CMS wie WordPress, Joomla, Typo3, Drupal und Co. lassen sich durchaus datenschutzrechtlich konform einsetzen. In diesem Beitrag zeigen wir die wichtigsten Punkte auf.
Transparente Information
Der erste Punkt ist, dass jeder Betreiber einer Website transparent und in verständlicher Form über die Verarbeitung personenbezogener Daten zu informieren hat. Entsprechend muss die Datenschutzerklärung (kurz DSE) von jeder Seite aus mit einem Klick erreichbar sein. Sie muss wahrheitsgemäß Auskunft über alle Verarbeitungsvorgänge geben.
Die gängige Praxis, mittels eines Generators alles anzuklicken, was man möglicherweise oder vermutlich auf seiner Website verarbeitet, führt leider dazu, dass viele Datenschutzerklärungen sich eher wie eine Mischung aus „Dichtung und Wahrheit“ lesen. Datenschutzrechtlich einwandfrei ist das jedoch nicht.
Identifizieren, was wirklich notwendig ist
Grundsätzlich sollte sich jeder Betreiber einer Website Gedanken darüber machen, ob er bestimmte Verarbeitungsvorgänge wirklich benötigt. Das Prinzip der Datenminimierung steht hier im Vordergrund. Brauche ich wirklich ein Analysetool wie Google Analytics um meine Website zu verbessern? Muss ich bei der Anmeldung zum Newsletter wirklich außer der Mailadresse auch noch den Namen und weitere Angaben des Abonnenten als Pflichtfeld einfordern? Wenn ja, warum eigentlich?
Wer das Prinzip der Datenminimierung konsequent verfolgt, wird rasch feststellen, dass die Datenschutzerklärung deutlich kürzer und lesbarer wird. Wo nichts erhoben und verarbeitet wird, muss auch nichts in die DSE.
Beispiel Google Fonts
Klar, Google Fonts sind eine tolle Sache. Die Einbindung unterschiedlicher, grafisch ansprechender Schriften macht eine Website attraktiver. Den wenigsten Betreibern von Websites ist klar, dass mit der Einbindung von Google Fonts in die eigene Website quasi als Kollateralschaden, eine Menge Informationen an Google übermittelt werden. Noch weniger klar ist das in der Regel dem Besucher der Website.
Dabei können und dürfen Google Fonts durchaus lokal auf dem eigenen Webserver oder Webhostingpaket laufen. Ganz ohne Informationsübermittlung an Google. Es gibt absolut keinen wirklich nachvollziehbaren Grund, Google Fonts nicht lokal zu hosten.
Datensicherheit
Ein hyperkritischer Punkt, die Datensicherheit. Bei datenschutzrechtlichen Audits müssen wir leider immer wieder feststellen, dass komplette CMS oder einzelne Bestandteile auf völlig veralteter Softwarebasis laufen und schon lange nicht mehr mit Updates versorgt werden. Oder die Basis, sprich PHP-Version oder Datenbanken sind völlig veraltet und werden schon lange nicht mehr unterstützt.
No Go – Formulare ohne SSL-Verschlüsselung
Ein absolutes No-Go, kommt aber immer wieder vor, ist die Einbindung von Formularen ohne SSL-Verschlüsselung in die eigene Website. Man mag es nicht glauben, aber trotz intensiver Aufklärung und deutlichen Gerichtsurteilen in dieser Frage finden wir immer wieder Formulare ohne dass die Website standardmäßig SSL-verschlüsselt wäre.
Wer eine Website betreibt, ist verpflichtet, für die Sicherheit seiner Besucher zu sorgen.
Der Betrieb veralteter Software stellt eine Lücke in der Informationssicherheit dar, die es Angreifern ermöglicht, Schadcode auf der Präsentation unterzubringen. Scheinbar „harmlose“ Websites werden so zu Infektionsherden für den Besucher.
Die meisten CMS stellen dem Betreiber einfache Mechanismen für die Aktualisierung bereit, die von diesen regelmäßig genutzt werden sollten. Regelmäßig heißt hier auch häufig. Eine durchschnittliche WordPress Installation mit fünf bis zehn Plugins sollte mindestens im Wochenrhythmus inspiziert und wenn erforderlich, aktualisiert werden.
Klare Regelungen für Auftragsverarbeiter
Wird eine externe Agentur oder ein externer Dienstleister mit der Wartung und Pflege beauftragt, sollten klare vertragliche Regelungen auch die Frage der notwendigen Updates mit einschließen. Oftmals hören wir von Auftragsverarbeitern, dass hierfür kein Auftrag vorläge. Leider machen die wenigsten Auftragsverarbeiter ihren Auftraggeber darauf aufmerksam, dass regelmäßige Aktualisierungen für jeden Webauftritt erforderlich sind.
Einwilligung
Das Setzen von technisch nicht benötigten Cookies und „hidden identifiers“, beispielsweise über den local storage, ist nach dem jüngsten Urteil des Europäischen Gerichtshofs (EuGH) nur mit der informierten Einwilligung des Besuchers zulässig. Dieser muss vor dem Beginn der Verarbeitung die Möglichkeit haben, der Verarbeitung zu widersprechen, ohne dass dies Folgen für die Benutzung der Website hat. Die meisten Cookie-Popups genügen diesen Anforderungen nicht mehr. Hier sollten die Betreiber von Websites rasch nacharbeiten.
Einbindung von Drittanbietern
Die Einbindung von Drittanbietern in das CMS samt Datenübermittlung an eine mitunter schier unübersehbare Menge an Drittfirmen ist durchaus gängige Praxis. Auch hier stellt sich immer die Frage nach der Notwendigkeit und dem Rechtsgrund für diese Form der Verarbeitung. Klar ist, die Einbindung von Drittanbietern samt Nennung des Rechtsgrundes gehört unbedingt in die Datenschutzerklärung.
Social Media – Google, Facebook, Youtube und Co.
Natürlich können Sie Social-Media Aktivitäten datenschutzkonform einbinden. Beispielsweise mit der Lösung des Heise Verlags Shariff, die wir auch auf dieser Website verwenden. Es gibt keinen Grund, Facebook, Google und Co. direkt einzubinden. Mit einer datenschutzkonformen 2-Click-Lösung überlassen Websitebetreiber ihren Besuchern, ob und welche Daten an Drittanbieter und social media Unternehmen übertragen werden.
Es liegt in Ihrer Hand…
… ob Sie ihre Website datenschutzkonform gestalten oder nicht. Informierte Besucher sehen den Unterschied rasch, ein Schaden für Ihr Image ist ein datenschutzkonformes Verhalten definitiv nicht.
Weitere Informationen
Weitere Informationen unter info@dsb-baden-baden.de oder unter Telefon 07221 – 8589943