DSGVO - Website-Datenschutz in 5 ersten Schritten

DSGVO: Website-Datenschutz in 6 ersten Schritten

So ziemlich ALLE Websitebetreiber und Unternehmen sollten sich derzeit mit einem wichtigen Thema auseinandersetzen: Die DSGVO Datenschutz-Grundverordnung. Die DSGVO tritt zum 25.Mai.2018 in Kraft und etabliert so ein EU-weites, einheitliches Datenschutz-Gesetz. Unternehmen und Websitebetreiber sollten sich frühzeitig mit den neuen Bestimmung auseinandersetzen und gegebenenfalls nötige Anpassungen in puncto Website-Datenschutz vornehmen. Im folgenden Blogbeitrag möchte ich 6 erste Schritte aufzeigen, mit denen man auf der eigenen Website die grundlegenden Datenschutzregelungen umsetzen kann. Hierbei möchte ich natürlich darauf hinweisen, dass ich ein Marketingexperte und Webdesigner bin und kein Rechtsexperte. Dieser Blogbeitrag ist deshalb nicht rechtlich verbindlich. Für rechtsverbindliche Auskünfte wenden Sie sich bitte an einen geeigneten Rechtsexperten. Der Artikel ist lediglich als Überblick zu sehen, wie die ersten Schritte zur Datenschutz-Grundverordnung aussehen sollten. Ich hoffe, ich erleichtere Ihnen so den Einstieg in das komplexe Thema.

Was passiert, wenn ich die Datenschutz-Richtlinien nicht bis Mai 2018 umgesetzt habe?

Verstöße gegen die Datenschutz-Grundverordnung werden mit Bußgeldern bis zu 20 Millionen Euro, oder 2-4% des weltweiten Jahresumsatzes belegt. Das Interesse von Unternehmen “Datenschutz-Konform” zu arbeiten, sollte deshalb relativ hoch sein.

Quelle: datenschutz.org

Welche ersten Schritte kann ich unternehmen, um meine Website an die neuen Datenschutz-Richtlinien anzupassen?

Die neue Datenschutz-Grundverordnung (DSGVO) umfasst zahlreiche Punkte hinsichtlich des Datenschutzes. Nicht alle davon betreffen auch jedes Unternehmen. Im folgenden Artikel möchte ich 5 erste Schritte vorstellen, denen Sie schon einmal zahlreiche zukünftige Abmahn-Gründe beseitigen können.

1. Das Impressum

Die gesetzliche Impressumspflicht wird im sogenannten Telemediengesetz geregelt. Das Impressum Ihrer Internetseite sollte von jeder Unterseite mit einem Klick abrufbar sein. Es empfiehlt sich z.B. eine Einbindung in das Footer-Menü. Das Impressum sollte dabei auch immer als Impressum benannt werden. Andere Bezeichnungen können als unzulässig angesehen werden.

Was soll ein Impressum beinhalten?

  • Der vollständige Name des Seitenbetreibers
  • Die Anschrift des Seitenbetreibers
  • Der vollständige Name der Gesellschaft mit Formzusatz wie GmbH etc. (bei juristischen Personen)
  • Der Vor- und Nachname der vertretungsberechtigten Person
  • Daten zur Kontaktaufnahme (z.B. Telefonnummer, E-Mail, Fax, etc.)
  • Registergericht und Handelsregister-Nummer (wenn vorhanden)
  • Umsatzsteuer-ID (wenn vorhanden)

Für sogenannte reglementierte Berufe und Berufe, für die eine behördliche Zulassung benötigt wird sind weitere Informationen im Impressum anzugeben. Sollte einer der beiden Fälle auf Sie zutreffen, informieren Sie sich an dieser Stelle etwas genauer.

Quelle: e-recht24.de

2. Die Datenschutzerklärung

Ab 28.05.2018 benötigt jede Website eine eigene Datenschutzerklärung. Auch diese sollte prominent eingebunden und von allen Unterseiten aus erreichbar sein. Auch hier empfiehlt sich die Integration in das Footer-Menü. Eine eigene Datenschutzerklärung wird durch die neue Datenschutzgrundverordnung zwingend erforderlich.
Ein Beispiel meiner eigenen Datenschutzerklärung finden Sie hier.

Was muss grundlegend in eine Datenschutzerklärung?

 Grob gesagt müssen Sie folgende Sachbestände in Ihrer Datenschutzerklärung aufzeigen:
  • Welche Daten werden im Rahmen des Webauftritts erhoben?
  • Wie werden die erhobenen Daten eingesetzt? Was passiert mit den erhobenen Daten?
  • Werden Daten an Dritte weitergegeben?
  • Auch Aussagen über die Nutzung von E-Trackern oder der Einsatz von Sozialen Medien sollte hier dargelegt werden.

Wer sicher gehen möchte, kann an dieser Stelle einen Rechtsexperten mit ins Boot holen.

E-Recht-24 bietet hier einen Datenschutzerklärungs-Generator an. Die Nutzung ist größtenteils kostenlos.

3. Cookie Hinweis

Ein weiteres Thema des Datenschutzes ist der Einsatz von Cookies. Cookies sind kleine Textbausteine, die auf dem Browser eines Websitebesuchers platziert werden. Mithilfe dieser Cookies kann dann das Nutzungsverhalten ausgewertet oder der Nutzer bei einem späteren Websitebesuch wiedererkannt werden. Bisher wurden Cookies oft im Hintergrund ohne Aufklärung oder Zustimmung des Besuchers ausgespielt. Ein “Cookie Hinweis”, der auf allen Seiten platziert wird (z.B. am unteren Monitorrand) soll den Nutzer über den Einsatz von Cookies auf dieser Website aufklären, seine zur Kenntnisnahme einfordern und einen direkten Vermerk auf die Datenschutzerklärung der Website angeben. Hier kann der Nutzer dann mehr über den Einsatz von Cookies erfahren. Ob der ledigliche Einsatz eines Cookie Hinweises in Zukunft ausreichen wird ist noch unklar. Gegebenenfalls muss der Nutzer seine eindeutige Zustimmung für den Einsatz von Cookies geben. Der Cookie Hinweis ist aber auf jeden Fall ein guter erster Schritt, der wenig technischen Aufwand mit sich bringt.

Website Datenschutz - Cookie Hinweis

4. Kontaktformulare und Kommentarfelder

Bei der Datenabfrage über ein Kontaktformular oder ein Kommentarfeld ist durch die neuen Datenschutzrichtlinien ab sofort eine Einwilligung des Nutzers einzufordern. Im Rahmen des Kontaktformulars und des Kommentarfelds sollten Sie deshalb eine Checkbox installieren, die den Nutzer über die Speicherung der Daten informiert. Dabei sollten Sie auch auf Ihre Datenschutzerklärung verlinken. Die Kontaktdaten können nur übersendet werden, wenn der Nutzer ein Häckchen in die Checkbox setzt. Der Nutzer muss den Hacken aktiv selbst setzen. Der Hacken darf nicht standardmäßig aktiviert sein. Auf dem folgenden Screenshot sehen Sie ein Kontaktformular inklusive Checkbox. Wenn Ihre Website Daten via Kontaktformulare überträgt, sollten Sie außerdem darauf achten, dass Sie Ihre Website mit einem SSL-Zertifikat verschlüsseln, um die Daten sicher übertragen zu können.

Datenschutz DSGVO - Kontaktformular

5. Google Analytics und andere Tracking Tools

Die Sachlage hinsichtlich E-Tracker und Sozialer Medien ist bisher noch nicht geklärt. Es gibt dennoch zwei Punkte die Unternehmen unbedingt machen sollten.

IP-Anonymisierung
Der Datenschutz befasst sich ganz besonders mit der Erhebung personenbezogener Daten. Die IP-Adresse gilt laut Datenschützer als ein personenbezogenes Datum. Google Analytics erhebt die IP-Adresse von Websitebesuchern uns speichert diese auch ab. Wenn Sie als Websitebetreiber weiterhin Google Analytics verwenden möchten, müssen Sie eine sogenannte IP-Anonymisierung einrichten. Die IP-Anonymisierung ersetzt das letzte Oktett der IP-Adresse durch X. Somit ist die IP-Adresse anonymisiert und kein personenbezogenes Datum mehr.
So sieht eine normale IP-Adresse beispielsweise so aus: 2001:0db8:85a3:0000:0000:8a2e:0370:7344
Eine anonymisierte IP-Adresse sieht hingegen so aus: 2001:0db8:85a3:0000:0000:8a2e:XXXX:XXXX

Diverse WordPress-PlugIns wie MonsterInsights haben bereits die Option von anonymisierten IP-Adressen integriert.

Auftragsdatenverarbeitung
Wer weiterhin die Dienste von Google Analytics nutzen möchte, sollte auf jeden Fall einen schriftlichen Vertrag zur Auftragsdatenverarbeitung mit Google eingehen. Einen Mustervertrag von Google finden Sie beispielsweise hier. 

6. Soziale Medien

Die neue Datenschutz-Grundverordnung ist wohl hinsichtlich der sozialen Medien noch am unklarsten. Großes Problem ist, dass einige soziale Netzwerke wie z.B. Facebook nicht den neuen Datenschutzrichtlinien entsprechen und bisher auch noch keine Einigung stattfand. Wie der weitere Umgang mit den sozialen Medien zu handhaben ist, lässt sich noch nicht klar sagen. Vor allem die “Sharing-Buttons” stellen ein klares Problem dar. Da viele Sharing-Tools schon Informationen an Soziale Medien senden, bevor ein Nutzer überhaupt einen Button anklickt.

Das Computermagazin c´t hat ein WordPress-PlugIn Shariff entwickelt, mit dem sich Datenschutz-Konforme Teilen-Buttons erstellen lassen. Hier finden Sie das PlugIn. Wie diese Buttons aussehen, sehen Sie untenstehend.

DSGVO - Sharing Buttons

Mit diesen 5 Punkten haben Sie die wichtigsten Schritte unternommen, Ihre Website fit für die neuen Anforderungen der Datenschutz-Grundverordnung zu machen. Ich hoffe ich konnte Ihnen den Einstieg in das Thema etwas erleichtern.

Sollten Sie Hilfe benötigen, bei der Umsetzung konkreter Schritte, zögern Sie nicht mich anzuschreiben!