Checkliste für Webseitenbetreiber – DSGVO

Keine Angst vor der DSGVO

Als privater oder gewerblicher Betreiber einer Website sollten Sie keine Angst vor den Anforderungen der DSGVO haben, die meisten Anforderungen sind heute schon im Bundesdatenschutzgesetz verankert, auch wenn viele das bisher nicht wahrhaben wollten. Die folgende  Checkliste soll Menschen ohne weitergehende HTML-, PHP- oder Datenbankkenntnissen helfen, ihre Website zu prüfen und gegebenenfalls Schritte vor dem Inkrafttreten der DSGVO einzuleiten. In einem vorangegangenen Artikel habe ich ja schon auf die DSGVO und einige markante Punkte für die Betreiber von Websites hingewiesen. Auf diese Punkte gehe ich in diesem Artikel nicht nochmals ein.

Grundsätzlich: Dieser Artikel stellt keine Rechtsberatung dar, sondern soll in einfacher Weise darüber informieren, wie die Anforderungen der DSGVO technisch umgesetzt werden können. Er dient vor allem dazu, Menschen ohne Programmierhintergrund das eine oder andere Mittel an die Hand zu geben, die eigene Website zu prüfen um gegebenenfalls mit dem Provider, Webmaster oder der Agentur konkreten Kontakt aufzunehmen. Grundsätzlich sollte bei juristisch relevanten Fragen ein fachlich versierter Rechtsanwalt zu Rate gezogen werden. 

Check 1: Wo läuft überhaupt meine Website oder mein Blog?

Da das Internet nun einmal auf IP-Adressen beruht, bleibt es nicht aus, dass diese auch übertragen werden. Was übertragen wird, kann (und muss in manchen Fällen) gespeichert werden. Wer dabei was speichert, hängt nicht zuletzt von der Frage ab, wo die Website überhaupt läuft. Hier stehen verschiedene Möglichkeiten zur Auswahl:

  • kostenfreier oder kostenpflichtiger Blog/Website bei einem Komplettanbieter, wie beispielsweise blogger.com
  • Blog oder Website bei einem Hoster im shared-hosting Verfahren
  • Blog oder Website auf einem eigenen virtuellen oder hardwarebasierten Server

Darüber hinaus werden auf fremden Servern auch weitere personenbezogene Daten, wie beispielsweise E-Mails, Kundeneinträge in Datenbanken etc. gespeichert. Sollten Sie also eine Fremdanbieterdienst im shared-hosting Verfahren oder einem Komplettangebot, wie beispielsweise blogger.com nutzen, macht es absolut Sinn, diesen umgehend nach einem Vertrag zur Auftragsdatenverarbeitung zu kontaktieren und auf dem Abschluss eines solchen bestehen.

Aber auch beim Einsatz eines eigenen (virtuellen) Servers macht die Kontaktaufnahme beim Anbieter Sinn. Die Frage nach einer möglichen Speicherung personenbezogener Daten außerhalb des eigenen Servers sollte von diesem beantwortet werden und ggf. mit einem Vordruck für einen ADV versehen werden.

Check 2: Was läuft auf meinem Dienst im Hintergrund?

Keine Sorge, Sie müssen jetzt nicht anfangen Quelltexte Ihrer Website zu lesen. Es gibt Onlinetools, die einen recht guten Einblick in die Nutzung externer Dienste geben. Ein solches Tool läuft unter

https://tools.pingdom.com/

Tragen Sie hier auf der Startseite die gewünschte Adresse Ihrer Website oder Ihres Blogs ein und lassen die Prüfung laufen. Es kann sein, dass diese Prüfung angesichts des Ansturm des Dienstes etwas dauert und Sie zunächst in einer Warteschleife landen.

Website Online prüfen

Die Darstellung des Ergebnisses mag für Sie in mehrerlei Hinsicht interessant sein, im Kontext dieses Artikels geht es vor allem um das Ergebnis Content size by domain und Requests by domain. Im praktischen Beispiel hier sehen Sie die Einträge fonts.gstatic.com, fonts.googleapis.com und fachbuch-und-belletristik.de.

Hinweis: Bei mehreren Tests auf Pingdom habe ich veraltete Analysen erhalten, was auf ein Caching-Problem hindeutet. Insofern sollte man die Analyse beim ersten Mal ernst nehmen, in Folgefällen eher auf andere Methoden vertrauen.

Der Eintrag fachbuch-und-belletristik.de hat hier weniger Relevanz, statt Google Analytics nutze ich seit Jahren Piwik (heute matomo) auf einem meiner Server, es gehen keine Daten an Dritte. Den Vorgaben entsprechend werden die erhobenen IP-Adressen verkürzt und sind nicht mehr konkret auf Besucher rückführbar. Interessant sind die Einträge fonts.gstatic.com und fonts-googleapis.com. Eventuell taucht bei Ihnen auch google-analytics.com oder stats.g.doubleclick.net auf. Bei allen genannten Diensten handelt es sich um nützliche Tools für Webseitenbetreiber/Webmaster, die entweder, wie die Google Fonts, Ihre Website verschönern oder aber, wie Google Analytics, detaillierte Informationen über den Besuch Ihrer Website bereitstellen.

Bei Google Analytics ist schon länger bekannt: Es muss zwingend ein Vertrag über Auftragsdatenverarbeitung, kurz ADV, abgeschlossen und die IP-Adresse der Besucher anonymisiert werden. Eher unbekannt ist, dass auch bei der Nutzung der Google Fonts die IP Adresse des Besuchers übertragen wird. Die Nutzung von Google Fonts dürfte also künftig in dieser Form ohne ADV und Anonymisierung der IP durch Google vermutlich nicht mehr legal erfolgen. Eine mögliche Alternative, will man nicht auf die Systemschriften des Besuchers zurückgreifen, wäre, die Google Fonts lokal zu hosten. Google bietet diese legale Möglichkeit. Sie können die benötigten Schriften herunterladen und auf Ihrem eigenen Webserver implementieren. Fragen Sie also ruhig Ihren Webdesigner bzw. Ihre Agentur. Auch ohne die Prüfung durch Pingdom können Sie davon ausgehen, dass nahezu alle Templates/Themes von Joomla oder WordPress auf die beliebten Google Fonts zurückgreifen.

Check 3: Was ist mit meinem Tracking-Tool

Wer Google Analytics einsetzt, sollte zum einen prüfen, ob ein ADV existiert und zum anderen, ob die IP Adressen tatsächlich anonymisiert sind. Ist dies der Fall, können Sie nach dem jetzigen Stand der Dinge, Google Analytics auch weiterhin nutzen.

Wer Piwik (Matomo) nutzt auf einem eigenen Server oder Webhostingpaket nutzt, muss darauf achten, dass auch hier die IP Adresse gekürzt ist.

Check 4: Ist meine Website SSL geschützt?

Wer personenbezogene Daten (legal) erhebt, ist für den Schutz der Daten verantwortlich. Noch gibt es Webdesigner und Agenturen, die eine Übertragung sensibler Daten ohne Verschlüsselung für verantwortbar halten. No way. In Zeiten von Let´s encrypt ist das nicht nur fahrlässig, sondern dumm. Let´s encrypt Zertifikate sind kostenfrei erhältlich, es gibt somit keinen pekuniären Grund mehr, auf SSL Verschlüsselung zu verzichten.

Zum vorherigen Artikel zur DSGVO

Schreibe einen Kommentar