DSGV – waaas?

19. Februar 2021 | Technik

Darum geht's

1 Datenschutz-Grundverordnung – was ist das und was muss ich als Webseitenbetreiber wissen und beachten
- 1.1 Disclaimer
2 WAS regelt die Datenschutz-Grundverordnung eigentlich?
3 Aber was sind eigentlich personenbezogene Daten?
4 Und was bedeutet ‚Verarbeitung‘ der Daten?
5 Unter welchen Voraussetzungen ist es erlaubt, personenbezogene Daten zu verarbeiten?
6 Was hat das jetzt mit mir als Webseitenbetreiber zu tun?
7 Was genau sind Cookies?
8 Woher weiß ich, welche Cookies beim Besuch meiner Webseite gespeichert werden?
9 Was ist mit Social Media Buttons?
10 Google Dienste
11 Wie kann ich Rechtskonformität gewährleisten?
12 Fazit
13 Weiterführende Links:
14 Google Fonts rechtskonform einbinden
15 Übersicht DSGVO-konforme Dienste

Datenschutz-Grundverordnung – was ist das und was muss ich als Webseitenbetreiber wissen und beachten

Wer heutzutage im Internet präsent sein möchte, muss sich unweigerlich mit einem sehr trockenen Thema auseinandersetzen: der Datenschutz-Grundverordnung. Obwohl sie eigentlich entwickelt wurde, um die Rechte der Nutzer / Kunden zu schützen, sind viele Konsumenten genervt, wenn sie auf jeder Seite explizit die Verwendung von Cookies bestätigen müssen, von denen sie vielleicht gar nicht wissen, was genau sie sind und wie sie funktionieren.

Auch der Webseitenbetreiber ist mit einer Aufgabe konfrontiert, die rechtliche und technische Anteile beinhaltet – aber in den meisten Fällen sehr wenig mit seinem eigentlich Geschäft zu tun hat.

Ich gebe in diesem Text einen Überblick über die DSGVO, beleuchte die technischen Herausforderungen und zeige, wie den Anforderungen begegnet werden kann.

Disclaimer

Ich möchte darauf hinweisen, dass ich keinen juristischen Hintergrund habe und somit keine Gewähr für die hier genannten Angaben geben kann. Es handelt sich hier um keine Rechtsberatung. Die Informationen sind von mir selbst recherchiert worden. Ein paar weiterführende Links habe ich am Ende aufgeführt.

WAS regelt die Datenschutz-Grundverordnung eigentlich?

Die Verordnung soll das europäische Datenschutzrecht ‚harmonisieren und modernisieren‘. Die Verarbeitung von personenbezogenen Daten soll dadurch geschützt werden, dass der Benutzer ‚mehr Kontrolle und Transparenz bei der Datenverarbeitung‘ erhält, indem er rechtswirksam in die Verwendung seiner Daten einwilligen kann und ein Anrecht auf Information oder Auskunft über die Verwendung seiner Daten hat.

Aber was sind eigentlich personenbezogene Daten?

In Artikel 4 (https://dsgvo-gesetz.de/art-4-dsgvo/) der Datenschutz-Grundverordnung werden personenbezogene Daten als ‚alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen‘ definiert. Und weiter: ‚als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind‘.

Kurz gesagt also jegliche Art von Daten, die eine Person eindeutig identifizieren können. Beispiele hierzu sind:

Name, Anschrift, E-Mail-Adresse
Bankdaten
Standortdaten
IP-Adresse
Ausweisnummer

Und was bedeutet ‚Verarbeitung‘ der Daten?

Auch hier spezifiziert Artikel 4 das ‚Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung‘ von Daten.

Unter welchen Voraussetzungen ist es erlaubt, personenbezogene Daten zu verarbeiten?

Wenn bestimmte Bedingungen erfüllt sind, ist die Verarbeitung der Daten rechtmäßig. Artikel 6 der DSGVO (https://dsgvo-gesetz.de/art-6-dsgvo/) definiert folgende Prämissen:

Der Nutzer hat seine Einwilligung in die Verarbeitung der Daten gegeben.
Die Daten sind für die Erfüllung eines Vertrages notwendig.
Die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich (z.B. Dokumentations- oder Aufbewahrungspflichten).
Der Schutz lebenswichtiger Interessen wird durch die Verarbeitung personenbezogener Daten gewahrt (z.B. bei Epidemien oder Naturkatastrophen).
Die Verarbeitung ist für die Wahrung des öffentlichen Interesses notwendig (legitimiert die Verarbeitungstätigkeiten der Behörden oder von privaten Unternehmen, die Auftrag übernommen haben, z.B. Kontrollen öffentlicher Parkplätze oder Sicherheitskontrollen an Flughäfen).
Die Verarbeitung ist zur Wahrung der berechtigten Interessen erforderlich (z.B. Verhinderung von Betrug, Rechtsverfolgung und Inkasso).

Was hat das jetzt mit mir als Webseitenbetreiber zu tun?

Als Webseitenbetreiber bist du verpflichtet, deine Besucher über die Art und Verwendung der gespeicherten Daten zu informieren. Die Erlaubnis der Verarbeitung muss über eine der oben genannten Bedingungen legitimiert werden. Im allgemeinen werden z.B. Logfiles erzeugt, die für den Betrieb von Web- und Mailservern notwendig sind und die IP-Adressen der Seitenbesucher sowie Datum und Uhrzeit des Seitenzugriffes protokollieren. Cookies können Daten speichern und Browser eindeutig identifizieren und somit bestimmte Daten auswerten. Dienste sogenannter Drittanbieter wie Social Media Buttons können Daten über das Nutzerverhalten deiner Webbesucher übermitteln. Um einen DSGVO-konformen Webauftritt zu gestalten, musst du genau überprüfen, welche Elemente deine Website enthält und welche Verarbeitungsprozesse stattfinden.

Was genau sind Cookies?

Diese Art von Cookies haben keine Kalorien, schmecken allerdings auch nicht jedermann: es sind kleine Textdateien, die lokal im Browser des Besuchers gespeichert werden und Informationen verwahren können. Kehrt ein User auf eine bereits besuchte Seite zurück, so kann der entsprechende Cookie ausgelesen und die dort enthaltenen Informationen ausgewertet werden. Darüber kann dann z.B. der Zustand eines Warenkorbs oder bestimmte Voreinstellungen ausgelesen werden – oder sogar das Surfverhalten des Nutzers analysiert werden.

Woher weiß ich, welche Cookies beim Besuch meiner Webseite gespeichert werden?

Da Webseiten in den seltensten Fällen noch ‘manuell’ implementiert werden, ist nicht immer deutlich, ob bzw. welche Komponenten für ihre Funktion auf Cookies zurückgreifen. Anbieter von Cookie Consent Tools bieten meistens Cookie Checker an, die prüfen, ob beim Aufruf der Seite Cookies gesetzt werden. Beispiele hierfür sind:

Eine weitere Möglichkeit ist, selbst im Browser nachzuschauen, welche Cookies gesetzt werden. Eine gute Übersicht, wie das mit verschiedenen Browsern funktioniert, findest du hier:

https://de.wikihow.com/Cookies-anzeigen

Was ist mit Social Media Buttons?

Die Einbindung von Social Media Buttons ist nicht ohne Weiteres rechtskonform mit der DSGVO. Problematisch ist, dass bereits Daten an die Drittpartei übertragen werden, sobald die Seite angesteuert wird, und der Nutzer keine Chance hat, die Übermittlung der Daten zu unterbinden. Es gibt bereits Lösungen für dieses Problem, sogenannte Zwei-Klick-Lösungen. Dann werden die Buttons erst deaktiviert eingebunden, und der Anwender muss explizit die Aktivierung der Buttons freischalten.

Wer auf Nummer sicher gehen möchte, vermeidet am besten die Verwendung von Social Media Buttons.

Google Dienste

Es gibt noch einige andere Dienste wie Google Maps oder Google Fonts, die häufig bei Webseiten Einsatz finden. Hier liegt die zur Nutzung des Dienstes notwendige Information auf einem Google Server und wird bei Anfrage an den Anforderer gesendet. Um aber die entsprechenden Daten zu senden, wird die IP-Adresse benötigt, die als personenbezogenes Datum bewertet wird. Es gibt Möglichkeiten, Google Fonts lokal (auf dem eigenen Server) einzubinden. Beispiele dazu in der Linksammlung. Für Google Maps besteht die Möglichkeit einer Zwei-Klick-Lösung.

Wie kann ich Rechtskonformität gewährleisten?

Das Thema Rechtskonformität bei Webseiten ist komplex und erfordert einiges an Auseinandersetzung mit der eigenen Webseite. Zusätzlich ist die Auslegung der DSGVO in einigen Bereichen nicht ganz eindeutig und es gibt bisher wenig Urteile, an denen man sich orientieren könnte. Die einfachste Möglichkeit ist, auf den Einsatz solcher Tools zu verzichten, deren Arbeitsweise in Bezug auf die DSGVO fragwürdig ist.

Folgende Punkte sollten mindestens umgesetzt sein:

Die Datenschutzerklärung muss von jeder Seite aus direkt erreichbar sein (am besten direkt im Footer verlinken).
Die Datenschutzerklärung muss über sämtliche Verarbeitung von Daten in Kenntnis setzen.
Der Link muss eindeutig identifizierbar sein (z.B. Datenschutz oder Datenschutzerklärung).
Für Tools oder Plugins, die Cookies nutzen, muss es eine Opt-In Möglichkeit geben (hier gibt es auch noch bestimmte Regeln in Bezug auf Vorbelegungen zu beachten, s. Linkliste). Ein Hinweis ohne aktive Einwilligungsmöglichkeit genügt nicht.
Die Funktionalität des Opt-In muss funktionstüchtig sein (eine Abwahl von Cookies muss die Speicherung unterbinden) .

Um auf Nummer sicher zu gehen, gibt es noch die Option, kostenpflichtige Plugins einzubinden oder auf die Erfahrung eines Experten zurückzugreifen.

Fazit

Das Thema DSGVO auf ein erträgliches Minimum zusammenzudampfen ist eine schwierige Aufgabe. Es gibt einfach zuviele Möglichkeiten und sehr viele Dinge zu beachten. Mein persönliches Fazit nach dieser Recherche ist, den Überblick über die von mir eingesetzten Techniken zu behalten und den Einsatz von Diensten auf ein Minimum zu beschränken. Wenn das aufgrund der Funktionalität der Webseite nicht möglich ist, würde ich überlegen, ob sich die Investition eines Plugins oder die Beratung durch einen Datenschutzexperten lohnt.