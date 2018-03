Am Montag habe ich den ersten Teil meiner Artikelserie über DS-GVO gerechte Websites veröffentlicht, in dem es um die Analyse ging.

Dazu passend gibt es heute einen Praxis-Artikel, in dem ich bei einer meiner Websites die beschriebene Analyse durchführe. Dabei schaue ich mir an, welche personenbezogenen Daten auf der Website gesammelt werden und ob das alles so in Zukunft noch okay ist.

Zudem überlege ich mir, was ich davon in Zukunft noch benötige.



Praxis-Beispiel: DS-GVO Anpassung einer Nischenwebsite



Werbung

Ich werde in diesem Praxis-Beispiel eine meiner Nischenwebsites an die DS-GVO anpassen. Das soll euch zeigen, wie ich das mache und es soll euch dabei helfen, das auch bei euren Websites zu tun. Ich werde es am Beispiel von werkzeugkoffer-kaufen.de machen.

Aber natürlich ist bei der praktischen Umsetzung der DS-GVO noch einiges nicht klar. Abwägungsmöglichkeiten in der Verordnung öffnen Abmahnanwälten Tür und Tor. Auf jeden Fall werden viele Details erst in der Zeit nach dem 25.5.2018 durch Gerichtsentscheidungen klar geregelt werden.

Deshalb auch hier wieder mein Hinweis:

Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden*.

Analyse: Welche Daten sammle ich selbst?

In der Analyse geht es darum herauszufinden, welche personenbezogenen Daten von Besuchern denn überhaupt aktuell auf meiner Nischenwebsite gesammelt werden. Am einfachsten ist das bei den Daten herauszufinden, die man selber aktiv sammelt.

Dazu gehören die Folgenden:

Formulare

Über Formulare werden Daten entweder per Mail gesendet oder in die Datenbank gespeichert.

Allerdings ist im Impressum und der Datenschutzerklärung meine Mail-Adresse zu finden. Wer an diese schreibt, übersendet mir seine Daten. Deshalb sollte hier ein Hinweis dazu, der das erläutert.

Bei meiner Nischenwebsite nutze ich ansonten keine Kontaktformulare und ich habe die Kommentar-Funktion deaktiviert.

Über Formulare werden Daten entweder per Mail gesendet oder in die Datenbank gespeichert. Allerdings ist im Impressum und der Datenschutzerklärung meine Mail-Adresse zu finden. Wer an diese schreibt, übersendet mir seine Daten. Deshalb sollte hier ein Hinweis dazu, der das erläutert. Bei meiner Nischenwebsite nutze ich ansonten keine Kontaktformulare und ich habe die Kommentar-Funktion deaktiviert. Umfrage-Plugin

Es gibt verschiedene Plugins, die u.a. die IP-Adresse der Nutzer in die Datenbank speichern. Dazu gehören z.B. Umfrage-Plugins, die damit z.B. verhindern wollen, dass dieselbe Person merhfach abstimmt.

Auf meiner Nischenwebsite habe ich aber kein Umfrage-Plugin im Einsatz.

Es gibt verschiedene Plugins, die u.a. die IP-Adresse der Nutzer in die Datenbank speichern. Dazu gehören z.B. Umfrage-Plugins, die damit z.B. verhindern wollen, dass dieselbe Person merhfach abstimmt. Auf meiner Nischenwebsite habe ich aber kein Umfrage-Plugin im Einsatz. Newsletter

Wer einen Newsletter betreibt und dafür auf der eigenen Website Daten sammelt, muss eine Einverständniserklärung einholen. Das ist bisher aber auch so gewesen und deshalb ändert sich da nicht wirklich was.

Ich nutze auf meiner Nischenwebsite keinen Newsletter und sammle deshalb auch keine Daten.

Selber sammle ich also soweit ich das bisher überblicken kann keine Daten meiner Nutzer auf meiner Nischenwebsite.

Blick in die Datenbank

Man sollte aber sicherheitshalber noch genauer hinschauen. Gerade wenn man viele Plugins nutzt, reicht es nicht aus, auf der Website selbst nach möglichen Datenspeicherungen zu schauen. Einige Plugins speichern IP-Adressen, wie z.B. Umfrage-Plugins. Und das teilweise unbemerkt.

WERBUNG

Um sicherzugehen, sollte man in die Datenbank der eigenen Website schauen und sich alle Tabellen einmal anschauen. Werden irgendwo IP-Adressen oder andere personenbezogene Daten gespeichert?

Das habe ich natürlich auch gemacht und nirgendwo in der Datenbank personenbezogene Daten meiner Besucher gefunden.

Daten beim Hoster

Neben der Datenbank werden beim Hoster aber in der Regel IP-Adressen gespeichert. Die meisten Hoster erstellen automatisch sogenannte Logfiles, in denen alle Zugriffe protokolliert werden. Darin sind auch die IP-Adressen von Nutzern, um daraus dann Zugriffsstatistiken erzeugen zu können.

Diese Logfiles kann man aber deaktivieren. Bei All-Inkl.com und DomainFactory geht das direkt in den Einstellungen. Bei Mittwald musste ich laut Auskunft des Supports einfach den Ordner „stats“ löschen, damit keine Logfiles mehr erzeugt werden.

Da meine Nischenwebsite auf all-inkl.com läuft und ich da schon die Logfiles deaktiviert hatte, muss ich hier also nichts weiter tun.

Welche Cookies gibt es auf meiner Nischenwebsite?

Doch damit ist die Analyse noch nicht abgeschlossen. Als nächstes schaue ich mir an, welche Cookies die Nischenwebsite im Browser setzt.

Das kann man manuell machen. Im Browser Chrome werden Cookies direkt angezeigt. Dafür einfach oben links in der Adresszeile auf das „i“ bei unverschlüsselten Websites oder das Schloss bei verschlüssselten Websites klicken. Dann wird die Anzahl der Cookies von dieser Website angezeigt:

Klickt man auf diese Info, öffnert sich ein Fenster wo die Cookies einzeln angezeigt werden. Natürlich unterscheidet sich das durchaus, je nachdem, auf welcher Unterseite man ist. Schließlich sind nicht alle Werbemittel etc., die diese Cookies erstellen, auf jeder Seite eingebaut.

Es gibt übrigens auch Online-Tools, die eine Cookie-Analyse durchführen. Leider hat bei meinen Tests keines davon funktioniert.

Alternativ kann man in jedem Browser die Cookie-Informationen anzeigen lassen. Dafür darf aber kein anderes Fenster/Reiter in diesem Browser offen sein, sondern nur die betreffende Website. Zudem muss man einmal alle Cookies löschen.

Da das auch dazu führt, dass automatische Logins nicht mehr funktionieren, habe ich das bei Firefox und Chrome nicht gemacht. Stattdessen habe ich zur Analyse den Opera Browser genommen, der normalerweise bei mir nicht zum Einsatz kommt.

Hier war es also kein Problem alle Cookies einmal zu löschen, meine Nischenwebsite aufzurufen und ein paar Unterseiten durchzuklicken.

Anschließend habe ich in „Einstellungen > Datenschutz und Sicherheit > Alle Cookie und Websitedaten“ nachgeschaut, welche Cookies gesetzt wurden. Es wird eine übersichtliche Liste mit den Cookies angezeigt, die von dieser Website gesetzt wurden.

Wie man sehen kann, sind das einige Cookies, die meine Nischenwebsite gesetzt hat. Neben Google tauchen dort aber auch Cookies auf, die mir nicht bekannt vorkommen.

Woher stammen die Cookies?

Teilweise ist es gar nicht so einfach zu erkennen, woher die Cookies stammen. Die umfangreiche Sammlung von Cookies auf cookiepedia.co.uk hilft dabei die Ursache zu finden. Aber auch nicht immer.

In meinem Beispiel sind es z.B. Cookies von mookie1.com und nexac.com. Während der zweite dort zu finden war, taucht der erste nicht in diesem Verzeichnis auf. Allerdings gab es auch für den gefundenen Cookie keine weiteren Infos.

Um herauszufinden, was für die Cookies verantwortlich ist, sollte man einfach Plugins deaktivieren bzw. Code entfernen, der externe Services einbindet.

So habe ich z.B. einfach mal den AdSense Code in meinem Banner-Plugin deaktiviert und dann wieder alle Cookies gelöscht und die Website neu geladen. Schon waren diese komischen Cookies verschwunden. AdSense setzt also eine Menge Cookies durch die Anzeigen der Werbetreibenden.

Hier stellt sich die Frage, ob man Google AdSense wie bisher mit dem Opt-Out Hinweis weiter benutzten darf oder explizit einen Opt-In braucht. Das wird wieder auf die Abwägung der Interessen hinauslaufen, und wohl erst durch ein Gericht endgültig geklärt.

Wer sicher gehen will, deaktiviert Google AdSense erstmal zum 25.5.2018 und wartet ab, wie sich die Sache entwickelt.

Ein aktives Opt-In halte ich hier aber auch für schwer machbar. Schließlich hat man keine Ahnung, welche Cookies die Werbetreibenden setzen werden. Und eigentlich muss man nach DS-GVO die Besucher vor der Einwilligung umfassend informieren. Wie kann ich das, wenn ich nicht weiß, welche Cookies eigentlich genau gesetzt werden?

Anschließend habe ich mal Google Analytics temporär deaktiviert. Dadurch sind dann auch die restlichen Cookies verschwunden.

Auf meiner Nischenwebsite setzen also nur AdSense und Analytics Cookies.

Externe Einbindungen

Des Weiteren ist es wichtig zu analysieren, welche weiteren externen Einbindungen existieren. Scripte, Bilder, Zählpixel etc. sind wichtig, denn durch diese findet eine Übertragung der IP-Adresse der Besucher statt. Das ist ja z.B. beim VG-Wort Zählpixel auch gewollt, denn schließlich ist es wichtig herauszufinden, wie viele Personen einen Artikel angeschaut haben.

Bei meiner Nischenwebsite gibt es folgende externe Einbindungen:

Amazon Bilder

Ich nutze das Amazon Partnerprogramm und binde Produktbilder über die API ein. Ich speichere die Bilder also nicht lokal, sondern binde sie über eine Amazon-URL ein.

Ich nutze das Amazon Partnerprogramm und binde Produktbilder über die API ein. Ich speichere die Bilder also nicht lokal, sondern binde sie über eine Amazon-URL ein. Amazon Widgets

Teilweise nutze ich die kleine Produktbox, die man über den Amazon Site Stripe generieren kann. Das ist aber ein Iframe und damit werden ebenfalls Daten erfasst.

Teilweise nutze ich die kleine Produktbox, die man über den Amazon Site Stripe generieren kann. Das ist aber ein Iframe und damit werden ebenfalls Daten erfasst. Google Font

Ebenfalls im Einsatz sind Google Fonts auf meiner Nischenwebsite. Diese werden über eine Google-URL eingebunden.

Ebenfalls im Einsatz sind Google Fonts auf meiner Nischenwebsite. Diese werden über eine Google-URL eingebunden. Cloudflare

Es wird auch ein Script für den „Cookie Consent“ Cookie-Hinweis über das Cloudflare-CDN eingebunden.

Es gibt hier also auch einig externe Einbindungen, die hinsichtlich der DS-GVO relevant sind. Viele Experten sind der Meinung, dass es hier reicht einen Hinweis in die Datenschutzerklärung zu schreiben.

Bei der Analyse kann man sich auch von externer Dienstleistern helfen lassen, was aber recht teuer ist. Alternativ kann man einen Service wie webseitenschutzpaket.de nutzen. Dieser ist kostenpflichtig und führt eine automatische Analyse der eigenen Website durch.

Ich habe das mal getestet und es wurden mir einige der schon genannten Dinge aufgezeigt. So ein Service hilft also, aber man sollte immer auch manuell die eigene Website prüfen.

Was brauche ich wirklich noch?

Bevor ich in den nächsten Teilen dieser Artikelserie dazu kommen, welche Informationspflichten sich bezüglich der gesammelten personenbezogenen Daten ergeben und wie man z.B. Opt-In und Opt-Out umsetzen kann, sollte man erstmal prüfen, welche dieser Daten man überhaupt noch speichern darf.

Überwiegt das Interesse der Person gegenüber dem Interesse des Website-Betreibers und hat man weder eine aktive Einwilligung, noch ergibt sich aus Artikel 6 DS-GVO eine andere Rechtfertigung (z.B. gesetztliche Vorschrift), dann darf man die Daten nicht speichern.

Bei meiner Website sehe ich das aktuell für keine der Daten, die erhoben werden. Ob das dann später andere auch so sehen, bleibt abzuwarten.

Mehr Sorgen macht mir die Forderung, dass unabhängt davon der Besucher immer auch eine Opt-Out Möglichkeit haben muss. Auch hier sehe ich es kritisch, denn z.B. bei der VG Wort wäre das ein Eingriff in ein gesetzliches Recht, dass ich habe. Ich sehe es nicht ein, dass der Nutzer mich einfach um die VG Wort Vergütung bringen kann. Aber gut, auch das wird sicher in den kommenden Monaten noch alles diskutiert.

Zudem sollte man dennoch immer überlegen, was man von diesen Daten wirklich braucht und worauf man verzichten kann.

Ich habe im Folgenden mal 2 Vorgehensweisen für meine Nischenwebsite skizziert. Eine ökonomisch sinnvolle und eine extreme.

Ökonomisch sinnvolle Lösung

Google AdSense würde ich nur ungern entfernen, da ich dann auf Einnahmen verzichten müsste. Zudem reden wir hier von Google und da wird es schon eine Lösung geben, mit der auch die Datenschützer zufrieden sind. Ob ich AdSense aber dennoch zum 25.5. erstmal rausnehme, werde ich noch entscheiden.

Bei Google Analytics sehe ich kein Problem. Die bisherige Opt-Out Möglichkeit in der Datenschutzerklärung wird wohl reichen. Schließlich habe ich schon ein berechtigtes Interesse und es gibt zudem die IP-Anonymisierung, die man in Deutschland ja nutzen muss. Die Daten aus der Statistik sind für mich wichtig, da ich damit meine Website optimiere.

Die Amazon-Bilder über die API-Einbindung werde ich wohl auch weiter nutzen. Bisher hat man vom PartnerNet allerdings noch nichts bzgl. der DS-GVO gehört. Das ist schade.

Das Amazon Widget, welches ein iFrame nutzt, werde ich allerdings rausnehmen.

Beim Google Font sollte ebenfalls ein Hinweis in der Datenschutzerklärung reichen. Aber ich habe auch kein Problem damit den Google Font nicht mehr zu nutzen. Zudem habe ich im Netz auch schon Anleitungen gesehen, wie man einen Google Font lokal auf dem eigenen Server speichert.

Die Cookie Consent Einbindung über das Cloudflare-CDN sollte ebenfalls relativ einfach lokal einzubinden sein.

Insofern würde sich also gar nicht so viel ändern. Lediglich die Informations- und Dokumentations-Pflichten sind strenger geworden, aber dazu komme ich später.

Ein gewisses Risiko würde aber weiter mitschwingen, da einiges eben noch nicht so klar ist.

Extremlösung

Wer wirklich auf Nummer sicher gehen will, muss zu einer Extremlösung greifen. Das würde bedeuten, alles Externe aus der eigenen Website zu entfernen.

Google AdSense müsste man genauso entfernen, wie Google Analytics. Ebenso sollten keine externen Bilder, Scripte, Fonts etc. eingebunden sein. Dann kann man auch auf den Cookie-Consent Hinweis verzichten, da ja kein Hinweis mehr nötig ist.

Allerdings ist das ökonomisch weder sinnvoll, noch vom Gesetzgeber in dieser extremen Form gewollt. Man würde Einbußen bei den Einnahmen hinnehmen müssen und damit würden die Interessen des Unternehmers leiden.

Mittel- bis langfristig würde es ohne Besucher-Daten auch schwierig werden die Website weiterzuentwickeln. Es wäre ein Blindflug, da man z.B. keine Einblicke in die Auswirkungen von Änderungen, neuen Inhalten, einem neuen Layout etc. mehr hätte.

Deshalb halte ich diese Extremlösung für stark übertrieben. Bis auf Google AdSense halte ich alles auf meiner Nischenwebsite für unproblematisch. Die Aktualisierung der Datenschutzerklärung sollte reichen. Und bei AdSense muss man dann halt sehen, wie es weitergeht.

Am Ende muss aber jede/r selber entscheiden, was weitergenutzt und auf was verzichtet werden soll.

So geht es weiter

Das war die Analyse meiner Nischenwebsite. Damit ist der erste Schritt der DS-GVO Anpassung abgeschlossen und im nächsten Teil geht es dann weiter.