Mega Guide: So erstellst du eine rechtssicher Webseite in 2020
Veröffentlich: 19.02.2020
Verfasser: Sebastian

Zuletzt aktualisiert: 22.02.2020

Hinweis: Dieser Inhalt wurde nach bestem Wissen und Gewissen erstellt, ist jedoch nicht mit einer Rechtsberatung gleichzusetzen. Für eventuelle Falschauskünfte kann keine Haftung übernommen werden. Im Text befinden sich Affiliate Links, die mit einem * gekennzeichnet sind. Erfolgt ein Kauf über diesen Link, erhält der Autor eine Provision.

Das Thema Rechtssicherheit löst bei den meisten Bloggern und Seitenbetreibern in der Regel dasselbe Gefühl aus…

PANIK!

Die Angst vor Abmahnungen und Bußgeldern geht spätestens seit Inkrafttreten der DSGVO um.

Mit diesem Beitrag möchte ich dir eine umfassende Schritt-für-Schritt-Anleitung an die Hand geben. Eine Anleitung, die dir auf einfache Weise zeigt, wie du…

  • alle wichtige Seiten erstellst
  • WordPress rechtssicher konfigurierst
  • mit Cookies umgehst
  • und vieles mehr

Kurzum: Dieser Beitrag raubt dir die Angst und versetzt dich in die Lage, eine rechtssichere Webseite auf die Beine zu stellen.

Packen wir es an!

Inhalt

Abschnitt 5

Besucheranalyse

Abschnitt 6

Papierkram

Abschnitt 7

Checkliste

Schritt 1:

Wichtige Seiten erstellen

Jeder Betreiber einer Website muss verschiedenen Informationspflichten gerecht werden, die gesetzlich übertragen sind.

Wer dagegen verstößt, muss mit Abmahnungen rechnen.

In diesem Abschnitt erfährst du, welche Informationspflichten das sind und wie du diesen gerecht wirst.

Los geht’s!

1. Das Impressum

Benötigt mein Blog, meine Website ein Impressum? 

Einfache Antwort. Ja!

Ich würde behaupten, dass geschätzt 99 Prozent aller Webseiten der Impressumspflicht unterliegen, die sich aus § 5 TMG in Verbindung mit § 55 RStV ergibt.

Genauer müssen alle Seiten über ein Impressum verfügen, die:

  • Geschäftsmäßige Online-Dienste anbieten. Einfach ausgedrückt: Jeder, der mit seiner Webseite Geld verdient.
  • Regelmäßig journalistisch-redaktionell Inhalte veröffentlichen. Ob Blogger ebenfalls hier zuzuzählen sind, ist momentan offen.

Mein Rat lautet: Erstelle ein Impressum, um auf der absolut sicheren Seite zu sein. So steigerst du außerdem die Vertrauenswürdigkeit deiner Webseite – ein Impressum gehört heute einfach dazu. 

Ein fehlendes oder falsch ausgestaltetes Impressum ist einer der Gründe für Abmahnungen schlechthin. Dass Verstöße gegen die Impressumspflicht abmahnfähig sind, ist nämlich zwischenzeitlich unumstritten. 

Was muss in ein Impressum?

Auch die Angaben, die ein Impressum enthalten muss, ergeben sich aus dem bereits angesprochenen § 5 TMG.

Das sind zunächst:

  1. Vor- und Nachnamen des Seitenbetreibers
  2. Anschrift des Seitenbetreibers
  3. Angaben der Rechtsform
  4. Aufsichtsbehörde
  5. Registernummer
  6. Berufsspezifische Angaben
  7. Umsatzsteuer-ID (sofern vorhanden)
  8. Streitschlichtung (nur Onlinehändler)

 

Außerdem muss das Impressum Kontaktdaten enthalten. Wie dieser Punkt rechtlich richtig umgesetzt wird, ist umstritten. Unstrittig ist, dass ein Impressum eine E-Mail-Adresse enthalten muss.

Ob auch eine Telefonnummer verpflichtend aufzuführen ist, besagt ein Urteil des EuGH: Ein Kontaktformular anstelle einer Telefonnummer kann ausreichend sein, sofern Anfragen innerhalb von 60 Minuten beantwortet werden.

Auch hier gilt: Vorsicht ist besser als Nachsicht. Die Angabe einer Telefonnummer ist ratsam, um auf der sicheren Seite zu sein.

Hilfsmittel: Impressums-Generator

Zahlreiche Anwaltskanzleien bieten kostenlose Impressums-Generatoren auf ihrer Website an. Gute Erfahrungen habe ich mit e-recht24 sammeln können.

Wo muss ein Impressum eingebunden werden?

Im ersten Absatz des § 5 TMG wird davon gesprochen, dass das Impressum leicht erkennbar, unmittelbar erreichbar und ständig verfügbar“ zu halten ist. 

Heißt?

Mit dieser Frage hatte sich 2006 auch der BGH befasst und entschieden, dass das Impressum mit zwei Klicks erreichbar sein muss, um den Anforderungen des TMG zu genügen. Eine zulässige Bezeichnung der Seite wäre „Impressum“ oder „Kontakt“

Es empfiehlt sich also, das Impressum im Footer einer Webseite einzubauen.  

Die Datenschutzerklärung

Der Begriff „Datenschutzerklärung“ war im Jahr 2018 mit Inkrafttreten des DSGVO einer der am häufigsten im Internet recherchierte Begriff von Bloggern und Seitenbetreibern.

Zwar hatten die meisten Webseiten auch vor der DSGVO bereits eine Datenschutzerklärung eingebaut, so wirklich näher befasst hatte man sich mit diesem Thema jedoch nie.

Dabei war eine Datenschutzerklärung schon vor der DSGVO verpflichtend, sofern eine Webseite personenbezogene Daten verarbeitete. Dies regelte § 13 TMG.

Und daran hat sich auch bis heute nichts geändert!

Sofern du mit deinem Blog oder deiner Webseite personenbezogene Daten verarbeitest, ist zwingend eine Datenschutzerklärung zur Verfügung zu stellen. Diese Notwendigkeit ergibt sich unter anderem aus Art. 2 ff  der DSGVO.

Wie muss eine Datenschutzerklärung aussehen?

Die Datenschutzerklärung einer Webseite unterrichtet den Besucher transparent über alle Vorgänge, die personenbezogene Daten verarbeiten.

Obwohl gewissen Passagen in jeder Datenschutzerklärung zu finden sein sollten, handelt es sich also um ein sehr individuelles Dokument.

Der Inhalt deiner Datenschutzerklärung ergibt sich aus den auf deiner Seite durchgeführten Datenerhebungen. Die Art. 12 bis 15 der DSGVO regeln, welche Informationen zur Verfügung gestellt werden müssen.

Hier ist jeder Prozess aufzuführen, der personenbezogene Daten verarbeitet – beispielsweise die E-Mail- oder die IP-Adresse. Auch Bereiche, die du vielleicht zunächst nicht auf dem Schirm hast, wie WordPress Plugins die eine IP deiner Besucher erheben, sind hier zwingend zu nennen.

Dazu aber später mehr…

Tipp: Datenschutz-Generator nutzen

Ähnlich wie auch beim Impressum bietet e-recht24.de einen umfassenden Datenschutz-Generator. Mit dessen Hilfe kannst du eine individuelle Datenschutzerklärung speziell für deine Webseite erstellen lassen. Kostenlos!

Wie muss die Datenschutzerklärung eingebunden werden?

Die einfachste und sicherste Variante ist es sicherlich, die Datenschutzerklärung, ähnlich wie das Impressum, im Footer einzubinden.

Achtung: Von einer Lösung, die Datenschutzerklärung und das Impressum auf einer gemeinsamen Seite unterzubringen würde ich unbedingt abraten. Zwar lässt das bereits oben erwähnte BGH-Urteil Gestaltungsmöglichkeiten zu aber hinter einem „Impressum“ würde kein Besucher eine Datenschutzerklärung vermuten.

Problem: WordPress Login-Seite

Die meisten Personen, die einen eigenen Blog betreiben, werden die Plattform WordPress benutzen.

Um hier in das Backend der WordPress-Installation zu gelangen, wird eine Login-Seite genutzt, die meist über www.deinedomain.de/wp-admin erreichbar ist. So sieht das Ganze in der Realität aus…

Und genau diese Login-Seite stellt uns vor ein kleines Problem: Hier fehlen Links, die zum Impressum und zur Datenschutzerklärung führen.

Da die Seite aber für jedermann erreichbar ist, müssen beide Seiten zwingend erreichbar sein. Erinnere dich an die vom BGH geforderte 2-Klick-Lösung.

Doch keine Panik, es existiert eine einfache Lösung für dieses Problem. Es muss lediglich eine Code-Zeile in der wp-login.php platziert werden.

Hört sich kompliziert an, ist es aber letztendlich nicht. Ich zeige dir jetzt Schritt für Schritt, wie du Impressum und Datenschutzerklärung auf der Wp-Login-Seite darstellst…

Schritt 1: 

Suche in deinem Webspace nach der Datei wp-login.php

Hierbei hilft dir zum Beispiel das FTP-Programm FileZilla. 

Schritt 2: 

Im Anschluss lädst du diese Datei herunter und öffnest sie mit einem Editor. 

Suche innerhalb der Datei nach folgender Codezeile:

Schritt 3:

Unterhalb dieser Codezeile fügst du Folgendes ein:

 

<p><a href=“Link zu deiner Datenschutzerklärung“>Datenschutz</a> ·
<a href=“Link zu deinem Impressum“>Impressum</a></p>

Abspeichern, wieder hochladen, fertig!

Schon tauchen Impressum und Datenschutz auf deiner Wp-Login-Seite auf.

Siehe selbst…

Schritt 1: Erledigt!

Die Erstellung von Impressum und Datenschutzerklärung hat keine großen Fragen aufgeworfen – hoffe ich zumindest.

Nutze die kostenlosen Generatoren im Internet, die wirklich hervorragende Arbeit leisten und dir rechtssichere Texte zur Verfügung stellen.

Schritt 2:

Allgemeine Konfiguration einer rechtssicheren Webseite

In diesem Abschnitt erfährst du, welchen allgemeinen Anforderungen eine rechtssichere Webseite gerecht werden muss.

Wir bearbeiten Themen wie:

  • SSL-Zertifikat
  • Hoster IP-Log
  • Google Fonts

Also: Weiter geht’s!

Das SSL-Zertifikat installieren

Eigentlich ist die Nutzung eines SSL-Zertifikates für Webseitenbetreiber, die personenbezogene Daten erheben (z.B. E-Mail-Adresse über Kontaktformular), bereits seit dem 01.01.2016 Pflicht. So sagt es zumindest § 13 Abs. 7 TMG

So wirklich interessiert hat das jedoch niemand.

Mit Inkrafttreten der DSGVO hat sich dies geändert. Die Datenschutzgrundverordnung sorgte für eine regelrechte Massenhysterie – auch im Hinblick auf das SSL-Zertifikat.

Dabei ist die Nutzung eines SSL-Zertifikates nicht nur sinnvoll, um eine rechtlich einwandfreie Webseite bereitzustellen, sondern bietet viele weitere Vorteile.

Was ist ein SSL-Zertifikat überhaupt?

Die Abkürzung SSL steht für „Secure-Sockets-Layer“. Die Aufgabe dieses Zertifikates ist es, Daten, die von einem Computer auf einen Server übertragen werden zu verschlüsseln. Auf diese Weise werden diese Daten vor einem unbefugten Zugriff Dritter geschützt. 

Wann ist ein SSL-Zertifikat gesetzlich vorgeschrieben?

Artikel 32 DSGVO verpflichtet Webseitenbetreiber, unter Berücksichtigung des Stands der Technik, ein angemessenes Schutzniveau zu bieten und außerdem personenbezogene Daten zu verschlüsseln.

Heißt im Umkehrschluss: Jeder Seitenbetreiber, der personenbezogene Daten erhebt, muss zwingend ein SSL-Zertifikat nutzen.

Das kann zum Beispiel der Fall sein, wenn:

  • Eine Anmeldung zu einem E-Mail-Newsletter angeboten wird
  • Ein Kontaktformular auf einer Seite zu finden ist
  • Ein Blog mit Kommentarfunktion betrieben wird

Mindestens einen dieser drei Punkte wird wahrscheinlich jeder Betreiber einer Webseite bejahen. Mit Sicherheit auch du.

Ich würde behaupten, dass grob geschätzt nur 1 unter 10.000 Webseiten nicht von der Pflicht zur Nutzung eines SSL-Zertifikats betroffen ist.

Versuche also erst gar nicht, eine Begründung zu finden, kein SSL-Zertifikat zu implementieren. Nutze eines!

Zumal ein SSL-Zertifikat zahlreiche weitere Vorteile bietet…

Vorteil 1: Ein SSL-Zertifikat schafft Vertrauen

Jeder moderne Internetbrowser zeigt dem Nutzer heute an, ob eine sichere Verbindung zu einer Webseite besteht oder nicht. 

Hier beiden Varianten im Überblick…

Ehrliche Antwort: Würdest du personenbezogene Daten auf einer Webseite eingeben, die als „nicht sicher“ eingestuft ist?

Wahrscheinlich nicht!

Genau so geht es auch den Besuchern deines Blogs.

Vorteil 2: Ein SSL-Zertifikat ist ein Google Rankingfaktor

Am 06. August 2014 wurde von Google bekannt gegeben, dass die HTTPS-Verschlüsselung ein Rankingfaktor ist. 

Zugegeben, du wirst dich heute nicht mehr positiv von der Konkurrenz absetzen, wenn du ein SSL-Zertifikat nutzt – schließlich tun dies wahrscheinlich 99,9 % aller Webseiten. Du würdest aber mit Sicherheit abgestraft, wenn du es nicht tust.

Vorteil 3: Ein SSL-Zertifikat ist sehr einfach zu installieren

Die Installation eines SSL-Zertifikates stellt heute keine großen Anforderungen mehr an den Nutzer.

Ganz im Gegenteil: Viele Hoster bieten bereits ein vorinstalliertes Zertifikat an, das nur noch aktiviert werden muss.

Im Falle meines Hosters, Webgo (hier geht’s zum Webgo Erfahrungsbericht), genügt ein Klick im Webspace Admin und schon ist das SSL-Zertifikat installiert.

Wer auf einen Hoster zurückgreift, der kein SSL-Zertifikat anbietet (wovon ich abraten würde – das kann nichts Gutes sein…), der hat immer noch die Möglichkeit, ein kostenloses Let’s Encrypt Zertifikat zu erstellen.

Korrekter Umgang mit Server-Logfiles

Besucht ein Internetnutzer deine Webseite, werden sogenannten Log Files automatisch auf dem Server gespeichert. Diese Logfiles können sehr hilfreich bei Analyseprozessen sein.

Es gibt nur ein Problem: Die Logfiles enthalten personenbezogene Daten der Besucher, unter anderem dessen IP-Adresse.

Warum genau dies ein Problem darstellt, zeigt ein kurzer Exkurs in die Tiefen der DSGVO…

Exkurs: Art. 6 DSGVO

Der Art. 6 DSGVO ist die wahrscheinlich berühmteste und wichtigste Stelle in der gesamten Verordnung.

Grundsätzlich gilt: Die Verarbeitung personenbezogener Daten ist generell verboten (Verbotsprinzip). Nun nennt Art. 6 DSGVO jedoch 5 Fälle, die eine Verarbeitung zulassen.

 

Diese Fälle sind:

  • Einwilligung des Betroffenen
  • Für die Vertragserfüllung notwendig (z.B. Bestellung in einem Online-Shop)
  • Gesetzliche Verpflichtung zur Datenerhebung
  • Es geht um Leben und Tod
  • Die Erhebung liegt im öffentlichen Interesse
  • Die Erhebung liegt überwiegend im berechtigen Interesse des Verarbeiters

Für Seitenbetreiber relevant sind vor allem die Punkte 1 und 5.

Generell gilt: Du solltest nur die Daten erheben, die du wirklich zwingend benötigst.

Server Logfiles dürfen also nur dann erhoben werden, wenn einer der oben genannten Gründe nach Art. 6 DSGVO vorliegt.

Nach aktueller Rechtsmeinung ist dies gegeben. Und zwar in Form des Art. 6 Abs. 1 lit. f DSGVO. Als Webseitenbetreiber hast du ein berechtigtes Interesse, die Logfiles zu erheben. 

Soweit so gut. 

Dennoch empfehle ich dir unbedingt, die IP-Adressen der Besucher zu anonymisieren. Gute Hoster wie Webgo bieten diesen Service an – einfach umzusetzen im Webmaster Portal. Ist die IP-Adresse anonymisiert, warten zwei weitere Aufgaben auf dich:

  • Es muss zwingend ein Hinweis über die Speicherung der Logfiles in der Datenschutzerklärung eingepflegt werden.
  • Du musst mit deinem Hoster einen Vertrag zu Auftragsverarbeitung schließen (dazu später mehr).

Der erste Punkt sollte kein größeres Problem darstellen. Wie in einem vorherigen Kapitel bereits erwähnt, nehmen dir die Datenschutz-Generatoren diese Aufgabe ab.

Der zweite Punkt jedoch wirft Fragen auf…

Was genau ist denn ein „Vertrag zur Auftragsverarbeitung“ – kurz AV – nun wieder? 

Vertrag zur Auftragsdatenverarbeitung erklärt

Ein Vertrag zur Auftragsverarbeitung muss immer dann zwischen zwei Parteien geschlossen werden, wenn personenbezogene Daten durch einen Dienstleister im Auftrag eines Dritten verarbeitet werden – z.B. der Hoster, der Logfiles im Auftrags des Seitenbetreibers verarbeitet.

Die Rechte und Pflichten beider Parteien regelt Art. 28 DSGVO.

In der Regel werden AV-Verträge online in digitaler Form abgeschlossen. Die Zeiten des Papierkriegs sind also tatsächlich vorbei. Auch der Hoster Webgo ermöglicht einen schnellen und unkomplizierten Abschluss im Webspace Admin.

Viele Unternehmen machen es noch einfacher. Durch die Anpassung der AGB wird ein AV-Vertrag sogar komplett überflüssig. Als Beispiel ist hier der sehr bekannte E-Mail-Dienst Mailchimp zu nennen.

Google Fonts rechtssicher nutzen

Eines der bis heute am meisten diskutierten Themen im Zusammenhang mit der DSGVO sind Google Fonts – also die Online-Schriftbibliothek des Suchmaschinengiganten Google.

Google Fonts werden von den meisten WordPress Themes (unter anderem auch vom Divi Theme, das ich verwende) genutzt und online abgerufen.

 

Das Problem mit Google Fonts und dem Datenschutz

Google Fonts sind nicht zentral in einer WordPress Installation gespeichert, sondern liegen auf den Google Servern. Ruft nun ein Besucher eine Webseite auf, die Google Fonts nutzt, wird zunächst eine Verbindung zum besagten Google Server hergestellt und die Schriftart dort abgerufen.

Und das alles in Sekundenschnelle – ohne, dass der Besucher überhaupt irgendetwas davon bemerkt.

Auch das wäre grundsätzlich noch keine größere Problematik. Wäre da nicht die Tatsache, dass beim Laden der Fonts die IP-Adresse des Besuchers automatisch an Google übertragen wird.

Wie im vorherigen Abschnitt bereits erwähnt, handelt es sich bei der IP-Adresse um personenbezogene Daten, die nur dann verarbeitet werden dürfen, wenn ein Grund nach Art. 6 DSGVO vorliegt.

Und genau das ist die Frage, die sich hunderte Rechtsanwälte aktuell stellen. Existiert ein Grund nach Art. 6 DSGVO, um Google Fonts zu laden oder nicht?

Viele Rechtsanwälte berufen sich auf Art. 6 Abs. 1 lit. f – also das berechtigte Interesse. Genauer: Ein Interesse daran, eine optisch ansprechende Webseite zur Verfügung zu stellen.

Gegenstimmen merken an, dass Google Fonts relativ einfach lokal auf dem Webspace einer Seite gespeichert werden können, was eine Verbindung zu den Google Servern unnötig machen würde.

Mein Rat zu Google Fonts

Solange noch kein Gericht ein entsprechendes Urteil zu Google Fonts gefällt hat, solltest du diese, wenn möglich, lokal speichern.

Ich weiß, dass dies nicht mit allen WordPress Themes funktioniert. Solltest du ein Theme nutzen, das die lokale Speicherung der Fonts nicht ermöglicht, ist zwingend in der Datenschutzerklärung auf Google Fonts hinzuweisen.

Google Fonts lokal einbinden – so einfach funktioniert’s

Um die Problematik mit Google Fonts im Hinblick auf den Datenschutz zu umgehen, empfiehlt es sich, diese lokal auf dem eigenen Server einzubinden.

Und das ist tatsächlich nicht so komplex, wie du vielleicht annahmen würdest.

Um Google Fonts lokal einzubinden, existieren zwei Möglichkeiten:

  1. Direkt über das WordPress Theme
  2. Manuelle Einbindung in Eigenregie

 

1. Google Fonts über das Theme einbinden

Viele WordPress Themes haben die Problematik bzgl. Google Fonts zwischenzeitlich erkannt und bieten die Möglichkeit, diese lokal zu speichern.

Ich möchte dir anhand des Divi Themes zeigen, wie unkompliziert dieser Vorgang ist.

 

Schritt 1: Die Verwendung von Google Fonts im Theme-Menü untersagen.

Schritt 2: Gewünschte Schriftart zunächst in der Google Bibliothek herunterladen und im Anschluss installieren. 

Fertig! Eine Sache von maximal 2 Minuten. 

1. Google Fonts manuell einbinden

Bietet dein Theme die beschriebene Funktion nicht an, lautet die Devise zunächst einmal: keine Panik!

Blogmojo bietet eine tolle Schritt-für-Schritt-Anleitung zu diesem Thema.

Alternativ führt dich dieses Video durch den Prozess…

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube Videos rechtssicher nutzen

Ähnlich wie die im vorherigen Kapitel behandelten Google Fonts leiten auch YouTube Videos, die du auf deiner Seite einbettest, personenbezogene Daten deiner Webseitenbesucher weiter.

Folglich gilt die gleiche rechtliche Problematik, wie bereits im vorherigen Kapitel besprochen.

Um das Problem schnell und einfach zu beseitigen, würde ich dir zu einem WordPress Plugin raten, auf das du im Verlauf dieses Beitrags noch des Öfteren stoßen wirst.

Die Rede ist von Borlabs Cookie*.

Das Plugin besitzt einen sogenannten Content Blocker. Heißt: Eine Verbindung zu YouTube wird erst dann aufgebaut, wenn der Nutzer aktiv seine Zustimmung erteilt. Eine bessere Variante existiert meiner Meinung nach nicht.

Der Content Blocker lässt sich nicht nur für YouTube Videos verwenden, sondern auch für zahlreiche weitere Dienste, die nach demselben Schema arbeiten und daher datenschutzrechtlich als bedenklich einzustufen sind (z.B. Google Maps).

Es existieren zwar zahlreiche weitere Plugins, die diesen Service ebenfalls bieten. Ich komme jedoch mit Borlabs Cookie* am besten zurecht – insbesondere weil das Plugin auch an vielen anderen Stellen tolle Arbeit liefert.

Dazu aber später mehr.

Schritt 3:

WordPress rechtlich sauber konfigurieren 

Wer rechtssicher mit WordPress bloggen möchte, der muss die ein oder andere Änderung vornehmen und diverse rechtliche Stolpersteine umgehen.

In diesem Abschnitt zeige ich dir detailliert, wie du WordPress rechtssicher machst.

Viel Arbeit, aber dafür relativ simpel.

WordPress Grundeinstellungen anpassen

An der WordPress Grundeinstellung müssen kleinere Anpassungen vorgenommen werden, um diese an die geltenden datenschutzrechtlichen Gegebenheiten anzupassen.

Es sind allerdings wirklich nur kleine Anpassungen und betreffen drei kleine Gebiete:

  • Die Kommentarfunktion
  • Gravatar-Benutzerbilder
  • Emojis

Was du hier zu tun hast, zeige ich dir jetzt…

IP-Anonymisierung der Kommentarfunktion

Ein guter Blogbeitrag lebt von den Kommentaren der Leser. Diese bieten eine tolle Möglichkeit, um mit deinen Besuchern zu interagieren und sind außerdem ein Zeichen für Google, dass dein Beitrag offensichtlich gefragt ist.

Heißt: Die Kommentarfunktion abzuschalten, wie es viele Blogs aus Panik vor der DSGVO in der Vergangenheit gemacht haben, geht gar nicht!

Das Problem mit der Kommentarfunktion ist nämlich wirklich nur ein sehr kleines…

In seiner Grundeinstellung speichert WordPress die IP-Adresse aller Kommentatoren. Du würdest als Seitenbetreiber also personenbezogene Daten ohne rechtliche Grundlage erheben – eine Notwendigkeit dieser Erhebung besteht nämlich schlichtweg nicht!

Um die IP-Adresse zu entfernen, haben wir nun zwei Möglichkeiten.

Möglichkeit 1: Du fügst folgenden Code in deiner functions.php ein:

function wpb_remove_commentsip( $comment_author_ip ) {
return “;
}
add_filter( ‚pre_comment_user_ip‘, ‚wpb_remove_commentsip‘ );

Wenn du dich für diese Möglichkeit entscheidest, solltest du unbedingt ein Child Theme verwenden. Andernfalls müsstest du nach jeder Aktualisierung des Themes den Code neu einfügen.

Möglichkeit 2: Du nutzt das WordPress Plugin RemoveIP, das automatisch alle IP-Adressen der Kommentatoren durch die IP 127.0.0.1 ersetzt.

Achtung: Die IP-Adressen bereits vorhandener Kommentare werden durch beide dargestellten Vorgehensweisen nicht rückwirkend entfernt. Diese müssen von dir manuell aus der Datenbank gelöscht werden.

Vorsicht bei Pflichtfeldern

In diesem Zusammenhang ein weiterer wichtiger Hinweis: Achte unbedingt darauf, dass Nutzer beim Kommentieren weder angemeldet sein, noch ihre E-Mail-Adresse angeben müssen. Entferne bei beiden Einstellungen den Haken unter Einstellungen > Diskussionen.

Gravatare entfernen

Gravatare sind kleinen Bildchen, die auf deiner Seite neben Kommentaren auftauchen. Zugegeben ein nettes Gimmick aber im Hinblick auf die DSGVO nicht erlaubt.

Die Bilder werden nämlich extern von Gravatar geladen. Im Gegenzug wird die IP-Adresse deiner Nutzer an den Dienst zurückgesendet. Problematisch, wie die bereits weist.

Auch hier muss unter Einstellungen > Diskussionen lediglich das Häkchen bei „Avatare anzeigen“ entfernt werden.

Erledigt!

Emojis entfernen

Ein ähnliches Problem wie Gravatar-Bilder verursachen Emojis. Man mag es kaum glauben, aber Emojis werden von einem externen Server (wordpress.org) abgerufen.

Du ahnst es mit Sicherheit…

Im Gegenzug wird die IP-Adresse deiner Besucher an wordpress.org weitergeleitet.

Heißt: Emojis müssen deaktiviert werden.

Am einfachsten gelingt dies durch das Einfügen eines Codes in der functions.php – auch das dürfte dir mittlerweile geläufig sein – oder mithilfe des WordPress Plugins Disable Emojis.

Problem: Social Media Anbindung

Die WordPress Grundeinstellungen sind angepasst. Also machen wir uns auf den Weg zum nächsten Problem: Social Sharing Buttons.

Soziale Netzwerke sind heute wirklich nicht mehr wegzudenken und bieten jedem Blogger die Möglichkeit, Reichweite aufzubauen und mit seinen Lesern und Fans zu kommunizieren.

Fakt ist: Wer nicht in den sozialen Medien auftaucht verschenkt unglaublich viel Potenzial. Aus diesem Grund ist es unerlässlich, entsprechende „Teilen-Buttons“ an prominenten Stellen auf der Webseite zu platzieren.

Und wer hätte es geahnt…

Auch hier gibt es ein Problem mit der DSGVO.

Viele Social Sharing Möglichkeiten, unter anderem die Standardlösungen der jeweiligen Netzwerke wie Facebook, Twitter und Co., leiten bereits beim Laden der Seite, auf der sie eingebunden sind, Nutzerdaten wie IP-Adresse, Browser und ähnliches weiter.

Dabei spielt es keine Rolle, ob der Besucher bei Facebook und Co. eingeloggt ist oder dort überhaupt einen Account besitzt. Die Daten werden weitergeleitet. Besitzt der Besucher einen Account und ist eingeloggt, werden die Nutzerdaten sogar diesem Account zugeordnet.

Heißt für dich: Datenschutzrechtlich höchst bedenklich, also Finger weg!

 

Die Lösung: Konforme Social Media Plugins wählen

Die Lösung dieses Problems ist relativ simpel: Achte bei der Wahl deines Social Sharing Plugins darauf, dass diese Weiterleitung der Daten an Facebook und Co. bereits beim Seitenaufruf unterbunden wird.

Solche Plugins existieren zur Genüge.

Das wohl bekannteste im deutschsprachigen Raum ist „Sharrif Wrapper„. Ich selbst nutze Monarch von Divi.

Das von dir gewählte Plugin sollte außerdem eine 2-Klick-Lösung anbieten. Ein Nutzer muss also nach dem ersten Klick auf „Teilen“ sein vorhaben nochmals bestätigen. So bist du garantiert auf der sicheren Seite.

Plugins kontrollieren

Der Funktionsumfang von WordPress lässt sich durch zahlreiche verschiedene Plugins beliebig erweitern. Über 55.000 WordPress Erweiterungen sind zwischenzeitlich verfügbar.

Grundsätzlich eine wirklich tolle Sache, denn so lässt sich das CMS problemlos an die eigenen Ansprüche anpassen und individuell konfigurieren.

Plugins – zumindest einige davon – bringen jedoch in puncto Datenschutz ein großes Problem mit sich: Viele Plugins senden im Hintergrund personenbezogene Daten an die Entwickler. Meiste handelt es sich hierbei um die IP-Adressen deiner Besucher.

Diese Übermittlung erfolgt in der Regel im Hintergrund und automatisch, sobald das Plugin geladen wird.

Folglich sind zwei Dinge erforderlich, um diese Plugins rechtskonform zu nutzen:

  1. Du benötigst einen Grund für die Datenerhebung. Und hier reicht das pauschal berechtigte Interesse nach Art. 6 lit. f DSGVO meist nicht aus.
  2. Es muss ein Vertrag zur Auftragsverarbeitung mit dem Hersteller des Plugins geschlossen werden, da ein Dritter Daten deiner Besucher verarbeitet.

 

Und genau hier liegt das große Problem. Bei vielen Plugins, die viele Jahre lange bedenkenlos genutzt wurden, lässt sich keiner der beiden Punkte erfüllen.

Alleine die Erhebung der Daten (auch wenn diese nicht weitergeleitet werden sollten) ist nach DSGVO ohne eine im Gesetz genannte Grundlage schlichtweg nicht mehr möglich.

Dir bleibt es also nicht erspart, Plugin für Plugin deiner WordPress Installation durchzugehen und zu analysieren, ob personenbezogene Daten erhoben werden – wenn ja, ob diese Erhebung rechtmäßig ist.

Tipp: Plugin DSGVO-Übersicht von Blogmojo

Eine sensationelle Übersicht über 300+ WordPress Plugins und deren rechtssicheren Einsatz im Rahmen der DSGVO liefert dieser Beitrag von Blogmojo.

Der Beitrag von Blogmojo behandelt die gängigsten und am meisten genutzten WordPress Plugins. Für 99,9 % aller Anwender wird diese Übersicht völlig ausreichend sein.

Wer Plugins einsetzt, die nicht auf dieser Liste zu finden sind, kann diese Anleitung verwenden, um zu analysieren, ob ein Plugin personenbezogen Daten erhebt und weiterleitet.

Schritt 4:

Der korrekte Umgang mit Cookies

Nahezu jede Webseite nutzt Cookies.

Während viele Cookies kein rechtliches Problem darstellen können andere nach heutigem Recht nur unter bestimmten Voraussetzungen eingesetzt werden.

Jetzt erfährst du, wie du mit Cookies rechtskonform umgehst.

Erläuterung der Cookie-Problematik

Nahezu jede Website, wahrscheinlich auch deine, setzt Cookies ein. Das ist zunächst auch gar nicht schlimm, sondern dient sogar in erster Linie deinen Besuchern. Die Code-Schnipsel sorgen nämlich dafür, dass das Surf-Erlebnis deutlich entspannt und verbessert wird.

So sind Cookies beispielsweise dafür verantwortlich, dass Nutzerdaten nicht bei jedem Besuch einer Webseite erneut eingegeben werden müssen.

Nun kommen wir zum großen Aber.

Der Einsatz von Cookies beschäftigt derzeit die obersten Gerichte Europas. Unter anderem EuGH oder BGH.

Die Rechtslage ist also problematisch und diffizil…

Aktuelle Rechtslage zu Cookies

Aktuell ist relativ unklar, wie rechtskonform mit Cookies umgegangen werden muss.

Den Umgang mit Cookies regelt grundsätzlich die „EU-Cookie-Richtlinien„. Diese muss allerdings von den einzelnen Ländern durch Gesetze umgesetzt werden.

Da dies in Deutschland jedoch noch nicht geschehen ist, gilt nach wie vor § 15 Abs. 3 TMG. Hier heißt es, dass Nutzer über den Einsatz von Cookies unterrichtet und auf Widerspruch hingewiesen werden müssen.

Die DSGVO regelt ergänzend, dass in der Datenschutzerklärung über die Verwendung von Cookies aufgeklärt werden muss.

Die zukünftig geplante e-Privacy EU-Verordnung soll später alles genau Regeln und Licht ins Dunkle bringen. 

Wäre die Rechtslage aktuell nicht schon komplex genug, hat ein Urteil des EuGH im Jahr 2019 für großen Aufruhr gesorgt.

Die Richter kamen zu dem Schluss, dass Tracking-Cookies, wie sie z.B. durch Google Analytics verwendet werden, nur durch aktive Einwilligung der Besucher gesetzt werden dürfen. Und zwar erst, nachdem diese Zustimmung erfolgt ist.

Ausgenommen hiervon sind wiederum technisch notwendige Cookies. Das sind beispielsweise Session Cookies (Warenkorb in Online-Shops) oder Cookies zum Ausblenden von Bannern oder PopUps. Diese Cookies sind essenziell und für den Beitrieb einer Webseite notwendig. 

Jetzt wird es kompliziert: Die Meinung des EuGH ist kein rechtsverbindliches Urteil, sondern dient lediglich als eine Art Anhalt für den deutschen BGH. Der wiederum lässt sich mit seiner Entscheidung Zeit.

Aktuell gilt: Verwirrung pur!

Du gute Nachricht: Eine Lösung dieser ganzen Cookie-Problematik ist jedoch deutlich einfacher, als du jetzt vielleicht denkst.

Versprochen!

Die Lösung: Borlabs Cookie Plugin

Bei der ganzen Verwirrung rund um den Einsatz von Cookies rate ich dir zu einer einfachen und vor allem rechtssicheren Lösung, die allen Anforderungen gerecht wird: Setzte schon jetzt alle im Raum stehenden Vorgaben konsequent um (auch die des EuGH). Das heißt:

  • In der Datenschutzerklärung auf Cookies Hinweisen
  • Einen Cookie Banner einblenden
  • Eine einfache Möglichkeit zum Widerspruch bieten
  • Tracking-Cookies erst nach aktiver Einwilligung laden

 

Wer seine Webseite bereits heute an strenge Cookie-Richtlinien anpasst, der muss sich um mögliche Gefahren oder Abmahnungen keine Gedanken machen. Glaube mir: Bloggen macht so deutlich mehr Spaß.

Eine Lösung, mit der sich die Cookie-Nutzung auf deiner Webseite an beliebige gesetzliche Vorgaben anpassen lässt ist das WordPress Cookie Plugin von Borlabs*.

Die Vorteile von Borlabs Cookie

Borlabs Cookie* ist eines der umfangreichsten und besten Cookie Plugins für WordPress. Mit einem Preis von 39 € pro Webseite pro Jahr ist es außerdem in einem preislich sehr fairen Rahmen.

Auf die Vorteile des Plugins möchte ich nun kurz eingehen…

 

Vorteil 1: Opt-In möglich

Die meisten WordPress Cookie Plugins bieten lediglich die Möglichkeit eines Opt-Out. Heißt: Die Cookies werden automatisch gesetzt, sobald ein Nutzer deine Webseite besucht. Erst dann kann er gegen den Einsatz widersprechen.

Der EuGH fordert jedoch in seinem oben erwähnten Urteil ein Opt-In für Tracking Cookies. Heißt: Das Cookie darf erst gesetzt werden, wenn der Besucher aktiv der Nutzung zustimmt.

Genau diese Möglichkeit bietet Borlabs Cookie*.

 

Vorteil 2: Content Blocker 

In einem vorherigen Kapitel dieses Beitrags habe ich bereits erwähnt, dass die Einbindung von YouTube Videos oder Kartendiensten wie Google Maps ein Problem darstellt. Schuld ist die automatische Übermittlung der IP-Adresse des Besuchers an Google.

Um diese Problematik zu umgehen, bietet Borlabs Cookie* den sogenannten Content Blocker an. Externe Dienste werden durch diese Funktion erst nach Einwilligung des Nutzers (Art. 6 lit. a DSGVO) geladen.

Vorteil 3: Gigantische Anpassungsmöglichkeiten beim Design

Borlabs Cookie* bietet dir die Möglichkeit, deinen Cookie Hinweis beliebig an deine Vorstellungen anpassen zu lassen. So kannst du zum Beispiel das Logo deiner Webseite einfügen oder die Farben individuell konfigurieren.

Diese Möglichkeiten bietet nahezu kein anderes Cookie Plugin.

Vorteil 4: Ausführliche Statistiken

Wie viele Nutzer willigen überhaupt zur Nutzung von Cookies ein?

Die Statistik im Backend von Borlabs Cookie verrät es dir.

Vorteil 5: Ein Höchstmaß an Transparenz

Gerade im Bereich Datenschutz schaffst du durch ein erhöhtes Maß an Transparenz Vertrauen. Genau diese Transparenz wird mit Borlabs Cookie* zum Kinderspiel.

Durch Shortcodes lassen sich beliebige Informationen für deine Besucher einfach darstellen – zum Beispiel welche Einwilligungen sie wann getroffen haben.

Auch das Opt-Out für Google Analytics (dazu später mehr) ist Dank Borlabs Cookie* kein Problem.

Weitere Vorteile

Für den Einsatz von Borlabs Cookie sprechen viele weitere Vorteile:

  • Kompatibel mit den meisten Caching-Plugins
  • Ermöglicht die Erstellung von Shortcodes, um beliebige Inhalte erst nach Einwilligung verfügbar zu machen
  • Deutscher Kundendienst
  • Günstiger Preis

Schritt 5:

Rechtssichere Besucheranalyse 

Das Besucher-Tracking ist ein wichtiger Bestandteil der Erfolgskontrolle einer Website. Kein Webmaster und kein Blogger kann es sich leisten, hierauf zu verzichten.

Es gibt nur ein Problem: Tracking-Tools stellen einen der größten Angriffspunkte in Sachen Datenschutz dar.

In diesem Kapitel erfährst du, wie du Google Analytics und Co. rechtssicher einsetzt.

Die Erkenntnisse, die sich aus Tracking-Tools ziehen lassen, sind für jeden Betreiber einer Webseite enorm wichtig.

So kannst du ermitteln, welches Seiten besonders gefragt sind, wie der Verhaltensfluss deiner Nutzer ist, welche Quellen den meisten Traffic generieren, wo die Absprungrate besonders hoch ist – und vieles mehr.

Zwei dieser enorm wichtigen Tracking Tools sind Google Analytics und seine Alternative Matomo.

Beide Tools für sich genommen bringen erheblich Mehrwert für dich als Seitenbetreiber. Es gibt nur ein Problem: Tracking Tools sind ein Dorn im Auge eines jeden Datenschützer. Klar, schließlich erheben diese eine Masse an personenbezogenen Daten, die wiederum auf externe Server weitergeleitet werden (Ausnahme: Matomo).

Die gute Nachricht: Es gibt einen Weg, wie sich alle Tools rechtskonform nutzen lassen. Zugegeben, etwas Arbeit, dafür bist du im Anschluss auf der rechtlich sicheren Seite. Im folgenden Kapitel erfährst du Schritt für Schritt, was dazu nötig ist.

Cookie Problematik bei Tracking-Tools

Im vorherigen wurde die Problematik bezüglich der Tracking Tools kurz angesprochen. Diese Tools setzen Cookies auf den Rechnern deiner Besucher. 

Mit seinem Urteil vom 01.10.2019 hat der EuGH entschieden, dass das Setzen von Tracking-Cookies die aktive Einwilligung des Besuchers erfordert. 

Der BGH wiederum verwies am 30.01.2020 auf das bereits gültige Telemediengesetz, das lediglich eine Widerspruchslösung vorsieht. 

Momentan gibt es zu diesem Thema also keine Rechtsklarheit. Du solltest mindestens eine Widerspruchslösung verwenden. Wer auf Nummer sicher gehen möchte, nutzt eine Opt-In-Lösung.

Google Analytics rechtssicher nutzen

Google Analytics ist der Platzhirsch unter den Tracking Tools.

Kein Wunder. Das Tool ist kostenlos, lässt sich einfach auf einer Webseite installieren und bietet einen gigantischen Funktionsumfang. Und auch wenn die „Datenkrake Google“ viele Datenschützer mit Skepsis betrachten, lässt sich Analytics definitiv rechtssicher einsetzen.

Um dies zu erreichen sind folgende Schritte notwendig:

  1. Vertrag zu Auftragsverarbeitung abschließen
  2. IP-Adresse der Nutzer anonymisieren
  3. Aufbewahrungsdauer der Daten festlegen
  4. Universal Analytics und Audiences abstellen
  5. Datenschutzerklärung anpassen
  6. Out-Out oder Opt-In implementieren

 

Zugegeben, sieht nach einer Menge Arbeit aus. Viele der Schritte lassen sich jedoch in Sekundenschnelle erledigen.

Auf geht’s!

Schritt 1: Vertrag zur Auftragsverarbeitung abschließen

Google tritt als Datenverarbeiter auf, der über deine Webseite personenbezogene Daten erhält und diese speichert. Heißt: Du musst einen AV-Vertrag mit Google abschließen (dazu später mehr).

Vor Inkrafttreten der DSGVO war dies nur in schriftlicher Form möglich, heute lässt sich dies auch bequem online erledigen. Und zwar direkt in Google Analytics. Gehe auf Verwaltung > Kontoeinstellungen und scrolle bis zum Ende der Seite.

Hier wartet auf dich zum einen die Zustimmung zum Datenschutz und zum anderen der extrem wichtige Zusatz zur Datenverarbeitung, der Google nach Art. 28 DSGVO zum Schutz personenbezogener Daten verpflichtet und dein Risiko als Anwender erheblich senkt.

Ist beides bestätigt, ist der erste Schritt auch schon erledigt.

Schritt 2: IP-Adresse anonymisieren

Die Verwendung von Google Analytics ist nur dann zulässig, wenn die IP-Adressen deiner Besucher anonymisiert wurden. Die letzten beiden stellen werden hierzu gekappt.

Dies lässt sich relativ einfach durch die Ergänzung des Analytics Code mit anonymizeIp() erreichen.

Wer nicht direkt am Code arbeiten möchte, kann dies mit diversen kostenlosen WordPress Plugins erreichen – z.B. Google Analyticator.

Ich selbst bin ein großer Fan von der Implementierung Google Analytics mit dem Google Tag Manager. Hier lassen sich, neben der IP Anonymisierung, viele weitere nützliche Funktionen einfach hinzufügen. Ein tolles Video, das die Installation sehr toll erklärt, bietet der Unternehmerkanal auf YouTube…

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Schritt 3: Speicherdauer verkürzen

Zwar nennt die DSGVO keine maximal gültige Speicherdauer für personenbezogene Daten, das Recht der Nutzer auf eine zeitnahe Löschung ihrer Daten überwiegt jedoch dem Interesse des Datenverarbeitenden, die Daten möglichst lange zu speichern..

Da hier aus Sicht des Webseitenbetreibers kein überwiegend berechtigtes Interesse nach Art. 6 DSGVO geltend gemacht werden kann, wird momentan von Juristen empfohlen, die Speicherdauer auf 14 Monate herabzusetzen.

Schritt 4: Universal Analytics und Audience abstellen

User ID, die ein Tracking eines Nutzers über mehrere Geräte hinweg möglich macht (PC, Smartphone, Tablet) sollte vermieden werden. Da hier ein sehr genaues Tracking eines Nutzers ermöglicht wird, scheint das berechtigte Interesse schwierig zu begründen.

Demnach wäre für diese Option definitiv eine Opt-In-Pflicht notwendig.

Wer das nicht möchte: Abstellen!

Zweiter Teilschritt: Die Erstellung von Audiences, also Zielgruppen für Remarketing-Kampagnen, abschalten oder erst überhaupt nicht aktivieren, wie in meinem Beispiel unten zu sehen.

Schritt 5: Datenschutzerklärung anpassen

Eine Datenschutzerklärung haben wir bereits im ersten Schritt dieses Beitrags erstellt. Nun gilt es – sofern noch nicht bereits geschehen – diese um einen entsprechenden Passus für Google Analytics zu erweitern.

Mache es dir hier einfach und nutze einen Datenschutzgenerator. So lässt sich dieser Schritt in wenigen Sekunden erledigen.

Schritt 6: Opt-Out und Opt-In

Nun kommen wir zur Frage aller Fragen: Google Analytics mit Opt-Out oder Opt-In nutzen?

Diese Frage lässt sich nicht pauschal beantworten, da es aktuell keine Rechtsklarheit zu diesem Thema gibt. Während sich der EuGH für eine aktive Einwilligung der Besucher ausspricht, legt sich der BGH bislang nicht fest – verweist sogar auf das TMG, welches lediglich eine Widerspruchslösung verlangt.

Also: Wer ganz auf Nummer sicher gehen möchte, der setzt eine Opt-In-Lösung um, wie es beispielsweise mit dem bereits beschriebenen Borlabs Cookie Plugin problemlos möglich ist.

Dafür muss man unter Umständen Verfälschungen im Tracking-Record hinnehmen. Schließlich wird nicht jeder Nutzer dem Google Analytics Cookie zustimmen.

Eine Widerspruchslösung, also ein Opt-Out, sollte unbedingt installiert werden. Egal, ob du dich zusätzlich für ein Opt-In entscheidest. Dies lässt sich relativ leicht mit WordPress Plugins umsetzen, beispielsweise Google Analytics Opt-Out von der Schweizer Solutions GmbH. Wer Borlabs Cookie nutzt benötigt kein weiteres Plugin, da hier der Google Analytics Opt-Out bereits integriert ist.

Fazit: Google Analytics lässt sich rechtssicher nutzen!

All die gespenstischen Meldungen, die immer wieder im Netz kursieren, entpuppen sich bei näherer Betrachtung als zahnloser Tiger. Mit der beschriebenen Anleitung lässt sich Google Analytics auch auf deiner Webseite rechtssicher nutzen.

Wer dennoch Bedenken hat, für den habe ich eine Alternative parat. Eine Alternative, die noch strengeren Anforderungen an den Datenschutz gerecht wird, dennoch einen sehr großen Leistungsumfang bietet.

Matomo!

Auf zum nächsten Kapitel…

Bestmöglicher Datenschutz: Matomo

Auf der Suche nach einer Alternative zu Google Analytics stößt man früher oder später über das Analyse-Tool Matomo (ehemals Piwik).

Eines vorweg: In Sachen Datenschutz hat Matomo klar die Nase vorn. So wird das Tool zum Beispiel vom Landeszentrum für Datenschutz Schleswig-Holstein als datenschutzkonform eingestuft.

Fairerweise muss allerdings angemerkt werden, dass – obwohl Matomo ein großes Leistungsspektrum besitzt – Google Analytics deutlich bessere Funktionen bietet. Die Frage ist allerdings, ob diese Funktionen von Bloggern auch tatsächlich gebraucht werden…

Matomo punktet gegenüber Google Analytics in Sachen Datenschutz aufgrund folgender Eigenschaften:

  1. Speicherort: Matomo wird auf deinem eigenen Server gehostet. Du installierst das Tool auf deinem Webspace und besitzt somit die Datenhoheit. Einen externen Datenverarbeiter gibt es nicht. Dadurch wird unter anderem ein Vertrag zur Auftragsverarbeitung überflüssig.
  2. Resistenz gegen Adblocker: Google Analytics wird oft von sogenannten Adblockern erkannt und blockiert. Dadurch kann das Ergebnis der Besucheranalyse teilweise erheblich verfälscht werden. Matomo hingegen wird nicht erkannt.
  3. Nutzung ohne Cookies möglich: Matomo kommt auf Wunsch auch ohne Cookies aus. Dies entbindet jedoch nicht von der Einwilligungspflicht (mehr Information gibts hier).

 

Aber Achtung: Auch bei Matomo sind einige Schritte notwendig, um das Tool an geltendes Datenschutzrecht anzupassen. Welche das sind erfährst du im nächsten Abschnitt.

So geht's: Matomo installieren

Die Installation von Matomo ist deutlich komplexer als die von Google Analytics. Dennoch kein Hexenwerk. Also: keine Panik! 

Es existieren zahlreiche Anleitungen, die dich Schritt für Schritt durch den Installationsprozess führen. Wer also Maus und Tastatur bedienen kann, der kann auch Matomo auf seinem Webserver installieren 😉

>> Offizielle Anleitung von matomo.org 

>> Video Anleitung auf YouTube inkl. Borlabs Einrichtung

So wird Matomo rechtssicher i.S. der DSGVO

Im Vergleich zu Google Analytics ist es bei Matomo wirklich ein Kinderspiel, Rechtssicherheit herzustellen. Es sind lediglich drei einfache Schritte nötig, die sich binnen kürzester Zeit umsetzen lassen.

  1. IP-Anonymisierung: Ähnlich wie bei Google Analytics ist auch bei einem Einsatz von Matomo die IP-Adresse der Besucher zu anonymisieren. Diese geschieht relativ simpel direkt in den Einstellungen von Matomo unter Privatsphäre > Daten anonymisieren.
  2. Datenschutzerklärung: Selbstverständlich muss in der Datenschutzerklärung über den Einsatz von Matomo aufgeklärt werden. Datenschutz-Generatoren unterstützen dich hierbei.
  3. Opt-Out / Opt-In: Analog zu Google Analytics besteht die gleiche Problematik in Sachen Opt-Out bzw. Opt-In. Nochmal: Ein Opt-Out ist in jedem Fall Pflicht, beim Opt-In scheiden sich aktuell die Geister.
  4. Wahlweise Einsatz ohne Cookies: Matomo lässt sich ganz ohne Cookies nutzen. Wer das möchte, sollte nach dieser Anleitung vorgehen. Hier werden auch die Nachteile genauer beschrieben.

Schritt 6:

Papierkram erledigen

Richtig gelesen! 

Papierkram beleibt dir leider nicht erspart. Dank DSGVO hält sich dieser jedoch sehr in Grenzen. Immerhin gestattet diese AV-Verträge in digitaler Form.

Was es dennoch zu tun gibt, erfährst du jetzt.

Verzeichnis von Verarbeitungstätigkeiten

Artikel 30 DSGVO schreibt vor, dass ein Verzeichnis zu führen ist, in welchem alle Verfahren zu erfassen sind, die personenbezogene Daten verarbeiten.

Aus Absatz V ergibt sich, wer ein solches Verzeichnis zu führen hat: Jeder, der personenbezogenen Daten nicht nur gelegentlich verarbeitet.

Heißt im Umkehrschluss: Du als Webseitenbetreiber hast ein Verfahrensverzeichnis zu führen! Schließlich verarbeitest du personenbezogene Daten von jedem Besucher, was definitiv der Einstufung „regelmäßig“ entspricht. 

Zu führen ist dieses Verzeichnis in schriftlicher Form (Abs. III), wobei auch eine elektronische Form möglich ist. Außerdem ist das Verzeichnis auf Verlangen der Datenschutzbehörde vorzuzeigen (Abs. IV).

Der erste Absatz des Artikels regelt, welche Angaben ein Verzeichnis von Verarbeitungstätigkeiten zu enthalten hat. Das sind:

  • Name und Kontakt des Verantwortlichen
  • Zweck der Verarbeitung
  • Auf welche Personengruppen bezieht sich die Erhebung?
  • Welche Daten werden erhoben?
  • Wem werden die Daten weitergeleitet?
  • Werden die Daten an ein Drittland übermittelt?
  • Löschungsfristen
  • Beschreibung der Maßnahmen zu Herstellung der Datensicherheit

 

Keine Panik…

Das ganze Thema hört sich auf den ersten Blick deutlich komplexer an, als es letztendlich ist. Nachdem du das erste Verfahren erfasst hast, werden die anderen mit Sicherheit zum Selbstläufer.

Hier das Beispiel eines Eintrags, der die Verwendung von Google Analytics beschreibt.

  1. Verarbeiter: Der Webseitenbetreiber
  2. Verfahren: Erfassung von Webseitenbesuchern in einer Statistik
  3. Auftragsdatenverarbeiter: Google (AV-Vertrag unterzeichnet)
  4. Betroffene: Alle Webseitenbesucher, die nicht durch Opt-Out widersprechen
  5. Empfänger: Google
  6. Speicherdauer: 14 Monate
  7. Datensicherheit: Server durch Google gesichert (s. AV-Vertrag)
  8. Rechtmäßigkeit: Art. 6 lit. f DSGVO – berechtigtes Interesse

 

Einen solchen Eintrag in deinem Verzeichnis (ich nutze eine Excel-Tabelle) erstellst du nun für jedes Plugin, jedes Tool und jeden Prozess, der personenbezogene Daten erhebt und verarbeitet.

Verträge zur Auftragsverarbeitung

Den Begriff „Auftragsdatenverarbeiter“ hast du mit Sicherheit schon einmal gehört. Aber was ist das schon wieder? Was genau ist ein Auftragsdatenverarbeiter?

Definition: Auftragsverarbeitung

Immer dann, wenn personenbezogene Daten, die du erhebst, an einen Dritten weitergegeben werden, sind wir im Bereich der Auftragsdatenverarbeitung unterwegs. Die DSGVO spricht hier kurz von Auftragsverarbeitung und regelt alles Wichtige in Art. 28 DSGVO.

Zunächst klingt das Thema nicht sehr komplex, oder?

Ist es auch nicht!

Nur eben wieder eine kleine Unwegsamkeit auf deinem Weg zu rechtssicheren Webseite.

Du musst dir einzig und allein die Frage stellen: An welcher Stelle bekommen externe Datenverarbeiter die personenbezogenen Daten meiner Kunden?

Hast du eine abschließende Antwort auf diese Frage gefunden, dann schreibt die DSGVO vor, mit diesen Datenverarbeitern einen sogenannten Vertrag zur Auftragsverarbeitung (kurz AV-Vertrag) zu schließen.

Dieser Vertrag regelt genau:

  • Gegenstand und Dauer der Verarbeitung
  • Welche Daten erhoben werden
  • Pflichte und Rechten des Weisungsbefugten
  • Pflichte und Rechten des Verarbeiters
  • u. v. m.

 

Die klassischen AV-Verträge im Online-Bereich

Beim Begriff „Vertragsabschluss“ bekommen mit Sicherheit viele Leser sofort Herzklopfen und die Aufregung steigt.

Keine Panik!

Verträge zur Auftragsverarbeitung sind nicht wirklich ein Thema, das du fürchten musst. Die DSGVO erlaubt nämlich einen elektronischen Vertragsabschluss, den zwischenzeitlich die meisten Auftragsverarbeiter anbieten.

Dadurch lassen sich die Verträge binnen weniger Sekunden abschließen. 

Hier noch die klassischen Fälle, die Blogger und Webseitenbetreiber zum Abschluss eines AV-Vertrags zwingen:

  • Webhosting (s. Server Log Files)
  • Tracking-Tools (z.B. Google Analytics)
  • WordPress Plugins, die Daten wie IP-Adresse erheben
  • Buchhaltungssoftware, die Kundendaten verarbeitet
  • E-Mail-Marketing-Software (z.B. Mailchimp oder Klick-Tipp)

 

Deine Aufgabe an dieser Stelle lautet also: Analysiere deinen gesamten Geschäftsbetrieb und identifiziere Stellen, an denen personenbezogene Daten an externe Dienstleister weitergegeben werden. 

Mit diesen Dienstleistern ist im Anschluss ein AV-Vertrag zu schließen.

Das war’s! 

Schritt 7:

Rechtssichere Website Checkliste

Bilder sagen mehr als tausende Worte.

Stimmt!

Aus diesem Grund gibt es zum Abschluss des Beitrags eine Infografik, die alle Inhalte zusammenfasst und wiederholt.

Nutze die Infografik gerne auch auf deiner Webseite!

Nutze diese Infografik auf deiner Website!

</p><br /><br /><br /> <p><a href=’https://sebo-content.de/rechtssichere-webseite‘><img src=’https://sebo-content.de/wp-content/uploads/2020/02/Rechtssichere-Website-Checkliste-scaled.jpg‘ alt=’Rechtssichere Website Checkliste‘ 540px border=’0′ /></a></p><br /><br /><br /> <p>

Achtung: Einbindung nur mit unverändertem Code gestattet!

Schritt 8:

FAQ – Häufig gestellte Fragen

Hier findest du die häufigsten Fragen, die sich im Bereich Rechtssicherheit und Datenschutz auftun.

Ist eine Frage nicht dabei? 

Dann nutze gerne die Kommentarfunktion!

Benötigt jede Webseite ein Impressum?

Wahrscheinlich ja. Die Impressumspflicht wird in § 5 TMG und § 55 RStV geregelt. Aus beiden Vorschriften ergibt sich, dass eine Webseite dann ein Impressum benötigt, wenn hier:

  1. Geschäftsmäßige Online-Dienste angeboten werden, also jemand Geld mit einer Webseite verdient.
  2. Regelmäßig journalistisch-redaktionell Inhalte veröffentlicht werden.

 

Da einer der beiden Punkte auf wahrscheinlich jede Webseite zutreffen wird, ist die Veröffentlichung eines Impressums dringend empfohlen.

Ist ein SSL-Zertifikat Pflicht?

Ja. Der § 13 Abs. 7 TMG schreibt vor, dass jeder Seitenbetreiber im Rahmen seiner technischen Möglichkeiten sicherzustellen hat, dass kein unerlaubter Zugriff auf die Webseite und die hier verarbeitete Daten erfolgen kann.

Ist die Verwendung von Google Fonts rechtssicher?

Hierzu existiert bis heute keine abschließend gültige Rechtsmeinung, da bislang Gerichtsentscheidungen fehlen. Die Problematik bei der Nutzung von Google Fonts stellte die automatische Verbindung zu den Google-Servern beim Aufruf der Webseite dar. Im Rahmen des Downloads der Schriftarten wird im Gegenzug die IP-Adresse des Webseitenbesuchers an Google übermittelt.

Während sich viele Webseitenbetreiber auf Art. 6 Abs. 1 lit. f DSGVO – also das berechtige Interesse – berufen, widersprechen Juristen teilweise dieser Rechtfertigung, da Google Fonts in den meisten Fällen durch relativ einfache Schritte auf der eigenen Webseite eingebunden werden können. Dies würde eine Verbindung zu den Google Servern unnötig machen.

Es ist daher zu empfehlen, Google Fonts lokal einzubinden und die Verbindung zu Google Servern zu trennen, um datenschutzrechtlich auf der sicheren Seite zu sein.

Wie lässt sich WordPress datenschutzkonform nutzen?

Es sind diverse Maßnahmen notwendig, um WordPress an die aktuell gültigen Vorgaben der DSGVO anzupassen. Genauer sollten Datenerhebungen gestoppt werden, für die schlichtweg keine sinnvolle Rechtfertigung besteht. Folgende Maßnahmen sind zu treffen:

  1. IP-Anonymisierung der Kommentarfunktion
  2. Darstellung von Gravatar-Bildern verhindern
  3. Emojies entfernen
  4. Rechtssichere Social Sharing Buttons integrieren
  5. Plugins auf Datenerhebungen kontrollieren und, sofern nötig, deaktivieren

Was sagt der Datenschutz zum Einsatz von Cookies?

Die EU-Cookie-Richtlinie regelt den grundsätzlichen Umgang mit Cookie. Diese Richtlinie besagte jedoch auch, dass jedes einzelne Land durch entsprechende Gesetze den Umgang explizit zu regeln hat. Da eine solche Regelung bislang in Deutschland fehlt, gilt der § 15 Abs. 3 TMG. Dieser besagt, dass Besucher einer Webseite auf Cookies hingewiesen werden müssen und eine entsprechende Widerspruchslösung angeboten werden muss. 

Die zukünftig geplante e-Privacy EU-Verordnung soll später alles genau Regeln.

Problematisch ist vor allem der Einsatz von Tracking-Cookies. Mit einem Urteil im Jahr 2019 entschied der EuGH, dass Tracking-Cookies erst dann gesetzt werden dürfen, wenn Besucher einer Webseite diesen aktiv zustimmen. Da der BGH jedoch bislang noch keine Entscheidung hierzu getroffen hat, hat auch das EuGH-Urteil noch keinen verpflichtenden Charakter.

Übrigens: Ausgenommen aus der ganzen Problematik sind technisch notwendige Cookies.

Wie steht die DSGVO zum Einsatz von Google Analytics?

Grundsätzlich verbietet die DSGVO den Einsatz von Google Analytics nicht, erhöht allerdings die datenschutzrechtlichen Anforderungen des Tracking-Tools. Um Google Analytics rechtssicher nutzen zu können, sind folgende Schritte notwendig:

  1. Vertrag zu Auftragsdatenverarbeitung schließen
  2. IP-Adresse der Nutzer anonymisieren
  3. Aufbewahrungsdauer der Daten festlegen
  4. Universal Analytics und Audiences abstellen
  5. Datenschutzerklärung anpassen
  6. Out-Out oder Opt-In implementieren

 

Was ist ein Vertrag zu Auftragsverarbeitung?

Sobald personenbezogene Daten, die du erhebst, an einen externen Datenverarbeiter weitergegeben werden, ist ein Vertrag zur Auftragsverarbeitung erforderlich. Dieser Vertrag regelt Details zur Datenerhebung, sowie deine gesetzlichen Rechte und Pflichten und die des Datenverarbeiters. Heute werden diese Verträge meist online und elektronisch abgeschlossen. Verträge in Papierform kommen nur noch selten zum Einsatz.

Jetzt bist DU an der Reihe!

Wie hat dir dieser Guide gefallen? Welche Informationen haben deiner Meinung nach gefehlt? Was war gut, was war schlecht?

Ich freue mich sehr auf dein Feedback…

…und würde zudem gerne wissen, wie du die Themen Datenschutz und Rechtssicherheit auf deiner Webseite handhabst.

Ich freue mich auf deinen Kommentar! 

⚠️ Hinweis: In diesem Beitrag befinden sich Affiliate Links. Diese sind mit einem * gekennzeichnet. Solltest du das empfohlene Produkt über diesen Link kaufen, erhalte ich eine Provision. Für dich ändert sich jedoch nichts. Das Produkt wird also nicht teurer.

Diese Themen könnten dich ebenfalls interessieren…

WordPress installieren – die simple Mega-Anleitung 2020

Die Idee ist gefunden, der Plan entworfen und du bist voller Tatendrang dein Projekt endlich in die Realität umzusetzen. Der nächste wichtige Schritt: WordPress installieren! Mit dieser MEGA-Anleitung zeige ich dir wie du auch als absoluter Einsteiger und...

Eigenen Blog erstellen: Die ultimative Anleitung in 10 Schritten

Du willst endlich deinen eigenen Blog erstellen, weißt aber nicht so recht wie? Dann habe ich eine gute Nachricht für dich…  Ich zeige dir hier und jetzt die 10 einfachen und für JEDEN umsetzbaren Schritte, die auch du nutzen kannst, um noch heute mit deinem...

Fragen, Anregungen, Kritik? Gerne!

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht.

Pin It on Pinterest

Share This

Gefällt dir dieser Beitrag?

Teile ihn mit deinen Freunden!