DSGVO: Das müsst ihr für eureKünstler-Website unbedingt beachten!

Letztes Update: 21.05.2018

Die DSGVO, die Europäische Datenschutz-Grundverordnung, ist momentan in aller Munde – und das vollkommen zu recht! Denn es kommt eine Menge Arbeit auf Unternehmen, Vereine, aber auch Webseitenbetreiber zu. Ich habe schon des öfteren betont, wie wichtig es ist, als Künstler seine eigene Website zu haben – genauso wichtig ist es aber, die Website an geltendes Recht anzupassen, um teure Abmahnungen zu vermeiden. Und ja, auch das beliebte Webseiten-’Tool’ Wordpress ist vor diesen Veränderungen nicht gefeit. Was du nun beachten musst und wie du sicherstellen kannst, mit den Regeln konform zu sein, zeige ich dir heute in diesem Blogpost. Dazu habe ich mir die Unterstützung unseres heutigen Gast-Autors Benjamin Hartwich geholt – neben dem erfolgreichen Wordpress Podcast WP-Cast entwickelt er u.a. Online-Lösungen für Unternehmen und ist daher der perfekte Ansprechpartner für dieses wichtige Thema.

Für die Lesefaulen unter euch gibt es außerdem noch eine neue WPCast Podcastfolge, in der wir das Thema nochmal ausführlich und anhand von realen Beispielen diskutieren. Hör am besten einfach mal hier rein oder lausche der Folge auf Itunes und Spotify (Links in der Sidebar).

Trotzdem vorher noch ein kleiner Disclaimer. Der Artikel hier dient ausschließlich zu Informationszwecken und stellt in keinster Weise so etwas wie eine Rechtsberatung dar. Wir haben uns für die Recherche intensiv mit dem Thema auseinandergesetzt und den Artikel mit allergrößter Sorgfalt erstellt und geupdated. Ein Gewähr auf die Richtigkeit & Aktuallität der Daten und der daraus entstehenden Rechtsfolgen können wir trotzdem nicht geben – wende dich hierfür bitte an einen Datenschutzexperten oder Rechtsbeistand.

Die Datenschutz-Grundverordnung – kurz DSGVO oder EU-DSGVO genannt –  ist ein von der Europäischen Union beschlossenes Regelwerk

“zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten […] und zum freien Datenverkehr”.

Der Name ist Programm: Ziel der Richtlinie ist es schlicht und einfach, die Privatsphäre der EU-Bürger intensiver zu schützen. Auch soll man als Individuum mehr Kontrolle über die Erfassung seiner Daten haben. Das Geschrei ist momentan so groß weil die 2016 beschlossene Regelung bereits am 25.05, also in weniger als 5 Tagen, in Kraft tritt. Also müssen alle Anpassungen bis dahin von dem Verantwortlichen umgesetzt werden und die Websiten so mit der Verordnung konform sein. Bei Nichterfüllung drohen Abmahnungen im 5-stelligen Bereich – man ist also gut beraten, die eigene Website noch einmal auf Haut und Niere zu überprüfen. (Inwieweit die Angst vor Abmahnungen begründet ist, sei zunächst dahingestellt – Genaueres darüber findest du unter diesem Link)

Kurz gesagt: Fast jeden, der eine Website betreibt. Betroffen sind hiervon nämlich jegliche Unternehmen, die in irgendeiner Art und Weise Daten verarbeiten – also z.B. auch Ärzte & Vereine. Aber auch Webseitenbetreiber fallen unter diese Kategorie – schließlich werden für den Betrieb der Seite einige Daten vom Besucher abgerufen und für u.a. die korrekte Anzeige gespeichert. Das betrifft dann nicht nur diverse ‘böse’ Tracking-Tools wie den Facebook Pixel oder Google Analytics, sondern z.B. auch Gravatar-Bilder, Emojis und Google Maps. Auch werden für die Kommentarspalte Daten wie z.B. IP-Adressen gespeichert, die für Juristen zu den persönlichen Daten zählen.

Die kommerzielle Absicht ( “Gewinnabsicht”) eines Blogbetreibers, und damit die Kategorisierung als gewerbliche Tätigkeit gilt bereits durch das Platzieren eines Affiliate-Links als gegeben und trifft somit auch in den allermeisten Fällen zu. Aber auch ohne Webshop und Affiliate-Links sollte man hier lieber auf Nummer sicher gehen. Unwissenheit schützt bekanntlich nicht vor Strafe(n). Bei großen Unternehmen werden diese Anpassungen häufig von der Rechtsabteilung übernommen. Auf Individuen wie uns Künstler kommt jedoch ein beträchtlicher Haufen Arbeit zu.

Gefordert wird von der Verordnung eine sog. Privacy by Design/Default. Konkret umgesetzt heißt das, dass nur das gespeichert werden darf, was für die jeweilige Datenverarbeitungstätigkeit benötigt wird.

Abhängig von deinem Theme müssen mehr oder wenigere starke Änderungen vorgenommen werden. Google Fonts, Google Map Calls und etliche andere nach aktuellem Stand nicht DSGVO-konforme Aufrufe externer Services werden in der Regel über Plugins oder über das Theme realisiert. Es ist nicht zu erwarten, dass die meist in den USA ansässigen Theme-Entwickler allzu großes Interesse daran haben werden, viel Zeit und Arbeit an die DSGVO-konforme Anpassung zu verschwenden. Somit ist man bei der Änderung als Webmaster bzw. Blogger wohl eher auf sich allein gestellt.

Faktisch gesehen ist sogar Wordpress als Ganzes momentan nicht DSGVO konform. Die WordPress Core Programmierer arbeiten bereits an neuen Funktionen und Hooks, die alle notwendigen „Data Clearances“ an zentraler Stelle managen und Plugins an den zukünftig im Core beheimateten GDPR-Layer „andocken“ lassen. Update also auf jeden Fall auf die neueste Wordpress-Version, um diese Tools nutzen zu können!

Zunächst einmal muss die auf der Website vorhandene Datenschutzerklärung angepasst werden. Eine Musterdatenschutzerklärung wurde unter diesem Link von der Uni Münster bereitgestellt.

Entgegen der Aussagen mancher (wohl mangelnd informierter) Blogger ist es ein Update der Datenschutzerklärung jedoch nicht ausreichend. Vielmehr müssen ganze Konstrukte der Website, sprich Kontaktformulare oder sog. Drittanbieter-Services, an das nun geltende Recht angepasst werden.

Insofern noch nicht geschehen, ist es allerhöchste Zeit, für deine Website mit dem SSL-Protokoll zu verschlüsseln. Gerade Personendaten, d.h. z.B. Daten aus Bestell- oder Kontaktformularen müssen zukünftig immer verschlüsselt übertragen werden (vgl. Art. 32 DSGVO). Viele Hosting-Anbieter greifen dafür auf den kostenlosen Service LetsEncrypt zurück – mit nur einem Klick auf die richtige Schaltfläche in deinem Web-Panel ist das Ganze auch schon erledigt. Erkundige dich also bei deinem Hosting-Provider nach möglichen Lösungen und wechsele, so wie ich, gegebenenfalls noch in letzter Minute deinen Host.

Auch Cookies müssen mit einem sog. Opt-In Verfahren vom Websitenbenutzer vorab akzeptiert werden. Zwar wird diese Anpassung erst mit der ePrivacy Verordnung Anfang 2019 relevant – jedoch solltest du, wenn du eh schon drüber bist, ein sog. Cookie-Notice auf deiner Website einbinden.

Ein guten Cookie-Hinweistool ist z.B. das kostenlose Plugin Ginger. Hier kannst du verschiedene Einstellungen treffen und das Cookie-Opt-In entweder als Fußzeile oder komplettes Pop-Up anzeigen lassen.

Auf Social Plugins wie Floating Sidebars, Share-Buttons und eingebettete Beiträge (Sprichwort oEmbed) wie Youtube-Videos o.Ä. sollte vorerst verzichtet werden. Diese senden nämlich bereits beim Seitenaufruf Informationen über den Nutzer an die ausgewählten Sozialen Medien – ohne Einwilligung des Nutzers. Alternativ können Social Plugins verwendet werden, die die sog. Shariff-Lösung umsetzen – Mehr dazu unter diesem Link.

Ich weiß natürlich, dass das Löschen dieser Plugins den Look deines Blogs drastisch verändern wird.  Keiner möchte alle Shortcode-Snippets aus den eigenen Artikeln und Widgets löschen, nur um sie später wieder hinzuzufügen. Meine bisherige Zwischenlösung lässt die Shortcodes bestehen, weißt den Besucher aber mit einem beim Websitenbesuch sich öffnenden Pop-Up auf den veränderten Look der Seite aufgrund der DSGVO Bestimmungen hin. So minimierst du zunächst deine Arbeit und dein Besucher ist nicht komplett verwirrt, wenn plötzlich irgend’ welche Codes und Zahlen in deinen Posts erscheinen.

Da die deutschen Datenschutzbehörden Ende April verkündet haben, dass ein Tracking der Besucher nur möglich ist, wenn er explizit einwilligt, würde ich von Google Analytics und auch Matomo / Piwik erstmal abraten. Auch der Facebook Pixel sollte vorerst von der Seite entfernt werden.

Eine gute Alternativen bietet z.B. Statify (mitsamt Statify Blacklist). Das Tool misst nämlich entgegen der oben genannten Tools nur die Seitenaufrufe und sammelt keine Informationen über die Besucher. Am besten einfach einmal selber auschecken.

• Statify
• Statify Blacklist

Weitere Informationen zur DSGVO-Konformität von Google Analytics findest du außerdem hier.

Die Wordpress Gravatar-Bilder für Kommentare, die Emojis (denn auch diese werden von Auttomatic-Servern geladen!) und der Antispam-Service Akismet verstoßen übrigens genauso wie die integrierte Embed-Funktionalität klar gegen die kommende europäischen Datenschutz-Gesetzgebung. Deshalb sollte auch hier zunächst alles, was möglich ist, von der Website entfernt werden.

Im WordPress Core solltest du daher unter Einstellungen>Diskussion die Option Avatare verwenden abschalten. Damit werden keine Gravatare mehr nachgeladen. Außerdem gibt es das Plugin Antispam Bee. Es blockt Spam wirklich gut und ist somit eine konforme Alternative zu Akismet. Aber Achtung, hier nicht die Option öffentliche Spamdatenbank nutzen aktivieren!

Auch solltest du das Plugin Disable Emojis installieren, damit das emojis Skript nicht nachgeladen wird. Die Browser selbst haben bereits alle eine integrierte Unterstützung, d.h. ein Laden seitens Wordpress ist eigentlich sowieso nicht mehr nötig.

Abschließend noch zwei wichtige Tools:

• Remove IP
  Damit wird bei neuen Kommentaren auf deiner Seite keine Ip Adresse geloggt, was nach 25. Mai verboten ist.
• Für größere Kontaktformulare und die Kommentarsektion solltest du diese zwei Tools nutzen:
  • Subscribe to Double-Opt-In Comments
  • WP GDPR Compliance

Eine Einwilligungslösung zur Datenschutzerklärung mit Checkbox unter Formularen wird in der DSGVO nicht eindeutig gefordert. Es besteht jedoch eine Rechtsunsicherheit wegen eines Urteils des OLG Köln (Az.: 6 U 121/15)).

Solltest du bei Kontaktformularen eine Checkbox integrieren, heißt das aber auch, dass du bei konkreten Anfragen Löschpflichten hast, die du mit der Checkbox ja eingeräumt hast. D.h. du musst nicht nur die Mail sondern auch alles im Backup löschen, wenn jemand, der dir über das Formular geschrieben hat, das so möchte.

Der bisherigen Praxis, bei der Downloads im Austausch für Personendaten freigeschaltet werden konnten ist ein Riegel vorgeschoben worden. Es besteht nun ein Echtes Koppelungsverbot (Art.7 Abs.4 DSGVO), insofern nicht ein berechtigtes Interesse (Art. 6 Abs. 1 Satz 1) nachgewiesen werden kann. Letzteres sollte aber im vornherein mit einem Anwalt geklärt werden. Im Zweifelsfall also diese Praxis vorerst unterlassen.

Für das Angebot von Newslettern sollte von nun an die Anmeldung per Double Opt-In erfolgen. Das heißt konkret, dass der Websitenbesucher das Abonnement deines Newsletter ein zweites Mal mit dem Empfang einer Bestätigungsmail und einem Klick in einem darin platzierten Link bestätigen soll. Diese Herangehensweise ist bereits für die meisten Newsletter-Drittanbieter wie z.B. Getresponse üblich und lässt sich auch problemlos im Backend der Kontaktformulare realisieren.

Auch das Schalten von Werbungen gestaltet sich unter der DSGVO als schwierig. Einfache Banner mit Link, wie bei mir in der Sidebar, sind kein Problem. Sobald aber eine Art Tracking der User, sei es das Klickverhalten, Heat Maps, Google Analytics o.Ä., geschieht ist die Werbung nicht mehr DSGVO-konform und sollte vom Blog entfernt werden. Das ist meistens bei interaktiven Bannern und Google Ads der Fall. Informiere dich also gut über die von dir genutzte Banner-Anwendung.

Auch Woocommerce ist nach derzeitigen DSGVO-Bestimmungen illegal. Ähnlich wie das Wordpress Core Team wird aber schon fieberhaft an der Lösung der Probleme gearbeitet. Bis heute ist aber noch keine konforme Version veröffentlicht worden. Da dies höchstwahrscheinlich Last-Minute passieren wird, solltest du unbedingt Ausschau in deinem Email-Postfach und auf Datenschutzwebseiten halten, um noch rechtzeitig auf die konforme Version zu updaten.

Auch fernab von der Website, also offline, müssen einige Dinge getan werden, die sich fernab des Rahmens dieses Artikels bewegen. Wichtige Stichworte für die Recherche in weiteren Online-Quellen sind hier z.B.: Auftragsdatenverarbeitung und Verfahrensdokumentation. Hierfür wird z.B. ein sog. Verarbeitungsverzeichnisses“ gefordert. Eine formale Vorlage eines solchen Verzeichnisses findet sich außerdem auf der WKO-Website. Weitere Informationen gibt es außerdem hier.

Sind alle Anpassungen erfolgreich umgesetzt, so kann man die Konformität mit den DSGVO-Bestimmungen auch auf https://webbkoll.dataskydd.net/en testen. Zudem würde ich empehlen, die von Datenschmutz.net bereit gestellte Checkliste noch einmal Stück für Stück abzuarbeiten.

Abschließend lässt sich sagen, dass viele dieser Änderungen keineswegs komplette Neuerungen sind. Die Vorgaben der DSGVO sind seit 2016 bekannt, weshalb Drittanbieter und sorgfältige Webseitenbesitzer die Vorgaben größtenteils schon erfüllt haben (sollten). Auch die Wahrscheinlichkeit einer Abmahnwelle ist kritisch zu sehen – immerhin dürfen ungenügende Datenschutzvorgaben bereits schon jetzt abgemahnt werden (das in Kraft treten der DSGVO beinflusst dies in keinster Weise!).

Die allgemeine Panikmache wird hierbei oft dafür verwendet, um aus der Unsicherheit und Unwissenheit der Wordpress-Benutzer und Webseitenbesitzer Profit zu schlagen – sei es mit ausführlichen E-Books, überteuerten Plugins oder gesonderten Themes. Nichtsdestotrotz sollten Neuerungen wie die DSGVO oder die kommende ePrivacy Verordnung ernst genommen werden. So bieten sie immerhin einen Anlass, den längst aufgeschobenen Hosting-Wechsel zu vollziehen, die Datenschutzerklärung auf den neuesten Stand zu bringen und die Website auf ihre Tauglichkeit und Rechtskonformität zu überprüfen. Ist somit der innere Schweinehund erst einmal überwunden, so bietet die DSGVO eine exzellente Chance, den eigenen Blog auch für die Zukunft zu rüsten und die eigene Webpräsenz maßgeblich zu verbessern.