Die DSG-VO (Datenschutz-Grundverordnung) tritt am 25.Mai 2018 nach 2 Jahren Übergangszeit endgültig in Kraft. Viele Selbstständige im Netz haben dahingehend noch nichts getan und möchten wissen, wie eine DS-GVO gerechte Website aussieht.

In dieser Artikelserie gehe ich genau darauf ein und gehe die wichtigsten Schritte durch.

Alles fängt mit der Analyse der eigenen Website an, auf die ich im Folgenden genauer eingehe.



Hinweis:

Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden*.

DS-GVO gerechte Website



Werbung

Welche Dinge auf der eigenen Website so bleiben können wie sie sind und welche im Hinblick auf das neue Datenschutz-Recht kritisch sind, beschäftigt viele Blog- und Website-Betreiber.

Viele sorgen sich vor allem durch die Unsicherheit, die durch dieses neue Monstrum über jedes noch so kleine Unternehmen und jeden Selbstständigen hereingebrochen ist.

Im Grunde kann man sagen, dass wir in Deutschland eigentlich recht gut auf die DS-GVO vorbereitet sind. Das bisherige Bundesdatenschutzgesetz und auch die weiteren rechtlichen Grundlagen finden sich in großen Teilen im DS-GVO wieder, so dass zwar Anpassungen notwendig sind, aber man nicht alles verändern muss.

Leider ist es aber auch bei dieser Verordnung so, dass vieles Auslegungssache ist und wir erst mit den kommenden Gerichts-Urteilen genau wissen werden, was in bestimmten konkreten Fällen notwendig und erlaubt ist.

Betrifft mich die DS-GVO?

Die neue Verordnung bezieht sich auf alle personenbezogenen Daten, die man als Unternehmen oder Selbstständiger regelmäßig erfasst und verarbeitet. Da fängt der Interpretations-Spielraum allerdings schon an, denn was heißt das genau?

Da das keiner so genau und vor allem sicher beantworten kann, sollte jeder Selbstständige sich mit den neuen Vorschriften beschäftigen und diese umsetzen. Im Grunde reicht es nämlich schon, wenn man regelmäßig Mails von Fremden erhält oder Rechnungen schreibt. Schließlich bekommt und verarbeitet man damit personenbezogene Daten von Dritten.

WERBUNG

Wer eine Website betreibt, kommt da ebenfalls nicht herum. Schließlich wird bei jedem Seitenaufrufe zumindest die IP-Adresse des Nutzers übertragen und diese gehört laut BGH auch zu den personenbezogenen Daten.

Schritt 1: Die Analyse

Um seine Website auf die DS-GVO umzustellen und damit teure Bußgelder und Abmahnungen zu vermeiden, ist zu Beginn erstmal eine Analyse notwendig. Das ist der erste Schritt, den man nicht unterschätzen sollte.

Zudem ist genau das auch ein wichtiges Ziel der DS-GVO. Die Unternehmer und Selbstständigen sollen für das Thema Datenschutz sensibilisiert werden und sich in Zukunft schon von vornherein Gedanken darüber machen. Bisher ist es oft noch so, dass man erstmal alle Daten sammelt, an die man rankommt und sich dann überlegt, was man damit macht.

Bei dieser Analyse gilt es die eigene Website gründlich dahingehend anzuschauen, welche personenbezogenen Daten erhoben werden. Dabei spielt es erstmal keine Rolle, ob man die Daten selbst speichert und weiterverarbeitet oder ob man z.B. durch die Einbindung eines Scriptes dies einem Dritten ermöglicht.

Personenbezogen sind Daten wie Name, eMail-Adresse, Post-Adresse, Geburtsdatum etc., aber auch die IP-Adresse gilt als solche. Und selbst eine an sich zufällige ID kann personenbezogen sein. So könnte sich in einem Forum jemand eine ID aus Zahlen und Buchstaben zulegen und sonst keine personenbezogenen Daten hinterlegt haben. Dennoch kann man die Beiträge dieser Person anhand der ID verfolgen und ggf. daraus ableiten, um wen es sich handelt. Das mag ein sehr spezieller Fall sein, den sich Juristen dazu haben einfallen lassen, aber er zeigt, dass man erstmal sehr kritisch bei der Analyse vorgehen sollte.

Eigenen Datenerhebung

Als erstes sollte man sich anschauen, welche Daten man selbst auf der eigenen Website erhebt.

Wer ein Kontaktformular auf seiner Website anbietet, der erfasst damit personenbezogene Daten und speichert diese. Ebenso gilt dies z.B. für Gewinnspiele, für die Leser ihre Daten hinterlassen müssen oder für ein Kommentarfeld.

Auch eine lokale Statistik, in der IP-Adresse oder andere Daten erfasst werden, fällt darunter.

Das bedeutet, dass man auf der eigenen Website oft viele personenbezogene Daten erhebt und speichert.

Datenerhebung durch Dritte

Hinzu kommen allerdings noch weitere Daten-Erhebungen, die vielen Website-Betreibern oft gar nicht bewusst sind. Bei Google Analytics ist den meisten klar, dass Daten gesammelt werden, denn das ist ja auch die Aufgabe des Tools. Aber auch Google AdSense sammelt Daten.

Wer einen Newsletter anbietet und einen Online-Service dafür nutzt, lässt diesen ebenfalls personenbezogene Daten sammeln. Hinzu kommen noch viele Dinge, die den meisten gar nicht so bewusst sind. Partnerprogramm-Scripte, iFrame-Einbindungen, externe Bilder, Google Fonts CDNs und vieles mehr sammeln ebenfalls personenbezogene Daten bzw. könnten es zumindest, da die IP-Adresse jedesmal übertragen wird.

Deshalb sollte man die eigene Website genau analysieren und schauen, wo man irgendwas von Dritten eingebunden hat. Wer kann sich schon noch auf Anhieb erinnern, dass er/sie vor 12 Monaten mal das Script eines Heatmap-Anbieters eingebunden hat. Solche „Leichen“ sollte man nicht in der Website unbemerkt drin lassen.

Auch wenn man keine eigenen Formulare etc. nutzt, erheben die allermeisten Websites dennoch personenbezogene Daten. Selbst das normale Hosting ist datenschutzrelevant, da man hier Daten von Besuchern auf der eigenen Website an einen Dritten weitergibt. Deshalb ist es unter anderen wichtig mit diesen Anbietern Auftragsverarbeitungs-Verträge abzuschließen, um auf der sicheren Seite zu sein. Dies ist z.B. bei Hostern und bei Google Analytics notwendig.

Automatische Analyse

Wer sich nicht die Mühe machen will, die eigene Website selbst bzgl. personenbezogener Daten zu analysieren, kann externe Dienstleister in Anspruch nehmen. Das ist allerdings finanziell für Selbstständige in der Regel nicht machbar.

Eine andere Alternative ist ein Service wie ihn webseitenschutzpaket.de anbietet. Dort kann man ab 99 Euro die eigene Website automatisch analysieren lassen. Für diesen Einstiegspreis werden bis zu 50 Seiten automatisiert analysiert und ein Prüfbericht erstellt. Darin findet man dann neben einer Analyse des Impressums und der Datenschutzerklärung auch eine Auflistung der gefundenen externen Scripte und Einbindungen, die DS-GVO relevant sind. Zudem gibt es Tipps und Hinweise, wie man die Probleme beheben kann, teilweise inklusive kompletter Textvorlagen.

Für größere Websites gibt es umfangreichere Analyse-Pakete, die dann teilweise auch die manuelle Analyse beinhalten und dadurch natürlich noch hilfreicher sind. Wer nicht so eine große Website hat, für den ist diese automatisierte Analyse auf jeden Fall eine zusätzliche Hilfe. Ob man das wirklich braucht oder die Analyse komplett manuell durchführt, muss jeder für sich entscheiden.

Auf jeden Fall sollte man sich nicht allein auf so eine automatische Analyse verlassen.

Einwilligung oder berechtigtes Interesse?

Hat man eine Liste zusammengetragen, welche Daten erhoben werden, dann sollte man prüfen, ob das überhaupt erlaubt ist. Bei der DS-GVO gilt das Verbotsprinzip. Es ist also erstmal grundsätzlich verboten solche Daten zu speichern und zu berarbeiten, außer es ist explizit erlaubt.

Die Zustimmung der betreffenden Person ist die stärkste Erlaubnis, die man für die Verarbeitung ihrer personenbezogenen Daten bekommen kann. Das ist aber gerade bei Websites oft nicht praktikabel. Wer will schon jedem Website-Besucher erstmal ein großes Formular zeigen, wo er den diversen Erfassungen seiner Daten zustimmen muss? Das wollen weder die Website-Betreiber, noch die Besucher.

Deshalb gibt es in Art. 6 der DS-GVO noch weitere Bedingungen, die für eine Rechtmäßigkeit der Verarbeitung sorgen können. So z.B. für die Erfüllung eines Vertrages, so dass es in Online-Shops kein Problem ist Käuferdaten zu speichern.

Unter Punkt f) werden dann auch noch die berechtigten Interessen des Verantwortlichen oder eines Dritten erwähnt. Darauf berufen sich viele Experten, wenn sie darauf hinweisen, dass auch in Zukunft Google AdSense, Google Analytics, Partnerprogramme etc. erlaubt sind. Allerdings geht es hier darum zwischen den Interessen des Datenerhebers (also des Websitebetreibers und dessen Partner, wie Google Analytics…) und den Internen der betroffenen Person (der Website-Besucher) abzuwegen. Da muss man dann sicher auf ein paar Urteile aus der Praxis warten.

Wer z.B. einen Newsletter betreibt, der nutzt ja bereits jetzt das Double-Opt-In Verfahren. Das ist auch in Zukunft ausreichend. Bei den meisten anderen Datenerfassungen wird man zumindest mit dem berechtigten eigenen Interesse argumentieren können. So ist Google AdSense eine Einnahmequelle für Selbstständige und das ist schon ein starkes eigenes Interesse. Negative Folgen für die Nutzer sind hier meiner Meinung nach nicht zu erwarten. Aber das sehen manch andere sicher anders.

Deshalb sollte man sich genau überlegen, welche Daten man auch in Zukunft noch erfassen will/darf und welche nicht.

Besondere Kategorien personenbezogener Daten gibt es übrigens ebenfalls. Darunter fallen besonderes sensible Daten, wie ethnische Herkunft, politische Meinungen, religiöse Überzeugungen etc.. Diese stehen nochmal unter einem besonderen Schutz und dürfen nicht ohne rechtliche Grundlage oder explizite Einwilligung der Person erfasst und verarbeitet werden.

Auf was kann man verzichten?

Wie man mit den Daten dann umgeht, was das Verzeichnis der Verarbeitungstätigkeiten ist, welche Informationspflichten sich ergeben und so weiter, behandle ich in den nächsten Teilen meiner Artikelserie.

Allerdings kann man sich bei den weiteren Schritten einige Arbeit ersparen, wenn man sich auf die allernötigsten Daten beschränkt. In der Regel wird man mehr Daten sammeln und speichern, als man wirklich benötigt. Und da das Prinzip der Datenminimierung bzw. der Datensparsamkeit ein Kernkonzept der DS-GVO ist, sollte man sich genau überlegen, welche Daten man in Zukunft wirklich noch erfassen will.

Denn sind wir mal ehrlich, viele der Daten benötigt man nicht wirklich bzw. sie werden erhoben, aber nie ausgewertet oder genutzt.

So sollte man z.B. prüfen:

Welche Kontakt- und sonstigen Formulare auf der Website sind wirklich notwendig?

Versendet man wirklich noch alle Newsletter, für die man Daten sammelt?

Welche Plugins speichern die IP-Adresse von Nutzern und ist das wirklich notwendig bzw. kann man auf das Plugin verzichten?

Welche Partnerprogramm-Scripte müssen sein? Reichen nicht auch normale Affiliatelinks?

Muss man wirklich ein Server-Logfile erstellen?

usw.

Allein durch das „Aufräumen“ kann man einen guten Teil der DS-GVO relevanten Datenerfassungen für die Zukunft vermeiden. Das spart Arbeit bei den nächsten Schritten im Rahmen der DS-GVO und damit verringert man auch das Risiko für Abmahnungen und Bußgelder.

Fazit und Beispiel

Die DS-GVO wirkt auf viele einschüchternd und auch ich will nicht behaupten, dass ich da zu 100% durchblicke. Zumal vieles, wie schon geschrieben, ja auch noch im Fluss ist und sich erst in den nächsten Monaten klarer darstellen wird.

Aber die Grundprinzipien sind klar und als Website-Betreiber sollte man im ersten Schritt genau analysieren, welche Daten man von seinen Besuchern erfasst und wie damit umgegangen wird. Zudem gilt es zu überlegen, ob man diese Daten alle sammeln darf und welche man in Zukunft vielleicht einfach nicht mehr sammeln sollte.

Wer sich diese Gedanken macht und aktiv wird, tut schon mehr als viele andere. Und wie bisher auch, werden Bußgelder und Abmahnungen tendenziell eher die treffen, die sich gar nicht darum kümmern oder sich besonders starke Verstöße zu Schulde kommen lassen.

Um das Thema noch etwas praxisnaher zu zeigen, werde ich parallel zu dieser Artikelserie eine meiner Nischenwebsites für die DS-GVO fit machen. Dazu werde ich im ersten Schritt die hier beschriebene Analyse durchführen und zeigen, wie ich vorgehe.

Wer zu dem ganzen Thema Anmerkungen, Fragen oder Hinweise hat, kann diese gern in den Kommentaren hinterlassen.