Datenschutz: Der Guide für Eure Webseite

In meinem letzten Beitrag habe ich bereits über Eure Datensicherheit im Unternehmen gesprochen. Heute gehe ich mit Euch etwas mehr ins Detail und widme mich der Datensicherheit Eurer Webseite. Dabei geht es nicht nur um Datenschutzerklärungen und wie Ihr sie am besten erstellen könnt, sondern auch darum, wie Ihr Eure Webpräsenz rechtlich sauber und sicher aufstellen könnt.

Der langweiligste Endgegner für Websitebetreiber – die Datenschutzerklärung

Ihr kennt es und hasst es: die Datenschutzerklärung. Irgendwie gehört sie dazu, aber wirklich Freudensprünge macht da keiner. Aber wie erstellt Ihr die richtige Datenschutzerklärung? Darauf will ich in diesem Beitrag eingehen.

Grundsätzlich sind die wenigsten unter uns ausgebildete Datenschutzexpert*innen. Um textlich auf Nummer sicher zu gehen, sind Generatoren wie von eRecht24 nützlich. Angeboten werden eine kostenlose Version und ein Premium-Bereich. Dort findet Ihr unter anderem einen „Projektmanager“ und viele weitere Tools für rechtlich saubere Websites.

Daumenregel: Um so spezifischer der Dienst ist, desto eher solltet Ihr auf ein rechtssicheres und abgestimmtes Angebot wie von eRecht24 zurückgreifen.

eRecht24 Premium-Bereich

Welche Dienste muss ich überhaupt in der Datenschutzerklärung erwähnen?

Vor dem Generieren Eurer Datenschutzerklärung geht es erst einmal um die Frage, was überhaupt benötigt wird. Einfach alles anklicken und einfügen ist nicht die Lösung. Denn eine Datenschutzerklärung (kurz DSE) ist nur gültig, wenn Sie die Erklärungen enthält, die notwendig sind.

Eine Nutzer*in soll nicht ewig nach dem Abschnitt suchen, der sich um Google Maps dreht. Klar sind Datenschutzerklärungen häufig schrecklich lang, aber Ihr solltet es auch nicht nutzerunfreundlicher machen als notwendig. Eine Möglichkeit ist es, mit Sprunglinks bzw. sog. Ankern zu arbeiten. Wovon ich Euch zur Strukturierung aber abraten möchte, ist es, Eure DSE in Akkordeons zu setzen. Das schafft unnötige Barrieren, denn die Erreichbarkeit (auch für Menschen mit Handycaps) ist wichtig. Daher ist ein „plain text“ hier immer noch die sinnvollste Herangehensweise.

Mein Credo: Alle Dokumente, die raus gehen, sind die Visitenkarte des Unternehmens und diese Dokumente sollten mitgedacht werden.

WordPress-Plugins: Das oft unerkannte Datenschutzrisiko

Zurück zum Thema: Es gibt Tausend verschiedene WordPress-Plugins, die Ihrer auf Eurer Website einsetzen könnt. Aber was nutzt Ihr wirklich? Und wie interagieren die Plugins mit Euren Besucher*innen? Diese Frage ist zentral und solltet Ihr Euch am Anfang jeder Erklärung stellen. Ein Beispiel: Wenn Ihr einen Messenger-Button einbaut, sammelt Facebook Daten (und es findet ein Datentransfer statt). Diese Datenverarbeitung muss Eure Nutzer*innen erst erlauben. Daneben müsst Ihr auch eine Begründung dafür vorweisen. Diese erklärt Ihr in Eurer DSE.

Natürlich gibt es auch Plugins, die keine Daten sammeln, sondern nur beim Design helfen. Diese Plugins sind im Hinblick auf den Datenschutz nicht wichtig. Am besten hilft immer eine kleine Recherche, wie sich das gewünschte Plugin verhält. Denn wenn es Daten sammelt, müsst Ihr wissen, welche. Wenn nicht, braucht Ihr Euch an dem Punkt keine Sorgen machen.

Wie kann ich mit WordPress-Plugins umgehen, die datenschutzrelevant sind?

Wenn ein Plugin mit Euren Nutzer*innen interagiert, setzt es in der Regel Cookies und hier unterscheidet Ihr, ob diese Dienste für den Besuch wichtig sind. Wenn diese wichtig sind, dann sind die Cookies dementsprechend „Essenziell“ und müssen auch so behandelt werden. Daneben gibt es noch Marketing-Cookies und Statistik-Tools, die Eure Nutzer*innen erfassen. Ein gute Cookie-Box erkennt den Unterschied und sortiert diese entsprechend ein. Wie zum Beispiel Borlabs, worüber ich später noch einmal zu sprechen komme.

Essenzielle Cookies können in der Regel nicht abgewählt werden, wohingegen Marketing und Statistik für den Besuch „unwichtig“ sind. Klar nutzt Du diese Tools um deine Website besser zu machen, aber es gibt immer Daten die irrelevant sind. Wenn Du eine Website für Katzenfutter betreibst, brauchst du nicht zu wissen, ob der/die Besitzer*in lieber lange Spaziergänge am Strand macht, oder ob er/sie 10 Stunden am Tag Netflix schaut.

Und wie erstelle ich nun meine Datenschutzerklärung?

Wenn Ihr jetzt alle Plugins aufgelistet habt, die in der DSE abgebildet werden müssen, folgt der nächste Schritt, die Erstellung. Neben eRecht24 gibt es auch andere Anbieter – schaut einfach mal, welcher zu Euch passt.

Bei den meisten Angeboten gibt es zwei Ebenen. Es gibt die allgemeinen Datenschutzerklärungen, die einen Großteil der notwendigen Erläuterungen abdeckt und dann gibt es wieder (teilweise bezahlte) Dienste, die eine spezifische Erklärung anbieten. Nehmen wir beispielsweise den Newsletter-Service von SendinBlue. Dieser Service muss definitiv erläutert werden. Auf den meisten Seiten könnt Ihr zwar angeben, dass Newsletter verschickt werden, aber die spezifische Erklärung für diesen Dienst beispielsweise gibt es nur gegen Entgelt. Ansonsten bleibt nur die Recherche, und ob diese wasserdicht sind, kann Euch nur ein*e Jurist*in genau sagen.

Die Erklärung als solches ist dann schnell „durchgeklickt“, aber natürlich müsst Ihr wissen, was in Eurer DSE erscheinen soll. Wichtig sind auf jeden Fall:

  • Betroffenenrechte: Welche Rechte haben die Besucher*innen der Website
  • Rechtsgrundlage: Auf welcher Grundlage verarbeitest Du die Daten deiner Besucher*innen
  • Speicherdauer: Wie lange werden die Daten auf der Website gespeichert
  • Server-Log-Files: Trackt der Anbieter Eurer Website, die Besuche
  • Widerspruchsrecht: Der/Die User*in hat das Recht, seine/ihre Daten löschen zu lassen
  • An wen geht der Widerspruch: An Euch als Betreiber*in, natürlich

Bei den kostenlosen Tools müsst Ihr häufig eine Mail-Adresse angeben, bevor Ihr Eure DSE herunterladen könnt. Diese wird dann manchmal – zugegeben ein bisschen ironisch – für Newsletter verwendet. Anschließend fügt Ihr den Text in Eure Webseite ein. Fertig? Noch nicht ganz.

Plugins für den sauberen Einsatz von Keksen 😉

Wenn Ihr Cookies (mhhh, lecker!) auf Der Website benutzt, müsst Ihr Euren Besucher*innen auch die Möglichkeit geben, diese zu blockieren. Demzufolge braucht Ihr – wie so oft – ein Plugin! Wir nehmen dafür Borlabs, denn neben einer großen Auswahl an vorgefertigten Diensten habt Ihr auch die Möglichkeit, Content, der geblockt werden muss, hinter einem Banner verstecken. Und das macht Borlabs hervorragend.

gesperrtes YouTube-Video

Neben Borlabs gibt es auch tausend anderer Anbieter, die eine Cookie-Box anbieten. Manche sind kostenlos, andere kosten Geld. Allerdings setzen wir Borlabs schon seit Jahren ein und können es nur wärmstens empfehlen.

Ergänzung: Die Brandmauer zwischen Euch und den bösen Kapuzentragenden Hacker*innen

Datenschutzerklärung, Cookies – und das war’s? Eine zusätzliche Sicherheitsebene empfehlen wir noch unbedingt. Um Kundendaten zu sichern und um auch die Website abzusichern, nutzen wir das Plugin Wordfence. Wordfence ist eine Firewall, die Ihr einfach auf Eurer Webpräsenz installieren könnt.

Vorsicht bei Wordfence: Wenn Ihr die Mail-Notifications nicht ändert, bekommt Ihr sehr oft sehr viele Mails.

Eine wichtige Funktion von Wordfence ist das Blocken von sog. Brute Force Attacken. Brute Force Attacken sind Versuche, sich wiederholt auf Eurer WordPress-Instanz anzumelden. Um das zu gewährleisten, werden die Anmeldeversuche von diesem Plugin aufgezeichnet. Also jeder, der sich absichtlich oder unabsichtlich anmelden will, wird aufgezeichnet. Deswegen empfehle ich hier den Abschluss eines AV-Vertrages mit Wordfence. Wie bei allem, was gut ist, gibt es natürlich auch bei Wordfence eine Premium-Version, aber für den „Hausgebrauch“ reicht eigentlich die kostenfreie Version.

Zusammenfassung: Datenschutzerklärung, Cookies und Co. – das solltet Ihr wissen

tl;dr

  • In die Datenschutzerklärung gehören alle Dienste, die Ihr auf eurer Internetpräsenz benutzt
  • Ihr müsst eure Nutzer*innen informieren, warum ihr welche Daten verarbeitet
  • User*innen müssen es ablehnen können, unnötige Daten (Marketing/Statistik) zu verarbeiten
  • Mit dem richtigen Tool kannst Du die passgenaue Datenschutzerklärung erstellen
  • Wordfence schützt Deine Website und
  • die richtige Cookie-Box macht Dein Leben leichter
  • Man kann sehr viel im Web anstellen, aber ohne Zweck wird das Mittel nicht heilig.


Heute habe ich über die Datenschutzerklärung, den sauberen Einsatz von Cookies und Firewalls geschrieben. Wie alles im Web ändern sich ständig Dinge. Auch ich bilde mich weiter. Gute Informationsquellen für die Themen „Sicherheit“ und „Recht“ findet Ihr massenweise im Netz. Allerdings verliere ich dann schnell den Überblick, deswegen benutze ich t3n als Informationsquelle und schaue häufiger bei Heise Online oder ähnlichen Medien vorbei. Wo informiert Ihr Euch über die Entwicklungen im Web? Ich bin gespannt, welche Medien Ihr nutzt!

Skip to content