EU DSVGO für Webworker

WordPress-Spezialist und Rechtsanwalt Udo Meisen beim 13 WordPress Meetup Bonn zum Thema EU Datenschutz Grundverordnung (DSGVO) für Webworker.
WordPress-Spezialist und Rechtsanwalt Udo Meisen beim 13 WordPress Meetup Bonn zum Thema EU Datenschutz Grundverordnung (DSGVO) für Webworker.

Am 4. April 2018 hielt der Bonner Anwalt und WordPress-Spezialist Udo Meisen einen Vortrag zum Thema EU DSGVO für Webworker. Der Vortrag fand bei CoWorking Bonn (Danke Ralph!) im Rahmen des monatlichen Bonner WordPress-Meetup statt.

Disclaimer

Den ganzen Vortrag von Udo kann ich an dieser Stelle nicht wiedergeben, aber einige wichtige Punkte  gebe ich hier wieder.

Vorab: Dieser Beitrag stellt keine Rechtsberatung dar! Ich übe keinen Rechtsberuf aus und kann und darf keine Rechtsberatung leisten. Wer mehr wissen will kann einen Fachanwalt befragen oder unter Wissensschmiede.online ein etwa sechsstündiges, ausführliches Seminar zu dem Thema buchen.

EU DSGVO betrifft nicht nur elektronische Daten und nicht nur Europäer

Eine Wichtige Änderung: Das deutsche BDSG befasste sich bisher nur mit der elektronischen Datenverarbeitung. Die EU DSGVO deckt nun jede Art der Datenverarbeitung ab. Auch der „Notizblock neben dem Telefon,“ so Udo.

Auch der Wirkungsraum wurde ausgedehnt: die EU DSGVO gilt für alle europäischen Unternehmen und für alle Unternehmen weltweit, die mit EU-Bürgern zu tun haben.

Fotografen brauchen Einverständniserklärung zur Datenverarbeitung

Gleich zu Beginn dann der Oberhammer, der alle Fotografen mit einer Fotografenwebseite betrifft: Bisher genügte der branchenübliche Model-Release-Vertrag. Mit der EU DSGVO benötigt der Fotograf nun zusätzlich (und auch rückwirkend für alte Fotos!) eine Einverständniserklärung zur Datenverarbeitung durch das Model.

Damit nicht genug: Das Model darf die Einverständniserklärung jederzeit zurückziehen! Das gilt natürlich nicht nur für Models, sondern für alle Betroffene von Datenverarbeitung.

Wenn man das mal extrem weiterspinnt gibt es bald keinen Film mehr der in der EU gedreht oder gezeigt wird: Wenn ein Komparse seine Einwilligung zurückzieht muss er eigentlich herausgeschnitten werden. Hat ein Hauptdarsteller mal keinen Bock mehr… uiuiuiuiui!

Vertrag zur Auftrags(daten)verarbeitung

Webworker, die an Kundendaten gelangen können, zum Beispiel im Rahmen von Webseitenwartung oder Facebook-Betreuung, zählen zu Auftragsdatenverarbeitern. Deren Kunden müssen mit Ihnen einen Vertrag zur Auftrags(daten)verarbeitung abschließen.

Bisherige ADV-Verträge, beispielsweise mit Google, Webhostern oder Newsletterdiensten, müssen jeweils neu abgeschlossen werden, da die EU DSGVO ausführlichere Angaben verlangt.

Webfonts/Google-Fonts

Das nächste Thema dürfte wieder 99% aller WordPress-Nutzer treffen: Webfonts, die durch Webseiten von externen Servern automatisch heruntergeladen werden fallen ebenfalls unter die EU DSGVO, da hier IP-Adressen und andere Informationen der Nutzer übertragen werden. Dementsprechend müsste der Nutzer sich vorher aktiv („Opt-in“) einverstanden erklären.

Eine einfache, für jeden WordPress Betreiber praktikable Lösung ist derzeit immer noch nicht in Sicht. Von Google ist keine Unterstützung zu erwarten, da man sich hier nicht von der DSGVO betroffen fühlt. Auch bei vielen, vorwiegend US amerikanischen WordPress Core-Entwicklern hat man teilweise wenig Verständnis für „europäische Probleme.“ America First ist ein übles Gift…

Datenschutz-Generatoren

Im Zusammenhang mit Google Webfonts kam Udo auch auf die, teils kostenpflichtigen, Generatoren für Datenschutzerklärungen zu sprechen. Grundsätzlich spricht nichts dagegen, da diese Generatoren einen Großteil der Fälle abdecken. Udo selbst bietet den Teilnehmern seines Vortrags eine kostenfreie Alternative.

Bei den Generatoren im Internet wird bei zumindest einem Anbieter (Ja, der dessen Agenturpartner ich bin) ein Passus verwendet, wonach es ein „berechtigtes Interesse“ zur Nutzung von  Google Webfonts gibt. Das legalisiert nach Art 6 Abs.1 lit.f DSGVO deren Einsatz. Dieses Interesse, nämlich die „einheitliche und ansprechende Darstellung des online Angebotes“ sieht Udo bedenklich, da es DSVGO-konforme Alternativen gibt. „Immerhin,“ so sagt er, „wird der Nutzer über den Einsatz von Google Webfonts informiert.“

Google Chome warnt vor nicht-SSL Seiten

Mit dem nächsten größeren Update wird Google in seinem Browser Chrome aktiv vor Webseiten warnen, die nicht komplett SSL-verschlüsselt sind. Die Maßnahme war schon länger bekannt und wird nun bald umgesetzt. Außerdem, und das ist schon lange umgesetzt, stehen unverschlüsselte Seiten im Ranking der Google-Suche schlechter da.

Viele deutsche Immobilienmakler betroffen

Betroffen von Googles Maßnahme werden unter anderem viele Immobilienmakler sein, die Ihre Webseite für viel Geld bei der Kölner Firma FlowFact beauftragt haben. FlowFact bietet meines Wissens derzeit keine Vollverschlüsselung der Makler-Seite an. Die Makler haben aber auch keine Möglichkeit andere Dienstleister einzusetzen, weil FlowFact alles abgeschottet hat.

Wenigstens ein Damokles-Schwert bleibt den meisten  Webworkern erspart

Solange ein Betrieb nicht mehr als 250 Mitarbeiter hat, keine sensiblen personenbezogene Daten verarbeitet oder die Datenverarbeitung nicht das Kerngeschäft ist, braucht dort kein Verfahrensverzeichnis geführt zu werden. Immerhin etwas, denn davor hat es mich echt gegruselt. Nichts desto trotz, ich nehme den Datenschutz ernst und werde meine Prozesse dementsprechend noch mal prüfen.

Konsequenz für mich

Kunden von Thomas Blüm – Web & Consulting müssen einen A(D)V-Vertrag mit mir abschließen. Das gilt auch für Bestandskunden mit Wartungsvertrag und Kunden, deren Facebook-Seiten ich betreue.

Meine AGB werde ich  kurzfristig dahingehend ändern, dass der Auftraggeber für Webseiten alle erforderlichen Angaben für das Impressum und die Texte für die Datenschutzerklärung liefern muss.

Google Webfonts bleiben vorerst leider ein ungelöstes Thema für mich. Mehrere Teilnehmer des Vortrages haben jedoch angeregt dies zu einem Thema für ein künftiges Meetup zu machen.

70 % aller Webseiten zu langsam für Mobilgeräte

Google hat Anfang 2017 etwa 900.000 mobile Webseiten weltweit getestet. Das Ergebnis: 70 Prozent der Seiten brauchten fast sieben Sekunden für den Startbildschirm und mehr als zehn Sekunden für den kompletten Aufbau der ersten Seite.

Das mag auf den ersten Blick nicht besonders tragisch erscheinen, aber nach drei Sekunden Ladezeit springen mehr als 50 Prozent der Besucher von der Webseite ab und rufen ein alternatives Angebot auf. Wenn man sich dann noch vor Augen hält, daß 63 Prozent der deutschen Bevölkerung Mobilgeräte nutzen (Stand 2016, Quelle: Statista), dann sollte man sich doch langsam Gedanken um die Performance seiner geschäftlichen Webseite machen!

Wie schnell ist Ihre Webseite?

Google bietet hier zwei wichtige Tools:

Google TestMySite. Mit diesem Tool prüfen Sie die Ladezeit Ihrer Webseite und bekommen eine Prognose, wie sich Nutzer auf Grund der Ladezeit verhalten werden.
Google TestMySite. Mit diesem Tool prüfen Sie die Ladezeit Ihrer Webseite und bekommen eine Prognose, wie sich Nutzer verhalten werden.

Testmysite – hier können Sie die Aufbaugeschwindigkeit Ihrer Webseite auf einem Mobilgerät überprüfen lassen und bekommen eine Prognose, wie die Nutzer sich auf Grund der Ladezeit verhalten werden.  Nach dem Test schickt Google Ihnen auf Wunsch Tipps zur Optimierung der Ladezeit zu.

Google PageSpeed Insights - Entwicklertool zur Optimierung von Ladezeiten auf Mobil- und Desktopgeräten
Google PageSpeed Insights – Entwicklertool zur Optimierung von Ladezeiten auf Mobil- und Desktopgeräten

PageSpeed insights – mit diesem Entwicklertool werden die Ladezeiten für Mobil- und Desktopgeräte angezeigt und Optimierungsvorschläge angeboten. Diese erfordern aber meist tiefere Einblicke in die Materie.

Ein weiteres, von Performance-Profis eingesetzte Onlinetool wäre GT Metrix. Sie können aber auch den Firefox-Browser nutzen. Unter Extras / Web-Entwickler / Netzwerkanalyse prüfen Sie die Ladezeit einer Webseite und können Flaschenhälse erkennen. Nebenbei erfahren Sie man auch, wohin sich die Webseite sonst noch verbindet.

Einen wichtigen Tipp bekommen Sie direkt hier von mir: laden Sie Ihre Bilder nicht direkt aus der Kamera auf die Webseite hoch! Skalieren Sie Bilder mit einem Grafikprogramm auf die notwendige Größe und nutzen Sie dann eine verlustfreie Komprimierung. So werden aus 5 gigantischen Megabyte gerade mal 200 Kilobyte. Die Analyse mit Pagespeed Insights liefert Ihnen übrigens die Dateien fertig komprimiert zum herunterladen! Alternativ kann man TinyPNG als kostenloses Onlinetool zur Bildkomprimierung nutzen

Den kompletten Artikel von Google, samt Quellenangaben zu den Google Studien, können Sie hier lesen (Englisch): https://www.thinkwithgoogle.com/marketing-resources/data-measurement/mobile-page-speed-new-industry-benchmarks/

Keine legalen Webfonts mehr ab 2018?

Am 25. Mai 2018 tritt die EU Datenschutz Grundverordnung in Kraft. Eine der Auswirkungen für Webworker und Designer: Es dürfen keine Schriftarten (Fonts, Webfonts) aus dem nicht-EU Ausland auf Webseiten nachgeladen werden.

Die Google Fonts-Webseite. Hier kann man kostenlos Schriftarten (Fonts, Webfonts) laden oder in Webseiten einbinden.
Die Google Fonts-Webseite. Hier kann man kostenlos Schriftarten laden oder in Webseiten einbinden.

Die meisten Content Management Systeme (CMS) wie WordPress laden kostenlose Schriften von Google-Servern in den USA. Genauer genommen sind es die sogenannten Themes. Dabei entsteht die gleiche Problematik wie bei den Like-Buttons von Facebook. Nämlich das Google (oder jeder andere Anbieter) durch das Laden Informationen über Webseitenbesucher erhalten. Da Datenschutz inzwischen auch wettbewerbsrelevant ist – d.H. nicht nur Datenschutzbeauftragte drohen mit Strafen, sondern auch Wettbewerber können abmahnen – droht die nächste, große Abmahnwelle.

Vorsicht Falle

Es gibt zwar PlugIns oder Module, die eine Darstellung solcher Schriften unterdrücken. Diese verhindern aber nicht unbedingt, daß diese Schriften trotzdem im Hintergrund auf den Rechner des Nutzers geladen werden! Darum ist eine genaue Prüfung der Funktion dieser PlugIns erforderlich.

Verifizierungen bei Google und Facebook

Verifizierungsbrief von Google
Verifizierungsbrief von Google

Gestern erfolgten die Verifizierungen meiner Webseite durch Google und der Facebook-Seite durch Facebook.

Beides wichtige Schritte, auch bei meinen Dienstleistungen für Kunden: Sie bedeuten mehr Kontrolle über die Suchergebnisse auf Google und bessere Position bei beiden Diensten. Natürlich wirkt sich eine Verifizierung auch positiv auf das Vertrauen der Besucher aus!

Das graue Verifizierungshäkchen auf der Facebook-Seite. Die blaue Version ist bekannten Personen und Marken vorbehalten. Das unscheinbare kleine Häkchen sorgt für Vertrauen und eine bessere Platzierung!
Das graue Verifizierungshäkchen auf der Facebook-Seite. Die blaue Version ist bekannten Personen und Marken vorbehalten. Das unscheinbare kleine Häkchen sorgt für Vertrauen und eine bessere Platzierung!

Hacked! Warum SEO nach einem Angriff wichtig ist (Update 17.08.2017)

Während der Suchmaschinenoptimierung (SEO) für einen Kunden fiel mir dieser Eintrag bei Google auf, der seit 20 Tagen unverändert so in der Google Suche zu finden war:

Während der Suchmaschinenoptimierung (SEO) für einen Kunden fiel dieser Eintrag bei Google auf, der seit 20 Tagen unverändert so in der Google Suche zu finden war. Darum: Wartungsvertrag! Bildquelle: Google Screenshot vom 16.07.2017
Google Screenshot vom 16.07.2017

Die Seite wurde gehackt. Google hat reagiert und warnt in der Suchmaschine vor der Webseite. Wenn Sie dann nicht reagieren und nach den Gegenmaßnahmen die Seite neu von Google indizieren lassen, dann verlieren Sie Ihr Ranking in der Suche (in den zwei Wochen waren es etwa zehn Plätze) und noch viel schlimmer: Das Vertrauen Ihrer Kunden!

PS. Viel wäre den Besuchern der gehackten Seite dieses mal nicht passiert: Die Seite wurde in eine Werbeschleuder für asiatische Haushaltswaren verwandelt 😀

Nachtrag vom 17.08.2017:  Noch immer sagt Google, die Seite wäre möglicherweise gehackt worden. Das es überhaupt soweit gekommen ist, daß Google die Seite so indiziert hat, lässt darauf schließen, dass es länger gedauert hat den Angriff zu bemerken.