Websites prüfen und neuen Regeln anpassen

Foto: fotolia

Vielen Website- und Blogbetreibern bereitet die europäische Datenschutz-Grundverordnung (DSGVO), die am 25. Mai umgesetzt werden muss, derzeit schlaflose Nächte. Wer schon immer sein Blog oder seine Webseite datenschutzkonform betrieben hat, wird allerdings kaum Anpassungen vornehmen müssen. Auch ist im Moment nicht zu erwarten, dass die Datenschutz-Aufsichtsbehörden von Bund und Ländern anlasslos Website-Scans durchführen. Dennoch sollte man seinen eigenen Webauftritt einmal aus der Perspektive von Abmahn-Anwälten durchprüfen und anpassen.

Eine Umfrage bei allen Aufsichtsbehörden durch die Autorin ergab, dass technische Überprüfungen von Online-Websites, Anwendungen oder IT-Systemen in der Praxis bisher eher selten stattfanden. Für die Online-Prüfungen von Websites setzen sie verschiedene Standardtools wie beispielsweise den schwedischen Webdienst Webkoll, SSL-Tester sowie diverse Zertifikatsanalysatoren ein. Sie prüfen, ob Social Plugins vorhanden sind und ob Google Analytics regelmäßig eingesetzt wird. Und natürlich sehen sie nach, ob es überhaupt eine Datenschutzerklärung gibt. Ähnlich dürften auch Abmahn-Anwälte agieren, vor denen im Moment gewarnt wird.

Journalist_innen sollten sich dann um ihren Webauftritt kümmern, wenn sie diesen nicht für persönliche und familiäre Zwecke betreiben. Nur in diesem Fall würden sie unter die sogenannte „Haushaltsausnahme“ (Artikel 2, Abs. 2) fallen und wären nicht von den Vorgaben der DSGVO betroffen. Nicht betroffen von den Datenschutzregeln ist überdies jeder, der keine personenbezogenen Daten verarbeitet. Das ist etwa dann der Fall, wenn jemand auf einem eigenen Server seine Website hostet, auf der keine personenbezogenen Daten erhoben werden. Werden nur anonymisierte Daten verwendet, gelten die Datenschutzvorgaben ebenfalls nicht.

Datenschutzerklärung sichtbar auf der Startseite

Ansonsten ist eine Datenschutzerklärung nötig, die auf der Einstiegsseite sichtbar verlinkt sein sollte. Sie muss nicht von einem Juristen formuliert werden. Das wichtigste ist, dass sie für den Normalnutzer leicht verständlich ist und alle Datenverarbeitungen komplett beschreibt. Je mehr man auf Zusatzdienste wie Newsletter, Statistik oder Social-Plugins verzichtet, desto kürzer wird sie. Sollte man den Überblick verloren haben, welche Tools das eigene Content-Management-System nutzt, sollte man sich die eigene Website einfach aus Perspektive der Tester ansehen: Über Webkoll kann man die eigene Website besuchen und analysieren lassen. Bei den Fundstücken kann man dann gezielt ansetzen.

In jedem Fall werden auf einer Website oder einem Blog technische Meta-Daten erhoben, die bei der Kommunikation mit dem Server, auf dem die Website liegt, anfallen. Diese Daten, insbesondere die IP-Adressen, aber auch Browser-Informationen des Besuchers wie etwa die Betriebssystemversion, Displayauflösung oder Browserart werden möglicherweise kurzfristig auf dem Server sichtbar. Auf dem eigenen Server lassen sich diese umgehend löschen. Wenn die Website bei einem Web-Hoster gehostet wird, muss dieser dem Website-Betreiber die Möglichkeit geben, die Speicherung dieser Meta-Daten zu deaktivieren. Dies gilt es dann in der eigenen Datenschutzerklärung anzuführen.

Versand von Newslettern nur mit Einwilligung

Um einen E-Mail-Newsletter verschicken zu können, muss man mindestens die E-Mail-Adresse des Empfängers kennen. Damit verarbeitet man auf jeden Fall personenbezogene Daten und ein Versand ist nur dann rechtskonform, wenn der Empfänger dazu ausdrücklich seine Einwilligung erteilt hat. Dafür sind mindestens zwei Schritte notwendig: Der Empfänger muss selbst entscheiden, ob er den Newsletter erhalten möchte. Man darf ihn also nicht einfach auf Verdacht auf den Verteiler setzen. Außerdem muss er die Online-Anmeldung bestätigen. Damit geht der Betreiber sicher, dass nicht jemand anders den Newsletter für eine dritte Person bestellt hat. Schließlich muss der Empfänger sich jederzeit wieder vom Newsletter abmelden können.

Organisiert man den Newsletter-Versand nicht selbst, sondern über einen Anbieter, sollte man sichergehen, dass er rechtskonform anbietet. Zum einen sollte der Anbieter hierfür einen Vertrag zur Auftragsdatenverarbeitung (ADV) anbieten, den man mit ihm abschließen sollte. Zum anderen sollte er in der Lage sein, etwa über Zertifizierung nachweisen zu können, dass er alle Anforderungen der DSGVO erfüllt.

Bei Kommentaren können Anti-Spam-Filter helfen

Insbesondere für Blogs sind die Kommentare kritisch: Hier protokollieren die meisten Content-Management-Systeme automatisch die IP-Adressen der Kommentatoren. Aufbauend auf diesen IP-Adressen können dann Anti-Spam-Filter eingesetzt werden, die aber meist in den USA gehostet werden. Hier können Blog-Betreiber entweder händisch die IP-Protokollierung in ihrem System abstellen, oder sie müssen wie beim Newsletter von ihren Kommentatoren eine Einwilligung ersuchen, die Daten speichern zu dürfen. Auch bei vorliegender Einwilligung dürfen die IP-Adressen nicht unbefristet, wie heute üblich, gespeichert werden. Ratsam ist es daher, die Erhebung der IP-Adressen zu blockieren und Anti-Spam-Filter zu verwenden, die etwa auf Basis von Wortlisten arbeiten. Außerdem müssen die Kommentatoren darüber aufgeklärt werden, dass sie pseudonym kommentieren dürfen.

Die zweischrittige Einwilligung gilt auch für Social-Plugins. Einfach die von Facebook, Google oder Twitter angebotenen Teilen-Buttons einzubauen ist nicht ratsam. Insbesondere Facebook erfasst so nämlich, wer sich wie durch das Netz bewegt. Deshalb gibt es alternative Zwei-Klick-Lösungen: Hier wird der Button erst aktiv, wenn der Nutzer tatsächlich in Aktion tritt und den Beitrag auf seiner Social-Media-Seite teilt.

SSL-Verschlüsselung für gewerblich genutzte Websites

Sobald man personenbezogene Daten über die Website erhebt, indem man dem Besucher anbietet, über ein Formular den Newsletter zu bestellen oder Nachrichten zu hinterlassen, muss man den Datenverkehr zwischen dem Besucher und der eigenen Website absichern. Das geht mit der SSL-Transportverschlüsselung. In der Regel ist das nur ein Zusatzdienst, den man bei seinem Hoster mieten kann. Die SSL-Verschlüsselung für gewerblich genutzte Websites ist ein Muss. Das Bayerische Landesamt für die Datenschutzaufsicht testete vor einigen Jahren Websites bayerischer Unternehmen und forderte diejenigen, die keine SSL-Verschlüsselung hatten, zur Nachbesserung auf. Bußgelder wurden übrigens damals keine verhängt, weil alle Unternehmen sich einsichtig zeigten.

Unter Juristen wird derzeit diskutiert, ob US-basierte E-Mail- und Messagingdienste für europäische Nutzer noch akzeptabel sind. So lange die Vereinbarung zwischen der Europäischen Union und den USA für einen „Privacy Shield“ noch Bestand hat, sollte man überprüfen, ob der eigene Mail-Anbieter dem „Privacy Shield“ beigetreten ist. Ist er es nicht, sollte man die Mail-Adresse für kommerzielle Zwecke nicht seinen Geschäftspartner und Whistleblowern als Erstkontakt anbieten. Sobald aber der Europäische Gerichtshof auch den „Privacy Shield“ kippt, muss auf eine europäische Alternative umgestiegen werden. Unabhängig davon sollte man überlegen, ob Mail-Anbieter wie GMail wirklich den rechtlichen Ansprüchen genügen können, da sich der Betreiber Google ja vorbehält, die Mail-Inhalte jederzeit analysieren zu dürfen.

Speichern für die Statistik

Auch datensparsame Betreiber wollen erfahren, wie gut ihre Website besucht wird. Das ist kein Problem, wenn man beispielsweise nur gekürzte IP-Adressen speichert. Ein beliebter Statistik-Dienst, der dies leistet, ist Matomo. Die früher als Piwik bekannte quelloffene Analysesoftware löscht von der zwölfstelligen IP-Adresse die letzten sechs Stellen. Matomo benutzt allerdings Cookies, um Besucher wiedererkennen zu können. Diese Daten werden aber nur auf dem Server gespeichert, auf dem auch die Website gehostet wird. Die Datenschutzaufsichtsbehörden akzeptieren eine Speicherdauer von sechs Monaten. Matomo-Nutzer können die Speicherdauer selbst festlegen, beispielsweise auf einen Monat. Außerdem respektiert Matomo Do-Not-Track-Einstellungen des Besucher-Browsers. Wenn dieser verlangt, dass er „nicht verfolgt“ wird, dann wird kein Cookie gesetzt.

Content-Management-Systeme wie WordPress nutzen mitunter Schriftarten, die über die sogenannte Google-Fonts-Schnittstelle von Google geladen werden, sobald die Website aufgerufen wird. Eine Prüfung durch das Tool Webkoll etwa zeigt, ob Google-Fonts benutzt werden. Damit erfährt Google, dass der Browser eines bestimmten Seitenbesuchers die Website aufgerufen hat. Es ist im Moment nicht klar, inwieweit das datenschutzrechtlich akzeptabel ist. Da beispielsweise das beliebte Blog-Content-Management-System WordPress diese Schriften je nach Version nachlädt, ist es für die Blog-Betreiber mühsam, die Verwendung dieser Schriften komplett zu vermeiden. In der eigenen Datenschutzerklärung sollte man deshalb die Besucher darauf hinweisen, dass er beispielsweise im Windows-Ordner windows\system32\drivers\etc\ in der Datei hosts den Eintrag 127.0.0.1 fonts.googleapis.com platzieren kann, um das Nachladen der Google-Fonts zu deaktivieren.

Gerade für diejenigen, deren Blog seit Jahren nur noch dahindümpelt, weil die Interaktion mit den Leser_innen meist über Social-Media-Plattformen wie Twitter oder Facebook läuft, ist die DSGVO möglicherweise ein Anlass, die eigene Webseite einzustellen. Für alle anderen gilt es einfach die Hausaufgaben nachzuholen, die sie bisher versäumt haben.

 

 

nach oben

weiterlesen

Wenn Algorithmen das Steuer übernehmen

„Das Schreckgespenst des Algorithmus geistert durch die öffentliche Debatte“, so Katharina Kleinen-von-Königslöw, Professorin für digitale Kommunikation an der Uni Hamburg. Sie war eine von etwa 150 Referent_innen auf der Jahrestagung der Deutschen Gesellschaft für Publizistik und Kommunikationswissenschaft in Mannheim, die sich mit „Selbstbestimmung in der digitalen Welt“ angesichts von Fake News, Social Bots und Hate Speech befasste.
mehr »

Unsichtbarer Helfer oder Robo-Journalist?

Der Einsatz von Künstlicher Intelligenz (KI) im Journalismus treibt die Branche um, Diskussionen darüber entbehren selten einer gewissen Aufgeregtheit. Machen Algorithmen und Robo-Texte Journalistinnen und Journalisten etwa bald arbeitslos? Nein, denn der Faktor Mensch bleibt nicht herauszudenken, so das Fazit des Mediensalons von dju in ver.di, DJV Berlin und meko factory, der am 9. Mai nicht wie gewöhnlich im taz Café, sondern im Berliner Vodafone-Institut stattfand. Die Ethik dürfe bei der automatisierten Textproduktion aber nicht aus dem Blickfeld geraten.
mehr »

re:publica 2018: Power to the people!

KI und Algorithmen, öffentlich-rechtlicher Rundfunk, Populismus und Virtual Reality: Das sind die wohl wichtigsten Schwerpunktthemen des Partner-Events von re:publica und Media Convention Berlin (MCB), das gestern in der „Station Berlin“ am Gleisdreieck gestartet ist. Mit dem Netzfest, das am 5. Mai im Park am Gleisdreck steigt, öffnet sich die zwölfte re:publica erstmals auch einem breiten Publikum ohne spezifische digitale Kenntnisse. Ein buntes Rahmenprogramm für die ganze Familie soll die Berlinerinnen und Berliner jeden Alters wortwörtlich „netzfest“ machen.
mehr »

Über Deutschland und dort oft Übersehene

Beim 35. Internationalen Frauenfilmfestivals (IFFF) in Köln wurde über Ausschlüsse, Hierarchien und Machtstrukturen in der Filmbranche debattiert. All dies beeinflusse die Filmkultur ständig negativ, selbst wenn Gleichbehandlung und Nichtdiskriminierung als Grundpfeiler der Gesellschaft gelten, hieß es. Beim Schwerpunkt des Festivals vom 24. bis 29. April „Über Deutschland“ kamen Filmemacherinnen und Protagonistinnen zu Wort, die sonst oft geflissentlich übersehen werden.
mehr »