Datenschutz in der Post-DSGVO-Zeit
Wie vermutlich viele andere Berufskollegen auch, habe ich in den letzten Monaten zahlreiche Websites an die neuen rechtlichen Gegebenheiten angepasst. In diesem Artikel möchte ich mal zusammenfassen, was geändert werden musste und warum.
Eins aber vorab: Ich bin Mediengestalter und kein Jurist – somit weder fachlich noch rechtlich in der Lage in Sachen Rechtsauslegung und Gesetzeskonformität zu beraten. Dieser Artikel spiegelt lediglich mein aktuellen Kenntnisstand und Best-Practices meiner Branche wider. Ich habe von Februar bis Mai – neben dem Verodnungstext selbst – gefühlt dutzende DSGVO-Ratgeber gelesen, um mich selber für das Thema zu sensibilisieren. Ich halte mich also für einigermaßen fit – garantieren kann ich aber aus eben genannten Gründen für nichts.
Datenschutz wurde in Deutschland schon immer mit vergleichsweise hoher Priorität behandelt aber nach dem 25. Mai, dem Ende der Übergangsfrist für die Datenschutzgrundverordung, wurde noch mal einiges verschärft. Und es wurden auch neue Anforderungen an den Umgang mit Daten gestellt, die es in dieser Form bislang nicht gab. Allem Wehklagen über den Anfallenden Mehraufwand zum Trotz ist die Grundidee hinter der DSGVO, nämlich ein europaweit einheitlicher Standard für den Datenschutz, jedoch prinzipiell zu begrüßen. Und tatsächlich führte das Ende der DSGVO-Übergangsfrist bei vielen zum Überdenken bisher üblicher Praktiken, nicht zuletzt auch bei mir selbst. Dabei standen und stehen vor allem Websites im Fokus teils hektischer Überarbeitungsmaßnahmen – denn anders als bei Datenverarbeitungspraktiken im Unternehmen sind potentielle Datenschutz-Lücken auf Websites oftmals von Jedermann einsehbar, etwas technisches Know-How vorausgesetzt.
Das waren die häufigsten Änderungsarbeiten an Websites in den letzten Monaten
Google Analytics entfernen (wenn ungenutzt)
Lange Zeit war es „trendy“ Google Analytics in die Website einzubauen, um anhand schöner bunter Grafiken die Besucherzahlen der Website verfolgen zu können und Einblicke in das Such- und Surfverhalten der Nutzer zu erhalten. Fast jeder Auftraggeber wollte das haben. Nicht selten blieb das Analytics-Dashboard dann jedoch nach der anfänglichen Euphorie geschlossen, die Auswertungen ungeöffnet. In diesen Fällen habe ich nun Google Analytics (natürlich nach Rücksprache mit dem Auftraggeber) komplett aus der Website entfernt. Denn selbst mit aktivierter Funktion zum Anonymisieren der IP-Adressen, werden von Analytics immer noch genügend Daten erfasst um einen Nutzer wieder zu erkennen – insbesondere aber nicht ausschließlich wenn dieser gerade in seinem Google-Konto angemeldet ist. Daher sollte der Analytics-Code nicht länger als nötig auf der Website verbleiben.
Google Analytics Nutzung verbessern
Natürlich gibt es auch Auftraggeber, die entweder selber regelmäßig ihre Analytics-Reports anschauen oder deren SEO/SEM-Agentur die Metriken zur Verbesserung der Website benötigen. In diesem Fall habe ich eine Opt-Out-Möglichkeit integriert mit der Nutzer die Analyse zukünftig unterbinden können. Außerdem legt Google Analytics Cookies für die Wiedererkennung von Nutzern im Browser ab, Cookies die technisch nicht für die Funktion der Website notwendig sind. Daher habe ich dort außerdem ein Cookie-Banner mit Hinweis auf den Cookie-Einsatz und Link zur Datenschutzerklärung integriert (in welcher natürlich auch die Analytics-Nutzung offengelegt wird). Außerdem habe meinen Auftraggebern aufgetragen einen Auftragsverarbeitungsvertrag mit Google für die Nutzung von Analytics zu schließen. Hausaufgaben, gewissermaßen.
Von Google Analytics auf Matomo umsteigen
Im Gegensatz zum Google-Dienst ist „Matomo“ (vormals „Piwik“) ein Open-Source-Analyse-Tool welches man auf seinem eigenen Server installieren kann. Damit verlassen die gesammelten Nutzungsdaten nicht unnötigerweise den eigenen Hoheitsbereich. Natürlich wäre der Hoster technisch in der Lage, die Daten auf dem Server einzusehen aber auch dafür gibts inzwischen bei jedem deutschen Hoster die Möglichkeit zum Abschuss eines Auftragsverarbeitungsvertrags in welchem der Hoster den datenschutzkonformen Umgang mit den Daten zusichert. Wie bei Google Analytics auch, ist jedoch ebenso bei der Nutzung von „Matomo“ die Opt-Out-Möglichkeit und der Cookie-Hinweis obligatorisch. Tracking ist Tracking.
Google-Fonts und CDNs entfernen
Insbesondere bei WordPress-Themes ist es (auch heute noch) nicht unüblich, dass Schriften von Google, einige Skripte von CDNs (Content Delivery Networks) wie Cloudflare oder auch Google geladen werden. In Sachen Performance macht das auch durchaus Sinn: So kann der einmal für Website A heruntergeladene Schriftsatz auch für Website B genutzt werden (wenn diese die gleiche Schriftart nutzt) und das populäre Javascript Framework jQuery von Website A ebenfalls erneut für Website B. Das Problem dabei ist, dass der Browser für den Abruf der Ressourcen einen HTTP-Request an den fremden Server senden muss und dabei neben der IP-Adresse des Nutzers unter anderem auch Browser und Betriebssystem im HTTP Request Header preisgibt. Daten, die inzwischen als personenbezogen eingestuft sind und daher nicht an Dritte weitergeben werden sollten. Deshalb habe ich auf mehreren Sites die Google Fonts und Skripte durch Kopien auf dem eigenen Server ausgetauscht.
Fremdinhalte entfernen
Google Maps, eingebettete Youtube-Videos und Twitter-Posts wurden ebenfalls weiträumig entfernt wo sie nicht unbedingt erforderlich waren. Denn auch hier verpetzt der Browser beim Abruf der Inhalte von fremden Servern die IP-Adresse des Nutzers im HTTP Request. Dort wo sie erforderlich waren, wurde die Datenschutzerklärung entsprechend geändert, um auf diese Inhalte gezielt hin zu weisen.
Kontaktformulare ändern
Da die DSGVO unter anderem auf Datensparsamkeit abzielt, habe ich bei einigen Kontaktformularen die Pflichtfelder auf das für die Bearbeitung der Anfrage nötige Minimum reduziert. Dieses Minimum variiert natürlich ein wenig von Fall zu Fall aber z.B. ist in den wenigsten Fällen eine Anschrift für die Bearbeitung der Anfrage notwendig. Außerdem habe ich häufig noch eine Checkbox ergänzt, durch deren Anklicken der Nutzer bestätigt die Datenschutzerklärung gelesen zu haben und sich mit dem Übermitteln und Senden der eingegebenen Daten einverstanden erklärt. Eigentlich sollte es ja jedem klar sein, dass das Klicken des Senden-Buttons an einem Kontaktformular auch eben dies bewirkt aber auch hier gab es schon abenteuerliche Urteile. Art. 6 der DSGVO nennt Erlaubnistatbestände in denen die Datenerhebung in Ordnung ist und beschreibt dort unter lit. a die ausdrückliche Zustimmung. Somit ist die Checkbox vermutlich die sichere Nummer – auch wenn es da natürlich anderslautende aber trotzdem nachvollziehbare Meinungen gibt.
Außerdem habe ich dort wo technisch möglich, die Speicherung der Formulareingaben in der Datenbank des CMS stark eingeschränkt oder gänzlich unterbunden.
Website mit Transportverschlüsslung
Damit die eingegeben Daten in ein Kontaktformular auch sicher, also verschlüsselt, zum Server übertragen werden, habe ich Websites mit Formularen auf HTTPS umgestellt. Prinzipiell ist es heutzutage immer eine gute Idee HTTPS gegenüber unverschlüsseltem HTTP zu bevorzugen – auch wenn man kein Kontaktformular oder ähnliches auf der Website einsetzt. Ich hatte letztes Jahr schon mal darüber geschrieben.
Neue Datenschutzerklärung
In allen Fällen haben mir Auftraggeber neue Datenschutzerklärungen bereitgestellt (meist aus einem Generator), die an die Erfordernisse der DSGVO angepasst sind. Im Gegensatz zu bestehenden Datenschutzerklärungen verlangt die DSGVO unter anderem die Nennung der Rechtsgrundlage für Datenerhebung, der Speicherdauer, der Möglichkeiten zur Beauskunftung gespeicherter Daten und der Möglichkeiten zum Widerruf und Löschung.
Update des CMS
Last but not least haben viele Auftraggeber die nun ohnehin notwendig werdende Arbeit an der Website dazu genutzt, das Update der eingesetzten Content Management Systeme zu ordern. Denn was nützen die besten Datenschutzvorkehrungen wenn sich böswillige Hacker (ich unterscheide das bewusst, denn hacken an sich ist nichts Böses) sich über eventuelle Schwachstellen in veralteter Software hintenrum Zutritt zum System verschaffen.
Ein Fazit
In Summe haben diese und andere Maßnahmen dazu beigetragen, die Websites sicherer für die Besucher und deren Daten zu machen. Insofern auf jeden Fall ein Erfolg der DSGVO.
Die oben aufgeführten Änderungsarbeiten fand übrigens statt, weil oftmals Auftraggeber auf mich mit der Frage zukamen „Müssen wir was machen?“ oder weil ich Ihnen den Hinweis auf die nötigen Änderungen gegeben hatte. Dabei kann ich nicht gänzlich ausschließen, dass ich einen Auftraggeber aus Projekten vor mehreren Jahren übersehen habe. Sollte ich Sie also vergessen haben, stehe ich natürlich gern erneut zu Ihrer Verfügung.
Beste Grüße
André Herdling