Zum Inhalt springen

Internet

Cookies Kekse

Unnö­ti­ge Panik wegen des EuGH “Planet49” Urteils zu Coo­kies vom 01.10.2019

Grund­lo­se Panik zu Coo­kies durch das EuGH Urteil zu Planet49

Seit der Urteils­ver­kün­dung des EuGH am 01.10.2019 hat man das Gefühl, die Medi­en über­schla­gen sich mit auf­merk­sam­keits­er­ha­schen­den Eil­mel­dun­gen und Head­lines. Lei­der — und das im Kon­text der DSGVO nicht zum ers­ten Mal — mit Falsch­dar­stel­lun­gen und Aus­sa­gen, die der EuGH so gar nicht getä­tigt hat. Da das The­ma Coo­kies auch immer wie­der Gegen­stand von Anfra­gen Ihrer­seits an uns ist, ein paar Infor­ma­tio­nen zu den eigent­li­chen Inhal­ten des Urteils.

Aus­gangs­la­ge — Bun­des­ver­band der Ver­brau­cher­zen­tra­len klagt wegen einer bereits vor­ausge­wähl­ten Check­box für Coo­kies im Kon­text Werbung

Die Planet49 GmbH führ­te ein Gewinn­spiel zu Wer­be­ze­cken durch. Dem Besu­cher wur­den hier­bei die übli­chen Ein­wil­li­gun­gen bzw. Zustim­mun­gen in Form von zwei Check­bo­xen vor dem dann fol­gen­den Teil­neh­men-But­ton ange­zeigt. Bei der Check­box Num­mer 1 han­del­te es sich um eine Ein­wil­li­gung in Post- und Tele­fon­wer­bung der Koope­ra­ti­ons­part­ner und Spon­so­ren des Gewinn­spiels. Die­se Check­box war nicht ange­kreuzt, der Teil­neh­mer muss­te die Check­box also selbst akti­vie­ren, sofern er die Ein­wil­li­gung ertei­len woll­te. Im Fall der zwei­ten Check­box war die­se bereits ange­kreuzt und ent­hielt fol­gen­den Text im Wortlaut:

„Ich bin ein­ver­stan­den, dass der Web­ana­ly­se­dienst Remin­trex bei mir ein­ge­setzt wird. Das hat zur Fol­ge, dass der Gewinn­spiel­ver­an­stal­ter nach Regis­trie­rung für das Gewinn­spiel Coo­kies setzt, wel­ches Planet49 eine Aus­wer­tung mei­nes Surf- und Nut­zungs­ver­hal­tens auf Web­sites von Wer­be­part­nern und damit inter­es­sen­ge­rich­te­te Wer­bung durch Remin­trex ermög­licht. Die Coo­kies kann ich jeder­zeit wie­der löschen. Lesen Sie Nähe­res hier.“

Der Bun­des­ver­band der Ver­brau­cher­zen­tra­len war nun — wenig ver­wun­der­lich — der Ansicht, die bereits ange­kreuz­te Check­box Num­mer 2 ver­stößt durch die bereits vor­ein­ge­stell­te Akti­vie­rung gegen das  Gesetz gegen unlau­te­ren Wett­be­werb, kurz UWG. Man mahn­te den Sach­ver­halt fol­ge­rich­tig ab. Der nun fol­gen­de Rechts­streit ging bis zum BGH. Die­ser brach­te für die Bewer­tung die EU-Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­ti­on ins Spiel und rief daher den EuGH zur Beur­tei­lung an.

So weit, so gut: Der geneig­te Leser weiß seit lan­gem, dass vor­an­ge­kreuz­te Ein­wil­li­gun­gen bereits die for­ma­len Anfor­de­run­gen an eine Ein­wil­li­gung nicht erfül­len und damit hin­fäl­lig sind. Den Umweg hät­te man sich daher spa­ren kön­nen. Aber gut.

Was kon­kret frag­te der BGH den EuGH im Zuge des Planet49-Vorgangs?

Der BGH woll­te vom EuGH meh­re­re Fra­gen beant­wor­tet haben. Ob Coo­kies nun gene­rell alle zustim­mungs­pflich­tig sind, war expli­zit nicht Gegen­stand der Anfra­ge. Wis­sen woll­te man sei­tens des BGH, ob

  1. eine sol­che bereits ange­kreuz­te Check­box, wel­ches der­ar­ti­ge Coo­kies setzt, eine nach den vor­ge­nann­ten Rechts­grund­la­gen „wirk­sa­me Ein­wil­li­gung“ darstellt,
  2. ob es einen Unter­schied macht, ob der Coo­kie „per­so­nen­be­zo­ge­ne Daten“ ver­ar­bei­tet oder nicht,
  3. ob die vor­lie­gen­de Ein­wil­li­gung nach DSGVO wirk­sam wäre und
  4. wel­che Infor­ma­tio­nen für eine wirk­sa­me Ein­wil­li­gung kon­kret zu ertei­len sind.

Und jetzt schau­en wir mal auf das gest­ri­ge Urteil.

Was hat der EuGH zu Coo­kies denn nun ent­schie­den? Ein­wil­li­gung zwin­gend notwendig?

Glaubt man dem media­len Hype, dann sind seit dem 01.10.2019 Coo­kies nur noch mit Ein­wil­li­gung mög­lich. Wie heißt es so schön: Wer lesen kann, ist klar im Vor­teil. Genau das hat der EuGH eben nicht entschieden.

Der EuGH wenig über­ra­schend dahin­ge­hend geant­wor­tet, dass eine bereits akti­vier­te Check­box weder nach altem noch nach neu­em Daten­schutz­recht eine wirk­sa­me Ein­wil­li­gung dar­stellt. Nix Neu­es! Des­wei­te­ren hat der EuGH klar­ge­stellt, dass sich im Sin­ne der og. Richt­li­nie kein Unter­schied zwi­schen Coo­kies mit und ohne per­so­nen­be­zo­ge­ne ergibt. Die Richt­li­nie selbst spricht hier rein von “Infor­ma­tio­nen”, nicht von per­so­nen­be­zo­ge­nen Daten. Auch nicht wirk­lich über­ra­schend bzw. abseh­bar. Im Hin­blick auf die not­wen­di­ge “infor­mier­te Ein­wil­li­gung” stell­te der EuGH u.a. auf die Anga­ben aus den Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO ab. Was Wunder!

Das EuGH-Urteil hat nur klar­ge­stellt, was zu Coo­kies und Ein­wil­li­gun­gen eh schon lan­ge bekannt war

  1. Eine Ein­wil­li­gung ist stets ein Opt in, kein Opt out!
  2. Die Infor­ma­ti­ons­pflich­ten nach Art. 12, 13 DSGVO sind durch den Web­sei­ten­be­trei­ber auch für Coo­kies einzuhalten!
  3. Ein­wil­li­gun­gen sind auch für Coo­kies ein­zu­ho­len unter Ver­weis auf die EU-Richt­li­nie für elek­tri­sche Kommunikation!

Und damit ende­te das Urteil.

Also jetzt doch Ein­wil­li­gun­gen für alle Coo­kies, oder?

Der EuGH hat auf die besag­te EU-Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­ti­on abge­stellt. In Art. 5 Abs. 3 die­ser Richt­li­nie heißt es:

“Die Mit­glied­staa­ten stel­len sicher, dass die Speiche­rung von Infor­ma­tio­nen oder der Zugriff auf Infor­ma­tio­nen, die bereits im End­ge­rät eines Teil­neh­mers oder Nut­zers gespei­chert sind, nur gestat­tet ist, wenn der betref­fen­de Teil­nehmer oder Nut­zer auf der Grund­la­ge von kla­ren und umfas­sen­den Infor­ma­tio­nen, die er gemäß der Richt­li­nie 95/​46/​EG* u. a. über die Zwe­cke der Ver­ar­bei­tung erhält, sei­ne Ein­wil­li­gung gege­ben hat. Dies steht einer tech­ni­schen Spei­cherung oder dem Zugang nicht ent­ge­gen, wenn der allei­ni­ge Zweck die Durch­füh­rung der Über­tra­gung einer Nach­richt über ein elek­tro­ni­sches Kom­mu­ni­ka­ti­ons­netz ist oder wenn dies unbe­dingt erfor­der­lich ist, damit der Anbie­ter eines Diens­tes der Infor­ma­ti­ons­ge­sell­schaft, der vom Teil­neh­mer oder Nut­zer aus­drück­lich gewünscht wur­de, die­sen Dienst zur Ver­fü­gung stel­len kann.”

Ent­schei­dend ist hier Satz 2. Denn das heißt nichts ande­res, als das zum Bei­spiel tech­nisch erfor­der­li­che Spei­che­run­gen von Infor­ma­tio­nen ( wie eben Coo­kies) ohne Ein­wil­li­gung gesetzt wer­den kön­nen, über den Ein­satz aber aus­rei­chend zu infor­mie­ren ist. Tech­nisch für den Betrieb der Sei­te nicht erfor­der­li­che Coo­kies wie Web­tracking durch bzw. über Drit­te, Wer­bung etc. sind einwilligungspflichtig.

Die pau­scha­le Aus­sa­ge “Coo­kies nur noch mit Ein­wil­li­gung” ist daher falsch und ver­gif­tet erneut die Dis­kus­si­on um das The­ma Daten­schutz. Sicher mag die Wer­be­in­dus­trie über ein sol­ches Urteil flu­chen. Soll sie doch. Einer­seits Mil­lio­nen und Mil­li­ar­den mit der Erhe­bung und Nut­zung und Wei­ter­ga­be von per­so­nen­be­zo­ge­nen Daten ver­die­nen, aber zum Schutz der Pri­vat­sphä­re der ana­ly­sier­ten Nut­zer nichts bei­tra­gen wol­len — selt­sa­mes Geschäfts­mo­dell. Dabei hat der EuGH jetzt nur noch mal fest­ge­schrie­ben, was eh schon gegol­ten hat (aber nicht immer ein­ge­hal­ten wurde).

Kurz­form des Urteils des EuGH zum Umgang mit Cookies

  • Kei­ne Ein­wil­li­gung, aber aus­rei­chen­de Infor­ma­ti­on über tech­ni­sche, für den Betrieb der Web­sei­te zwin­gend not­wen­di­ge Cookies.
  • Ein­wil­li­gung und aus­führ­li­che Infor­ma­ti­on für alle ande­ren Cookies.

Die­se Posi­ti­on haben unse­re Auf­sichts­be­hör­den übri­gens bereits in der DSK Ori­en­tie­rungs­hil­fe für Anbie­ter von Tele­me­di­en nach­voll­zieh­bar erläutert.

Gute beschrie­be­ne Infor­ma­tio­nen zum The­ma fin­den Sie beim Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Württemberg:

Unsi­cher­hei­ten im Umgang mit Coo­kies kön­nen Sie übri­gens auch mit Ihrem Daten­schutz­be­auf­trag­ten klä­ren. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten und auch sonst kei­ne bera­ten­de Unter­stüt­zung zum The­ma Daten­schutz? Dann spre­chen Sie uns doch ein­fach unver­bind­lich an.

Wor­d­Press und die DSGVO — Zusam­men­stel­lung für Umzug und Konfiguration

Panik­ma­che mit der DSGVO

Lei­der häu­fen sich die letz­ten Mona­te wie­der die Panik­ma­cher nach dem Mot­to “Die DSGVO kos­tet Sie Ihre Exis­tenz, außer Sie kau­fen unse­re Dienst­leis­tun­gen, Vor­la­gen, Bücher .….”.  Web­sei­ten­be­trei­ber (egal ob mit Wor­d­Press oder ande­ren CMS erstellt) sind extrem ver­un­si­chert, was die DSGVO für sie bereithält.

Das ist in wei­ten Tei­len abso­lu­ter Quatsch und in unse­ren Augen unse­riö­se Geschäf­te­ma­che­rei. Sicher­lich bringt die Daten­schutz­grund­ver­ord­nung (DSGVO) eini­ges an Ver­än­de­run­gen und Neue­run­gen mit sich. Aber die Grund­zü­ge des Daten­schutz­rechts sind gleich geblie­ben. Wer also bis­her schon im Anwen­dungs­raum des BDSG oder der Lan­des­da­ten­schutz­ge­set­ze rechts­kon­form gear­bei­tet hat, nimmt noch eini­ge Anpas­sun­gen und Ergän­zun­gen an sei­nem Web­auf­tritt vor und das war es. Das mag unbe­quem sein, aber wel­ches Recht ist das nicht. Wen das Daten­schutz­recht bis­her nicht geküm­mert hat, ok, der hat jetzt eini­ges an Arbeit vor der Brust.

Das DSGVO-Blog-Ster­ben

In zahl­rei­chen Medi­en wer­den Schlie­ßun­gen von Blogs ange­kün­digt. Teil­wei­se pri­vat betrie­be­ne Blogs, teil­wei­se sol­che mit kom­mer­zi­el­ler Nut­zung. Schuld dar­an, sei die DSGVO. Schaut man genau­er hin, sind es jedoch oft Blog-Funk­tio­nen, die bereits im alten Daten­schutz­recht nicht kor­rekt umge­setzt waren (obwohl das ging) und nun in der DSGVO erst recht zu Pro­ble­men führen.

Doch der Auf­wand, einen pri­va­ten Blog oder mit­tels des Blogs dar­ge­stell­te gewerb­li­che Web­sei­ten im Sin­ne der DSGVO sau­ber auf­zu­set­zen und zu betrei­ben, ist über­schau­bar. Erst recht kein Grund, jah­re­lang gepfleg­te Dis­kus­si­on und Infor­ma­ti­on online ein­zu­stel­len und zu been­den. Die teil­wei­se pri­vat und mit viel Lie­be geführ­ten Blogs sind Bestand­teil unse­rer Medi­en- und Dis­kus­si­ons­kul­tur und gehö­ren daher bewahrt.

Wir woll­ten nun kei­nen neu­en Bei­trag schrei­ben, wie man z.B. mit Wor­d­Press betrie­be­ne Web­sei­ten DSGVO-kon­form macht. Dazu gibt es diver­se Bei­trä­ge zu Ein­zel­aspek­ten im Web zuhauf. Aber wir haben uns mal hin­ge­setzt (obwohl auch uns und unse­re Kun­den der DSGVO Schuh noch etwas drückt bis zum 25.05.18) und die uns als Anlei­tung geeig­net erschei­nen­den Tipps und Anlei­tun­gen hier zusam­men­ge­stellt. Da zahl­rei­che unse­rer Kun­den Wor­d­Press ein­set­zen, kön­nen die­se mit­tels die­ser Tipps auch gleich wei­ter am rechts­kon­for­men Web­auf­tritt arbeiten.

Wir wis­sen auch, die­ser Bei­trag wird den Tech­nik­ver­sier­ten zu ober­fläch­lich sein, den weni­ger Tech­ni­kaf­fi­nen viel­leicht schon zu spe­zi­ell. Sehen Sie es als Hil­fe­stel­lung und Anre­gung. Mehr nicht.

DSGVO-kon­for­mes Hos­ting von WordPress

Das Ange­bot ist bequem, Regis­trie­rung, 2 Maus­klicks und schon steht die ers­te eige­ne Wor­d­Press-Web­sei­te im Netz, zumeist direkt bei wor​d​press​.com. Um den Daten­zu­griff des Anbie­ters zu unter­bin­den oder zumin­dest ein­zu­schrän­ken, soll­te man jedoch die Wor­d­Press-Instal­la­ti­on selbst hos­ten und betreiben.

Die meis­ten Anbie­ter haben sehr gute Domain-Pake­te mit Ein-Klick-Instal­la­tio­nen. Wirk­lich gute Anbie­ter haben dann neben einem schnel­len und pro­fes­sio­nel­lem Ser­vice bereits eine auf die DSGVO ange­pass­te Vor­la­ge für die Ver­ein­ba­rung der Auf­trags­ver­ar­bei­tung und die Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (kurz TOM) parat und man muss erst gar nicht groß nach­fra­gen oder sich durch Hot­lines quä­len. Wir für unse­re bei­den Blogs (und zahl­rei­che unse­rer klei­ne­ren Kun­den) nut­zen seit Jah­ren die Neue Medi­en Mün­nich als Hos­ter, kurz und knapp als ALL-INKL bekannt.

Im Rah­men der Domain-Pake­te kann mit weni­gen Klicks ein eige­nes Wor­d­Press auf Ihrem Webs­pace instal­liert und ein­ge­rich­tet wer­den. SSL-Zer­ti­fi­kat von Let’s Encrypt kos­ten­los mit dabei zwecks ver­schlüs­sel­ter Kom­mu­ni­ka­ti­on auf und mit Ihrer Web­sei­te (ist ja nicht erst mit der DSGVO Pflicht!)

Wenn Sie schon über eine Wor­d­Press-Web­sei­te ver­fü­gen und nun umzie­hen wol­len, gibt es hier eine tol­le Anlei­tung, wie das funktioniert:

Von Wor​d​Press​.com auf eige­nen Webs­pace umziehen

Nicht daten­schutz­kon­for­me Plugins vermeiden

In einer sau­be­ren Neu-Instal­la­ti­on (und /​ oder dem impor­tier­ten Web­auf­tritt aus dem Punkt zuvor) gilt es nun, geschwät­zi­ge (und damit meist nicht DSGVO-kon­for­me) Plugins zu ver­mei­den oder vor­han­de­ne zu iden­ti­fi­zie­ren und auszutauschen.

Eine gute Über­sicht über DSGVO-kon­for­me Plugins oder Alter­na­ti­ven zu vor­han­de­nen, weni­ger geeig­ne­ten Plugins hat BLOGMOJO in einem tol­len Bei­trag zusammengestellt:

120+ Wor­d­Press-Plugins im DSGVO-Check (mit Lösun­gen, Alter­na­ti­ven und Plugin-Tipps!)

Web­tracking? Weg damit!

Wenn Sie Web­tracking-Funk­tio­nen auf Ihrer Web­sei­te ein­ge­bun­den haben, die­se aber nicht regel­mä­ßig aus­wer­ten und für Über­ar­bei­tun­gen Ihrer Sei­te nut­zen, dann ist das Web­tracking ent­behr­lich. Gera­de wenn Sie Ihre Web­sei­te pri­vat und mit Kom­men­tar­funk­ti­on betrei­ben, dann sehen Sie auch an ande­rer Stel­le, was bei den Besu­chern ankommt und was nicht. Die aktu­el­le Dis­kus­si­on um Web­tracking im Rah­men der DSGVO hat teil­wei­se schon para­no­ide Züge ange­nom­men. Der ein­fachs­te Weg ist daher, die­se Tools erst gar nicht ein­zu­set­zen, wenn Sie die­se nicht aktiv nut­zen oder zur Stei­ge­rung Ihrer Besu­cher­zah­len im kom­mer­zi­el­len Umfeld benö­ti­gen. Wenn Sie einen sinn­vol­len Nut­zen aus dem Web­tracking zie­hen, emp­fiehlt sich der fol­gen­de Beitrag:

Dar­stel­lung der Tracking-Pro­ble­ma­tik im Kon­text der DSGVO von daten​schutz​be​auf​trag​ter​-info​.de

Web­tracking geht mehr oder weni­ger daten­schutz­freund­lich. Eine Emp­feh­lung ist auf jeden Fall ein Tool wie Matomo (ehe­mals Piwik). Dies kön­nen Sie direkt selbst auf Ihrem Webs­pace instal­lie­ren und haben nicht die Pro­ble­ma­tik, dass IP-Adres­sen (und somit per­so­nen­be­zo­ge­ne Daten) an einen Drit­ten über­tra­gen wer­den. Matomo kön­nen Sie bei den Pake­ten guter Pro­vi­der übri­gens auch direkt im Backend mit einem Klick auf Ihrem Webs­pace instal­lie­ren las­sen. Wie dann die Kon­fi­gu­ra­ti­on und Ein­bin­dung auf der Web­sei­te aus­se­hen kann (inklu­si­ve Hin­weis in der Daten­schutz­er­klä­rung) lesen Sie bei­spiels­wei­se hier

Hand­lungs­an­lei­tung: Matomo (ehe­mals Piwik) nach DSGVO rich­tig einbinden

Und jetzt das Sper­rigs­te: Die Datenschutzerklärung

Wenn Sie Ihre Web­sei­te neu auf­ge­setzt haben, dann ken­nen Sie bereits die Funk­tio­nen auf Ihrer Web­sei­te, mit denen dar­auf per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den. Alte Bekann­te sind Kon­takt­for­mu­la­re, News­let­ter, Log­in-/Re­gis­trie­rungs­be­rei­che, Web­tracking, Stel­len­an­ge­bo­te und vie­le mehr. Die­se Ver­ar­bei­tun­gen gilt es jetzt, im Rah­men der Daten­schutz­er­klä­rung (auch nix Neu­es!) den Besu­chern trans­pa­rent zu machen. Die Anfor­de­run­gen an eine Daten­schutz­er­klä­rung sind recht umfas­send und wür­den einen eige­nen Bei­trag nötig machen. Doch es gibt Hil­fe im Netz:

Einen prag­ma­ti­schen Ansatz hat dazu daten​schutz​be​auf​trag​ter​-info​.de in die­sem Bei­trag vor­ge­stellt — Daten­schutz­er­klä­run­gen nach der DSGVO – Tipps zur Umset­zung.

Als Grund­la­ge für eine soli­de Daten­schutz­er­klä­rung kann das Mus­ter des itm der Uni­ver­si­tät Müns­ter genutzt wer­den. Wenn Sie die­ses kon­zen­triert über­ar­bei­ten und anpas­sen, dann ist schon viel gewonnen.

Und ist Wor­d­Press gene­rell DSGVO-konform?

Selbst wenn Sie Wor­d­Press auf Ihrem eige­nen Webs­pace hos­ten, ist Worpress im Moment noch nicht ganz kon­form mit der Daten­schutz­grund­ver­ord­nung. Eini­ge inter­ne Funk­tio­nen müs­sen aktu­ell noch mit Plugins ange­passt wer­den, um Daten­schutz-Kon­for­mi­tät zu errei­chen (das galt aller­dings auch schon vor der DSGVO).

Wor­d­Press selbst hat reagiert und eine Ver­si­on 4.9.6 für den 15.05.2018 ange­kün­digt, in der Tei­le die­ser Anfor­de­run­gen dann direkt in Wor­d­Press inte­griert werden.

Wor­d­Press 4.9.6 bringt Erwei­te­run­gen für die DSGVO

Den siche­ren Betrieb der Web­sei­te garantieren

Eine der Anfor­de­run­gen aus dem Daten­schutz­recht ist, nicht nur zu Beginn, son­dern auch im lau­fen­den Betrieb die Sicher­heit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu gewähr­leis­ten. Das bedeu­tet, mit der rei­nen Instal­la­ti­on und erst­ma­li­gen Anpas­sung von Wor­d­Press ist es nicht getan. Das kos­tet Zeit und Mühe im lau­fen­den Betrieb. Hier hilft es jedoch nicht, auf die ach so böse DSGVO zu schimp­fen. Denn die­se Anfor­de­rung gab es zuvor auch schon im Rah­men der sog. tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen.

Von daher soll­te es selbst­ver­ständ­lich sein, eine Instal­la­ti­on von Wor­d­Press und der genutz­ten Plugins aktu­ell zu hal­ten. Dazu loggt man sich regel­mä­ßig in das Backend von Wor­d­Press ein und öff­net das Unter­me­nü “Aktua­li­sie­run­gen” unter dem Punkt “Dash­board”. Meist wird dort schon mit einer roten Zahl signa­li­siert, wie­vie­le Aktua­li­sie­run­gen für Wor­d­Press, genutz­te Plugins und The­mes zu instal­lie­ren sind. Vor­her aber bit­te ein Back­up anle­gen 🙂 Das geht ganz gut mit­tels des Plugins BackW­pUp https://​de​.wor​d​press​.org/​p​l​u​g​i​n​s​/​b​a​c​k​w​p​up/, es gibt aber auch ande­re Tools für die weni­ger tech­ni­kaf­fi­nen Betrei­ber einer Web­sei­te mit WordPress.

Updates las­sen sich auch auto­ma­ti­sie­ren für alles oder auf bestimm­te Ele­men­te ein­gren­zen. Sol­che Funk­tio­nen sind jedoch mit Vor­sicht zu genie­ßen. Dabei kann es auch durch­aus zu Pro­ble­men kom­men, gera­de wenn feh­ler­be­haf­te­te Updates von Plugins oder The­mes ein­ge­spielt wer­den. Von daher viel­leicht nur auf die rei­nen Wor­d­Press-CMS-Updates beschränken.

Updates sind das eine, Sicher­heits­lü­cken das ande­re Pro­blem. Lücken kön­nen inner­halb von Wor­d­Press selbst, durch Plugins, aber auch durch den Web­ser­ver dar­un­ter ent­ste­hen. Eine gute Mög­lich­keit, den eige­nen Web­auf­tritt regel­mä­ßig auch Schwach­stel­len zu prü­fen (bzw. prü­fen zu las­sen), ist die Initia­ti­ve SIWECOS. Nach Regis­trie­rung eines Nut­zers und der zu prü­fen­den Web­sei­te erhält man zeit­nah einen Sicher­heits­be­richt über den eige­nen Web­auf­tritt. Die dar­in beschrie­be­nen Pro­ble­me las­sen sich jedoch sel­ten selbst lösen, wenn man kein Spe­zia­list dafür ist. Hier soll­ten Sie pro­fes­sio­nel­le Hil­fe zu Rate zie­hen. Bei Pro­ble­men, die auf Sei­ten des Web­ser­vers ange­zeigt wer­den, hilft es, den Pro­vi­der Ihres Webs­paces mit den Ergeb­nis­sen zu kon­fron­tie­ren. Für Ihre eige­ne Wor­d­Press-Instal­la­ti­on holen Sie sich bit­te geeig­ne­ten qua­li­fi­zier­ten Rat.

Für gewerb­li­che Web­sei­ten ist der Auf­wand in all den dar­ge­stell­ten Punk­ten natür­lich deut­lich höher. Je grö­ßer und funk­ti­ons­um­fang­rei­cher Ihr Web­auf­tritt ist, umso mehr müs­sen Sie auch die Nut­zung spe­zia­li­sier­ter Hos­ter oder gleich die Ver­ga­be der gan­zen Web­sei­te an einen kom­pe­ten­ten Fach­mann in Betracht zie­hen. Da sprin­gen die hier genann­ten und zusam­men­ge­fass­ten Maß­nah­men zu kurz. Nichts­des­to­trotz sind wir der Mei­nung, der Hype um die ach so böse DSGVO in Ver­bin­dung mit Web­sei­ten wird hier künst­lich gepusht. Die Anfor­de­run­gen waren auch zuvor schon recht hoch. Und zu meis­tern sind die auf jeden Fall, im Zwei­fel mit exter­ner Unterstützung.

Wei­te­re Rat­ge­ber zum The­ma Wor­d­Press und DSGVO im Netz

“Wor­d­press und die DSGVO” von WP Ninjas

Gui­de von San­dra Mes­ser “DSGVO — mach Dei­ne Wor­d­Press Web­sei­te rechtssicher”

Aus­führ­li­che Beschrei­bung inklu­si­ve der wei­te­ren Anfor­de­run­gen aus der DSGVO von Johan­nes Kübler

Aktua­li­sie­rung die­ses Beitrags

Wer Anre­gun­gen oder Tipps für wei­te­re Links hat, bit­te immer her damit. Wäre doch gelacht, wenn wir eini­ge Ver­zag­te nicht dabei unter­stüt­zen kön­nen, ihren Blog oder ihre Web­sei­te wei­ter zu betreiben.

Klei­ner Hin­weis zum Schluss: Die­ser Bei­trag stellt kei­ne Rechts­be­ra­tung dar. Im Zwei­fel holen Sie sich Rat zum zuge­las­se­nen Fach­mann, sprich einem Anwalt. Gera­de in der Über­prü­fung der Daten­schutz­er­klä­rung eine gute Investition.

Daten­pan­ne bei HIPP — Name, Anschrift und Pass­wör­ter betroffen

Das Bonus­pro­gramm “Mein Baby­Club” des bekann­ten Baby­nah­rung­her­stel­lers HIPP wur­de online ange­grif­fen und erfolg­reich gehackt. Der Anbie­ter infor­miert der­zeit die Teil­neh­mer über den Sach­ver­halt, gibt jedoch kei­ne wei­te­ren Details bekannt. Laut den von HIPP ver­sand­ten Emails an Nut­zer des Pro­gramms wur­den Anfang Mai Unre­gel­mä­ßig­kei­ten im Ser­ver­be­trieb fest­ge­stellt. Die­se wür­den auf einen erfolg­rei­chen Hack hin­deu­ten, durch den Namen, Anschrif­ten, Geburts­da­ten, aber auch Pass­wör­ter von den Sys­te­men des Anbie­ters abge­zo­gen wur­den. Die zustän­di­ge Lan­des­da­ten­schutz­be­hör­de sei informiert.

Auf­la­gen durch das IT-Sicherheitsgesetz

Unab­hän­gig von der Ursa­che für die­sen Hack sind Web­sei­ten­be­trei­ber ver­pflich­tet, not­wen­di­ge Schutz­maß­nah­men zu ergrei­fen, um Daten vor unbe­rech­tig­ten Zugrif­fen zu schüt­zen. Für Web­auf­trit­te heißt es daher, sowohl den Web­ser­ver als auch die Con­tent Manage­ment Soft­ware oder das Shop Sys­tem stets mit aktu­el­len Updates und Sicher­heits­patches aus­zu­stat­ten. Ein regel­m­ßi­ger Blick in die Log­files zwecks Ana­ly­se auf Sicher­heits­ver­stö­ße kann eben­falls nicht schaden.

Daten­pan­ne bei DuMont: Benut­zer­na­men und Pass­wör­ter frei einsehbar

Am gest­ri­gen Sonn­tag wur­de gemel­det, Nut­zer­kon­ten samt Daten von regis­trier­ten Nut­zern der Web­sei­te des DuMont-Ver­lags stan­den stun­den­lang unge­schützt im Netz. Wäh­rend der Ver­lag von einem Hacker­an­griff spricht, scheint eini­ges für inter­ne Schlam­pe­rei zu spre­chen (spie​gel​.de)

Der Ver­lag nahm die betrof­fe­nen Web­sei­ten eini­ge Stun­den nach Mel­dung der Daten­pan­ne off­line. Sie sol­len im Lau­fe des heu­ti­gen Tages wie­der ans Netz gehen. Fatal: Neben den Benut­zer­na­men waren die Pass­wör­ter im Klar­text abge­spei­chert. Nach eige­nen Anga­ben des Ver­lags wur­den die Pass­wör­ter der betrof­fe­nen Accounts zurückgesetzt.

Abmah­nung für den Ein­satz von Goog­le Analytics

Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool ist bei Web­mas­tern recht beliebt. Eine aus Daten­schutz­sicht bean­stan­dungs­freie Umset­zung ist seit gerau­mer Zeit mög­lich. Dabei gilt es jedoch, eini­ges zu beach­ten. Wer sich dar­um nicht küm­mert, kann zukünf­tig vom Wett­be­werb dazu mit recht­li­chen Mit­teln — im Zwei­fel mit­tels Abmah­nung — gezwun­gen werden.

In einer einst­wei­li­gen Ver­fü­gung des Land­ge­richts Ham­burg vom 10.03.2016 mit dem Akten­zei­chen 312 O 127/​16 unter­sagt das Gericht dem Betrei­ber einer Web­sei­te den Ein­satz von Goog­le Ana­ly­tics auf­grund feh­len­der Hin­wei­se auf den Ein­satz, bei­spiel­wei­se im Rah­men der Daten­schutz­er­klä­rung. Das Land­ge­richt Ham­burg droht dem Web­sei­ten­be­trei­ber für den Fall der Zuwi­der­hand­lung gegen die­se Anord­nung ein Ord­nungs­geld von bis zu 250.000 Euro an (als Ersatz Ord­nungs­haft bis zu 6 Monaten).

Nicht ein­deu­tig geklärt ist bis­her, ob § 13 Absatz 1 Satz 1 Tele­me­di­en­ge­setz (TMG) Grund­la­ge für eine Abmah­nung sein kann. Das Ober­lan­des­ge­richt (OLG) Mün­chen hat 2012 die­sen Sach­ver­halt ver­neint. Dem ent­ge­gen hat das OLG Ham­burg in 2013 die Abmahn­fä­hig­keit bestätigt.

Wer dem­nach zur Zeit Abmah­nung und wei­te­res Unge­mach wegen des Ein­sat­zes von Goog­le Ana­ly­tics ver­mei­den will, tut gut dar­an, die Emp­feh­lun­gen aus 2011 für die Ein­füh­rung und Nut­zung von Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool umzusetzen:

  1. Abschluss einer Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG. Eine gemein­sam erar­bei­te­te Vor­la­ge samt Anlei­tung fin­den Sie unter www​.goog​le​.com/​a​n​a​l​y​t​i​c​s​/​t​e​r​m​s​/​d​e​.​pdf oder Sie suchen bei goog​le​.de nach „ana­ly­tics +tos.pdf“.
  2. Detail­lier­te For­mu­lie­rung der Nut­zung in der Daten­schutz­er­klä­rung Ihrer Web­sei­te zusam­men mit dem Hin­weis auf die Wider­spruchs­mög­lich­keit durch das Goog­le Tool „gaop­taut“ inkl. Down­load­link.
  3. Akti­vie­rung der anony­mi­zeIP-Funk­ti­on (Ach­tung: hier­für ist ein geson­der­ter Tracking-Code notwendig!)
  4. Löschen ALLER bis­her zu Unrecht erho­be­nen Daten

Viel Erfolg beim daten­schutz­kon­for­men Ein­satz von Goog­le Ana­ly­tics. Wer es unkom­pli­zier­ter mag, setzt auf das Open Source Tool PIWIK, wie in unse­rem Blog­bei­trag beschrieben.

Die mobile Version verlassen