DSGVO und Homepage

Eine gut gemachte Homepage ist ein starkes Instrument im Online-Marketing. Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) verpflichtend für alle Unternehmen EU-weit in Kraft. Damit Datenschutz und Online-Marketing auch weiterhin Hand in Hand gehen, sind einige Regeln zu beachten.

Wir alle hinterlassen datenrelevante Spuren im Netz

Wenn wir das Internet nutzen, ob bei der Recherche, dem Besuch von Webseiten, Internetshops, Portalen oder Ratgebern - wir alle hinterlassen Spuren, die von deren Betreibern ausgewertet werden und bares Geld wert sind. Persönliche Daten als Entgelt für die kostenlose Nutzung von Internetangeboten wird es zwar weiterhin geben. Welche Daten bei Webseitenbesuchen abgegriffen und weiterverwendet werden, wird mit der DSGVO transparenter und nachvollziehbarer – vor allem aber wird die Preisgabe von Daten durch den Nutzer steuerbar. Für Unternehmen, die personenbezogene Daten verarbeiten, bringt sie deutlich strengere Reglungen mit sich, die auch von kleinen und mittleren Unternehmen eingehalten werden müssen. 

Was sind eigentlich personenbezogene Daten?

Alle Daten, die mit einer konkreten Person zu tun haben, sind schützenswert. Darunter fallen Name, Adresse, Kontaktdaten, Geburtsdatum, Bankverbindung, aber auch die IP-Adresse des Rechners, den diese Person nutzt. Alle diese Daten müssen sorgsam verwahrt und gegen Missbrauch geschützt werden. Missbrauch ist die Verwendung zu einem anderen Zweck als zu dem, den diese Person in dem Moment im Sinn hatte, als sie uns ihre Daten zur Verfügung stellte. So darf man die eMail-Adresse auf der Visitenkarte eines Geschäftskontaktes nicht einfach zum Newsletter-Versand nutzen. Er muss dieser Nutzung explizit zugestimmt haben, und das müssen wir als Newsletter-Versender jederzeit nachweisen können.

 Wieso wird so viel über Abmahnfallen bei der DSGVO geredet?

Zum einen, weil in der Presse die hohen Bußgelder, die mit der DSGVO einhergehen, immer wieder zum Thema werden. Zum anderen – und das ist nicht neu – gibt es gesetzliche Regelungen, die die Rechte von Marktteilnehmern schützen. Verbraucher schützt das Unterlas­sungsklagengesetz (UKlaG), Unternehmen genießen Schutz gegen unlauteren Wettbewerb (UWG). Doch wo kein Kläger, da kein Richter. Auch wenn Eile geboten ist, um Ihre Homepage DSGVO-konform zu machen: Die so genannten Abmahnanwälte können nicht aus eigenem Antrieb abmahnen, es muss eines der genannten Gesetze durch eine Privatperson oder einen Wettbewerber herangezogen werden.

 Ist meine Homepage auch gefährdet?

Wenn Ihre Homepage ein Kontaktformular enthält, eine Möglichkeit zur Registrierung oder eine Anmeldung zu Ihrem Newsletter, wenn Sie eine Landingpage betreiben, über die sich Infomaterial abrufen und an eine eMail-Adresse versenden lässt, dann ändert sich mit der DSVGO einiges für Sie:

• Der Speicherung der Kontaktdaten des Nutzers muss eine explizite Einwilligung des Nutzers vorausgehen
• Er muss informiert werden, was Sie mit diesen Daten anstellen. Sie sind verpflichtet, die Nutzung der Daten auf diesen Zweck zu beschränken.
• Der Nutzer muss jederzeit auf seine Anfrage hin über den Umfang der bei Ihnen über ihn gespeicherten Daten informiert werden können. Er muss sie korrigieren und löschen können.

Aber die Eingabe von personenbezogenen Informationen ist nicht die einzige Falle, in die Ihre Homepage tappen kann. An vielen anderen Stellen greifen Webseiten personenbezogene Daten ab, ohne dass dieser Sachverhalt offensichtlich wird. Als Webseitenbetreiber sind Sie in der Pflicht, genau zu prüfen, wo personenbezogene Daten zu schützen sind. Im Folgenden will ich die wichtigsten Schwachstellen aufzeigen, an denen Schutzmaßnahmen zu ergreifen sind.

 Wo lauern die Gefahren in meiner eigenen Homepage?

Das wichtigste ist die Einbindung einer auf Ihre Homepage zugeschnittenen Datenschutzerklärung. Was sie enthalten soll, weiß Ihr Webseitengestalter – auch er ist laut DSGVO in der Pflicht, ebenso wie Sie als Webseitenbetreiber. Er wird Sie auch bei der Einschätzung der folgenden sensiblen Punkte unterstützen können, die die DSGVO-Compliance Ihrer Homepage betreffen:

• Kontaktformulare

  Im Fall des Kontaktformulars, der Registrierung oder der Newsletter-Anmeldung ist die Lösung recht einfach. Ein einfaches Popup, das eine Belehrung gemäß der DSGVO enthält, reicht. Allerdings sollten im Formular nicht zu viele Daten abgefragt werden, denn die DSGVO mahnt zur Datensparsamkeit. Postanschrift und Rufnummer haben z.B. in einer Newsletter-Anmeldung nichts zu suchen.

• Besucherstatistiken

  Für Webseitenbetreiber ist es gut zu wissen, wie oft, wie lange und wie intensiv Ihre Homepage besucht wird. Google Analytics ist eine häufige Basis für aussagekräftige Besucherstatistiken; es lässt sich relativ leicht einbinden und auswerten. Doch der Einsatz von Google Analytics ist nicht unproblematisch, da Google vielfältige Informationen abgreift, auswertet und für seine eigenen Zwecke nutzt. Damit Google Analytics DSGVO-konform eingesetzt werden kann, sind drei Dinge erforderlich:

  - der Abschluss eines Vertrages zur Auftragsverarbeitung mit Google

  - Die Zustimmung zu einer Erweiterung dieses Vertrages, das EU-Recht zum Inhalt hat

  - Die Einbindung eines speziellen Code-Schnipsels in den Header der Website, der die IP-Anonymisierung realisiert

  Wer Besucherstatistiken haben möchte, wird um diese Maßnahmen kaum herumkommen.

• Anfahrtsbeschreibungen

  Wenn Ihre Homepage eine Anfahrtsbeschreibung enthält, wird sie sehr wahrscheinlich Google Maps nutzen. Auch hier bedient sich Google wieder reichlich an Informationen über den Besucher. Mittels Plugins lässt sich Google Maps leicht einbinden. Lassen Sie von Ihrem Webdesigner oder -Anbieter sicherstellen, dass das verwendete Plugin die Übertragung von Daten an Google begrenzt.

• Blog

  Ein Blog ist eine sehr gute Möglichkeit, sich am Markt zu positionieren. Allerdings lauern hier gleich mehrere Fallen:

  Kommentarfunktionen: Greifen oft personenbezogene Daten der Kommentierenden ab. Auch hier ist die Auswahl eines datensparsamen Kommentar-Plugins wichtig. Ihr Webdesigner wird Ihnen sagen können, wie sicher das verwendete Plugin ist und notfalls ein vertretbareres auswählen können.

  Antispam-Plugins: Wer einen Blog betreibt, wird immer wieder Opfer professioneller Spamversender. Es gibt sehr gute Plugins, um Spam zu erkennen und aus dem Blog fernzuhalten. Aber auch unter diesen gibt es einige, die nach DSGVO nicht zulässig sind. Ihr Webdesigner wird ein passendes auswählen und einsetzen können.

  Gravatare: Neben Kommentartexten tauchen oft kleine Fotos der Verfasser auf. Solche Gravatare sind nach DSGVO nicht mehr zulässig und können – müssen - im Backend Ihrer Homepage unterbunden werden. Ihr Webdesigner wird das in der Regel erledigen können. Wer ein CMS-Tool wie Wordpress einsetzt, kann das leicht selbst machen.

• Social Media Likes und Shares

  Dass der Facebook-Like-Button auf Webseiten nicht unproblematisch ist, hat sich inzwischen herumgesprochen. Auch Facebook greift reichlich Daten von Webseitenbesuchern ab. Daher ist der klassische Facebook-Like-Button nach DSGVO nicht mehr zulässig. Dasselbe gilt, wenn auch in etwas geringerem Umfang, für Share-Buttons. Es gibt aber sehr gut geeignete Alternativen, solche Buttons einzubinden, die auch unter der DSGVO unproblematisch sind.

• Bilder und Videos

  Um die Ladezeit von Webseiten zu begrenzen, werden audiovisuelle Medien in der Regel verkleinert. Die dazu notwendigen Tools können ebenfalls zu Konflikten mit der DSGVO führen. Es gibt aber inzwischen eine größere Auswahl von DSGVO-konformen Tools für die Bildkompression. Besondere technische Vorkehrungen sind erforderlich, wenn Videos eingebunden werden sollen, egal ob über Youtube oder Vimeo.

• Schriftarten

  Google Webfonts bieten viel Abwechslung in der Gestaltung von Homepage-Texten und werden daher häufig eingesetzt. Aber wie alle Google-Produkte sind auch sie Datenkraken. Sie auszuschalten, erfordert technisches Hintergrundwissen über die Gestaltung Ihrer Homepage. Abhilfe schafft entweder das Installieren der Schriftarten auf dem Server oder, falls ein modernes Theme verwendet wird, das Abschalten der Google Webfonts-Funktion.

• ReCaptcha

  Kontaktformulare sind häufig Opfer von eMail-Spammern. Mit so genannten ReCaptchas wird ein kleines Fenster in das Formular eingebunden, das echte Menschen von Spam-Robots unterscheidet. So wird Ihr an das Kontaktformuar angebundener eMail-Account spamfrei stellt. Leider greifen viele dieser ReCaptchas Nutzerdaten ab. Inzwischen gibt es moderne DSGVO-konforme Alternativen.

• Cookies

  Hinter diesem hübschen Begriff verbirgt sich eines der größten Übel, gegen die sich die DSGVO stellt. Cookies sind kleine Programme, die unbemerkt in Ihrem Browser installiert werden, wenn Sie Webseiten besuchen. Auch durch Ihre Homepage! Urheber sind Plugins und Ihre Homepage selbst. Auch wenn der Einsatz von Cookies in der EU noch nicht abschließend geregelt ist, sollten sie sparsam verwendet werden. Durch die Gestaltung Ihrer Homepage, sorgfältig ausgewählte Plugins und vor allem die Frage der Nutzerstatistiken lässt sich deren Anzahl begrenzen.

  Ein Hinweis auf die Verwendung von Cookies auf Ihrer Homepage muss auf der Startseite erfolgen. Ob eine reine Zustimmung oder die Möglichkeit zum Opt-out (Verneinung der Installation von Cookies) angeboten werden muss, weiß Ihr Homepage-Anbieter.

• Technische Sicherheit

  Damit personenbezogene Daten vor unberechtigtem Zugriff während des Transports durch das Internet geschützt sind, muss Ihre Homepage verschlüsselt werden. Dass sie verschlüsselt ist, erkennen Besucher an dem kleinen grünen Schloss links außen in der Adresszeile des Browsers. Wenn Ihre Homepage ein Kontaktformular oder eine Registrierung verwendet, ist die so genannte TLS/SSL-Verschlüsselung ein absolutes Muss.

• Hosting

  Auch Ihrem Hoster, also dem Unternehmen, bei dem Ihre Homepage technisch betrieben wird, kommt eine wichtige Rolle zu. Mit ihm müssen Sie ebenso wie mit Google einen Vertrag zur Auftragsverarbeitung schließen, um sich rechtlich abzusichern. Das ist aber noch nicht alles, den Hoster erstellen in der Regel als Teil ihres Service-Angebotes Logfiles, die die IP-Adressen Ihrer Homepage-Besucher protokollieren. Sie sollten entscheiden, ob sie diese Statistiken tatsächlich benötigen und sie gegebenenfalls abstellen. Leider bieten nicht alle Hoster diese Möglichkeit an. Spätestens dann müssen Sie in der Datenschutzerklärung auf die Existenz dieser Logfiles hinweisen.

• Webdesign selbst

  Ältere Homepages haben nicht selten Probleme, eine angemessene DSGVO-Konformität herzustellen. Deren Anbieter legen dann häufig eine Vertragsauflösung nahe oder erhöhen die Wartungspreise erheblich. Abhilfe lässt sich dann nur über den kompletten Neuaufbau schaffen. Auch wenn das zunächst wie ein Schock klingt: Mit modernen Themes und Plugins lässt sich relativ schnell und kostengünstig eine neue Homepage erzeugen, die nicht nur DSGVO-konform, sondern auch schneller und nutzergerechter ist. Oft sind diese Tools so leicht zu bedienen, dass nur ein Grundgerüst Ihrer Homepage professionell erstellt werden muss. Der Rest lässt sich leicht und ohne Programmierkenntnisse in Eigenregie umsetzen.