Tools & Dienstanbieter
Wenn die Tools auf deiner Subdomain und der khb-Website deckungsgleich sind, darfst du die Datenschutzerklärung der khb-Website 1:1 kopieren oder im Footer der Subdomain direkt zur khb-Datenschutzerklärung verlinken. Ansonsten musst du Überflüssiges entfernen und Fehlendes eigenständig ergänzen. In der Datenschutzerklärung auf der khb-Website findest du alle Tools aufgelistet, die benutzt werden.
Jedes Tool[1]/Dienstleister[2], der personenbezogene Daten verwendet, muss sich auch in der Datenschutzerklärung wiederfinden. Benutze möglichst keine Tools/Dienstleister außerhalb des Europäischen Wirtschaftsraums, insbesondere keine US-Anbieter[3].
Die khb empfiehlt folgende Tools/Dienstleister:
Benutze WordPress zur Erstellung deiner Projektwebsite, dessen Anwendung im WordPress-Guide der khb beschrieben ist.
Videos sollen lokal oder über peertube eingebunden werden. Auf dem WordPress-Guide der khb ist beschrieben, wie Videos eingebunden werden können. Auf das Einbinden von Videos über z. B. Youtube wird abgeraten.
Schriften sollen lokal eingebunden werden. Es gibt darüber hinaus vier vorinstallierte Schriften, zwischen denen gewählt werden kann. Informationen hierzu findest du auf dem WordPress-Guide der khb. Auf das Verwenden von Google-Fonts wird abgeraten, da Google Font ein US-amerikanischer Anbieter ist und so Daten der Nutzer_innen an Google weitergegeben werden, sobald man auf die Projektseite geht. Das gilt es zu vermeiden.
Die Subdomain darf nur auf den Servern der khb gehostet werden.
Cookies
Wir empfehlen eindringlich auf Cookies zu verzichten, da auch auf den ersten Blick einfach zu bedienende Lösungen für Cookie-Hinweise, wie Borlab, gewisse Risiken bergen. Cookies erfordern ein gewisses Grundverständnis bzw. eine Expertise auf dem Bereich. Die khb kann zu diesem Thema nicht beratend einbezogen werden.
Wenn du dennoch Cookies benutzt[4], muss Nutzer_innen beim Aufrufen deiner Subdomain, ein Cookie-Banner angezeigt werden. Die Optionen „Annehmen“ und „Ablehnen“ von Cookies muss gleich einfach auszuwählen sein. Hierzu kannst du beispielsweise Borlabs oder Cookiebot nutzen. Bei dem Einstellen des Cookie-Banners ist höchste Sorgfalt geboten!
Besucher_innen der Subdomain müssen die Cookie-Einwilligung jederzeit ändern oder widerrufen können. Deshalb muss die Möglichkeit des nachträglichen Widerrufs zusätzlich entsprechend auf deiner Subdomain implementiert werden. Das geht z. B. unten auf der Website über eine Verlinkung zu deinen Cookie-Banner. Der dahinterstehende Zweck ist, dass die Nutzer_innen deiner Subdomain ihre Einwilligung genauso einfach widerrufen können müssen, wie sie diese am Anfang erteilen konnten.
Soziale Medien
Halte dich an den Grundsatz der Datensparsamkeit. Du solltest Daten nur verarbeiten, wenn dies notwendig ist. Benutze Tools nur dort, wo du sie für notwendig erachtest.
Benötigst du Daten nicht mehr, so lösche diese unverzüglich. Erhälst du z. B. eine Anfrage, so solltest du die Daten des Anfragenden nach der Beantwortung unwiederbringlich löschen.
Bei der Einbindung von sozialen Medien auf deiner Subdomain ist zu beachten, dass diese personenbezogene Daten über die Besucher_innen deiner Website aufnehmen, ohne dass sie dort registriert oder eingeloggt sein müssen. Bindest du z. B. dein Instagram Profil ein, so werden die Daten der Besucher_innen ohne dein Zutun an Instagram weitergegeben.
Eine Möglichkeit, dies zu umgehen ist die sogenannte Zwei-Klick-Lösung: Das bedeutet, dass du einen Teilen-Button in Form einer Bilddatei verwendest und sie mit einem Link zu deiner Seite auf dem sozialen Medium verwendest. Nimmst du nämlich ein Teilen-Button, der von dem sozialen Medium direkt zur Verfügung gestellt wird, findet in der Regel direkt eine Datenübermittlung an das soziale Medium statt, noch bevor Nutzer_innen auf den Button klicken. D.h. soziale Medien können verlinkt werden, sollten aber nicht eingebunden werden.
Eine weitere Lösung ist es, das WordPress-Tools Shariff Wrapper oder ein ähnliches Tool einzubinden, das die Teilen-Buttons bereitstellen, die die Privatsphäre der Besucher_innen schützen und im Einklang mit der DSGVO stehen.
Denk daran, auf deinen sozialen Medien, wenn du diese im Zusammenhang mit der Website einsetzt, stets zum Impressum und zu den Datenschutzhinweisen (jeweils als ein extra Link) deiner Websites zu verlinken.
Bei Twitter, Instagram und Youtube handelt es sich um US-amerikanische Anbieter, auf die du, wie oben bereits geschrieben, verzichten solltest. Es gibt aber auch soziale Medien, die DSGVO-konform arbeiten können.
[1] Ein Tool ist ein Programm, welches Aufgaben für ein Betriebssystem oder für ein Anwendungsprogramm übernimmt. Ein Beispiel für ein Tool ist Matomo On-Premise als Webanalyse-Tool.
[2] Dienstleister sind Externe, die personenbezogene Daten verarbeiten oder zumindest Zugriff auf sie haben.
Ein Beispiel sind Bezahldienste wie Klarna.
[3] Die folgenden Länder haben laut Europäischer Kommission ein uns entsprechendes Datenschutzniveau: Alle Mitgliedstaaten des EWR (Mitglieder des EWR sind die 27 Mitgliedstaaten der EU sowie Liechtenstein, Island und Norwegen), Andorra, Argentinien, Kanada, Färöer, Guernsey, Isle of Man, Israel, Japan, Jersey, Neuseeland, Schweiz, Südkorea, Uruguay, Vereinigtes Königreich.
Wieso ist von einer Datenübermittlung in die USA abzuraten: Damit der Datentransfer zwischen den USA und der EU sicher ist, muss das hohe Datenschutzniveau der EU eingehalten werden. Die EU muss das Datenschutzniveau des Empfängerlandes als gleichwertig anerkennen.
Das geschah mit einer Entscheidung der Europäischen Kommission, die besagte, dass die USA ein angemessenes Datenschutzniveau haben (sog. Privacy Shield). Dieses Privacy Shield wurde aber im Sommer 2020 durch den Europäischen Gerichtshof gekippt. Seither ist die Nutzung von US-Anbietern sehr problematisch.
Unter diesem Link findest Du eine Auswahl an WordPress-Tools, bei denen man überprüfen kann, ob sie DSGVO-konform sind: https://www.blogmojo.de/wordpress-plugins-dsgvo/. Die Seite enthält auch Tipps, wie man Tools DSGVO-konform machen kann. Für diese Liste wird keine Gewähr übernommen, sie soll lediglich der Orientierung dienen.
[4] Woran erkenne ich, dass eine Seite Cookies setzt: Cookiebot bzw. Borlabs finden für dich heraus, welche Cookies eingesetzt werden. Du kannst auch selbstständig nachprüfen, ob Cookies gesetzt werden, indem du auf das Sicherheitsschlossicon neben der Suchleiste klickst.
Erstellt von: +dimensions, 20.09.2023, unter Einbezug von RAin Filusch