Wer bist du?

Seit 30 Jahren bin ich in der Software-Entwicklung tätig, u.a. für Deutsche Telekom/T-Systems, Fresenius, SAP, aber auch in Startup-Projekten.
Ich bin Diplom-Informatiker mit Promotion parallel zu meinem damaligen Angestelltendasein als Organisationsberater. Seit 2008 bin ich selbständig und seit 2017 intensiv am Thema Datenschutz auf Webseiten dran.

Was machst Du gerade?

Unser aktuelles Projekt ist ein innovativer Datenschutz-Service für Webseiten. Wir wurden mit dem Innovationspreis-IT im Bereich IT-Security ausgezeichnet.

Wie bist Du zum Thema gekommen?

Leidvoll, aber um viele Erfahrungen reicher: Über eine erhaltene Abmahnung sowie über zwei Rechnungen für die Nutzung von Wikipedia-Bildern (hier wurden die kaum erfüllbaren Bedingungen des Urheberrechts gemeinfreier Lizenzen ausgenutzt).
Aus allen drei Verfahren bin ich siegreich hervorgegangen und habe so mehrere tausend Euro zugesprochen bekommen.

Was sind die häufigsten Abmahngründe, denen Ihr vorbeugt?

Die Datenschutzerklärung ist so gut wie immer erheblich unvollständig, auch wenn jemand sich schon intensiv mit seiner Datenschutzerklärung abgemüht hat.
Dazu kommen falsch eingebundene YouTube-Videos. Google Analytics wird überraschend oft noch rechtswidrig eingebunden.
Kontaktformulare sind fast nie DSGVO-konform.
Recht häufig sind auch im Impressum Pflichtangaben nicht vorhanden (ist kein Datenschutzthema, kann aber abgemahnt werden).
Und oft ist die Datenschutzerklärung nicht immer mit zwei Klicks erreichbar (es reicht schon, wenn das Problem auf einem Endgerät, etwa dem Smartphone, vorliegt).
Bei Online Marketern ist der Facebook Pixel ein heißes Thema oder auch Email Marketing mit Klick-Tipp.

Wie sieht es mit Datenschutzgeneratoren aus?

Solche Generatoren bieten eine gefühlte Sicherheit, wo keine ist. Ich gebe hier mal ein paar Gründe, warum es keine gute Idee ist, einen Generator zu verwenden.
1) Kaum jemand kann die 20 bis 30 Fragen korrekt beantworten – selbst ich als Informatiker weiß doch nicht mehr, was auf meiner Webseite vor zwei Jahren alles von mir eingebaut wurde
2) Es gibt zigtausend Komponenten (Scripte, Video und Audio Player, Email Dienste etc.). Wie soll man mit 30 Fragen viele tausend Komponenten abfragen?
3) Wie soll ein Generator erkennen, dass man irgendwo auf seiner Webseite YouTube Videos falsch eingebunden hat?

Es ist besser, einen Datenschutzgenerator zu verwenden als gar nichts zu tun. Dann ist man vielleicht bei 75% Sicherheit und kann nur hoffen, wegen der restlichen 25% keine Probleme zu bekommen

Sind die meisten Webseiten nicht gerade jetzt zur DSGVO sicher?

Die Antwort lautet Nein. Über 99% aller deutschen Webseiten enthalten zahlreiche Verstöße, die abgemahnt werden können. Wir haben für viele tausend Webseiten eine Statistik geführt und können das jederzeit belegen.
Allerdings ist schon spürbar, dass die Leute sich mit dem Thema Datenschutz beschäftigen – sie werden ja von Gesetz wegen dazu gezwungen.

Dein außergewöhnlichstes Erlebnis zum Thema Datenschutz?

Ich hatte mal auf einer Konferenz mit einem um 100 Euro gewettet: Wenn seine Webseite, die ich nicht kannte, keine größeren Verstöße enthält, bekommt er die 100 Euro von mir geschenkt.
Er sagte dann, dass seine Website nur aus 4 Seiten besteht. Da hatte ich schon geschluckt. Danach verriet er mir auch noch, dass er Anwälten monatlich einen höheren Betrag zahlt, damit die sich um seine Webseite kümmern.
Nun sah ich mein Geld schon dahinschmelzen. Als ich von der Konferenz zurück zu Hause war, hat es mich ca. 10 Sekunden gekostet, bis ich den ersten großen Verstoß gefunden hatte. Die 100 Euro konnte ich behalten und der Typ durfte seinen Anwälten einen schönen Gruß von mir ausrichten.

Was kann man tun?

Es gibt zahlreiche Maßnahmen, die allerdings in erster Linie nur technikaffine Personen mit viel Zeit und juristischem Hintergrundwissen umsetzen können. Mit viel Geld kann man das Problem sicher auch irgendwie lösen
Leider ist es so, dass die Datenschutzgrundverordnung so strenge Maßstäbe anlegt, dass kein Mensch wirklich in der Lage ist, ganz alleine seine Datenschutzerklärung samt Konfiguration seiner Webseite rechtssicher zu gestalten.

Woran liegt es, dass so viele Verstöße auf Webseiten vorliegen?

Der Hauptgrund ist ganz klar, dass IP-Adressen als personenbezogene Daten gelten. Viele regen sich darüber auf und sind anderer Ansicht. Jedenfalls hatte das der Bundgerichtshof entschieden, damit dürfte die Sachlage klar sein.
Immer, wenn jemand eine Webseite besucht, übermittelt er an den Inhaber der Webseite also seine Visitenkarte. Das ist ganz schön blöd, weil keiner das eigentlich will. Das Internet geht aber nicht ohne…

Muss man sich bei der Integration von Google-Fonts oder Google-Apis (Javascript) auch absichern?

Ja, besser ist das. Wir empfehlen, Google Schriftarten lokal auf dem eigenen Server abzulegen und NICHT von einem Google Server. Das gleiche mit Javascript-Bibliotheken wie jQuery oder Bootstrap.
Letztendlich weiß keiner, was demnächst an Abmahnungen reinkommt. Das Problem: Wenn man eine Abmahnung erhalten hat und nicht ganz sicher ist, alles richtig gemacht zu haben, ist man fast gezwungen, eine Unterlassungserklärung abzugeben. Und das ist nicht gut, denn an eine solche Erklärung muss man sich ein Leben lang halten.

Wie funktioniert Euer Datenschutz-Service?

Grundlage ist eine von mir selbst erstellte Software, das waren viele Monate harte Arbeit. Zusammen mit einer Anwaltskanzlei für IT-Recht haben wir eine juristische Wissendatenbank aufgebaut.
Die Software prüft alle Seiten einer Website auf datenschutzrechtlich relevante Komponenten wie Scripte, Analysetools, Videos, Kontaktformulare, Schriftarten und sonstige externe Ressourcen (wozu auch Bilder gehören).
Das Ergebnis des Software-Befunds nehmen wir und veredeln es durch manuelle Zusatzprüfungen durch geschultes Personal. Beispielsweise stellen wir sicher, dass das Impressum und die Datenschutzerklärung auf allen Endgeräten mit maximal zwei Klicks erreichbar sind. Denn das ist gesetzlich vorgeschrieben.
Wir checken also auch die Funktionsfähigkeit von responsivem Design.
Zusätzlich prüfen wir, ob das Impressum alle allgemeinen Pflichtangaben enthält.

Ist das nicht teuer?

Im Gegenteil. Wir können mit Hilfe unserer intelligenten Software sehr effizient arbeiten und einen superattraktiven Preis anbieten.

Wie lange dauert es bis Ihr eine Seite geprüft habt?

Wir garantieren 14 Tage, schaffen es aber meist in ein bis drei Tagen.
Einmal hatte sich ein Kunde beschwert, weil wir zu schnell waren: Er hatte Sonntag Mittag unseren Datenschutz-Check geordert und wenige Stunden später hatte er – noch am Sonntag – das Ergebnis vorliegen. Wir haben seinen Auftrag ordnungsgemäß und inklusiver manueller Prüfung ausgeführt. Er konnte es einfach nicht glauben und fragte nach, ob wir den mobilen Endgeräte Check wirklich gemacht hätten. Nachdem wir seine Anfrage am Sonntag noch (es war 23 Uhr) beantwortet hatten, war er sehr freundlich und zufrieden.

Wie viele Komponenten kennt Eure Software?

Das sind einige hundert. Die Anzahl wächst täglich, weil wir viele Aufträge abwickeln und unsere Datenbank ständig erweitern. Mittlerweile haben wir einige tausend Websites gecheckt.

Wie groß ist Euer Team?

Wir sind mittlerweile über 10 Personen und haben noch wesentlich mehr Partner, die mit uns Webinare oder Podcasts produzieren.

Was ist das Besondere an Deinem Service?

Webseiten sind ein hochkomplexes technisches Konstrukt. Kein Mensch kann diese vollständig analysieren. Meine selbst entwickelte Software kann das besser als jeder Mensch (Anwalt, DSB, Webmaster).
Der Kunde erhält eine gebrauchsfertige individuelle Datenschutzerklärung und wertvolle Hinweise und Empfehlungen für eine hohe Rechtssicherheit seiner Webseite – und das zu einem super Preis.
Zusätzlich bieten wir eine anwaltliche Absicherung durch eine Kooperation mit einer Anwaltskanzlei für IT-Recht.

Als Sahnehäubchen bekommt der Kunde sogar eine Info, wenn er sogenannte Rechtstexte verwendet, die er lieber nicht einsetzen sollte. Diese schädlichen Texte finden wir und sagen dem Kunden, warum er sie nicht mehr einsetzen sollte.
Das nennen wir einen umfassenden Service.

Wie kommt der Kunde zu seinem Ergebnis?

Dazu ist nur ein Schritt nötig: Nach Bestellung teilt uns der Kunde seine Webseite mit, beispielsweise www.meineseite.de. Danach kann er sich zurücklehnen und wenige Tage später erhält er per Email einen Link auf einen strukturierten Prüfbericht .

Was ist der Prüfbericht?

Der Prüfbericht enthält alles, was man braucht, um endlich ruhig schlafen zu können:
1) Copy & Paste fertige Datenschutzerklärung
2) Lösung für rechtswidrig eingesetzte Komponenten samt Nennung der Seiten, wo sie eingesetzt sind
3) Hintergrundinformationen, etwa zum Facebook Pixel (dazu gibt es sogar eine Anleitung)
4) Anleitungen – oft bebildert – für die Konfiguration von Komponenten und Kontaktformularen
5) Zusätzliche Empfehlungen für maximale Rechtssicherheit
6) Eine Liste mit identifizierten Komponenten
7) Gefundene Plugins samt Empfehlungen. Beispielsweise für WordPress

Hast Du eine Empfehlung für unsere Leser?

Möglichst alles, was nicht unbedingt benötigt wird, von der Webseite entfernen.
Europäische Anbieter gegenüber außereuropäischen bevorzugen, etwa bei Email Marketing.
Wer WordPress einsetzt, für den ist meistens WP Statistics als Analysewerkzeug besser geeignet als Google Analytics.
Am 25.05.2018 erst einmal zwei Wochen Urlaub machen und auch die eigene Webseite in dieser Zeit in Urlaub schicken.
Wer unseren Datenschutz-Service in Anspruch nimmt, erhält die Garantie, dass er nichts zahlen muss, wenn seine Website safe ist.

Gibt es ein Aktionsangebot im Rahmen des Privacy Day?

Ja, Teilnehmer des Privacy Day 2018 in Köln erhalten einen Rabatt in Höhe von 10%. Es lohnt sich also, an unserem Stand vorbeizukommen.

Comments

comments