+49 (0) 52 07 / 515 88 18
×

DSGVO Homepage Empfehlungen

Pragmatische Herangehensweise an den Datenschutz

Um den komplizierten juristischen Sachverhalten aus dem Weg gehen zu können,

Dieser Beitrag will den Datenschutz, die Umsetzung der DSGVO auf eine pragmatische Art und Weise angehen, aus Sicht des Web Developers. Hier sollen keine juristischen Grundsatzdiskussionen weitergeführt werden, denn das findet auf vielen anderen Homepages zur Genüge statt und hilft unserer Meinung nach dem Homepage Betreiber nicht wirklich weiter sondern verunsichert zunehmend.

Wir nehmen nicht in Anspruch, dass diese Infos, Tipps und Hinweise vollständig sind.

Empfehlungen in Bezug auf die DSGVO für die Homepage

Homepage nicht DSGVO konform? Dann abschalten!

Webseiten, die grobe Mängel aufweisen beim Datenschutz, die sind nicht nur gefährdet was Abmahnungen von Mitbewerbern und anderen abmahnbefähigten Organisationen anbelangt, es können auch Geldbußen drohen. Deshalb muß die Devise lauten, dass die Homepage zügig korrigiert wird und dem Datenschutz Rechnung getragen wird.

Datenübermittlung an Dritte vermeiden

Diese Empfehlung erscheint auf den ersten Blick recht simpel, kann sich aber zu einer echten Sisyphos Aufgabe entwickeln. Doch warum ist das so?

Die üblichen Verdächtigen: Google Analytics, Facebook Like, Twitter Follow, etc.

In Foren, auf juristisch fundierten Internet Seiten und auch auf den Blogs anerkannter Web- und Netzwerk-Experten werden diese Funktionalitäten beinahe ausnahmslos kritisch betrachtet und dem wollen wir uns anschließen. Wenn Daten der Besucher, z.B. die IP Adresse oder gar Cookie Inhalte an die Plattformen und Datensammelstellen geschickt werden, ohne dass der Besucher das vor Übermittlung verhindern kann, dann betrachten wir das ebenfalls kritisch. Diese Dienste sind aber aus Sicht des Homepage Betreibers vielleicht interessant, mehrwertig, verlockend.

Brauche ich das wirklich?

Wir erleben es immer wieder, dass Kunden diese Tools mit sehr viel Nachdruck wünschen und diese dann später nur sehr selten oder gar nicht nutzen. Insbesondere Google Analytics ist solch ein Kandidat. Im Tagesgeschäft wird es dann nach einigen Wochen kaum noch genutzt. Was ich nicht nutze, das brauche ich nicht. Bei den sozialen Netzwerken sieht es ähnlich aus. Aber hier braucht es eine gewisse Aktivität, damit sie sich wirklich lohnen.

Welche Alternativen oder Lösungen gibt es?

Google Analytics kann ggf. durch Matomo (ehem. Piwik) ersetzt werden. Das System wird auf dem eigenen Webspace installiert und überträgt keine Daten an Drittparteien. Wer aber auf Analytics nicht verzichten will, der benötigt einen gewissen technischen Aufwand, um dem Datenschutz genüge zu tun. Das wäre u.a.:

  • IP Anonymisierung
  • Explizite Cookie Zustimmung

Für die sozialen Netzwerke gibt es technische Lösungen, die erst dann die Datenübertragung ermöglichen, wenn der Besucher diese Funktion explizit ausgewählt hat.

Bei allen Lösungen ist aber dringend angeraten auf die Datenschutzerklärung hinzuweisen.

jQuery

Diese Technologie wird gerne genutzt um Effekte auf Internetseiten zu bringen. Dazu kann z.B. ein auffälliger Slider zählen oder sich automatisch sortierende Bilder. Aber auch ein Zugriff auf einen externen Server ist so möglich. Manche Entwickler nutzen gerne den jQuery Webspace (oder anderer Cloud-Dienste), um die Bibliothek aufzurufen. Somit ist jQuery mehrfach riskant im Bereich des Datenschutzes. Wenn man also im HTML Quelltext solch einen Schnipsel findet, dann werden Daten vom Besucher (IP Adresse) an jQuery geschickt:

<script src="https://code.jquery.com/jquery-1.11.3.js"></script> 

Aber auch solche oder ähnliche Snippets sollten untersucht werden, sowie grundsätzlich alle anderen Javascript AJAX Aufrufe:

$.ajax({
url: "https://www.example.com/test.html",
context: document.body
}).done(function() {
$( this )....
});

Auch hier werden (Request) Daten an einen fremden Server geschickt.

Lösung:

  • jQuery kann und darf auf dem eigenen Webspace gehostet werden. Die Bibliothek ist nicht sehr groß, die Ladezeiten überschaubar.
  • Bei den Ajax Anfragen muss geprüft werden zu welchem Zweck sie sind und erst dann kann entschieden werden wie damit verfahren werden soll

Schriftarten / Fonts

Google Fonts

Der am meisten genutzte Schriftarten-Service für Homepages weltweit wird wohl Google Fonts sein. Es gibt unglaublich viele unterschiedliche sehr schicke Schriftarten dort und der Einbau ist kinderleicht. Aber genau das ist der Knackpunkt. Mit dem Einbau auf die von Google empfohlener Art und Weise überträgt man bei Seitenaufruf Daten (IP Adresse) an Google.

Man suche im HTML Quelltext nach so einem Snippet:

<link rel="stylesheet" href="https://fonts.googleapis.com/css?family=Tangerine">

In so einem Fall kann es sinnvoll sein die Schriftart auf den eigenen Webspace zu transferieren und dann via CSS von dort abzurufen, dieses Snippet zu entfernen. Denn dann werden keine Daten mehr darüber an Google übertragen.

Typekit

Analog dazu sei noch Typekit zu erwähnen. Suchen Sie nach solch einem oder einem ähnlichen HTML Quelltext:

<script src="//use.typekit.net/wde1aof.js"></script>
<script>try{Typekit.load();}catch(e){}</script>

Laut Stackoverflow kann man die Schriftarten ebenfalls lokal einbinden. Inwieweit dies ausreciht um den Datenfluss zum Drittanbieter zu unterbinden mag ich nicht beurteilen, weil wir diese Technologie bislang noch nicht eingesetzt haben.

Font Awesome

Diese Schriftart wird genutzt, um einprägsame Icons auf der Homepage abzubilden. Sie wird gerne so eingebunden:

<link rel="stylesheet" href="https://use.fontawesome.com/releases/v5.0.13/css/all.css" integrity="sha384-DNOHZ68U8hZfKXOrtjWvjxusGo9WQnrNx2sqG0tfsghAvtVlRW3tvkXWZh58N9jp" crossorigin="anonymous">

oder per Javacript:

<script defer src="https://use.fontawesome.com/releases/v5.0.13/js/all.js" integrity="sha384-xymdQtn1n3lH2wcu0qhcdaOpQwyoarkgLVxC/wZ5q7h9gHtxICrpcaSUfygqZGOe" crossorigin="anonymous"></script>

Beide hier abgebildeten Varianten sind kritisch zu betrachten. Auch Font Awesome kann man auf dem eigenen Webspace hinterlegen und somit die Daten der Besucher schützen.

Fazit: Es gibt gute Gründe und auch die benötigte Technologie, um die Schriftarten auf dem eigenen Webspace zu hinterlegen.

Weitere Clouddienste / externe Dateiablagen / Bilder

Wenn man auf seiner Homepage im HTML Quelltext zum Beispiel solche Muster findet
<link rel="stylesheet" href="https://[FREMDE-HOMEPAGE]/[SCRIPT].js">

dann sollte man es näher untersuchen was da genau stattfindet, welche Funktionen genutzt werden, wozu das gut ist. Im Idealfall kann man die dann auch lokal auf dem eigenen Webspace ablegen und somit die Datenübertragung an Dritte verhindern.

Auch bei der Übertragung von Bildern werden im Vorfeld die sogenannten "HEADER" Daten in der Anfrage an den Bilder-Server übermittelt. Somit erhält auch der Bilder-Server die IP Adresse des Homepage Besuchers, wenn ein Bilder-Service in dieser oder ähnlicher Weise genutzt wird:

<img src="https://[FREMDE-HOMEPAGE]/[DAS-BILD].jpg[ODER png oder anderes Format]" />

ABER ACHTUNG: Gewöhnliche Verlinkungen sind nicht davon betroffen. Solch ein Muster ist unkritisch:

<a href="[LINK ZUR ANDEREN HOMEPAGE]">[ANDERE HOMEPAGE]</a>

Über Iframe eingebettete Inhalte wie Youtube, Vimeo, u.a.

Videos sind oftmals eine tolle Bereicherung für eine Homepage. Um zu wissen von wo diese an den Besucher ausgeliefert werden sucht man im HTML Quelltext nach solchen oder ähnlichen Snippets:

<iframe src="https://player.vimeo.com/video/76979871?background=1&muted=0" width="500" height="281" frameborder="0" webkitallowfullscreen mozallowfullscreen allowfullscreen></iframe>

<iframe width="560" height="315" src="https://www.youtube.com/embed/dbZjQLylP5Y" frameborder="0" allow="autoplay; encrypted-media" allowfullscreen></iframe>

Youtube Videos kann man zumindest auch einbetten, ohne das Cookies gesetzt werden:

<iframe src="https://www.youtube-nocookie.com....

Dazu soll man auch noch auf Youtube die Datenschutzeinstellungen anpassen, und dann soll das wohl angeblich klappen ohne Cookies.

Nichtsdestotrotz wird auch hier die IP Adresse an den Anbieter geschickt. Wer das nicht möchte, dass auf seiner Homepage ohne Zustimmung des Besuchers die IP an den Anbieter übermittelt wird und trotzdem Videos von diesen Plattformen anzeigen will, der braucht vermutliche umfangreiche Workarounds auf Programmierebene. Man müsste dann das Video Iframe erst dann laden, wenn der Besucher seine Zustimmung gegeben hat. Nachteil wäre halt, dass dadurch die Bequemlichkeit nachlassen würde, das Video vielleicht auch seltener geschaut würde.

Google reCaptcha

Ob ein Google reCaptcha auf der eigenen Homepage genutzt wird in einem Formular ist leicht zu erkennen. Im HTML Quelltext sieht das dann so aus:

<script src='https://www.google.com/recaptcha/api.js'></script>
<div class="g-recaptcha" data-sitekey="[Websiteschlüssel]"></div>

Die Technologie ist schwierig einzusetzen, wenn man es mit hohem Datenschutz Anspruch einsetzen will. Dazu bräuchte es wohl einen umfangreichen Workaround.

Fragen: Gibt es Alternativen? Welche Nachteile habe ich, wenn es nicht eingesetzt würde? Brauche ich das überhaupt?

Spam ist doof, das ist klar. Aber wenn ich z.B. jeden Tag 10 zusätzliche Spam Emails löschen muss, dafür aber vielleicht die eine oder andere Anfrage zusätzlich bekomme weil eine Barriere weniger da ist, dann kann ich doch gut auf dieses Captcha Tool verzichten. Zumal man durch diesen kleinen Aufwand den Datenschutz seiner Besucher ernst nimmt.

HTTPS einsetzen

HTTPS verschlüsselt, anders als der "kleine Bruder" HTTP die Datenübertragung zwischen dem Browser, also dem Homepage Besucher sowie dem Webspace, also der Homepage.

Aus unserer Sicht gibt es keinen vernünftigen Grund, um auf HTTPS überhaupt zu verzichten. Die meisten Webspace Provider bieten mittlerweile eine günstige Variante an, viele gar kostenlos. Auch die Suchmaschine Google soll angeblich HTTPS Homepages positiver bewerten. Für uns spielt es auch keine Rolle, ob eine Homepage personenbezogene Daten über Formulare abfragt oder nicht. Der Einsatz von HTTPS ist einfach und sollte gemacht werden, denn viele Besucher werden es wohl auch wahrnehmen und positiv einschätzen.

Aber Achtung:

Je nach Konfiguration der Homepage kann es passieren, dass diese dann sowohl per HTTPS als auch per HTTP erreichbar ist! Dies gilt zu prüfen und gegegbenenfalls zu korrigieren. In einer sogenannten htaccess Datei könnte man zum Beispiel solch ein Snippet angeeigneter Stelle einfügen, dann wird die Homepage lediglich via HTTPS aufgerufen:

RewriteCond %{SERVER_PORT}   !^443$
RewriteRule  (.*)  https://%{HTTP_HOST}/$1   [R=301,L]

Oder so:

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Fazit: SSL / HTTPS einsetzen, ohne wenn und aber

Formulare datenschutzfreundlich umsetzen

Formulare sind aus Sicht des Datenschützers besonders kritisch zu sehen, denn einerseits sollen die Daten geschützt übermittelt werden und andererseits soll der Besucher vor den Versand der Daten informiert werden.

Datensparsamkeit

Will man Daten von Besuchern einsammeln, dann soll der Grundsatz der Datensparsamkeit gelten. Das bedeutet, dass dem Besucher nur die für den Zweck der Einsammlung benötigten Daten abgefragt werden. Dieser Begriff ist recht dehnbar, weshalb man das im Einzelfall entscheiden muss. Wenn man sich also sicher über die zu erhebenden Daten ist, dann kann man ein entsprechendes Formular mit den benötigten Eingabefeldern erstellen.

Auskunft über Verwendung der Daten

Mit einem deutlichen Hinweis auf die DSGVO konforme Datenschutzerklärung, der per Klick auch zu derselben führt, hat der Homepage Betreiber schon eine Menge dazu getan seine Besucher zu informieren, was mit den Daten passieren soll. Wenn man dann noch eine Einverständnis-Checkbox hinzufügt die als Pflichtfeld definiert ist, die der Besucher anklicken muss bevor er das Formular senden kann, dann hat man sicherlich dem Datenschutz einen guten Dienst geleistet.

So könnte das z.B. aussehen auf einer Homepage:

SSL verschlüsselte Übertragung (HTTPS)

Bei Formularen sollte es obligatorisch sein die Übertragung ausschließlich per SSL / HTTPS zu regeln.

Aber Achtung

Einfach die Homepage auf SSL umzustellen kann zu wenig sein, denn das Formular kann noch das veraltete Protokoll benutzen oder aber die Homepage wurde nicht komplett auf SSL umgestellt, sodass die einzelnen Seiten sowohl per HTTPS al auch per HTTP aufrufbar sind. Es gilt also zu prüfen, ob beide Protokolle möglich sind. Darüber hinaus sollte gecheckt werden, wie das Formular tatsächlich übertragen wird.

Im HTML Quelltext suchen:

<form action= "[FORMULARZIEL]"...

Wenn das Formularziel so beginnt: "http://..." Dann muss das Formular korrigiert werden.

Wenn das Formularziel so beginnt: "https://..." Dann wird sauber per SSL übertragen

Wenn das Formularziel so beginnt "/[INTERNER PFAD ZUR FORMULARSEITE]..." Dann wird so übertragen wie die Homepage voreingestellt ist

Datenschutzerklärung erneuern

Eine einigermaßen wasserdichte Datenschutzerklärung nach DSGVO ist kein Kinderspiel. Zur Erstellung braucht es einerseits juristisches Grundverständnis und andererseits technisch tiefes Verständnis.

Datenschutzerklärung vom Juristen

Achten Sie bei der Auswahl Ihres Juristen darauf, dass dieser ein ausgewiesener Fachmann im Bereich IT Recht ist. Bestenfalls arbeitet er mit IT-Experten zusammen, mit Web Developern. Solch eine Konstellation sollte in der Lage sein, eine Datenschutzerklärung auf Basis der rechtlichen und technischen Aspekte aufsetzen zu können und der DSGVO bestmöglich entsprechen und die Homepage Ziele weiterhin ermöglichen.

Datenschutzerklärung vom Web Developer

Web Developer sollten nicht ohne Hilfe juristischer Quellen eine Datenschutzerklärung erstellen. Mit Hilfe eines DSGVO Generators von einem etablierten Juristen wie zum Beispiel e-recht24 sollte es einem erfahrenen, versierten Webentwickler gelingen können eine ordentliche Datenschutzerklärung zu erstellen.

Datenschutzerklärung selber machen?

Deutschland ist das Land der Selbermacher.

Aber Achtung:

Die Datenschutzerklärung selber machen zu wollen ist für die allermeisten Homepage Betreiber die unsicherste Sache. Kaum ein Betreiber verfügt gleichermaßen über ausreichende juristische Kenntnisse und tiefe Kenntnisse der Web Entwicklung.

Machen Sie die Datenschutzerklärung besser nicht selber!

Datenschutzerklärung kopieren?

Kopieren geht über studieren sagt man...

Bei der DSGVO mit Sicherheit nicht!

Jede Homepage hat ihre ganz eigenen Sachverhalte. Den sehr speziellen teilweise technischen Problemstellungen kann man kaum Rechnung tragen, wenn man nicht detailliert darauf eingeht sondern eine Datenschutzerklärung vom Mitbewerber oder einem Geschäftspartner kopiert oder von sonstwo. Zwar gibt es im Internet sehr ausgefeilte, sehr lange Datenschutzerklärungen die bereits viele Themen beinhalten, aber man kann sich keinesfalls sicher sein, dass auch alle eigenen Themen darin abgehandelt werden.

Eine Datenschutzerklärung sollte man keinesfalls von einer anderen Website kopieren!

Hinweis

Die DSGVO regelt die Verarbeitung von personenbezogenen Daten. Das hat selbstverständlich auch Auswirkungen auf die Webpräsenzen von Unternehmen.

Es sollen u.a. die Grundsätze der Richtigkeit, Speicherbegrenzung, Rechenschaftspflicht, Vertraulichkeit, Integrität, Transparenz, Treu und Glauben sowie Rechtmäßigkeit gelten.

Es wird die künftige Rechtsprechung noch für Klarheit im Detail sorgen müssen, denn leider gibt es (noch) keine Umsetzungsvorschriften.

Unser Verständnis von der Datenschutzgrundverordnung (DSGVO) sowie umfangreiche Recherchen zu Umsetzungsempfehlungen verschiedener Experten sowohl mit juristischer als auch Online Expertise bilden unsere Erkenntnisse zu dem Thema, die wir nach bestem Wissen und Gewissen gerne als Basis unserer Maßnahmen und Empfehlungen bei unseren Kunden als auch unseren eigenen Homepage Projekten anwenden.

Trotzdem: Da wir keine Juristen sind stellen all unsere Maßnahmen und Empfehlungen sowie Umsetzungsvorschläge keine Rechtsberatung dar und sie können diese auch nicht ersetzen. Sollten Sie also Zweifel haben, dann wenden Sie sich bitte an einen Rechtsanwalt. Verantwortlich für die Einhaltung der DSGVO bleiben die Unternehmensvertreter, die Unternehmensverantwortlichen.