Im letzten Teil haben wir WordPress installiert, dann kann es ja jetzt endlich mal in die Praxis gehen. Leider nicht, denn es offenbaren sich mit der DSGVO noch einige Probleme, die Beachtung finden müssen. DSGVO? Nie gehört?
DSGVO. Fünf Buchstaben mit großer Wirkung. Worum geht es? Am 25. Mai 2018 tritt die Datenschutzgrundverordnung auf EU-Ebene in Kraft. Klingt nach einem echten Bürokratiemonster, oder? Ehrlich gesagt, ist es das auch.
Aber, auch wenn erstmal viele typische Bürokratie-Absurditäten auftauchen, ist diese Regelung durchaus im Sinne der Internetnutzer. Sie sorgt nämlich dafür, dass die Datensammelwut im Netz eingedämpft wird. Das betrifft aber nicht nur große oder kleine Unternehmen, sondern auch alle Betreiber einer Webseite – und damit eben auch die eigene Webseite des Chores.
Ohne eine Einwilligung des Nutzers dürfen keine Daten erhoben oder übertragen werden. Bei aktueller Lage und dem ersten Besuch einer Webseite müsste der Nutzer also allen möglichen Dingen zunächst zustimmen, bevor auch nur ein Buchstabe dargestellt werden darf. Jeder wäre genervt und das Internet in Europa massiv eingeschränkt.
Dieser Artikel ist ein wenig technisch und vor allem: Er ist keine Rechtsberatung! Wir berichten nur aus unseren eigenen Erfahrungen und Erkenntnissen! Um ganz sicher zu gehen, sollte unbedingt ein Fachanwalt hinzugezogen werden!
Dieser Artikel erhebt auch keinen Anspruch auf Vollständigkeit und kann auch zu einem späteren Zeitpunkt noch aktualisiert werden.
Der Datenschutz in Zukunft
Der aktuelle Fall von Facebook und den „entwendeten“ Nutzerdaten ist aktuell wohl niemandem entgangen. Unklar ist weitgehend, wer jetzt überhaupt Schuld ist. Facebook oder die Nutzer? Hier wird die DSGVO ab Mai eine klare Sprache einführen, denn ohne Erlaubnis dürfen Anbieter (auch chor-heute.de zählt dazu) keine Daten weitergeben. Die dafür angekündigten Strafen sind drastisch und treffen auch Riesen wie Facebook oder Google.
WordPress: Datenschutz im Detail
Was genau hat WordPress nun mit dem Datenschutz zu tun? Das ist doch nur eine Software, mit der ich meine Webseite betreiben kann?
Das stimmt schon, aber WordPress macht in der aktuellen Standardinstallation leider Dinge, die zukünftig nicht datenschutzkonform sein werden. Hersteller Automatic hat zwar Änderungen in den neuen Versionen angekündigt, aber ob diese rechtzeitig verfügbar sein werden, ist nicht sicher.
Problematisch wird es, wenn andere Dienste in die eigene Webseite eingebunden werden. Dazu zählen zum Beispiel Schriften von Google Fonts (wird von vielen Themes verwendet), Anzeigenwerbung oder auch Google Analytics, mit dem die Besuche auf der Webseite analysiert werden können. Bei diesem Verbindungsaufbau findet eine Übertragung der IP-Adresse statt. Das ist insofern kein Problem, solange der Nutzer zustimmt. Und das bei jeder aufgerufenen Webseite immer wieder – als Ergebnis sind extrem genervte Nutzer leicht vorhersehbar.
Aber auch WordPress selbst baut von Haus aus Verbindungen zu US-Servern auf, um zum Beispiel die Gravatare bei Kommentaren einzubinden oder um einen 🙂 in eine Smiley-Grafik umzuwandeln. Wird, wie hier unter diesem Artikel möglich, ein Kommentar abgegeben, speichert WordPress dazu auch noch die IP-Adresse. Die IP-Adresse zählt aber zu den personenbezogenen Daten und darf nur mit Zustimmung gespeichert werden. Es ist also wichtig, diese Funktionen zu deaktivieren. Wie das funktioniert, sehen wir uns weiter unten an.
Die DSGVO gilt auch für Vereine
Leider betrifft die DSGVO nicht nur Unternehmen, sondern jeden Betreiber einer Webseite – und damit eben auch Vereine. Aber nicht gleich verzweifeln und die Flinte ins Korn werfen: Die erforderlichen Anpassungen halten sich in Grenzen und machen gar nicht so viel Arbeit wie es zunächst erscheint.
Wichtig ist nur zu bedenken, was auf der eigenen Webseite passiert. Können Besucher die Beiträge kommentieren? Wird beispielsweise ein Kartenverkauf angeboten? Werden bestimmte Funktionen von externen Anbietern in der Seite eingebettet?
Wann betrifft unseren Verein die DSGVO?
Immer. Sobald personenbezogene Daten von Vereinsmitgliedern oder axternen erfasst und gespeichert werden, gelten besondere Bedingungen. Und da diese nun einmal in jedem Verein erhoben werden, ist auch jeder Verein betroffen. Hier soll es aber im Speziellen nur um die Webseite gehen, Tipps zum weiteren Vorgehen gibt es am Ende des Artikels.
Gehandelt werden muss, wenn auf der Webseite des Vereins zum Beispiel …
- Google Analytics eingebunden ist
- Social-Media-Buttons eingebunden sind
- Google-Fonts eingebunden sind
- ein E-Mail-Newsletter versendet wird
- Kommentare möglich sind
- ein Kontaktformular existiert
- Reservierungen telefonisch oder online möglich sind
Kontaktformulare sind praktisch. Unkompliziert können Webseitenbesucher kurze Nachfragen absenden. Wird das Kontaktformular ausgefüllt, werden beim Absenden automatisch personenbezogene Daten erfasst, mindestens die E-Mail-Adresse.
Das ist auch so in Ordnung, wichtig ist, dass der Besucher durch das Bestätigen einer Checkbox klar signalisiert, dass er der Verarbeitung zustimmt. Dann kann die E-Mail-Adresse gespeichert werden – aber nur zu diesem Zweck!
Es ist also nicht möglich, gleich noch eine E-Mail mit einem aktuellen Konzerthinweis hinterherzuschicken – sofern dem nicht (durch eine weitere Checkbox) zugestimmt wird.
Genauso verhält es sich bei einer Kartenreservierung bzw. einem Kartenverkauf: Nachdem die Veranstaltung stattgefunden hat, müssen die damit in Verbindung stehenden Daten gelöscht werden!
Die WordPress-Kommentare, Emoticons, Gravatare …
Wir müssen leider an dieser Stelle etwas vorgreifen. Bevor technisch in WordPress eingegriffen wird, empfiehlt es sich, ein Child-Theme anzulegen. Ein Theme bestimmt die Optik der Webseite und kann bei WordPress einfach per Klick installiert werden. Sollen selbst Änderungen am Theme vorgenommen werden (was in den folgenden Schritten sein muss), ist es sinnvoll eine Kopie des Themes anzulegen, die von WordPress verwendet wird. Gibt es ein Update des Themes, werden alle Änderungen überschrieben. Die vom Child-Theme bleiben aber bestehen. Das klingt komplizierter als es ist. So wird ein Child-Theme angelegt.
Wird ein Kommentar unter einem Beitrag abgegeben, speichert WordPress automatisch den eingegebenen Namen, die E-Mail-Adresse und die IP-Adresse des oder der Kommentierenden. Name und E-Mail sind ok, erfordern aber einen Hinweis darauf in der Datenschutzerklärung. Die IP-Adresse geht eigentlich auch in Ordnung, da bei rechtlich fragwürdigen Kommentaren diese einer möglichen Strafverfolgung dienlich sein können.
Um hier Arbeit und Ärger zu sparen, empfehlen wir, die IP-Adressen erst gar nicht zu speichern. Zudem sollten Kommentare nicht automatisch, sondern nur manuell freigeschaltet und bedenkliche Kommentare direkt entfernt werden.
Ebenso muss die Kommentarfunktion um eine Checkbox für die Datenschutzhinweise erweitert werden, damit der Nutzer diesen auch zustimmen kann (ob er sie nun wirklich gelesen hat oder nicht).
Während Name und E-Mail-Adresse auch der Fantasie entspringen können, ist eine IP-Adresse auch später noch zurückzuverfolgen. Da die DSGVO vorschreibt, dass personenbezogene Daten nach einem angemessenem Zeitraum gelöscht werden müssen, sind auch die gespeicherten IP-Adressen aus der Datenbank zu entfernen.
Und der Name und die E-Mail-Adresse? Wenn diese gelöscht würden, wäre auch die Kommentarfunktion hinüber. Das ist nicht im Sinne des Seitenbetreibers und daher liegt die Beibehaltung des Namens im berechtigten Interesse – und ist damit erlaubt.
Eine Anleitung, wie die Speicherung der IP-Adressen vermieden und bestehende aus der Datenbank gelöscht werden können, gibt es unter diesem Link.
Da gibt’s noch mehr …
Das ist aber noch nicht alles, was an WordPress geändert werden muss. Im obigen verlinkten Artikel gibt es in den Kommentaren noch Hinweise auf die Deaktivierung der Gravatare und Emoticons. Gravatar ist ein von WordPress eingeführtes System, um bei Kommentierenden bei jeder WordPress-Installation automatisch ein voreingestelltes Profilbild einzublenden. Dieser Service funktioniert mit Servern aus den USA und überträgt bei jedem Seitenaufruf die IP-Adresse des Nutzers an diese Server. Nicht gut.
Emoticons funktionieren ähnlich. Bestimmte Zeichenfolgen wie 😉 kann WordPress auch als lustige Smileygrafik darstellen. Auch dieser Service verursacht eine Verbindung zu einem fremden Server: Ohne Einwilligung nicht erlaubt!
Google Analytics
Sehr beliebt ist Google Analytics. Mit dieser kostenlosen Software lassen sich die Besucher einer Webseite auswerten. Um Google Analytics weiterhin einsetzen zu dürfen, muss ein AV (Auftragsverarbeitungsvertrag) mit Google geschlossen werden. Diesem Vertrag kann auch online zugestimmt werden. Dieses Opt-In ist zu finden unter Verwaltung -> Kontoeinstellungen.
Doch das allein ist noch nicht ausreichend. Auch bei Google Analytics findet eine Übertragung der IP-Adresse statt. Diese kann bzw. muss bei der Übertragung anonymisiert werden. Wie das funktioniert, steht bei ryte.com.
Google Fonts
Damit Webseiten nicht alle gleich aussehen, werden gerne verschiedene Schriften verwendet. Es gibt mehrere Webdienste, die online Schriften für die eigene Webseite zur Verfügung stellen, darunter auch das beliebte Google Fonts. Problem: Diese Schriftarten liegen wieder auf einem anderen Server, Übertragung der IP-Adresse usw.
Hier ist die Online-Welt aber noch nicht sicher, ob die Schriftarten nicht im berechtigten Interesse des Webseitenbetreibers liegen könnten. Alternativ lassen sich die Schriftarten von Google aber auch direkt auf den eigenen Webspace einbinden, wie hier gezeigt wird.
Google AdSense
Mit seinem Werbenetzwerk bietet Google Betreibern von Webseiten die Möglichkeit, mit eingeblendeter Werbung Geld zu verdienen. Die Besonderheit von AdSense war schon immer, dass die Werbung, die auf der Webseite eingeblendet wurde, oft passend zur Thematik der Webseite war.
Weiter ging es mit der personalisierten Werbung. Wenn der Nutzer bestimmte Produkte in einem Online-Shop ansieht, lassen sich diese später auch als Werbung auf anderen Webseiten einblenden.
Dieses Vorgehen benötigt durch die DSGVO eine Zustimmung des Nutzers. Soll AdSense also eine personalisierte Werbung ausspielen, muss der Nutzer, BEVOR die Werbeanzeige überhaupt geladen wird, diesem Vorgehen zustimmen.
Kontaktformulare
Für Kontaktformulare gilt das Gleiche wie für die Kommentare: Für die Verarbeitung der dort eingegebenen Daten muss der Nutzer auf die Datenschutzhinweise aufmerksam gemacht werden. Da WordPress von Haus aus keine Formulare ermöglicht, ist hierfür sowieso ein separates Plugin nötig. Das bekannteste ist ContactForm 7, hier lässt sich auch die entsprechende Checkbox gleich mit in das Formular einbauen.
Eigener Newsletter
Gibt es einen eigenen Newsletter des Vereins, ändert sich grundlegend erstmal nichts. Die bestehenden Empfänger müssen nicht erneut um Erlaubnis gebeten werden, sofern diese Eintragungen alle durch ein Double-Opt-In erfolgt sind, die Anmeldung also durch einen Anmeldelink in einer E-Mail bestätigt wurde.
Anders verhält es sich allerdings, wenn der Versender des Newsletters ein Drittanbieter wie Newsletter2Go oder Mailchimp ist. In diesem Falle bleibt der Anmeldevorgang zwar identisch, der Nutzer muss aber auf die Drittanbieter in den Datenschutzhinweisen hingewiesen werden. Zudem muss mit dem Anbieter ein Auftragsverarbeitungsvertrag geschlossen werden.
Diese Verträge sollten mittlerweile im jeweiligen Kundenbereich zu finden sein.
Webhoster
Da auch der Webhoster im Auftrag der Vereins Daten erfasst (er speichert schließlich alle Eingaben des Nutzers auf Datenbanken in seinem Rechenzentrum), ist auch mit dem Webhoster ein Auftragsverarbeitungsvertrag nötig. Auch diese werden im Kundenaccount bereitgestellt sein.
Aktualisierung der Datenschutzerklärung
Neben dem Impressum ist auch eine Datenschutzerklärung auf der Webseite Pflicht. Doch was soll und muss da alles drin stehen?
Außer Juristen ist kaum jemand in der Lage eine wirklich rechtssichere Datenschutzerklärung so aus dem Stehgreif zu verfassen. Muss auch (glücklicherweise) nicht sein, denn bekannte und auf das Internet spezialisierte Anwaltskanzleien stellen Tools zur Verfügung, mit denen sich die Datenschutzerklärung quasi „zusammenklicken“ lässt.
Diese Generatoren fragen im Vorfeld ab, welche Komponenten auf einer Webseite verwendet werden. Wird zum Beispiel kein Google Analytics verwendet, muss auch kein Hinweis dazu in die Datenschutzerklärung.
Diese zwei Datenschutzgeneratoren empfehlen wir:
DSGVO betrifft nicht nur die Webseite
Das Problem: die DSGVO betrifft nicht nur die Webseite, sondern auch die Verwaltung des Vereins. Da Vereinsmitglieder Ihre Freizeit für die Vereinsarbeit opfern, ist es nicht unbedingt selbstverständlich das dieses Thema bei allen Vorständen bereits angekommen ist.
Worauf bei Vereinen zu achten ist, wird in diesem Artikel auf dsgvo-vorlagen.de erklärt, eine ausführlichere Anleitung über 30 Seiten gibt es hier als PDF direkt vom Landesbeauftragten für den Datenschutz Baden-Württemberg. Auch die Bundesvereinigung Deutscher Orchesterverbände hat ein Merkblatt im PDF-Format herausgegeben.