Abmahnungen nach der DSGVO im Risiko-Check

Facebook
XING
Twitter

Die DSGVO treibt Seitenbetreibern, Agenturen und Freelancern den Schweiß auf die Stirn. Hysterisch sollten Sie aber nicht werden, wie ich ihnen im folgenden Beitrag zeigen will.

Die DSGVO-Risiken für Seitenbetreiber im Überblick

Aus welchen Richtungen droht Seitenbetreibern potenzielle Unbill? Sind es die betroffenen Personen und in der Folge die Aufsichtsbehörden, sind es die Wettbewerbsverbände und die Verbraucherschutzeinrichtungen? Oder ist es die Abmahnindustrie, die sich hinter klangvollen Namen verbirgt?

Eine rechtmäßige Datenverarbeitung auch dann zulässig, wenn es dem beschwerdeführenden Individuum nicht gefällt. Hier wird nicht etwa dem Belieben aller ein Einfallstor eröffnet. Wir bewegen uns auch mit der DSGVO auf dem gerichtlich überprüfbaren Boden unserer Rechtsordnung mit all ihren Errungenschaften, wie etwa dem Einzelfallgrundsatz.

Immerhin ist auch das Thema Datenschutzerklärung für Seitenbetreiber nicht eben neu. Schon bislang mussten wir gut sichtbar auf unseren Seiten erklären, wie wir die personenbezogenen Daten unserer Besucher erheben, verarbeiten und nutzen. Auch das Auskunftsrecht des Nutzers gehörte schon in diesen Hinweis, wie auch die Verpflichtung, diese Daten vor dem Zugriff Dritter zu schützen.

Was wir grundsätzlich überprüfen müssen, ist, ob wir uns in jedem Fall der Datenverarbeitung an den nun wichtig gewordenen Grundsatz der Datensparsamkeit halten. So dürfen Sie jeweils nur solche Daten erheben, die für die konkrete Verarbeitung erforderlich sind. Für die Newsletter-Anmeldung ist das, ganz streng genommen, nur die E-Mail-Adresse.

Auch im Hintergrund abgefragte Daten dürfen nur dann erhoben werden, wenn es erforderlich ist. So werden Sie in nahezu allen Fällen künftig auf die Erhebung der IP-Adresse verzichten müssen. Das ist indes technisch kein Problem, sondern bedarf lediglich der entsprechenden Konfiguration.

In den Sand sollten Sie ihren Kopf natürlich auch nicht stecken. (Foto: Depositphotos)

Damit sind Sie dann, was den eigentlichen Zweck der DSGVO, nämlich den Schutz der personenbezogenen Informationen für das Individuum, betrifft, auf der sicheren Seite. Wir haben hier in all den Jahren Dr. Web noch nie ein Problem mit einer Besucherin oder einem Besucher gehabt, soweit es um die Einhaltung der Datenschutzregeln ging. Nicht einmal eine einzige Auskunftsanfrage ist hier eingegangen. Das war immerhin schon bisher möglich.

Die eigentlichen Gefahren gehen also nicht vom individuellen Schutzzweck der Verordnung aus, sondern kommen aus anderen Richtungen.

Gefahren für Seitenbetreiber, die von Verbraucherschutzorganisationen ausgehen

Kennen Sie das Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen? Dieses Gesetz jedenfalls berechtigt seit dem 24. Februar 2016, also auch schon seit gut zwei Jahren, unter anderem Verbraucherschutzorganisationen Verstöße gegen Datenschutzvorschriften, soweit es sich um Regelungen zum Verbraucherschutz handelt, geltend zu machen. Voraussetzung ist hier stets, dass die zu beurteilende Maßnahme das Verhältnis zwischen einem Unternehmer und einem Verbraucher betrifft.

Wer in Deutschland zu diesen Organisationen gehört und dementsprechend die Berechtigung hat, Sie im Zweifel abzumahnen oder gerichtlich gegen Sie vorzugehen, können Sie dieser Liste des Bundesamts für Justiz (PDF) entnehmen. Es gibt auch ein europäisches Verzeichnis. Ebenfalls berechtigt sind die Industrie- und Handelskammern, sowie die Handwerkskammern.

Einer muss ja mal genauer hinschauen. (Foto: Depositphotos)

Diesen Verbänden brauchen wir nun wirklich keine Abmahnwut zu unterstellen. Sollten Sie mit einer dieser Einrichtungen in einen Datenschutz-Konflikt geraten, dann werden Sie wissen, warum. Das Gesetz schließt dabei aber sogar ausdrücklich eine „missbräuchliche Geltendmachung” aus.

Gefahren für Seitenbetreiber, die von Wirtschaftsverbänden ausgehen

Neben den Verbraucherschutzorganisationen können sich auch Wirtschaftsverbände auf das eben genannte Gesetz stützen und gegen Rechtsverletzer vorgehen. Sollten Sie also Post von einem Wirtschaftsverband bekommen, dann schaut man erstmal in den § 1 der Unterlassungsklageverordnung und sieht nach, ob der Absender mit seiner Adresse darin aufgelistet ist.

Auch wenn es sich hier um die institutionalisierte Repräsentanz der Wirtschaft handelt, müssen Sie nicht davon ausgehen, dass es zu Massenabmahnungen kommen wird.

Gefahren für Seitenbetreiber, die (angeblich) von der lieben Konkurrenz ausgehen

Kommen wir also nun zu jenen, die schon in der Vergangenheit für den meisten Ärger in der Seitenbetreiberschaft gesorgt haben, nämlich die Anwaltschaft (versteckt hinter Mandanten).

In diesen Fällen wird es immer um das Gesetz gegen den unlauteren Wettbewerb (UWG) gehen. Damit ist es unter Umständen möglich, gegen Sie wegen eines Verstoßes gegen die DSGVO vorzugehen. Aber…

Nach dem UWG handelt unlauter, „wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen” (Zitat, § 3a UWG).

Der Sie abmahnende Anwalt müsste also nun den Verstoß gegen eine Datenschutznorm zu einem Verstoß gegen eine Marktverhaltensregel umdeuten. Zudem müsste man diesen Verstoß absichtlich begangen haben, um ihnen ungerechtfertigt einen Marktvorteil gegenüber ihren rechtstreuen Wettbewerbern zu verschaffen. So sieht es jedenfalls der Bundesgerichtshof.

Ohne Worte. (Foto: Depositphotos)

Rechtlich nicht unumstritten ist die Frage, ob eine Datenschutznorm, die ja das Recht des Individuums schützen soll, überhaupt eine solche Marktverhaltensregelung sein kann. Das wird von der Mehrzahl der Gerichte in jedem Einzelfall, also im Fall einer konkreten Klage geprüft, von manchen aber rundheraus verneint.

Wie wahrscheinlich ist die Abmahnung und warum?

Damit Sie ein Anwalt abmahnen kann, muss er natürlich einen Verstoß identifizieren können. Ob ganz hinten in ihrem CRM-System vielleicht noch nicht alle IPs anonymisiert sind, kann er nicht beurteilen.

Es kann demnach bei solchen Abmahnungen immer nur um erkennbare Verstöße gehen. Ein solcher Verstoß, bei dem auch die Gerichte häufig vom Charakter einer Marktverhaltensregelung ausgehen, läge etwa vor, wenn man keine oder nur unzureichende Datenschutzhinweise auf ihren Seiten vorhält oder erkennbar keine Einwilligungen abfordert, sowie personenbezogene Daten außerhalb der Erforderlichkeit (zB Abfrage der Schuhgröße bei der Anmeldung zum Newsletter) erheben würde.

All das kann natürlich von außen recht einfach identifiziert werden, ist aber ebenso leicht auch zu vermeiden.

In Sachen DSGVO werden hier die Karten insofern neu gemischt, als einer der bekanntesten Wettbewerbsrechtler Deutschlands in seinem Kommentar zum UWG (36. Auflage 2018, § 3a Rn. 1.40a und 1.74b, Köhler) klar schreibt, dass „Verstöße gegen die DS-GVO … daher nicht nach § 3a verfolgt werden” können. Mitherausgeber dieses Kommentars, der übrigens als Standardwerk gilt, ist ein Richter und Mitglied des für UWG-Fälle zuständigen I. Zivilsenats des Bundesgerichtshof. Das ist eben jener Senat, der schlussendlich die Frage, ob Verstöße gegen die DSGVO wettbewerbsrechtlich relevant sind,beantworten wird. (Quelle: Löffel Abrar)
Ich finde diese Ansicht eines juristischen Schwergewichts jedenfalls schon mal beruhigend.

Abmahnung kommt, was tun?

Was wir uns stets vor Augen führen müssen, ist die Tatsache, dass die DSGVO das sprichwörtliche Neuland ist. Rechtsprechung dazu gibt es noch nicht und wer welche Ansprüche hat, sowie geltend machen und letztlich durchsetzen kann, wissen wir nicht.

Genauso geht es auch den Abmahnern! man kann sicher sein, dass diese zwar im Zweifel felsenfest behaupten werden, einen Anspruch zu besitzen. Deren Schreiben werden furchterregend klingen. Aber was dahinter steckt, weiß nur der Richter, der die Frage bislang nicht entscheiden musste.

Sie sollten also, selbst wenn ihnen eine Abmahnung ins Haus flattert, Ruhe bewahren. Erstmal ist diese Abmahnung nichts anderes als die Meinungsäußerung eines Anwalts.

Inwieweit dieser wirklich von seinem Anspruch überzeugt ist, ist zusätzlich unklar. Wenn seine Zielsetzung gar nicht darin besteht, dass man den Rechtsverstoß unterlässt, sondern darin, dass man die Abmahngebühren bezahlt und die Unterlassungserklärung unterschreibt, braucht ihn die substanzielle Beurteilung ja auch nicht zu interessieren.

Oder anders ausgedrückt, wenn man blöd genug ist, direkt zu zahlen, ist das Geschäft doch gemacht, ob der eigentliche Anspruch nun rechtmäßig ist oder nicht.

In der Regel wird die Abmahnung eine Kostennote über die Kosten der Abmahnung, sowie eine Unterlassungserklärung beinhalten. Manche Hartgesottene trauen sich überdies, Schadenersatz zu beziffern und zu verlangen.

Wenn man nun hergeht, und die Unterlassungserklärung unterschreibt, schließt man damit einen Unterlassungsvertrag mit dem Abmahner. Dann hat dieser tatsächlich den Anspruch, den er bis dahin nur behaupten brauchte. Denn Verträge sind bindend und können frei geschlossen werden. Man hätte ja nicht unterschreiben brauchen. Und genau das sollten Sie dann auch nicht tun.

Solange ein Richter kein Urteil spricht, ist der Rechtsstreit ungeklärt. (Foto: Depositphotos)


Wenn der Abmahner mit seiner Abmahnung bei ihnen unmittelbar nicht durchkommt, weil man weder zahlt, noch unterschreibt, müsste er seinen vermeintlichen Anspruch rechtlich, also vor Gericht durchsetzen. Dabei steht ihnen dann der Weg durch die Instanzen offen. Mehrere Gerichte befassen sich im Zweifel mit der Frage. Und ob hier der flugs herbei behauptete Anspruch des Abmahners Bestand behalten wird, ist mehr als fraglich.

Fraglich ist zudem, ob der Abmahner das überhaupt will. Denn, wenn Gerichte entscheiden, dass wettbewerbsrechtliche Ansprüche aus der DSGVO tatsächlich nicht abzuleiten sind, dann ist Schluss mit Abmahnen. Und das nicht nur bei dir. Da könnte es für die Abmahner durchaus lukrativer sein, die Frage unentschieden zu lassen und von der Furcht derer, die tatsächlich zahlen, auf Dauer zu profitieren.

So setzt man als Seitenbetreiber die DSGVO um

Die Berichterstattung zur DSGVO ist von Panikmache geprägt. Manch einer will schon die digitalen Brocken hinschmeißen. Was WordPress-Seitenbetreiber beachten müssen, zeige ich ihnen im folgenden Beitrag.

DSGVO: Kein Grund zur Panik

Wenn man Sie indes unaufgeregt über die DSGVO und ihre Auswirkungen auf Seitenbetreiber informieren willt, dann empfehle ich ihnen meinen Beitrag im Mittwald-Blog. Der hieß ursprünglich „Die DSGVO ist nicht der Untergang der Welt“, was der Panikmache mal einen nicht weniger alarmistischen Widerpart entgegensetzen sollte. Verständlich, dass Mittwald lieber den weniger reißerischen Titel „Gut organisiert und vorbereitet stellt die DSGVO kein Problem dar!“ wählte.

So oder so. Fakt ist, dass die DSGVO Änderungen in der Art und Weise, wie wir die Daten unserer Nutzer erheben und verarbeiten, erforderlich macht. Dennoch sind wir in Deutschland vergleichsweise minimal betroffen, weil wir mit unseren nationalen Datenschutznormen ohnehin schon recht weit vorne dabei waren. So ist vieles, was die DSGVO nun bringt, maximal eine detailliertere Klarstellung bereits gültiger Grundsätze.

Die größte Angt, die den Seitenbetreiber umtreibt, dürfte natürlich die vor dem 20 Millionen Euro schweren Bußgeld sein. Webworker, Freelancer, Agenturen und auch Otto Normalseitenbetreiber brauchen sich eher nicht vor den Summen zu fürchten – selbst bei Verstößen, die man natürlich vermeiden will und soll, muss es nicht gleich an die Existenz gehen. Der entsprechende Artikel 83 der DSGVO formuliert dazu, dass „die Verhängung von Geldbußen […] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend” sein muss. Einen Mindestbetrag für das zu erhebende Bußgeld setzt die Verordnung nicht fest.

Schon bislang lag der Bußgeldrahmen bei bis zu 300.000 Euro. Und, ich weiß ja nicht, wie ihre Finanzen so aussehen, aber in meinem Falle wäre es von der Wirkung her schon jetzt das Todesurteil gewesen, hätte man mir die Maximalstrafe aufgedrückt.

Verstoß nach altem Recht: weniger schrecklich? (Illustration: Depositphotos)

Als Seitenbetreiber sind Sie seit etlichen Jahren mit dem Thema der „Datenschutzerklärung” mehr oder weniger vertraut. Diese wird durch die DSGVO in ihrer Bedeutung aufgewertet und bedarf mehr Ausführlichkeit. Damals waren es insbesondere die Cookies, die den Unmut der Datenschützer auf sich zogen.

Zu eben jenen und anderen kleinteiligeren Regelungsbedarfen erwarten wir in den nächsten Monaten noch die ergänzende ePrivacy-Verordnung, zu der bislang jedoch noch keine Beschlüsse vorliegen. Es liegt durchaus im Bereich des Denkbaren, dass die ePrivacy-Verordnung die größere praktische Relevanz für den durchschnittlichen Seitenbetreiber entfalten wird. Jetzt darüber zu schreiben, wäre allerdings nichts als Kaffeesatzleserei.

DSGVO: Ein einfacher Grundsatz, der nicht ganz so einfach ist

Nach der DSGVO ist die Verarbeitung von Daten dann zulässig, wenn diese Verarbeitung rechtmäßig ist. Klingt simpel, muss aber eben für jeden Fall geprüft und entschieden werden.

Anders als bisher brauchen man nun für jeden Fall der externen Datenverarbeitung einen Vertrag zur Auftragsverarbeitung (sog. AV-Vertrag). Das betrifft Google, wenn man Analytics verwendet, aber auch ihren Provider, der ja letztlich für Sie die Daten verarbeitet. Gleiches gilt für alle andere externen Datenverarbeiter, die man auf ihrer Seite im Einsatz hat. Sei es der Newsletter-Dienstleister, der Anti-Spam-Dient, der Kommentar-Service, die Backup-Lösung, der Shop-Anbieter und was man sonst noch so für Services nutzt, die nicht nur auf ihrem Webspace abgewickelt werden, sondern für die externes Processing genutzt wird.

WordPress und die DSGVO: Spezifische Probleme des populären CMS

Im letzten Absatz habe ich schon kurz angerissen, wieso WordPress ein besonders aufmerksames Auge erfordert. Anders als bei einer homogenen Website aus gutem alten HTML, die wir mehr oder weniger monolithisch in Code meißeln, basieren unsere WordPress-Seiten auf einem ganzen Ökosystem an Komponenten.

Lässt sich die Kerninstallation noch ganz gut hinsichtlich ihrer DSGVO-relevanten Probleme definieren, stellt jedes Plugin und jedes Theme und jedes Widget ein Problem eigener Art dar. Denn man weißt nicht, ob der Programmierer ihres Scroll-to-Top-Plugins seinen besonderen Wissensdurst mit Blick auf die Nutzer seines Plugins durch den Transfer einiger Transaktionsdaten stillen möchte. Und ob es dem Anbieter ihres tollen und noch dazu kostenlosen Themes nicht ähnlich geht.

Was entwickelt er hier denn schon wieder? (Illustration: Depositphotos)

Automattic arbeitet an Einstellungen > Privatsphäre

Wieso ich, mag man jetzt fragen. Das ist doch wohl in allererster Linie mal ein Problem vom WordPress-Hersteller Automattic und den Entwicklern aus dem Öko-System. Damit haben Sie natürlich Recht und es ist auch nicht so, dass sich Automattic aus der Verantwortung stehlen will.

Sicherlich ein bisschen spät, aber immerhin sind die Erfinder des WordPress auf die Idee gekommen, dass es innerhalb von WordPress eine eigene Übersicht zur Privatsphäre braucht. Diese soll sich künftig als Menüpunkt unter dem Hauptmenüeintrag „Werkzeuge” zeigen. Bislang gibt es da noch nichts zu sehen. Angekündigt sind die entsprechenden Änderungen für Ende April, Anfang Mai. Gut, wir haben jetzt die erste Maiwoche hinter uns. Geduld ist eine Tugend…

Abbildung: nicht DSGVO-konformer Mann (Illustration: Depositphotos)

Wenn es denn also die angekündigten Tools des Hauses Automattic gibt, dann werden Sie in der Lage sein, über die zentrale Übersichtsseite DSGVO-relevante Nutzeraktivitäten zu sehen. Zudem erhältt man die Möglichkeit, Anfragen von Nutzern, etwa zum Download ihrer Daten oder zur Anonymisierung zu bearbeiten.

Plugin-Entwickler, die ganz eigenständig zur Einhaltung der DSGVO verpflichtet sind, werden künftig in strukturierter Form beschreiben, welche Datenschutz-relevanten Vorgänge sie mitbringen, so dass man diese Informationen in ihrer neuen Datenschutzerklärung verarbeiten kann. Eventuell werden Sie auch mit dem Plugin-Entwickler einen AV-Vertrag schließen müssen.

Plugin-Entwickler dürfen sich beim konformen Umbau ihrer Lösungen der Hilfe von Automattic erfreuen, die ihr bereits bestehendes Plugin-Handbook um Informationen zu DSGVO und den neuen WordPress-Funktionen zur Privatsphäre erweitern werden.

Bis einer heult: Schmeiß nicht gleich ihre Plugins weg

Bevor man also nun ihren gesamten Plugin-Bestand überprüft und mit Tränen in den Augen ihre Lieblingsplugins wegwirft, empfehle ich dir, noch ein bisschen zu warten. Automattic ist noch nicht so weit und die Plugin-Entwickler zumeist auch nicht. Es ist aber davon auszugehen, dass sich die bedeutenden Anbieter durch die DSGVO nicht die Butter vom Brot nehmen lassen.

Reagier nicht über. Sonst kommt es noch dadurch zum Crash. (Illustration: Depositphotos)

So lesen Sie etwa derzeit, dass man den Newsletter-Service von Mailchimp besser nicht mehr verwenden solltet, weil ja die Verarbeitung auf US-Servern stattfindet und dabei jedenfalls personenbezogene Daten verarbeitet werden. Der zweite Teil des Satz stimmt unstreitig. Den ersten Teil des Satzes würde ich nicht unterschreiben.

Denn, ich schrieb es weiter oben schon, Datenverarbeitung ist dann zulässig, wenn sie rechtmäßig ist. Dass die Datenverarbeitung zur Versendung eines Newsletters rechtmäßig ist, wenn die Nutzer sich freiwillig in der vorgeschriebenen Form (Double Opt-In) eingetragen haben, daran hätte ich erstmal keinen Zweifel.

Möglich ist eher, dass dabei derzeit Informationen im Spiel sind, die nicht notwendigerweise für die konkrete Verarbeitung erforderlich sind. An diesem Punkt ist die DSGVO strikt. Man darf nur noch solche Daten erheben, die man für die konkrete Verarbeitung auch benötigt. Im Falle eines Newsletters dürfte das der Name und die E-Mail-Adresse sein, aber nicht mehr. Schon die IP-Adresse wäre in dem Fall kritisch. Und tatsächlich. Wenn man sich umschaut, wird sehr häufig die Verarbeitung der IP-Adresse als das kritische Element dargestellt.

Sogar Google Analytics ist unter dem Aspekt der DSGVO relativ unkritisch, wie mein Kollege Jan Meyer in einem eigenen ausführlichen Beitrag darstellen konnte. Wichtig ist, darauf zu achten, dass keine personenbezogenen Daten, also letztlich die IP-Adressen, an GA übertragen werden.

DSGVO: Vor Gericht und auf hoher See

Wenn man auf der vollkommen unangreifbaren Seite stehen willt, dann installieren Sie das Plugin Google Analytics Opt-Out von WP-Buddy. Dieses erlaubt dir, einen Opt-Out-Button per Shortcode einzubinden. Klickt ein Nutzer diesen Button, wird ein Cookie installiert, der Analytics daran hindert, seine Bewegungsdaten zu erfassen.

Ha. Wieso schreibt er was von „vollkommen unangreifbar”? Ist da vielleicht doch ein Haken im Feuer, mit dem man mir ordentlich das Fell versengen kann? Das haben Sie doch jetzt gedacht, oder?

Im Prinzip ist das Risiko kalkulierbar, solange das Boot dicht ist. (Illustration: Depositphotos)

Klar, es ist wie immer in der Juristerei. Vor Gericht und auf hoher See sind wir alle in Gottes Hand. Die DSGVO wird erst über die Rechtsprechung der kommenden Jahre wirklich rundgeschliffen werden. Vorher müssen wir qualifiziert bewerten und auch das ein oder andere Risiko eingehen, wenn unsere Bewertung desselben so ausgegangen ist, dass wir das können. Da kommen wir alle nicht dran vorbei. Auch hier dürfen wir allerdings davon ausgehen, dass es wirtschaftliche Schwergewichte gibt, die etwa bestehende Klärungsbedarfe relativ zügig zum Gegenstand rechtlicher Auseinandersetzungen machen werden. Das müssen wir beide nicht tun, aber wir profitieren vom Ausgang.

Dutzende wichtige Plugins sind bereits jetzt DSGVO-konform

Wenn man heute am Tag ihren Plugin-Bestand durchforsten und auf DSGVO-Compliance trimmen willt, dann schau ihnen diesen Beitrag bei Blogmojo an. Dort findet man bereits über 120 Plugins im ausführlichen Check.

Auch der Beitrag auf Blogmojo zeigt, dass Panik nicht erforderlich ist, denn in den zwölf untersuchten Plugin-Kategorien, von SEO über Anti-Spam zu Social Media, findet man stets mehrere Alternativen, die voll DSGVO-konform sind oder durch die Änderung einzelner Optionen konform gemacht werden können.

Wie Dr. Web die DSGVO umsetzte

Die Umsetzung der DSGVO ist ein ganzer Haufen Arbeit. Speziell dann, wenn man es für eine Seite erledigt, von der man weißt, dass sie unter Beobachtung steht. So bin ich dabei vorgegangen.

Im folgenden Beitrag erläutere ich ihnen einige der Entscheidungen, die ich im Rahmen der Umsetzung der DSGVO für Dr. Web getroffen habe. Ich werde allerdings nicht die komplette Datenschutzerklärung erläutern, denn die ist natürlich zu großen Teilen auch Fleißarbeit, besonders wenn es die juristisch korrekte Beschreibung eigentlich bislang selbstverständlicher Dienste betrifft.

Wenn man ein privater Seitenbetreiber ist, dann empfehle ich ihnen den Datenschutz-Generator des in der Branche bekannten Anwalts Dr. Thomas Schwenke. Dessen Texte erscheinen mir nach vielen Recherchen am durchdachtesten und praktikabelsten. Wenn man ein gewerblicher Seitenbetreiber ist, dann empfehle ich ihnen den gleichen Datenschutz-Generator, weise Sie aber darauf hin, dass Dr. Schwenke ihnen für die Nutzung 99 Euro plus Mehrwertsteuer in Rechnung stellen wird, was natürlich angesichts der Leistung, die man dafür bekommt, absolut ein Schnäppchen ist.

Was man allerdings nicht tun solltet, ist, den Datenschutz-Generator starten, die überschaubare Zahl an Fragen beantworten, den Text generieren, ihn einbauen und glauben, dass man damit fertig bist. Das ist der falsche Ansatz.

Erst die Abläufe prüfen und definieren, dann dokumentieren

Ich bin genau umgekehrt vorgegangen. Ich habe zunächst die Prozesse auf der Seite analysiert und, soweit nötig oder sinnvoll, verändert. So bin ich zu einem neuen Rahmen gekommen, der über Datenschutzhinweise abgedeckt werden musste. Und den habe ich dann zu einem Teil mit den teils abgewandelten Texten des Dr. Schwenke beschrieben.

Sie müssen zuerst die Abläufe definieren und sie danach erst beschreiben. Man wird im Verlaufe des Beitrags sehen, dass ich verschiedene bisherige Verarbeitungsvorgänge, um die ich mir (und man ihnen wahrscheinlich auch nicht) bis dato keine Gedanken gemacht hatte, darunter das Thema Gravatar, komplett beseitigt habe.

So bin ich ganz grundsätzlich so vorgegangen, dass ich alles, was an Drittverarbeitung nicht unbedingt nötig war, beseitigt habe. Je weniger Connections zu externen Servern, desto geringer das Risiko im Betrieb, war mein Credo.

Dann lass uns mal einsteigen in die Umsetzung der DSGVO auf Dr. Web.

Spam-Abwehr in Zeiten der DSGVO

Akismet ist praktisch, keine Frage. Aber man kann einen Dient, der jeden einzelnen Kommentar durch das Netz in die Staaten schickt, ihn dort nach allen Regeln der Kunst validiert und zu ihnen zurückschickt, nicht mehr verwenden. Genau genommen, konnte man das schon bisher nicht. Jedenfalls nicht guten Gewissens.

Wir setzen daher statt Akismet auf Antispam Bee. Antispam Bee wickelt die gesamte Spam-Erkennung mit den richtigen Einstellungen lokal ab und verwendet dabei (fast) keine Dienste Dritter.

Um auf der ganz sicheren Seite zu sein, sollten Sie von folgenden Einstellungen in Antispam Bee die Finger lassen:

Kommentaren mit Gravatar vertrauen: Hier wird Automattics Dienst Gravatar kontaktiert, wenn auch nur unter Verwendung der MD5-verschlüsselten E-Mail-Adresse. Der Nutzen ist mir zu gering, als dass ich da ein Risiko eingehen will.

Kommentare aus bestimmten Ländern blockieren oder zulassen: Diese Prüfung erfolgt auf der Basis der IP des Kommentierenden. Sie wird zwar verkürzt, aber immerhin ins Netz geschickt.

Kommentare nur in einer bestimmten Sprache zulassen: Um diese Einstellung durchzusetzen, nimmt die Bee Kontakt zum Google Übersetzer auf. Zwar werden ausschließlich die ersten zehn Worte des Kommentars übertragen, aber wer weiß schon, was der Kommentierende in diesen ersten zehn Worten geschrieben hat 😉

Produktdesign - Dokumentieren

Ansonsten ist Antispam Bee ein zuverlässiger Kämpfer gegen die Verschmutzung eurer Websites und verdient sich eine uneingeschränkte Empfehlung. Kostenlos ist es außerdem noch.

Kommentare in WordPress

Kommentare in WordPress, also selbst die guten, sind in zweierlei Hinsicht problematisch. Da gilt es zum einen, die Speicherung der IP-Adressen zu verhindern. Zum anderen verarbeitet man natürlich die Kommentare innerhalb ihres Systems, betreibt also Datenverarbeitung. Dazu benötigt man die Einwilligung der Nutzenden.

Das Problem mit den IP-Adressen

Die Kommentare in WordPress beinhalten im Normalfalle die IP-Adresse des Kommentierenden. Da es sich hierbei um personenbezogene Daten handelt, die man zudem für die Abwicklung der Kommentar-Administration nicht unbedingt benötigt, sollten Sie schlichtweg auf die Speicherung verzichten.

Der Verzicht ist relativ einfach erledigt. Wenn man vor Arbeiten am WordPress-Code zurückschreckt, verwendet man ganz einfach das Plugin „Remove IP”. Dies installiert und aktiviert man über das Backend. Weitere Einstellungen sind weder erforderlich, noch möglich. Fortan speichert WordPress die IP-Adressen ihrer Kommentierenden nicht mehr.

Wenn man einfache Arbeiten am Code schnell selber erledigt, können Sie auf das Plugin verzichten und folgenden Code-Schnipsel in die functions.php ihres Themes oder, wenn man damit arbeitet, was man solltet, Child-Themes eintragen.

 function  wpb_remove_commentsip( $comment_author_ip ) {
    return '';
    }
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Nun speichert WordPress von Haus aus zwar keine IP-Adressen mehr, aber man kann dennoch noch keinen Haken auf ihrer DSGVO-Checkliste machen.

Denn man hat ja noch das Problem mit den bereits gespeicherten IP-Adressen aus den ganzen Jahrzehnten ihrer erfolgreichen Seitenbetreiber-Tätigkeit. Hilft nix, hier müssen Sie von Hand ran.

Das Löschen der bereits gespeicherten IP-Adressen aus der Datentabelle wp_comments ihrer WordPress-Datenbank ist keine gefährliche Angelegenheit. Von daher bewahre die Ruhe.

Alles, was man brauchen, ist ein Zugang zu eben dieser Datenbank. Und der erfolgt, auch heutzutage noch, zumeist per phpMyAdmin aus dem Kunden-Interface ihres Webhosters heraus. Schauen Sie sich da mal um, man wird mit ziemlicher Sicherheit einen Menüpunkt namens Datenbanken finden. In der Regel können Sie dann direkt aus der Liste der Datenbanken phpMyAdmin aufrufen.

Hier findet man in der oberen Werkzeugleiste neben dem Punkt Struktur einen Menüeintrag namens SQL. Den klickt man an, woraufhin sich ein Editorfenster öffnet, in das man jetzt einen SQL-Befehl schreiben willt, nämlich diesen:

UPDATE wp_comments SET comment_author_IP = ' ';

Sollten Sie bei der Anlage der Datenbank unseren Tipps gefolgt sein, haben Sie möglicherweise ein anderes Tabellenprefix gewählt. Darauf müssen Sie jetzt achten und statt etwa wp_comments dann meintollesprefix_comments eingeben. Sonst funktioniert die Sache nicht.

Bevor man den SQL-Befehl auf ihre Datenbank los lässt, haben Sie für ein Datenbank-Backup gesorgt, weil man das natürlich sowieso immer tust.

Angst müssen Sie indes nicht haben. Der Befehl geht lediglich an den Inhalt des Feldes comment_author_IP und sollte von daher keinen Schaden verursachen.

Nachdem nun die Felder mit den IP-Adressen ihrer Kommentierenden leer sind, können Sie einen Haken auf ihrer DSGVO-Checkliste machen.

Einwilligung der Kommentierenden ist erforderlich

So, das Problem mit den IP-Adressen ist gelöst. Bleibt noch die generelle Einwilligung zur Verarbeitung einzuholen. Zu diesem Zweck verwenden wir das kostenlose Plugin WP GDPR Compliance.

WP GDPR Compliance unterstützt neben den Kommentaren auch noch WooCommerce, Contact Form 7 und Gravity Forms. Es setzt jeweils ein Kontrollkästchen, dessen Text man frei gestalten kannt, damit es nicht nur zur DSGVO, sondern auch zu ihrer Website passt.

Das Setzen des Hakens wird dann für Nutzende zur Pflichtaufgabe. Tun sie das nicht, können sie keinen Kommentar absetzen, ihre WooCommerce-Bestellung nicht zu Ende bringen, sowie keine Formulare aus CF7 oder Gravity Forms absenden.

Bei uns sehen die Einstellungen so aus:

Website - Bildschirmfoto

Weitere „Kleinigkeiten”

Die Kommentare machen doch eine ganze Menge Arbeit, wie man schon bis hierher gesehen hat. Wo wir einmal dabei sind, entfernen wir direkt zwei weitere potenzielle Datenschutzrisiken aus unserem WordPress:

Emoticons und Emoji

Die grafischen Entsprechungen gängiger Tastenbildchen kann WordPress seit gut vier Jahren automatisiert umsetzen. Dazu greift es über ein Javascript auf ein Automattic CDN zu. Es findet also ein Datentransfer statt, den man nicht sauber kontrollieren kann und den es sich wegen einer solchen Lappalie auch nicht sauber zu dokumentieren lohnt. Schmeißen wir den Risikofaktor für unsere DSGVO-Compliance deshalb einfach raus.

In den Schreiben-Einstellungen des WordPress-Backend findet man ganz oben unter dem Punkt „Formatierung” die Möglichkeit, gängige Emoticons, wie :-), in Grafiken umwandeln zu lassen. Die Umwandlung verursacht einen Zugriff auf einen externen Server, was wir unter Datenschutzgesichtspunkten für so eine Nichtigkeit wie ein Emoticon nicht riskieren wollen.

Wir nehmen den Haken also aus dem entsprechenden Kontrollkästchen:

Logo - Design

Um den ganzen Script-Overhead auch noch aus unserer Seite zu entfernen, haben wir einen entsprechenden Eintrag in unserer functions.php vorgenommen. Wenn man es ihnen leichter machen willt, sollten Sie einfach Ryan Hellyers Plugin „Disable Emoji” installieren.

Wenn man es so machen will wie wir, dann kopieren Sie diesen Code in ihre functions.php.

/**
 * Disable the emoji's
 */
function disable_emojis() {
 remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
 remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
 remove_action( 'wp_print_styles', 'print_emoji_styles' );
 remove_action( 'admin_print_styles', 'print_emoji_styles' ); 
 remove_filter( 'the_content_feed', 'wp_staticize_emoji' );
 remove_filter( 'comment_text_rss', 'wp_staticize_emoji' ); 
 remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email' );
 add_filter( 'tiny_mce_plugins', 'disable_emojis_tinymce' );
 add_filter( 'wp_resource_hints', 'disable_emojis_remove_dns_prefetch', 10, 2 );
}
add_action( 'init', 'disable_emojis' );

/**
 * Filter function used to remove the tinymce emoji plugin.
 * 
 * @param array $plugins 
 * @return array Difference betwen the two arrays
 */
function disable_emojis_tinymce( $plugins ) {
 if ( is_array( $plugins ) ) {
 return array_diff( $plugins, array( 'wpemoji' ) );
 } else {
 return array();
 }
}

/**
 * Remove emoji CDN hostname from DNS prefetching hints.
 *
 * @param array $urls URLs to print for resource hints.
 * @param string $relation_type The relation type the URLs are printed for.
 * @return array Difference betwen the two arrays.
 */
function disable_emojis_remove_dns_prefetch( $urls, $relation_type ) {
 if ( 'dns-prefetch' == $relation_type ) {
 /** This filter is documented in wp-includes/formatting.php */
 $emoji_svg_url = apply_filters( 'emoji_svg_url', 'https://s.w.org/images/core/emoji/2/svg/' );

$urls = array_diff( $urls, array( $emoji_svg_url ) );
 }

return $urls;
}

Der Code stammt aus dem eben beschriebenen Plugin, welches Open Source ist und erfüllt somit den Zweck in gleicher Weise.

Anstelle der functions.php können Sie für derlei Codeschnipsel auch stets ein seitenspezifisches Plugin verwenden, wie wir es ihnen in diesem Beitrag näher erläutert haben.

Gravatar

Gravatar ist ein weiterer beliebter Automattic-Dient, den man aus Datenschutzgründen besser abschaltet. Vor allem, weil der Nutzen, den der Dienst bringt, eher überschaubar ist.

Ein Gravatar ist ein Bildchen, das mit ihrer E-Mail-Adresse verknüpft ist. Dazu haben Sie auf Gravatar.com einen Account angelegt und ihre E-Mail-Adresse, sowie ihr Nutzerbild hinterlegt. Das haben Sie selbstverständlich vollkommen freiwillig getan. Und der Nutzen besteht auch ausschließlich darin, dass ihr Nutzerbild fortan überall da angezeigt wird, wo man ihre E-Mail-Adresse hinterlässt und eine Gravatar-Anbindung existiert.

Nun kann jeder Netzdienst die API von Gravatar abfragen, feststellen, ob man dort einen Account hast und ihr Bildchen zur Anzeige bringen. Das ist ihnen klar.

Was man möglicherweise nicht bedacht hat, ist, dass man auf diese Weise über alle möglichen Seiten hinweg getrackt werden kann. Übermittelt werden ein paar anonyme Daten, ihre pseudonymisierte IP und ihre (MD5-verschlüsselte) E-Mail-Adresse. (Ja, ich weiß, dass der Begriff Verschlüsselung streng genommen im Kontext falsch ist.) Aber das reicht ja schon, um dich im Netz zu identifizieren.

Es ist wie mit Payback. Legst man die Karte vor, weiß Payback, was man wo einkauft. Gravatar könnte wissen, was man wo kommentiert. Vereinfacht ausgedrückt.

Hinzu kommt für den Seitenbetreiber noch das Risiko, dass Nutzer eventuell rechtswidrige Bildchen für ihren Gravatar verwenden. Da diese dann aber auf der Seite des Betreibers angezeigt werden, trägt selbiger auch die Verantwortung im Sinne der Verbreitung des Bildguts. Dass die Übertragung automatisch von Automattic gemacht wird, man als Seitenbetreiber also überhaupt keinen Einfluss darauf hat, spielt dabei keine Rolle.

Da wir nach der Einführung der von unserer Bundesregierung weitgehend unkommentiert und unbeeinflusst gelassenen DSGVO erstmal mit allem rechnen müssen, vor allem damit, dass es Zeitgenossen geben wird, die sich einen Sport daraus machen werden, die Grenzen auszutesten, wollten wir das Gravatar-Risiko nicht nur für euch, sondern auch für uns nicht tragen.

Mit dem Plugin User Photo sorgen wir künftig dafür, dass registrierte Nutzer mit einem Bildchen repräsentiert werden, dass sie im Benutzerprofil hinterlegt, also hochgeladen haben. Dazu ist kein Kontakt zu einem externen Server erforderlich.

Um den Kontakt zu Gravatar.com abzuschalten, geht man in ihr Backend und klickt dort auf „Einstellungen” > „Diskussion”. Dort findet man folgende Einstellmöglichkeit:

Design - Dokumentieren

Wenn der Haken raus ist, ist alles gut.

Mailchimp am Kommentarfeld

Sie haben bestimmt gesehen, dass man sich von unserem Kommentarfeld aus zum Newsletter anmelden kann. Die Integration mit dem Kommentarfeld ist eine Funktion des Plugins Mailchimp für WordPress von Ibericode, welches wir in der kostenlosen Version verwenden.

Um die Konformität zur DSGVO zu erhalten, ist es erforderlich, einige Einstellungen zu setzen, die das Plugin jedoch unproblematisch vorhält. So sieht unsere Konfiguration zur Einbindung der Checkbox in das Kommentarfeld aus:

Bildschirmfoto - Linie

Die kritischen Punkte sind die folgenden:

  • Die Checkbox darf nicht standardmäßig angehakt sein. Natürlich darf der Haken auch kein Pflichtfeldeintrag sein.
  • Double Opt-In, also die nachträgliche Bestätigung per E-Mail, muss aktiviert sein.

Wenn man das so eingerichtet hat, ist die Einwilligung schon mal korrekt konzipiert.

MailChimp als Newsletter-Dienstleister

Nachdem wir schon das Kontrollkästchen für das Abonnieren aus dem Kommentarfeld heraus gesetzt haben, können Sie ihnen sicherlich denken, dass nichts grundsätzlich gegen MailChimp als Newsletter-Dienstleister spricht.

So wie eben beschrieben, konfiguriert man alle Formulare, von denen aus man Abonnenten akquirieren möchtet, z. B. beim Checkout in WooCommerce.

MailChimp beschäftigt nach eigenen Angaben bereits seit einem Jahr ein komplettes Team mit der Umsetzung der Vorgaben der DSGVO innerhalb seines Dienstes.

MailChimp ist nach den Grundsätzen des EU-US Privacy Shield zertifiziert. Die EU-Kommission hält diese Vereinbarung ausdrücklich für DSGVO-konform, so dass man als EU-Bürger grundsätzlich solchen Diensten zunächst trauen kann.

Das gilt jedenfalls so lange, wie der Europäische Gerichtshof nicht das Gegenteil entscheidet, wie damals beim Safe Harbor. Sollte es zu einer gegenteiligen Entscheidung kommen, ist gegebenenfalls schnelle Reaktion gefragt. Im Moment jedenfalls gehen selbst die Verordnungsgeber davon aus, dass Unternehmen, die unter dem Privacy Shield agieren, zu den Guten in Sachen Datenschutz gehören.

Was man auf jeden Fall tun muss, ist, einen Vertrag zur Auftragsdatenverarbeitung mit MailChimp zu schließen. Das können Sie direkt bei MailChimp an dieser Stelle erledigen. Dort findet man den Vertrag unter seiner englischen Bezeichnung als Data Processing Addendum.

Und man muss natürlich die etablierten Rechtsgrundsätze des E-Mail-Marketing einhalten. Dazu gehört vor allem der Double-Opt-In, der bedeutet, dass Anmeldende ihre Anmeldung nochmal ausdrücklich mit einem weiteren Klick aus einer separat versendeten E-Mail bestätigen müssen.

Im Rahmen ihrer Datenschutzhinweise müssen Sie dann offen legen, welche Daten an den Dienst übermittelt werden und wozu. Sehr ausführlich können Sie sich bei Dr. Thomas Schwenke zum Thema MailChimp und DSGVO informieren.

Wir haben in unseren Datenschutzhinweisen deutlich gemacht, dass MailChimp ein Erfolgstracking besitzt, mit deren Hilfe wir unter anderem sehen können, welche Links besonders häufig (oder überhaupt) geklickt oder wie oft der Newsletter geöffnet wurde. Es gibt hierzu die Meinung, das wäre eine Form von Spionage. Ich sehe es als eine unabdingbare Form des Dienstes am Kunden. Denn, wenn wir dauernd Links posten, die nicht geklickt werden, dann scheinen wir wohl am Abonnenteninteresse vorbei zu arbeiten. Das wollen wir selbstverständlich vermeiden. Insofern ist das Tracking der Newsletternutzung sowohl in unserem, wie auch im Abonnenteninteresse.

Neben den Datenschutzhinweisen enthält jede unserer Opt-In-E-Mails nochmal ausdrücklich alle Hinweise zur Datenverarbeitung. Die Opt-In-E-Mail ist jene, die versendet wird, um die Personen, die sich über die Website bereits zum Abo angemeldet haben, nochmal um die Bestätigung dieses Eintragungswunsches zu bitten. Reagiert jemand nicht auf diese Bestätigungsmail, erfolgt auch keine Eintragung in den Newsletter-Verteiler.

Newsletter-Anmeldung per Formular und Popup

Zu unserem Newsletter können Sie sich über alle Formulare auf unseren Seiten anmelden. Wir haben zwar eine dedizierte Anmeldeseite. Gleiches erreicht man aber auch über jedes Kommentar- oder unser Kontaktformular.

Vor der DSGVO nutzten wir noch ein kleines Anmeldewidget, welches sich fast überall schnell unterbringen ließ. Nachdem jetzt aber einiges an Information im Vorfeld der Anmeldung gegeben werden muss, sind wir auf voluminösere Lösungen ausgewichen.

Für die schnelle Anmeldung zwischendurch verwenden wir nun das WordPress-Plugin Boxzilla in der kostenfreien Version. Dieses erlaubt ihnen die freie Gestaltung eines Popups per Wysiwyg-Editor und bietet verschiedene flexible Trigger für die Einblendung des Popup-Inhalts, sowie den Ort des Erscheinens.

Bildschirmfoto - Linie

Was aber besonders interessant daran ist, ist, dass Boxzilla jedweden Shortcode verarbeiten und korrekt im Plugin darstellen kann. So konnte ich schnell und unkompliziert ein Anmeldeformular im bereits genannten WPForms gestalten und per Shortcode in Boxzilla einbetten. Schneller können Sie ein Anmeldepopup wohl nicht erstellen.

Damit das Anmelde-Popup während einer laufenden Besuchersitzung nicht alle Nase lang angezeigt wird, haben Besucher die Möglichkeit, das Popup zu schließen. Daraufhin versetzt es sich für eine Stunde in den Ruhezustand. Genau dafür muss es natürlich ein Cookie setzen, welches den Zeitpunkt des Schließens abspeichert. Mehr tut dieses Cookie nicht. Besucher, die Cookies abgeschaltet haben, sehen das Popup entsprechend öfter 😉

WPForms bietet GDPR-Compliance mit Bordmitteln

Anstelle eines der Dickschiffe der Branche benutzen wir das kleine Formular-Plugin WPForms in der Lite-Version. Hiermit ist die Einhaltung der DSGVO-Bestimmungen besonders einfach.

WPForms bietet in der neuen Version eine Checkbox, mit deren Hilfe man das Plugin vollständig konform betreiben kannt, ohne noch sonderlich Hand anlegen zu müssen. Ein Klick auf „GDPR Enhancements” reicht fast schon.

(Screenshot: D. Petereit)

In der Lite-Version unterbindet das Setzen des Häkchens das Generieren eines Cookies, dessen Inhalt eine zufällig erstellte UUID, also eine Identifikationsnummer, ist. In der Bezahlversion könnte man mit diesem Cookie etwa Geolocation oder Methoden der Behandlung nicht vollständig ausgefüllter Formulare betreiben. In der Lite-Version besteht lediglich die Möglichkeit, weitere Einträge desselben Formular-Ausfüllers anzeigen zu lassen, was im Verwendensfall als Kontaktformular reichlich nutzlos ist.

Damit ist unser Kontaktformular im Prinzip DSGVO-sicher. Natürlich müssen Sie stets auch den Inhalt des Formulars betrachten. Wenn man da nach personenbezogenen Daten fragt, muss diese Abfrage in sich ebenfalls wieder rechtskonform sein.

Hier geht es daher zunächst nur um die DSGVO-Konformität der technischen Lösung an sich. Die Macher von WPForms beschreiben die Details an dieser Stelle nochmal ausführlicher und befassen sich auch mit den Besonderheiten der Bezahlversion.

Um ihnen nun die Speicherung personenbezogener Daten über ein WPForms-Formular absegnen zu lassen, benötigt man wieder ein Kontrollkästchen mit entsprechendem Text. Teil der GDPR Enhancements ist, dass ihnen genau ein solches Kontrollkästchen nebst (englischem) Vorschlagstext im Form-Editor bereitgestellt wird. Den Text können Sie frei anpassen und auch nähere Erläuterungen finden im zugehörigen Beschreibungsfeld Platz.

So sieht das aus:

(Screenshot: D. Petereit)

WPForms erklärt es ihnen in diesem Beitrag im Detail.

Da das bereits erwähnte Plugin MailChimp for WordPress in der Lage ist, ein WPForms-Feld namens MailChimp zur Verfügung zu stellen, nutzen wir auch diese Stelle, um mögliche Abonnenten zu akquirieren. Durch das Beschreibungsfeld können wir die erforderlichen Hinweise zur Einwilligung in den Newsletterbezug an eben dieser Stelle zu geben und befinden uns auf der sicheren Seite.

Social Media: Es geht eigentlich nur Shariff

MashShare ist das leistungsstarke Plugin, das wir für die Anbindung an Social Media bislang genutzt haben. In die Funktionsvielfalt kann man sich verlieben. Mir indes ist es so nie gegangen. Ich fand die Optionen für ein Plugin, das eigentlich nur das Teilen von Inhalten auf sozialen Medien möglich machen soll, schon immer abschreckend – unser Techniker nicht…

Im Rahmen meines DSGVO-Checks stellte ich nun fest, dass MashShare drei Facebook-Tracker (Connect, Social Plugins und Social Graph) direkt beim Aufruf eines jeden Beitrags triggert, die sich nur abschalten lassen, wenn Facebook als Ganzes in MashShare abgeschaltet wird. Das würde bedeuten, LeserInnen können nicht mehr über Facebook teilen – keine Lösung.

Da ich jedoch der Auffassung bin, dass Facebook ohnehin schon viel zu viel Datenmaterial hat, will ich den Dienst nicht auch noch füttern, selbst wenn die Datensammelei im Hintergrund vielleicht über einen Eintrag in unseren Datenschutzhinweisen zu legitimieren gewesen wäre. Bekanntlich geht Facebook selber ja ganz nonchalant mit der DSGVO um…

Schon seit Jahren gilt das vom Heise-Verlag entwickelte Shariff als Vorzeigelösung für die Kombination aus Social Media und Datenschutz. Und mit dem Shariff-Wrapper liegt ein frisch geupdatetes WordPress-Plugin vor, das alles tut, was ein Teilen-Button-Konglomerat tun soll und dabei Facebook an der kurzen Leine hält.

Mit einem unterstützten Angebot von 32 Diensten bietet es für unsere Zwecke das Achtfache dessen, was wir tatsächlich anbieten wollen. Eingebaut, schnell mit Ghostery gecheckt: Facebook still.

Cookies und die DSGVO

Diese Website verwendet “Cookies”. Das sind kleine Textdateien, die Ihr Browser speichert, um die Benutzung einer Website einfacher, effektiver und sinnvoller zu gestalten.

So beginnt fast jeder Datenschutzhinweis zu Cookies, auch unserer. Unbedarfte Leserinnen und Leser solcher Passagen könnten also auf die Idee kommen, dass Cookies im Allgemeinen überhaupt kein Problem darstellen und von daher unkritisch abgenickt werden können.

Das stimmt aber leider nicht für jede Website auf unserem blauen Planeten, denn nicht alle sind so friedliche, freundliche Seitenbetreiber wie der gute alte Dr. Web. Hier nutzen wir Cookies nur für erforderliche Zwecke, etwa um dich als Käufer unseres Onlineshops wiederzuerkennen oder ihren Warenkorb zu speichern. Wir nutzen Cookies also exakt zu dem Zweck, zu dem sie dunnemals in 1994 von Netscape ersonnen wurden, nämlich, um zu erkennen, ob der Nutzer X der gleiche Nutzer X ist, der gestern schon da war.

Leider hat es die steigende Komplexität des Netzes mit sich gebracht, dass heutzutage nicht mehr nur die Seite, die man gerade besucht, Cookies auf ihrem Computer speichert, sondern teilweise auch die Dienste, die der Seitenbetreiber der Seite, die man gerade besucht. Das nennt man dann Third-Party-Cookies.

Generell gilt, dass Cookies nur von der Seite gelesen werden können, die sie auch gesetzt hat. Das sollte mal zur Beruhigung der Nutzer beitragen und es stimmt auch, wenn wir mal von kriminellen Machenschaften wie Cross-Site-Scripting absehen.

Wenn aber nun Facebook, Google und wie sie alle heißen auf Millionen von Besucherbrowsern ihre Cookies setzen, dann führt das dazu, dass diese Dienste Nutzer über alle Seiten hinweg tracken können, die die Dienste auf die ein oder andere Weise einsetzen. Deswegen werden Third-Party-Cookies auch Tracking-Cookies genannt. Mit ihrer Hilfe ist es den großen Anbietern möglich, quasi Bewegungsprofile von Nutzern im Netz zu erstellen.

Im realen Leben erfolgt sowas nur im Rahmen polizeilicher Ermittlungstätigkeiten und dafür müsste schon mal mindestens ein Anfangsverdacht gegen Sie vorliegen. Andererseits hätte diese Form des Bewegungsprofils das Ziel, Sie einer Straftat zu überführen. Bei der Datensammelei der Internetriesen geht es meist nur um die Optimierung der Werbung auf ihre Interessen hin. Da gibt es sogar Unterstützer, die so argumentieren, dass es doch, wenn ich schon Werbung sehe, besser ist, mich interessiert diese potenziell auch, als dass ich irgenihre Werbung angezeigt bekomme. Kann man so sehen, muss man nicht.

Als Seitenbetreiber haben Sie nur begrenzte Möglichkeiten, dieses Tracking ihrer Besucher zu unterbinden. Das gilt vor allem dann, wenn man auf Werbeeinnahmen angewiesen ist. Alle (!) Werbenetzwerke und große Werbetreibende spielen über die Werbebanner ihre eigenen Tracking-Cookies aus. Das Interesse dahinter ist nachvollziehbar. Sie wollen zum einen sehen, wie ihre Werbung auf der konkreten Seite, aber auch wie die Kampagne netzweit insgesamt performt. Nebenbei noch ein paar Nutzerdaten einzusammeln und zu aggregieren schadet dem Geschäftsinteresse auch nicht. Wissen ist Macht.

Auch hier bei Dr. Web können wir daher nicht einfach alle Cookies abschalten und den lieben Gott einen guten Mann sein lassen. Wir haben jedoch Links und Vorgehensweisen in unseren Datenschutzhinweisen beschrieben, mit denen man im Werbetracking-Dschungel mit seinen Hunderten von Netzwerken schon ganz gut klar kommt.

Generell, man hat es in anderen Abschnitten dieses Beitrags bereits gelesen, sind wir so vorgegangen, dass wir überall da, wo wir einen Cookie vermeiden konnten, weil der Dient, der ihn setzte, nicht unbedingt erforderlich ist, z.B. Gravatar, ihn auch vermieden haben.

Seit Ende Mai 2018 setzen wir das kostenpflichtige WordPress-Plugin Borlabs Cookie ein. Damit können Sie den Einsatz von Cookies unter Einwilligungsvorbehalt stellen und dabei noch zwischen First-Party und Third-Party unterscheiden. Ebenso erlaubt Borlabs Cookie den Einbau eines Opt-Out für das Tracking mit Google Analytics, sowie die Änderung der Zustimmung über ein Auswahlmenü (bei uns in den Datenschutzhinweisen realisiert).

(Screenshot: D. Petereit)

Mit Borlabs Cookie können Sie zudem die automatische Herstellung einer Verbindung zu externen Diensten wie etwa YouTube mit der damit einhergehenden Datenübertragung verhindern. Das erläutere ich im folgenden Abschnitt genauer.

Andere Inhalte externer Dienste

Wollen Sie auf das Einbinden von Anayltics, Videos, Kartenmaterial, Anzeigen und ähnlichen Drittinhalten verzichten, dann können Sie das natürlich tun und brauchen entsprechend keine diesbezüglichen Datenschutzhinweise abzusetzen.

Das indes wollten wir nicht, weshalb man in unseren Datenschutzhinweisen einen ganzen Strauß an Nennungen externer Dienstleister findet. Soweit sie aus den USA kommen, was in der Regel der Fall ist, weisen wir stets auf die Zertifizierung nach EU-US Privacy Shield und einen bestehenden Auftragsverarbeitungsvertrag hin. Das ist die eine, die formale Seite.

Damit unsere NutzerInnen tatsächlich eine Verbesserung des Datenschutzes spüren, nutzen wir das bereits erwähnte Borlabs Cookie-Plugin, um das automatische Laden externer Inhalte beim Seitenaufruf zu unterbinden. Wieso soll etwa YouTube ihre Daten erhalten, wenn man ihnen das Video in unserem Beitrag gar nicht ansehen willst?

Mit Borlabs Cookie wird ein Zwischenschritt eingezogen. Externe Inhalte werden erst nachgeladen, und damit die Verbindung zum externen Server hergestellt, wenn man diese Verbindung per Klick autorisiert.

(Screenshot: D. Petereit)

Fazit: Ist die Umsetzung wasserdicht?

Die Frage kann ich nicht mit Sicherheit beantworten, denn wir befinden uns ja auf dem sprichwörtlichen Neuland. Wir haben unser Konzept im Geiste der DSGVO, also besonders unter den Aspekten „Privacy by Design” und „Privacy by Default”, eingerichtet. Damit können wir nicht vollkommen falsch liegen.

Hinsichtlich der Dokumentation haben wir lieber einen Satz zu viel, als einen zu wenig geschrieben. Die Datenschutzhinweise decken alle Vorgänge auf Dr. Web ab und verstehen kann man den Text zudem noch. Heute am Tag fühle ich mich gut mit dem Zustand unseres Datenschutzkonzepts.

Übrigens: Was man auf jeden Fall machen solltet, wenn man es noch nicht getan hat, und das können Sie auch jetzt sofort erledigen, ist, ihre Seite auf HTTPS umstellen. Denn für die Sicherheit des Transports der von ihnen erhobenen und verarbeiteten Daten sind Sie auch verantwortlich. Mit Let’s Encrypt kostet Sie die Umstellung auf SSL nicht einmal etwas.


Disclaimer: Frag den Anwalt

Da ich kein Jurist bin, ist dieser Beitrag natürlich keine Rechtsberatung und soll eine solche auch nicht ersetzen.

Für die Beurteilung ihres ganz konkreten Einzelfalls müssen Sie sich an einen Rechtsanwalt wenden, weil wir hier natürlich weder Rechtsberatung machen, noch eine solche ersetzen können oder wollen.


Fazit: Ruhe bewahren

Ich hoffe, ich konnte ihnen nun auch bezogen auf mögliche Konsequenzen etwas Linderung verschaffen. Natürlich müssen Sie die wesentlichen Eckpunkte der DSGVO unbedingt umsetzen. Aber in Existenzangst müssen Sie sich als Seitenbetreiber wirklich nicht versetzen lassen.

(Bildnachweis Artikelbild: Depositphotos)

40 Antworten

  1. Endlich mal etwas beruhigendes und vernünftiges…. Ein Großteil der Website Betreiber hat ja schon überlegt woher sie die 20 Mio. Euro nehmen sollen….

  2. Danke, endlich einmal ein beruhigender Artikel. Vor allem das Beleuchten der Tätigkeit der Abmahnanwälte ist Klasse. Wie im übrigen Leben, so auch hier: Nicht gleich alles unterschreiben. Genau so!

  3. Was dabei außer Acht gelassen wurde ( und genau da sehe ich persönlich das Problem) ist der Kunde der deine Rechnung nicht bezahlt und dir dann für deine Mahnung eine reinwürgen will und der Mitarbeiter der klaut und du musst ihm fristlos kündigen.
    Diese schwärzen dich dann direkt bei der Behörde an und dann darfst du deine AV Verträge zeigen und deine VV.
    Das ist außerhalb der Web und das ist das Problem.

  4. „Du solltest also, selbst wenn dir eine Abmahnung ins Haus flattert, Ruhe bewahren. Erstmal ist diese Abmahnung nichts anderes als die Meinungsäußerung eines Anwalts.“
    Erstmal ist es mit Kosten verbunden.Selbst einen Anwalt beauftragen und dann?

  5. Hallo Dieter. Du hast eine erfrischend nüchterne Sicht auf die „neue Situation“, die da auf uns zukommt. Ich sehe das genauso: Nicht wird so heiß gegessen wie es gekocht wird. Vielen Dank für diesen nützlichen Beitrag.

  6. Vielen Dank für diesen meine Nerven entspannenden Artikel. Bisher schwankte ich hin und her, denn es gibt viel zu lesen und ich war schon ganz konfus, WAS denn nun genau in meiner Datenschutzerklärung noch zu ändern ist, „um eben nicht die besagten 20 Mios zahlen zu müssen“, Ende Mai.
    Sonnige Grüße
    Die Gartenphilosophin

  7. Eiegentlich sind für die Kontrolle der DSGVO die Datenschützer der Länder und des Bundes zuständig. Schaut man sich diese Behörden aber mal genauer an (Organigramme, Mitarbeiterzahlen, Aufgaben …) so wird schnell klar, dass die dazu praktisch NICHT in der Lage dazu sind. Beispiel Bayern https://www.lda.bayern.de/de/organisation.html.
    Klar – man sollte seine Hausaufgaben machen (Verarbeitungsverzeichnis, TOM Löschkonzept …) aber danach kann man meiner Meinung nach getrost relaxen.

  8. Die unnütze zusätzliche Arbeit für kleine Vereinsvorstände und Arbeitgeber bleibt natürlich zusätzlich ab 23.05.2018 bestehen. Jedes Vereinsmitglied weiß ohnehin, dass die von ihm wenigen angegebenen Daten bei der Erfassung vom Verein benötigt werden. Auch nützt eine spätere Löschung im kleinen Umkreis nicht viel, weil ohnehin jedes Mitglied dann von Anfang an jedes andere Mitglied näher kennengelernt hat. Für Vereine ist das eine vollkommene Überregulierung und steht in keinem Verhältnis zu Aufwand bzw. Nutzen. Getroffen werden sollten eigentlich große Konzerne, die aber nur über solch ein Gesetz lachen können angesichts der Millionenumsätze und Fachpersonal in den eigenen Reihen. Mit der DSGVO werden demnach nur wieder kleine Arbeitgeber und Vereine von der Abmahnindustrie abgezockt. In Kürze wissen wir mehr. Besser wird es jedenfalls nicht dadurch.

  9. Ich war vierzig Jahre in der edv tätig. Vor ca 25 Jahren hat die diskussion über den Datenschutz begonnen. Ich war damals der Ansicht, dass das in eine riesige gschaftlhuberei ausarten wird. Das ist auch eingetroffen. Wieviele ahnungslose von journalisten bis Politikern und selbsternannten Experten hier mitreden ist unglaublich. Natürlich hat manches seine berechtigung, aber es artet aus.

  10. Na, das klingt ja easy.
    Aus eigener leidvoller Erfahrung kann ich allerdings nur sagen, dass es nicht so einfach ist.
    Da wird die so verlockende Grundidee des freien Internet für alle und jeden dann doch schnell zu einer kostspieligen Angelegenheit. Die eigene negative Erfahrung bezieht sich zwar auf einen anderen Sachverhalt, der aber vom Prinzip her ähnlich liegt.
    Da haben wir mit dem Verkaufsportal Dawanda die Erfahrung machen müssen, dass trotz Anwendung der vorgegebenen Rubriken und trotz Nutzung der Rechtstools für den eigenen Shop plötzlich eine Abmahnung von einem Interessenverband ins Haus flattert, weil angeblich die Produktauszeichnung fehlerhaft sei.
    Und auch die von Dawanda empfohlenen Anwälte haben keine Handhabe dagegen, weil bei der Materialwahl irgendein Begriff nicht eindeutig genug sei.
    Und plötzlich ist der mühsam erarbeitete Erlös von wenigen Euro durch eine Abmahngebühr von mehreren hundert Euro aufgebraucht.
    Verständlich ist das meines Erachtens nach nicht. Denn dieser Interessenverband macht Kasse, weil Laien, die für ein Hobby ein wenig Aufwandentschädigung erhalten, mit den rechtlichen Aspekten des Internets überfordert sind.
    Easy wäre es erst, wenn die Politik endlich mal nach dem Beispiel Österreichs eine Initiative entwickeln würde, die Privatpersonen und Kleinunternehmer vor geldgierigen Anwälten schützen, die mit geringem Aufwand Kasse machen wollen.
    Insofern kann ich gut nachvollziehen, dass manche Webseitenbetreiber nervös reagieren. Auch wenn nach gesundem Menschenverstand die befürchteten Konsequenzen nicht zu erwarten sind. Aber der gesunde Menschenverstand trügt leider, wenn Juristen eine Möglichkeit zum Gelddrucken wittern. Das zeigt leider meine Erfahrung. Und dieses Beispiel bei Dawanda war kein Einzelfall. Da waren hunderte Shops betroffen.

  11. Dieser Artikel spricht mir aus der Seele. Der ganze Datenschutz ist vor allem eine Führungsverantwortung, eine des minimalen Eindringens in die Privatsphäre der Menschen mit dem Geschäftsmodell des Betreibers / Unternehmens. Und selbst wenn man irrgendwie ins Fettnäpfchen tritt, halb so schlimm wenn man Einsicht und Verbesserungswillen zeigt und offenlegt, was man mit den User daten macht. Im Übrigen wird digitales Marketing dies auch belohnen.

  12. Nun, viele Panikartikel sind übertrieben. Dieser hier ist übertrieben entspannt und auch wenig hilfreich.
    «Das wird von der Mehrzahl der Gerichte in jedem Einzelfall, also im Fall einer konkreten Klage geprüft, von manchen aber rundheraus verneint»
    Fakt ist, dass die Abmahnfähigkeit von Datenschutzverstößen aus Basis des Wettbewerbsrechts jahrelang mehrheitlich verneint wurde, in letzter Zeit aber nun zunehmend bejaht wurde. Man sollte eher davon ausgehen, dass das möglich ist.
    «Zudem müsstest du diesen Verstoß absichtlich begangen haben, um dir ungerechtfertigt einen Marktvorteil gegenüber deinen rechtstreuen Wettbewerbern zu verschaffen.»
    Diese Aussage ist grundfalsch. Das hieße, dass Unwissen vor Abmahnungen/Strafe schützt. Nennen Sie doch bitte konkret das BGH-Urteil, welches Sie so auslegen.
    «Ein solcher Verstoß, bei dem auch die Gerichte häufig vom Charakter einer Marktverhaltensregelung ausgehen, läge etwa vor, wenn du keine oder nur unzureichende Datenschutzhinweise auf deinen Seiten vorhieltest oder erkennbar keine Einwilligungen abfordern, sowie personenbezogene Daten außerhalb der Erforderlichkeit (zB Abfrage der Schuhgröße bei der Anmeldung zum Newsletter) erheben würdest.»
    Hahaha. Mit völlig absurden Beispielen die wahren Problempunkte zu umschiffen, hilft in der Sache keinen Millimeter weiter. Die relevante Frage im Zusammenhang mit Newsletter ist, ob der (Vor)Name noch (für eine persönliche Anrede) erfasst werden darf. Antwort:

    1. Lieber Ernesto! Es ist schon erstaunlich, dass du hier frei postulierst, von mir aber Nachweise verlangst. Wo sind denn deine? Gehen wir es mal durch.
      Meine Aussage, dass die Frage der Marktverhaltensregel in jedem Einzelfall gerichtlich überprüft wird, ist zweifellos richtig. Was du als Fakt postulierst, ist mangels Quantifizierbarkeit nicht zu überprüfen. Bejahen die Gerichte in letzter Zeit mehrheitlich? Kann ich nicht erkennen. Es ist jedoch stets möglich, dass sie es im Einzelfall bejahen. Wo ist da der Streitpunkt?
      Meine Aussage, ein Verstoß müsste absichtlich erfolgt sein, ist der Verständlichkeit geschuldet. Die Gerichte sprechen vielmehr von „bewusst und planmäßig“, was dem Vorsatz entspricht und damit nichts anderes als Absicht bedeutet. Das Beispiel zu bringen, wonach Unwissenheit demnach doch vor Strafe schütze, zeigt nur, dass du nicht verstanden hast, worum es hier geht. Schau gerne durch die Rechtssätze aller relevanten Gerichte. Dort wirst du immer die Formulierungen „bewusst und planmäßig“, sowie „sachlich nicht gerechtfertigten Vorsprung vor gesetzestreuen Mitbewerbern“ finden. Und ja, das bedeutet, dass ein Fehler, der erkennbar aus Dämlichkeit gemacht wurde, in der Tat vor Strafe schützen kann. Das ist die sogenannte subjektive Komponente der Beurteilung des Verstoßes.
      Auch meine beispielhafte Darstellung der eindeutigen Haftungsrisiken ist zweifellos korrekt. Zum Newsletter hatte ich schon an anderer Stelle im Artikel geschrieben, dass hier unter dem Gesichtspunkt der Datensparsamkeit streng genommen nur noch die E-Mail-Adresse erfasst werden darf.
      Ich kann also, auch nach nochmaliger Prüfung, nichts „Absurdes“ finden. Jedenfalls nichts außer deinem Kommentar, der wohl bewusst und planmäßig die Dr. Web Leser und Leserinnen verunsichern soll.

  13. Danke für den tollen Artikel. Ruhe Bewahren ist das A und O, egal in welcher Situation, finde ich. Was das Sammeln von Daten angeht habe ich eine Verständnisfrage: mal angenommen ich nutze einen der großen Anbieter, um mir eine Webseite zu basteln, dann habe ich doch keine Kontrolle welche Daten der Anbieter sammelt und wie er sie verwendet. Wie soll ich da die DSGVO umsetzen? Das erschließt sich mir noch nicht.

  14. Hallo!
    Was für ein toller Artikel, vielen Dank dafür! Ich bin froh, auch mal einen sachlichen, nüchternen Text zu diesem Thema zu lesen, da die ganze Panikmache nicht nur anstrengend sondern auch ausbremsend ist. Ruhe bewahren und nach bestem Wissen und Gewissen umsetzen was nötig ist klingt für mich realistisch!! Noch dazu sind es nüchtern betrachtet gar nicht soooo viele Änderungen und man kann diese DSGVO auch als Chance nutzten und mal ein bisschen auf den eigenen Seiten aufräumen! Da wird so viel mit irgendwelchen Plugins gesammelt – Daten die wir gar nicht brauchen. Und machen Festsetzungen der DSGVO scheinen mir unrealistisch und es wird sich sicherlich zeigen, wie und was Gerichte dazu entscheiden, wenn es zur Anklage kommt. Also noch einmal vielen Dank fürs Ruhe verbreiten! 🙂
    Anna

  15. Danke für die Informationen Herr Petereit!. Könnten Sie evtl. zu den WordPress Emojis etwas sagen??? Ich finde bisher wenig Infos dazu. Es wäre sehr hilfreich. Im Voraus vielen Dank.
    MfG
    Marcelo

  16. Die DSGVO ist ein Witz. Das haben wohl auch schon die Verantwortlichen festgestellt. Der Fokus lag wohl auf Facebook, Google und Co. Vergessen wurde aber, dass z.B. bei WordPress viele Plugins auf JQUERY bibliotheken und andere Resourcen zugreifen, um eine schnelle und coole Webseite aufzubauen. Von Adobefonts spricht keiner, aber von Google Fonts. Erste Abmahnungen sind schon im Bekanntenkreis eingeflattert und ein Gesetz soll in Zukunft Abmahnungen verbieten. Ich bin gespannt wie sich das entwickelt. Auf jeden Fall ist dieser Beitrag hilfreich und auch ich kann nur sagen: Ruhe bewahren, die Zeit wird das regelen.

  17. Sehr interessant…. und auch etwas beruhigend es so ausführlich zu lesen. Besonders wenn man sich aktuell die meisten Websites ansieht, verwenden sie sowieso nur eine cookie benachrichtigung – die wenigsten haben da auch eine Fuktion od. einen Button der die cookies ganz abschaltet, und dennoch sind all diese Seiten noch online.
    Bin gespannt wie sich das alles noch weiter entwickeln wird – insbesondere mit der kommenden e-privacy
    lg

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Inhaltsverzeichnis

Zum Dr. Web Newsletter anmelden

Kein Spam, nur Benachrichtigungen über neue Produkte und Updates.

Social Media

Meistgelesen

Weitere Kategorien

On Key

Related Posts

Ein junger blonder Mann, der die Füße hochlegt und über sein Geschäft sinniert.

Banking: Brauchen Freelancer ein separates Geschäftskonto?

Gesetzlich vorgeschrieben ist die Trennung von Privat- und Geschäftskonto nicht. Wer als Freelancer auf eigene Rechnung arbeitet, muss also kein zusätzliches Girokonto einrichten. Sinnvoll ist die saubere Trennung von privaten und betrieblichen Zahlungsvorgängen trotzdem. Wir zeigen, worauf es ankommt

Ein schwarzer Tisch mit keyboard, maus, kophoerer, kaffee schwarz.

Die 13 besten HTML Editoren für Webentwickler (Update)

Wer Webseiten entwickeln möchte, braucht einen HTML-Editor. Sicherlich kannst du auch mit Hilfe des Windows-Notepad eine Webseite erstellen – schön und komfortabel geht indes anders. Besonders wichtig bei einem HTML-Editor sind eine gute Einfärbung der Syntax – auch Syntax-Highlighting genannt – und eine brauchbare Code-Vervollständigung.