DSGVO

Die DSGVO kommt Ende Mai! Sind Sie bereit?

Im Mai 2018 kommen auf viele Unternehmen weitreichende Änderungen zu - denn ab dem 25. Mai 2018 gilt EU-weit die neue EU-Datenschutzgrundverordnung (EU-DSGVO oder kurz DSGVO) -> Kompletten Gesetzestext hier nachlesen.

Die neuen Gesetze beziehen sich auf ALLE Bereiche jedes Unternehmens, egal wie klein oder groß. Das Gesetz bezieht sich nicht nur auf Websites sondern generell auf den Umgang mit Kundendaten.

Die Website ist dabei aber der öffentlich erreichbare, nach außen gerichtete Teil eines Unternehmens und daher besonders einfach auf seine korrekte Anwendung der DSGVO überprüfbar.

Im Folgenden habe ich einige der wichtigsten Punkte zum Erreichen einer DSGVO-konformen Website zusammengestellt. Jeder Punkt enthält eine kleine Erläuterung mittels derer Sie feststellen können ob diese Maßnahme für Ihre Website durchgeführt werden sollte oder nicht. Brauchen Sie Hilfe dabei? Ich unterstütze Sie gerne bei der Durchführung der technischen Maßnahmen.

Beachten Sie, dass ich keine Rechtsberatung anbieten kann oder darf und es sich lediglich um Empfehlungen handelt. Im Zweifel sollten Sie einen entsprechenden Fachanwalt zur Überprüfung der Website hinzuziehen. 

Allgemeine Informationen zur DSGVO

Worum geht es in der DSGVO?

Die EU-Datenschutzgrundverordnung regelt EU-weit den Umgang mit personenbezogenen Daten wie z.B.

  • Name, Anschrift
  • Geburtsdatum
  • Steuernummer
  • Einkommen, Ausbildung
  • E-Mail-Adresse
  • IP-Adresse
  • Kauf-, Surf- und Klick-Historie einzelner Nutzer

Immer dann, wenn personenbezogene Daten nicht vollständig anonym erhoben sondern einer bestimmten Person zugeordnet werden können, bewegen Sie sich im Bereich des Datenschutzrechts.

Was wird neu geregelt?

Primär werden durch die DSGVO folgende Bereiche neu oder anders geregelt:

  • Pflicht zur Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten
  • Dokumentationspflichten und Datenschutzfolgenabschätzung
  • Neue Vorgaben für Einwilligungserklärungen online und offline
  • Erweitere Vorgaben für Datenschutzerklärungen auf Webseiten
  • Pflicht zur Datenportabilität
  • “Recht auf Vergessenwerden” von Nutzerdaten
  • Neuregelungen bei der Auftragsverarbeitung bzw. Auftragsdatenverarbeitung
  • Neuregelungen bei Mitarbeiterdaten
  • "privacy by design" und "privacy by default"
  • Personenbezogene Daten von Kindern
  • Prinzip des "One-Stop-Shop”
  • Stellung des Datenschutzbeauftragten (DSB)
  • Meldepflicht von "Datenpannen”
  • Neue Haftungsregeln und höhere Bußgelder

Wer ist von den Regelungen der DSGVO betroffen?

Ohne lange, vor Rechtsdeutsch strotzende Sätze zu schreiben kann man sagen:

WENN Sie ein Unternehmen betreiben, dann SIND Sie betroffen. Sowohl offline als auch online. 

Welche Anpassungen sind für meine Website ggf. sinnvoll?

Ist Ihre Seite verschlüsselt? (SSL / HTTPS)?

Ob Ihre Seite verschlüsselt ist, erkennen Sie ganz einfach, wenn Sie sie aufrufen und in Ihrem Browser Ausschau nach einem grünen Schloss, bzw. dem Hinweis "Sicher" halten. Außerdem steht bei einer sicheren Seite vor der Adresse "https://" anstatt wie sonst "http://". 

Besonders wichtig ist diese Verschlüsselung, wenn Sie auf Ihrer Website ein Kontaktformular besitzen. Die Verschlüsselung sorgt dafür, dass dort eingegebene Daten nicht mehr unverschlüsselt über das Internet übertragen werden und somit die Informationen Ihrer Kunden geschützt sind. 

Viele Provider bieten (je nach gebuchtem Hosting-Paket) kostenlose bzw. in das Paket integrierte SSL-Zertifikate an. Ist das bei Ihnen der Fall, enstehen für das Zertifikat selbst keine Kosten. Dies muss im Einzelfall geklärt werden. 

Dringlichkeit: SEHR HOCH!

Wenn Ihre Website ein Kontaktformular oder einen Shop enthält ist die Aktivierung der SSL-Verschlüsselung DRINGEND empfohlen. Auch wenn Sie keine dieser Kontaktmöglichkeiten vorhalten sollten Sie Ihre Seite umstellen da ab Sommer 2018 viele Browser-Hersteller nicht verschlüsselte Seiten als unsicher kennzeichnen und vor deren Nutzung warnen.

Info: https://www.mittwald.de/blog/news-aus-dem-web/google-chrome-warnt-offensiv-vor-unverschluesselten-webseiten

Weiterführende Hinweise z.B. hier: https://www.datenschutz-praxis.de/fachartikel/dsgvo-verschluesselung-ist-trumpf/

Haben Sie eine (dem DSGVO entsprechende) Datenschutzerklärung auf Ihrer Website?

Bezüglich der Datenschutzerklärung gibt es zwei besonders wichtige Punkte zu beachten:

  1. Sie muss mit einem direkten Link von jeder Seite Ihrer Webpräsenz aus erreichbar sein
  2. Sie muss den Vorschriften der DSGVO entsprechen (hierzu gibt es diverse Quellen im Internet, die dieses Thema vertiefen. Siehe z.B.: https://www.heise.de/ix/heft/Informationsverpflichtet-3920059.html)

Im Zweifelsfall sollten Sie einen entsprechend spezialisierten Rechtsanwalt mit der Erstellung einer gültigen Datenschutzerklärung beauftragen. Um auch ohne diese Investition zumindest einen Schritt in die richtige Richtung zu machen können Sie auch einen der im Internet angebotenen Generatoren verwenden. 

Ohne Anspruch auf Rechtssicherheit: Generator der Deutschen Gesellschaft für Datenschutz

Dringlichkeit: SEHR HOCH!

Gerade eine fehlende oder ungültigen Datenschutzerklärung lädt Abmahnvereine, Konkurrenten oder unethisch agierende Anwälte dazu ein, Websitebesitzer mit Strafen und Geldbußen zu bedrohen. Daher ist auch diese Maßnahme dringend emfpohlen.

Haben Sie einen AV-Vertrag mit dem Hoster und der Web-Agentur geschlossen?

Mit dem Inkrafttreten der DSGVO ist auch ein sogenannter AV-Vertrag mit jedem Dienstleister vorgeschrieben, der Zugriff auf Kundendaten Ihres Unternehmens hat. Da beim Besuch Ihrer Website ggf. schon IP-Adressen (Also personenbezogene Daten) des Besuchers erhoben werden, gilt dies auch für den Provider bei dem Ihre Website bzw. Ihre E-Mail Konten liegen. 

Somit müssen Sie sowohl mit dem Provider/Hoster, bei dem Ihre Website gehostet ist einen AV-Vertrag (Auftragsdatenverarbeitungs-Vertrag) abschließen als auch mit dem Dienstleister, der Ihre Website pflegt oder wartet (also ggf. mir). 

Die meisten Webhoster werden spätestens zum Stichtag Ende Mai diese Verträge zum einfachen Download und Ausfüllen anbieten, aktuell haben viele Provider diese Verträge noch nicht zur Verfügung gestellt. In der Regel sind die Verträge von Seiten der Provider vorausgefüllt. Das bedeutet, Sie müssen sie herunterladen, ausfüllen und per Post oder E-Mail an den Provider zurück senden. 

Zur Liste der bisher verfügbaren AV-Verträge

Wird Ihre WordPress-Seite regelmäßig technisch aktualisiert?

Auch die regelmäßig Aktualisierung von WordPress und verwendeten Plugins gehört zu den Datenschutz-Pflichten von Website-Betreibern. Laut DSGVO sind Sie verpflichtet, alle notwendigen technischen und organisatorischen Maßnahmen zu ergreifen um ihre Kundendaten vor Fremdzugriff oder Verlust zu schützen.

Einerseits weil veraltete Software ggf. ein Sicherheitsrisiko bedeuten kann und somit im schlimmsten Fall Dritten den Zugriff auf Daten Ihrer Kunden erlaubt, andererseits weil mit Inkrafttreten der DSGVO viele Entwickler von Plugins für WordPress (und auch die Entwickler von WordPress selbst) stetig daran arbeiten, ihre jeweiligen Produkte DSGVO-konform zu gestalten so dass Updates auch zu steigendem Datenschutz beitragen können.

Warten Sie Ihre Website regelmäßig?

Dringlichkeit: HOCH!

Wenn Sie noch keine Wartungsvereinbarung getroffen haben können Sie meine Angebote dazu hier abrufen https://wpnanny.de/#preise

Haben Sie ein Kontaktformular?

Haben Sie ein Kontaktformular auf Ihrer Website? 

Auch hier könnten einige Anpassungen (vor allem technischer Art) nötig sein um völlig DSGVO-konform zu sein. 

Weit verbreitet ist die Empfehlung, vor dem "Absenden"-Button eine Checkbox mit einem Link zur (natürlich DSGVO-konformen) Datenschutzerklärung zu integrieren, die der Besucher vor dem Versand bestätigen muss.

Beispiel:

Datenschutzerklärung Kontaktformular

Dies ist aber vermutlich entgegen der Empfehlung nicht zwingend notwendig. 

Quelle z.B. : https://www.it-recht-kanzlei.de/kontaktformular-datenschutzgrundverordnung-dsgvo.html#abschnitt_20

Trotzdem wird empfohlen, es so zu machen um auf Nummer Sicher zu gehen:

https://www.e-recht24.de/news/abmahnung/10651-abwarnung-kontaktformulare-einwilligung.html

Datensparsamkeit

Weiterhin gilt der Grundsatz der Datensparsamkeit, das heißt, sie dürfen nicht mehr Daten erheben als zur Erfüllung des genannten Zwecks nötig ist. Prüfen Sie ggf., ob ihr Formular Daten abfragt, die zur Beantwortung der jeweiligen Anfrage nicht nötig sind. 

Es ist außerdem zu beachten dass Sie die vom Kunden erhaltenen Daten NUR zu dem Zweck benutzen dürfen zu dem er sie Ihnen überlassen hat. Hat er z.B. ein Bewerbungsformular mit seiner Telefonnummer ausgefüllt dürfen Sie ihn nicht anrufen um ihm die neuesten Angebote vorzustellen. 

Dringlichkeit: MITTEL

Betreiben Sie einen Newsletter?

Hier wird es haarig! 

Wenn Sie einen Newsletter betreiben müssen Sie, um die neue DSGVO zu befolgen eine erneute Einwilligung Ihrer Abonnenten einholen und sie VORHER über die Verwendung ihrer Daten informieren. 

Auch wenn die Abonnenten sich ja irgendwann einmal zu Ihrem Newsletter angemeldet haben und damit ja ihre Einwilligung gegeben haben, muss nach neuem Recht VOR dieser Einwilligung eine BELEHRUNG erfolgen (also entsprechende Informationen in der Datenschutzerklärung hinterlegt und der Abonnent darauf hingewiesen sein).

Der beste Weg ist hier, die Abonnenten zu bitten, sich ERNEUT (in eine neue Liste) einzutragen. Auf dem Anmeldeformular muss nun der Hinweis auf die DS-Erklärung mit dem entsprechenden Passus für den Newsletter vorhanden sein. 

Um nicht zu viele Abonnenten zu verlieren können Sie hier z.B. eine kleine Verlosung unter den Neu-Abonnenten einbauen.

ACHTUNG: Die Aufforderung zur Neu-Registrierung sollte VOR dem 25. Mai erfolgen, nur bis dahin können Sie Ihre Abonnenten noch legal per Newsletter-Tool anschreiben. 

Dringlichkeit: SEHR HOCH!

Verwendet Ihre Website ein Tracking-Tool wie Matomo (ehem. Piwik) / Google Analytics?

Im Falle von Google Analytics sind mehrere Maßnahmen notwendig um die Verwendung der DSGVO konform zu gestalten. Die IP-Adressen Ihrer Besucher müssen "maskiert" werden damit aus Ihnen keine Rückschlüsse zur Person gezogen werden können. 

Weiterhin muss ein passender Passus in die Datenschutzerklärung integriert werden. 

Ähnliches gilt auch für Piwik/Matomo wobei diese Software schon grundsätzlich in der Lage ist, die Adressen zu maskieren.

In jedem Fall muss ggf. ein Opt-Out in der Datenschutzerklärung hinzugefügt werden. 

Dringlichkeit: Hoch bis sehr hoch!

Hat Ihre Website eine Cookie-Warnung?

Sicherlich ist Ihnen auf vielen aktuellen Websites auch schon die allgegenwärtige Cookie-Warnung aufgefallen.

Diese ist nur verpflichtend wenn Sie bestimmte Google-Dienste verwenden.

Dringlichkeit: SEHR NIEDRIG!

Verwendet Ihre Website "schöne" Google-Schriften?

Google stellt seit einigen Jahren eine Sammlung von Schriftarten kostenlos zur Verfügung, die beliebig verwendet werden dürfen. Sehr viele Programmierer haben diese Schriften in ihren Erzeugnissen verwendet da sie optisch gefällig, auf hohem Qualitätsniveau und einfach einzubinden sind. 

Leider ist nicht abschließend geklärt, ob und unter welchen Umständen die Verwendung dieser Schriften noch DSGVO-konform ist. 

Daher empfehle ich, die verwendeten Schriften entweder (sofern optisch vertretbar) durch Standard-Systemschriften zu ersetzen oder sie "lokal" auf dem eigenen Server abzulegen und von dort aufzurufen. 

Dringlichkeit: Mittel bis Hoch!

Welche Maßnahme für Ihre Seite die Beste ist können wir gerne gemeinsam in einem Gespräch klären.

Verwendet Ihre Website Google Maps?

Die Verwendung aller einbindbaren Google-Produkte (Fonts, Maps, Google+) ist NICHT DSGVO-konform. Sie sollten also auch überlegen ob Sie in Ihre Seite eingebettete Google Maps gegen einen einfachen Link zu Google Maps austauschen.

Links auf Google Produkte sind hier erlaubt.

ACHTUNG: Nicht nur gegen die Datenschutzbestimmungen sondern sogar ggf. strafbar ist die Einbindung von Karten-Screenshots oder gescanntem Kartenmaterial. 

DRINGLICHKEIT: HOCH!

Sind auf Ihrer Seite Youtube-Videos eingebettet? Oder Facebook-Streams? Instagram?

Zu den weiteren im Sinne des Datenschutzes bedenklichen Praktiken gehört die Einbettung von Inhalten aus Social Media Seiten wie z.B. Facebook, Youtube und Instagram. 

Wenn Sie auf Ihrer Seite direkt eingebettete Youtube-Videos oder eine direkte Einbettung Ihres Facebook-Streams haben, sollten Sie diese nur noch verlinken oder mittels Plugin Datenschutzkonform gestalten.

DRINGLICHKEIT: HOCH!

Verwendet Ihre Website Social Media Plugins von Facebook und Co?

Gibt es auf Ihrer Website einen "Like-Button"? Können Benutzer mit einem Klick Inhalte Ihrer Seite bei Facebook teilen? Auch hier besteht Handlungsbedarf. 

Weitere Informationen: https://www.it-recht-kanzlei.de/social-plugins-datenschutzgrundverordnung-dsgvo.html (Siehe Absatz III ) 

Ich persönlich empfehle einfache Links zur Facebook-Seite und den Verzicht von Social Media Plugins.

Wichtige Hinweise

Netzmädchen Webdesign Anja Kretzer übernimmt keinerlei Haftung für die Richtigkeit oder Vollständigkeit der hier angebotenen Maßnahmen.

Netzmädchen Webdesign Anja Kretzer kann und darf keine Rechtsberatung anbieten. Es handelt sich hier lediglich um Empfehlungen.

Rechtlich sind Sie als Betreiber für die Inhalte und rechtliche Richtigkeit Ihrer Website verantwortlich.

Meine Dienstleistungen bzgl. des DSGVO können keine Rechtsberatung ersetzen. Bitte setzen Sie sich ggf. mit einem Fachanwalt in Verbindung.

Provider und AV-Verträge

Hier werde ich eine Liste der häufigsten Provider und soweit vorhanden Links bzw. Infos zu deren AV-Verträgen pflegen. Sofern vorhanden können Sie hier den für Sie passenden Vertrag finden und mit dem Provider direkt abschließen.  Alternativ können Sie sich auch direkt an Ihren Provider wenden.

Provider/DienstleisterVertrag
All-Inkl.comWird zum Stichtag einen Download im Backend anbieten.
Amazon S3/AWSAV-Vertrag zum Download (nur angemeldete Benutzer) oder Link in diesem Text
CampusspeicherWird zum Stichtag einen Download im Backend anbieten.
DomainfactoryAV-Vertrag Domainfactory
HosteuropeDownload AV-Vertrag Hosteurope
MailchimpMailchimp AV-Vertrag
StratoWird zum Stichtag einen Download im Backend anbieten.