DSGVO: 8 Last-Minute-Tipps für eure Internetseite …

Um es vorab nur einmal kurz anzumerken: Ich stehe hinter dem Grundgedanken der Datenschutz-Grundverordnung (DSGVO, engl. General Data Protection Regulation (GDPR)). Sie hat meiner Meinung nach etwas Wichtiges geschafft, denn plötzlich machen sich Menschen und vor allem Unternehmen wieder Gedanken über ihre Daten. Wo sie sie hinterlassen, in welchem Umfang, wer sie erhebt und was damit gemacht wird – all das rückt wieder ins Bewusstsein.

Was die DSGVO nicht geschafft hat: Rechtssicherheit. Vieles ist unklar, vieles werden Gerichte erledigen müssen. Aber das ist wiederum auch nichts ungewöhnliches für neue Rechtsnormen. Behaltet daher die Nachrichten zur DSGVO in der nächsten Zeit im Blick, es wird sicherlich noch einiges an Infos von Behörden oder in den nächsten Jahren aus Gerichtsurteilen kommen.

Was die DSGVO gar nicht wollte: Die Datensammelwut des Staates bändigen und die wird immer wilder und umfangreicher. Stets die Warnung vor terroristischen Anschlägen wie eine Monstranz vor sich her tragend, so als ob dies alle Eingriffe in die Rechte, die uns unter anderem das Grundgesetz zusichert, rechtfertigen würde. Diese halte ich für weitaus problematischer, wenn es um Freiheitsrechte geht, als datensammelnde Unternehmen.

Dies einmal voran geschickt, soll es hier aber um was anderes gehen als die politische Diskussion um die DSGVO. Es geht um die Tatsache, dass ich in den letzten Wochen viele Stunden in die Umsetzung gesteckt habe, für diverse Internetseiten, und dabei immer wieder auf die gleichen Probleme gestoßen bin. Andere haben vor diesen Problemen kapituliert, nehmen ihre Internetseiten vom Netz – und das ist nicht nur schade, sondern ein echter Schaden für unsere Gesellschaft. Ich möchte an dieser Stelle einige meiner eigenen Erfahrungen aus der Umsetzung teilen. Vielleicht kann die eine oder andere Person unter euch ja davon profitieren und es kann helfen, das Netz bunt zu halten.

Noch etwas vorab: Viel, was man derzeit (nicht zuletzt von den allgegenwärtigen, gezielt Panik schürenden Geschäftemachern) an Horrorszenarien für die Zeit ab dem 25. Mai liest, wird sich vielleicht (oder sogar sehr sicher) in der tatsächlichen Praxis als irrelevant erweisen. Viele Regelungen sind auch praktisch kaum umzusetzen, waren es bisher nach dem aktuellen Datenschutzrecht schon nicht und werden es auch nie sein. Daher Rat Nummer 1: Lasst euch nicht ins Bockshorn jagen, behaltet einen kühlen Kopf und nutzt euren gesundem Menschenverstand.

Nun aber endlich zu einigen Punkten, die ich mit euch teilen möchte.

Denkt dabei bitte daran: Ich bin kein Rechtsanwalt, das hier ist keine Rechtsberatung und auch kein „best practice”. Es sind einfach nur einige meiner Erfahrungen aus der letzten Zeit, zu denen ich viel im Netz recherchiert habe und die mir bei der Umstellung sehr halfen. Diese sind bei Weitem nicht vollständig und decken schon gar nicht jeden Einzelfall ab. Dass ich keine Haftung für irgendetwas übernehme, ist an dieser Stelle selbstverständlich. Wer rechtssicher beraten sein will, benötigt anwaltliche Beratung.

  1. Impressum und Datenschutz
    Das ist bereits einer der wichtigsten Punkte in Sachen DSGVO. Machen wir es kurz: Zwar gibt es Regelungen, unter denen man auf ein Impressum verzichten kann, doch das betrifft einen Mini-Bruchteil der Internetseiten. Es ist also sehr wahrscheinlich, dass ihr ein Impressum angeben müsst. Wenn ihr nicht wisst, was da rein gehört, nutzt bitte die vielen angebotenen Impressum-Generatoren professioneller Rechtsanwaltskanzleien. Diese sind für private Seiten oft sogar kostenlos. Ziemlich bekannt ist e-recht24, aber es gibt auch andere Anbieter. Hier eine kleine Übersicht bei Gründerküche.Zum Thema Datenschutzerklärung, die wegen der DSGVO besonders im Fokus steht. Hier gilt dasselbe: Angebotene Generatoren werden euch wie schon beim Impressum schon einmal sehr viel weiter helfen. Angebote gibt es unter den genannten Adressen ebenfalls zu finden.
  2. WordPress
    Viele von euch werden WordPress-basierte Blogs/Internetseite nutzen, denke ich mal. Geht mit hier ja auch so. WordPress hat gerade ein Update auf die Version 4.9.6 rausgebracht (guckt hier mal), das sich den Datenschutzthemen besonders widmet, unter anderem beim Thema Konnentare. Wenn ihr z.B. Statistikfunktionen nutzt oder Serverlogs aufzeichnet von eurem Blog, denkt daran, diese in der Datenschutzerklärung zu erwähnen. Ihr wisst schon, die Generatoren helfen euch dabei.
  3. WordPress-Plugins
    Die Plugins für WordPress haben im Vorfeld besonderen Wirbel verursacht, bis hin zu „Wordpress ist illegal” war alles zu lesen. Viele Plugin-Entwickler sind sich der Probleme aber bewusst und haben reagiert oder die Plugins waren von vorneherein schon DSGVO-konform. Wenn ihr euch unsicher seid: Schaltet die Plugins ab oder löscht diese, nehmt die Share-Buttons zu Facebook und Co. raus (oder nutzt Lösungen wie Shariff), deaktiviert Kommentare und Avatare in eurem Blog etc. Ein Blog ohne Kommentarfunktion und Sharebutton ist immer noch besser als gar keiner. :-) Denkt daran, dass WordPress auch eine Funktion hat, mit der ihr mehrere Beiträge zugleich bearbeiten könnt, zum Beispiel zum Abschalten der Kommentare.Eine aus meiner Sicht tolle Übersicht über Plugins und DSGVO habe ich bei blogmojo gefunden. Aufgelistet sind auch Plugins, die euch bei der Umstellung eurer WordPress-Seite auf die DSGVO-Vorschriften helfen können. Hier geht es lang!
  4. Auftragsverarbeitungsvertrag
    Was? Ja, so habe ich anfangs auch geguckt. Das hier ist gemeint, wird einige von euch allerdings nicht betreffen: Link! Ihr müsst solche Verträge mit Dienstleistern abschließen, wenn ihr als Unternehmen von diesen Dienstleistern personenbezogene Daten verarbeiten lasst. Solche Dienstleister sind unter anderem euer Hostinganbieter, Google Analytics oder alternative Tracking-Dienste, um nur zwei der wichtigsten Beispiele zu nennen, um die es bei Internetseiten geht. Wenn ihr nach eurem Hoster zusammen mit dem Stichwort „Auftragsverarbeitungsvertrag” sucht, werdet ihr sicher schnell fündig. Die zur DSGVO nötigen vertraglichen Vereinbarungen für Google Analytics könnt ihr in den Verwaltung von Google Analytics abschließen – unten auf das Zahnrad klicken, dann Kontoeinstellungen – hier findet ihr dann alles.In Sachen Google Analytics und anderer Tracking-Tools denkt bitte auch daran, dass ihr die IP-Adressen anonymisieren müsst und auch die Widerspruchsrechte sowie Opt-Out-Möglichkeiten in den Datenschutzerklärungen erwähnt! Wieder helfen euch die schon vorhin erwähnten Generatoren hier ein wichtiges Stück weiter. Zur Anonymisierung der IP-Adresse hilft Googles Support weiter!
  5. HTTPS
    Spätestens wenn ihr personenbezogene Daten zum Beispiel über ein Kontaktformular auf eurer Internetseite „erhebt”, müsst ihr eure Internetseite spätestens jetzt mit einem SSL-Zertifikat sichern. Eigentlich solltet ihr das unabhängig davon sowieso machen. Besonders kompliziert ist dies im Regelfall nicht, solche Zertifikate gibt es kostenlos, manchmal hat eurer Hosting-Dienstleister für euch sogar im Paket eins im Angebot.Die Umstellung der Internetseite geschieht recht schnell und ist auch gar nicht so kompliziert. Die Suchmaschine eurer Wahl wirft euch bestimmt gute Ratgeber heraus, die Supportdienste eurer Hoster haben ebenfalls ihr jeweiliges „How-To“ auf einer Infoseite hinterlegt. Für WordPress-Seite kann man zb. Bei blogmojo eine schrittweise Anleitung finden – hier geht es lang!.Auch wenn ihr alles beachtet habt, könnte es sein, dass euer Browser die Seite immer noch nicht als „sicher” anzeigt. Checkt dann bitte, ob die Verlinkungen richtig sind, zum Beispiel manuell erstellte Verlinkungen in den WordPress-Menues. Leitet bitte zudem eure Besucher per htaccess-Datei von http auf https um. Klingt jetzt erst einmal kompliziert, aber das ist es tatsächlich gar nicht, ihr müsst lediglich diese wenigen Zeilen Code zusätzlich in eure htaccess-Datei reinschreiben. Hier sind noch ein paar zusätzliche Tipps zur htaccess-Datei zu finden, die vielleicht auch für euch interessant sind! Auch hier wieder der Rat, der eigentlich immer gilt: Seid ihr unsicher, nutzt die Suchmaschine eurer Wahl, es gibt sehr viele Informationen, die euch weiterhelfen und alles exakt erklären.
  6. Eingebettete tweets, Videos etc.
    Es ist praktisch: Einfach von twitter, youtube etc. einen code generieren lassen und schon hat man den entsprechenden tweet oder das entsprechende Video auf der eigenen Internetseite eingebettet. Gilt auch z.B. für Google Maps usw usw usw. Ist aber leider aus Datenschutzsicht nicht so toll, deshalb solltet ihr (nicht nur wegen der DSGVO) da einiges beachten. Ein paar Tipps zur Einbettung gibt es zb für youtube-Videos hier und hier. Hier noch einmal der Link zu der Übersicht mit den WordPress-Plugins, die ja viele von euch zur Einbettung von Videos, tweets etc. Nutzen dürften.
  7. Google-Fonts
    Viele Internetseiten nutzen Google-Fonts, die beim Seitenaufruf zu einer Verbindung mit Googles Servern sorgen und schon greift die DSGVO. Wenn ihr Google Fonts nutzen wollt und diese nicht selbst auf eurem Server hinterlegt habt, denkt unbedingt an die Angabe in der Datenschutzerklärung – Generator nutzen! Es gibt aber auch eine recht einfache Möglichkeit, die selbst zu hosten – das ist aus mehreren Gründen empfehlenswert, nicht nur wegen der DSGVO. Wie ihr feststellt, ob ihr Google-Fonts benutzt und wie ihr dann vorgeht: hier geht es lang! Für WordPress gibt es Plugins, die das auch können.
  8. Verarbeitungsverzeichnis
    Wenn ihr ein solches führen müsst oder euch damit beschäftigen wollt, habe ich eine gut lesbare Übersicht gefunden: hier geht es lang!

Ich hoffe, ich konnte euch mit den Punkten etwas weiter helfen. Alles in Allem ist die Umstellung wegen der DSGVO vor allem bei kleineren Internetseiten gar keine so unüberwindbare Herausforderung wie es auf den ersten Blick und bei der allgemeinen Panik im Netz und der Berichterstattung zur DSGVO aussieht. Im Internet findet ihr bei Problemen zudem viel ausführliche Hilfe und viele andere Erfahrungsberichte, denn ihr könnt euch sicher sein, dass ihr mit dem Problem nicht allein seid und irgendwo da draußen hat vielleicht schon eine Person die Lösung gefunden oder dazu etwas programmiert. Fragt nach, twittert darüber, benutzt Suchmaschinen.

Wenn ihr was zu diesem Text ergänzen wollt, einen Fehler findet etc., schreibt mich an. Meine Mailadresse ist oben rechts auf der Seite verlinkt und ich speichere eure Daten in Form der Mailadresse natürlich auch nur für unsere Kommunikation und auch nur so lange, wie es für unsere Kommunikation vonnöten ist – anschließend wird alles gelöscht, also ganz DSGVO-konform. ;-)

Verfasst von:

The one and only...