Die Datenschutzgrundverordnung, kurz DSGVO, hat einige neue Regeln für Webseitenbetreiber mit sich gebracht. Eine Menge Unsicherheit ist entstanden, denn das sogenannte Cookie-Law wird oft missverstanden. Nicht selten hören Webagenturen von Ihren Kunden die Frage: „Habe ich auf meiner Webseite überhaupt Cookies? Wofür brauchen wir die eigentlich?“
Dieser Artikel soll Licht ins Dunkel bringen und Sie vor möglichen Schäden oder falschen Maßnahmen schützen. Schäden könnten vor allem durch eine neue Abmahnwelle und übereifrige Rechtsanwälte entstehen.
Gegen das Blogsterben
Die Ankündigung falscher Maßnahmen gab es in den sozialen Medien bereits zu genüge. „Das ist mir zu viel, ich gebe auf“, schrieb Heidrun in ihrem letzten Blogpost. Sie müsste in Ihrem betagten Blog über das Nähen eine Cookie-Meldung nachrüsten. Das kostet Geld, das die agile Renterin nicht verdient. Ihr Blog ist ein Ehrenamt, dem Nähen und den Menschen zuliebe. Doch damit nicht genug, denn Heidrun ist auch auf Youtube präsent. Die eingebetteten Videos sind eine Sorge für sich und scheinen mit einer einfachen Cookie-Meldung nicht getan.
Sind die Ängste vieler Blogger wie Heidrun berechtigt oder ist das Problem einfach zu lösen? Das fragen sich viele Betreiber von Blogs und privaten Webseiten.
Was ist die DSGVO?
Bei der Datenschutzgrundverordnung geht es um die Datenerhebung und den Schutz von Webseitennutzern. Die EU-weite Regelung namens General Data Protection Regulation (kurz GDPR) beschreibt das Thema unter dem Begriff der Auftragsverarbeitung. Personenbezogene Daten dürfen nur dann Erhoben werden, wenn der Besucher einwilligt. Weiterhin besteht eine Auskunftspflicht und das Recht auf Vergessenwerden. Ein Datenschutzbeautragter, der im Impressum zu nennen ist, soll diesen Informationspflichten nachkommen. Für die Nichteinhaltung der DSGVO drohen empfindliche Bußgelder.
„Auftragsverarbeitung?“ fragen Blogger wie Heidrun unsicher. „Ich bekomme doch gar keine Aufträge über meine Webseite. Ich erhebe keine Daten und das Kontaktformular ist nur für den privaten Austausch gedacht.“
Die DSGVO verstehen lernen
Die Erhebung personenbezogener Daten im Verantwortungsbereich eines Webseitenbetreibers ist nicht immer auf den ersten Blick erkennbar. Viele Webseiten speichern diese Daten ohne dass der Eigentümer der Webseite sie je zu Gesicht bekommt. Mail-Formulare sind nur ein kleiner Teil der betroffenen Webseitenfunktionen.
Eines der größten möglichen Probleme ist die Speicherung von Nutzerdaten durch das Content Management System wie zum Beispiel WordPress, durch den Webhosting-Provider oder durch Drittanbieter wie Youtube, Google, Facebook und Twitter. Damit ein Nutzer erkannt wird und statistisch erfasst werden kann, wird eine Summe an Informationen über ihn ermittelt. Das verwendete Betriebsystem, der verwendete Browser, die eingestellte Sprache und die IP-Adresse. Die IP-Adresse gehört zu den personenbezogenen Daten.
Anbieter wie Facebook sind noch einen Schritt weiter. Sie erkennen den Nutzer sogar beim Namen. Wer in Facebook angemeldet ist, wird auf vielen Webseiten zu einem Like motiviert. „734 Nutzern gefällt das, darunter 20 Deiner Freunde“, sagt das Facebook-Plugin. Doch woher kennt diese Webseite Ihre Freunde?
Die Macht der Cookies
Kekse sind lecker und – strenge Diät ausgenommen – eher ungefährlich. Cookies werden von Datenschützern dagegen als Gefahr eingestuft. Cookies sind Dateien, die auf dem Rechner eines Internetnutzers gespeichert werden. Diese Datenerhebung erfolgt im Hintergrund und wird von Nutzern nicht wahrgenommen.
Ein einfaches Beispiel für ein Cookie ist die simple Erfassung eines Besuches. Eine Webseite speichert den Zeitstempel in eine Cookie-Datei und ruft diese Datei beim nächsten Besuch wieder ab. Mit dieser einfachen Technik kann nun die Meldung „Sie waren am 23.04.2019 zuletzt hier.“ angezeigt werden. Shops nutzen diese Funktion gerne, um nicht bestellte Warenkörbe zu speichern. Soweit, so ungefährlich.
Die Gefahr geht von Cookies aus, die sich nicht auf eine einzelne Webseite beschränken. Beispielsweise einem Cookie von Facebook. Durch das Facebook-Plugin wird eine Webseite nämlich nicht nur um eine Like-Funktion erweitert, sondern auch um ein Cookie. Facebook speichert darin einen verschlüsselten Wert, mit dem sie den Besucher erkennen kann. Durch diese Technik kann ein komplettes Interessensprofil erstellt werden. Dank dieser Profile bekommt Michael in der Werbespalte immer Autos angezeigt, die schwangere Petra Umstandsbekleidung und die kleine Hannah Einhörner.
Der eigentliche Hintergrund der DSGVO ist es, genau dieser flächendeckenden Erkennung Einhalt zu gebieten.
Bin ich von der DSGVO betroffen?
Die erste und wichtigste Frage für Webseitenbetreiber: speichert meine Webseite personenbezogene Daten? Ist ein Mailformular, ein Plugin oder Snippet, eine Einbettung von Fremdinhalten vorhanden oder läuft die Webseite auf einem Content Management System oder einer Blogsoftware, dann lautet die Antwort in der Regel „Ja!“
Die typischen Verdächtigen sind hierbei WordPress, Youtube, Vimeo, Imgur, Instagram, Facebook, Twitter und nicht zuletzt Google. Vor allem Google Fonts, Google Maps und Google Analytics sind auf vielen Webseiten integriert.
Ein anderer Blickwinkel ist der Sitz innerhalb oder außerhalb der EU. „Dann wandere ich eben aus“, war von vielen Bloggern bei Erscheinen der Datenschutzgrundverordnung zu hören. Es wird sie wundern, aber das schützt beileibe nicht. Sofern sich Ihre Inhalte an EU-Bürger richten, unterliegt Ihre Webseite auch der DSGVO. Bereits die Verwendung der deutschen Sprache wäre im Zweifel dafür ausreichend.
Speichert meine Webseite Cookies?
Selbst wer keinerlei fremde Dienste nutzt, sollte zur Sicherheit überprüfen, ob die eigene Webseite Cookies speichert. Das ist in den meisten Webbrowsern sehr einfach möglich. In Google Chrome sorgt ein Klick auf das Symbol (i) direkt vor der Adresszeile für Aufschluss. Bei SSL-gesicherten Webseiten wird statt dem (i) ein Schloss-Symbol angezeigt. Vergessen Sie beim Testen aber nicht Ihre Unterseiten. Ist Ihre Startseite frei von Cookies, kann die Kontaktseite mit Kartendienst trotzdem zum geheimen Datenlieferanten werden.
Konkrete Maßnahmen für Webseitenbetreiber
Wenn Ihre Webseite überhaupt keine Cookies speichert, Sie keinerlei fremde Dienste nutzen und kein Kontaktformular vorhanden ist, müssen Sie aus rechtlicher Sicht nichts unternehmen. Sie können durch eine entsprechende Notiz Ihre Besucher davon in Kenntnis setzen, aber verpflichtet sind sie dazu nicht.
Verzichten Sie auf externe Dienste, die keine Information über Datenerhebung bieten. Plugins und Einbettungen von Anbietern außerhalb der EU sind oftmals problematisch, weil die Datenspeicherung auch außerhalb der EU-Grenzen stattfindet. Diese Dienste fühlen sich selbst nicht von der DSGVO betroffen und bieten weder eine eigene DSGVO-konforme Lösung noch konkrete Hilfestellung an.
Schreiben Sie Ihren Hosting-Provider an und verlangen Sie eine Auskunft über die Datenerhebung. Europäische Hosting-Provider haben die Informationen zur Auftragsdatenspeicherung bereits für Ihre Kunden aufbereitet.
Sofern Sie ein CMS, einen Drittanbieter oder eine Eigenentwicklung verwenden, die Cookies oder personenbezogene Daten speichert, empfiehlt sich die Verwendung eines fertigen Plugins oder Scripts. Suchen Sie für Ihr verwendetes Content Management System nach einem Plugin wie Cookie-Notice oder Cookie-Hinweis und folgen Sie den Schritten zur Einrichtung. Bieten Sie Ihren Nutzern eine Unterseite mit dem Titel Datenschutz oder Datenschutzhinweise, auf der Sie umfassend zum Thema Datenerhebung informieren. Wenn Sie keinen Rechtsanwalt mit der Arbeit beauftragen möchten, können Sie im Internet nach Vorlagetexten suchen oder einen kostenfreien Datenschutz-Generator verwenden.
Am besten ist es, eine Webagentur an der Hand zu haben, die sich mit der DSGVO und den technischen Möglichkeiten auskennt. Diese Expertise schafft Gewissheit in der Umsetzung einer rechtssicheren Webseite und spart nicht in seltenen Fällen den Gang zum Rechtsanwalt.
