Die EU Datenschutz Grundverordnung: Was Webseiten-Betreiber zur DSGVO wissen müssen

Die EU Datenschutz Grundverordnung: Was Webseiten-Betreiber zur DSGVO wissen müssen

1. April 2018 Rechtliches

DSGVO Anpassungen für Seitenbetreiber

Am 25. Mai endet die Übergangsfrist für die Umsetzung der neuen EU weiten Datenschutz-Vorgaben. Die neue Datenschutz-Grundverordnung steht somit in den Startlöchern – doch kaum ein Unternehmen ist aktuell darauf vorbereitet. Als ersten Schritt empfehlen wir die Erstellung eines Verarbeitungsverzeichnis. Der nachfolgende Guide soll Ihnen dann nachfolgend einen Überblick der notwendigen Änderungen an Ihrer Webseite, Ihres Shops oder Blogs zur Hand geben. Bei Fragen zur Realisierung steht unsere Agentur 404MEDIA Ihnen natürlich jederzeit zur Verfügung. Wir unterstützen Sie sehr gern bei der Umsetzung.

1. Abschluss eines Datenverbeitungs-Vertrag mit dem Provider

Nach den neuen Gesetzgebungen, ist der Hosting-Provider Ihrer Webseite (z.B. 1&1, Strato, WebhostOne etc.) als „Datenverarbeiter“ einzustufen (z.B. laufen E-Mails über den Anbieter, Kommentare Ihres Blogs werden dort gespeichert, Backups liegen auf den Systemen etc.). Zur Wahrung der Datenschutzbestimmungen müssen Sie mit diesem einen Vertrag zur Datenverbarbeitung abschließen. Dies  gilt dann, wenn Sie einen Shared-Hosting Vertrag abgeschlossen haben.

Sollten Sie Ihre Webseite über einen Root-Server betreiben, sind Sie selbst für die gesetzeskonforme Konfiguration der Servers verantwortlich.

2. Deutlicher Datenschutzhinweis

Der Link mit Hinweisen zu Ihren Datenschutzrichtlinien sollte klar ersichtlich und einfach zu erreichen sein. Es empfiehlt sich, den Link im Fußbereich zu platzieren und ferner im Cookie-Hinweis-Banner (siehe Punkt 3) ebenfalls auf diesen zu verlinken.

3. Cookiehinweis

Nicht erst mit den Vorgaben der neuen DSGVO zu integrieren, hier aber dennoch nochmals erwähnt. Ein Hinweis auf Cookies sollte auf Ihrer Webseite nicht fehlen. Wie auf unserer 404MEDIA-Seite müssen Sie Ihre Besucher auf die Nutzung von Cookies hinweisen und Optionen zum Deaktivieren von Cookies erläutern.

4. Überarbeitete Datenschutzerklärung

Die Datenschutzerklärung muss künftig auf Ihre Webseite zugeschnitten werden. Das bisher beliebte Copy&Paste von anderen Seiten ist nicht mehr gesetzeskonform. In der Erklärung müssen Sie explizit auf jeden Dienst hinweisen, der auf Ihrer Seite personenbezogene Daten erhebt und verarbeitet.

Ein Muster für eine solche Erklärung finden Sie auf der WKO Seite.

5. Informationen über „Recht auf Löschung & Berichtigung“

Ihre Nutzer haben das Recht, von Ihnen die Löschung von sämtlichen personenbezogenen Daten zu verlangen. Ein Hinweis im Impressum sollte hier genügen. Nach erfolgter Löschung/Berichtigung der Daten, müssen Sie die betroffene Person über die durchgeführten Maßnahmen informieren. Dies muss schriftlich, in verständlicher Form erfolgen. Eine E-Mail als Kommunikationsmedium ist hierbei zulässig.

6. Aktivieren Sie HTTPS

Um eine sichere Datenübertragung von Formular-Daten wie Nachrichten oder Kommentaren zu gewährleisten, sollten Sie Ihre Webseite vollständig auf HTTPS umstellen. Entsprechende Zertifikate gibt es bei so gut wie jedem Hosting-Anbieter. Gern beraten wir Sie bei Fragen zur SSL Integration.

7. Formularverarbeitung

In jedem – auf Ihrer Webseite integrierten – Formular, über welches Sie Daten erheben und speichern müssen Sie eine Zustimmungserklärung integrieren. Vor dem Absenden des Formulars, muss diese vom Nutzer bestätigt werden. Eine Checkbox zur Einholung der Bestätigung ist ist hier zu empfehlen. Diese Checkbox darf nicht vorab angehakt sein. Die Zustimmung sollten Sie zudem in einem Log-File, mit Zeitpunkt & Uhrzeit der Zustimmung abspeichern.

8. Share Buttons

Generell sind Share-Buttons – wie der beliebte „Like“ Button von Facebook – auch weiterhin gestattet. Sie müssen jedoch sicherstellen, dass die Lösungen, vor einer expliziten Zustimmung des Nutzers keinerlei Daten übertragen und/oder verarbeiten.

9. Newsletter

Beim Versand von Newslettern müssen künftig eine Reihe von Vorgaben beachtet werden. Besonders wenn Sie für den Versand auf externe Anbieter zurückgreifen, sollten Sie zwingend einen Datenverarbeitungvertrag mit diesen abschließen. Ein deutlicher Hinweis auf diesen Vertrag sowie auf die Option zur Abmeldung sind künftig Pflicht. Anbieter wie Mailchimp ermöglichen dies online.

Mustertexte zur Newsletter-Integration:
https://drschwenke.de/mailchimp-newsletter-datenschutz-muster-checkliste/

Eine Anleitung zur Gestaltung Ihrer Newsletter finden Sie hier:
https://digisociety.at/2018/03/24/dsgvo-konformer-e-mail-newsletter/

10. Chat-Lösungen

Ähnliche Vorgaben wie für Newsletter und Share Buttons gelten auch für Chat-Lösungen. Sollte die Datenverarbeitung über externe Anbieter erfolgen (z.B. Olark Chat) müssen Sie mit diesem ebenfalls einen Vertrag zur Datenverarbeitung abschließen. Wir empfehlen: Setzen Sie auf eine Lösung, die direkt auf Ihrem Server läuft und holen Sie sich – vor dem Chat-Start – die Zustimmung zur Datenverarbeitung beim Nutzer ein.

11. Google Fonts

Die Integration von Google Web-Fonts gehört heute auf vielen Seiten zum Standard. Die Schriften werden beim Aufruf der Seite jedoch direkt von Google Servern geladen. Hiermit wird Google auch unweigerlich die IP des Nutzers übermittelt. Das ist künftig aber ohne Zustimmung des Users untersagt. Es empfiehlt sich daher die Schriften auf den eigenen Server zu speichern. Wie Sie dies tun können, erfahren Sie hier:
https://die-netzialisten.de/wordpress/google-fonts-ueber-den-eigenen-server-einbinden/

12. Google Analytics

Auf den Einsatz von Google Analytics muss auch künftig hingewiesen werden. Überdies muss ferner auch ein Auftragsdatenverarbeitungs-Vertrag mit Google abgeschlossen werden. Der Vertrag muss dabei in schriftlicher Form, in Papierform übermittelt werden. Einen entsprechenden Link zum Vertrags-Vorlage finden Sie hier:
https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf

Weiterhin gilt, dass die Nutzung von Analytics in Deutschland nur gestattet ist, wenn die IP des Users anonymisiert/maskiert wird. Ferner ist auch eine Opt-Out Funktion für Ihre User zu integrieren. Eine entsprechende Lösung in Form eines Plugins für Ihre WordPress Installation finden Sie hier:
https://wordpress.org/plugins/google-analytics-opt-out/

Einen Hinweis auf die Opt-Out Funktion sollten Sie ferner in Ihren Datenschutzbestimmungen integrieren.

13. Kommentar-Funktionen

Sollten Sie Kommentaren in Ihrer Webseite gestatten, müssen Sie die Eingabeformulare überarbeiten und um einen Hinweis auf die Datenspeicherung erweitern. Einen Hinweistext könnte lauten:
„Durch das Anhaken der folgenden Checkbox erlaube ich der – IHRER SEITE – die Speicherung der von mir übermittelten Daten. Um eine Übersicht über Kommentare zu behalten & einen Missbrauch selbiger zu verhindern, speichert diese Webseite den Namen, E-Mail, Kommentar sowie die IP-Adresse sowie den Zeitpunkt Ihres Kommentars. Sie können Ihre Kommentare jederzeit wieder löschen. Detaillierte Informationen zu diesem Thema finden Sie in unser Datenschutz-Erklärung.“ Sie können den Text in WP über GDPR Core integrieren.

14. WP Gravatar und Emojis

Auch der Gravatar Service überträgt die IP Adresse bzw. die E-Mail Adresse des Users an den Gravatar-Dienst. Sie sollten die Option daher über „Einstellungen“ -> „Diskussion“ -> „Avatare“ abschalten.

Ähnliches gilt für die Emojis in WP. Diese werden seit Version 4.4 über CDN-Server extern geladen und übertragen somit auch die IP des Users.

Wie Sie dies unterbinden können Sie hier nachlesen:
https://woorkup.com/disable-emojis-in-wordpress/

Alternativ lassen sich diese auch über ein Plugin deaktivieren:
https://wordpress.org/plugins/disable-emojis/

15. WP Antispam

Wenn Sie auf Ihrer Webseite einen Antispam-System nutzen (in WordPress z.B. Akismet) werden, bei jedem übermittelten Kommentar, die Daten des Kommentars an den Dienst übertragen und analysiert.

Es empfiehlt sich hier auf einen Server zu setzen, der die Daten Lokal prüft. In WordPress ist hier z.B. AntSpamBee zu empfehlen, wichtig ist einzig, dass die Funktion „öffentliche Spamdatenbank berücksichtigen“ deaktiviert bleibt:
https://wordpress.org/plugins/antispam-bee/

16. User-Registrierung

Gestatten Sie auf Ihrer Webseite den Besuchern eine Registrierung, so müssen Sie sicherstellen, dass einzig jene Daten gespeichert werden, die für die angestrebten Funktionen unbedingt erforderlich sind. Holen Sie sich daher vorab auf jeden Fall die Einverständniserklärung und weisen Sie auf Ihre Datenschutzerklärung deutlich hin.

17. EMBEDS & Sonstiges

Social Media Elemente und Embeds wie das Facebook Pixel Tracking, Social Logins oder sonstige Werbe-Elemente stellen eine besondere Herausforderung dar. Es ist derzeit unklar, ob ein Hinweis ausreicht über die Nutzung des Services genügt oder ob der Benutzer aktiv vor der Einbindung einwilligen muss. Facebook hat hierzu eine Stellung veröffentlicht. Diese ist allerdings sehr allgemein gehalten, bis zur genauen Klärung wird empfohlen, auf Social Plugins zu verzichten. Auch problematisch sind Einbindungen von Videos von externen Anbietern wie YouTube oder Facebook. Beim Laden der Seite werden hier automatisch die IP und der Referer an den Anbieter übertragen was kaum DSGVO konform ist. Eine Lösung hierfür ist schwierig.

18. Delivery Networks/Cloudflare und Caching-Service

Sie binden JavaScript, CSS oder sonstige Bibliotheken für Ihre Webseite über Content Distribution Network wie CloudFare ein? Auch hier werden die IPs Ihrer Seitenbesucher an den Anbieter weitergereicht. Ein Datenverabeitungs-Vertrag sollte hier abgeschlossen werden.

Gleiches gilt für die Nutzung von s.g. Caching-Modulen, die Live den Aufruf der Seite über externe Server cachen und ausliefern. Sie sollten bei der Integration darauf achten, dass Drittanbieter die Daten nicht live/in Echtzeit beim Aufruf der Seite abfragen. Spielen Sie stattdessen eine bereits vorher lokal gespeicherte CACHE-Version der Seite aus. So wird die Übertragung der IP-Adresse an Drittservices zuverlässig verhindert.

Die vorab veröffentlichte Liste soll Ihnen die Anpassung Ihrer Webseite erleichtern und Ihnen einen Überblick einiger nötiger Schritte zur DSGVO konformen Überarbeitung zur Hand geben. Bei Fragen zur Anpassung und Umsetzung steht Ihnen unsere Agentur jederzeit zur Verfügung.

Rechtlicher Hinweis:
Dieser Artikel stellt jeine Rechtsberatung dar. Unsere Agentur sieht sich als Berater, wir sind aber weder Juristen noch Datenschutzexperten. Obwohl wir mit aller angemessenen Sorgfalt auf die Richtigkeit der veröffentlichten Informationen achten, kann hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben, keinerlei Gewähr übernommen werden.

Weiterführendes und Quellen:

https://drschwenke.de/mailchimp-newsletter-datenschutz-muster-checkliste/

https://digisociety.at/2018/03/24/dsgvo-konformer-e-mail-newsletter/

https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/

Über den Author

Stefan Pingel: Ist Gründer & Geschäftsführer der Agentur 404MEDIA. Er studierte Web Applications Development und betreut seit 15 Jahren Unternehmen jeder Branche und Größe im Hinblick auf die Entwicklung webgestützter Anwendungssoftware, E-Commerce sowie Marketing.