatung. Wir versuchen hier lediglich euch auf bestimmte Punkte hinzuweisen. Im Zweifel solltet ihr bei einem Rechtsexperten nachfragen.


Datenschutzerklärung

Eine Datenschutzerklärung ist – zumindest in Deutschland – bereits seit einigen Jahren Pflicht. Hier soll der Besucher darauf hingewiesen werden, welche Daten von ihm erhoben werden und ggf. auch warum und wie diese weiterverarbeitet werden. Mit der DSVGO müssen diese Datenschutzerklärerungen aber angepasst werden.  Spätestens am 25. Mai solltet ihr also eure Datenschutzerkläerung(en) auf den neuesten Stand bringen. Eine interessante Quelle dafür ist z.B. der eRecht24-Generator.

Cookies

Viele moderne Webseiten sammeln Cookies. Solche Cookies speichern Daten im Browser zwischen. Diese Daten können temporär oder auch länger dort gespeichert werden. Leider können solche Cookies auch missbraucht werden, daher haben sie häufig einen schlechten Ruf. Nichtsdestotrotz werden diese häufig schlichtweg benötigt. In der DSGVO gibt es keine direkte Regelung zu dem Thema, aber es gibt bereits andere Richtlinien der EU zum Thema Cookies. Daher empfehlen wir hier das Anzeigen eines Cookie-Hinweises beim ersten Besuch der Webseite. Welche Varianten für Cookie-Hinweise es gibt, findet ihr ebenfalls bei eRecht24. Wer WordPress einsetzt, kann dabei z.B. auf dieses Plugin setzen.

Verschlüsselung

Sobald man persönliche Daten auf der eigenen Webseite abfragt – z.B. über ein Kontaktformular – muss man diese Daten verschlüsselt übertragen. Im Web funktioniert diese Verschlüsselung mit Hilfe von HTTPS. Im Idealfall sollte jede Webseite ab dem 25. Mai mit HTTPS verschlüsselt sein, insbesondere, wenn ihr persönliche Daten abfragt. Was HTTPS ist und wie man es einrichtet, haben wir bereits hier beschrieben. Besonders wichtig ist das übrigens für Shops, denn gerade Zahlungsinformationen können sehr heikel sein und sollten nicht abgreifbar sein.

Besucher-Statistiken

Sehr beliebt unter Webseitenbetreibern ist die Analyse der Besucher-Statistiken. Ein sehr beliebtes Tool ist z.B. Google Analytics. Das Problem in diesen Tools besteht allerdings darin, dass persönliche Daten vom Besucher gesammelt und analysiert werden. Besonders problematisch sind hier die IP-Adressen. Diese sollten übrigens bereits jetzt nicht mehr getrackt werden, dazu kann man diese in der Regel anonymisieren. Wie man die IPs mit Google Analytics anonymisiert, erfahrt ihr in der Google Hilfe. Wenn ihr andere Statistik- und Analyse-Tools einsetzt, dann solltet ihr das in der jeweiligen Dokumentation prüfen. Ebenfalls wichtig: Der Besucher muss darauf hingewiesen werden, dass er getrackt wird, bei externen Tools wie Google muss er auch die Möglichkeit haben zu widersprechen. Der bessere Weg wäre übrigens eine lokales Statistiktool, wie z.B. Count Per Day für WordPress oder Piwik. Diese Tools übertragen nämlich keine Daten an externe Server (z.B. Google). Aber auch hier muss man die IPs und weitere persönliche Daten anonymisieren und sollte die Datenschutzbestimmungen noch einmal genau anschauen.

Formulare

Wer Formulare einsetzt, welche persönliche Daten (z.B. Namen, E-Mail-Adresse o.ä.) abfragen, der muss – wie bereits oben beschrieben – eine verschlüsselte Übertragung anbieten. Wer die Daten dann zwischenspeichert, muss in seinen Formularen auch darauf hinweisen. Das kann man z.B. durch eine Akzeptieren-Box tun. Etwas unsicher ist aktuell die Situation bei reinen E-Mail-Formularen. Diese verlassen sich in der Regal auf den lokalen E-Mail-Server und dieser muss dann natürlich auch entsprechend abgesichert sein. Da E-Mails in der Regel nicht verschlüsselt sind, muss man ggf. auch darauf hinweisen.

Kommentar-Funktion

Beliebt bei Blogs sind auch Kommentare. Auch hier muss man gespeicherte Informationen – vor allem die IP-Adresse – anonymisieren. Wenn man hier Abos von weiteren Kommentaren anbietet, muss man dies bereits jetzt per Double-Opt-In-Verfahren prüfen. Dabei wird zunächst ein Bestätigungs-Link an die jeweilige E-Mail-Adresse geschickt, welche dann über den Link bestätigt werden muss. Häufig kommen für Kommentare auch Cookies zum Einsatz, darauf sollte man wie bereits oben erwähnt hinweisen. Auf externe Kommentar-Dienste, z.B. von Disqus oder Facebook, sollte man am besten verzichten. Diese schicken nämlich Daten an externe Server und das zum Teil auch ins Ausland. Und diese Server sind nicht immer DSVGO/GDRP-konform.

Newsletter

Wenn ihr einen Newsletter anbietet, solltet ihr auch hier ganz genau prüfen welche Daten abgefragt werden und wie dieses gespeichert werden. Auch der Nutzer sollte beim Abonnement eines Newsletters darauf hingewiesen werden. Der Newsletter selbst sollte generell nur via Double-Opt-In-Verfahren abonniert werden können. Besondere Vorsicht ist geboten, wenn ihr auf externe Newsletter-Tools setzt, z.B. MailChimp.

Sicherheits- und Spam-Tools

Wer seine eigene Webseite vor Spambots oder Hackern schützt bzw. schützen möchte, setzt gerne auf Tools, um IPs zu blocken oder bekannte IPs in externen Datenbanken zu prüfen. Ein beliebtes WordPress-Plugin ist hier z.B. Wordfence. Wordfence ist aktuell noch nicht DSVGO-konform, müsste also Stand jetzt ab dem 25. Mai deaktiviert werden. Die Entwickler sind aber angeblich dran, Optionen für die Konformität anzubieten. Generell sollte bei solchen Tools darauf geachtet werden, dass persönliche Daten (wie z.B. die IP) anonymisiert werden und nicht an externe Server geschickt werden.

Embeds und Social Media

Sehr beliebt und immer wieder zu sehen sind Einbindungen (sog. Embeds) von externen Plattformen. Sehr häufig zu sehen z.B. bei YouTube & Co. Man kann YouTube Videos in die eigene Seite einbetten. Das Problem hierbei liegt darin, dass YouTube dann wiederum den Besucher trackt und das auf eurer eigenen Webseite. Das Gleiche gilt übrigens auch für Social-Media Buttons wie den Facebook-Like Button. Diese sind in Deutschland allerdings schon lange umstritten bzw. nicht einsetzbar. Eine mögliche Lösung sind z.B. sog. 2-Klick-Lösungen. Bei Embeds von YouTube (oder auch Twitter, Instagram etc.) gibt es aber wohl noch keine befriedigende Lösung, am besten man verzichtet auf solche Einbettungen.

Performance- und Bildoptimierung

Wer für die Performance-Optimierung der eigenen Webseite Dienste einsetzt, welche z.B. Bilder zum Optimieren an externe Server übertragen (z.B. Shortpixel), sollte ebenfalls vorsichtig sein. Sobald persönliche Daten übertragen werden, gibt es ein Problem mit der DSGVO. Das gilt z.B. auch für Bilder von Personen! Auch bei externen Caches etc. ist Vorsicht geboten.

Externe Ressourcen

Wer auf der eigenen Seite externe Ressourcen zugreift, sollte sicher gehen, dass hier keine Daten vom Besucher via Tracking abgegriffen werden. Solche externen Ressourcen können z.B Schriften von Google Fonts oder Libraries von Content Delivery Networks sein. Vor allem Google Fonts ist aktuell umstritten, da bisher nicht ganz klar ist, ob und welche Daten Google darüber sammelt. Im Zweifel und wenn möglich, sollte man auf dessen Einsatz also verzichten. Auch bei anderen Webfont-Anbietern sollte man die Datenpraxis überprüfen. Ein weiteres Problem könnten Avatar-Bilder sein, z.B. das bei WordPress im Einsatz befindliche Gravatar. Dorthin wird nämlich eure E-Mail-Adresse übertragen.

Backups

Ihr legt Sicherheitskopien eurer Webseite an? Sehr gut! Doch auch hier ist Vorsicht geboten, denn das Backup enthält alle wichtigen persönlichen Informationen, welche ihr auf der Webseite erhebt. Wo legt ihr die Backups an und sind diese verschlüsselt? Wenn ihr eure Backups extern ablegt, achtet unbedingt darauf, dass der jeweilige Dienst sich dabei an den geltenden Datenschutz hält. Von Tools wie Dropbox & Co würden wir hier eher abraten. Wenn ihr eure Backups extern ablegen wollt, dann greift lieber zu einem FTP-Server oder einer ähnlichen Lösung beim Hoster eures Vertrauens. Bei der Übertragung sollte das Backup dann unbedingt verschlüsselt sein.

Hosting

Wo liegt eure Webseite eigentlich? Bereits nach heutigem Stand dürfen persönliche Daten – und damit auch Informationen von euren Webseitenbesuchern – nur in Deutschland bzw. in machen Fällen in der EU liegen. Euer Hoster sollte also im Idealfall in Deutschland sitzen inkl. der Hosting-Server. Auch die Backups des Hosters sollten nicht im Ausland landen. Prüft daher am besten die Datenschutzbestimmungen eures Hosters. Seid vor allem Vorsichtig bei Anbietern wie Amazon, Google & Co. Achtet darauf, dass der Server-Standort in Deutschland (oder einem anderen EU-Land) liegt.


Es gibt ggf. noch weitere Bereiche, auf die ihr achten solltet. Unsere Übersicht garantiert keine Vollständigkeit! Auch spielt nicht jeder Punkt unbedingt direkt eine Rolle in Bezug auf die DSGVO, sollte aber dennoch unter Datenschutzgesichtspunkten berücksichtigt werden.


Habt ihr noch weitere Hinweise oder Fragen zum Thema Datenschutzverordnung bei Webseiten? Oder braucht ihr technische Unterstützung eure Webseite DSGVO-konform zu machen. Dann nehmt Kontakt mit uns auf oder schreibt einen Kommentar.