In unserem ersten Beitrag zur DSGVO haben wir euch die Grundlagen rund um die Datenschutz-Grundverordnung erklärt. Was das aber nun für WebsitebetreiberInnen, UserInnen, Unternehmen und KonsumentInnen bedeutet, ist für viele noch nicht so wirklich fassbar. In unserem zweiten Blogbeitrag haben wir die Facebook Live Session zum Thema DSGVO Q&A mit Dr. Thomas Schwenke zusammengefasst, in der sehr viele Fragen rund um das Thema Datenschutz beantwortet wurden. Nun wollen wir anwendungsbezogen in die Thematik eintauchen – und euch vorstellen, wie wir MOKS DSGVO-fit machen.

— DISCLAIMER — DISCLAIMER — DISCLAIMER — DISCLAIMER — DISCLAIMER —

Es handelt sich hier um keine Anleitung, die 1:1 für alle anderen Websites übernommen werden kann. Wir wollen euch damit zeigen, welche Aspekte bedacht und wie das Ganze angegangen werden kann. Dass wir nicht perfekt sind, wissen wir. Auf eure Hinweise & Ergänzungen freuen wir uns.

Los geht’s.

Was gibt es also zu beachten? Für Nicht-JuristInnen und Nicht-TechnikerInnen ist es gar nicht so einfach, in die Marterie einzutauchen. Stark vereinfacht gesagt gibt es zwei Baustellen: Erstens brauchen wir eine Datenschutzerklärung auf unserer Website. Zweitens müssen wir dazu wissen, welche Daten wir überhaupt wofür sammeln. 

Step 1:  Datensammlung

Zuerst muss man sich klar machen, wo man überhaupt welche Daten einsammelt. Am besten ist es, sich dafür eine Liste zu erstellen. Für alle Dienste, die persönliche Daten sammeln, muss das explizite Einverständnis der UserInnen dafür eingeholt werden.

Man merkt schnell: Je weniger Daten gesammelt werden, desto besser. Aber: Man hat als BloggerIn, WebseitenbetreiberIn, und/oder Unternehmen auch andere gesetzliche Verpflichtungen, die man einhalten muss, außerdem sind Tools wie Google Analytics durchaus wichtig für unsere Arbeit. Alles abzuschalten wäre also auch keine Option.

Im Fall von MOKS bedeutet das: wir betreiben eine Webseite, außerdem sind wir auf Facebook, LinkedIn und Instagram vertreten. Man kann MOKS auch per Email erreichen. Alles Orte, an denen persönliche Daten verarbeitet bzw. gespeichert werden können. Diese Schnittstellen müssen wir uns also näher ansehen.

Externe DatenverarbeiterInnen

Auf der MOKS Webseite kommen der Facebook Pixel und Google Analytics zum Einsatz. Das bedeutet, dass wir uns von diesen Anbietern eine Datenverarbeitungs-Vereinbarung bzw. Vertrag einholen müssen, der beschreibt, welche Daten Facebook bzw. Google im Auftrag von MOKS einsammelt, und wie diese verarbeitet werden. Auf diese muss auch in der Datenschutzerklärung hingewiesen werden (dazu später mehr).

Diese Datenverarbeitungs-Vereinbarung kann direkt auf Google Analytics abgeschlossen werden (eine Anleitung dazu gibt es zum Beispiel hier).
Beim Facebook Pixel haben wir nach längeren Überlegungen beschlossen, diesen von unserer Website zu entfernen, da wir ihn im Grunde nicht brauchen.

Die MOKS-Webseite selbst wird mit WordPress gehostet. Das Hosting ist jedoch auch bei einem Dritt-Anbieter (in unserem Fall easyname), und auch hier ist eine Datenverarbeitungs-Vereinbarung notwendig, da sämtliche Daten, die von WordPress gesammelt und verarbeitet werden, dort landen und gespeichert werden. Außerden bietet der Hoster Webserver-Logs an, die unter anderem die IP-Adressen speichern, die  ebenfalls als persönliche Daten gelten. Auf diesen Umstand muss in der Datenschutzerklärung hingewiesen werden, inklusive der Information, wie lange diese Daten gespeichert werden.

In unserem Fall sind wir bei WordPress & easyname noch dran, die entsprechenden Vorkehrungen zu treffen.

Formulare

Formulare dienen per Definition zur Datensammlung. Auf moks.at gibt es zwei Arten von Formularen: Einmal ein Kontakt-Formular, und ein Formular, um Kommentare zu posten. Bei beiden muss nun eine Checkbox (nicht vorausgewählt!) vorhanden sein, die auf die Datenverarbeitung und die Privacy Policy hinweist. Ersteres ist bereits aktualisiert, beim zweiten warten wir auf ein Update von WordPress.

WordPress & Plugins

Des weiteren müssen auch die WordPress Plugins durchgesehen werden, die wir in Verwendung haben. In unserem Fall sind das folgende:

  • WordPress speichert grundsätzlich nur Kommentare ab, da hängen aber auch noch einige andere Tools daran wie zum Beispiel Gravatar: ein DSGVO-konformes Update soll vor 25. Mai erscheinen
  • Avada: Verwendet einige externe Ressourcen, wie Google Fonts, Google Maps etc. Auch hier gilt: DSGVO-konformes Update kommt irgendwann vor 25. Mai
  • Limit Login Attempts: Speichert IP-Adressen – darauf müssen wir hinweisen in unser Datenschutzerklärung
  • Simple Feed Stats: Speichert IP-Adresse – hierfür haben wir noch keine Lösung
  • Akismet: Sendet alle Kommentar-Daten an die Akismet-Server – ebenfalls soll ein DSGVO-konformes Update noch vor 25. Mai erscheinen

Alle externen Ressourcen sind insofern problematisch, als dass wir teilweise nicht genau wissen, welche Daten der jeweilige Anbieter sammelt oder noch keine DSGVO-konforme Datenverarbeitungsvereinbarung möglich ist. Hier warten wir die Updates ab und überlegen, welche Plugins wir behalten und welche wir eventuell nicht mehr brauchen. Hier gibt es übrigens eine gute Übersicht zur DSGVO-Konformität von WordPress-Plugins.

Step 2: Datenschutzerklärung

Alle Daten, die wir speichern, verarbeiten oder die von anderen Tools genutzt werden, müssen wir der Datenschutzerklärung sammeln und veröffentlichen. Das sieht bei uns dann so aus: MOKS Datenschutzerklärung

Darin wird dargelegt:

  • Wer für die Datenverarbeitung verantwortlich ist (MOKS OG)
  • Welche Sicherheitsmaßnahmen getroffen wurden, um die Daten sicher zu übertragen (HTTPS, starke Passwörter)
  • Wie vor unbefugten Zugriff geschützt wird (Verschlüsselung bzw. Zugriffskontrollen durch Logins)
  • Welche persönlichen Daten eigentlich gesammelt werden (also welche Daten bei Kommentaren gespeichert werden)
  • Und wie lange diese gespeichert werden, bzw. wann sie gelöscht werden
  • Das Backups angefertigt werden, und verschlüsselt sind
  • Dass Cookies verwendet werden (womit aber auch der Cookie-Hinweis hinfällig werden sollte), und wie man Cookies generell unterbinden kann (also per Browser-Einstellung)
  • Welche anderen Datenverarbeiter auf der Seite zum Einsatz kommen (also Facebook Pixel, und Google Analytics, inkl. Links auf deren Privacy Policies, und Opt-Out Möglichkeiten)
  • Dass, wenn man Email an MOKS schickt, diese auch (längerfristig) gespeichert wird
  • Mit wem diese Daten geteilt werden
  • Wie man die Rechte unter der DSGVO ausüben kann (Also ein Hinweis auf eine Kontakt-Email-Adresse, oder Hinweis auf das Kontakt-Formular)

Datenauskunft

Außerdem wichtig: Das Recht auf Datenauskunft. Das bedeutet, dass wir die entsprechende Infos rausgeben müssen, wenn jemand wissen will, welche Daten über ihn/sie gespeichert wurden.

Wenn wir beispielsweise eine Mail bekommen mit der Bitte um Datenauskunft, müssen wir vor der  sicherstellen, dass die Person auch diejenige ist, für die sie sich ausgibt. Also einfach eine formlose Email mit den persönlichen Daten zu beantworten geht einfach nicht, und ist auch ein mögliche Datenschutzverletzung, die meldepflichtig ist.

Step 3: Don’t panic!

Datenschutzerklärung ist online, Anpassungen wurden vorgenommen. Fast geschafft! Ihr seht, es handelt sich um einen Prozess, der immer noch nicht ganz abgeschlossen ist und vermutlich noch mehr Zeit in Anspruch nehmen wird.

Der Prozess rund um die MOKS-Website hat bei uns jedenfalls viel Klarheit darüber geschaffen, mit welchen Daten auf eine Website so hantiert wird. Netter Nebeneffekt: Für uns Unnötiges wie den Facebook Pixel haben wir gleich mal ausgemistet. Denn: Daten, die man nicht hat, kann man nicht verlieren.

Update 17.05.: Kaum war der Blogbeitrag online, haben wir von unserem Techniker ein Update bekommen:

  • Das Plugin Akismet haben wir deaktivert, weil es sämtliche Kommentardaten an einen Drittserver weiterschickt. Stattdessen haben wir jetzt Antispam Bee in Betrieb. Dieses Plugin biete auch Schutz vor Spam-Kommentaren, aber ohne per Default Daten an Dritte zu schicken.
  • Auch Gravatar haben wir deaktiviert. Dadurch gibt es bei Kommentaren keine Avatare, bis Gravatar DSGVO-konform aktiviert werden kann.
  • Zusätzlich haben wir das „Remove Comment IPs“ Plugin installiert. Dieses entfernt bei allen Kommentaren, die älter als 60 Tage als sind, die IP-Adressen. Dies müssen wir zusätzlich in der Datenschutzerklärung vermerken.

Links:

GDPR Checklist
Cookies in der Datenschutzgrundverordnung – Teil 1
Cookies in der Datenschutzgrundverordnung – Teil 2
MailChimp, Newsletter und Datenschutz – Anleitung mit Muster und Checkliste
GDPR for WordPress
Automattic and the General Data Protection Regulation (GDPR) (für wordpress.com)
Webseite der Europäischen Kommission zur DSGVO