Die Frist zur Umsetzung der Datenschutz Grundverordnung (DSGVO) endet am 25. Mai 2018.
Die DSGVO betrifft alle diejenigen, die personenbezogene Daten erfassen. Das sind sowohl Unternehmen als auch Privatpersonen. Sie geht über die Datenschutzerklärung auf Webseiten hinaus. Dabei ist es ganz unabhängig, wie groß oder klein eine Webseite ist. Und es ist ganz egal ob Blog, Shop, Club oder Wohlfartsverein.
Dieser Artikel erörtert im Praxisbeispiel, was personenbezogene Daten sind und wo personenbezogene Daten im digitalen Kontext auf Webseiten erfasst werden.

Was die Datenschutz Grundverordnung mit sich bringt

Die Datenschutz Grundverordnung bringt für den Besucher und Kunden viele positive Änderungen. Für den Betreiber und Unternehmer bringt sie aber auch viel Arbeit mit sich.
Auf das Wesentliche heruntergebrochen lässt sich zur Zeit sagen, dass die DSGVO bei jedem Unternehmer Webmaster das Bewusstsein für die Erfassung von Daten in allen Prozessen des Betriebs schärfen sollte.
Jeder Unternehmer, aber auch alle anderen natürlichen Personen, die nicht rein Privat – also streng genommen alle Personen, die im öffentlichen und nicht im rein familiären Umfeld Daten erfassen – sind ab dem 25.05.18 in der Pflicht,

  • dem Besucher zu dokumentieren, an welchen Stellen im Unternehmen welche personenbezogenen Daten erfasst werden,
  • dem Benutzer die Möglichkeit zu geben, diese persönlichen Daten einzusehen und
  • dem Besucher die Möglichkeit zu geben, diese Daten korrigieren und/oder löschen zu lassen.

Zu beachten ist, dass personenbezogene Daten nicht ohne Einwilligung des Besuchers an externe Dienste wie z.B. Facebook, Google Maps, Youtube usw. weitergereicht werden, selbst wenn diese externen Dienste für sich gesehen DSGVO konform arbeiten sollten.

Was sind personenbezogene Daten

Personenbezogene Daten sind u.a.:

  • Name
  • E-Mail Adresse
  • Telefonnumer
  • Kundendaten (Bestellungen, Adressen, Kontodaten, Geschlecht)
  • IP Adresse

Was sind personenbeziehbare Daten

Personenbeziehbare Daten sind u.a.:

  • Standortdaten

Wo werden personenbezogene Daten auf der Webseite erfasst und gespeichert?

Logfiles

Der Webserver erzeugt „Raw Data“ Logfiles, die personenbezogene Daten beinhalten. Die Logfiles werden außerhalb des Webservers unter ~/log/ gespeichert und haben folgende Dateinamen:

  • access_log
  • access_ssl_log
  • access*
  • error_log

Diese Logfiles beinhalten folgende Informationen:

  • IP Adresse
  • Uhrzeit
  • Ziel
  • User Agent

Bei einfachem Webhosting ist der Zugriff außerhalb des Webservers nicht möglich. Somit können Logfiles nicht eingesehen und nicht gelöscht werden.
Hier sollte Kontakt mit dem Hoster aufgenommen werden und eine „Auftragsdatenverarbeitung“ vereinbart werden. Es ist sowieso empfehlenswert, wenn nicht sogar notwendig, mit dem Hoster einen Vertrag zur Auftragsdatenverarbeitung abzuschließen. Der Hoster hat physikalischen Zugriff auf die Datenträger und kann theoretisch auf die darauf gespeicherten personenbezogenen Daten zugreifen.
Der Webserver erzeugt by design Logfiles. Es ist aus technischer Sicht vorgesehen und aus technischer Sicht auch so gewünscht.
Der Webserver kann aber so konfiguriert werden, dass Logfiles anhand festgelegter Kriterien neu erstellt werden und die älteren Logfiles automatisiert gelöscht werden.

Kontaktformulare

Kontaktformulare können neben den vom Abender eingegebenen personenbezogenen Daten auch die IP-Adresse des Besuchers erfassen.
Die über das Kontakformular übertragenen personenbezogenen Daten können mithilfe von einem SSL Zertifikat verschlüsselt und effektiv geschützt werden.

Loginbereich

Für Besucher vorgesehener Loginbereich

Wenn sich Besucher auf der Webseite registrieren und anmelden können, dann werden Session und Login Cookies gesetzt.
Grundsätzlich sollte zwischen technisch notwendigen Cookies und Retargeting Cookies unterschieden werden.

Für Besucher nicht vorgesehener erlaubter Loginbereich

Es mag aberwitzig erscheinen, dass im Falle der Verwendung eines IP basierten Plugins im Loginbereich zum Sperren von Angreifern, vom Besucher in einem Bereich, in dem keine Benutzerregistrierung möglich ist, der von Webseitenbesuchern gar nicht erst besucht werden soll (aber kann), und der auch sonst in keinster Weise über die Webseite verlinkt ist, die Zustimmung über die Erfassung von personenbezogenen Daten gegeben werden soll/muss…

Um den WordPress Login gegen Brute-Force Attacken abzusichern, werden IP Adressen in der Datenbank gespeichert, um den Angreifer zu identifizieren und zu sperren, indem die IP Adresse gefiltert wird. Der Angreifer mit dieser IP Adresse hat dann keine Möglichkeiten mehr, weitere Loginversuche durchzuführen. Dem folgend wär das Einbinden einer Datenschutzerklärung im Loginbereich das Mindeste. Hier tut sich offenbar bereits etwas bei der neuen WordPress Version 4.9.6. Das Problem ließe sich aber einfach durch einen Verzeichnisschutz mittels einer htaccess Datei lösen. Ein Einholen der Einwilligung würde entfallen.
Diese Sperre ist vergleichbar mit der nocookie Einbindung con Youtube oder Brwoserplugins wie Flash-, Skript und Adblockern.

Beim Loginvorgang können Login Lockdown Mechanismen zum Unterbinden von Brute Force Login Attempts eingesetzt werden.
In dem Fall wird die IP-Adresse dieses Rechners in der Datenbank gespeichert.
Diskussionswürdig wäre in diesem Zusammenhang, ob bei Systemen, die einerseits keine Registrierung und Anmeldung von Besuchern erlauben, aber andererseits IP Adressen zwecks Brute Force Attacken in der Datenbank speichern, dieses beim Datenschutz angeben müssen.

Personenbezogene Daten in Kommentaren

Von Besuchern abgegebene Kommentare müssen irgendwo abgespeichert werden. Dies geschieht in der Regel in der Datenbank des CMS, wo auch alle Inhalte wie Beiträge und Benutzerdaten gespeichert werden.

IP Adressen in Kommentaren

Ein Blog lebt vom sozialen Austausch. Bei vielen Systemen wird dabei auch die IP Adresse des Besuchers gespeichert. Zukünftige Gerichtsurteile werden zeigen, ob das Speichern der IP Adresse bei Kommentaren rechtsgültig ist oder nicht.
Es besteht die Möglichkeit, die IP Adresse als personenbezogenen Daten in WordPress Kommentaren umzuschreiben.

Tracking Software

Unter Trackingsoftware fallen u.a. Google Analytics et cetera. Ideal wäre ein Opt-In seitens des Benutzers für Google Analytics und eine Erläuterung in der Datenschutzerklärung der erfassten personenbezogenen Daten durch Google Analytics.

Google Fonts

Die auf sehr vielen Webseiten verwendeten Google Fonts werden laufen Daten mit Google USA ausgetauscht.
Eine Ausweichmöglichkeit wäre das lokale Einbinden der Schriftarten, was aber höhere Datenmengen und Ladezeiten mit sich brächte und hinsichtlich der Website Pagespeed negative Auswirkungen hätte.
Webdesign Braunschweig geht vorerst einen extremen Weg und entfernt Google Schriftarten komplett. Das sieht zwar nicht so schick aus, aber wir haben da jetzt Nägel mit Köpfen gemacht und die Fonts nicht mehr eingebunden.

Social Media

Wie schon seit langem bekannt sind Like und Share Buttons schon lange im Fokus der Datenschützer und stark abmahngefährdet.
Die Social Media Buttons übertragen ohne die eindeutige Erlaubnis des Besuchers bereits IP-Adresse und Cookies an Facebook & Co.

IP-Adresse in WordPress Kommentaren nicht speichern

Kontaktdaten

Kontaktdaten können telefonisch, per Brief, über das Kontaktformular oder per E-Mail.
Der Kunde sollte darüber informiert werden, was mit diesen personenbezogenen Daten gemacht wird.
In unserem Fall werden sie zur Beantwortung der Anfrage verwendet.
Innerhalb einer Geschäftsbeziehung werden diese Kontaktdaten auch dafür verwendet, um ein mit dem Kunden zuvor festgelegtes Ziel zu erfüllen.

Recht auf Auskunft

Der Kunde hat das Recht darauf Auskunft über die gespeicherten Daten erhalten.

Recht auf Löschung

Der Kunde hat auch das Recht darauf, gespeicherte personenbezogene Daten löschen lassen.

Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten, auch Verarbeitungsverzeichnis genannt, ist grundsätzlich verpflichtend, wenn mindestens eines der folgenden Kriterien erfüllt ist:

  • das Unternehmen hat >250 Mitarbeiter
  • es werden kritische Daten wie z.B. zu Gesundheit, Sexualität, Religion uvm. erfasst
  • es findet eine regelmäßige Verarbeitung von Daten aus einer Kundendatenbank (wie in Onlineshops) statt

Das Erstellen eines Verarbeitungsverzeichnisses ist grundsätzlich sinnvoll, um im Falle einer Aufforderung zur Offenlegung vorbereitet zu sein und alle Verarbeitungswege vollständig und korrekt aufzeigen zu können.

Checkliste des Datenschutzbauftragten

Datenschutzbeauftragte

In Unternehmen mit einer Mitarbeiterzahl von 250 oder mehr wird ein Datenschutzverantwortlicher bzw. Datenschutzbeauftragter benötigt.
Der Datenschutzbeauftragte hat die Aufgabe, das Erfassen und Verwenden personenbezogener Daten genau, unabhängig und regelmäßig zu kontrollieren.

DSGVO im Journalismus

Hier herrscht noch keine eindeutige Klarheit inwieweit Fotografien im öffentlichen Plätzen Personen abbilden dürfen und inwieweit das Einholen und die Form einer Einwilligung aller erkennbaren Personen benötigt wird.
Wie die DSGVO die Arbeit von Fotografen beeinflusst können Sie in der Stellungnahme des Bundesinnenministeriums zur Fotografie und DSGVO.

Youtube

Kaum ist das Einbetten von Youtube Videos aus urheberrechtlicher Sicht überstanden kommt die nächste Hiobsbotschaft.
Youtube Videos müssen im erweiterten Datenschutzmodus eingebettet werden, weil sonst ein NID Cookie abgespeichert werden würde, was Google später theoretisch zur Weiterverarbeitung nutzen könnte.

Google Maps

Google Maps ist noch ein größeres Problem.
Zum jetzigen Zeitpunkt kann Google Maps nicht DSGVO konform verwendet werden, weil dem Besucher keine Möglichkeit zum Opt-In gegeben wird.

Nachtrag Google und DSGVO Konformität

Google gibt an, das alle Google Dienste konform zum Fristende sein werden.
Der Knackpunkt ist aber, dass die Methode, wie der Dienst eingebunden wird, auch DSGVO konform sein muss. Und das ist er nicht, wenn personenbezogene Daten über ein iframe ohne die Einwilligung des Benutzers direkt weiterverarbeitet werden.

Webdesign aus Braunschweig unterstützt Kunden bei der Erarbeitung und Kontrolle der DSGVO.

Gerne unterstützten wir auch Sie!