Erstes Fazit der Datenschutzgrundverordnung nach 10 Monaten.

Heute vor 300 Tagen exakt trat eines der wohl unbeliebtesten EU-Gesetze in Kraft: Die Datenschutzgrundverordnung (kurz DSGVO). Das eigentlich heere Ziel, die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit zu vereinheitlichen, ist insgesamt auf wenig Gegenliebe bei Mittelständlern, Vereinen und Freiberuflern gestoßen.

Ein gravierender Impact von uns liegt darin, dass für die tatsächlichen Anpassungen über zwei intensive Arbeitsmonate bei uns und auch bei den Kunden kurzfristig viele Resourcen bereitgestellt werden mussten, was kurzfristig für ein intensives Zusammenspiel aller Abteilungen sorgte. Die Pflicht eines Datenschutzbeauftragten in den Unternehmen sorgte auch für einige Hektik mit einem konzentrierten Wissenstransfer. Weiterhin galt es für alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben, eine Datenschutz-Unterweisung zu veranlassen. Diese Teilnahme an der Unterweisung sollten Online-Händler zudem protokollieren, um gegenüber den Aufsichtsbehörden jederzeit nachweisen zu können, dass sie ihrer Pflicht nachgekommen sind.

Und trotz der Befürchtungen, dass verschärft Abmahnungen und hohe Strafen auf die Shopbetreiber zukommen, blieb die tatsächliche Anzahl weit hinter den Unkenrufen zurück. Es werden zwar langsam erste Urteile gefällt, die aber keinerlei durchschaubare Grundlagen für rechtliche Einschätzungen liefern. Bekannt wurde der Google-Fall in Frankreich, hier musste das Unternehmen  wegen eines DSGVO-Verstoßes 50 Millionen berappen. Ein kleines Unternehmen aus Deutschland bekam 5.000 Euro Bußgeld wegen eines fehlenden Auftragsverarbeitungsvertrags.

Erste wichtige Maßnahmen bei unseren Kunden:

Bei der Implementierung der erforderlichen DSGVO-Maßnahmen in den Internetauftritten vieler Kunden und Neu-Kunden haben wir hauptsächlich vorgenommen:

  • Impressum – Änderung und Anpassung der Datenschutzerklärung im Hinblick auf Google Analytics, Maps, Fonts usw.
  • Man hat Newsletter, Formulare, Social-Media-Plugins usw. angepasst.
  • Webseiten haben wir auf https / SSL umgestellt, vor allem, wenn Kontaktformulare zum Einsatz kommen.
  • Implementierung des Cookie Hinweises, vor allem, wenn man Tracking Dienste (Facebook oder Google) nutzt.
  • Für Google Analytics haben wir IP Adressen anonymisiert und ein Skript implementiert, mit dem sich Tracking manuell deaktivieren lässt.
  • Überall da, wo in Extensions IP Adressen gespeichert werden (Kommentare, Formulare usw.), haben wir diese anonymisiert.

Bei allen Maßnahmen haben wir unseren ganz eigenen Blick auf die Notwendigkeiten in den verschiedenen Content-Management-Systemen gewonnen. Hier ein Auszug dieser Erkenntnisse über die vier Hauptsysteme in unserem Portfolio: TYPO3, WordPress, Shopware und Magento:

Magento und DSGVO

Magento besitzt schon im Ursprung eine moderne Architektur mit hohen Sicherheitsfunktionen. Somit war hier eine substanzielle Anpassung nicht nötig. Es galt zu identifizieren, wo genau  man personenbezogene Daten speichert. Hierzu hat Magento Inc. eine Daten-Kartierung durchgeführt, die Ergebnisse umgehend auf der Magento-Developer-Seite zur Verfügung gestellt und Anpassungen damit recht einfach gemacht.

Bei Magento-Produkten, die gehostet werden (Magento Business Intelligence, Magento Order Management, Magento Commerce Cloud) kann der Kunde wählen, an welchem Standort er die Daten speichert.

Shopware und DSGVO:

  • „Rechtliche Vorabinformationen” bei Online Shops, insbesondere bei Shopware
    Bei Online Shops, besonders die, die wir mit Shopware realisierten, gibt es einen Hinweis auf die sogenannten „rechtlichen Vorabinformationen”. Das sind  Pflichtangaben für diejenigen, die bei dem Portal eBay nicht rein privat verkaufen. Denn dann benötigt man eigene Widerrufsbelehrungen und -unterlagen, die dem Kunden zur Verfügung gestellt werden müssen, ein Datenschutz-Hinweis nur für den Online-Shop reicht nicht!

WordPress und DSGVO

  • Die Emoji-Verbindung zu s.w.org und twemoji.maxcdn.com kappen
    Noch gar nicht so bekannt ist die Tatsache, dass der WordPress Core Emojis implementiert und das schon seit der Version 4.2. Das heißt, dass das System diese Emojis von zwei externen Servern lädt und hier somit auch die IP-Adressen der Besucher auf  s.w.org und twemoji.maxcdn.com abrufbar macht.Wenn man das Plugin Disable Emojis installiert deaktiviert das Plugin die implementierte Funktion.
  • Gravatar abschalten
    Gravatar (Globally Recognized Avatar) wird von Automattic angeboten, dem Unternehmen, das hinter wordpress.com und einigen zusätzlichen WordPress Funktionen wie beispielsweise Akismet oder WooCommerce steht. Gravatar verknüpft mit der eigenen E-Mail-Adresse ein Bild und wenn man nun diese E-Mail-Adresse nutzt, erscheint neben dem Namen auch das entsprechende Bild. Diese Funktion kann man nicht löschen, aber abschalten, denn: Immer, wenn man einen Kommentar sendet, nimmt das System Kontakt mit dem Gravatar auf und sammelt somit auch Daten mit den IP-Adressen der Kommentierenden. Das widerspricht den Datenschutzbestimmungen. Man benötigt zumindest einen Hinweis in der Erklärung oder beim Kommentarfeld.Oder schalten Sie einfach die Verbindung zu Ihrem Gravatar komplett ab. Gehen Sie unter Einstellungen – Diskussion – Avatare anzeigen und nehmen das Häkchen raus. Jetzt gibt WordPress hier nichts mehr aus. Alternativ können Sie das Plugin WP First letter Avatar nehmen. Nehmen Sie einfach die ersten Buchstaben Ihres Vor- und Zunamens in Verbindung mit einem der png-Bilder, die das Verzeichnis liefert.
  • Kommentarfunktion mit einer Checkbox ausstatten

TYPO3 und DSGVO

Auf den TYPO3-Webseiten ist der Analytics-Code in mit der Erweiterung „MetaSEO“ erstellt; sprich hiermit wird eine Anonymisierung eingeschaltet, welche die letzten Stellen der IP-Adressen  auf Null setzt.

Weitere allgemeine Hinweise zu Maßnahmen der letzten Monate:

  • Kontaktformulare mit einer Checkbox ausstatten, die beinhaltet, dass man eine allgemeine Zustimmung zum Datenschutz seiner personenbezogenen Daten abgeben muss.
  • Signatur
    Bei E-Mail-Signaturen ist ein Link bei den Datenschutzerklärung auf der Webseite aufzunehmen sowie auch ein Passus zu integrieren, dass die E-Mail-Kommunikation unverschlüsselt erfolgt. Falls dies anders gewünscht ist, solle man den Absender bitte benachrichtigen. Momentan ist das noch ausreichend.
  • Google Fonts lokal abspeichern
    Laden Sie Schriften nicht auf Ihrem Google Server, sondern besser lokal auf Ihrem eigenen Server bzw. Ihrem Webspace. Das gilt überigens nicht nur für WordPress, das  Vorgehen ist auch für anderen Content-Management-Systeme ähnlich. Wenn Sie wissen, welche Google Fonts Sie einsetzen, beispielsweise über ein Plugin wie „Easy Google Fonts“, können Sie die konfigurierten Schriften z. B. über die Customizer-Funktion unter dem Punkt „Typography“ » „Default Typography“ einsehen und Sie finden dort auch die Einstellungen für Absätze und Überschriften. Oder Sie finden die Fonts über den Quellcode Ihrer Seite oder über Developer Tools in Chrome bzw. Firefox heraus. Jetzt müssen Sie nur noch unter „Sources“ schauen, von welchen Quellen Daten auf die Webseite geladen werden. Hier können Sie auch nachprüfen, ob die Verbindung zum Google Server tatsächlich gekappt ist. Wenn Sie wissen, welche der Fonts Sie brauchen, dann laden Sie diese herunter.
  • Adressänderung von Google in der Datenschutzerklärung
    Ab dem 22.01.2019 bietet Google für Nutzer in der EU und der Schweiz seine Dienste über die Google Ireland Limited an. Für die Änderung verwenden Sie den Projekt-Manager im Bereich Tools. Hier liegen Ihre Projekte mit den jeweiligen Datenschutzerklärungen. Wählen Sie diese aus und speichern Sie die geänderte Datenschutzerklärung wie gewohnt und veröffentlichen das auf Ihrer Webseite.
0 Kommentare

Dein Kommentar

Möchtest du mitdiskutieren?
Fühl dich frei, beizutragen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diesen Beitrag bewerten