Die europäische Datenschutz-Grundverordnung (DSGVO) verursacht derzeit viel Aufregung. Auch Verbände müssen nun ihre Webauftritte an die ab 25. Mai 2018 geltenden neuen Rechtslage anpassen. Dabei ist es aber in vielen Fällen mit einer Anpassung der Datenschutzerklärung nicht getan. Vielmehr setzen gerade Verbände bereits seit langem Technologien ein, die ab dem 25. Mai 2018 entweder rechtlich anders zu behandeln oder aber von der Website zu nehmen sind.
Besonders problematisch könnte dabei sein: Einiges, was nach dem Wirksamwerden der DSGVO einen Rechtsverstoß darstellen wird, schlummert möglicherweise im HTML-Code der Website, ist aber für die Verbandsgeschäftsführung ohne entsprechende Kenntnisse nur schwer erkennbar. Andererseits sind Rechtsverstöße für Sachkundige im HTML sehr leicht zu erkennen und gegebenenfalls sogar dadurch auffindbar, dass eine Software das Internet durchforstet und dabei Websites ausfindig macht, die nicht rechtskonform sind. Abmahnungen könnten die Konsequenz sein.
Im Folgenden deshalb die tückischsten Fallstricke der DSGVO für typische Verbandswebsites:
Social-Media-Buttons
Social-Media-Buttons sind vor allem aus einem Grund sehr beliebt: Sie erinnern Besucher einer Website nach dem Lesen eines Artikels daran, dass sie den Artikel auch ihrem persönlichen Umfeld ans Herz legen können – mit einem einfach Mausklick auf einen Button mit dem Logo von Twitter, Facebook, Tumblr oder anderen.
Doch die meisten dieser Social-Media-Buttons sind vonseiten des jeweiligen Sozialen Mediums so programmiert, dass sie beim Aufruf einer Seite mit einem solchen Button Daten des Nutzers auch an das Soziale Netzwerk übertragen. Dazu gehört die IP-Adresse, der URL der aufgerufenen Seite, der Browsertyp und das Betriebssystem – und nicht zuletzt kann, sofern der Nutzer sich dauerhaft bei dem Sozialen Netzwerk eingeloggt hat, der Seitenaufruf auch dem persönlichen Profil des Nutzers zugeordnet werden. Deshalb sind solche Buttons, sofern sie beispielsweise den Browser des Nutzers zum Laden eines Logos vom Server des Sozialen Netzwerks veranlassen oder sofern sie einen entsprechenden Javascript-Request auf Server des Sozialen Netzwerks ausführen, datenschutzrechtlich äußerst problematisch.
Nach Ansicht europäischer Datenschützer muss deshalb zur Nutzung solcher Plugins dreierlei gegeben sein: Erstens muss das Soziale Netzwerk nach dem Privacy Shield zertifiziert sein, zweitens muss die Datenschutzerklärung über die Verwendung des Plugins detailliert aufklären und drittens muss der Websitebetreiber mit dem Sozialen Netzwerk einen Vertrag zur Auftragsdatenverarbeitung geschlossen haben. Diese Voraussetzungen sind nur selten erfüllt. Selbst Marktführer Facebook ist zwar zertifiziert, erlaubt aber den Nutzern von Plugins derzeit nicht den Abschluss eines Auftragsverarbeitungsvertrages. Vielmehr steht Facebook auf dem zweifelhaften Standpunkt, seine Plugins stünden im Einklang mit der DSGVO. So heißt es bei Facebook zu diesem Thema unter der Frage “Können Unternehmen auch unter der DSGVO weiterhin Facebook-Plugins (z. B. „Gefällt mir“-Button, Seiten-Plugin) verwenden?” (siehe http://polkomm.net/x/udsiul): “Ja. Die DSGVO hat keinerlei Auswirkungen auf die Facebook-Plugins.”
Ebenso problematisch wie die Nutzung der Plugins der Sozialen Netzwerke selbst ist aber auch die Nutzung von Online-Diensten, die es erlauben, ein komplettes Set von Social-Media-Buttons mit ein paar Mausklicks zusammenzustellen und auf der eigenen Website einzubinden. Als Beispiele sind hier die beliebten Dienste AddToAny und ShareThis zu nennen. Denn auch solche Lösungen führen oft zur Übertragung von personenbezogenen Daten an den entsprechenden Dienstleister.
Es ist deshalb dringend zu empfehlen, nur Social-Media-Buttons zu verwenden, die keine Datenübertragung erfordern. Der Heise-Verlag hat dazu eine gute Lösung entwickelt (siehe http://polkomm.net/x/t4xbte).
Google Maps
Viele Websites von Verbänden binden Karten von Google Maps in ihre Website ein, beispielsweise um den Standort der Verbandsgeschäftsstelle anzuzeigen. Doch auch hier lädt der Browser des Benutzers Inhalte von Google herunter und überträgt dabei personenbezogene Daten an den Internetkonzern. Und auch hier kann Google dadurch prinzipiell den Besuch des Nutzers auf der Verbandswebsite mit dem Profil des Nutzers zusammenführen, wenn er bei seinem Google-Konto eingeloggt ist.
Google ist nach dem Privacy Shield zertifiziert, hat sich also verpflichtet, europäisches Datenschutzrecht einzuhalten. Doch der Websitebetreiber muss nach geltendem Recht außerdem mit Google einen individuellen Vertrag zur Auftragsdatenverarbeitung abschließen. Dies hat Google umgesetzt, indem es Google Maps in seine Cloud Platform integriert hat. Diese fasst eine ganze Reihe von potenziell kostenpflichtigen Diensten zusammen und schließt darüber online einen Vertrag mit dem Websitebetreiber, der Dienste wie Google Maps auf seiner Website einsetzen möchte. Optionaler Teil dieses Vertrages sind “Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen”, denen Websitebetreiber zustimmen können und zu denen sie einen Datenschutzverantwortlichen im eigenen Hause benennen können.
Verbände, die Google Maps nutzen, sollten diese Möglichkeit zur Schließung eines Vertrags zur Auftragsdatenverarbeitung unbedingt nutzen.
Google Analytics
Viele Verbandswebsites nutzen Google Analytics. Oft geschieht das nur, um Reichweiten der eigenen Website zu ermitteln, obwohl es dafür Tools gibt, die datenschutzrechtlich weit weniger problematisch sind.
Google Analytics ist jedoch eigentlich dafür entwickelt, Werbekampagnen, vor allem natürlich mit Google AdWords, zu evaluieren. Dazu wird intensives Tracking mit Cookies und anderen Tracking-Methoden betrieben, was datenschutzrechtlich äußerst komplex ist. Denn es werden nicht nur personenbezogene Daten an Google übermittelt und dort gespeichert, sondern es entstehen auf diese Weise auch Nutzerprofile bei Google. Diese können theoretisch von Google, sofern Nutzer über ein Google-Konto verfügen, auch mit diesem verknüpft werden, so dass alle mit Google Analytics ermittelten Seitenabrufe im Internet einer bestimmten Person zugewiesen werden können.
Da Google aber nach dem Privacy Shield zertifiziert ist, darf man davon ausgehen, dass Google europäische Datenschutzregeln einhält und in Google Analytics nur anonymisierte Profile erzeugt. Dazu sind allerdings auf Seiten des Websitebetreibers etliche Vorkehrungen erforderlich, wie etwa das Pseudonymisieren von IP-Adressen (mehr dazu unter http://polkomm.net/x/2ovubr). Zudem ist es erforderlich, dem Nutzer die Möglichkeit zu geben, aus dem Tracking “auszuoptieren”. Dazu muss ihm an geeigneter Stelle eine Funktion angeboten werden, mit der er das Tracking für sich abschalten kann.
Seit kurzem bietet Google nun den Nutzern von Google Analytics auch die Möglichkeit einen Vertrag zur Auftragsdatenverarbeitung zu schließen – und zwar online. Ohne einen solchen Vertrag ist die Nutzung von Google Analytics nicht rechtskonform.
Google Fonts
Webdesigner verzweifeln oft daran, dass eine Website auf verschiedenen Endgeräten unterschiedlich aussehen. Das betrifft auch die Schriftarten. Will man einen möglichst individuellen Schriftfont auf seiner Website verwenden, kann es sein, dass ein großer Teil der Browser beziehungsweise Betriebssysteme der Websitebesucher die Schriftart austauscht, weil der entsprechende Font auf dem Rechner nicht vorhanden ist.
Google hat dieses Problem gelöst, indem es Fonts gratis online anbietet. Über eine Anweisung im HTML einer Website kann man den Browser anweisen, zunächst den Font herunterzuladen und ihn dann bei der Darstellung der Website zu verwenden.
Problem: Durch den Download der Fonts werden Nutzerdaten an Google übertragen. Prinzipiell kann Google bei Nutzern, die zugleich ein Google-Konto haben und darin eingeloggt sind, dadurch auch den Besuch der fraglichen Website mit der Person verbinden.
Google ist nach dem Privacy Shield zertifiziert, hat sich also verpflichtet, europäisches Datenschutzrecht einzuhalten. Doch der Websitebetreiber muss nach geltendem Recht außerdem mit Google einen individuellen Vertrag zur Auftragsdatenverarbeitung abschließen. Bis dato ermöglicht Google jedoch noch eine Nutzung der Google Fonts ohne diesen Vertrag. Von einer solchen Nutzung ohne Vertrag zur Auftragsdatenverarbeitung ist jedoch dringend abzuraten.
Kontaktformulare
Gerade beratende Institutionen, wie Verbände, möchten oft verhindern, dass die Mailadressen der Mitarbeiter öffentlich bekannt werden. Denn dann droht vor allem viel Arbeit mit dem Aussortieren von Spam. Der häufigste Weg, dieses Problem zu losen, ist ein Kontaktformular auf der Website. Bei fast allen Verbänden findet man so etwas.
Allerdings: Wenn man Nutzern ein großes Eingabefeld für eine E-Mail zur Verfügung stellt, kann man kaum ausschließen, dass die Nutzer darin in einer Nachricht Dinge schildern, die zu den schützenswerten personenbezogenen Daten zählen. Und dann darf nach geltendem Recht der Inhalt eines solchen Kontaktformulars nicht mehr unverschlüsselt vom PC des Nutzers auf den Webserver übertragen werden. Das bedeutet: Die Website muss, sofern sie ein Kontaktformular bereithält, die Datenübertragung über HTTPS abwickeln, nicht nur über HTTP.
Der Browser Chrome von Google zeigt aus diesem Grund bereits seit einiger Zeit eine Warnmeldung an, wenn eine Website mit Kontaktformular, aber nicht mit HTTPS ausgestattet ist. Viele Verbände werden derzeit vom Chrome-Browser mit einer – letztlich recht peinlichen – Warnung versehen, die einen Rechtsverstoß offenlegt.
Spamblocker und andere Plugins auf Blogs
Ganze Heerscharen von halbseidenen Suchmaschinenoptimierern versuchen, ihren Kunden zwecks besserer Suchmaschinenpositionierung Hyperlinks im Internet zu verschaffen, indem sie unter Blogbeiträgen Kommentare hinterlassen und in diesem einen Link zu der fraglichen Website platzieren. Wer ein Blog betreibt, hat deshalb viele solche Spam-Kommentare zu löschen.
Dagegen gibt es Software-Lösungen. Eine der wirkungsvollsten und deshalb beliebtesten ist Akismet. Akismet erkennt Spam nicht nur durch die Analyse des Kommentars selbst, sondern durch den Abgleich mit einer zentralen Spam-Datenbank. Akismet sendet deshalb die Daten eines Postings, ohne dass der Nutzer davon erfährt, zunächst an einen Server in den USA.
Es gibt mittlerweile ein WordPress-Plugin, das Kommentatoren vor dem Absenden eines Kommentars über die Funktionsweise und die datenschutzrechtlichen Konsequenzen aufklärt (siehe http://polkomm.net/x/zb46ha). Zudem ist Akismet, beziehungsweise der Hersteller Automaticc, mittlerweile nach dem Privacy Shield zertifiziert, kann also nachweisen, dass europäische Datenschutzstandards eingehalten werden (siehe http://polkomm.net/x/qql8rw). Trotzdem ist derzeit die Möglichkeit zur Schließung eines Vertrages zur Auftragsdatenverarbeitung nicht gegeben. Ein vollständig rechtmäßiger Einsatz von Akismet steht also nach wie vor in Frage.
Akismet ist jedoch nur eines von diversen WordPress-Plugins, die datenschutzrechtliche Fragen aufwerfen (siehe http://polkomm.net/x/dz8scv).
Mail-Services
Viele Verbände nutzen Dienstleister zum Versand von Newslettern. Bereits seit längerer Zeit ist der Marktführer MailChimp im Visier von Datenschützern, denn um den Dienst zu nutzen überträgt und speichert der Kunde den E-Mail-Verteiler mit den Adressen seiner Abonennten auf einen Server in den USA.
MailChimp hat sich jedoch mittlerweile nach dem Privacy Shield zertifizieren lassen und bietet sogar den Abschluss eines Vertrages zur Auftragsdatenverarbeitung an (siehe http://polkomm.net/x/dqw6fj). Dieser muss von Verbänden, die MailChimp nutzen, nun umgehend geschlossen werden. Und natürlich muss diese Herausgabe von E-Mail-Adressen in der Datenschutzerklärung deklariert werden.
Mailchimp hat – entgegen europäischem Recht – übrigens zum Jahreswechsel sein Plugin zum Abonnieren von Newslettern, das Kunden in ihre Website einbinden können, standardmäßig auf Single-opt-in umgestellt. Verbände sollten unbedingt sicherstellen, dass sie diese Einstellung manuell auf das vorgeschriebene Double-opt-in-Verfahren festgelegt haben.
Es ist davon auszugehen, dass nicht alle E-Mail-Dienstleister, so wie MailChimp es getan hat, die rechtlichen Voraussetzungen für eine rechtskonforme Nutzung schaffen.
Opt-out-Links
Viele Newsletter im Verbandswesen ermöglichen kein Beenden eines Abonnements durch einen entsprechenden Link am Ende jedes Newsletters. Entweder fehlt eine solche Option gänzlich oder es wird beispielsweise darum gebeten, eine E-Mail zu schreiben, in der im Betreff das Wort “unsunscribe” vorkommt. Dies ist künftig nicht mehr zulässig. Es gilt das Simplizitätsgebot, nach dem der Widerruf der Einwilligung in den Newsletterempfang so einfach sein muss „wie die Erteilung der Einwilligung“ selbst.
Javascript-Plugins
Es gibt im Internet vielfältige Tools, mit denen man auf sehr einfache Weise Nachrichten, Wettervorhersagen und andere aktuelle Information auf seiner Website einbinden kann. Als Beispiel sei hier nur der Nachrichtenticker der Rheinischen Post erwähnt (http://polkomm.net/x/9qkrjc).
In der Regel basieren solche Services auf Javascript, das der Websitebetreiber in den HTML-Code seiner Website einbindet. Beim Aufruf einer solchen Seite wird der Browser des Nutzers mit Javascript-Befehlen dazu veranlasst, die aktuelle Information vom Server des Informationsdienstleisters herunterzuladen. Technisch ist dies nichts anderes als bereits bei den Social-Media-Buttons beschrieben. Die Daten über den Zugriff des Nutzers werden an den Informationsdienstleister übertragen.
Es gelten hier natürlich auch die gleichen Regeln: Die Weitergabe der personenbezogenen Daten muss in der Datenschutzerklärung deklariert werden. Mit dem Nachrichtendienstleister muss ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. Und sofern der Nachrichtendienstleister außerhalb des EU residiert, muss es ein Datenschutzabkommen und eine entsprechende Zertifizierung geben. Ansonsten ist die Nutzung von Javascript-Plugins widerrechtlich.
Vertrag zur Auftragsdatenverarbeitung mit Webhoster und Agentur
Da beim Besuch einer Website personenbezogene Daten anfallen und gespeichert werden, verarbeiten üblicherweise zwei Unternehmen für Verbände Daten im Auftrag – und zwar der Webhoster und gegebenenfalls eine Agentur, die die Website pflegt und Zugriff auf alle Daten im Content-Management-System hat.
Künftig ist es erforderlich, mit diesen Dienstleistern einen Vertrag zur Auftragsdatenverarbeitung geschlossen zu haben.
Löschverfahren
Eines der Grundprinzipien des reformierten Datenschutzrechts ist, dass personenbezogenen Daten nur so lange gespeichert werden dürfen, wie sie zur Erfüllung des zwischen einem Nutzer und einem Websitebetreiber vereinbarten Zweck erforderlich sind. Ab 25. Mai 2018 ist auch deshalb in Art. 5 DSGVO von Datenminimierung die Rede und in § 71 BDSG von Datensparsamkeit.
Gerade bei Verbänden kann dies zu technisch sehr komplexen Problemstellungen führen. Denn jedesmal, wenn ein Nutzer einen bestimmten Service nicht mehr nutzt, muss überprüft werden, ob seine gespeicherten persönlichen Daten noch benötigt werden. Und gegebenenfalls müssen die nicht mehr benötigten gelöscht werden.
Ein einfaches Beispiel zeigt, warum das rechtlich vorgeschriebene Löschen nicht ganz unaufwändig in der Programmierung ist: Sofern ein Nutzer sich aus dem Newsletterverteiler austrägt, muss seine E-Mail-Adresse gelöscht werden. Hat er sich jedoch zugleich für ein passwortgeschütztes Extranet registriert, bei dem seine E-Mail-Adresse zugleich für das Login genutzt wird, darf die E-Mail-Adresse natürlich gespeichert bleiben. Die programmierte Software im Hintergrund der Website muss also in der Lage sein, das zu unterscheiden. Natürlich wäre es sehr einfach, wenn die E-Mail-Adresse in der Datenbank zweimal gespeichert würde – einmal in der Tabelle für Newsletterabonnements und einmal in der Tabelle für registrierte Extranetnutzer. Dann kann sie bei den Newsletterabonnements immer gelöscht werden, sofern ein Nutzer sein Abonnement beendet. Doch das Aufsplitten eines Datensatzes in verschiedene Tabellen macht einen Datensatz potenziell sehr unübersichtlich. Verbände haben deshalb in der Regel Software, etwa ein Membership-Management-System, die gerade verhindern soll, dass Daten zu einer Person in verschiedenen Tabellen mehrfach gespeichert werden – und der jeweilige Datensatz kaum noch nachvollziehbar dargestellt werden kann sowie auch schlecht zu editieren ist.
Es ist zu erwarten, dass Datenschutzbehörden künftig genau nachfragen, wie Löschverfahren funktionieren. Gerade bei Verbänden mit ihren umfangreichen Kontaktdatenbanken lauern hier rechtliche Risiken.
Fazit
- Verbände sollten, soweit das noch nicht geschehen ist, umgehend prüfen, ob ihre Website die Browser von Nutzern im Hintergrund dazu veranlasst, irgendetwas von anderen Webservern herunterzuladen.
- Verbände sollten Ihre Websites unbedingt auf HTTPS umstellen.
- Verbände sollten unbedingt mit allen in Frage kommenden Dienstleistern Verträge zur Auftragsdatenverarbeitung abschließen.
- Verbände sollten Nutzerdaten, vor allem E-Mail-Adressen, nicht ohne rechtliche Prüfung auf die Server von Dienstleistern hochladen (wie etwa Maildienstleister).
- Verbände sollten ihre Datenhaltung genau daraufhin überprüfen, ob die Löschverfahren den Grundsätzen der Datenminimierung und Datensparsamkeit genügen.
Weiterführende Literatur zum Thema:
Ralf-Thomas Hillebrand (2018). Online-Kommunikation für Verbände: Wie Ihre Botschaften die Zielgruppen sicher erreichen und überzeugen. Wiesbaden: SpringerVieweg.
Diplom-Politologe, Strategieberater, Informationsarchitekt, Projektmanager, Speaker und Coach im Bereich der Politischen Online-Kommunikation – vor allem für Verbände und andere politische Institutionen. Website: www.politik-und-internet.de