Die EU-DSGVO – Versuch einer Checkliste mit umzusetzenden Punkten

Wer Betreiber einer Webseite oder auch nur eines Blogs ist, kann in den letzten Wochen nicht um das Thema DSGVO herumgekommen sein. Es scheint kein anderes Thema mehr zu geben, dabei ist vieles in der DSGVO nicht mal neu!

Ich persönlich finde es gut, dass der Datenschutz dadurch eine ihm gebührende Aufmerksamkeit erhält. Allerdings, und hier setzen meine ganz persönlichen Kritikpunkte an: die „Großen“ haben genug Power, um sich unliebsamen Regelungen zu entziehen (berechtigtes wirtschaftliches Interesse) oder Anwaltskanzleien, mit denen sich die Kläger erstmal herumärgern dürfen. Siehe Facebook und Cambridge Analytica (im Gegensatz zu uns EU-Hanseln hat Mr. Sugarmountain Jahre für die Umsetzung von Datenschutzregeln angesetzt), siehe Deutsche Post, Einwohnermeldeämter siehe, siehe, siehe …

Die „Kleinen“ sind hier größtenteils Versuchskaninchen. Vieles in der DSGVO ist sprachlich ja eher weit gefaßt und abstrakt gehalten. Wie diese sprachlich schwammigen Verordnungen rechtssicher in der Technikwelt umzusetzen sind, weiß vor dem 26. Mai keiner. Der in dieser Hinsicht für mehr Klarheit sorgende Bereich, die neu gefasste e-privacy Verordnung, ist ja leider noch in der Überarbeitung und wird getrennt zur DSGVO auf die Menschheit losgelassen. Inwieweit dann diese oder jene Formulierung in der Datenschutzerklärung (die bis auf Abmahnanwälte und Nerds von niemandem sonst gelesen wird) Bestand hat, klären dann Gerichte.
Und natürlich verdienen auch schon eine ganze Menge Leute an diesem Thema. Gegen Geld verdienen an sich ist nichts einzuwenden, aber wie das immer so ist: Die Qualität der kostenpflichtigen Hilfen weist eine hohe Bandbreite auf. Bei einigen „Angeboten“ kommt schon ein, sagen wir, Geschmäckle auf.
Springt daher bloß nicht auf den Panikzug auf. Bis zum 26. Mai ist noch etwas Zeit und bei vielen Dingen liegt es auch gar nicht in eurer Hand (siehe AV Vertrag mit Hostern, Newsletteranbietern, Plugin-Herstellern etc.).
Ich für meinen Teil lasse es ruhig angehen. Ich trage alle wichtigen Punkte zusammen und arbeite die Schritt für Schritt bei meinen Webseiten ab. Hin und wieder veröffentliche ich dann auch einen Artikel auf diesem Blog hier.

Dann fangen wir mal an. Das geht kunterbunt durch die Botanik und umfasst alle Eventualitäten. Dabei sollte klar sein, das ihr z.B. Dinge, die euch nicht betreffen – eben auch nicht umsetzen müsst!
Ich möchte vorab darüber informieren, dass ich versuche, diese Liste stetig zu aktualisieren. Ihr dürft mir auch gern per Kommentar oder Kontaktformular etwas einreichen.

Und wie immer an solchen Stellen: Ich bin kein Experte für Datenschutzrecht und sowieso kein Jurist. Ich gebe keine Rechtsberatung, sondern eine Einschätzung der Sachlage aus meinem Laienverständnis heraus.

DSGVO – abzuarbeitende Punkte

  • Analyse, an welcher Stelle man welche Daten anderer Personen erhebt. Alle anderen Punkte ergeben sich daraus.
  • Vertrag zur Auftragsverarbeitung mit Webhoster und anderen Dienstleistern abschließen
  • Vertrag zur Auftragsverarbeitung mit Newsletteranbieter (Mailchimp, Getresponse, AWeber etc.) abschließen.
  • Vertrag zur Auftragsverarbeitung mit Google Ireland betreffs Google Analytics. Auf Anonymisierung (Kürzung der IP Adressen) achten.
  • Datenschutzerklärung anpassen (ein leichtfertig dahingeschriebener Punkt, der es aber in sich hat) und zur Sicherheit alles auflisten, was man auch nur irgendwie mit Nutzerdaten auf der Webseite macht.
  • Verzeichnis zur Datenhaltung und -verarbeitung anlegen. Muss nicht öffentlich sein, aber auf Verlangen der zuständigen Behörden vorgelegt werden.
  • Dienste entkoppeln. Zum Beispiel: keine Preisgabe der Email-Adresse für ein Freebie und zack, ist man im Newsletterverzeichnis. Und genau wegen so eines Gebahren finde ich die DSGVO gut und dass sich gewisse Leute ins Hemd scheißen. Entschuldigt die drastischen Worte.
  • Gravatare und Emojis bei WordPress deaktivieren.
  • Plugins und das Theme überprüfen, ob und in welcher Form sie „nach Hause telefonieren“. Entweder gegen Alternative austauschen oder durch Einstellungsänderungen DSGVO-kompatibel machen.
  • Das Laden von extern gehostenen Quellen wie Google Maps, Youtube Videos, Google Webfonts, Fontawesome, Bootstrap CSS, JavaScript Bibliotheken muss auf den Prüfstand.
  • Der Facebook Like Button war für deutsches Datenschutzrecht schon immer ein NoGo. Daran hat sich nichts geändert.
  • Datenminimierung. Nur die Daten erfassen, die für den Prozess wirklich erforderlich sind. Betrifft Kommentarboxen (!) und Kontaktformulare sowieso.
  • SSL Verschlüsselung für Webseiten einrichten, wo persönliche Daten übermittelt werden. Und bevor ihr anfangt zu zählen und herumzudeuteln: einfach SSL einrichten! Es gibt 2018 keinen Grund mehr, eine Webseite ohne SSL zu betreiben.
  • Den Nutzer informieren, welche seiner Daten wie und wo gespeichert werden und was mit denen passiert (bspw. Kommentardaten).
  • Den Nutzer um Einwilligung bitten, dass man z.B. sein Kommentar speichert (sonst könnte man ihn ja nicht wieder ausgeben). Dies soll über eine Checkbox (!) erfolgen, wo er nochmal zur Anerkennung der Datenschutzerklärung gezwungen wird. Alles Schwachsinn hoch drei und die Einen sagen so und die Anderen so. Mehrheitlich tendiert man aber wohl dazu, das über diese Checkbox zu lösen.

Ein betrüblicher aber zu erwartender Nebeneffekt des DSGVO Panikzuges ist der Umstand, dass viele kleine Webseitenbetreiber jetzt einfach nach „einem Plugin suchen, das ihre Webseite datenschutzsicher macht“. Wenn man nur einmal durch die (sicher noch erweiterbare) Checkliste geht, kann man erahnen, dass es dieses Plugin so nicht geben kann.

Datenschutz ist ein Prozess – kein Softwarefehler, den man durch ein Update behebt.

Am Anfang steht da wirklich die Analyse, an welchen Stellen man welche Daten erhebt. Und bei der Gelegenheit kann man gleich mal prüfen, ob man Optimierungen in der Prozesskette vornehmen kann. Datenschutz nur als das Setzen von Einstellungs-Häkchen in einem Programm zu betrachten, greift also zu kurz. Aber so ist das, wenn man den ehrenamtlichen Webmaster des Dackelzüchtervereins Musterhausen mit so einem bürokratischen Monstrum überrollt.

Kommentare sind geschlossen.