Datenschutz-Grundverordnung (DSGVO) – Dein Online-Auftritt
Gestern habe ich hier auf meinem Blog einen ersten Überblick über die DSGVO gegeben. Heute soll es darum gehen, was Du insbesondere mit Blick auf Deine Website beachten solltest.
Zuvor noch ein kurzer, aber wichtiger Disclaimer:
Ich bin kein Jurist und kann mit diesem Blog-Beitrag auch keine Rechtsberatung leisten. Ich zeige Dir hier mein Verständnis der DSGVO und die aus meiner Sicht notwendigen Schritte auf. Diese erheben jedoch keinen Anspruch auf Vollständigkeit und ich kann hierfür auch keine Haftung übernehmen. Um sicherzustellen, dass für Deine spezielle Situation alles bedacht ist, kontaktiere bitte unbedingt einen Rechtsanwalt.
Webhosting
Viele Webhoster speichern Daten Deiner Website-Besucher, sobald diese Deine Website betreten. Insbesondere die IP-Adresse ist hierbei von Relevanz, denn diese wird z.B. in den Logfiles der Webhoster oder für Statistik-Zwecke gespeichert.
Du solltest daher Deinen Webhoster kontaktieren und nachfassen, welche Regelungen er bezüglich der Konformität mit der DSGVO getroffen hat: Gibt es die Möglichkeit, die Erfassung von IP-Adressen in den Logfiles zu unterbinden? Können Statistiken deaktiviert werden? Welche weiteren personenbezogenen Daten werden möglicherweise noch erfasst?
In Deine Datenschutzerklärung musst Du einen Passus mit aufnehmen, der darauf hinweist, welche Daten vom Webhoster erfasst werden
Außerdem solltest Du mit Deinem Webhoster einen Vertrag zur Auftragsdatenvereinbarung abschließen. Sollte Dein Webhoster einen solchen Vertrag nicht anbieten wäre das in meinen Augen ein sehr guter Grund, das Hosting zu wechseln.
Statistik-Tools und Tracking-Pixel
Statistiken sind für Website-Betreiber wichtige Steuerungs-Instrumente: Wieviele Besucher hat die Website? Welche Beiträge werden am häufigsten gelesen? Wie lange bleiben die Besucher im Schnitt auf meiner Website? All diese Informationen erhältst Du über Statistik-Tools.
Die wohl bekanntesten dieser Tools sind:
- Google Analytics
- Piwik (jetzt: Matomo)
- Jetpack-Statistiken
- Statify
Aber auch Tracking-Pixel wie der weit verbreitete Facebook-Pixel fallen darunter. Alles, was Dir die Möglichkeit gibt zu sehen, wie Besucher sich auf Deiner Website verhalten ist generell ein Fall für den Datenschutz.
Das oben erwähnte Statify ist übrigens eine Besonderheit unter den Statistik-Tools, denn es speichert tatsächlich keine personenbezogenen Daten und ist ohne zusätzliche Maßnahmen datenschutzkonform
Ganz wichtig für den Einsatz von Statistik-Tools ist, dass die IP-Adressen der Besucher anonymisiert werden müssen. Wenn Du für Google Analytics ein Plugin verwendest kannst Du das meist über die Optionen des Plugins festlegen ( wie hier in meinem Beitrag über Google Analyticator erklärt ).
Wenn Du den Tracking-Code für Google Analytics händisch einpflegst erreichst Du die Anonymisierung der IP-Adresse, indem Du
ga(’set‘, ‚anonymizeIp‘, true);
vor der Zeile
ga(’send‘, ‚pageview‘);
einfügst.
Für Matomo (ehemals Piwik) ist die Anonymisierung der IP-Adresse bereits als Standard gesetzt.
In Jetpack kann nach meinem jetzigen Kenntnisstand die Anonymisierung der IP-Adressen nicht eingerichtet werden, weswegen mit Blick auf die DSGVO vom Einsatz der Jetpack-Statistikfunktion abgeraten werden muss.
Selbstverständlich gehört auch für den Einsatz von Statistik-Tools und Tracking-Pixeln ein entsprechender Hinweis in die Datenschutzerklärung. Wichtig ist hierbei auch, dass die Besucher Deiner Website die Möglichkeit haben, dem Tracking explizit zu widersprechen (sogenanntes OptOut).
Hier wird erklärt, wie das für Google Analytics eingerichtet werden kann – Der Beitrag ist zwar von 2013, aber nach wie vor aktuell.
Und hier findest Du die Erläuterung zum OptOut für Matomo (Piwik)
Wenn Du Tracking-Pixel wie den Facebook-Pixel im Einsatz hast musst Du mit dem Anbieter des jeweiligen Pixels abklären, wie ein OptOut dazu auf Deiner Website möglich ist. Sollte es eine solche OptOut-Möglichkeit nicht geben solltest Du aus meiner Sicht vom Einsatz des Tracking-Pixels absehen.
Was mir zum Zeitpunkt des Erscheinens dieses Blogartikels noch nicht ganz klar ist: Alle Statistik-Tools erfassen bereits beim Betreten der Website Daten von Deinen Besuchern. Daten werden also bereits übermittelt, bevor Deine Besucher die Möglichkeit haben, vom OptOut Gebrauch zu machen.
Eigentlich müsste die Option zum OptOut also noch VOR Betreten der Website aufscheinen – mir ist akuell aber noch keine Möglichkeit bekannt, dies technisch umzusetzen.
Und last not least müssen auch hier wieder Verträge zur Auftragsdatenverarbeitung abgeschlossen werden – Ausnahme hierbei ist Matomo (Piwik), da Matomo die Daten auf Deinem eigenen Webspace speichert und nicht auslagert.
Morgen beschäftige ich mich in dieser kleinen Artikel-Serie mit Plugins und was hier bezüglich DSGVO zu beachten ist.
Teil 1: DSGVO – Was ist jetzt zu tun?
Teil 3: DSGVO – Was hat das mit Plugins zu tun?
Teil 4: DSGVO – Plugins Teil 2
Beitragsbild:
©Onypix – Fotolia.de