DSGVO-Kosten für Websites: 2,5 Milliarden €

DSGVO Technikkosten Mit der Umsetzung technischer DSGVO-Konformität für 50 Websites hat sich ein deutliches Bild der damit verbundenen Herausforderungen und Kosten ergeben.
Bei diesem Beitrag handelt es sich um ein Blog aus der Freitag-Community

Mit der Umsetzung technischer DSGVO-Konformität für 50 Websites in den letzten vier Wochen vor Inkrafttreten der DSGVO hat sich ein deutliches Bild der sich bietenden Herausforderungen und damit verbundenen Aufwände, Kosten und Gesundheitsrisiken (für mich) ergeben. Selbst erfahrenere Website-Betreiber, die eines der beliebten Content-Management-Systeme wie Wordpress, Joomla oder Drupal nutzen, sind - lehrt die gewonnene Erfahrung - mit den technischen und rechtlichen Aspekten mehrheitlich überfordert und kommen oft nicht umhin, externe technische und auch rechtliche Hilfe hinzuzuziehen. Erste DSGVO-bezogene Abmahnungen liegen übrigens bereits vor. Dazu am Ende mehr...

Die externen Kosten für die rein technische Umsetzung der DSGVO liegen je nach Komplexität der Website und der darin enthaltenen Funktionen zwischen 200 und 800 Euro. Die Kosten für eine Datenschutzerklärung, die allen Gegebenheiten einer Website entspricht, liegen zwischen 100 bis 2000 Euro. Unschön ist, wenn Fachanwälte zu vergleichsweise hohen Kosten eine Datenschutzerklärung erstellen und es dabei dann doch nicht schaffen, alle technischen Aspekte zu erfassen, was angesichts der technischen Komplexität einiger Websites häufiger vorkommt. Doch für 90% aller Websites ist allerdings eine Datenschutzerklärung, die für einmalig 99 Euro netto online generiert werden kann (z.B. hier) vollkommen ausreichend, wie anhand dieses Beispiels einer umfangreichen Datenschutzerklärung nachvollzogen werden kann. So können wir bei einer sehr vorsichtigen Schätzung von durchschnittlichen Kosten pro Website in Höhe von 500 Euro ausgehen. Ob diese Kosten extern oder durch internen Aufwand entstehen, können wir dabei vernachlässigen. Unternehmen, in denen mehr als zehn Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) befasst sind, müssen übrigens auch einen Datenschutzbeauftragten bestellen.

Die Google-Suchanfrage https://www.google.de/search?q=inurl:impressum liefert 5.280.000 Treffer für Webseiten, bei denen es sich offensichtlich um Impressums-Seiten handelt. Tatsächlich ist die Zahl der Impressums-Seiten höher, weil viele dieser Seiten, genau wie auch Datenschutzerklärungs-Seiten, für Google und alle anderen Suchmaschinen mit der Anweisung <meta name="robots" content="noindex,nofollow"/> von kundigen Website-Betreibern gesperrt werden, damit diese von Abmahnern nicht gefunden werden (DSGVO-Tipp Nr. 1).

Insofern können wir für eine Überschlagsrechnung ohne weiteres von 5 Millionen deutschsprachigen Websites ausgehen, die im Rahmen der DSGVO angepasst werden müssen. Damit kommen wir bei 500 Euro durchschnittlichen Kosten pro Website auf insgesamt 2,5 Milliarden Euro Gesamtkosten.

Die DSGVO am Beispiel von Wordpress

Nach aktuellen Erhebungen von Statista bzw. W3Tech hat das Content-Management-System (CMS) Wordpress einen Marktanteil von 60%. Die Wordpress Entwickler selbst haben mit der neuesten Version bereits selbst einige DSGVO-Vorkehrungen getroffen – so wurde etwa ein GDPR-Compliance-Team zusammengestellt und in der Version 4.9.6 wurden einige datenschutzrelevante Funktionen implementiert. So werden Website-Betreiber nun unter anderem darauf hingewiesen, für eine Datenschutzerklärung zu sorgen und Funktionen wurden eingeführt, die dabei helfen, Nutzeranfragen zur Löschung und Einsicht nachkommen zu können.

In der Praxis sind die Herausforderungen jedoch oft etwas komplexer: die meisten Wordpress-basierten Internetseiten sind mit zusätzlichen Modulen (Plugins) ausgestattet, die die Website um die verschiedensten Funktionen ergänzen (bis zu 20 Plugins sind keine Seltenheit). Dazu gehören beispielsweise Plugins, die der Sicherheit gegen Hacking und Spam dienen, solche die Social Media Sharing-Funktionen bereitstellen oder andere, die der einfachen Kontaktaufnahme dienen.

Der Knackpunkt liegt nun darin, dass ein Großteil der verfügbaren Plugins persönliche Daten erhebt beziehungsweise anderweitig verarbeitet oder auch an Server außerhalb Deutschlands weitergibt. Dies wiederum hat zur Folge, dass hier genau darauf zu achten ist, dass diese Verarbeitung und Weitergabe von Daten DSGVO-konform von statten geht und der Nutzer in der Datenschutzerklärung entsprechend über die Vorgänge aufgeklärt wird.

Das bedeutet, dass jeder genutzte Plugin auf seine DSGVO-Konformität hin geprüft werden muss. Somit ist man gut damit beraten, künftig ausschließlich Plugins zu verwenden, die nachvollziehbar im Einklang mit der DSGVO stehen. Auf Blogmojo findet sich hierzu eine umfassende Liste von Wordpress-Plugins und deren datenschutzrechtlichen Eckdaten.

Auch wir verwenden Kekse

Vielen werden die sogenannten Cookies-Hinweise bereits geläufig sein. Sie zierten bereits vor Inkrafttreten der Datenschutzgrundverordnung so manche Website. Die Bildschirmeinblendungen, die in der Regel beim ersten Besuch einer Internetseite erscheinen, haben bis bislang neben dem recht kurzen Hinweistext zumeist einen Link zur jeweiligen Datenschutzerklärung der Website und einen Akzeptieren-Button gezeigt. Es gibt viele Plugins mit denen sich der Cookies-Hinweis realisieren lässt, z.B. BST DSGVO Cookies.

Wichtig: Wenn der Cookies-Hinweis am Ende der Webseite erscheint und ein eventuell nur dort befindlichen Link zum Impressum verdeckt, droht eine Abmahnung. Das ist insbesondere auch bei einem Aufruf der Webseite auf einem Handy zu prüfen. (DSGVO-Tipp Nr. 2)

Die Gesetzeslage zur Verwendung von Cookies räumte bisher viel Interpretationsspielraum ein und so wurde bisweilen von einem rechtlichen Graubereich gesprochen. Auch die DSGVO setzt keine eindeutige Einwilligung der Nutzer für die Verwendung von Cookies voraus - dennoch weist sie Webseitenbetreiber bereits in Schranken und in Richtung der ePrivacy Verordnung, die 2019 in Kraft tritt.

Verwendung von Cookies: Deshalb werden sie eingesetzt

Cookies sind kleine Textdateien, die von einer Website über den Webbrowser des Nutzers auf dessen Endgerät gespeichert werden. Diese Textdateien enthalten normalerweise Zahlenketten oder anderweitige kryptische Zeichenketten, die (entschlüsselt) bestimmte Informationen wiedergeben. Besagte Informationen werden von Internetseiten für verschiedene Zwecke abgerufen und genutzt. Ein Beispiel bietet uns die Warenkorb-Funktion eines Onlineshops; packt ein Nutzer Produkte in seinen digitalen Warenkorb auf der Shop-Webseite, werden diese zumeist in einem Cookie gespeichert. Wenn wir die Seite verlassen, ohne unsere Bestellung abzuschließen und zu einem späteren Zeitpunkt erneut aufrufen, werden wir feststellen, dass die Produkte noch in unserem Warenkorb liegen und wir unseren Einkauf an dem Punkt fortsetzen können, an den wir ihn zuletzt unterbrochen haben. Das ermöglichte uns das Cookie, dass die notwendigen Informationen wie z.B. die Liste der Produkt-IDs aller in den Warenkorb gelegten Produkte auf unserem Computer speicherte und bei dem erneuten Besuch wieder abgerufen wurde.

Auf der anderen Seite können Cookies aber auch für andere Zwecke, die nicht unbedingt der Funktionserhaltung einer Webseite dienen, verwendet werden. Zum Beispiel finden sie auch bei der Direktwerbung im Netz Verwendung. Online Werbenetzwerke können das Nutzerverhalten bzw. die Interessen des jeweiligen Nutzers über den Besuch verschiedenster Internetseiten hinweg in einem einzigen Cookie speichern und gegebenenfalls bei Bedarf abrufen, um personenbezogene Werbeanzeigen auf einer Webseite einzublenden. Das wäre ein klassisches Beispiel für jene Vorgehensweisen, die die DSGVO künftig transparenter machen möchte. Denn bei diesen Verfahren sind immer Dritte mitbeteiligt, d.h. die Nutzerdaten werden nicht nur vom eigentlichen Webseitenbetreiber verarbeitet, sondern auch von den Firmen, deren Fremdkomponenten (wie zum Beispiel Werbesysteme) er auf seiner Webseite nutzt. Entsprechend gefragt ist eine datenschutzgerechte Lösung im Sinne aller Verbraucher aber auch Webseitenbetreiber.

Anzumerken ist hier, dass die gängigsten Webbrowser den Nutzern bereits von Werk an die Möglichkeit bieten, die Speicherung von Cookies permanent zu deaktivieren. In der Praxis jedoch erscheint dies beinahe unvorstellbar, da die Funktionalität der meisten Internetseiten nur mit der Verwendung von Cookies gewährleistet werden kann.

Der rechtlich sichere Cookie-Hinweis – gibt es ihn überhaupt?

Den rechtskonformen Cookie-Hinweis schlechthin gibt es zu diesem Zeitpunkt noch nicht – zu viele Unklarheiten und Interpretationsspielräume der vorherrschenden Gesetze lassen die Problematik unweigerlich zu einem Graubereich werden. Was allerdings klar geregelt ist, sind sämtliche Vorgänge, die mit der Verarbeitung personenbezogener Daten in Zusammenhang stehen – und damit auch mit einer Vielzahl der eingesetzten Cookies. So muss die Datenschutzerklärung eine verständliche Klausel über die Funktionsweise und den Zweck der Cookies beinhalten, einen Hinweis auf die dauerhafte Deaktivierung der Speicherung über den Webbrowser geben und der Webseitenbetreiber hat den durch die DSGVO neu auferlegten Informationspflichten über den Zweck der Datenverarbeitung nachzukommen. Ferner gilt es, die „DoNotTrack“-Einstellungen des Nutzers zu berücksichtigen und sein Interesse auf Nichtverfolgung zu wahren.

Kontaktformulare: https und Checkbox?

Schon seit Anfang 2016 müssen deutsche Websitebetreiber, die personenbezogene Daten mit Formularen (z.B. Kontakt-, Kommentarfunktion-, Newsletter-Formulare) erheben, diese mit einer SSL-Verbindung (https://) schützen. Eine Umstellung auf SSL wirkt sich auch das Ranking bei Google positiv aus. Nicht SSL-gesicherte Websites werden zudem von fast allen Browsern mittlerweile auch als „Nicht sicher“ ausgewiesen, was defintiv wenig vertrauenseinflößend ist.

Wichtig: Bei der Umstellung auf https werden häufig Fehler gemacht, so dass eine Website sowohl über https und http erreichbar ist. Dies lässt sich für Wordpress mit dem Plugin Really Simple SSL vermeiden, wobei zusätzlich auch die ganzen bestehenden internen Verlinkungen auf https umgestellt werden müssen, was sich zum Beispiel mit dem Plugin Search Regex bewerkstelligen lässt. (DSGVO-Tipp Nr. 3)

Rechtsexperten sind zudem mehrheitlich der Meinung, jedes Formular (!!!) müsse eine Checkbox aufweisen, mit der der Datenschutzerklärung zugestimmt werden muss, um das Formular absenden zu können. Das kann dann zum Beispiel so aussehen:

Datenschutzhinweis *

[ ] Mit der Nutzung des Formulars werden meine Daten gespeichert. Ich habe die Datenschutzerklärung gelesen und akzeptiere sie.

* Erforderlich

Die Datenschutzerklärung sollte dabei verlinkt sein und natürlich entsprechend über die Verarbeitung und Verwendung der erhobenen Daten und über das Widerrufsrecht aufklären. (DSGVO-Tipp Nr. 4)

Die Checkbox-Pflicht kann man natürlich auch anders sehen, da jedem klar sein dürfte, dass bei Nutzung eines Formulars die übermittelten Daten gespeichert werden. Checkbox, nein danke? Bis eine eindeutige Rechtssprechung vorliegt auch eine unternehmerische Entscheidung...

Social Media Like-Button

Die meisten Social Media Like Plugins funken mit jedem Seitenaufruf nach Hause (Facebook, Twitter etc.) Stattdessen sollte der DSGVO-konforme Plugin Shariff Wrapper genutzt werden. (DSGVO-Tipp Nr. 5)

Wordpress 2.6 bis ...

Achtung: Bei älteren oder sehr alten Wordpress Versionen sind die technischen Todos wesentlich größer, da nicht ohne weiteres Updates von Wordpress und den verwendeten Plugins möglich sind. Das ist auch für erfahrenere Nutzer eine sehr große Herausforderung...

Abmahnwelle?

Laut Heise.de berichten die ersten Anwaltskanzleien von Abmahnungen wegen angeblicher Verstöße gegen die DSGVO. Dabei beanstanden Unternehmen die Websites einiger Mitbewerber auf der Grundlage des Gesetzes gegen den unlauteren Wettbewerb (UWG). Allerdings ist noch gar nicht klar, ob Unternehmen ihre Konkurrenten auf dieser Gesetzesgrundlage wegen Datenschutzverstoßen abmahnen dürfen. Bislang gab es dazu auch vor der DSGVO keine einheitliche Rechtssprechung. In einem der von Heise berichteten Fälle wurde ein Gegenstandswert von 7.500 Euro angegeben, der sich aus dem Jahreswert der Kosten für die vollständige und ordnungsgemäße Umsetzung der DSGVO ergebe, womit auch die innerbetriebliche Umsetzung gemeint ist, was Abmahngebühren von mehr als 700 Euro begründen könnte. Wichtig zu wissen: In der Regel kann ein bestimmter Verstoß (z.B. fehlende Datenschutzerklärung oder fehlendes https bei Einsatz von Formularen) nur einmal abgemahnt werden.

Disclaimer: Dieser Artikel stellt keine Rechtsberatung dar und erhebt keinen Anspruch auf Vollständigkeit. Irrtümer sind grundsätzlich vorbehalten.

03:44 31.05.2018
Dieser Beitrag gibt die Meinung des Autors wieder, nicht notwendigerweise die der Redaktion des Freitag.
Geschrieben von

Dirk de Pol

Schreibe hier über Götter und Welten
Dirk de Pol

Kommentare 1