In einer Art künstlerischer Recherche habe ich mich dem EU-DSGVO – dem europäischen Datenschutzrecht, das am 25. Mai in Kraft trat – genähert. Das DSGVO gilt für alle – nicht nur für die big player. Die Beschäftigung mit dem Thema führte mich auf eine Reise von “Ich habe keine Ahnung was das ist und was ich tun muss. Trifft das überhaupt auf mich zu?” bis hin zu: “Ok, es gibt eine Menge zu tun, aber es ist machbar und durchaus sinnvoll.”

DSGVO-Tipps für Künstler*innen und kleine WordPress-Websites

Auch wenn auf viele kleine Unternehmungen, Freiberufler’innen und natürlich auch Künstler*innen durch die neue Gesetzeslage eine Menge Arbeit zukommt: es macht wirklich Sinn. Welche Daten schon bei einer Kleinstwebsite oft automatisch gesammelt werden, ist definitiv nicht nur eine Überlegung wert. Deshalb habe ich mich entschieden, auf User-Tracking zu verzichten und auf meiner Website nach Möglichkeit gar keine Daten zu sammeln – außer denen, die quasi zum Grundgerüst des Internet gehören oder aus anderen Gründen wichtig sind:

  • IP-Adressen von Besucher*innen werden in den Logfiles auf dem Server gesammelt. Ein ADV (Vertrag zur Auftragsdatenverarbeitung, auch AV) mit dem Webhoster ist erforderlich. Viele Webhoster bieten solche ADVs bereits zum Download an, manche arbeiten noch daran, sollten diese aber bis zum 25. Mai bereit stellen. Bitte dranbleiben und ggf. nachhaken!
  • Kontaktformulare übertragen personenbezogene Daten. Es gilt der Grundsatz der Datensparsamkeit, d.h. die Emailadresse ist natürlich erforderlich, um mit der betreffenden Person Kontakt aufnehmen zu können. Mehr Pflichtfelder sind eigentlich nicht nötig.
  • Damit die Daten beim Versand und unterwegs nicht von Unbefugten abgegriffen werden können, ist eine Verschlüsselung zumindest auf der Seite mit dem Formular unbedingt erforderlich. Das lässt sich relativ einfach mit Hilfe eines SSL/TLS-Zertifikats umsetzen. Ich nutze das kostenlose Let’s Encrypt-Zertifikat, das inzwischen die meisten Webhoster anbieten.
  • Ein ganz wichtiger Punkt – auch für Kleinstwebsites – ist die Datenschutzerklärung. Ich habe meine mit dem Datenschutzgenerator von Active Mind erstellt. Beim DSGVO geht es allerdings nicht nur darum, korrekte Formulierungen zu verwenden, sondern um das Verständnis (und die erforderlichen Maßnahmen), welche personenbezogenen Daten von wem und zu welchem Zweck gesammelt und ggf. aufbewahrt werden – und die Nutzer über ihre Rechte (Auskunft, Berichtigung und Löschung) zu informieren.
  • Cookies: sobald eine Website Cookies setzt, müssen die Nutzer darüber aufgeklärt werden (z.B. durch das Plugin “Cookie-Notice“), einen Text und weitere wichtige Hinweise zum Thema bietet erecht24 an. WordPress setzt – soweit ich das feststellen kann – keine Cookies, aber evtl. manche Plugins. Für meine Website habe ich alle nicht erforderlichen Plugins entfernt und das Setzen von Cookies geprüft. Das geht z.B. mit Firefox (zur Video-Anleitung: Firefox Cookies anzeigen). Da offenbar keinerlei Cookies gesetzt werden, brauche ich den Hinweis nicht.

Bei näherer Betrachtung ist das Thema EU-DSGVO auch längst nicht so trocken, wie es anfänglich vielleicht erscheint:

Hilfreiche Informationen zur EU-DSGVO

  • Die erstaunlich unterhaltsame Vorlesung der IT-Rechtsexpertin Carola Sieling zum Thema EU-DSGVO auf YouTube klärt verständlich über den Sinn der EU-DSGVO auf und erläutert Beispiele anschaulich.
  • Der Original-Gesetzestext. Ok, “unterhaltsam” trifft darauf nicht wirklich zu 😉
  • Sehr aufschlußreich fand ich “Democracy – im Rausch der Daten“: eine Dokumentation / filmische Begleitung von Abgeordneten durch den Abstimmungsprozesses bis zur Verabschiedung des Gesetzes in Brüssel. Die verschiedenen Interessen der Akteure werden beleuchtet, wie auch die fast schon an House-of-Cards erinnernden Strukturen des Parlaments und der Lobbyarbeit.
  • Da es beim DSGVO nicht nur um Websites, sondern auch um die internen Prozesse der Verarbeitung, Speicherung und ggf. Weitergabe personenbezogener Daten geht, lässt sich das Thema nicht ganz so einfach abhaken. Zum Thema Verfahrensverzeichnis und Dokumentation bietet der Datenschutz-Kompass eine Reihe äußerst hilfreicher Videos!

Wichtig: Ich bin keine Rechtsanwältin und daher weder Willens, noch in der Lage, rechtsgültige Ratschläge oder Hinweise zu geben! Bitte informieren Sie sich selbst so umfassend wie möglich, holen Sie Rechtsbeistand ein und Hilfe bei der Umsetzung!


DSGVO-ToDos Sammelsurium:

Die folgende Liste soll eher als Gedächtnisstürze dienen. Es kann durchaus sein, dass ich etwas falsch verstanden habe, doppelte Einträge vorkommen oder sich andere Fehler eingeschlichen haben. Ich bemühe mich, meinen aktuellen Wissenstand korrekt wieder zu geben, aber wie gesagt: ich bin keine Rechtsanwältin und befasse mich mit dem Thema aus der Sicht eines rechtlichen Laien. Und falls sich hier Rechtsanwält*innen herumtreiben sollten: ich bin für Tipps immer dankbar!

  • Beim Einsatz eines Kontaktformulars (oder sonstige Formulare) auf der Website, müssen die Daten zwingend verschlüsselt übertragen werden (SSL/TLS – https:// statt http://). am Besten gleich die ganze Website verschlüsseln (z.B. mit dem kostenlosen Let’s Encrypt -Zertifikat, das inzwischen die meisten Webhoster anbieten)
  • Wenn Zeit oder Budget für die Verschlüsselung nicht reichen, das Kontaktformular komplett entfernen und durch die schlichte Angabe der Kontakt-Emailadresse ersetzen. Sollte helfen, weil dann keine unverschlüsselten Daten über den Browser verschickt werden, sondern direkt aus dem Email-Client des Nutzers.
  • Einverständnis zur Verarbeitung und Übertragung personenbezogener Daten an jedem Formular anbringen und das Einverständnis dokumentieren (z.B. den Inhalt dieser Checkbox / Consent-Box in der generierten Mail mit übertragen.
  • Kommentarfunktion: da die IP-Adresse der Kommentierenden auf dem Server gespeichert wird, habe ich die Kommentarfunktion deaktiviert.
  • Darauf achten, dass Formulare keine Daten an andere Server übertragen. Sonst ist ein ADV erforderlich. Falls das Unternehmen in den USA sitzt, muss es Safe Harbour zertifiziert sein (WordPress-Plugins wie Contact Form 7 speichern meines Wissens keine Daten)
  • Cookies: Cookie-Opt-Out ermöglichen, Link zur Datenschutzbelehrung, Zustimmung einholen. Allerdings scheinen Cookies vom DSGVO nicht so stark betroffen zu sein, da die ePrivacy-Verordnung erst im kommenden Jahr in Kraft tritt.
  • Für Website ist ein rechtskonformes Impressum vorgeschrieben. Prüfen, ob alle Daten vollständig und korrekt sind
  • Ein zur Website passende DSGVO-konforme Datenschutzerklärung scheint äußerst wichtig zu sein! Ich habe einen kostenlosen Generator gefunden, weiß aber nicht, ob Websitebetreiber*innn dadurch wirklich besser vor Abmahnungen geschützt sind: https://www.activemind.de/datenschutz/datenschutzhinweis-generator/
  • Die Datenschutzerklärung als sparate Seite einrichten und leicht zugänglich machen (max. 2 Klicks). Irgendwo habe ich gelesen, dass man die Datenschutzerklärung besser auf noindex setzen sollte, so dass sie nicht in der Suche bei den Suchmaschinen erscheint – und dadurch für Abmahnanwälte nicht so leicht zu finden ist.
  • Die Website auf Plugins, Webfonts etc. prüfen, die Nutzerdaten übertragen (z.B. Google Fonts, Social Media Plugins (Facebook-Like!)) und diese entfernen. Mindestens die entsprechende Passage in der Datenschutzerklärung einfügen.
  • Wichtig, Google Analytics:
    • da ich ohnehin keine Zeit habe, Analytics für mine Website wirklich zu nutzen, habe ich das entsprechende Plugin gelöscht – und gleich auch noch das zugehörige Google Analytics-Konto.
    • Wenn ich Google Analytics weiterhin benutzen möchte, muss ich mit Google einen schriftlichen Vertrag zur Auftragsdatenverarbeitung (ADV bzw. AV) abschließen (ab 25. Mai ist das auch elektronisch möglich) und einen entsprechenden Passus in der Datenschutzerklärung hinzufügen und die IP-Adresse anonymisieren.
  • YouTube-Videos:nur im erweiterten Datenschutzmodus einbinden! Auch hier den passenden Datenschutz-Passus in der Datenschutzerklärung einfügen.
  • Ob und welche personenbezogenen Daten bei Google Maps übertragen werden, ist unklar und daher nicht ratsam. Falls doch unbedingt eine Map in die Website muss, mindestens den entsprechenden Passus in der Datenschutz-Erklärung einfügen und vielleicht OpenStreetMap o.ä. nutzen (recherchieren, ob hier Daten übertragen, gespeichert und/oder verarbeitet werden.
  • ADV mit dem Webhoster schliessen.
  • ADV mit allen Dienstleistern schliessen, die die Möglichkeit haben, personenbezogene Daten einzusehen – das kann z.B. auch die Buchhaltungssoftware sein.. Den Mustertext eines solchen AV/ADV gibt es z.B. beim Landesdatenamt Bayern
  • ADV mit Cloud-Diensten (Dropbox, Google Drive etc.)? – Wer muss auf wen zugehen und den ADV anfordern/bereitstellen?
  • Recht auf Datensicherheit: Backups, besonders bei personenbezogenen Daten müssen die Backups verschlüsselt gespeichert werden.
  • Transparenz: Nutzer muss spätestens nach 1 Monat informiert werden, wenn Daten (z.B. für Werbezwecke) gespeichert und verarbeitet werden
  • Datenbank: gespeicherte IP-Adressen und andere personenbezogene Daten pseudonymisieren und evtl. sogar löschen? (sofern nicht Aufbewahrungspflichten dagegen sprechen oder die Daten zur Erfüllung von Verträgen o.ä. erforderlich sind)
  • Bin ich Dienstleisterin für andere? Dann ADV abschliessen.

Diese Tipps erheben keinen Anspruch auf Richtigkeit oder Vollständigkeit und ersetzen keine professionelle Rechtsberatung!


DSGVO / GDPR WordPress-Plugins:

(Das DSGVO heisst auf Englisch GDPR, auf Spanisch RGPD)

  • Es klingt zu schön um wahr zu sein: das österreichisch-deutsche Plugin für WordPress setzt so gut wie alle Anforderungen des DSGVO um – inkl. Verfahrensverzeichnis und einer anpassbaren Vorlage für die Datenschutzerklärung, entwickelt gemeinsam mit Rechtsanwälten… WP DSGVO Tools. Ich habe es inzwischen in der kostenlosen und Premium-Version getestet (19 € pro Jahr inkl. WooCommerce Integration) und bin begeistert. Natürlich sind auch die Entwickler von WP DSGVO Tools noch nicht mit der Programmierung fertig, aber das Plugin macht auf mich den solidesten Eindruck von allen DSGVO-Plugins, mit denen ich bisher zu tun hatte.
  • Alternativ vielleicht mal das GDPR-Framework testen. Klingt auch gut, aber ich habe es noch nicht ausprobiert.