DSGVO und Ihre Website - Was ist zu tun?
DSGVO - Auswirkungen auf Websites

Schreckgespenst DSGVO und Ihre Website – Was müssen Sie tun?

Am 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Die interne Umsetzung in Ihrem Betrieb sollten bereits erfolgt sein.
Was möglicherweise noch fehlt, ist die Adaptierung Ihrer Website. Ich hab mir die wichtigsten Änderungen, die Webseiten betreffen, angesehen und für Sie zusammengefasst.

Ich bin kein Rechtsanwalt und kann Sie daher nicht rechtsverbindlich beraten oder eine Garantie für die vorgeschlagenen Anpassungen übernehmen. Das kann nach aktueller Lage noch niemand, da vieles erst ausjudiziert werden muss. Ein Schritt in die richtige Richtung ist es jedoch in jedem Fall.

Wem nützt die DSGVO?

Die DSGVO ist ein Versuch der EU, den Datenschutz EU-weit zu vereinheitlichen. Viele der geforderten Maßnahmen sind schon längere Zeit geltendes Recht, wurden aber bisher nicht oder nur sehr unzureichend umgesetzt. Das soll sich mit den massiven Strafandrohungen ändern.

„Am Ende sollte die DSGVO uns allen nützen, da wir alle Nutzer verschiedener Dienste sind, die Daten sammeln, nutzen, verarbeiten, speichern und auch verkaufen. Die Sicherheit unserer persönlichen Daten sollte uns Einiges an Aufwand wert sein.“

Grundlagen

Was sind personenbezogene Daten?

Es dreht sich alles um personenbezogenen Daten, also

  • Name
  • Adresse
  • Telefonnummer
  • E-Mailadresse
  • Geburtsdatum, Alter
  • Bankdaten
  • Bestelldaten, Kontodaten
aber auch
  • IP-Adresse, Cookies und Standortdaten

Der letzte Punkt ist der Aufwändigste, wenn es um Websites und DSGVO geht, da nicht immer abschätzbar ist, wo und wie die IP-Adresse verwendet, gespeichert oder an Dritte weitergegeben wird.
Die IP-Adresse identifiziert Sie im Internet und kann Ihnen genau zugeordnet werden – gehört also zu Recht zu den personenbezogenen Daten. Bei vielen Vorgängen (z.B. Formularversand, Einloggen, Kaufabschluss in Shops etc.) wird Ihre IP-Adresse gespeichert.

Die Grundsätze der DSGVO und wie Ihre Website davon betroffen ist.

  • Verantwortlich für die Einhaltung der DSVGO ist der Website-Betreiber
  • Es dürfen nur notwendige Daten erhoben werden. Z.B. nur die E-Mailadresse bei Mailinglisten. Namen und Adresse sind dafür nicht notwendig.
  • Daten dürfen nur für den Zweck verwendet werden, für den eine Einwilligung besteht (Zweckbindung).
  • Die Daten müssen technisch/organisatorisch gegen unbefugten Zugriff, Zerstörung, Änderung oder Verlust geschützt werden.
  • In der Datenschutzerklärung muss aufgelistet werden, wie und wo und von wem die Daten verarbeitet werden.
  • Die Verarbeitung der Daten muss nachvollziehbar sein. Informationen sollten einfach formuliert werden.

Einholen der Bewilligung

Bei Verwendung eines Formulares, Anmeldung zum Newsletter aber auch bei Nutzung von Analytics muss vor der Verwendung der personenbezogenen Daten vom Nutzer eingewilligt werden.

  • Die Einwilligung muss freiwillig erfolgen
  • Die Einwilligung muss aktiv erfolgen – keine vorausgefüllten Checkboxen etc.
  • Kopplungsverbot, d.h. Akzeptieren der AGB darf nicht mit Zustimmung zum Newsletter verbunden sein
  • Die Website muss auch ohne Einwilligung nutzbar sein.
  • Über den Zweck der Datenverarbeitung muss genau informiert werden
  • Die Einwilligung muss beweisbar sein.
  • Es muss auf das Widerrufsrecht hingewiesen werden.

Datenschutzerklärung – das Zentrum der Information

Wenn personenbezogene Daten verarbeitet werden, muss eine Datenschutzerklärung lt. DSGVO vorhanden sein – egal ob die Seite kommerziell ist oder nicht. Die Datenschutzerklärung muss von jeder Seite direkt erreichbar sein

Was muss die Datenschutzerklärung denn so erklären?

  • Die Datenschutzerklärung muss detailliert informieren, welche Daten, wozu und wie gespeichert und verarbeitet werden
  • Wann, warum und wie die Daten an Dritte weitergegeben werden
  • Wie der User an seine Daten kommt bzw. wie er die Löschung/Änderung/Übertragung beantragen kann

Als Grundlage für die eigene DSE gibt einige gut brauchbare Generatoren bzw. Vorlagen und Empfehlungen im Internet. Rechtlich verbindlich können die natürlich nicht sein. Dazu fragen Sie bitte Ihren Rechtsanwalt.

Auftragsverarbeitungsvertrag – was ist das und mit wem muss ich ihn abschließen?

Sie müssen mit allen Dienstleistern, die mit Ihren personenbezogenen Daten auf der Website in Berührung kommen können, einen solchen Vertrag abschließen.

Das sind im Besonderen

  • Webhoster, Provider
  • Newsletter-Versender
  • Tracking-Anbieter (Google Analytics u.ä.)
  • Zahlungs-Provider bei Online-Shops
  • Webdesigner, Programmierer

WordPress und die DSGVO

Da ich hauptsächlich WordPress-Webseiten erstelle, werde ich die nötigen Arbeiten am Beispiel WordPress zeigen.

Wann verarbeitet WordPress personenbezogenen Daten?

  • ein Formular für Anfragen, Anmeldungen, Bewerbungen vorhanden ist
  • Wenn in Ihrem Blog eine Kommentarfunktion vorhanden ist
  • Wenn eine Registrierung/Login für User möglich ist
  • Wenn Analyse- und Trackingtools verwendet werden (Google Analytics)
  • Wenn Plugins verwendet werden, die Daten weitergeben (z.B. Google-Fonts, Analyse-Tools, Anti-Spam, Content-Distribution-Networks (CDNs) u.a.)

Was muss ich tun, um WordPress DSGVO-sicher zu machen?

Ich kann leider nicht alle Arbeiten bis ins Detail aufführen. Dazu gibt es unzählige Informationsseiten im Internet, die die technischen Lösungen aufzeigen. Ich will Ihnen hier nur einen kurzen Überblick geben.

  • SSL-Verschlüsselung einrichten, damit die Website über https:// erreichbar ist. Das ist prinzipiell nicht vorgeschrieben, aber für die sichere Datenübertragung von Formularen unumgänglich.
  • Anpassung von Formularen mit Checkboxen und Hinweisen für die Einwilligung in die Datenschutzerklärung und Einwilligung in die Zusendung von Newslettern.
  • Sie haben einen Blog auf Ihrer Website? Dann muss die IP-Adressen Speicherung unterbunden werden und bereits gespeicherte IPs müssen gelöscht werden.
  • Verwendung von Emojis und Gravataren in den Blog-Kommentaren muss unterbunden werden, da diese von Drittseiten geladen werden.
  • Bedenkliche Plugins müssen entfernt bzw. ausgetauscht werden. Auch dazu gibt es lange Listen, Anleitungen und Alternativvorschläge im Web. Selbst zu beurteilen, welches Plugin DSGVO-konform ist, erfordert schon ein gutes Maß an technischem Wissen.
  • Bei Verwendung von Google-Fonts müssen die Schriften lokal gespeichert werden, damit ihre Website nicht die IP-Adresse an Google weiter gibt.
  • Einbindung und Anzeige von Youtube-Videos erst nach Zustimmung
  • Einbindung von Google-Maps erst nach Zustimmung

Und was ist mit Google-Analytics?

Nach aktueller Entscheidung der österreichischen Datenschutzbehörde, ist die Verwendung von Google-Analytics in Österreich nicht mehr zulässig.
Begründet wird das mit dem nicht ausreichenden Schutz der Nutzerdaten. US-Behörden/Gemeimdienst können auf die personenbezogenen Daten zugreifen. Obwohl Google offiziell sich dazu verpflichtet, sich an europäische Datenschutzrichtlinien zu halten, ist das keineswegs sichergestellt bzw. transparent zu prüfen.

Es sollte daher Alternativen wie lokales Tracking in WordPress oder Tools wie Matomo verwendet werden. Für den Großteil der Websitbetreiber würden dies Möglichkeiten in jedem Fall ausreichen.
Für mehr Informationen können Sie mich gerne kontaktieren.

Ich hoffe, die (nicht ganz so) kurze Zusammenfassung hat ein wenig Licht in den DSGVO-Dschungel gebracht. Welche Einschränkungen, Aufgaben und Chancen die DSGVO und Datenschutz in Zukunft bringen werden, steht noch in den Sternen. Der erste Schritt ist gemacht.

Diesen Post teilen