EU-DSGVO: Ein Gespenst geht um (Teil 3)
Diese zehn Punkte sollten Website-Administratoren und verantwortliche Abteilungen besser nochmal gewissenhaft prüfen:
1. SSL-Zertifikat
Ein SSL-Zertifikat verschlüsselt die Daten, die vom Computer auf einen Server übertragen werden. Spätestens seit der DSGVO ist das Sicherheitsprotokoll unverzichtbar, wenn eine Website Formulare einsetzt. Nebenbei hat ein SSL-Zertifikat noch einen weiteren positiven Effekt: Google bewertet verschlüsselte Seiten positiver – es hilft damit dem Suchmaschinenranking.
Tipp: Ein SSL-Zertifikat kann beim Provider bezogen werden. Es läuft meist nach drei Jahren aus und muss dann erneuert werden, sonst ist Ihre Website nicht erreichbar.
2. Google Fonts
Google Fonts ist eine einfache und daher beliebte Methode, um Schriften in eine Website einzubetten. Mit der DSGVO ist diese Nutzung vom Google-Server allerdings problematisch geworden: Denn Google trackt über die Serverabrufe das Nutzerverhalten. Das hindert Websitebetreiber allerdings nicht daran, die Schriften zu verwenden. Sie müssen jetzt lediglich heruntergeladen und über den eigenen Server eingebunden werden.
Tipp: Die Prüfung, ob eine Seite Google Fonts nutzt, ist mit dem Chrome-Browser ganz einfach: Über F12 werden die Developer-Tools aufgerufen. Unter dem Reiter Sources werden alle externen Quellen angezeigt, die parallel aufgerufen werden. Ist „fonts.gstatic.com“ dabei, werden von Google gehostete Schriften verwendet.
3. jQuery
Ähnlich verhält es sich mit jQuery – greifen Websites auf die JavaScript-Bibliothek zu, die auf jQuery.com gehostet wird, ist unsicher, was mit den Nutzerdaten geschieht. Auf jQuery.com gibt es dazu keine direkten Angaben.
Tipp: Die beste Lösung hierfür ist ebenfalls das lokale Hosting: Der Download der jQuery-Bibliothek und Upload auf dem eigenen Server.
4. Embed-Codes
Bettet ein Websitebetreiber ein YouTube-Video auf seiner Seite ein, werden bei dem Videoanbieter eingeloggte Nutzer getrackt. Schon beim Laden des Vorschaubildes vom YouTube-Server fließen Trackinginformationen. Ein Verstoß gegen die DSGVO, die auf den Websitebetreiber zurückfallen kann. Eine erste Vorsichtsmaßnahme ist die Aktivierung des erweiterten Datenschutzmodus, wenn Videos per Embed-Code eingebunden werden. So werden weniger Daten an Google gesendet. Allerdings installiert sich immer noch einen Cookie.
Tipp: Mittlerweile gibt es einige Workarounds. Für Wordpress ist das Plugin „Embed videos and respect privacy“ empfehlenswert. Mit diesem wird auch das Video-Vorschaubild nicht mehr von YouTube geladen, sondern auf dem eigenen Server zwischengespeichert. Nicht nur bei YouTube müssen Websitebetreiber aufpassen, sondern beispielsweise auch bei Vimeo. Allgemein sollten Embed-Codes kritisch unter die Lupe genommen werden.
5. Kommentare
Können Nutzer auf der Website Kommentare hinterlassen, muss geprüft werden, ob die Datenbank die IP-Adressen der Kommentatoren speichert. Bei Wordpress und Drupal ist das zum Beispiel standardmäßig der Fall. Ein Plugin oder ein entsprechender Eintrag in der „functions.php“ schafft bei Wordpress Abhilfe.
Tipp: Grundsätzlich ist es nicht verboten, IP-Adressen zu speichern – vorausgesetzt, es besteht ein berechtigtes eigenes Interesse der Websitebetreiber. Nach spätestens 14 Tagen sollten diese Daten aber gelöscht werden.
6. Allgemein: Plugins prüfen
Ist ein Content Management System wie Wordpress oder Drupal im Einsatz, sind im Regelfall auch einige Erweiterungen installiert. Doch viele davon sind nicht DSGVO-konform. Insbesondere Security-Plugins tracken häufig IP-Adressen, um die Installation vor Attacken zu schützen oder diese zu dokumentieren. Das ist besonders kritisch, wenn die Server, die die Daten speichern, nicht in der EU stehen.
Tipp: Prüfen Sie alle installierten Erweiterungen kritisch und nutzen Sie ggf. Alternativen. Anforderungen sind laut DSGVO Datensparsamkeit, -transparenz und -löschung. Die Plugins müssen demnach eventuell erhobene Daten sicher verwaltet und einfach oder automatisch löschen können oder erst gar keine Daten erheben.
7. Cookies
Beim Websiteaufruf werden vielfach Cookies gesetzt, um den Nutzer beim zweiten Besuch identifizieren zu können. Bisher regelte § 15 Abs. 3 Telemediengesetz in Deutschland den Umgang mit Cookies. Demzufolge muss ein Nutzer über die Speicherung informiert werden – stimmt er der Nutzung der Daten nicht zu, muss er aktiv widersprechen. Demzufolge reicht ein Cookie-Banner mit Link zur Datenschutzerklärung aus. In dieser sollte dann genau erklärt werden, welche Cookies warum und wie lange zum Einsatz kommen.
Tipp: Technisch notwendige Cookies sind auch weiterhin unproblematisch. Anders sieht es mit Cookies aus, die Nutzer tracken und analysieren. Hier sind sich die Experten noch uneinig. Die sicherste Variante ist in so einem Fall ein Opt-In, bei dem der Nutzer aktiv der Verwendung von Cookies zustimmen muss.
8. Tracking
Das Thema Tracking hat mit den Cookies (Punkt 7.) eine hohe Schnittmenge. Bei der Erhebung personenbezogener Daten gilt entsprechen die gleiche Empfehlung: ein Opt-In ist die sicherste Variante.
Tipp: Piwik empfiehlt den Opt-In als Checkboxen zu realisieren, um sich der Einwilligung der Nutzer zu versichern.
Zusätzlich notwendig ist in jedem Fall ein Opt-Out (das auch Google Analytics anbietet) und eine Anonymisierung der IP-Adresse. Besondere Vorsicht ist bei Universal Analytics angesagt: Mithilfe einer User-ID ist hier ein Cross-Device-Tracking möglich. Dies kann aber bei Google Analytics deaktiviert werden. Auch hier gehen die Meinungen auseinander, ob diese Maßnahmen zum Schutz der Nutzerdaten ausreichend sind oder ob ein Opt-In zwingend erforderlich ist.
9. Newsletter
Wie bisher gilt hier: Ein zweistufiges Opt-In-Verfahren ist zwingend erforderlich. Anmeldungen für einen Newsletter müssen also noch einmal vom Nutzer bestätigt werden. Wichtig ist beim Ausfüllen des Anmeldeformulars ebenfalls eine Bestätigung der Datenschutzerklärungen per Checkbox. Diese darf dafür in keinem Fall vorausgewählt sein.
10. Datenschutzerklärung
Zu guter Letzt sei die Datenschutzerklärung genannt. Sie klärt Nutzer darüber auf, wo welche Daten erhoben, wo und wie diese gespeichert werden und wie sie die Einwilligung zur Datenspeicherung widerrufen können. Mit der DSGVO sind die Vorschriften für die Datenschutzerklärung noch einmal verschärft worden, sodass Websitebetreiber die Seite entsprechend aktualisieren sollten.