Artikel 4 — DSGVO-Konformität für eine kommerzielle Krypto-Website
Die Website
Die Umsetzung der DSGVO auf einer kommerziellen Website muss keine Hexenwerk sein. Mit unserem Vorwissen aus den vorherigen Artikeln, ist uns nun bekannt was hinsichtlich DSGVO-Konformität zu beachten ist.
Unser Website-Beispiel lässt sich wie folgt charakterisieren:
Es ist ein Online-Shop
- in deutscher Sprache,
- mit Backend(dynamische Website),
- der nur technisch notwendige Cookies einsetzt,
- auf einen deutschen Hosting-Anbieter zurückgreift
- und bei der Bezahlung eine Kryptowährung als Bezahlungsmethode verwendet.
Keine Einwilligung nötig
Immer wieder kam dieser Punkt in der Artikelserie vor, denn er ist wichtig. Wie bereits gelernt, stellt die Erteilung einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) nur eine von vielen Bedingungen für die Datenverarbeitung dar. Idealerweise bedarf es keines aktiven Zutuns des Nutzers, weil andere Bedingungen(Art. 6 Abs. 1 lit. b, c & f DSGVO) einschlägig sind.
Im ersten Schritt erfasst unsere Website zwangsläufig die IP-Adresse des Besuchers. Hierfür braucht es keine Einwilligung, da hier die prominenteste Ausnahme greift: Wahrung der berechtigten Interessen des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO) Es ist unser berechtigtes Interesse die Website online zum Aufruf und zur Nutzung verfügbar zu machen.
Im zweiten Schritt wählt der Kunde seine Ware, die er kaufen möchte. Hier setzen wir Cookies ein, um die Auswahl für den Kunden lokal über seinen Browser zu speichern. Diese Funktionalität ermöglicht zum Beispiel das Synchronisieren mehrerer gleichzeitig geöffneter Tabs auf der selben Website. Cookies sind einfache Textdateien im Browser, die beim Abrufen der Website an unser Backend übermittelt werden können - nicht müssen. Liegen diese Dateien nur lokal im Browser, sind sie oft im LocalStorage zu finden. Da diese Dateien unseren Webserver nicht erreichen, werden keine Daten verarbeitet und entsprechend bleiben diese Cookies unerwähnt in der Datenschutzerklärung.
Im dritten Schritt bezahlt der Kunde. Daraufhin starten wir eine Bezahl-Session für den Nutzer. Wir identifizieren(Cookie) und speichern Nutzerdaten temporär im Backend(Session), um die Zahlung abzuwickeln. Ohne diesen technisch notwendigen Cookie wäre die Funktionalität der Website beeinträchtigt — der Kunde könnte den Bezahlvorgang nicht einleiten. Im Gegensatz zur Erfassung der IP-Adresse muss auf die Verwendung von Cookies hingewiesen werden(durch einen Cookie-Banner). Es muss bei technisch notwendigen Cookies allerdings keine Einwilligung erfolgen. Die Möglichkeit der Erteilung oder des Widerrufs der Einwilligung im Cookie Banner ist nur dann nötig, wenn die Website technisch nicht notwendige Cookies verwendet, um beispielsweise das Nutzerverhalten des Besuchers zu analysieren, personalisierte Werbung anzuzeigen oder Social-Media-Integrationen bereitzustellen.
Im letzten Schritt begleicht der Kunde den ausstehenden Zahlungsbetrag mittels Kryptotransaktion. Ist die Transaktion durchgeführt, speichern wir Informationen zur Transaktion und der gekauften Ware zu Dokumentationszwecken permanent. Das folgt unserem berechtigten Interesse zu dokumentieren wie viel und was wir verkauft haben, z.B. um festzustellen wie viel Umsatz oder wie viel Steuern wir zu zahlen haben. Rechtlich greift hier Art. 6 Abs. 1 lit. c DSGVO
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
Da wir bei unserem Krypto-Shop keinen Namen oder E-Mail Adresse des Kunden erfassen, erfolgt zudem kein Personenbezug. Es bedarf also zur Verarbeitung dieser Daten keiner Einwilligung und keines Hinweises in der Datenschutzerklärung. Weshalb ich es doch erwähnt habe, erfahrt ihr im späteren Verlauf des Artikels.
Hosting und AV-Vertrag
Wie wir bereits behandelt, ist es wichtig einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Hoster abzuschließen. Ein AV-Vertrag regelt die datenschutzrechtlichen Verpflichtungen des Hosters als Auftragsverarbeiter. Soweit so gut.
In der Praxis ist es jedoch schwierig für jeden einzelnen Hosting-Kunden einen individuellen AV-Vertrag anzufertigen, da dies einen erheblichen Aufwand darstellt. Um diesem Problem zu begegnen, gibt es verschiedene Ansätze.
Ein Ansatz besteht darin, standardisierte AV-Verträge zu verwenden, die für verschiedene Arten von Auftragsverarbeitungen geeignet sind. Diese standardisierten Verträge können von den Website-Betreibern verwendet werden, ohne dass jedes Mal ein neuer Vertrag ausgehandelt werden muss.
Ein anderer Ansatz besteht darin, dass der Hosting-Anbieter einen AV-Vertrag erstellt, der für alle seine Kunden gilt. In diesem Fall kann der Hosting-Anbieter den Vertrag einmal erstellen und dann allen seinen Kunden zur Verfügung stellen, um den Aufwand für die einzelnen Kunden zu reduzieren.
Bei bestimmten Cloud-Diensten, wie zum Beispiel bei Amazon Web Services (AWS), ist der AV-Vertrag Teil der Service Terms und wird nicht explizit von beiden Seiten unterschrieben. Stattdessen müssen die Terms akzeptiert werden(ein Haken ist zu setzen), um AWS nutzen zu können.
Beachte, dass die Verwendung eines standardisierten oder allgemeinen AV-Vertrags nicht immer ausreichend ist, um die Anforderungen der DSGVO zu erfüllen. Insbesondere wenn es um komplexe Auftragsverarbeitungen geht oder wenn spezielle Anforderungen bestehen, kann es erforderlich sein, einen individuellen AV-Vertrag auszuhandeln und abzuschließen.
Als Hoster setzen wir den deutschen Anbieter netcup ein. Server-Standort ist Deutschland, somit verbleiben die personenbezogenen Daten in der EU und wir müssen uns nicht mit Art. 44 DSGVO auseinandersetzen.
netcup setzt auf den zweiten Ansatz und stellt seinen Kunden einen vorformulierten Vertrag zur Verfügung. Dieser kann von uns unterschrieben und an netcup geschickt werden. Außerdem handelt es sich in unserem Fall der Auftragsverarbeitung um ein Standardvorgehen bei der Datenverarbeitung(IP-Adressen & technisch notwendige Cookies).
Kryptozahlung
Kein Online Shop ohne Bezahlung! Im Gegensatz zu traditionellen Zahlungsmethoden kann die Verwendung von Kryptowährungen wie IOTA oder Shimmer(SMR) eine zusätzliche Schutzschicht für die personenbezogenen Daten der Benutzer bieten. Es ist jedoch wichtig zu beachten, dass der Umgang mit Kryptowährungen ebenfalls datenschutzrechtlichen Anforderungen unterliegt.
Kryptowährungen wie IOTA oder SMR bieten eine zusätzliche Schutzschicht, da bei Transaktionen keine personenbezogenen Daten übermittelt werden. Anders als bei herkömmlichen Zahlungsmethoden wie Kreditkarten oder PayPal, bei denen der Zahlungsprozessor personenbezogene Daten des Käufers(Name, E-Mail, Adresse) und manchmal auch des Verkäufers speichert und weiterverarbeitet, wird bei einer Kryptotransaktion lediglich die öffentliche Kryptoadresse des Empfängers angegeben. Diese Adresse ist jedoch anonym und enthält keine personenbezogenen Informationen. Es ist zwar möglich, alle Transaktionen auf einer Blockchain zu verfolgen, aber es ist sehr schwierig, die Identität der beteiligten Personen herauszufinden. Zudem ist es bei IOTA und SMR so, dass Transaktionen nach einer gewissen Zeit „gepruned“ werden. Das muss nicht passieren, ist aber anzunehmen. Nodes der IOTA Foundation löschen ihre Transaktionen nach circa einer Woche.
Ein weiterer Vorteil von Kryptowährungen ist, dass sie in der Regel nicht von zentralen Behörden oder Unternehmen kontrolliert werden. Dies bedeutet, dass es keine zentrale Stelle gibt, die personenbezogene Daten von Nutzern speichert oder weitergibt. Stattdessen basieren Kryptowährungen auf einer dezentralen Technologie, bei der alle Transaktionen von einem Netzwerk von Computern überprüft und validiert werden. Dadurch können Käufer und Verkäufer von Produkten oder Dienstleistungen anonym bleiben und ihre Privatsphäre schützen, wenn sie eine Kryptowährung als Zahlungsmethode verwenden. Es ist jedoch wichtig zu beachten, dass Kryptowährungen auch Risiken mit sich bringen und nicht immer die beste Wahl für alle Situationen sind. Welches Risiko kommt dir in den Sinn? Kommentiert gerne unter diesem Artikel.
Datenschutzerklärung
Mit der Datenschutzerklärung erfüllen Website-Betreiber ihre Informationspflicht gemäß Art. 13 DSGVO. Grundsätzlich reicht eine deutschsprachige Erklärung aus. In manchen Fällen ist aber auch eine Datenschutzerklärung auf Englisch zwingend erforderlich, zum Beispiel, wenn der Inhalt der Website auch als englischsprachige Variante zur Verfügung gestellt wird. In der Erklärung muss der Website-Betreiber transparent darstellen, welche personenbezogenen Daten zu welchem Zweck erhoben werden, wie sie verarbeitet und geschützt werden und wie Nutzer ihre Rechte wahrnehmen können. Die Datenschutzerklärung muss leicht zugänglich und verständlich sein und von jeder Seite der Website aus erreichbar sein. Dies kann beispielsweise durch einen Link im Footer oder in der Navigation der Website sichergestellt werden.
Die eigentliche Datenschutzerklärung nennen wir Datenschutzhinweise. Das ist laut Datenschutzexperten besser. Die Datenschutzhinweise habe ich auf meiner Website veröffentlicht:
https://multifolio.de/datenschutz-krypto-website
Die Datenschutzerklärung könnte kürzer ausfallen, denn zu keinem Zeitpunkt kann ein Zusammenhang zwischen der IP-Adresse und etwaigen Zahlungs- oder Transaktionsdaten des Nutzers hergestellt werden:
Wie in der Erklärung geschrieben, werden Daten wie IP-Adresse, mit der eine Ermittlung des Nutzers möglich ist(Personenbezug), getrennt von allen anderen Daten gespeichert. Daher können diese Zugriffs- und Protokolldateien auch schwer mit dem Session-Objekt(temporär) und Zahlungseinträgen(permanent) wie Kryptoabsendersadresse, Zahlungs-Tag oder gekauftes Produkt in Zusammenhang gebracht werden. Ein Personenbezug ist daher für die verwendeten Cookies sowie die Kryptotransaktionsdaten zu verneinen.
Ich habe mich dennoch entschieden die Datenverarbeitung mittels Cookies und Kryptotransaktionen in der Datenschutzerklärung aufzuschlüsseln. Zum einen möchte ich auf Nummer sicher gehen und die Erklärung so umfassend und transparent wie möglich gestalten, zum anderen soll mir die Datenschutzerklärung als Fundament für weitere Anpassungen dienen. Ich plane zum Beispiel weitere Plattformen wie discord in den Checkout-Prozess zu integrieren. Bei einer Discord-ID handelt es sich um personenbezogene Daten und, je nach Speicherung kann, dann auch für die Zahlungsdaten Personenbezug bestehen.
Verschlüsselung
Die Verschlüsselung der Website ist eine weitere Maßnahme, die in jedem Fall, also auch bei unserer Beispiel-Website, konkret umzusetzen ist. Die Datenschutz-Grundverordnung (DSGVO) schreibt nicht explizit vor, dass eine Website verschlüsselt sein sollte. Allerdings gibt es einige Artikel in der DSGVO, die sich auf die Sicherheit personenbezogener Daten beziehen und deren Übertragung und Speicherung betreffen, diesen Maßnahmen sollten wir Aufmerksamkeit schenken, um DSGVO-Konformität herzustellen. E
Artikel 32 der DSGVO besagt, dass personenbezogene Daten “in geeigneter Weise” gegen “unbefugte oder unrechtmäßige Verarbeitung und gegen unbeabsichtigten Verlust, unbeabsichtigte Zerstörung oder Beschädigung” geschützt werden müssen. Eine Möglichkeit, diesen Schutz zu gewährleisten, ist die Verschlüsselung der Datenübertragung über eine SSL-Verbindung.
Um ein SSL-Zertifikat zu aktivieren und die Kommunikation zum Server zu verschlüsseln, müssen folgende Schritte durchgeführt werden:
- Erwerben Sie ein SSL-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA).
- Installieren Sie das SSL-Zertifikat auf Ihrem Webserver. Die genauen Schritte variieren je nach Servertyp und -konfiguration. In der Regel müssen Sie das Zertifikat in den Server importieren und dann die entsprechenden Konfigurationsdateien aktualisieren.
- Konfigurieren Sie Ihren Webserver so, dass HTTPS-Verbindungen akzeptiert werden. Dies erfordert normalerweise eine Aktualisierung der Konfigurationsdateien Ihres Webservers.
- Ändern Sie alle Links auf Ihrer Website, damit sie auf HTTPS statt auf HTTP verweisen.
Durch Aktivierung des SSL-Zertifikats wird die Übertragung von Daten zwischen dem Server und dem Client verschlüsselt und somit DSGVO-konform.
Fazit
Unsere Krypto-Website profitiert datenschutzrechtlich von Vereinfachungen: Unsere Seite muss weder nervige Einwilligungen einholen, noch wird sie beim Checkout-Prozess personenbezogene Daten an Drittanbieter übermitteln. Der Serverstandort ist zudem Deutschland. Andere Maßnahmen, wie Datenschutzerklärung oder Verschlüsselung bleiben unabdingbar.
Die Artikelserie konnte zu guter Letzt Hinweise liefern weshalb Web3.0 von Entwicklern und Solo-Entrepreneuren Zulauf erhalten hat und Krypto-Websites verstärkt aufgesetzt wurden. Die Datenschutzbedenken der Verantwortlichen werden aufgrund anonymer DLT-Technologien klein gehalten und man kann sich auf das Wesentliche - das eigentliche Entwickeln - konzentrieren.
Dieser Artikelserie hat versucht das Thema DSGVO-Konformität greifbar zu machen. Ich hoffe sie konnte nicht zuletzt mit diesem Artikel praktische Tipps liefern und Dich dazu bewegen Dein eigenes Kryptoprojekt umzusetzen und legal zu betreiben. Falls Du mir bei meinem Vorhaben folgen möchtest, dann abonniere doch meinen YouTube Kanal und folge mir hier auf Medium. Ansonsten kann ich Dir noch meinen Artikel zu den Informationspflichten beim Betreiben eines Online-Shops ans Herz legen.