Was ist die DSGVO
Der Grund für die DSGVO Checkliste: Seit dem 25. Mai 2018 ist die neue Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Die DSGVO vereinheitlich das Datenschutzrecht in der EU. Als Verordnung, muss diese nicht erst in nationales Recht übertragen werden. Sie gilt mit dem Stichtag, dem 25.5.2018!Diese Verordnung gilt in der EU und betreffen jeden, der personenbezogene Daten von EU-Bürgern speichert oder sie nutzt. Durch die Pflicht, den EU-Bürger über alles zu Informieren, was mit seinen Vom Bloggger über Unternehmen, Vereine bis hin zu Online-Shops. Deine Datenschutz Seite muss also DSGVO-Konform sein.
DSGVO und deine Webseite
Auf einer Website muss die Datenschutzseite nicht nur (wie das Impressum) von überall mit einem Klick erreichbar sein. Kompliziert ist es dann, wenn Newsletter verschickt werden, kommentieren möglich ist, Formulare existieren, Analytics-Programme benutzt werden oder du Cookies und Sessions speicherst. Selbst Log-Files erstellen (was dein Hostinganbieters tut) ist ein Punkt, über den du aufgeklären musst. Checklisteo hat eine DSGVO Checkliste zusammengestellt, in der du erfährst, wie du DSGVO-konform arbeitest.
Ich kenne mich aus und will direkt zur PDF-Liste
Was sind nach der DSGVO personenbezogene Daten?
Personenbezogene Daten können einen Menschen direkt oder indirekt identifizierbar machen. Daher sind Name, Anschrift, E-Mail-Adresse oder die Telefonnummer definitiv personenbezogene Daten. Ihr nutzt Sie auf der Website vielleicht nicht? Aber ihr verwendet auf jeden Fall die IP-Adresse. Diese ist ein Sonderfall, der die Datenschutzerklärung für Websites (selbst für Visitenkartenwebsites) sehr verkompliziert.
DSGVO-Daten-Streitfall: IP-Adresse
Laut DSGVO und damit in Deutschland zählt die IP-Adresse zu den personenbezogenen Daten. Diese Einschätzung ist rechtlich umstritten. Anhand einer IP-Adresse kann man zwar den Internetanschluss klar identifizieren, aber eine Person – das ist nicht möglich. Ob Oma, Mama, Papa oder jemand im Gast-WLAN mit dem Internet verbunden ist, das kann man an der IP-Adresse nicht herausfinden. Die IP wird vom Provider zwar einer bestimmten Person zugeordnet, diese ist aber nicht zwanghaft die Person, die sie gerade auch verwendet. Da wir das Internet aber auch als Neuland bezeichnen, ist es nun mal so, laut DSGVO.
Andere Länder haben das verstanden und ihre Unternehmen auch: Google zählt die IP-Adresse nicht zu den personenbezogenen Daten. Das andere Länder die IP-Adresse nicht als personenbezogen ansehen, oder das Recht eines Websitesnutzer sehr stark anders sehen, macht die Verwendung von unter anderem folgenden Produkten umständlich:
- Amazon-Affiliate Programm
- Google Analytics (oder andere alternativen)
- sowie Google Maps (Bing Maps ebenso)
- oder Google AdSense
- die Google WebFonts
- und Google Optimizer
- Doubleclick
- YouTube
- Vimeo
- u.v.m
Die IP-Adresse muss nach der DSVGO anonymisiert werden
Für Google Analytics zum Beispiel, genügt damit der normale Tracking-Code nicht. Um den Anforderungen der DSVGO zu genügen, muss die Code-Erweiterung _anonymizelp implementiert werden. Auch Google zeigt wie das geht.
Warum gibt es die DSGVO?
Absicht der DSGVO ist es, die Rechte der Personen zu stärken, deren Daten gesammelt werden. Auch die Rechte von Internet-Nutzern.
Wichtig ist der DSGVO besonders:
- Transparente Information
- Auskunftsrecht
- Berichtigungen und Löschungen müssen möglich sein
- Einschränkung der Verarbeitung
- Widerspruch
Bei der Verarbeitung personenbezogener Daten ist laut DSGVO zusätzlich wichtig
Wer im Sinne der DSGVO handeln will oder muss, der darf nur benötigte Daten erheben und diese auch nur so lange speichern, wie unbedingt notwendig! Du möchtest einen Newsletter verschicken und Leute sollen sich dafür anmelden? Was ist laut DSGVO dafür unbedingt nötig? Die E-Mail-Adresse! Nur die! Bedeutet für dein DSGVO-konformes Formular: Ein Pflichtfeld kann nur das E-Mail-Feld sein. Du weißt auf die Datenschutzerklärung hin und lässt sie dir bestätigen. Mit einen Klick, der ausgeführt werden muss (nicht mit abgehakten Checkboxen).
Du möchtes Daten speichern? Dann möchtest du (oder solltest du) die entsprechende Einwilligung der betroffenen Person einholen und du musst den Nutzer informieren, was mit seinen Daten passiert! Du musst dokumentieren, was Du mit den Daten tust dem betroffenen User die Möglichkeit einräumen, seine Daten einzusehen, sie berichtigen oder löschen zu können.
Du bist außerdem verpflichtet, Vorkehrungen zu treffen, dass Dritte nicht unbefugt an die Daten herankommen. Genug über die DSGVO, jetzt folgt die Umsetzung in einer Checkliste.
DSGVO Checkliste für den Datenschutz einer Website
Um eine DSGVO-Konforme Website zu haben, benötigt man mehr, als nur eine Datenschutzerklärung nach DSGVO. So benötigt Google Analytics oder ein anderes Tracking-Tool diverse Einstellungen und ihr einen Auftrag zu Datenverarbeitung mit dem Anbieter (z.B. Google). Formulare müssen gegebenenfalls angepasst werden und Altdaten vielleicht gelöscht. Hier die DSGVO Checkliste für Websites:
DSGVO-Konforme Datenschutzerklärung wie und wo einbinden
Eine Datenschutzerklärung gehörte schon vor dem Inkrafttreten der DSGVO auf eine Webseite. Sie muss auffällig untergebracht werden und mit einem Klick erreichbar sein. Normalerweise erwartet man diese Erklärung im Footer, nicht im Hauptmenü einer Website (letzteres würde bei mobiler Ansicht auch dazu führen, dass sie nur noch über 2 Klicks erreichbar wäre.
Der Name sollte ebenfalls klar erkennbar sein, Datenschutz oder Datenschutzerklärung würden dem User zeigen was er findet. Vom Impressum ist die Erklärung meiner Meinung nach zu trennen. Natürlich könnte man den Link „Impressum und Datenschutz“ nennen, aber nur Impressum wäre falsch und abmahnfähig (schon immer).
Tipp: Datenschutz und Impressum sind für Suchmaschinen unwichtige Seiten, stellt diese auf „noindex“ und schon wird sie nicht mehr indexiert -> nicht mehr bei Google gefunden.
Inhalt der DSGVO-Konformen Datenschutzerklärung
Inhaltlich soll die Datenschutzerklärung den Nutzer aufklären, wie mit seinen Daten umgegangen wird. Bei der Nutzung verschiedener CMS oder von Plugins folgt: es gibt nicht die eine Datenschutzerklärung, die du einfach kopieren und einbauen kannst! Denn was genau in deiner Datenschutzerklärung stehen soll, hängt immer von deiner Webseite ab. Trotzdem hier ein paar Generatoren, die dich nach deiner Seite befragen und daraus eine „relativ“ individuelle Datenschutzerklärung generieren:
Bei der Verwendung der Generatoren solltest du bedenken, dass du am Ende selbst für die rechtskonforme Formulierung der Datenschutzerklärung verantwortlich bist. Außerdem können Änderungen an deiner Website, eine neue Datenschutzerklärung notwendig machen. Am sichersten ist es, sich bei einem Rechtsanwalt abzusichern.
Punkt 1 der DSGVO- Checkliste: Vorstellung
Wer Ihr seid und wer ist der Ansprechpartner, gegebenenfalls der Datenschutzbeauftragte? (Wenn einer benötigt wird, was nach DSGVO der Fall sein kann).
Zusätzlich sollte in diesem Abschnitt die URL deiner Website genannt werden, sowie der Name des Unternehmens, der Organisation oder des Individuums hinter dem Projekt mit korrekten Kontakt-Informationen.
Punkt 2 der DSGVO- Checkliste: Welche personenbezogenen Daten ihr sammelt und warum
In diesem Abschnitt sollte angeben werden, welche personenbezogenen Daten du von deinen Website-Nutzern sammelst. Also Daten wie Name, E-Mail-Adresse, Kontoeinstellungen, Transaktionsdaten, technische Daten wie z.B. Informationen über Cookies.
Du musst auch jede Erfassung und Speicherung sensibler personenbezogener Daten, wie Gesundheitsdaten, deutlich machen.
Zusätzlich zur Auflistung der personenbezogenen Daten, die du sammelst, musst du den Grund dafür nennen. Diese Erklärungen müssen entweder die Rechtsgrundlage der Sammlung und Speicherung von Daten erwähnen oder die Einverständniserklärung, in die der Benutzer eingewilligt hat.
Was sammeln wir, Womit und Warum?
Web-Hoster
Auch der Hoster sammelt und speichert Daten, wie die IP-Adresse in Logfiles.
Kontaktformulare:
Schon die Erhebung der Daten ist durch die DSGVO an konkrete Bedingungen geknüpft. Erlaubt ist die Erhebung von Daten nach Art. 6 DSGVO nur noch, wenn:
- die Erhebung auf einer Rechtsgrundlage und/oder Einwilligung beruht
- es ein berechtigtes Interesse des Webseitenbetreibers gibt (z.B. um einen Vertrag zu erflüllen)
Ein Kontaktformular ist auch an Bedingungen geknüpft:
Informiere Deine User (und zwar im oder in unmittelbarer Nähe des Kontaktformulars) darüber
1.) was Du mit den Daten machst,
2.) wie lange du die Daten speichern wirst
3.) Verweise auf Deine Datenschutzerklärung
Damit die Daten bei der Übermittlung sicher übertragen werden, benötigt die Website jetzt zwingend ein SSL-Zertifikat.
Newsletter:
Wenn Du Newsletter versendest, solltest du schon das Double-Opt-In-Verfahren verwenden. Dabei wird an die E-Mail-Adresse, die für den Newsletter eingetragen wird, eine Mail zur Bestätigung der Anmeldung geschickt. Auf diese Weise wird sichergestellt, dass nur derjenige den Newsletter erhält, der auch Zugriff auf das betreffende Mail-Konto hat.
Im Onlineformulars zur Anmeldung bei einem Newsletter sollte folgendes vorkommen:
- Worum geht es im Newsletter
- Falls Du mehr als die E-Mail-Adresse abfragst: Warum? Wozu?
- Name des Versanddienstleisters (falls Du die Mails nicht selbst verschickst)
- Hinweis auf eventuelle Erfolgsmessungen
Es gibt zusätzliche Pflichten:
Hinweis auf das Widerrufsrecht bei Newslettern
Hinweis auf evtl. mit dem Newsletter verknüpfte Gewinnspiele, Versand von E-Book und ähnlichem
(Mit diesen Informationen und Hinweisen zur Newsletter-An/ Abmeldung kannst Du dann einfach auf Deine Datenschutzerklärung verlinken)
Kommentare
Wenn jemand z.B. in einem Blog kommentiert, dann werden ein Name und immer die E-Mail Adressegespeichert. Wenn Besucher Kommentare auf der Website schreiben, sammeln ihr Daten, die im Kommentar-Formular angezeigt werden, außerdem die IP-Adresse des Besuchers und eine Erkennung um Spam vorzubeugen.
Oft werden aus der E-Mail-Adresse anonymisierte Zeichenfolgen erstellt (Hash genannt) und dem Gravatar-Dienst übergeben (z.B. bei WordPress), um zu prüfen, ob du diesen benutzt (auch wenn nicht). Die Datenschutzerklärung des Gravatar-Dienstes findest du hier: https://automattic.com/privacy/ und sollte angegeben werden. Nachdem ein Kommentar freigegeben wurde, ist dein Profilbild öffentlich im Kontext deines Kommentars sichtbar.
Außerdem: Wenn jemand einen Kommentar auf einer Website schreibt, kann das eine Einwilligung sein, den Namen, E-Mail-Adresse und Website in Cookies zu speichern. Dies ist eine Komfortfunktion, damit du beim Schreiben eines weiteren Kommentars, nicht alle Daten erneut eingeben musst. Diese Cookies werden in der Regel (WordPress) ein Jahr lang gespeichert. Mehr dazu solltest du im bereich „Cookies“ erwähnen.
Medien
Wenn du ein registrierter Benutzer Fotos auf die Website lädst, solltest du ihm erklären, dass er vermeiden sollte, Fotos mit einem EXIF-GPS-Standort hochzuladen. Besucher einer Website könnten Fotos, die auf dieser Website gespeichert sind, herunterladen und deren Standort-Informationen extrahieren.
Cookies
In diesem Unterabschnitt solltest du die Cookies auflisten, die deine Website benutzt. Auch solche, die deine Plugins, Soziale Medien und Analysedienste setzen.
Falls du ein Konto auf der Website hast und dich auf dieser anmeldest, werden temporäre Cookies gesetzt, um festzustellen, ob ein Browser Cookies akzeptiert. Dieses Cookie enthält keine personenbezogenen Daten und wird verworfen, wenn du deinen Browser schließt. Und trotzdem muss es erwähnt werden.
Außerdem werden oft, wenn du dich anmeldest, einige Cookies eingerichtet, um deine Anmeldeinformationen und Anzeigeoptionen zu speichern. Anmelde-Cookies verfallen idR nach zwei Tagen und Cookies für die Anzeigeoptionen nach einem Jahr. Falls der User bei der Anmeldung zum Beispiel „Angemeldet bleiben“ auswählt, wird die Anmeldung bei WordPress zwei Wochen lang aufrechterhalten. Mit der Abmeldung aus dem Konto werden die Anmelde-Cookies gelöscht.
Wenn jemand einen Artikel bearbeitet oder veröffentlicht, wird ein zusätzlicher Cookie in deinem Browser gespeichert. Dieser Cookie enthält keine personenbezogenen Daten und verweist nur auf die Beitrags-ID des Artikels. Der Cookie verfällt bei WordPress zum Beispiel nach einem Tag.
Eingebettete Inhalte von anderen Websites
Beiträge auf Websites können eingebettete Inhalte beinhalten (z. B. Videos, Bilder, Beiträge etc.). Eingebettete Inhalte von anderen Websites verhalten sich exakt so, als ob der Besucher die andere Website besucht hätte! Diese Websites können ebenfalls Daten über den User sammeln, Cookies nutzen, zusätzliche Tracking-Dienste von Dritten einbetten und Interaktionen aufzeichnen.
Punkt 3 der DSGVO- Checkliste: Genutzte Dienste von Drittanbietern
Warum nutzt ihr die Dienste und wofür? Wie kann der User dieses verhindern? Dies gilt z.B. für
- Google Analytics
- Social Plugins wie Facebook, Twitter, etc
- Werbeprogramme
- YouTube Videos
- Webfonts
- Google Maps
- usw.
Auch auf diese Punkte muss man, individuell hinweisen. Allein der Google Analytics Teil, nimmt Seitenweise platz. Ihr müsst erklären, dass die Daten X-Tage gespeichert werden, wie der User das verhindern kann (das müsst IHR technisch ermöglichen) und darauf hinweisen, dass die Daten anonymisiert werden, was wiederum IHR technisch ermöglichen müsst.
Da es dienste dritter sind, benötigz ihr Auftragsdatenverarbeitungsverträge.
Punkt 4 der DSGVO- Checkliste: Aufklärung der Nutzer
Klärt den Nutzer über sein Recht auf und wie er es nutzen kann. Also über die Möglichkeit der Änderung, des Widerrufs, der Löschung oder Bearbeitung. Bekommt das in die Nähe des beaftragten, auf den ihr hinweisen müsst, um es dem User so leicht wie möglich zu machen.
Eventuell benötigte Auftragsverarbeitungsverträge
Wenn Du Deine Seiten über einen Provider hostet, nutzt du einen Dienstleister, der Zugriff auf erhobene personenbezogene Daten hat. Sobald Externe Personen Zugriff auf solche Daten haben, solltest du mit Ihnen einen Auftragsverarbeitungsvertrag(AV) abschließen. Die Bitkom e.V. stellt eine Mustervertragsanlage zur Auftragsverarbeitung zur Verfügung.
Wenn du einen Versanddienstleister für Newsletter (wie CleverReach, Newsletter2Go oder Mailjet) nutzt, musst du diesen Auftragsverarbeitungsvertrag mit ihnen abschließen. Sitzt der Anbieter (wie MailChimp) in den USA, solltest du prüfen, ob dieser eine Garantie für Drittländer anbietet (das ist bei MailChimp der Fall).
Mit Google (wegen Analytics) einen Vertrag zur Auftragsdatenverarbeitung abschließen
Lade dir den Vertrag als PDF von Google herunter: hier.
Druck ihn dir zweimal aus und trage in beide Ausdrucke deine Unternehmensdaten ein. Auf der Seite 2 und der Seite 14 musst du unterschreiben (wieder auf beiden Exemplaren). Die beiden unterschriebenen und vollständig ausgefüllten Dokumente schickst Du (am besten per Rückschein International) an:
Contract Administration Department
Google Ireland Ltd
Gordon House
Barrow Street
Dublin 4
Irland
Sobald Du das Dokument von Google unterschrieben zurückerhältst (ein paar Wochen wird es dauern), solltest eine Kopie angefertigt werden. Bewahre die von Google zurückgeschickte Version und die Kopie am Besten an unterschiedlichen Orten auf.
Google ist in dem Fall besonders, wie erwähnt, sobald eine fremde Person Zugriff auf diese Daten bekommt, müsst ihr einen solchen Vertrag abschließen. Dass können mehr sein als der Newsletteranbieter, Hoster und Google!
Technische DSGVO-Maßnahmen für deine Seite
Google Analytics
Du musst dem User ermöglichen, das Google Analytics Tracking zu deaktivieren. Das funktioniert über ein Opt-Out oder ein Browserplugin. Beides muss (wenigstens im Datenschutz) möglich sein.
Zusätzlich müsst ihr den Google Tracking Code so anpassen, das die IP-Adressen anonymisiert werden. Je nach Analytics (Klasssisch oder Universal) oder nach einbau (Hard-Coded oder per Tag Manager) gibt es dafür unterschiedliche Wege.
Ihr müsst in Analytics dem Datenschutzzusatz zustimmen (Verwaltung->Kontoeinstellung) und dort auch (im Google Analytics 360) eine Organisation und einen Ansprechpartner hinterlegen und diese mit dem Google Analytics Konto verknüpfen.
Zusätzlich müsst ihr die Speicherung der Daten auf maximal 2 Jahre begrenzen (aktuell bedeutet es 14 Monate, da Google keine andere Angabe unter 2 Jahren hat): Verwaltung -> Propertie -> Datenaufbewahrung.
Update: Mit dem Cookie Consent musst du dem User nicht nur das deaktivieren erlauben, sondern er muss sich dafür entscheiden, bevor du einmal trackst.
Cookie Warnung
Meiner Meinung nach gehört eine Cookie-Warnung auf eine Website, wenn sie denn Cookies verwendet. Immer dann, wenn der Besucher als erstes auf die Website kommt, sollte er über die Cookies informiert werden und gegebenenfalls schon von einigen Abstand nehmen können. Spätestens bei der Verwendung von AdSense möchte Google das selbst auf jeden Fall umgesetzt wissen.
Update: Mit dem Cookie Consent genügt ein Cookie-Banner für die meisten Webseiten nicht mehr. Wenn du zum Beispiel Google Analytics verwendest oder ein YouTube-Video einbaust (nocookie Domain von Youtube hin oder her), dann wird ein Cookie spätestens beim abspielen gesetzt. Dem muss dein Nuzter jetzt vorher zugestimmt haben! Es ist also nicht mehr genug, eine Cookie-Warnung zu verwenden.
YouTube Videos
Ihr müsst eure YouTube-Videos DSGVO-Konform einbinden, das heißt, ihr müsst den neuen Embed-Code bei allen Videos verwenden, den Code mit dem erweiterten Datenschutzmodus.
Update: Für „Cookie-Consent“ ist das nicht genug. Da Cookies beim anschauen gesetzt werden, musst du ein Opt-In implementieren und demnach auch das abspielen bis zur Zustimmung unmöglich gestalten. Es ist also nocheinmal deutlich komplizierter geworden.
SSL Zertifikat
Wenn du personenbezogene Daten speicherst, dann muss die Übertragung über eine sichere Verbindung gehen. Deine Website benötigt ein 100% korrekt eingestelltes SSL-Zertifikat. Eine mögliche Speicherung oder Übertragung der Daten (ungesichert) darf es nicht geben!
WordPress und DSGVO
WordPress bietet dem User mit seiner neuesten Version eine gute Möglichkeit DSGVO-Konform zu werden. Hier kanbnst du personenbezogene Daten mit einem Klick exportieren oder löschen. Ohne die Version 4.9.6 (DSGVO) wäre dies (zwar möglich, Pflicht ist es ohnehin, wenn danach gefragt werden würde) ein großer Aufwand.
Außerdem gibt es hier dann im WordPress Backend auch einen DSGVO-Leitfaden für die Datenschutzerklärung.
Die DSGVO Checkliste als PDF zum Download
Hier noch ein PDF der Checkliste zum Download und ausdrucken – und immer wieder verwenden.
Fazit zur DSGVO-konformen Website
Bei all diesen Hinweisen solltest du bemerkt haben, dass es kompliziert ist. Und das sind nur die paar grundsätzlichen Dinge, die fast überall auftauchen, sicher auch bei dir. Zusätzlich musst du bedenken, dass du (der Webseitenbetreiber) letztlich immer selbst dafür verantwortlich dafüt bist, dass deine Webseite den Datenschutzbestimmungen entspricht. Also ist es besser, wenn du dir Rat bei Experten suchst und das nicht irgendwie selbst umsetzt. Denn am Ende drohen mitunter hohe Strafen, nur weil über einen Punkt (der hier vielleicht gar nicht mit Namen erwähnt ist) vergessen wurde.
Bitte beachte, es geht hier um die DSGVO, der Cookie-Consent von 2019 ist hier nur angeschnitten, jedoch nicht wirklich Teil des Ganzen.