Websites prüfen und anpassen

Foto: fotolia

Vielen Website- und Blogbetreibern bereitet die europäische Datenschutz-Grundverordnung (DSGVO), die am 25. Mai umgesetzt werden muss, derzeit schlaflose Nächte. Wer schon immer sein Blog oder seine Webseite datenschutzkonform betrieben hat, wird allerdings kaum Anpassungen vornehmen müssen. Auch ist im Moment nicht zu erwarten, dass die Datenschutz-Aufsichtsbehörden von Bund und Ländern anlasslos Website-Scans durchführen. Dennoch sollte man seinen eigenen Webauftritt einmal aus der Perspektive von Abmahn-Anwälten durchprüfen und anpassen.

Eine Umfrage bei allen Aufsichtsbehörden durch die Autorin ergab, dass technische Überprüfungen von Online-Websites, Anwendungen oder IT-Systemen in der Praxis bisher eher selten stattfanden. Für die Online-Prüfungen von Websites setzen sie verschiedene Standardtools wie beispielsweise den schwedischen Webdienst Webkoll, SSL-Tester sowie diverse Zertifikatsanalysatoren ein. Sie prüfen, ob Social Plugins vorhanden sind und ob Google Analytics regelmäßig eingesetzt wird. Und natürlich sehen sie nach, ob es überhaupt eine Datenschutzerklärung gibt. Ähnlich dürften auch Abmahn-Anwälte agieren, vor denen im Moment gewarnt wird.

Journalist_innen sollten sich dann um ihren Webauftritt kümmern, wenn sie diesen nicht für persönliche und familiäre Zwecke betreiben. Nur in diesem Fall würden sie unter die sogenannte „Haushaltsausnahme“ (Artikel 2, Abs. 2) fallen und wären nicht von den Vorgaben der DSGVO betroffen. Nicht betroffen von den Datenschutzregeln ist überdies jeder, der keine personenbezogenen Daten verarbeitet. Das ist etwa dann der Fall, wenn jemand auf einem eigenen Server seine Website hostet, auf der keine personenbezogenen Daten erhoben werden. Werden nur anonymisierte Daten verwendet, gelten die Datenschutzvorgaben ebenfalls nicht.

Datenschutzerklärung sichtbar auf der Startseite

Ansonsten ist eine Datenschutzerklärung nötig, die auf der Einstiegsseite sichtbar verlinkt sein sollte. Sie muss nicht von einem Juristen formuliert werden. Das wichtigste ist, dass sie für den Normalnutzer leicht verständlich ist und alle Datenverarbeitungen komplett beschreibt. Je mehr man auf Zusatzdienste wie Newsletter, Statistik oder Social-Plugins verzichtet, desto kürzer wird sie. Sollte man den Überblick verloren haben, welche Tools das eigene Content-Management-System nutzt, sollte man sich die eigene Website einfach aus Perspektive der Tester ansehen: Über Webkoll kann man die eigene Website besuchen und analysieren lassen. Bei den Fundstücken kann man dann gezielt ansetzen.

In jedem Fall werden auf einer Website oder einem Blog technische Meta-Daten erhoben, die bei der Kommunikation mit dem Server, auf dem die Website liegt, anfallen. Diese Daten, insbesondere die IP-Adressen, aber auch Browser-Informationen des Besuchers wie etwa die Betriebssystemversion, Displayauflösung oder Browserart werden möglicherweise kurzfristig auf dem Server sichtbar. Auf dem eigenen Server lassen sich diese umgehend löschen. Wenn die Website bei einem Web-Hoster gehostet wird, muss dieser dem Website-Betreiber die Möglichkeit geben, die Speicherung dieser Meta-Daten zu deaktivieren. Dies gilt es dann in der eigenen Datenschutzerklärung anzuführen.

Versand von Newslettern nur mit Einwilligung

Um einen E-Mail-Newsletter verschicken zu können, muss man mindestens die E-Mail-Adresse des Empfängers kennen. Damit verarbeitet man auf jeden Fall personenbezogene Daten und ein Versand ist nur dann rechtskonform, wenn der Empfänger dazu ausdrücklich seine Einwilligung erteilt hat. Dafür sind mindestens zwei Schritte notwendig: Der Empfänger muss selbst entscheiden, ob er den Newsletter erhalten möchte. Man darf ihn also nicht einfach auf Verdacht auf den Verteiler setzen. Außerdem muss er die Online-Anmeldung bestätigen. Damit geht der Betreiber sicher, dass nicht jemand anders den Newsletter für eine dritte Person bestellt hat. Schließlich muss der Empfänger sich jederzeit wieder vom Newsletter abmelden können.

Organisiert man den Newsletter-Versand nicht selbst, sondern über einen Anbieter, sollte man sichergehen, dass er rechtskonform anbietet. Zum einen sollte der Anbieter hierfür einen Vertrag zur Auftragsdatenverarbeitung (ADV) anbieten, den man mit ihm abschließen sollte. Zum anderen sollte er in der Lage sein, etwa über Zertifizierung nachweisen zu können, dass er alle Anforderungen der DSGVO erfüllt.

Bei Kommentaren können Anti-Spam-Filter helfen

Insbesondere für Blogs sind die Kommentare kritisch: Hier protokollieren die meisten Content-Management-Systeme automatisch die IP-Adressen der Kommentatoren. Aufbauend auf diesen IP-Adressen können dann Anti-Spam-Filter eingesetzt werden, die aber meist in den USA gehostet werden. Hier können Blog-Betreiber entweder händisch die IP-Protokollierung in ihrem System abstellen, oder sie müssen wie beim Newsletter von ihren Kommentatoren eine Einwilligung ersuchen, die Daten speichern zu dürfen. Auch bei vorliegender Einwilligung dürfen die IP-Adressen nicht unbefristet, wie heute üblich, gespeichert werden. Ratsam ist es daher, die Erhebung der IP-Adressen zu blockieren und Anti-Spam-Filter zu verwenden, die etwa auf Basis von Wortlisten arbeiten. Außerdem müssen die Kommentatoren darüber aufgeklärt werden, dass sie pseudonym kommentieren dürfen.

Die zweischrittige Einwilligung gilt auch für Social-Plugins. Einfach die von Facebook, Google oder Twitter angebotenen Teilen-Buttons einzubauen ist nicht ratsam. Insbesondere Facebook erfasst so nämlich, wer sich wie durch das Netz bewegt. Deshalb gibt es alternative Zwei-Klick-Lösungen: Hier wird der Button erst aktiv, wenn der Nutzer tatsächlich in Aktion tritt und den Beitrag auf seiner Social-Media-Seite teilt.

SSL-Verschlüsselung für gewerblich genutzte Websites

Sobald man personenbezogene Daten über die Website erhebt, indem man dem Besucher anbietet, über ein Formular den Newsletter zu bestellen oder Nachrichten zu hinterlassen, muss man den Datenverkehr zwischen dem Besucher und der eigenen Website absichern. Das geht mit der SSL-Transportverschlüsselung. In der Regel ist das nur ein Zusatzdienst, den man bei seinem Hoster mieten kann. Die SSL-Verschlüsselung für gewerblich genutzte Websites ist ein Muss. Das Bayerische Landesamt für die Datenschutzaufsicht testete vor einigen Jahren Websites bayerischer Unternehmen und forderte diejenigen, die keine SSL-Verschlüsselung hatten, zur Nachbesserung auf. Bußgelder wurden übrigens damals keine verhängt, weil alle Unternehmen sich einsichtig zeigten.

Unter Juristen wird derzeit diskutiert, ob US-basierte E-Mail- und Messagingdienste für europäische Nutzer noch akzeptabel sind. So lange die Vereinbarung zwischen der Europäischen Union und den USA für einen „Privacy Shield“ noch Bestand hat, sollte man überprüfen, ob der eigene Mail-Anbieter dem „Privacy Shield“ beigetreten ist. Ist er es nicht, sollte man die Mail-Adresse für kommerzielle Zwecke nicht seinen Geschäftspartner und Whistleblowern als Erstkontakt anbieten. Sobald aber der Europäische Gerichtshof auch den „Privacy Shield“ kippt, muss auf eine europäische Alternative umgestiegen werden. Unabhängig davon sollte man überlegen, ob Mail-Anbieter wie GMail wirklich den rechtlichen Ansprüchen genügen können, da sich der Betreiber Google ja vorbehält, die Mail-Inhalte jederzeit analysieren zu dürfen.

Speichern für die Statistik

Auch datensparsame Betreiber wollen erfahren, wie gut ihre Website besucht wird. Das ist kein Problem, wenn man beispielsweise nur gekürzte IP-Adressen speichert. Ein beliebter Statistik-Dienst, der dies leistet, ist Matomo. Die früher als Piwik bekannte quelloffene Analysesoftware löscht von der zwölfstelligen IP-Adresse die letzten sechs Stellen. Matomo benutzt allerdings Cookies, um Besucher wiedererkennen zu können. Diese Daten werden aber nur auf dem Server gespeichert, auf dem auch die Website gehostet wird. Die Datenschutzaufsichtsbehörden akzeptieren eine Speicherdauer von sechs Monaten. Matomo-Nutzer können die Speicherdauer selbst festlegen, beispielsweise auf einen Monat. Außerdem respektiert Matomo Do-Not-Track-Einstellungen des Besucher-Browsers. Wenn dieser verlangt, dass er „nicht verfolgt“ wird, dann wird kein Cookie gesetzt.

Content-Management-Systeme wie WordPress nutzen mitunter Schriftarten, die über die sogenannte Google-Fonts-Schnittstelle von Google geladen werden, sobald die Website aufgerufen wird. Eine Prüfung durch das Tool Webkoll etwa zeigt, ob Google-Fonts benutzt werden. Damit erfährt Google, dass der Browser eines bestimmten Seitenbesuchers die Website aufgerufen hat. Es ist im Moment nicht klar, inwieweit das datenschutzrechtlich akzeptabel ist. Da beispielsweise das beliebte Blog-Content-Management-System WordPress diese Schriften je nach Version nachlädt, ist es für die Blog-Betreiber mühsam, die Verwendung dieser Schriften komplett zu vermeiden. In der eigenen Datenschutzerklärung sollte man deshalb die Besucher darauf hinweisen, dass er beispielsweise im Windows-Ordner windows\system32\drivers\etc\ in der Datei hosts den Eintrag 127.0.0.1 fonts.googleapis.com platzieren kann, um das Nachladen der Google-Fonts zu deaktivieren.

Gerade für diejenigen, deren Blog seit Jahren nur noch dahindümpelt, weil die Interaktion mit den Leser_innen meist über Social-Media-Plattformen wie Twitter oder Facebook läuft, ist die DSGVO möglicherweise ein Anlass, die eigene Webseite einzustellen. Für alle anderen gilt es einfach die Hausaufgaben nachzuholen, die sie bisher versäumt haben.


Weitere Materialien zur europäischen Datenschutz-Grundverordnung:

Die Datenschutz-Grundverordnung und die Pressefreiheit

mediafon.net: Was regelt die Datenschutz-Grundverordnung? 

 

 

nach oben

Weitere aktuelle Beiträge

„Das Problem mit der Leidenschaft“

Lena Hipp ist Professorin für Soziologie an der Universität Potsdam und leitet die Forschungsgruppe „Arbeit und Fürsorge“ am Wissenschaftszentrum Berlin für Sozialforschung (WZB). Mit M sprach sie über „Gute Arbeit“, Stressoren im Journalismus und weshalb die Trennung von Arbeit und Privatleben für Medienschaffende so wichtig ist.
mehr »

Dreyeckland-Journalist wegen Link angeklagt

Am 18. April beginnt der Prozess gegen den Journalisten Fabian Kienert. Dem Mitarbeiter von Radio Dreyeckland in Freiburg wird die Unterstützung einer verbotenen Vereinigung vorgeworfen, weil er das Archiv eines Onlineportals in einem Artikel verlinkt hat. Das Portal mit Open-Posting-Prinzip war von Bundesinnenminister Thomas de Maizière (CDU) 2017 als kriminelle Vereinigung verboten worden.
mehr »

Die Verantwortung der Redaktionen

Auf die mentale Gesundheit zu achten, ist keine individuelle Aufgabe. Auch Arbeitgeber*innen können und sollten etwas für psychische Gesundheit ihrer Mitarbeiter*innen tun. Wie funktioniert das in einer Branche, die so geprägt ist von Zeit und Leistungsdruck und belastenden Inhalten wie der Journalismus? Wir haben uns in zwei Redaktionen umgehört, die sich dazu Gedanken gemacht haben: das Magazin Neue Narrative und der Schleswig-Holsteinische Zeitungsverlag (SHZ).
mehr »

Gewalterfahrung im Lokaljournalismus

In Deutschland hat sich die Zahl der gewalttätigen Übergriffe auf Journalist*innen deutlich erhöht. Viele der Übergriffe finden am Rande von Demonstrationen statt. Der Thüringer Journalist Fabian Klaus recherchiert zu Rechtsextremismus und wird deshalb bedroht. Mit M sprach er über zunehmende Bedrohungslagen im Lokaljournalismus und die Unterstützung aus den Redaktionen.
mehr »