Schnellübersicht
- Die DSGVO schreibt vor, dass die Verarbeitung personenbezogener Daten transparent und rechtmäßig sein muss. Dies bedeutet, dass Website-Besitzer sicherstellen müssen, dass sie das Einverständnis der Benutzer einholen, bevor sie personenbezogene Daten sammeln oder verarbeiten.
- Website-Besitzer müssen auch sicherstellen, dass die Daten, die sie sammeln, sicher gespeichert und vor unbefugtem Zugriff geschützt werden.
- Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind oder personenbezogene Daten von EU-Bürgern verarbeiten. Bei Nichteinhaltung können hohe Bußgelder verhängt werden, daher ist es wichtig, dass Website-Besitzer sich über die Anforderungen der DSGVO informieren und sicherstellen, dass sie ihre Websites und Marketingaktivitäten entsprechend anpassen.
Eine Einführung in die DSGVO
Alles unterliegt der ständigen Weiterentwicklung. Auch dieser Beitrag wird aufgrund eigener Erfahrung regelmäßig fortgeschrieben und wird nie vollständig sein.
Folgende Liste zeigt unsere Empfehlungen für Dienstleister, Plug-ins und Tools auf, die datensparsame Alternativen bieten.
Tipps und weitere Alternativen können gerne an info@knallblaumedia.de gesendet werden.
Verbot der Datenverarbeitung außerhalb der EU
Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, wenn in den sogenannten “Drittländern” kein angemessenes Datenschutzniveau herrscht (Art. 44 bis 49 DSGVO). Zu diesen Drittländern gehören derzeit vor allem die USA. Dies zeigen aktuelle und bisherige Urteile unter folgender Zusammenfassung.
Unsere Empfehlung: Die sicherste Variante ist derzeit keine Dienstleister einzusetzen, die selbst oder über deren Dienstleister personenbezogene Daten in die USA oder andere unsichere Drittländer übermitteln.
FISA 702
Das US-Gesetz 50 U.S.C. § 1881a (oder FISA 702) erleichtert den Zugang zu den persönlichen Daten europäischer Nutzer. FISA 702 wurde im Jahr 2008 verabschiedet. Es erweitert die Möglichkeiten der Überwachung und des Datenzugriffs für US-Behörden grundlegend.
Nach FISA 702 können US-amerikanische “Anbieter elektronischer Kommunikationsdienste” (wie in 50 U.S.C. § 1881(4) definiert) gezwungen werden, den US-Sicherheitsbehörden Zugang zu den personenbezogenen Daten von “Nicht-US-Personen” zu gewähren
https://noyb.eu/de/projekt/eu-us-transfers
Ob und inwiefern der US-Geheimdienst Zugriff auf die Daten tatsächlich hat, ist natürlich schwer zu beurteilen. Als Verantwortlicher für die Daten ist es dementsprechend wichtig, diesen Punkt zu kennen und seine Dienstauswahl zu treffen.
Unsere Grundregel lautet daher: Jeder Dienst bzw. Drittanbieter, der eingebunden wird, kann Daten einsehen. Daher achten wir bei unseren DSGVO-Alternativen auf die größtmögliche Datensparsamkeit.
Wie enttarne ich DSGVO-kritische Dienste/Drittanbieter?
Der Schnell-Test mit Webbkoll
Auf der Webbkoll-Website lässt sich eine Analyse durchführen, welche Drittanfragen (Third-Party) ausgeführt werden. Taucht dort eine US-Flagge oder ein US-Unternehmen mit Sitz in der EU auf, besteht sehr wahrscheinlich Handlungsbedarf. Jetzt heißt es Prozesse prüfen und die aktuelle Gesetzeslage inklusive Urteile kontrollieren. Die einfache Frage, die sich jeder selbst stellen kann:
Kann ich als Betreiber einer Website gewährleisten, dass ein angemessenes Schutzniveau besteht?
Bei gewissen Diensten ist es offensichtlich und die Dienste sollten entfernt werden. Die Alternative dazu wäre der Kontakt zum Anbieter oder das Lesen des Datenverarbeitungsvertrages bzw. die Prüfung durch einen Datenschutzbeauftragten bzw. Anwalt.
Hinweis: Webbkoll kann nur Dienste erkennen, die bei der Auslieferung einer Website geladen werden. Es besteht weiterhin die Gefahr, dass innerhalb des WordPress-Backends Daten verarbeitet werden. Das betrifft zum Beispiel Funktionen wie IP-Abgleich zur SPAM-Abwehr innerhalb der Kommentar-Funktion oder eine Eintragung in ein Newsletter-Tool wie Mailchimp.
Prüfung des Datenverarbeitungsvertrages
Als Verantwortlicher einer Website oder weiteren Prozessen mit einer Datenverarbeitung muss ich selbstverständlich auch einen Vertrag durchlesen. Natürlich kann ich mich auf einen Anbieter verlassen und ihm mein Vertrauen schenken.
Schnellen Aufschluss ermöglicht die “Liste der beauftragten Unterauftragnehmer einschließlich der Verarbeitungsstandorte” des Vertrages.
Jedem Betreiber sollte also das Risiko bewusst sein, welche Dienste eingesetzt werden.
Zwischenfazit
Bei unseren Alternativen haben wir einen Blick in die Datenverarbeitungsverträge geworfen. Je nach Zeitpunkt können sich gewisse Faktoren ändern und so ist es auch für uns die tägliche Aufgabe das Thema immer wieder zu beleuchten.
Statistik und Analyse-Tools
Google Analytics (Datenverarbeitung in den USA)
Jetpack von WordPress.com/Automattic (Datenverarbeitung in den USA)
etracker (Datenverarbeitung in Deutschland)
Der Hamburger Statistik- und Analytics Anbieter etracker bietet eine zertifizierte Web-Analyse.
“Zur etracker DNA gehört ein sehr hoher Anspruch an den korrekten und vertraulichen Umgang mit Besucher- und Kundendaten. Als erstem Anbieter von Lösungen zur Analyse und Optimierung von Websites und Online-Marketing Maßnahmen überhaupt wurde uns bereits 2006 nach einem aufwendigen Prüfverfahren durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit die datenschutzrechtliche Konformität bescheinigt.”
https://www.etracker.com/datenschutz/
Im Gegensatz zu Google verarbeitet etracker die Daten nicht für eigene Zwecke. Diverse weitere Punkte sprechen für das Angebot von etracker.
Datenschutzerklärung (DSGVO)
IT Recht Kanzlei*
Die Rechts-Kanzlei bietet einen einfachen Generator für Datenschutzerklärungen, Impressum, AGB und Widerrufserklärungen für diverse Plattformen.
Die WordPress-Schnittstelle übermittelt regelmäßig die generierten Rechtstexte und prüft auch die korrekte Übermittlung. Eine sehr umfassende Datenbank mit Hilfstexten und Handlungsanleitungen rundet das Angebot ab.
Newsletter Tools
MailChimp (Datenverarbeitung in den USA)
CleverReach (Datenverarbeitung in Deutschland)*
Spamschutz für Kontaktformulare
Google reCaptcha (Google, USA)
Der Google Dienst ist effektiv, doch leider wird dieser in den USA gehostet. Diverse Änderungen in der rechtlichen Interpretation von Gesetzen zeigen, dass eine Anpassung zwischen US-Dienstleister Änderungen und der eigenen Seite nötig macht.
Honeypot for Contact Form 7 (WordPress) und div.
Eine effektive Alternative sind sogenannte Honeypot Felder in Formularen. Wird ein Formular händisch programmiert, können versteckte Formular Felder die Spreu vom Weizen trennen. Die Spam-Bots sehen nur häufig den HTML Code in Rohform. Dabei fallen Sie auf die Honeypot-Felder häufig rein. Der menschliche Nutzer bekommt diese nicht zu sehen. Es gibt diverse Plug-ins für die jeweiligen Erweiterungen, die eingesetzt werden. Für WordPress und Contact Form 7 setzen wir das kostenlose Plug-in Honeypot for Contact Form 7 ein.
Wer ein anderes Formular-Plug-in nutzt, kann die Google-Suche nach Pluginname und Honeypot durchführen.
Spamschutz für Kommentare
Akismet Anti-Spam (Automattic, USA)
Antispam Bee (pluginkollektiv.org, Deutschland)
Beide Plug-ins erfreuen sich wachsender Beliebtheit. Jedoch ist bei beiden eine Funktion integriert, die einen Abgleich von IP-Adressen durchführt. Während die Verarbeitung bei Akismet in den USA durchgeführt wird, findet dies bei Antispam Bee höchstwahrscheinlich in Deutschland statt.
Weitere Details über Antispam Bee gibt die Datenschutzerklärung auf der Entwicklerseite jedoch nicht her.
Falls Sie sich für Antispam Bee entscheiden, sollten Sie lediglich darauf achten, dass die drei Optionen „Öffentliche Spam-Datenbank berücksichtigen“, „Kommentare aus bestimmten Ländern blockieren“ und „Kommentare nur in einer bestimmten Sprache zulassen“ ausgeschaltet lassen. Alle drei verarbeiten die IP-Adresse des kommentierenden Besuchers und sind damit nicht DSGVO-konform.
Honeypot Anti-Spam (WordPress)
Wie bei den Kontakt-Formularen gibt es auch für die Kommentare sogenannte Honeypotfelder. Hier fallen die Spam-Bots ebenfalls auf die unsichtbaren Felder hinein. Der menschliche Nutzer bekommt die Eingabefelder nicht zu sehen. Der Bot füllt die im HTML-Code versteckten Felder aus und wird in die Irre geführt.
Für WordPress setzen wir das kostenlose Plug-in Honeypot Anti-Spam ein.
Cookie-Hinweis & Cookie-Consent-Tool, Content-Blocker, Script-Blocker
Cookiebot (Cybot, Dänemark & USA)
Das Tool aus Dänemark verwendet bei genauer Überprüfung einen Serverstandort in den USA. Unter anderem wird eine Verbindung zu consentcdn.cookiebot.com aufgebaut. Laut Webbkoll versteckt sich hinter der IP-Adresse der Anbieter AKAMAI-AS. Ein Blick in die Datenschutzrichtlinie von Cookiebot gibt jedoch keinen Hinweis auf eine Verbindung zu AKAMAI-AS noch Serverstandorte in den USA.
Borlabs.io (Deutschland)*
Borlabs ist ein Hamburger Anbieter mit einem ausgezeichnet entworfenem Cookie-Consent-Tool für WordPress. Schnell installiert und konfiguriert. Inklusive Content-Blocker für die meisten bekannten externen Dienste wie YouTube, Google Analytics etc.
Individuelle Scripte lassen sich ebenfalls hinzufügen und anpassen. Google Analytics oder Google Tag Manager kann zum Beispiel datenschutzkonform erst nach der Zustimmung des Nutzers geladen werden.
Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenInteressante Beiträge
- Was bedeutet der WebP Support ab WordPress 5.8?
- Warum ist es wichtig, eine schnelle Website zu haben?
Hallo vincent,
tolle und ausführliche Auflistung zu einem wichtigen Thema.
Bei einem Punkt haben wir momentan aber noch keine Lösung gefunden: die Kontaktformulare. Mittlerweile haben uns zwei Hoster gesagt, dass eine Absicherung mit Honeypots (und konkret auch mit CF7 und deren Erweiterung) nicht geeignet seien, um SPAM effizient abzuwehren. Ich möchte unbedingt Google reCaptcha vermeiden, sowohl aus meiner persönlichen Einstellung, als auch aus der Tatsache, dass das mit der DSGVO schlecht vereinbar ist. Sowohl Mittwald als auch IONOS beharren aber bei den WordPress-Seiten darauf, dass sie den Mailversand erst wieder freischalten, nachdem eine reCaptcha-Lösung integriert wird.
Hast Du eine Idee dazu`?
Viele Grüße
Sebastian
Hi Sebastian,
ich kenne das von meinem Hoster, dass er die phpmail Funktion deswegen abgeschaltet hat. Die Mails werden also bei mir eh über SMTP gesendet.
Die Aussage von IONOS und Mittwald kann ich nicht ganz nachvollziehen. Ich habe die Kontaktformular mit Honeypots sehr erfolgreich abgesichert. Bei Kommentaren muss ich allerdings gestehen, funktioniert die aktuelle Lösung nicht so gut. Scheinbar hat der Plugin-Entwickler da eine schlechte Umsetzung durchgeführt und wird dadurch leicht erkannt.
Welche Varianten empfehlen denn die beiden Hoster?
Moin Sebastian,
wie ist denn hier dein aktueller Stand mit deinen Hostern?
Hallo Vincent,
ich habe deine Rückfrage jetzt erst gesehen, wegen der XING-Anfrage. Wir haben eine andere Captcha-Lösung empfohlen bekommen, die soweit bei diesen Seiten im Einsatz ist. Bisher haben wir keine negativen Rückmeldungen seitens der Kunden (wegen zuviel SPAM der durchkommt zum Beispiel) und auch nicht von den Hostern.
Das hier ist das System:
https://www.mtcaptcha.com/
Für WordPress-Seiten gibt es sogar ein Plugin dazu:
https://github.com/mtcaptcha-public/MTCaptcha-wordpress-plugin
Hoffe, das hilft noch jemand anderem weiter – eventuell hat auch schon jemand Erfahrung damit?
Viele Grüße Sebastian
Hi Sebastian,
ich kenne das Plugin nicht. In der Vergleichstabelle steht was von GDPR. Was das bedeutet, müsste man sich mal im Detail anschauen. Bedeutet aber dann im Vergleich zu einfachen Honeypot-Feldern mehr Aufwand.
Und ein zweiter Grund: Captchas halten nicht nur Bots auf, sondern auch Menschen, die mit solchen Tools Probleme haben.
Ich habe mich mir die Privacy-Seite angeschaut. Kein Hinweis, wo das Unternehmen sitzt. Es handelt sich laut Kontakt dann um ein US-Unternehmen und damit läuft man Gefahr aufgrund von FISA702 wieder Arbeit mit Datenschutz zu bekommen.
Zum Thema ReCaptcha-Alternativen in WordPress, testet doch bitte mal Folgende:
https://wordpress.org/plugins/gdpr-compliant-recaptcha-for-all-forms/
Funktioniert für alle Formulare, ist unsichtbar, Blockt ausschließlich Spam (bei mir zu 100 Prozent), ohne Cookies und ist auch zu Zwecken der Spam-Markierung einsetzbar, falls man Spam-Mails z.B. im Mail-Programm verwalten möchte.
Moin Matthias, schaue ich mir gerne an. Kannst du mir verraten, warum das ReCaptcha heißt. Kannst du sagen, wie es im Hintergrund funktioniert? Gerne auch direkt per E-Mail. Würde mich natürlich aus Datenschutzgründen interessieren.
Hallo Vincent,
Kannst was zu diesem Plugin sagen? Hast du dir das angeschaut? Grüße Diana
Nein, leider habe ich es zeitlich nie geschafft, weil das mit den Honeypots bis heute völlig ausreicht.
Pingback: Online-Marketing-Analyse – Die Grundlage für erfolgreiche Marketing-Strategien