DSGVO am Praxisbeispiel Joomla!Info

Inzwischen ist es wohl keinem Webmaster entgangen. Ende Mai 2018 tritt die neue DSGVO in Kraft. Ich beschäftige mich ja schon eine ganze Weile mit dem Thema und habe nun auch joomlainfo.ch an die neuen EU-Verordnung angepasst.

Anhand dieses Beispiels, zeige ich dir, was ich gemacht habe und worauf ich den Fokus gelegt habe.

Wenn du nicht weisst, was es mit dem DSGVO auf sicht hat, dann lies bitte zuerst diesen Artikel. Dieser Beitrag ist ein konkretes Anwendungsbeispiel an der eigenen Website: www.joomlainfo.ch. 

Wie bin ich vorgegangen?

Grob zusammengefasst geht es im DSGVO um den Schutz personenbezogener Daten. Also überall dort, wo ich auf meiner Webseite Werkzeuge habe, die es ermöglichen Personen/Maschinen zu tracken, muss ich das als Betreiber einer Website offen legen und den Besucher mehr oder weniger aktiv darauf hinweisen.  

Eigentlich eine gute Sache, würde man meinen. Ja, schon. Doch macht man sich konkret Gedanken, wo bei mir überall Daten erhoben werden, wird das schnell zu einem Fass ohne Boden.

1. Auslegeordnung: Eine Liste alle meiner Datensammler erstellen

Ich schrieb mir mal auf, wo ich überall Daten von meinen Besuchern direkt oder indirekt (über einen Service) erhebe. Das sieht bei mir wie folgt aus:

• Cookies (für Besucher-Hinweise, für die Anmeldungs-Sitzung, für den Warenkorb der Lese-Abos u.s.w.)
• Share Buttons in den Artikeln (die Telefonieren mit den jeweiligen Plattformen Google, Facebook, Twitter etc.)
• Kommentarfunktion (ich binde einen externen Dienst „DISQUS“ ein)
• Multimedia (ich binde Google-Schriften, Videos von YouTube und Wistia via iFrame ein)
• Individualisierte Werbung über Google AdSense (via Geo-Location werden dem Besucher Services aus seiner Region gezeigt)
• Lese-Abos (das Lösen eines Lese-Abos und deren Bezahlung sammelt Benutzerdaten, um Zugang zu den geschützten Artikeln zu geben)
• Bezahldienste wie Paypal & Stripe (Übermitteln der Transaktions-ID, IP Adresse etc.)
• Newsletterversand für Tipps, News und Infos rund um Joomla!
• Kontaktformulare (ich habe 3 davon, eines für die allg. Anfragen, eines für Fehlermeldungen in Artikeln und eines für die Bannerwerbung)
• Interne Website-Suche (Suchfeld rechts oben) und interne Banner Klick-Hits
• Anzeige Modul mit den aktuellen Besuchern und Aboleser die gerade online sind
• Besucher-Tracking (Google Analytics)
• Update-Service watchful.li für Extensions- und Core-Updates

Ich bin mir bewusst, dass ich sicher noch einiges vergessen habe. Hinweise in den Kommentaren oder via Fehlermeldung (grüner Balken) weiter unten sind jederzeit willkommen.

2. Gilt die DSGVO auch für mich in der Schweiz?

Joomla!Info ist eine Webseite mit Server-Standort Schweiz. Und ich als Inhaltsverantwortlicher bin ebenfalls wohnhaft in der Schweiz. Also stellt sich zu allererst die Frage: warum sollte mich die DSGVO interessieren?

Wie bei vielen Rechtsfällen, für welche die Schweiz kein entsprechend gültiges Gesetz hat, übernimmt die Schweiz automatisch EU Recht. So wäre das auch hier nicht ausgeschlossen. Denn das geltende Datenschutzgesetz der Schweiz ist veraltet und befindet sich aktuell in Revision.

Die Wahrscheinlichkeit, dass man vieles, was das DSGVO bereits heute regelt, übernimmt, ist sehr hoch. Spätestens mit dem neuen DSG würde man vieles davon umsetzen müssen, was die DSGVO bereits jetzt schon geregelt hat.

Zusammengefasst: Wenn du ein Freelancer, Unternehmen oder Organisation mit Sitz in der Schweiz bist und deine Angebote/Services an Personen in Deutschland, Österreich und in anderen Staaten der Europäischen Union (EU) anbietest (egal ob kostenpflichtig oder nicht), solltest du die Regeln der DSGVO umsetzen. Quelle: KMU-Portal, Steiger Legal, Karin Zeilinger und Netzwoche

3. Wo fange ich am Besten an?

Grundsätzlich geht es um diese beiden Dinge: Ich muss die „Privacy by design“ und „Privacy by default“ gewährleisten. Was heisst das? Datenschutz by Design bedeutet; datenschutzfreundliche Voreinstellungen. Also alles was ich mit Hilfe von technischen Einstellungen (im CMS oder in den Erweiterungen) anpassen kann. z.B. speichere keine IPs in der DB, setze hier eine Checkbox oder blende einen Hinweis ein, erstelle bei der Suche keine Statistik. usw. Und bei Datenschutz by Default heisst, dass ich nur die Daten meiner Besucher erhebe, die ich auch wirklich brauche. z.B. Geburtsdatum für das Lösen eines Lese-Abo brauche ich nicht, dann frage ich auch nicht danach.

3.1 Impressum/Datenschutzhinweise anpassen
Als Erstes und wahrscheinlich auch als Wichtigstes habe ich meine Datenschutzhinweise überarbeitet. Dabei habe ich das Thema aus dem Impressum losgelöst und als eigener Menüpunkt auf der Seite eingefügt Hier habe ich darauf geachtet, dass ich alle Anwendungsfälle (Umgang/Verarbeitung der Benutzerdaten, Analytics, Cookies, Formulare etc.), die auf meiner Seite möglich sind, aufzuzählen und darzulegen welche Daten sie vom Nutzer erheben. Dafür habe ich mir den Impressums-Generator zur Hilfe genommen. Zudem habe ich die Verlinkung zum Impressum auf „nofollow“ gesetzt. Schliesslich will ich nicht, dass irgendwelche Abmahn-Anwälte so einfach zu meinem Impressum gelangen und mögliche Unzulänglichkeiten (die es wohl sicher gibt) einfach so systematisch beanstanden können. Dabei haben mir die Tips von Christian Kunz geholfen. Quelle: seo-suedwest.de

3.2 Opt-In für das Setzen von Cookies (Cookie-Banner)
Das hast du als Leser live mitbekommen. Besucht man meine Seite zum ersten Mal, wird man mit einem Hinweis informiert, dass ich Cookies verwende. Damit du diesen Hinweis wegbekommst, musst du aktiv auf einen Button klicken (Opt-In Verfahren). Dieser Hinweis erscheint spätestens nach Ablauf von 30 Tagen seit dem letzten Besuch von neuem. Ich weiss, hier diskutiert man, ob man, solange der Nutzer nicht einwilligt, keine Cookies setzen darf. Aber hier macht mir das Joomla!-CMS einen Strich durch die Rechnung. Das System verwendet von Haus aus dieses Identifikations-Verfahren. Auch hier gehen aktuell die Meinungen auseinander. In der Schweiz zumindest, erachtet man den Cookie-Banner als unnötig. Quelle: 80/20 Webdesign

Für das Einblenden des Cookie-Hinweises verwende ich das Kick GDPR Plugin von Niels Nübel. Dies verwendet das wohl beliebteste und am weitesten verbreitetste Cookie Consent, das ich kenne.

3.3 Share-Buttons ersetzen
Meine bisherigen Share-Buttons haben beim Aufruf der Seite im Hintergrund bereits das Teilen vorbereitet. So war es theoretisch möglich, den Besucher, der mein Artikel gerade liest, zurück zu verfolgen. Diese habe ich nun mit dem Plugin MyShariff ersetzt. Der macht die Verbindung zum jeweiligen Dienst erst, wenn die Formulardaten über den Mausklick gesendet werden.

3.4 Opt-In in den Webformularen
Bei allen meinen drei Webformularen habe ich vor dem Absenden eine Checkbox hinzugefügt. Ist diese nicht als „checked“ markiert, kann das Formular nicht versendet werden.

Zudem bringt Breezing-Forms in der Konfiguration die Option mit, dass keine IP-Adresse in der Datenbank gespeichert wird.

Auch RSForm!Pro von RSJoomla bringt ab Version 2.x eine solche Option mit. Zu finden in der Formularverwaltung > Form-Name > Eigenschaften > Formular Eigenschaften > Übermittlung

3.5 Kauf und Nutzung der Lese-Abos
Hier musste ich zwei Dinge machen. Zum einen habe ich ebenfalls eine Opt-In beim Checkout eingebaut und zum anderen habe ich die im Zusammenhang der Webshop-Funktionalitäten verwendeten Datennutzung in die Abobedingungen (s. Absatz D) gepackt.

3.6 „Wer ist online“ – Modul entfernt
Auf der Seite hatte ich jahrelang dieses Modul stehen. Da auch der Benutzername Hinweise zu einer „realen“ Person liefern könnte, habe ich das Modul grad ganz gestrichen.

3.7 Löschen der Kontodaten
Für die Abo-Leser gibt es neu die Möglichkeit, die Benutzerkonten inkl. alle damit verbundenen Daten jederzeit unwiderruflich löschen zu lassen. Jedoch kann man für eine noch laufende Aboperiode keine Rückvergütung geltend machen.

Joomla! bietet von sich aus noch keine solche Möglichkeit Accounts zu löschen. Aber auch hier ist man aktuell am Diskutieren. Das Problem ist, dass allfällige Beiträge, die mit einem gelöschten Benutzer geschrieben wurden, ihre Autoren-Zuordnung verlieren würden.

Nun gibt es da verschiedene Varianten, wie man dieses Problem elegant umschiffen könnte. z.B. könnte man die ID und der Eintrag stehen lassen aber anstelle von „Username XY“ stünde dann „Ghost123“ oder sowas.

3.8 Joomla!-eigene Suchstatistiken und die Klick-Hits bei der Bannerfunktion deaktivieren
Die interne Webseite-Suche in Joomla hat auch eine Suchstatistik integriert. Hier wird festgehalten, was (Begriff), wie oft (Hits) gesucht hat. Diese Art der Erhebung habe ich kurzerhand deaktiviert.

 Selbiges habe ich für die Banner-Komponente gemacht. Ich habe die statistische Erfassung (Klick-Hits) in den Optionen deaktiviert.

3.9 Acymailing
Die Acymailing Newsletterkomponente unterstützt ab der Version 5.10.x die DSGVO-Richtlinien auch. In der Konfiguration gibt es in den Einstellungen einen extra Daten-Sammlungs-Reiter. AboLeser können unter dem Menüpunkt „News per Email“ ihre Datenschutzeinstellungen jederzeit anpassen und falls gewünscht auch einen Export ihrer Daten machen.

4. Ungelöste Baustellen

4.1 DISQUS Kommentare und Multimedia (grundsätzlicher Umgang mit Drittanbieter-Services, die „nur“ eingebunden werden)
Im Moment habe ich noch das Problem mit dem Einbinden vom ganzen Fremdcontent. (Schriften, Kommentare, Youtube, Wistia, watchful.li etc.). Bei DISQUS, YouTube und Wistia habe ich was im Impressum-Disclaimer erwähnt. Aber ich gehe mal davon aus, dass das unzureichend ist. Eigentlich müsste man sämtlichen Content neutral vorausladen und wenn dann ein Nutzer die Seite aufruft, aus dem eigenen Speicher heraus den bereits vorgeladenen Inhalt „neutral“ abgeben können. Ich weiss, das klingt ganz schön absurd. Aber hier war wohl den Beamten aus Brüssel nicht bewusst, was für eine Baustelle/Rechtsunsicherheit sie damit auftun. Wertvolle Tipps sind sehr willkommen.

4.2 Google AdSense Werbung
Bei AdSense verhält es sich so, dass man bislang keine klaren Aussagen dazu machen kann. Offenbar wartet man hier auf die konkrete Umsetzung der Rechtsprechung mit ersten Urteilen. Quelle: Selbstständig im Netz und SWD Rechtsanwälte

5. Wieviel Zeit benötigte die Anpassung?

Am meisten Zeit benötigt sicher das Einlesen und Einarbeiten ins Thema. Das hat bei mir über die gesamte Dauer gesehen, sicher mehrere Tage in Anspruch genommen. Sie war aber auf mehrere Monate verteilt. Die konkrete Analyse und Umsetzung selber hier an der Website hatte ich in wenigen Stunden (ca. 12h) erledigt. Wobei ich ja noch nicht ganz fertig bin.

6. Gibt es nicht ein Plugin für das alles?

Ich weiss, dieser Gedanke ist sehr verlockend. Ich lade und installiere mir ein DSGVO-Plugin aktiviere es und gut ist. Das schafft man locker in fünf Minuten. Ich muss dich enttäuschen. Zwar gibt es die eine oder andere Hilfe (z.B. GDPR oder JA GDPR), die dich auf mögliche Anpassungen hinweist, aber der individuelle Anwendungsfall musst du auch individuell lösen.

Leider verhält es sich bei DSGVO in etwa ähnlich wie bei der Suchmaschinenoptimierung. Eine Zeitlang war auch hier die Meinung verbreitet, ich installiere mir ein gutes SEO-Plugin und dann erscheine ich automatisch bei Google ganz zuoberst.

Zudem versteht es sich von selbst, dass man nicht von irgendwo einen Datenschutzhinweis einer anderen Webseite kopiert. Auch solche Texte sind, wenn nicht ausdrücklich erlaubt, urheberrechtlich geschützt.

7. Fazit

Ich finde den Schutz personenbezogener Daten auch sehr wichtig. Denke ich an die jüngsten Ereignisse mit Facebook bzw. mit Cambridge Analytica finde ich gut, dass es solche Bestimmungen gibt. Jedoch vergleiche ich Facebook, mit meiner bescheidenen joomlainfo.ch Seite, fällt es mir schwer zu glauben, dass ich den gleichen Aufwand betreiben und die gleichen Anforderungen erfüllen sollte, wie ein Millionen-Unternehmen (nicht in Dollars, sondern in Usern).

Ich hoffe, dass die Praxis weitaus kulanter ausfällt, als es der geschriebene Gesetzes-Text vorsieht. Wie ist deine Meinung dazu? Lass es mich unten in den Kommentaren wissen.

Eine gute Sammlung an diversen Anwendungsbeispielen findest du hier.