08071 7263894 hg.weber@7media.de

Die EU macht Ernst mit schärferen Datenschutz-Regeln. Im Visier sind zwar hauptsächlich Amazon, Google,  Facebook, Dropbox und andere Größen – die neue Verordnung sollte nach den Snowden-Enthüllungen die Privatsphäre europäischer Bürger gegenüber den großen US-Plattformen besser schützen. Die Forderung nach Transparenz bedeutet allerdings auch mehr Aufklärungspflichten und technischen Aufwand für fast alle Websites.

Deshalb sind neue wie bestehende Homepages sind von der neuen Datenschutz-Grundverordnung ab Mai 2018 mit neuen Aufklärungspflichten und Vermeidungsmaßnahmen im Sinn der Forderung „Privacy-by-default“ betroffen. So bedürfen Zugriffe auf externe Server, gerade außerhalb von Europa, ab dem 25. Mai 2018 der Zustimmung des Benutzers.

Hier einige Punkte, die für Website-Verantwortliche und Webdesigner wichtig sind, zusammengestellt u.a. aus Beiträgen in der i-worker-Mailingliste. Sie betreffen:

  • Google Fonts
  • WordPress Scripteinbindungen und Kommentare
  • Formulare und Newsletter
  • Cookies
  • Content Distribution Netzwerke

Google Fonts und der Datenschutz

Bei jedem Aufruf von Seiten mit Google Fonts fragt der Browser bei Googles Server an, ob es Änderungen gab an den Schriften oder der CSS-Datei. Damit erkennt Google, von welcher Seite eine Anfrage gesendet wird und darüberhinaus einen Großteil des persönlichen Browser-Verlaufs. Viele Websites nutzen die kostenlosen und bequem einzubindenden Google Fonts, und nur wenige Personen blocken ihre Referrer oder ähnliches. So erhält Google ein relativ dichtes verwertbares Netz an Daten, anhand derer jeder normale User, der sich im Internet bewegt, nachverfolgt werden kann.

Hinzu kommt, dass die Daten höchstwahrscheinlich irgendwann ihren Weg in ein Datenzentrum außerhalb der EU finden, wodurch ein hohes Schutzniveau, wie es aktuell hier der Fall ist, nicht mehr gegeben ist. Geheimdienste, Regierungen und Firmen, die mit derartigen Daten Geld verdienen, haben dann leichtes Spiel.

„Durch das Einbinden seiner Schriftarten registriert Google Fonts jegliche Nutzung Ihrer Website. …. Alles, was Sie auf Ihrer Website in Sachen Verarbeitung personenbezogener Daten anbieten, müssen Sie Ihren Nutzern auch erklären können. Und das am besten in einfacher Sprache. Dass Google Fonts die IP-Adressen Ihrer Nutzer registriert, muss in diesem Kontext betrachtet werden.“ (Quelle: https://www.internetkurse-koeln.de/wie-sie-fuer-wordpress-google-fonts-deaktivieren/)

„Am 25. Mai 2018 tritt die EU Datenschutz Grundverordnung in Kraft. Eine der Auswirkungen für Webworker und Designer: Es dürfen keine Schriftarten (Fonts, Webfonts) aus dem nicht-EU Ausland auf Webseiten nachgeladen werden. (Quelle: https://www.internetkurse-koeln.de/wie-sie-fuer-wordpress-google-fonts-deaktivieren/)

Google Fonts über den eigenen Webserver einbinden

Wie man Google Webfonts lokal speichert und mittels des Google Webfonts Helpers des österreichischen Entwicklers Mario Ranftl einbinden kann, ist hier beschrieben worden: https://t3n.de/news/google-fonts-selber-hosten-751438/ sowie hier: https://die-netzialisten.de/wordpress/google-fonts-ueber-den-eigenen-server-einbinden/

Die meisten kostenlosen wie auch kommerziellen WordPress-Themes binden als „Feature“ Google-Schriften zur Auswahl durch den WordPress-Admin an. Hierauf sollte man beim Verwenden von Themes also verzichten, was leider wiederum Mehraufwand und weniger Komfort bedeutet. Auch der WordPress-Newsletter „WP Letter“ weißt am 8.2.2018 auf das Thema hin.

WordPress und der Datenschutz

Wenn auch die Einbindung von Google-Fonts bislang nicht kritisch gesehen wurde, gab es schon bisher wichtige Hinweise zum Einsatz von WordPress insbesondere im Hinblick auf Plugins und auf die Kommentarfunktion in dem (deutschen) Datenschutz konformer Weise, zusammengestellt etwa bei datenschutz.org.

Content Distribution Networks (CDNs)

CDNs dürften von der DSGVO auch betroffen sein: Etwa die häufig verwendeten Javascript-Bibliotheken von maxcdn.bootstrapcdn.com, code.jquery.com und Co – diese kommen alle nicht von europäischen Servern.

Formulare, Newsletter, Cookies und Co.

Gerade heute hat der Haufe-Verlag einen Artikel veröffentlicht, in dem er auf neue und strengere Informationspflichten und weitere betroffene Bereiche hinweist:

  • Kontaktformulare
  • Newsletter
  • Social-Media-Plug-Ins
  • Analytics-Tools
  • Cookies (s.u.)

Weiterhin weist der Haufe-Artikel darauf hin, dass Betroffene nach Art. 17 DSGVO nun unter Umständen Löschansprüche auch gegen Website-Betreiber haben. Diese müssen bei berechtigten Ansprüchen Datenquellen auf ihren Webseiten entfernen. Ebenfalls neu ist schließlich das Recht auf Datenübertragbarkeit, d.h. das Recht des betroffenen Users auf die Übermittlung seiner gespeicherten Daten durch den Website-Betreiber.

Transparenz vs. Nutzerfreundlichkeit

Wenn sich nicht noch Feinheiten ändern sollten, dann dürften laut der neuen E-Privacy Richtlinie die gebräuchlichen Cookie-Popups mit Hinweisen wie „Mit dem Besuch dieser Website akzeptieren Sie die Verwendung von Cookies“ und einem dazugehörigen OK-Button demnächst so nicht mehr zulässig sein.

Der Nutzer könne so nämlich keine „echte“ Wahl treffen, im Sinne der Abgabe einer konkreten Einwilligung. Ebenso wenig reiche es aus, den Nutzer darauf hinzuweisen, selbständig entsprechende Änderungen in den Browser-Einstellungen vorzunehmen. Mit dem Standard „Privacy by default“ müssen die Datenschutzbestimmungen bereits in den Grundeinstellungen umgesetzt sein. Erst per Opt-in-Verfahren können Nutzer ihre Zustimmung erteilen. Sie setzten den Haken vor jeder Transaktion und auch vor jedem Besuch der Seite eines Werbepartners. (Quelle: https://www.onlinesolutionsgroup.de/blog/eu-datenschutz-grundverordnung-die-uhr-tickt-fuer-website-betreiber/)

Eingebauter Datenschutz – Neue Anforderung für die Webentwicklung

Datenvermeidung und Datensparsamkeit unterliegen der Grundidee, dass bei der Datenverarbeitung nur so viele personenbezogene Daten gesammelt werden, wie für die jeweilige Anwendung unbedingt notwendig sind. Die neue DSGVO spricht von Datenminimierung.

Der Grundsatz der Erforderlichkeit – nämlich dass nur diejenigen personenbezogenen Daten verarbeitet werden dürfen, die für die Erfüllung der jeweiligen Aufgabe benötigt werden – betrifft auch den Systemdatenschutz, das heißt die Integration der Datenschutzanforderungen in die IT-Systeme – und damit sind auch Websites, CMS-Systeme, Newsletter-Services u.a. gemeint.

Datenschutz – Ein Grundrecht mit Ausnahmen

Datenschutz, habe ich vor kurzem gelesen, sei nichts, was man per Anhaken einer Erklärung herstellen kann. Der Autor schrieb sinngemäß (die Quelle ist mir leider verloren gegangen), Datenschutz und digitale Privatsphäre sollten wie u.a. das Recht auf Leben und auf körperliche Unversehrtheit als  Grundrechte angesehen werden, und ihre Sicherstellung sei eine Gemeinschaftsaufgabe, wie die Luftreinhaltung oder die Wasserversorgung.

An dieser Gemeinschaftsaufgabe müssen wir uns als Webentwickler, Webdesigner, Kundenberater, Online-Aufklärer zusammen mit unseren Kunden, den Homepage-Besitzern, beteiligen – ob wir sie nun für sinnvoll und zielführend halten oder nicht – und zwar am besten vor dem 25. Mai 2018.

So weit, so gut? Ausnahmen von den Grundrechten gibt es, und die bestimmt laut Verfassung der Gesetzgeber. Er erlaubt sich etwa als Ausnahme von der Transparenz den Staatstrojaner. Wenn die DSVGO ein Reflex auf Snowden ist, dann ein sehr einseitiger, fürchte ich. Die Politik scheint noch nicht so viel dazugelernt zu haben.

Zur weiteren Kritik auch der Internetwirtschaft an der DSGVO und zu ihren ökonomischen Folgen kann man hier nachlesen.