Keine Angst vor der DSGVO

Zuerst die gute Nachricht: Die für eine Webseite wichtigen Aspekte der neuen Daten­schutz­grund­verordung (DSGVO), deren 2-jährige Übergangsfrist am 25. Mai 2018 geendet hat, sind mit wenig Aufwand umzusetzen. Natürlich hat die DSGVO die Abläufe in Betrieben komplizierter gestaltet und für manche Berufsgruppen neue Probleme verursacht. Selbst bei Dingen des alltäglichen Lebens wie der Austausch von Daten in einem Telefonat herrscht eine durch die DSGVO verursachte Rechtsunsicherheit. Kreative wie Designer oder Webentwickler können keine Rechtsberatung leisten, aber ihre Kunden darauf hinweisen, welche Techniken der DSGVO widersprechen und welche nicht.

Selbstverständlich gibt es Punkte, die seit in Kraft treten der DSGVO bei der Umsetzung einer Webseite neu betrachtet werden müssen. Viele Punkte waren jedoch auch schon vorher bekannt und wurden von verantwortungsvollen Agenturen entsprechend berücksichtigt. So wurde die neu erforderliche Unterseite mit der Datenschutzerklärung auch schon vor dem Stichtag in vielen Webseiten eingebaut. In den Monaten danach haben sich neue, rechtsichere Textelemente für die Datenschutzerklärung durchgesetzt. Da diese deutlich verständlicher formuliert sind als die davor üblichen Erklärungen, ist das als Fortschritt zu werten.

Auch nicht neu sind die von der DSGVO aufgegriffenen Punkte des deutschen Datenschutz­rechts wie die Zweckbindung oder die Datenminimierung. Die Zweckbindung schreibt vor, dass personenbezogene Daten nur für einen festgelegten Zweck erhoben werden dürfen und nicht weiter­ veräussert werden dürfen. Die Datenminimierung verlangt, dass so wenig Daten wie möglich für einen Zweck erhoben werden. So sollte in einer Newletter-Anmeldung nur die E-Mail Adresse ein Pflichtfeld sein und das System damit zurechtkommen, wenn keine weiteren Daten eingegeben werden.

Die Besonderheit, dass nach der DSGVO die IP-Adresse eines Webseiten­besuchers rechtlich zu den personen­bezogenen Daten gehört, hat für die Erstellung von Webseiten weitreichende Konsequenzen. Dieser Umstand wurde jedoch erst im Mai 2018 in der Öffentlichkeit wahrnehmbar diskutiert und interpretiert. Deswegen hat es einige Wochen gedauert, bis sich ein allgemeiner Konsens zu dem Thema durchgesetzt hat.

Designer von Webseiten bauen gerne eigene Schriften in ihre Layouts ein, damit der Besucher ansprechende Schriftsätze geboten bekommt. Diese Schriften wurden gerne von externen Dienstleistern eingebunden - und genau das wiederspricht der DSGVO. Denn die Webseite ruft im Browser des Besuchers die Schriftdatei aus dem Internet auf und sendet dabei notwendigerweise die IP des Benutzers an den Dienstleister, welcher die Schriftdatei anbietet. Das ist notwendig, damit die Schriftdatei zu dem Browser des Besuchers gesendet wird und verwendet werden kann. Das läuft im Hintergrund ohne eine Bestätigung des Besuchers ab, was den Bestimmungen in der DSGVO für personen­bezogene Daten widerspricht. Das Problem ist sehr einfach zu umgehen, in dem die Schriftdatei zusammen mit der Webeite auf dem Webspeicherplatz hinterlegt wird. Dadurch wird nichts von anderen Adressen nachgeladen und das gesamte Problem wird obsolet. Dadurch entsteht auch keine Arbeit - lediglich eine Zeile wird anders formuliert.

Der beschriebene Zusammenhang betrifft noch weitere Bereiche bei der technischen Umsetzung einer Webseite. So werden auf allen modernen Seiten sogenannte JavaScript-Bibliotheken verwendet, welche früher üblicherweise von externen Quellen eingebunden wurden. Hier entstehen dieselben rechtlichen Probleme wie bei extern eingebundenen Schriftsätzen, die aber genauso einfach zu vermeiden sind. Nur müssen diese Zusammenhänge bei denen bekannt sein, die Ihre Webseite erstellen. Auch wenn Webseiten seit vielen Jahren online stehen, reichen oft wenige Handgriffe für die Lösung der dringlichsten Probleme. Wenn Sie Fragen haben, können Sie gerne Kontakt mit mir aufnehmen.

Wenn Sie auf Ihrer Webseite Ihren Besuchern ein Formular anbieten, dann benötigen Sie nach der DSGVO zwingend eine sichere Verbindung. Erkennbar an dem https:// vorne in der Adressenzeile. Die meisten Browser melden durch Icons oder weitere Anzeigen, dass die Verbindung nun sicher ist. Alle Hoster bieten preisgünstige Angebote für die dafür nötigen Sicherheitszertifikate an, welche Sie ähnlich wie die Domains (Webseiten­adressen) mieten können. Die Kosten gängiger Sicherheitszertifikate halten sich im Rahmen und können im selben Bereich liegen wie die Domains. Dabei gibt es unterschiedliche Optionen, was die Zertifikate genau absichern und ob sie nur für genau eine Domain gelten - oder für beliebig viele Subdomains. Wenn Sie eine Webseite mit einem Kontaktformular betreiben, sollten Sie den Gegenwert eines preiswerten Restaurantbesuches pro Jahr investieren, damit Ihre Webseitenbesucher bzw. Kunden die Formulare auf Ihrer Webseite sicher benutzen können. Diese Nachrüstung sollte gerade bei älteren Webseiten nicht übersehen werden. Auch hier berate ich Sie gerne.

In der sehr umfangreichen DSGVO gibt es eine Stelle, deren Auswirkung auf die Verwendung von Cookies kontrovers diskutiert wird. In dem Erwägungsgrund 30 zum Artikel 95 der DSGVO ist von „...Online-Kennungen wie IP-Adressen und Cookie-Kennungen...“ die Rede. Vereinfacht gesagt wird dort festgelegt, dass wenn durch Cookies Personen identifiziert werden können, diese Cookies personen­­bezogene Daten sind. Die Verwendung von Cookies wurde in Deutschland vor der DSGVO durch  § 15 Abs. 3 des Telemediengesetzes (TMG) geregelt. Bereits bei der Frage, ob die DSGVO die alte Regelung des TMG ablöst, gibt es bei den Juristen unterschiedliche Meinungen. Es wird jedoch in allen mir bekannten Veröffentlichungen geraten, die DSGVO entsprechend eng auszulegen. Um das Abmahnrisiko zu minimieren, sollte eine Bestätigungaufforderung eingeblendet werden.

Deswegen wurden Webseiten­besucher seit Mai 2018 mit einer Flut von Bestätigungs­­­auf­­­forderungen konfrontiert. Viele ältere Content Management Systeme setzen in ihren Standarteinstellungen Cookies, ohne dass diese für die Funktionen der Webseite wirklich nötig sind. Jedoch ist es oft weniger aufwändig, die berühmten Cookie-Bestätigungs­­auf­­forderungen einzublenden, als an der Technik der Webseite Änderungen vorzunehmen.

Als TYPO3-Spezialist sind mir die unter­­schiedlichsten Vorgehens­­weisen bekannt. Bei sehr neuen TYPO3-Systemen setzt das System von Hause aus keine Cookies, wenn diese nicht benötigt werden. So sind Webseiten ohne die Verwendung von Cookies möglich und die Einblendung kann für den Webseiten­­besucher komplett entfallen. Bei einem Teil der älteren TYPO3 Systemen kann man durch besondere Scriptzeilen das Setzen der Cookies vermeiden. Ob das möglich ist, hängt von verschiedenen Faktoren ab. Wenn das Setzen von Cookies durch TYPO3 unvermeidbar ist, kann eine Bestätigungs­aufforderung über eine Extention schnell und kosteneffizient eingebaut werden. Nur ist diese Aufforderung nicht immer nötig, es hängt im Einzelfall vom System ab. Auch in diesem Punkt können Sie mich gerne ansprechen.