Inside IONOS

Transkript

Zurück zur Episode

[00:00:00] Music.

00:00:08: Hallo und herzlich willkommen zu einer neuen Folge von Inside IONOS. Mein Name ist Andreas Maurer. Mit dem populären Content-Management-System WordPress haben wir uns ja schon in einigen Episoden beschäftigt.

00:00:18: Wer eine neue Webseite startet, ob mit WordPress oder einem anderen System, der wird sich früher oder später sicher auch mit rechtlichen Fragen beschäftigen müssen,

00:00:25: und eine ganz wichtige Rolle dabei spielt sicher auch das Thema Datenschutz. Darum soll es heute bei uns gehen.

00:00:30: Und dazu habe ich mir einen ausgewiesenen Experten für Rechtsfragen rund um WordPress eingeladen. Das ist Udo Meisen. Hallo Udo.

00:00:36: Hallo Andreas. Udo, du warst früher Fachanwalt für Steuerrecht. Jetzt kümmerst du dich um WordPress, Internetrecht etc. Wie bist du dazu gekommen?

00:00:44: Ja, das war eigentlich Zufall. Ich hatte damals als Anwalt immer schon eine Webseite und mir war das immer zu blöd nur eine normale Webseite zu haben, so diese übliche Webvisitenkarte, hallo Welt, hier bin ich.

00:00:54: Und, ich meine, das war Mitte der 90er Jahre, Anfang der 2000er.

00:00:59: Und ich habe dann immer etwas mehr gemacht, habe da über Sachen berichtet und so weiter, und das hat sich dann einfach irgendwann ausgeweitet und irgendwann wurde daraus dann

00:01:09: zuerst ein sehr ambitioniertes Hobby und nachher wurde das dann so viel, dass ich mich entscheiden musste - machst du jetzt die Webseiten weiter oder machst du jetzt die Kanzlei weiter. Dann habe ich mich fürs Hobby entschieden und habe das zum Beruf gemacht.

00:01:21: Wie bist du dann in diese WordPress Community reingeraten? Denn da bist du ja schon bekannt wie ein bunter Hund.

00:01:27: Das ist eigentlich Zufall gewesen. Im Endeffekt, ja, fast zehn Jahre lang habe ich es meine Webseiten betrieben, ohne dass ich was davon wusste,

00:01:36: also dass es so eine Community gibt oder sie jedenfalls nicht so groß wahrgenommen. Oder nicht ganz zehn Jahre, aber acht oder neun Jahre.

00:01:42: Und dann habe ich durch Zufall auf der FrOSCon, das ist hier so eine Konferenz in Köln, Bonner Raum, über freie Software festgestellt, da gibt's ja tatsächlich einen Entwicklerraum, der wurde hier betrieben von

00:01:55: dem damaligen Meetup in Köln oder dem heutigen Meetup in Köln auch noch, und da geht es nur um WordPress, geh doch mal dahin!

00:02:01: So bin ich dazu gekommen, ich habe festgestellt, es gibt eine sehr agile Community, die sich auch einmal im Monat trifft und da bin ich hängengeblieben.

00:02:11: Um vielleicht mal gleich ins Thema einzusteigen - gibt es irgendwie den einen großen Fehler, den häufigsten Fehler in Sachen Datenschutz, der dir bei WordPress-Webseiten oder vielleicht bei Webseiten insgesamt auffällt?

00:02:22: Der größte Fehler ist, glaube ich, dass man einfach zu viel Angst hat.

00:02:25: Die einen sagen, ja, ich möchte gerne, aber ich habe Angst, dass ich was falsch mache, deshalb lasse ich es sein. Das ist der ganz große Fehler, also nur wegen solcher Sachen zu sagen, ich mache es lieber gar nicht.

00:02:36: Und der andere ist, was ich dann ständig sehe, dass da wieder irgendwelche Cookie-Banner drauf sind, weil das muss man ja haben.

00:02:43: Man setzt gar keine Cookies, aber den Cookie-Banner muss man haben, und solche Geschichten. Manchmal sollte man einfach auch mal seinen gesunden Menschenverstand anwerfen und einfach auch manchmal überlegen, brauche ich das.

00:02:57: Das erleichtert manchmal die Umsetzung.

00:02:59: Da schließt vielleicht gleich eine Frage an, die ich mir auch notiert habe, nämlich welche rechtlichen Grundlagen muss ich denn als Webseitenbetreiber wirklich kennen?

00:03:08: Das ist noch nicht mal so viel. Für eine allgemeine Webseite muss ich wissen, dass ich ein Impressum brauche.

00:03:14: Da muss ja nicht viel drin stehen, da muss drin stehen ein Name und eine Adresse, E-Mail-Adresse, und eine zweite Möglichkeit, wie ich elektronisch Kontakt aufnehmen kann. Das ist ja nicht so viel. Das reicht eigentlich schon für eine normale Webseite.

00:03:27: Bei einigen Berufen muss aber mehr drin stehen, okay, aber das sind dann Ausnahmefälle für regulierte Sachen, freie Berufe und sowas.

00:03:36: Ich muss mich ein bisschen auskennen im Datenschutz, insoweit, als dass ich weiß, dass ich die Datenschutzerklärung brauche.

00:03:42: Wenn ich weiß, dass ich sie brauche, finde ich das auch immer. Entweder fragt man mal im nächsten WordPress-Meetup nach, da gibt es genug. Die muss man haben. Aber es gibt ja auch so Datenschutzerklärungsgenerator, die gar nicht so schlecht sind.

00:03:57: Da gibt's ja Möglichkeiten genug.

00:03:59: Das sind Sachen, die ich wissen muss. Alles andere sind eigentlich Sachen, je nachdem, was ich betreibe. Wenn ich natürlich damit eine berufliche Präsenz mache, muss ich eventuell noch irgendwelche berufsrechtlichen Regelungen einhalten.

00:04:09: Wenn ich damit einen Shop betreibe, muss ich mich auch darum kümmern, dass ich da natürlich alles einhalte, was ich aber auch im normalen Leben auch machen muss. Wenn ich einen Shop in der Fußgängerzone betreiben würde, müsste ich die gleichen Regeln einhalten. Also, das sind Sachen, da muss ich mich dann natürlich auch noch zusätzlich darum kümmern.

00:04:22: Aber eine einfache Webseite ist problemlos. Das heißt, wenn ich jetzt einfach mal einen neuen Blog starte mit WordPress, dann muss ich nicht gleich zum nächsten Rechtsanwalt rennen, erstmal?

00:04:31: Nein, wie gesagt, ich brauche ein Impressum, da steht der Name und meine Adresse drin.

00:04:36: Wenn ich die richtige Adresse nicht reinsetzen will, aus welchem Grund auch immer, muss ich mir was einfallen lassen. Aber im einfachsten Fall mein Name, meine Adresse, ich brauche eine kleine Datenschutzerklärung, aber da steht ja auch nur drin,

00:04:48: neben den üblichen Einleitungen und Abschluss, die ich mir einfach rauskopieren kann, weil die sind eh aus dem Gesetz kopiert,

00:04:53: ich betreibe hier einen Blog bei einem Hoster mit einem Auftragsverarbeitungsvertrag, der loggt deine IP-Adresse, und ansonsten mache ich nichts Böses. Das reicht ja schon. Alles andere muss ich nur reinsetzen, wenn ich noch zusätzliche Sachen mache. Wenn ich natürlich sage, ich will jetzt auch noch eine Besucheranalyse oder sonst was haben,

00:05:10: dann muss ich mehr reinschreiben, ansonsten ist die relativ kurz und notfalls, wie gesagt, nehme ich dafür einen der entsprechenden Generatoren, die es im Netz überall gibt.

00:05:20: Das sind jetzt alles eigentlich Punkte, die wahrscheinlich für jede Webseite.

00:05:24: Gibt's bei WordPress irgendwelche Besonderheiten, auf die man als Neueinsteiger achten sollte?

00:05:30: Also erstmal, WordPress. Um eins klarzustellen, wir unterhalten uns über selbst gehostet Webseiten, also die man, zum Beispiel, bei euch hostet unter anderem,

00:05:37: wenn man bei euch ein entsprechendes Paket holt und darauf seine Webseite betreibt. Da brauche ich nicht viel zu beachten. WordPress an sich, von sich aus hat keine großen Datenschutzprobleme, hat ein, zwei Kleinigkeiten, aber die sind

00:05:50: zumindest am Anfang unproblematisch bei einer einfachen Seite. Es gibt bei WordPress, bitte aufpassen, es gibt bei WordPress natürlich auch noch WordPress.com.

00:05:58: Das ist ein Angebot, was eine amerikanische Firma auf amerikanischen Server betreibt, die keinerlei Datenschutzerklärung in einer vernünftige Form rausgibt, also dahinter steckt sogar der Gründer von WordPress oder einer der beiden Gründer, aber

00:06:11: die absolut nicht datenschutzkonform in unserem Sinne arbeiten. Das heißt, deren Sachen muss ich natürlich vermeiden.

00:06:18: WordPress.com kriege ich hier nicht, also das gehostete Paket, da habe ich zwar weniger Probleme mit, weil ich mich um nichts kümmern muss, mir wird die Seite ja schon vorgesetzt praktisch. Das kriege ich hier nicht datenschutzkonform hin, aber wenn ich das auf einer eigenen Seite mache, ist das kein Problem,

00:06:33: Außer vielleicht, es werden immer zwei Plugins mitgeliefert, das eine ist nur so eins, um zu zeigen, wie so ein Plugin funktioniert. Das andere ist so ein Spam-Plugin für Kommentare, das sollte ich auch in Deutschland löschen, das ist in der EU auch nicht zulässig so wie da gemacht.

00:06:46: Das heißt, das ist schon mal wichtig, bei WordPress kann ich ja eben mir Themes herunterladen, eine Unmenge von Plugins. Das heißt, ich muss vom Prinzip her bei jedem Plugin eigentlich noch mal nachschauen, ob das wirklich mit deutschem oder europäischen Datenschutz zusammengeht?

00:07:00: Ja, das Problem taucht ja eigentlich

00:07:03: immer nur dann auf, wenn Daten gesammelt oder übertragen werden. Das heißt, wenn ich ein Plugin habe, was mir nur irgendwas auf meiner Seite anders darstellt oder sonst was - alles unproblematisch. Wenn ich ein Plugin habe,

00:07:16: das Daten von den Besuchern sammelt und dann am besten auf fremde Server zur Verarbeitung überträgt, da muss ich mir überlegen, geht das.

00:07:23: Klassisches Beispiel, ich will zum Beispiel eine Besucherstatistik haben und nimm da Google Analytics. Da muss ich mir überlegen, geht das, geht das nicht. Nein, es geht

00:07:32: in den meisten Fällen nicht so einfach, aber gut, da gibt's auch andere Möglichkeiten. Wenn ich solche Sachen aber auf meinem eigenen Server mache und keine zusätzlichen Daten großartig von den Besuchern einsammle,

00:07:43: ist das ja unproblematisch. Dann kann ich das ohne Probleme machen, kann das auch auf der Webseite installieren. Da passiert datenschutztechnisch ja nix.

00:07:51: Jetzt hast du das in den USA gehostete und gemanagte WordPress.com erwähnt. Es gibt das ja auch bei uns bei IONOS und bei den meisten Webhostern, da hast du ja oft die Auswahl zwischen entweder einem komplett selbst verwalteten WordPress, also du holst dir nackten Webspace oder einen Server und installierst dann dein WordPress

00:08:06: von der Pike auf selbst. Oder aber du holst dir ein Managed-WordPress-Paket, wo der Provider eben schon viele Sachen für dich erledigt im Hintergrund. Gibt's da noch mal Unterschiede oder gibt's da eine Empfehlung, die du in Sachen Datenschutz aussprechen würdest?

00:08:19: Das soll ich nicht vom Datenschutz abhängig machen, was ich da nehme. Ich nehme das, was mir am besten entgegenkommt.

00:08:25: Das heißt, wenn ich sage, ich möchte mich auch technisch ein bisschen selber drum kümmern und so weiter, dann installiere ich selber alles. Wenn ich sage, ich will einfach nur drauf schreiben und um den Technikkram soll sich mein Hoster kümmern, dann nehme ich natürlich ein Managed-WordPress-Paket.

00:08:38: Ob ich jetzt bei euch das eine oder das andere Paket nehme, ist eigentlich egal. Was ich brauche, ist in jedem Fall ein Auftragsverarbeitungsvertrag,

00:08:45: weil ihr verarbeitet so oder so die IP-Adressen der Besucher und damit hat man personenbezogene Daten. Die kriege ich aber ja von einem seriösen Hoster auch immer. Das ist ja kein Thema.

00:08:54: Ob der jetzt benutzt wird, um damit ein Managed WordPress zu realisieren oder ein normales WordPress, das ich selber betreue, das ist vollkommen egal.

00:09:04: Du hast jetzt eine Reihe von Themen schon erwähnt, da kommen wir vielleicht gleich im Detail nochmal drauf, aber so ein Thema, das, glaube ich, über dem Thema Datenschutz in Europa ja immer drüber schwebt, ist die berühmte DSGVO, die Datenschutzgrundverordnung.

00:09:16: Was muss ich da erstmal als Anwender wissen, und dann kommen wir vielleicht auch gleich zu den einzelnen spannenden Fragen, über die man auch regelmäßig was liest und die sicherlich den einen oder anderen betreffen.

00:09:29: Ich muss halt wissen, es gibt in der Datenschutzgrundverordnung zwei Grundmotive. Erstens, es dreht sich nur um personenbezogene Daten. Also,

00:09:38: die IP-Adresse der Besucher meiner Webseite, die ist personenbezogen, kann personenbezogen sein. Wenn ich weitere Sachen habe, ich Namen abfrage, zum Beispiel für Newsletter oder so, wären das auch personenbezogene Daten.

00:09:51: Wenn ich solche Daten habe und zumindest die IP-Adressen habe ich immer, muss ich mich darum kümmern, darf ich sie nur verarbeiten - das ist das zweite Prinzip - so weit wie es mir die DSGVO erlaubt.

00:10:00: Jetzt ist es natürlich relativ einfach. Wenn ein Besucher kommt, darf ich die IP-Adresse als einzige personenbezogen Daten, was ich erstmal ja kriege, natürlich benutzen, um ihm die Seite auszuliefern. Ich darf es benutzen, um Logfiles zu schreiben, damit ich später,

00:10:14: wenn ein Angriff da war, nachgucken kann, was ist denn da schief gelaufen, oder wenn ein Fehler auf der Seite ist, damit ich nachgucken kann, auch Statistiken daraus erheben kann und so weiter.

00:10:24: Damit bin ich eigentlich schon da. Alles andere sind dann Sachen, die ich zusätzlich mache, also wo ich zusätzlich noch hingehe und Angebote mache, ich will unbedingt eine

00:10:35: Google Maps drauf haben, ich will unbedingt Google Analytics drauf haben, weil mir einer gesagt hat, das musst du unbedingt haben. Nein, muss ich nicht, es gibt auch andere Angebote, die besser sind datenschutzrechtlich. Aber sobald ich so etwas habe,

00:10:46: dann muss ich mir überlegen, was brauche ich da, was hat das datenschutzrechtlich für Auswirkungen. Aber die reine Webseite an sich ist relativ unproblematisch.

00:10:55: Dann bleiben wir doch vielleicht gleich mal bei dem Thema Google. Google Analytics ist jetzt auch schon ein paar mal gefallen.

00:11:00: Es ist sicherlich der bekannteste Dienst, um Traffic etc. auf seiner Website zu verfolgen, hat natürlich den großen Charme, dass Google auch weiß, nach welchen Begriffen gesucht wird, sodass man da im Hintergrund viele Verknüpfungen machen kann.

00:11:14: Wie sieht das aus mit Google Analytics und Websites und WordPress?

00:11:18: Ich meine, Google Analytics ist ein Dienst, der hat natürlich seinen Charme insbesondere dadurch, dass er nicht nur gute Auswertungen liefert, sondern auch absolut kostenfrei für den Betreiber ist.

00:11:26: Und wie immer, wenn ein Dienst nichts kostet, sind die Daten der Preis, und das ist hier genauso der Fall. Das Problem, das ich einfach habe, ist,

00:11:35: dass ich Daten meiner Website vertreibe, wie die IP-Adresse und eventuell auch mehr, weil fast jeder Besucher ist ja eingeloggt bei Google mit einem,

00:11:43: wenn er mit dem Handy kommt, mit auf seinem Handy, da sowieso, insbesondere wenn es ein Android ist. Aber auch mit seinem normalen Desktop, bei Google ist eigentlich fast jeder eingeloggt. Das heißt, Google kann

00:11:52: die Webseite dann auch allein dadurch schon vernünftig zuordnen. Google sagt auch nicht, was sie mit diesen Daten alles machen.

00:12:00: Sie haben ja mal behauptet, es wäre nur Auftragsverarbeitung. Nein, ist es nicht, weil sie inzwischen ja auch zugegeben haben, sie benutzen es auch für eigene Zwecke.

00:12:07: Das heißt, ich habe eine Datenübertragung, und eine Datenübertragung ist auch eine der Verarbeitungsformen nach der Datenschutzgrundverordnung, da brauche ich immer eine Rechtfertigung für und da gibt es keine für.

00:12:18: Das könnte ich noch mit der Einwilligung machen. Eine Einwilligung setzt aber voraus, dass ich vorher darüber informiere, was geschieht mit den Daten. Diese Information kann ich nicht liefern, weil die Google mir nicht liefert.

00:12:28: Also, komme ich da

00:12:30: wieder - das dreht sich immer im Kreis, ich komme nicht vernünftig hin, um Google Analytics hundertprozentig datenschutzkonform einzubinden. Da ist dann immer die Frage, brauche ich das auch wirklich.

00:12:40: Es gibt genug andere Angebote,

00:12:42: wenn man unbedingt so eine komplette Auswertung haben will, Matomo oder so, das kann ich mir selber installieren, oder gerade bei WordPress gibt es so kleinere Sachen, mit denen man die Auswertungen auch innerhalb seiner eigene WordPress-Instanz machen kann.

00:12:55: Da ist das alles kein Problem und das ist dann viel einfacher. Das heißt, die Krux ist dabei jetzt eigentlich, dass ich die Daten wirklich nur bei mir lokal speichere auf demselben Server, auf dem auch mein WordPress liegt?

00:13:06: Zum Beispiel, ja. Und die Frage ist auch immer, wie viel Auswertung betreibe ich.

00:13:11: Ich will ja im Zweifelsfall nur wissen wie viele Leute kommen auf meine Seite, wo genau sind die auf meiner Seite

00:13:17: und wo brechen Sie vielleicht ab, wo gehen sie noch weiter, was sind beliebte Artikel, was sind Artikel, die gar nicht gehen. Einfach damit ich auch weiß, was ich in Zukunft noch vielleicht verbessern muss

00:13:27: oder wo ich noch mehr machen muss. Alles keine Frage, das geht über das sogenannte berechtigte Interesse, das kann ich jederzeit machen.

00:13:33: Gut, ich muss in der Abschlusserklärung, wenn ich das so mache, eine Logout-Möglichkeit geben, also dass derjenige sagt, ich will das aber nicht mitmachen, aber gut. Da gibt's die Vorlagen für alle diese Plugins.

00:13:45: Bei Google Analytics habe ich ja noch weitergehende Auswertung, nämlich bei Google selber für deren Zwecke, und die lassen sich halt darüber nicht rechtfertigen. Das ist das Problem dabei.

00:13:54: Okay, dann also etwas wie Matomo oder die WordPress-eigenen Lösungen auf jeden Fall bevorzugen.

00:14:02: Anderes Google Thema, das gerade so in den letzten zwei, drei Monaten massiv Wellen geschlagen hat, sind die sogenannten Google Fonts, also Schriftarten,

00:14:11: die Google, großzügig wie sie sind, kostenlos der Welt zur Verfügung gestellt hat, und da gabs ja eine Reihe von Abmahnungen, die durchs Netz geistert sind.

00:14:19: Was ist da der Hintergrund und wie schätzt du das rechtlich ein? Ach, das war einfach eine große Blase. Es hat mal ein Urteil gegeben des Landgerichts München 1,

00:14:29: in einem Verfahren, wo sich zwei Unternehmer gegenseitig behagt haben. Das ist alles geplatzt und das einzige, was da eine Rolle gespielt hat und eine der ganz wenigen Punkte, die übrig blieben,

00:14:37: war, dass der eine auf der Webseite tatsächlich Google Fonts einsetzt. Google Fonts, muss man sagen, sind open-source Fonts, also frei einsetzbar Fonds, die Google einfach nur auf einem Server bei sich mal

00:14:48: zusammengestellt hat, damit man sie aus einem zentralen Pool einfach leichter einbinden kann.

00:14:53: Am Anfang waren da noch Gedanken dahinter, natürlich das Web schneller zu machen, weil es gecached wird und so. Das funktioniert in den heutigen Einstellungen der Browser alles nicht so. Es ist eigentlich nur übrig geblieben, es ist für den Entwickler

00:15:05: bequemer,

00:15:06: weil er einfach nur diesen Google-Font-Server einbinden muss, statt die Schrift selber auf den Server zu laden und von dort einzubinden. Und Google hat da eine Möglichkeit, natürlich auch die Daten der Webseitenbesucher abzugreifen.

00:15:20: Ob sie das tun oder nicht, ich weiß es nicht. Google behauptet auf seiner Webseite nein, sie tun es nicht.

00:15:25: In einem Verfahren in Österreich haben sie mal vorgetragen, dass sie das tun, aber nur in ganz kleinem Umfang. Danach haben sie wieder behauptet, sie tun es nicht, also wir wissen es nicht.

00:15:33: Aber bei den Abmahnungen gab es auch Berichte, dass es da auch schon die ersten Klagen gegen die abmahnenden Kanzleien gab, also das ist schon auch

00:15:41: eine halbseitige Sache.

00:15:43: Da kam auch noch eins dazu. Das Landgericht München 1 hatte damals es sich einfach gemacht. Es gibt mehrere Gründe, warum Google Fonts problematisch sind. Einer der Gründe war, dass es auf Servern in Amerika gespeichert wird, und wir kennen das alle mit Schrems und Facebook, diese beiden Urteile des Europäischen Gerichtshofs, und das letzte hat ja das Privacy Shield kaputt gemacht. Und seitdem

00:16:04: ist eigentlich der Datentransfer in die USA nur sehr eingeschränkt möglich, und darauf hat man sich gestürzt und hat gesagt, okay,

00:16:13: der Datentransfer auf die Server in den USA für Google Fonts und da wird die IP-Adresse hin abgefragt und dorthin transportiert für die Google Fonts,

00:16:22: das ist so nicht zulässig.

00:16:24: Damit hat es sich das Landgericht einfach gemacht, durfte es ja auch - wenn ein Anspruch aus einem Grund begründet ist, brauche ich die anderen Gründe nicht mehr zu prüfen. Und da haben sich auch die Abmahner drauf gestürzt und haben gesagt, okay, es wird nachher auf Server nach Amerika transferiert

00:16:37: und deswegen ist das unzulässig und deswegen haben wir jetzt einen Schadenersatz- und Schmerzensgeldanspruch.

00:16:43: Das Landgericht hatte damals 100 € in dem einen Fall ausgeurteilt, sie haben dann 100-170 € geltend gemacht, also auch in dem Bereich.

00:16:49: Der Witz bei der Sache ist nur, Google hatte damals relativ zügig reagiert.

00:16:55: Und wenn man jetzt mal guckt, man braucht nur mal einen Pingback zu machen auf die Google Fonts APIs, dann wird man feststellen, man landet in Frankfurt, also man landet gar nicht mehr in den USA. Das Argument gilt nicht. Dazu kam auch, dass die Abmahnschreiben, zumindest die Abmahnschreiben der beiden Anwälte,

00:17:14: die da groß durch die Presse gingen, weil sie da die großen Wellen gemacht haben,

00:17:17: die behaupteten ja noch nicht mal, dass eine Person, eine natürliche Person diese Aufrufe gemacht hat, sondern die Aufrufe hat dann irgendein Verein gemacht. Jetzt haben wir eben gesagt, personenbezogene Daten.

00:17:27: Personenbezogene Daten setzt aber voraus, dass ich eine Person da habe und nicht irgendeine Körperschaft aus einem Verein oder Gewerbe oder sonst was. Das heißt,

00:17:35: das war schon klar, es funktioniert so nicht. Tatsächlich war der Ablauf sogar noch viel einfacher, aber gut, das führt jetzt zu weit. Das heißt, es gab diese Ansprüche nie

00:17:43: und ja, die haben selber auch, glaube ich, das nie großartig geltend gemacht. Es gibt einige, die dann Ansprüche gegen sie geltend gemacht haben. Aber

00:17:52: wenn man so ein File gekriegt hat, abheften

00:17:55: und vergessen. Vielleicht um noch mal den Bogen zu WordPress zu spannen. Gibt's denn bei WordPress Fälle, wo ich mir diese Google Fonts vielleicht auch ganz unbeabsichtigt in Anführungszeichen einfange über ein Theme oder so?

00:18:06: Ich glaube, das waren die meisten Fälle. Ich kann mir nicht vorstellen, dass irgendeiner der Webseitenbetreiber überhaupt wusste, dass er die Google Fonts über den Google-Font-Server bei sich eingebunden hat.

00:18:19: Der hat nur gesehen, ich habe hier ein Theme, das sieht wunderbar aus und das will ich jetzt benutzen.

00:18:23: Und Entwickler des Themes hat es sich halt einfach gemacht und hat das über Google Fonts eingebunden. Das war ja jahrelang

00:18:29: das einfachste und state-of-art auch. Die Betreiber, die wussten gar nicht, wie das zuging, weil das hat sie nie interessiert und

00:18:35: warum sollte man als Betreiber einer Webseite in die Technik reingucken. Wenn ich da reingucke, kann ich es auch selber machen. Ich benutze es ja gerade, weil es einfach für mich ist.

00:18:44: Das heißt einerseits, wenn mir so eine Abmahnung ins Haus flattert, muss ich erstmal nicht unbedingt gleich in Panik ausbrechen.

00:18:51: Wahrscheinlich macht es in dem Fall trotzdem Sinn vielleicht mit dem Anwalt zu sprechen, wie man denn reagieren soll.

00:18:56: Aber Ärger ersparen kann ich mir wahrscheinlich auch, indem ich mir meine Open-Source-Fonts einfach aus einer anderen Quelle besorge und die auch wieder lokal bei mir installiere.

00:19:05: Das ist richtig, dass man die Google Fonts austauscht. Das sollte man sowieso machen, also wenn man Fonts über Google Fonts noch eingebunden hat.

00:19:13: Das ist relativ leicht auszutauschen, selbst ohne große Fachkenntnisse. Es gibt sogar inzwischen eine ganze Reihe Plugins, bestimmt sind bei uns Plugins im Verzeichnis bei WordPress,

00:19:25: mit denen man das automatisch machen kann. Ansonsten, wenn man es per Hand macht, ist auch nicht die große Welle, das geht auch relativ einfach. Aber diese Abmahnung wegen Google Fonts.

00:19:34: Ja, wie gesagt, man kann sie auch abheften, also da passiert wohl so schnell nichts mehr. Ich denke aber mal, dass die Welle inzwischen vorbei ist.

00:19:44: Du hast ja jetzt ein paar Mal im Kontext Privacy Shield und die Schrems-Verfahren genannt. Das sind ja auch alles so Nachwehen der DSGVO-Einführung.

00:19:55: Wie siehst

00:19:56: du da die künftige Entwicklung? Dieses Thema Datenaustausch mit den USA ist ja schon seit Jahren ein heißes Eisen, wo Max Schrems eben mehrfach erfolgreich dagegen geklagt hat. Wird's da in absehbarer Zeit jetzt mal Rechtssicherheit für alle geben?

00:20:11: Ja, das ist eine gute Frage. Was es geben wird, ist mit Sicherheit irgendwann im Frühjahr ein Nachfolger fürs Privacy Shield, also da laufen im Moment alle Vorbereitungen für.

00:20:23: Ob das jetzt im März oder im April kommt oder Anfang Mai, lege mich darauf nicht fest, aber es wird jetzt in den nächsten Monaten irgendwann kommen.

00:20:30: Das Data Protection Framework, wie es dann so schön heißt, weil man braucht dann einen neuen Namen wieder dafür, das wird insoweit wieder Rechtssicherheit geben,

00:20:39: als dass es eine Grundlage ist, auf der ich Datenverarbeitung mit den USA betreiben darf. Also, ich darf dann wieder diese ganzen Dienste - soweit nichts anderes Datenschutzrechtliches dagegen steht - wieder benutzen, auch wenn sie in den USA stehen.

00:20:50: Ob das dann auf Dauer die Rechtssicherheit gibt, das ist dann immer die Frage, weil auch da kann man natürlich wieder überlegen, genauso wie damals auf dem Privacy Shield, ja, ist es wirklich so, dass die Daten da so sicher sind wir hier.

00:21:04: Das ist eine Überlegung wert, das wird dann irgendwann der Europäische Gerichtshof wieder entscheiden müssen, aber dann sind wir wieder ein paar Jahre weiter und in der Zwischenzeit kann man es auf alle Fälle benutzen.

00:21:13: Wie es nachher wieder aussieht, das muss man abwarten. Das heißt, wir hangeln uns da weiter durch. Ja, selbst wenn wir nur für 2-3 Jahre wieder Ruhe haben, das ist in der Webwelt schon mal viel Zeit.

00:21:25: Letzte Schlagwort, das ich noch auf meine Liste habe- auch das hast du nämlich ganz am Anfang schon mal erwähnt - das ist, glaube ich, das, was nach der Einführung oder dem Inkrafttreten der DSGVO

00:21:35: die meisten Leute bemerkt haben, dass plötzlich auf allen Webseiten dieser Welt, oder zumindest mal in Europa, die berühmten Cookie-Banner aufgepoppt sind.

00:21:43: Was hat es damit auf sich und muss das wirklich so sein, wie es ist? Die moderne Seuche des Internets. Nein, das muss so

00:21:52: bei vielen Seiten nicht sein. Also, der Hintergrund ist, neben dem typischen Datenschutz gibt es noch eine sogenannte E-Privacy-Richtlinie der EU.

00:22:00: Da geht's darum, dass nichts auf mein Handy oder auf meinen Computer kommt, das ich nicht drauf haben will. Und

00:22:07: wenn das technisch notwendig ist, ja, dann darf es, und wenn es nicht technisch notwendig ist, darf es nur, wenn ich deine Einwilligung erteile.

00:22:13: Das hat man in Deutschland am Anfang einfach so umgesetzt, dass man gesagt hat, okay, wir haben eine Regel im Telemediengesetz, da steht drin, informiere darüber in der Datenschutzerklärung und vergiss es danach.

00:22:26: Das hat wunderbar funktioniert. Die EU um uns herum hatte schon die Cookie-Banner, wir brauchten sie nicht. Das war dann zu Ende, als der Bundesgerichtshof in dem Verfahren dann mal dem Europäischen Gerichtshof die Frage vorgelegt hat,

00:22:38: ist das eigentlich eine vernünftige Umsetzung, und der Europäische Gerichtshof hat natürlich genauso geantwortet, wie man es erwarten musste - er hat gesagt, ne, ist es nicht.

00:22:46: Seitdem gibt's halt bei uns in Deutschland jetzt eine neue gesetzliche Regelung, das sogenannte Telekommunikation-Telemedien-Datenschutzgesetz,

00:22:52: TTDSG, muss man sich sonst nicht merken, aber da steht halt jetzt auch direkt noch mal ausdrücklich drin. Cookies sind nur zulässig, wenn sie entweder technisch notwendig sind oder wenn ich eine ausdrückliche Einwilligung habe.

00:23:05: Das sind halt die Cookie-Banner. Nur, wir haben zwei Einschränkungen. Erstmal muss ich überhaupt Cookies setzen.

00:23:11: Viele Seiten haben die Cookie-Banner, weil sie alle Welt hat, aber setzen gar keine Cookies. Und es muss auch ein Cookie sein, was nicht technisch notwendig ist. Das heißt,

00:23:21: um ein Beispiel zu nennen, ich habe einen Shop.

00:23:24: Der Warenkorb ist auch ein Cookie, was da gesetzt wird, aber das ist technisch notwendig, weil wie soll ich das sonst sicher machen.

00:23:33: Ich habe Mitgliederbereiche, da muss ich natürlich, wenn wer sich einloggt, einen Cookie setzen, damit ich weiß, er ist eingeloggt, und nicht immer bei jedem Aufruf an der neuen Seite wieder die Einloggmaske gebe.

00:23:44: Technisch notwendig, da brauche ich auch nichts für. Ich brauche das Cookie-Banner eigentlich nur dann, wenn ich aus weitergehenden Zwecken tracken will.

00:23:51: Also, ich will wissen, was hat er gemacht, um ihm dann irgendwo Werbung unterzuschieben, oder ich will selber Werbung ausspielen und ich habe hier dann

00:24:00: über die Werbenetzwerke die Cookies, die gesetzt werden. In den Fällen muss ich dann tatsächlich einen Cookie-Banner setzen, aber nur in den Fällen.

00:24:07: Wie sieht's aus, wenn ich jetzt so ein so ein Trackingtool wie eben Matomo einsetze und wirklich nur wissen will, wie viele Besucher habe ich und vielleicht noch wo die herkommen, aber ich mache nichts mit dieser Information?

00:24:17: Muss ich dann, oder?

00:24:18: Ja, Matomo setzt eigentlich ein Cookie, ja. Da müsste ich dann auch, weil es nicht unbedingt notwendig ist, einen Cookie-Banner machen, aber ich kann Matomo so betreiben, dass es keinen Cookie setzt.

00:24:27: Es geht mir dann genau eine Information flöten, das ist die Information nach den wiederkehrenden Besuchern, also ich kann da nicht mehr erkennen, ob jemand, der heute die Webseite besucht, vor einer Woche schon mal da war. Das ist die einzige Information, die ich dann nicht habe.

00:24:39: Ansonsten, die Auswertungen laufen genauso wie sie auch mit Cookie laufen würden, und in dem Moment, wo ich Matomo setze und dieses Cookie

00:24:46: so konfiguriert, dass dieses Cookie nicht gesetzt wird, kann ich Matomo ohne Cookie-Banner betreiben, was natürlich ein großer Vorteil ist. Das muss man auch sehen.

00:24:53: Diese Cookie-Banner, die haben ein Einwilligungsquoten, ja, Untersuchungen sagen zwischen 50% und 66%, also der Hälfte bis zwei Drittel. Das heißt, ein Drittel bis zu 50% der Besucher, die geben diese Einwilligung nicht,

00:25:06: die würden aber auch dann, wenn ich

00:25:09: die Besucher-Analyse, zum Beispiel, über Matomo mit dem Cookie-Banner machen, von der gar nicht erfasst werden. Dann nehme ich doch lieber die Cookie-lose Variante und habe dann alle Besucher erfasst.

00:25:18: Worauf muss ich, wenn ich jetzt eben diese Einwilligung einholen will und ich mache so einen Cookie-Banner, worauf muss ich da achten? Wie muss das Cookie-Banner aussehen?

00:25:26: Es gibt zwei Sachen, die ich beachten muss. Einmal muss ich informieren. Es gibt immer das Gebot der informierten Einwilligung. Ich muss also sagen, welche Cookies werden gesetzt, aus welchem Zweck werden sie gesetzt, das muss ich beschreiben.

00:25:39: Und das zweite ist, ich darf keine Dark Pattern anwenden. Also, ihr kennt alle diese Cookie-Banner, da steht dann drauf "allem zustimmen"

00:25:47: und daneben gibt's da nicht "allem nicht zustimmen", sondern da gibt's ja nur "Einstellungen" oder wie auch immer man es bezeichnet. Und da muss man sich über Seiten hangeln, bis man irgendwo dann ein Haken findet,

00:25:57: "Abspeichern der Ergebnisse" und das ist dann, wenn ich nichts angekreuzt habe, nein. Das geht nicht.

00:26:03: Wie sieht das denn jetzt bei WordPress aus? Hilft mir WordPress dabei? Denn es ist ja jetzt auch nicht ganz trivial, so einen Banner zu erstellen und das mit den Cookies zu verknüpfen.

00:26:12: WordPress selbst hat keinen Cookie-Banner dabei, weil für WordPress an sich für den Betrieb brauche ich es auch nicht. Es gibt genug Plugins, die sowas machen, bezahlbare Plugins,

00:26:22: die das auf einem Abo-Modell betreiben. Es gibt noch einige freie wie Compliance, mit denen man das

00:26:28: sich einfach aus dem WordPress Repository herunterladen kann, die das dann für einen machen, aber auch die sind alle immer nur so gut, wie ich es haben will.

00:26:36: Das heißt, wenn ich die so einstelle, dass sie eben nur diesen Button "ja, alles akzeptieren" oder "hangel dich durch die Einstellungen" einstelle, dann habe ich dieses Dark Pattern, das eben nicht erlaubt ist.

00:26:46: Wenn ich die so einstelle, dass ich "ja" und "nein" als gleichwertige Buttons da drauf habe, dann habe ich es halt da

00:26:54: den Anforderungen entsprechend. Das ist dann immer eine Einstellung, die ich betreiben muss. Zum Schluss vielleicht noch der

00:27:01: Blick in die Glaskugel. Wir sind ja jetzt immer noch am Anfang eines neuen Jahres. Neues Jahr, da kommen in der Regel auch neue Gesetze. Kann man da schon sagen, was sich an relevanten Sachen für Webseitenbetreiber ändern wird?

00:27:14: Also, wie gesagt, es wird das Data Privacy Framework kommen. Das heißt, ich habe demnächst nicht mehr die Probleme mit dem Datentransfer, wenn ich Dienste aus den USA einbinde,

00:27:25: geht fast nicht mehr, dieses Problem. Ansonsten, was im Moment alles vor der Tür steht - Digital Service Act, Digital Marketing Act - betrifft eigentlich eher große Seiten, betrifft nicht den einfachen kleinen Webseitenbetreiber,

00:27:38: sodass ich da eigentlich

00:27:40: nicht so viel habe. Es gibt so paar Sachen, die sich abzeichnen, wo was passieren könnte. Das betrifft diese Cookie-Banner, da gibt's inzwischen erste Urteile, die diese Dark Patterns als rechtswidrig bezeichnen.

00:27:52: Da würde ich nicht ausschließen, dass es da die nächsten Monate durchaus noch mal zu einer Reihe von Abmahnungen oder so auch kommt.

00:27:58: Das sind ja Verstöße, die lassen sich ja leicht feststellen. Sowas kann man dann wieder versuchen auch zu automatisieren oder sonst was. Also, da würde ich nicht ausschließen, dass da wieder was passiert. Ansonsten

00:28:07: denke ich mal,

00:28:09: steht im Moment nichts an, wo ich sage, da muss ein Websitebetreiber dann in drei Monaten aufpassen, da wird sich was ändern. Ich glaube, da haben wir jetzt einen schönen Rundumschlag als Einstieg in das Thema Datenschutz und WordPress und Webhosting gemacht.

00:28:23: Wenn unsere HörerInnen jetzt noch mehr über das Thema Datenschutz und Recht rund um das Thema WordPress und Hosting erfahren möchten, was für Adressen kannst du da empfehlen oder welche Orte? Also, was ich immer empfehlen kann,

00:28:36: guckt lokal nach den WordPress Meetups. Die gibt es eigentlich in fast allen größeren Städten oder

00:28:42: manchmal muss man vielleicht eine Stadt weiterfahren, aber die gibt es in vielen Städten. Die treffen sich meistens einmal im Monat und da sind auch immer wieder diese Fragen durchaus Gegenstand.

00:28:52: Dann, wenn ich mal Werbung für die Konkurrenz machen darf, es gibt einen Podcast WP Sofa.

00:28:58: Der erscheint alle zwei Wochen, da gibt es auch so eine Rechtssparte drin, wo neue Entwicklungen auch immer relativ zeitnah besprochen werden.

00:29:05: Das ist eigentlich so, mit diesen beiden Sachen kann ich mich an sich sehr gut informieren, was aktuell ist.

00:29:11: Alles klar, den Link packen wir gerne in die Shownotes, auch wenn es Konkurrenz ist. Nur Konkurrenz für den Podcast, nicht für euch.

00:29:19: Auf jeden Fall vielen Dank für diese interessanten Einblicke in das Thema Datenschutz. Wir freuen uns wie immer über Feedback zu dieser Episode oder auch Bewertungen auf den gängigen Podcast-Plattformen.

00:29:29: Bei Fragen erreichen Sie uns unter press@ionos.com oder über unsere Social Media Kanäle IONOS_de auf Twitter,

00:29:36: IONOS Deutschland auf Facebook oder einfach IONOS auf LinkedIn.

00:29:40: Vielen Dank fürs Zuhören und bis bald.