Im Frühjahr 2016 hat das europäische Parlament die Verabschiedung der Datenschutz-Grundverordnung (DSGVO) beschlossen, die nach einer Übergangsfrist von zwei Jahren am 25. Mai 2018 gültig wird. Betroffen sind alle Unternehmen, Start Ups, Selbstständige und Blogger (in diesem Artikel zusammengefasst zu „Unternehmen“), in denen personenbezogene Daten regelmäßig automatisiert verarbeitet werden.
Jeder Blog, Webseiten-Betreiber oder Onlineshop-Besitzer sollte sich über die folgende Punkte für seine Webseite kümmern:
- Überprüfung / Anpassung der Datenschutzerklärung / des Impressums
- Webseiten-Features inkl. Datenerfassung- und Speicherung
- Umgang mit Drittanbieter-Services (Plug Ins, etc.)
Wir stellen Ihnen hier die wichtigsten Informationen rund um den Online-Auftritt kurz und kompakt in Form einer Checkliste zur Verfügung. Die im Rahmen dieser Checkliste zur Verfügung gestellten Informationen wurden bestmöglich recherchiert. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernommen. Eine allgemeine Übersicht über die Pflichten fdür Unternehmen und Rechte der Betroffenen gibt es hier.
Praktische Checkliste für einen DSGVO konformen Online Auftritt
Inhalt und Sichtbarkeit der Datenschutzerklärung / des Impressums
Die Datenschutzerklärung muss ab dem 25. Mai 2018 eine individuelle Ausgestaltung vorweisen – Standard-Texte tun es nicht mehr. Diverse Onlinetools helfen bei der Erstellung der individuellen Datenschutzerklärung, z.B. der Datenschutz-Generator der Rechtsanwaltskanzlei Dr. Schwenke. Die Aktualisierung der Datenschutzerklärung und des Impressums wird umfangreich ausfallen – eine Erweiterung des Impressums / der Datenschutzerklärung auf bis zu 15 Seiten stellen keinen Ausnahmefall dar.
Gut zu wissen: Stellt z.B. mit dem WordPress-Tool Yoast die Unterseite mit der Datenschutz-Erklärung auf „noindex“. Dadurch zeigt google diese Seite bei Suchen nicht an und wird von automatisierten Bots, die nach unzulässigen Formulierungen suchen und automatisiert Abmahn-Listen generieren, weniger leicht gefunden.
Gut zu wissen: Beruflich genutzte Fanseiten von Facebook & Co. brauchen zukünftig ein ausführlicheres Impressum mit einem Verantwortlichen pro Seite. Zur Erstellung des Facebook Fanseiten Impressums gibt es einen kostenlosen Generator von erecht 24.
Webseiten-Features inkl. Datenerfassung- und Speicherung
Datenverarbeitungs-Vertrag mit dem Provider
Lt. DSGVO ist der Anbieter des Webspace beim Shared Hosting ein Datenverarbeiter, denn er speichert er automatisierte Backups der Seite (mit persönlichen Daten z.B. Namen und eMail-Adressen von Kommentaren und Server Logs mit IP Adressen. Eine Deaktivierung dieser Backups und Logs kommt für die meisten Webseite-Owner aus sicherheitstechnischen Überlegungen nicht in Frage. Also man einen extra Vertrag mit dem Anbieter des Webspaces machen, der auf die sichere Verwahrung personenbezogener Daten eingeht. Wie sich das mit der DSGVO einhergehende Recht auf Löschung sich mit der Notwendigkeit von Backups verträgt, muss noch genauer geklärt werden.
SSL Verschlüsselung und Update der Webseite
Die Website sollte auf einem guten, wirtschaftlich zumutbaren Stand der Technik sein. Unternehmen müssen sicherstellen, dass Hacker nicht zu einfach an schützenswerten Daten kommen – denn damit macht man sich strafbar. Zu einer sicheren Seite gehört die SSL-Verschlüsselung der Website, insbesondere wenn diese mit Formularen wie Kontaktformularen, Kommentarfeldern oder Shopping-Eingabemasken arbeitet. Die SSL-Verschlüsselung ist ein wirksamer Schutz für die Übertragung personenbezogener Daten. Die SSL-Umstellung von WordPress von http:// auf https:// erfolgt entweder per Plug-In oder händisch (mit Search and Replace in der Datenbank und Anpassung der htaccess).
Cookiehinweis
An den verpflichtenden Cookiehinweisen ändert sich nichts. Für den Cookie-Hinweis können viele Cookie-Plugins genutzt werden. Cookie Consent von Catapult Themes.
Das Plug-In EU-Cookie-Law ist eine gute Lösung, um deine Website an das Europäische Cookie Recht anzupassen,
Newsletter
Wer Newsletter versendet, muss die Einwilligung des Kunden nachweisen können. Dies kann man über einen Double-Opt-In (s.o.) sicherstellen. Eine gute Anleitung zu Newslettern mit Mustertexten hat der Marketing-Anwalt Dr. Schwenke ins Netz gestellt.
Der bekannte Newsletter-Anbieter Mailchimp hat sich dem Privacy Shield Abkommen unterworfen. Der Abschluss eines Datenverarbeitungsvertrages und ein Hinweis bei der Anmeldung sind bei Mailchimp zukünftig verpflichtend. Je nach Zusammenarbeitsmodell mit dem Newsletter-Anbieter wird es notwendig, einen Datenverarbeitungsvertrag zu unterzeichnen. Mailchimp erledigt das digital.
Kopplung von Services
Lt. DSGVO besteht zukünftig ein Kopplungsverbot. Dieses besagt, dass man Dienste nicht koppeln darf. Es ist also nicht zulässig, für das zur Verfügung stellen eines eBooks die Mailadresse zu verlangen. Das Einsammeln von Email-Adressen darf nur zwangfrei und zweckgebunden erfolgen.
Kommentarfunktion
Obwohl viele Personen auf Webseiten Kommentare mit dem Ziel der Veröffentlichung abgeben, muss auch hier ein Hinweis zur Datenspeicherung (idealerweise mit Link auf die Datenschutz-Policy) gegeben werden. Wie das genau auszusehen hat ist noch unklar, eine verpflichtende Checkbox macht Sinn, die über die Datenspeicherung Auskunft gibt und die Zustimmung des Kommentierenden einfordert.
Speicherung der IP Adressen von Kommentierenden
Aktuell hinterlegen WordPress und andere CMS-Systeme zu jedem Kommentar die zugehörige IP in der Datenbank. Dafür gibt es gute Gründe: Bei Rechtsstreitigkeiten hilft die IP-Adresse, die Identität des Kommentierenden festzustellen. Nachdem die DSGVO zweckgebundenen Dateneinsatz und Löschfristen verlangt, ist unklar, inwieweit die Speicherung der IP Adressen bei den Kommentaren zulässig ist. Wer einem möglichen Verstoß entgegen wirken will, kann die Erfassung der IP über einen vierzeiligen Code in der functions.php verhindern und bereits gespeicherte IP Adressen aus der Datenbank entfernen. Helfen kann entweder der IT Dienstleister oder man sieht sich im Netz nach einer Anleitung um.
User-Registrierung
Können sich User auf Ihrer Webseite registrieren, müssen Sie sicherstellen, dass nur das notwendige Datenminimum zur Erfüllung des Zwecks der Registrierung abgespeichert wird. Verschickt die Webseite z.B. regionale Freizeittipps, ist die Speicherung der Adresse des Webseitenbesuchers notwendig, die Telefonnummer aber nicht. Das Einverständnis des Nutzers und ein Hinweis auf die Datenschutzerklärung sind erforderlich.
Überarbeitung des Content Management Systems – bspw. WordPress
Diverse WordPress-Features sind ab 25. Mai nicht mehr DSGVO-konform und verstoßen klar gegen die europäische Datenschutz-Gesetzgebung. Auf Themes und Plugins, die länger nicht mehr upgedatet werden, sollten WordPress-Seitenbetreiber aus DSGVO-Gründen ein besonders kritisches Auge werfen. Denn viele nützliche WordPress-Plugins sammeln personenbezogene Daten und geben diese an Drittanbieter weiter. Eine gute Übersicht welche WordPress-Plugins personenbezogene Daten sammeln und welche nicht bzw. welche Alternativen es gibt, zeigt die 120+ WordPress-Plug-In-Checkliste von Blogmojo.
Es stellt sich die Frage, ob man die eigene Seite mit einem Plug-In DSGVO-kompatibel machen kann. Mit einem Klick oder einem All-In-Plug-In ist das leider nicht getan, aber es gibt ein gutes Plugins, die wichtige DSGVO-Vorschriften umsetzt:
- WP GDPR: stellt eine Seite zur Verfügung, auf der die User Zugang zu ihren personenbezogenen Daten auf der Webseite haben. Die Nutzer können sich ihre Daten ansehen und auf Anforderung durch den Seitenbetreiber löschen lassen.
Umgang mit Drittanbieter-Services
Google Analytics
Falls Sie Onlinedienste wie google analytics zur Auswertung der Webseiten-Daten nutzt, müssen Sie einen Auftrag zur Auftragsdatenverarbeitung mit diesen Diensten abschließen. Nur dann darf man die Daten an Drittdienste weitergeben. Gleichzeitig muss der Webseitenbesucher über das Impressum / die Datenschutzerklärung auf das Vorliegen eines solchen Vertrages hingewiesen werden und auf Antrag das Recht auf Löschung seiner Daten (Opt-Out) bzw. auf Einsichtnahme in den Vertrag erhalten.
Unternehmen oder Blogger mit Sitz in Deutschland müssen den Vertrag in Papierform übermitteln und auf dem Postweg an Google Irland (Adresse im Dokument) schicken. Eine entsprechende PDF-Vorlage findet man online. In anderen EU-Ländern reicht die digitale Zustimmung.
Last but not least sollten die IP Adressen Ihrer Webseitenbesucher anonym an google analytics weitergeleitet werden. Ob dies bei eurer Webseite der Fall ist überprüft ihr über die “linke Sidebar Menupunkt google analytics, erweiterte Einstellungen, IP Adresse anonymisieren”.
Google Analytics Opt-Out Option
Die Opt-Out Funktionalität lässt sich einfach mit dem Plug-In GA Opt-Out einbauen. Sinnvollerweise baut man den Hinweis darauf innerhalb der Datenschutzerklärung ein.
Google Fonts
Google Web Fonts bieten die Möglichkeit, eine Vielzahl schöner Schriften auf der Webseite zu nutzen. Die Besonderheit ist, dass diese nicht lokal auf dem eigenen Server/Webspace liegen, sondern aus der Cloud in den Cache des Nutzers geladen werden. Dabei wird die IP-Adresse und sogar der persönliche Browser-Verlauf an Googles Server übermittelt. Eine DSGVO konforme Alternative ist, die Google Fonts über den eigenen Server einzubinden. Die Netzialisten zeigen dazu verschiedene Methoden auf.
Youtube
Viele Unternehmen und Blogger nutzen die Möglichkeit YouTube-Videos kostenfrei zu speichern und auf der eigenen Website einzubinden. Es ist jedoch unklar, welche personenbezogenen Daten wie und wo gespeichert bzw. verarbeitet werden. Auch die Tatsache, dass GoogleFonts, Gstatics etc. mitgeladen werden, ist datenschutzrechtlich nicht sicher. Aktuell stellt YouTube leider keinen Auftragsdatenverarbeitungsvertrag zur Verfügung. Wenn Sie YouTube-Videos trotzdem einbinden wollen, kann man das mit einigen Webseite-Code-Änderungen und einer entsprechenden Berücksichtigung in der Cookie- und Datenschutzerklärung tun. Eine gute Anleitung zur YouTube-Video-Einbindung gibt es bei easyRechtssicher.de.
Gravatar-Bilder
Webseiten, die eine Kommentarfunktionen anbieten, können die eMail Adresse an die Gravatar-API senden und bekommen das vom Nutzer zugeordnete Bild zurückgeliefert. Das Problem dabei: es findet jedes Mal eine Abfrage der zugehörigen eMail-Adresse (wenn auch verschlüsselt) an Drittanbieter statt. Um dem zu entgehen, kann die Gravatar-Funktion unter dem Menüpunkt „Einstellungen“ -> „Diskussion“ abgestellt werden. Am Ende der Seite finden Sie im Abschnitt „Avatare“ eine standardmäßig aktivierte Checkbox „Avatare anzeigen“, die Sie deaktivieren können.
Tipp: mit dem Plug-In Disable User Gravatar kann man die Remote-Abfrage deaktivieren und nur lokal gehostete Avatar Manager Bilder von registrierten Usern anzeigen. So bleibt man DSGVO-konform.
Emojis
Seit WordPress 4.4 werden die inkludierten Emojis nicht lokal geladen, sondern von Auttomatic-CDN-Servern angefordert. Damit bilden Emojis lt. DSGVO einen Verstoß gegen das Datenschutzrecht, da die IP-Adresse der Blogbesucher an Drittanbieter übermittelt wird. Emojis könnt ihr bequem via das Plug-In Disable Emojis loswerden.
Push Notifications
Push-Notifications, also Browser-Pop Ups, die z.B. fragen ob Nutzer den Newsletter abonnieren wollen, erfreuen sich großer Beliebtheit. Ob über Plug-In oder JavaScript eingebunden, die meisten Push-Notifications nutzen Drittserver. Daher ist auch hier zu klären, inwieweit der Dienstleister die DSGVO-Richtlinien befolgt und ob ggf. ein Datenverarbeitungs-Vertrag fällig wird.
Share Buttons
Share-Buttons sind weiterhin zulässig, allerdings dürfen keine Daten des Webseitenbesuchers ohne dessen Zustimmung erhoben bzw. übertragen werden. Das bedeutet, man muss eine technische Implementation wählen, bei erst dann Daten übertragen werden, wenn der Besucher die Share-Funktion auch tatsächlich nutzt.
Webseiten Live Chat
Wichtig an Webseiten Live-Chats für die DSGVO ist, dass die Chats häufig über zugehörige Datenspeicherungen über Server von Drittanbietern laufen, bei denen man die sichere Datenverwendung lt. DSGVO nicht garantieren kann. Ihr solltet euch die Chat-Anbieter also genau ansehen und idealerweise ein vollständig selbst gehostetes Chatsystem nutzen (interessante Optionen: Fluent Chat, Awesome Live Chat).
Weitere Schritte zum DSGVO konformen Unternehmen
Mehr Details zu den allgemeinen Anforderungen der DSGVO gibt’s in unserem Special: Die wichtigsten Punkte der DSGVO für Blogger und Unternehmen.
Unten eine allgemeine Übersicht über die allgemeinen DSGVO Grundsätze, an die sich alle Unternehmen und Blogger halten müssen.
Wichtiges zum Schluss
Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen. Die im Rahmen dieses Artikels zur Verfügung gestellten Informationen wurden bestmöglich recherchiert werden und werden nach Möglichkeit aktuell gehalten. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernommen.