Mir ist durchaus bewusst, dass dieses Thema bei einigen schon aus den Ohren heraushängt, aber es muss sein. Ich verspreche dafür mich so kurz wie möglich zu halten. ? Wie die allermeisten von euch wissen, kommt am 25. Mai die DSGVO auf uns zu.
Daher liest man in den letzten Wochen und Monaten vermehrt Blog- und andere Artikel zu diesem Thema und welche Änderungen auch auf die Blogger und andere Betreiber von Websites zukommen sollen.
Viele der Artikel sind informativ und nützlich, aber es gibt immer wieder die Artikel in denen gerne mit der Panikkeule geschwungen wird und wo auch manchmal Sachen behauptet werden, die nicht so stimmen und welche noch nicht wirklich gewiss sind.
Ich habe nichts dagegen, dass man in kleinen Dosen mit der Angst der Leser spielt – weil viele erst da aktiv werden – aber in manchen Artikeln hatte man nach dem Lesen das mulmige Gefühl, dass das Abendland ab dem 25. Mai abgebrannt wird.
Das ich mir die schwingende Panik der Leute nicht einbilde zeugen einige der Anrufe der neuen und bestehenden Kunden, die nach dem Überfliegen von Überschriften auf diversen Portalen, bei uns anriefen und fragten ob die nach dem 25. Mai WordPress überhaupt nutzen dürfen?
Als Vorgeschmack auf den Rest des Artikels folgen ein YouTube-Video, welches mit häufigen Falschaussagen aufräumt:
Das Video wird von Youtube eingebettet. Es gelten die Datenschutzerklärungen von Google. Erst nach dem du auf das "Video abspielen" klickst werden die Daten von YouTube geladen.
… und der Blogartikel eines Rechteanwaltes, welches ebenfalls mit ein paar Mythen aufräumt.
Ich nehme mal ein anderes bekanntes Sprichwort und münze es um:
Angst ist ein guter Diener, aber ein schlechter Meister
Es ist gut, dass man aktiv wird und das man u. U. auch besorgt ist. Aber man sollte nicht in Panik verfallen und wie manche anfangen Analytics, Google Fonts Co. zu entfernen. Durchatmen, recherchieren und hinterfragen ist angesagt. Daher würde ich gerne meine Erkenntnisse und Rechercheergebnisse zu diesem Thema gerne mit euch teilen.
Ich weise aber schon mal vorab daraufhin, dass ich kein Jurist bin, sondern lediglich aus meinem Erfahrungsschatz und den eigenen Beobachtungen berichte.
Der Cookie-Banner
Cookie-Banner waren hierzulande bis jetzt nicht notwendig und werden erst einmal auch ab dem 25. Mai 2018 nicht notwendig sein. Der Grund für diese Sache ist, dass man in Deutschland die EU-Cookierichtline nicht (korrekt) umgesetzt hat.
Ein Cookie-Banner ist in Deutschland nicht notwendig und vielfach haben die Leute es relativ problematisch umgesetzt. Häufig verdeckt der Cookie-Banner nämlich die Links zu dem Impressum und der Datenschutzerklärung und die Bestimmung sagt, dass das Impressum leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein
(siehe § 5 TMG)
Ob das zwingend ein Klick sein muss oder ob auch zwei Klicks ausreichen, haben sich in der Vergangenheit Gerichte damit beschäftigt.
Darüber hinaus ist es häufig so, dass man auf dem Smartphone, wenig von der Website zu sehen bekommt, wenn dort diverse Boxen aktiv sind: Cookie-Banner, Newsletter-Box, Benachrichtigungsbox etc.
Was aber auf jeden Fall notwendig ist, sind die entsprechenden Textpassagen bezüglich Cookies auf der Seite mit dem Datenschutztext.
Ausnahme: lediglich bei Nutzung von AdSense musste man einen Cookie-Banner einbinden, da Google selber dies verlangte.
Webfonts und externe CSS-/JS-Verweise
Mehrmals sind mir Anleitungen begegnet, wo empfohlen wird, dass man alle externe Ressourcen, wie Google Fonts, Font Awesome und damit auch alle Einbindungen zu diversen CSS- und JS-Librarys entfernen muss. Argumentiert wird u.a. damit, dass der Datentransfer außerhalb der EU komplett verboten ist. Das stimmt so nicht.
Neben der EU kann man Daten auch an die folgenden Länder Daten schicken:
Andorra, Argentinien, Kanada bei privaten Stellen, die Schweiz, Färöer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland und Uruguay. Japan und Südkorea könnten bald dazugehören.
Quelle: iX, heise-Verlag. In dem gleichen Artikel wird auch gesagt, dass es im Falle von USA ein Ausnahme gibt und zwar für alle Unternehmen, die dem Privacy Shield entsprechen.
Und wenn ich mir die Liste der Unternehmen auf der offiziellen Website anschaue, dann finde ich dort Adobe, Amazon, Automattic und auch Google.
Deswegen bin ich vorsichtig optimistisch, dass man die Webfonts nicht lokal installieren – was in manchen Fällen lizenz-technisch eh nicht erlaubt ist und das man die Schriften, die via Google oder Adobe geladen werden bleiben können. Zumal auch diverse Dienstleister, die DSGVO-Dienste anbieten in ihren Datenschutztexten folgenden (gekürzten) Abschnitt haben:
Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google bereitgestellt werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen. […] Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar. […] Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq und in der Datenschutzerklärung von Google: https://www.google.com/policies/privacy/.
YouTube-Videos
Das Einbetten von YouTube wird als problematisch angesehen, weil schon beim Aufruf einer Seite, auf der das Video eingebettet wird, der Browser des Besuchers mit YouTube kommuniziert. Eine einfache Abhilfe schafft das Aktivieren des erweiterten Datenschutzmodus beim Einbetten von YouTube-Videos:
Das klappt allerdings nur, wenn man den generierte Code von YouTube nutzt. WordPress-Nutzer sind da daran gewöhnt, dass man lediglich den Textlink einfügt und WordPress generiert dann den Player. Aber auch wenn man den erweiterten Datenschutzmodus, aktiviert so wird dennoch das Vorschaubild von YouTube geladen.
Aber mit Hilfe des Plugins Embed videos and respect privacy wird das eingebettete Video “übernommen” und durch eine Vorschaugrafik – welche man auf dem eigenen Server hosten kann – ersetzt und mit einem Hinweis ergänzt. Dadurch erreicht man zwei Sachen gleichzeitig: erst wenn der Leser aktiv auf das Vorschaubild klickt, wird erst das Video von YouTube geladen. Dadurch gewinnt die Seite in Bezug auf die Ladezeit und der Nutzer kann bestimmen ob sein Browser mit dem YT-Server kommunizieren soll.
Wie das in der Praxis ausschaut, sieht man im Video welches ich am Anfang diesen Artikels eingebunden habe.
Es wird wohl ein Mehrteiler
Ursprünglich wollte ich das ganze Thema in einem Artikel abhandeln. Aber je mehr ich schreibe umso mehr reift die Erkenntnis, dass ich froh sein kann, wenn ich es in zwei Teilen schaffe. Im nächsten Artikel, der spätestens am Montag kommen sollte geht es um don VG-Wort-Pixel, die Social-Media-Buttons, Anti-Spam-Plugins usw.
Um euch das Wochenende zu versüßen folgen zwei Links:
DSGVO: Angela Merkel plant angeblich Änderungen in letzter Minute
Angela Merkel nennt manches an der Datenschutzgrundverordnung eine Überforderung und möchte sich noch einmal mit dem zuständigen Innenminister Horst Seehofer über die Umsetzung der DSGVO in Deutschland beraten.
Automattic and the General Data Protection Regulation (GDPR)
We are currently working to add features to enhance user choice and bring more transparency to our practices around the collection, storage, and use of your data. We expect that Automattic products and services will be in compliance with GDPR requirements by May 2018.
Und wir alle wissen hinter welchen Produkten die Firma Automattic steckt: WordPress.com, Jetpack, Akismet, Gravatar etc.
Nur so als Hinweis in eigener Sache: da wir vermehrte Anfragen zu diesem Thema registriert haben, haben wir unsere Urlaubspläne für den kompletten Mai gestrichen und sind somit für das fit machen von Websites in Bezug auf DSGVO zeitlich gut gerüstet. Im Impressum findet man unsere Kontaktdaten.
Die Links aus dem Artikel
- 5 DSGVO-Mythen
- Mein erster DSGVO Rant – Zu viele Mythen und gefährliches Halbwissen zum neuen europäischen Datenschutzrecht
- Wikipedia: Datenschutz-Grundverordnung
- Cookie-Hinweis auf Webseiten: Quatsch oder Pflicht?
- TIPP der Woche: Cookie-Banner: Unnötig oder verpflichtend?
- Abmahngefahr durch Cookie-Banner
- Ein oder doch zwei Klicks zum Impressum?
- DSGVO: Sieben Wege, um Daten in Drittländer zu übertragen
- Wikipedia: Privacy Shield
- Liste der US-Unternehmen unter dem Privacy Shield
- Embed videos and respect privacy
Bildnachweis: CC0-Bild von Pixabay
Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienstleistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.
sorry, das mit webfonts und externen js-dateien wird so nicht gehen.
privacy shield hin oder her, es werden vorab ip-adressen ohne zustimmung des users übertragen. was laut dsgvo nicht geht.
und wenn webseitenbetreiber eine “einheitliche darstellung” oder “performanceverbesserungen” als berechtigtes interesse anführen, ist das ja kindisch.
natürlich meint ein berechtigtes interesse so etwas nicht. wäre dem so, bräuchten wir die dsgvo ja nicht. dann kann ich mir aus allem ein berechtigtes interesse aus dem hut zaubern.
zumal google fonts ja performancekiller und keine performancebooster sind…
Das sehe ich auch so. Wobei die allgemeinen Ausführunger der DSGVO nicht eindeutig einsehen lassen, was als “berechtigtes Interesse” zählt und was nicht. Schlussendlich müssen das dann wieder die Gerichte klären, was dann einige Monate bzw. Jahre dauern dürfte.
Dennoch, wer auf der sicheren Seite sein möchte sollte Google Fonts nicht nutzen.
Ich glaub nicht, dass Google Fonts unter berechtigtes Interesse fällt.
Dann wär allgemeines Datensammeln ja auch im Interesse von diversen Firmen.
Ich glaube nicht, dass die Macher von DSGVO etwas dagegen haben/hatten, dass die IPs übertragen werden, da nur so das TCP/IP-Protokoll funktioniert. Der Google-Font-Webserer, wie jeder andere Website auch, braucht deine IP um zu übertragen.
Die Frage ist lediglich was dann passiert. Es ist schon ein Unterschied, ob ich einen Facebook-Pixel einbaue und da so ziemlich alles abgreift was möglich ist oder ob ich von externer Quelle Schriften oder JS-Bibliotheken einbinde.
Ab dem 25. Mai wird lediglich bestätigt, was schon seit knapp zwei Jahren gilt. Und wäre der Einsatz von Google-Fonts ab dem 25. strafbar, dann wäre es schon jetzt.
Wo liegt denn der Unterschied zwischen dem Facebook-Pixel und dem Einbinden der Fonts? Im Endeffekt läufts auf exakt das Gleiche hinaus!
Ein BSP:
Und weil IPs ja personenbezogene Daten sind, braucht jeder Webseitenbetreiber ja einen “Wisch” zum Thema Auftragsverarbeitung vom Hoster!
Denn: Auch wenn ich selbst die IP nicht abgreife, der Hoster macht das ziemlich sicher. Stichwort: Error-Logs, generelle Logfiles, cold freeze oder ähnliches zur Vorratsdatenspeicherung.
Und genau soetwas passiert auch auf Google Seite.
Die bekommen die IPs des Seitenbesuchers durch das Abrufen der Fonts.
Das ist eine Datenweitergabe von personenbezogenen Daten.
Laut DSGVO ist jede Verwendung von personenbezogenen Daten vorab mal verboten.
Erst durch diverse Gründe ist eine Verarbeitung erlaubt.
Und….welcher Grund in der DSGVO deckt die Verwendung von gFonts????
Genau solche Fälle will die DSGVO ja regeln! Die Weitergabe von personenbezogenen Daten an willkürliche Dritte!
(Da wir beide Techniker sind, wissen wir beide dass die Einbindung von Fonts und JS-Bibliotheken auch anders geht.
Durch CNS durchbricht man schon wieder den Grundsatz der Datensparsamkeit….Und das stand bei euch in Deutschland schon seit Jahren in den Datenschutzgesetzen. Anscheinend gibts halt wenig technisch versierte Juristen bei euch…*gg*)
Ich habe mit Interesse den Artikel gelesen, aber je mehr ich mich mit dem Thema beschäftige, umso mehr wird für mich aus dem “Schreckgespenst” ein “Nebel des Grauens”.
Ich sehe nur noch Paragrafen, verstehe aber nicht wirklich, was es für mich und meinen Blog bedeutet.
Gibt es denn nirgendwo eine wirklich verständliche Zusammenfassung für “Otto-Normal-Verbraucher”?
Oder ein paar Handlungsempfehlungen, Mustertexte wären nützlich.
Ich springe von Link zu Link und verstehe bald nur noch Bahnhof 🙁
Ich habe gesehen, dass in der Kommentarfunktion von WordPress jetzt ein Häkchen gesetzt werden kann bei “Meinen Namen, E-Mail und Website in diesem Browser speichern, bis ich wieder kommentiere.” Erst dachte ich, damit ist die Erlaubnis verbunden, eben diese Daten überhaupt zu speichern. Aber es handelt sich ja offenbar um ein Cookie. Muss ich dann auf diese Cookie-Speicherung in der Datenschutz-Erklärung hinweisen?
Lieber wäre es mir, diese Cookie-Setzung könnte man auch abschalten.
Stattdessen fände ich es sinnvoller, wenn oben im Kommentarfeld nicht nur stünde: “Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert”, sondern außerdem die Besucher darüber informiert werden, was alles automatisch gespeichert wird und dass sie dem mit der Nutzung der Funktion zustimmen. Oder müssen sie sogar explizit zustimmen?
Da liegt die Crux: Eine Zustimmung darf nicht mit der Fuktionsfähigkeit verknüpft werden! Services müssen auch dann funktionieren, wenn der Datenweitergabe NICHT zugestimmt wird. Also ist diese Cookie-Lösung nicht der schlechteste Weg, da damit keine personenbezogenen Daten verarbeitet werden.
Und die Cookie-Sache sehen die meisten falsch: Eine Zustimmung zu Cookies braucht es nur bei Tracking-Cookies o.ä.
Alle Cookies die WP im Auslieferungszustand setzt, bedürfen nicht dieser Zustimmung weils nur für das Eingeloggtbleiben dient.
Das fällt nicht unter die EU-Cookie-Regeln.