Es ist soweit, der Datenschutz feiert fröhliche Urständ'. Nix gegen Datenschutz, es ist absolut notwendig, dass mit unseren privaten Daten niemand hausieren geht oder sie in irgendeiner Weise zu Zwecken benutzt, die nicht in unserem Sinne sind. 

Nun wird die Neuregelung des Datenschutzes mittels der Datenschutzgrundverordnung (= DSVGO) endgültig kommen - aber sie kommt 10 Jahre zu spät und regelt heute zu einem weiten Teil Dinge, die niemand mehr geregelt haben will. Nicht in einer Zeit, wo wir bedenkenlos jedes noch so intime Detail unseres Lebens Plattformen wie WhatsApp, Dropbox, Facebook und wie die Dinger alle heissen, anvertrauen. 

Es ist zu spät.

In jedem halbwegs technik- oder internetaffinen Blog ist nun von der DSGVO zu lesen und das Ganze ähnelt irgendetwas zwischen Hype und Panik, dabei ist das Alles nix neues, sondern eigentlich nur das Ende einer Übergangsphase. Aber einfach nur eine Sau, die mal durch's Dorf getrieben wird, ist das Ganze nun auch wieder nicht. Dazu ist das Thema zu ernst.

Ich will meine Betrachtung der DSGVO auf das Thema Webseite & Datenschutz begrenzen, denn alles andere würde zu weit führen und meine Kompetenzen ohnehin übersteigen. Die DSGVO ersetzt/erweitert das alte Bundesdatenschutzgesetz und stellt hohe Anforderungen insbesondere auch an Website-Betreiber. Es richtet sich dabei nicht nur an die großen Player, sondern auch an die unzähligen kleinen Webauftritte - genau die Zielgruppe, die ihre Projekte vielleicht mit RapidWeaver umgesetzt hat oder noch umsetzen wird.

Wer bisher schon auf ein grundlegendes Mass an Datenschutz geachtet hat, wird wenig Probleme mit der Umsetzung der DSGVO-Vorgaben haben. Handlungsbedarf besteht allemal. Das wirkliche Problem wird darin bestehen, dass viele Vorgaben der DSGVO indifferent sind, es noch keine Durchführungsbestimmungen gibt und auch keine Erfahrungen seitens der Gerichte gesammelt wurden. Das wird dazu führen, dass die Abmahnindustrie ein Fest feiern wird. Auch wenn viele der Abmahnungen ins Leere laufen werden, wird eine Abmahnung immer Streß und Kosten verursachen, denn nichts ist bescheuerter wie auf eine Abmahnung nicht oder falsch zu reagieren. In jedem Fall ist es besser, den eigenen Webauftritt im Vorfeld zu überprüfen und nachzubessern. Unangreifbar wird man sich ohnehin nicht machen können.


Datenschutzhinweise

Jede Webseite braucht eine Datenschutzerklärung, der Link zu diesem textlich meist drögen Erguss muss von jeder Seite aus erreichbar sein. Wo genau, ist nicht festgelegt, aber es schadet nicht, ihn dort zu platzieren, wo man auch den Impressums-Link unterbringen würde.

Die Inhalte der Datenschutzerklärung müssen die Adresse des Website-Betreibers beinhalten, zusätzlich sollten die Kontaktdaten des Datenschutzbeauftragten aufgeführt sein (den braucht mittlerweile ein erheblicher Teil der KMU, Kanzleien oder Praxen).

Die Datenschutzerklärung muss ausweisen, ob und welche personenbezogene Daten wie und zu welchem Zweck aufgezeichnet werden. Externe Datenverarbeiter wie Facebook und Google müssen explizit benannt und aufgelistet werden, wenn du derartige Dienste auf deiner Website nutzt - das ist nicht nur bei den Social Sharing Buttons der Fall, sondern auch bei der Nutzung von Webfonts, soweit sie von externen Dienstleistern bereit gestellt werden.

Für die Abfassung geeigneter Datenschutzerklärungen findest du im Web genügend brauchbare Generatoren, die in den nächsten Monaten sicher auch noch detaillierter auf die DSGVO zugeschnitten werden. Einen wirklich brauchbaren Generator bietet z.B. eRecht24 an.


Zustimmung zur Datenschutzerklärung

Jeder Webbesucher muss auf datenschutzrechtliche „Gefahren“ hingewiesen werden, wenn er deine Website betritt; eigentlich sogar vorher - aber mir soll mal einer zeigen, wie das umzusetzen sei. Deine Website ist vermintes Gelände und wenn irgendeiner hier umherstapfen will, muss er das auf eigene Gefahr machen und er muss ausdrücklich bestätigen, dass er sich dieser Gefahr bewusst ist. Da du im Zweifel nachweisen musst, dass der Seitenbesucher diese Gefahren in Kauf nimmt, musst mindestens beim ersten Besuch der Webseite seine Zustimmung einholen.


Cookie-Hinweis incl. Link zur Datenschutzerklärung

Der Cookie-Hinweis war bislang zwar durch EU-Recht (und bestimmte Vorgaben seitens Google) vorgeschrieben, aber in Deutschland gab es keine Verpflichtung zur Einbindung. Das wird jetzt anders: Die von niemand wirklich gelesenen, sondern halbschlafartig weggeklickten Cookie-Hinweise werden nun Pflicht.

Die Datenschutzerklärung selbst muss hier nicht zwingend verlinkt sein (es reicht eine von allen Seiten per Link erreichbare Datenschutzerklärung), aber wenn du schon dabei bist, kannst du in diesen Cookie-Hinweis auch gleich auf deine Datenschutzerklärung hinweisen und holst dir hier gleich eine Zustimmung zur in diesem Cookie-Hinweis verlinkten Datenschutzerklärung ab: „Wenn du schon hier bist, lass alle deine Daten bei mir (incl. Kontozugriffdaten) oder bleib bitte weg“. Oder so ähnlich.

Wenn du meinst, dass deine Website keine Cookies setzt und du auf den Cookie-Hinweis verzichten kannst, solltest du dir wirklich sicher sein, dass keiner der von dir genutzten Stacks nicht doch irgendwo im Hintergrund ein Cookie setzt. Diese, meine Seite z.B. setzt mindestens zwei First-Party-Cookies.


Facebook- und andere Social-Media-Buttons

Gerade was Facebook angeht, wirst du datenschutzrechtlich bereits ins Schwitzen kommen, denn wenn du Facebook-Buttons nutzt, werden Daten des Seitenbesuchers in jedem Fall übertragen, egal ob er auf den Button klickt oder nicht. Entschärfen lässt sich dieser Button mit "Shariff", allerdings übersteigt die Umsetzung von Shariff bereits die Kompetenzen der meisten RapidWeaver-Nutzer.

Ein anderes Problem in diesem Zusammenhang: Wenn du Facebook-Buttons oder -Zählpixel integriert hast, musst du den Seitenbesucher um Einverständnis bitten, ob Daten an Facebook übertragen werden. Das könntest du mit einem aufpoppenden Fensterchen a la Cookie-Hinweis - nur: Wenn der Besucher dieses Fensterlein sieht, ist es bereits zu spät, denn dann wurden bereits Daten an Facebook übertragen. Funktioniert also irgendwie nicht. Und nun...?


Webfonts

Wenn du Google Webfonts verwendest (und das passiert in einer Vielzahl von RapidWeaver-Vorlagen), passiert dies:

Jedes Mal wenn ein Seitenbesucher deine Webseite aufruft, auf der externe Schriftarten eingebunden sind, baut sein Browser eine Verbindung zur Quelle dieser Ressource, also Google, auf. Bei dieser Anfrage schickt der Browser die IP-Adresse des Seitenbesuchers an den Google-Server, damit dieser im Gegenzug die Google Font ausliefert.

Dieser Vorgang wird in vielen Datenschutzerklärungen schlichtweg ignoriert, teilweise wissen RapidWeaver-Nutzer aber auch gar nicht, dass Sie Google Fonts schon allein durch die Auswahl eines bestimmten Themes nutzen. Auch viele der von mir bereits erwähnten Datenschutzerklärungsgeneratoren (was für ein Wort) überspringen diesen Aspekt (eRecht24 tut es nicht). Ein Hinweis auf die Nutzung von Webfonts gehört aber in jedem Fall in die Datenschutzerklärung.

Eine Alternative besteht darin, sich Google-Fonts herunter zu laden, selbst zu hosten und einzubinden, beispielsweise mit dem Font Pro Stack.


Tracking-Cookies

Wenn du wissen willst, wer deine Seite besucht und was er dort macht, wirst du die Möglichkeit zum Besuchertracking mit Hilfe eines kleinen Code-Snippets in deine Seiten eingebaut haben. Wenn du dafür externe Dienste nutzt, musst du mit diesen einen Vertrag über die Auftragsverarbeitung (vormals Auftragsdatenverarbeitung) abschließen - bei Google geht das recht einfach, andere Anbieter musst du konkret anfragen.

Den Google-Vertrag samt Handlungsanweisungen gibt es hier...

Das das Google-Tracking anonymisiert werden muss, ist ein alter Hut, auf den ich hier aber noch einmal hinweisen will.

Du kannst auch andere Trackingdienstleister, ja sogar dein Tracking selbst auf dem server einrichten (Matomo bzw. Piwik) nutzen, das Grundproblem bleibt bestehen - du musst den Seitenbesucher um Erlaubnis fragen.


Hosting

Beim Hosten von Website bei einem Hoster werden zwangsläufig personenbezogene Daten von Besuchern deiner Webseite übertragen. Du musst also auf mit diesen Dienstleistern einen Vertrag zu Auftragsverarbeitung abschließen - die besseren Hoster werden diesbezüglich Formulare bereitstellen.

Mit deutschen Hostern sollte es kein Problem geben, soweit deren Server in Deutschland oder im EU-Ausland stehen und keine Daten in Drittländer exportiert werden. Schwierig wird das aber wenn du deine Website beispielsweise bei amerikanischen Anbietern hostest - diese unterliegen nicht den Vorgaben des EU-Rechts und an einen Vertrag zu Auftragsverarbeitung wirst du vielen Fällen auch nicht kommen.


Kommentarfunktionen in Blogs

Wenn du ein Blog betreibst, willst du vielleicht eine Kommentarfunktion ermöglichen. Im Grunde genommen kann man zum derzeitigen Zeitpunkt nur abraten, soweit du nichts umsetzen kannst, was du selbst komplett kontrollieren kannst. So könnte es mit der bei RapidWeaver-Nutzern beliebten Einbindung via Disqus bereits Probleme geben, denn wie willst du denn vorgehen, wenn irgendein Nutzer eines schönen Tages auf dich zukommt und die Löschung aller seiner Kommentare verlangt? Sicher, du könntest ihn darauf verweisen, dass er seinen Disqus-Account gefälligst selbst pflegen solle, aber ob das bei enger Auslegung der DSVGO ausreicht, bezweifele ich.


Kontaktformulare

Kontaktformulare übertragen personenbezogene Daten, daher werden hier hohe Anforderungen an die Datensicherheit bei der Nachrichtenübermittlung gestellt. Schon seit einigerer Zeit müssen Webseiten mit Kontaktformularen verschlüsselt sein, d.h., es muss ihnen ein SSL-Zertifikat zugewiesen sein. Das Thema hatte ich letzt in Zusammenhang mit "Mixed Content" zumindest gestreift.

Denke bitte daran, dass die Nachrichtenübertragung über einen Mailserver läuft, der unter deiner Kontrolle liegt. Ein @icloud-, @live- oder @googlemail-Account als Zieladresse für den Nachrichtenversand tut das bereits nicht mehr. Am Besten nutzt du Email-Adressen, die zu deiner Domain gehören. Das gilt übrigens auch für den ganz normalen Email-Verkehr mittels Mailprogramm...

In diesem Zusammenhang: Da die Verarbeitung personenbezogener Daten von Kindern einem besonderen Schutz unterliegt, solltest du besondere Vorsicht walten lassen, wenn Kinder deine Website besuchen (und vielleicht das Kontaktformular nutzen wollen). Das kannst du von deiner Seite aus kaum unterbinden, aber zumindest beim Kontaktformular kannst du dir bestätigen lassen, dass der Absender der Nachricht über 12 Jahre und kein Kind mehr ist.


Dokumentationspflichten

Die DSGVO definiert eine umfassende Pflichten zur Dokumentation Betriebe mit mehr als 250 Mitarbeitern. Was das für einen Websitebetreiber heisst, bleibt relativ unklar, aber man kann davon ausgehen, dass die Zielgruppe von RapidWeaver nur sehr begrenzt davon betroffen ist. Allerdings: Was ist, wenn jemand mit RapidWeaver eine Vereinswebsite für einen Verein mit mehr als 250 Mitgliedern umsetzt...?


Sicherheitscheck

Eigentlich wissen die meisten RapidWeaver-Nutzer selbst gar nicht, welche Daten ihre schöne Webseite wohin übermittelt. Gerade in Zusammenhang mit der DSGVO macht es aber Sinn, sich einmal genau damit zu befassen.

Eine hilfreiches Tool dafür ist WebbKoll.