Der Weg zu meiner großen Hassliebe DSGVO

Tipps und Erfahrungen zum Einstieg in das Thema DSGVO

Den ersten Schritt auf dem Weg zum Thema Datenschutzgrundverordnung (DSGVO)* habe ich als Projektmanagerin in einem Verlag gemacht. Ich wusste, wir müssen unsere Datenschutzerklärung anpassen lassen, beim Datentracking aufpassen und brauchen so ein „Cookie-Banner“ (Cookie-Consent). Für mich hieß das: Delegieren und vermitteln zwischen Datenschutzverantwortlichem des Unternehmens, Marketing und externen Entwicklern. Punkt.

Was war das einfach …

Von der Blogleserin zur Web-Content-Managerin

Als ich meine erste Website mit WordPress erstellt habe, änderte sich das schlagartig. Ich fühlte mich erschlagen von immer neuen Begriffen, die ich nachschlagen und über die ich mich informieren musste. Da war von IP-Anonymisierung, Cookie-Consent, lokaler Einbindung, Auftragsdatenverarbeitung und vielen mehr die Rede.

Wordcloud DSGVO

Gleichzeitig gab es Empfehlungen für unzählige Plugins, die bei der Datenschutzthematik helfen sollten. Plugins schienen die Lösung aller Probleme. Fast. Denn gleichzeitig wurde ich immer wieder gewarnt, nicht zu viele Plugins zu installieren, damit die Website nicht zu schwerfällig wird. Außerdem kann ein gutes Plugin Fluch und Segen zugleich sein. Es ermöglicht das datenschutzkonforme Einbinden bestimmter Tools, setzt jedoch selbst Cookies, die man eigentlich vermeiden möchte.

Aber alles Heulen und die Hände über dem Kopf zusammenschlagen half nichts. Die Website stand, jetzt musste sie datenschutzrechtlich abgesichert werden. Somit las ich mich quer durch Blogs und Seiten von Fachanwälten. Ich unterhielt mich mit Experten und qualifizierte mich schließlich zur Web-Content-Managerin.

Schlachtplan DSGVO

Währenddessen machte ich mir einen Schlachtplan. Ich stellte mir die folgenden Fragen und suchte Schritt für Schritt nach Lösungen:

1. Was soll die Seite können?
2. Was muss ich bei den einzelnen Funktionen beachten?
3. Wie setze ich die Anforderungen datenschutzkonform um? Welche Plugins kann ich dafür nutzen?
4. Wie muss der sog. Cookie-Consent aussehen?

Der BGH hat Ende Mai 2020 bestätigt, was der EuGH 2018 bereits beschlossen hatte. Nutzer müssen aktiv in die Verwendung von Cookies einwilligen. Der Hinweis „Wir verwenden Cookies“ mit einem „OK“-Button oder gar die stillschweigende Zustimmung durch Weiterscrollen reicht nicht mehr aus.

Auch bereits gesetzte Zustimmungshäkchen darf es nicht mehr geben.

Kurzum: Der Seitenbesucher muss über die von mir verwendeten Cookies informiert werden und er muss auswählen können, mit welchen er sich einverstanden erklärt. Anschließend muss er der Verwendung aktiv zustimmen, bevor ein Cookie gesetzt wird.

 Bild Borlabs-Cookies-Consent

Allerdings definierte das Gerichtsurteil nicht, welche Cookies genau betroffen sind. Ich habe mich entschlossen, mich der vorherrschenden Meinung anzuschließen. Nutzer müssen lediglich dem Setzen von technisch nicht notwenigen Cookies zustimmen. Das betrifft vor allem das Tracking, z. B. durch Google Analytics.

5. Wie erstelle ich eine Datenschutzerklärung?

Ich hatte gelesen, es gäbe eine Menge kostenloser Generatoren, mit denen ich meine Datenschutzerklärung erzeugen könne. Gesagt, getan. Persönliche Daten eingeben, auf der Website verwendete Tools, Plugins etc. anklicken – und schon hatte ich das erste Problem. Das Erstellen des Passus zu Google Analytics war nur in der kostenpflichtigen Variante erhältlich. Super, dachte ich. Und nun?

Der nächste Generator erstellte mir den passenden Absatz kostenlos. Allerdings nicht, ohne dass ich auch hier meine persönlichen Daten eingeben und dem Erstellen grundlegender Passagen zustimmen musste. Am Ende hatte ich eine zweite Datenschutzerklärung.

Sie ahnen es vielleicht bereits. Ja, auch in dieser Erklärung fehlte wieder etwas. Auf zu Generator Nummer drei.*

Bei dem Versuch, die Datenschutzbestimmungen korrekt umzusetzen, hatte ich also meine eigenen personenbezogenen Daten auf drei Websites hinterlassen.

Okay, drei Datenschutzerklärungen zusammen zu kopieren ist kein Problem. Weit gefehlt. Denn das Kopieren von Text aus Word in WordPress kann zu äußerst gruseligen Formatierungen führen. Also nimmt man den Umweg über einen Editor und kopiert den Text von dort in WordPress. Die Folge: Sämtliche Formatierungen der Datenschutzerklärung, einer sehr langen Erklärung, sind weg. Absätze, Hervorhebungen – alles weg.

Letzte Option HTML. Sisyphusarbeit und für jemanden, der noch nie mit HTML gearbeitet hat, nicht zu empfehlen. Dann lieber über den Editor und händisch Absätze, Fettungen, Schriftgröße etc. anpassen. Ich stellte mich Sisyphus, da wir schon Bekanntschaft gemacht hatten. Und siegte.

Fertig!

So dachte ich.

Und dann kam das Verfahrensverzeichnis

Denn plötzlich kamen mir die Begriffe „Auftragsdatenverarbeitung“ und „Verfahrensverzeichnis“ unter.

Einen Auftragsdatenverarbeitungsvertrag (ADV/AV) muss laut DSGVO mit jedem geschlossen werden, der irgendwie an der Verarbeitung personenbezogener Kundendaten beteiligt ist.

In meinem Fall waren das der Hosting-Provider und Google Analytics. Sobald Sie einen Shop betreiben, Newsletter versenden etc. kann sich die Zahl der Unternehmen, mit denen Sie einen AV schließen müssen, sehr schnell vervielfachen.

Die meisten Unternehmen verfügen über Vorlagen für einen solchen Vertrag, den man auch online abschließen kann.

Bei Google Analytics schließt man den Vertrag, wenn man sein Konto einrichtet, mit einem Klick.

Mit E-Mail-Anbietern entfällt der Vertrag, da diese Dienste laut Telekommunikationsgesetz nur für die Übermittlung zuständig sind. Für die Sicherheit ist der Übermittler verantwortlich.

In einem Verfahrensverzeichnis werden alle Wege, die Kundendaten vom Kommentarfeld bis zum Steuerberater nehmen, detailliert beschrieben. Hier finden Sie eine Vorlage für ein Verfahrensverzeichnis.

Wenn Sie die Datei öffnen: Erschrecken ist erlaubt. Ich tat es auch. Aber es nützt nichts. Es ist Pflicht.

Wie die Liebe zum Hass kam

Nach dieser Tortur wusste ich: Die DSGVO bedeutet Aufwand. Sie bedeutet mehr Aufwand als früher bei der Realisierung von Websites und verpflichtet zum Informieren, um up to date zu bleiben. Sie erfordert Recherche und Aufmerksamkeit, denn ein Nichtbeachten kann empfindliche Strafen nach sich ziehen.

Doch letztendlich hatte ich nicht nur etwas über die DSGVO für meinen Job gelernt. Mir sind die Wege bewusstgeworden, die meine Daten im Netz nehmen. Ich habe verstanden, wo und wie ich Spuren hinterlasse. Und ich habe gesehen, wer was wie mit meinen Daten machen kann.

Gerade auch das Anlegen eines Verfahrensverzeichnisses führte mir detailliert vor Augen, welche Kanäle personenbezogene Daten durchlaufen. Und welche Gefahren an den verschiedenen Stationen lauern. Das Verzeichnis erinnerte mich an das Gebot der Datensparsamkeit:

So wenig wie möglich und nur so viel wie nötig.

So wurde aus dem Hass auch Liebe. Denn die DSGVO schiebt Unternehmen nach und nach einen Riegel vor, meine und Ihre Daten ungefragt zu verarbeiten.

Mein Fazit

Die DSGVO ist noch lange nicht perfekt und sollte sich meiner Meinung nach vermehrt mit Großkonzernen wie Google auseinandersetzen, aber sie ist ein guter Anfang.


Meine Empfehlungen

Zu guter Letzt meine Tipps zu zwei Plugins, die mir das Leben hinsichtlich datenschutzkonformem Umgang mit Social-Media-Buttons und dem Cookie-Consent erleichtern.

Borlabs Cookie

Borlabs Cookie ist ein kostenpflichtiges Plugin. Ich persönlich halte es jedoch für eine gute Investition. Denn es erfüllt zwei Funktionen auf einmal.

Erstens ermöglicht es das Erstellen eines Cookie-Consent gemäß allen gesetzlichen Regelungen. Es lassen sich damit Tracking-Tools einfach einbinden, ohne in den Code der Seite eingreifen zu müssen. Die Gestaltung der Cookie-Consent-Oberfläche lässt dabei fast keine Wünsche offen. Das Plugin ist allerdings für Anfänger nicht ganz einfach zu bedienen. Man muss sich damit auseinandersetzen.

Zweitens ist die sog. Zwei-Klick-Lösung für das Einbinden von YouTube-Videos integriert. D. h. Nutzerdaten werden erst an YouTube gesendet, nachdem der Nutzer dies ausdrücklich erlaubt hat und nicht sofort beim Aufrufen der Website.

YouTube-Zwei-Klick-Lösung-Borlabs-Cookie

Shariff Wrapper

Zur Einbindung von Social-Media-Teilen-Buttons empfehle ich die Nutzung des Plugins Shariff Wrapper. Dadurch wird auch hier erst nach dem Klick auf den jeweiligen Button die Verbindung mit dem gewünschten sozialen Netzwerk hergestellt.

Social-Media-Button

Die Bedienung ist einfach. Das einzige Manko ist die Nutzung der Statistik. Eine Auswertung für Facebook ist nur möglich, wenn man eine App-ID und einen App-Geheimcode von der Facebook Entwicklerkonsole abruft. Umständlich. Ich habe die Statistik daher bisher nur einmal eingesetzt.

Twitter liefert ebenfalls nur Statistikzahlen, wenn man über einen Twitter-Account verfügt.

Ich bin weder Juristin noch Datenschutzexpertin, auch wenn ich mich intensiv mit dem Thema auseinandersetze. Daher kann ich keine Haftung für meine Empfehlungen und Tipps übernehmen. Lassen Sie sich ggf. von einem Fachanwalt beraten.

*Nutzen Sie die kostenpflichtige Variante für umfangreiche Websites, wenn Sie einen Shop u.Ä. betreiben. Und scheuen Sie nicht die Kosten, um die Erklärung anwaltlich überprüfen zu lassen.