DS-GVO: Jemand hat Merkel aufgeweckt

Irgendjemand hat Frau Merkel geweckt und ihr gesagt man solle Artikel 85 der DS-GVO endlich ziehen und sinnvolle Ausnahmeregelungen schaffen. Zum Beispiel die oft geforderten Freiheiten für Fotografen und Journalisten – immerhin schon zwei Wochen vor Inkrafttreten.  

Fotografieren illegal?!

Zur Erinnerung: auch Fotografien sind Daten und entsprechend hat jeder Fotografierte Rechte nach dem Datenschutz über die er auch aufgeklärt und damit einverstanden sein muss. Ein Umstand, der das Fotografieren im öffentlichen Raum und bei frei zugänglichen Veranstaltungen quasi illegal macht.
Ob die „berechtigten Interessen“ des Fotografen höher wiegen, als die Rechte der Fotografierten werden im Einzelfall die Gerichte entscheiden müssen.

Untätigkeit der Bundesregierung

Andere EU-Länder haben schon längst entsprechende Öffnungsklauseln eingerichtet, denn genau dafür ist Artikel 85 der EU Datenschutz-Grundverordnung eigentlich gedacht. 
 

EU DSVGO für Webworker

WordPress-Spezialist und Rechtsanwalt Udo Meisen beim 13 WordPress Meetup Bonn zum Thema EU Datenschutz Grundverordnung (DSGVO) für Webworker.
WordPress-Spezialist und Rechtsanwalt Udo Meisen beim 13 WordPress Meetup Bonn zum Thema EU Datenschutz Grundverordnung (DSGVO) für Webworker.

Am 4. April 2018 hielt der Bonner Anwalt und WordPress-Spezialist Udo Meisen einen Vortrag zum Thema EU DSGVO für Webworker. Der Vortrag fand bei CoWorking Bonn (Danke Ralph!) im Rahmen des monatlichen Bonner WordPress-Meetup statt.

Disclaimer

Den ganzen Vortrag von Udo kann ich an dieser Stelle nicht wiedergeben, aber einige wichtige Punkte  gebe ich hier wieder.

Vorab: Dieser Beitrag stellt keine Rechtsberatung dar! Ich übe keinen Rechtsberuf aus und kann und darf keine Rechtsberatung leisten. Wer mehr wissen will kann einen Fachanwalt befragen oder unter Wissensschmiede.online ein etwa sechsstündiges, ausführliches Seminar zu dem Thema buchen.

EU DSGVO betrifft nicht nur elektronische Daten und nicht nur Europäer

Eine Wichtige Änderung: Das deutsche BDSG befasste sich bisher nur mit der elektronischen Datenverarbeitung. Die EU DSGVO deckt nun jede Art der Datenverarbeitung ab. Auch der „Notizblock neben dem Telefon,“ so Udo.

Auch der Wirkungsraum wurde ausgedehnt: die EU DSGVO gilt für alle europäischen Unternehmen und für alle Unternehmen weltweit, die mit EU-Bürgern zu tun haben.

Fotografen brauchen Einverständniserklärung zur Datenverarbeitung

Gleich zu Beginn dann der Oberhammer, der alle Fotografen mit einer Fotografenwebseite betrifft: Bisher genügte der branchenübliche Model-Release-Vertrag. Mit der EU DSGVO benötigt der Fotograf nun zusätzlich (und auch rückwirkend für alte Fotos!) eine Einverständniserklärung zur Datenverarbeitung durch das Model.

Damit nicht genug: Das Model darf die Einverständniserklärung jederzeit zurückziehen! Das gilt natürlich nicht nur für Models, sondern für alle Betroffene von Datenverarbeitung.

Wenn man das mal extrem weiterspinnt gibt es bald keinen Film mehr der in der EU gedreht oder gezeigt wird: Wenn ein Komparse seine Einwilligung zurückzieht muss er eigentlich herausgeschnitten werden. Hat ein Hauptdarsteller mal keinen Bock mehr… uiuiuiuiui!

Vertrag zur Auftrags(daten)verarbeitung

Webworker, die an Kundendaten gelangen können, zum Beispiel im Rahmen von Webseitenwartung oder Facebook-Betreuung, zählen zu Auftragsdatenverarbeitern. Deren Kunden müssen mit Ihnen einen Vertrag zur Auftrags(daten)verarbeitung abschließen.

Bisherige ADV-Verträge, beispielsweise mit Google, Webhostern oder Newsletterdiensten, müssen jeweils neu abgeschlossen werden, da die EU DSGVO ausführlichere Angaben verlangt.

Webfonts/Google-Fonts

Das nächste Thema dürfte wieder 99% aller WordPress-Nutzer treffen: Webfonts, die durch Webseiten von externen Servern automatisch heruntergeladen werden fallen ebenfalls unter die EU DSGVO, da hier IP-Adressen und andere Informationen der Nutzer übertragen werden. Dementsprechend müsste der Nutzer sich vorher aktiv („Opt-in“) einverstanden erklären.

Eine einfache, für jeden WordPress Betreiber praktikable Lösung ist derzeit immer noch nicht in Sicht. Von Google ist keine Unterstützung zu erwarten, da man sich hier nicht von der DSGVO betroffen fühlt. Auch bei vielen, vorwiegend US amerikanischen WordPress Core-Entwicklern hat man teilweise wenig Verständnis für „europäische Probleme.“ America First ist ein übles Gift…

Datenschutz-Generatoren

Im Zusammenhang mit Google Webfonts kam Udo auch auf die, teils kostenpflichtigen, Generatoren für Datenschutzerklärungen zu sprechen. Grundsätzlich spricht nichts dagegen, da diese Generatoren einen Großteil der Fälle abdecken. Udo selbst bietet den Teilnehmern seines Vortrags eine kostenfreie Alternative.

Bei den Generatoren im Internet wird bei zumindest einem Anbieter (Ja, der dessen Agenturpartner ich bin) ein Passus verwendet, wonach es ein „berechtigtes Interesse“ zur Nutzung von  Google Webfonts gibt. Das legalisiert nach Art 6 Abs.1 lit.f DSGVO deren Einsatz. Dieses Interesse, nämlich die „einheitliche und ansprechende Darstellung des online Angebotes“ sieht Udo bedenklich, da es DSVGO-konforme Alternativen gibt. „Immerhin,“ so sagt er, „wird der Nutzer über den Einsatz von Google Webfonts informiert.“

Google Chome warnt vor nicht-SSL Seiten

Mit dem nächsten größeren Update wird Google in seinem Browser Chrome aktiv vor Webseiten warnen, die nicht komplett SSL-verschlüsselt sind. Die Maßnahme war schon länger bekannt und wird nun bald umgesetzt. Außerdem, und das ist schon lange umgesetzt, stehen unverschlüsselte Seiten im Ranking der Google-Suche schlechter da.

Viele deutsche Immobilienmakler betroffen

Betroffen von Googles Maßnahme werden unter anderem viele Immobilienmakler sein, die Ihre Webseite für viel Geld bei der Kölner Firma FlowFact beauftragt haben. FlowFact bietet meines Wissens derzeit keine Vollverschlüsselung der Makler-Seite an. Die Makler haben aber auch keine Möglichkeit andere Dienstleister einzusetzen, weil FlowFact alles abgeschottet hat.

Wenigstens ein Damokles-Schwert bleibt den meisten  Webworkern erspart

Solange ein Betrieb nicht mehr als 250 Mitarbeiter hat, keine sensiblen personenbezogene Daten verarbeitet oder die Datenverarbeitung nicht das Kerngeschäft ist, braucht dort kein Verfahrensverzeichnis geführt zu werden. Immerhin etwas, denn davor hat es mich echt gegruselt. Nichts desto trotz, ich nehme den Datenschutz ernst und werde meine Prozesse dementsprechend noch mal prüfen.

Konsequenz für mich

Kunden von Thomas Blüm – Web & Consulting müssen einen A(D)V-Vertrag mit mir abschließen. Das gilt auch für Bestandskunden mit Wartungsvertrag und Kunden, deren Facebook-Seiten ich betreue.

Meine AGB werde ich  kurzfristig dahingehend ändern, dass der Auftraggeber für Webseiten alle erforderlichen Angaben für das Impressum und die Texte für die Datenschutzerklärung liefern muss.

Google Webfonts bleiben vorerst leider ein ungelöstes Thema für mich. Mehrere Teilnehmer des Vortrages haben jedoch angeregt dies zu einem Thema für ein künftiges Meetup zu machen.

WordPress will DSGVO-konform werden

Privacy Policy. Foto: ChristophMeinersmann via Pixabay. Lizenz: CC0 1.0 Universell (CC0 1.0)

WordPress ist derzeit nicht DSVGO-konform

Die Europäische Datenschutzgrundverordnung (DSGVO) tritt Ende Mai 2018 in Kraft. Laut Marc Nilius, Herausgeber des Newsletters „WP Sicherheit“ (einer der wenigen Newsletter, die ich abonniert habe) ist auch WordPress selbst davon betroffen, denn die DSGVO fordert, dass die personenbezogenen Daten der Nutzer nach dem „aktuellen Stand der Technik“ vor Angreifern geschützt werden.

Zum aktuellen Zeitpunkt ist WordPress nicht vollständig DSGVO-konform, es erfasst unötig Daten.

WordPress/Automattic arbeitet daran

Deswegen beschäftigt sich nun ein Team von Freiwilligen mit dieser Problematik. Automattic und WooCommerce (die Jungs und Mädels hinter WordPress) haben angekündigt, Ihre Produkte bis zum Inkrafttreten der DSGVO anzupassen.

Unabhängig davon, denken Sie daran, auch Ihre Datenschutzerklärung an die neuen Anforderungen der DSGVO anzupassen!

Alternative zu Google Webfonts

Die Google Fonts-Webseite. Hier kann man kostenlos Schriftarten laden oder in Webseiten einbinden.
Die Google Fonts-Webseite. Hier kann man kostenlos Schriftarten (Webfonts) laden oder in Webseiten einbinden.

Das Problem

Vor einiger Zeit hatte ich darauf hingewiesen, dass es mit Einführung der EU Datenschutzgrundverordnung Probleme mit den Google Webfonts gibt: nämlich das Google durch das Laden Informationen über Webseitenbesucher erhalten. Außerdem kann das Nachladen von Schriften die Performance der Webseite negativ beeinflussen.

Der Silberstreif

Auf Matthias „Matze“ Kittsteiners Blog zeichnet sich jetzt eine relativ einfache Lösung für WordPress-Nutzer ab: das (legale) kopieren und hosten der Schriften auf einem eigenen Server.

Grundsätzlich ging das bisher auch, war aber etwas komplex, da bei Google nicht alle Formate der Schriftarten verfügbar sind. Wenn man nicht etwas Arbeit investiert kann es mit älteren Browsern Darstellungsprobleme geben.

Wenn ich’s richtig verstanden habe und alles so klappt wie beschrieben, genügt danach eine kleine Anpassung in den CSS-Dateien. Dann wird die Anfrage von Google auf den eigenen Server umgeleitet.

Captcha-Plugin installiert Hintertür

WordPress

Und wieder ist ein bislang vertrauenswürdiges WordPress-Plugin, ein Captcha-Plugin welches auf 300.000 Webseiten aktiv ist, aufgekauft worden um es mit einer Backdoor ausgestattet upzudaten.

Aus Sicherheitsgründen rate ich dringend, nur Plugins aus der offiziellen Quelle zu installieren und zusätzlich auf Zurückziehung zu prüfen. Hierzu gibt es zum Beispiel das Plugin „No Longer in Directory“ von White Fir Design. Das muss zwar manuell aufgerufen werden, warnt aber vor veralteten Plugins und solchen, die aus dem offiziellen Plugin-Verzeichnis entfernt wurden.

Rechtliche Folgen für Webseitenbetreiber

Auf diese Möglichkeit und auch auf die Pflichten und Risiken für Webseitenbetreiber hatte ich bereits hier hingewiesen.

Der ganze Text zu diesem Fall auf Heise: https://www.heise.de/security/meldung/Captcha-Plugin-fuer-WordPress-installiert-Backdoor-3923871.html