DSGVO-konforme Webseiten: Anleitung und Tipps
Am 25. Mai 2018 ist es soweit – die berühmt berüchtigte neue DSGVO tritt in Kraft, was schon im Vorfeld Besorgnis bei vielen Webseitenbetreibern auslöst. Die große Frage: Was bedeutet die DSGVO für die eigene Webseite?
Die genauen Bestimmungen und Reglements zur Datenschutz-Grundverordnung (DSGVO) sind sehr umfangreich und teilweise noch nicht einheitlich geklärt. Aber keine Panik!
Wir haben uns intensiv damit beschäftigt und bringen Licht ins Dunkel, damit Ihre Webseite DSGVO-konform wird.
Inhaltsverzeichnis
Was ist die DSGVO?
Die DSGVO ist eine Verordnung der europäischen Union mit dem Ziel, die Verarbeitung personenbezogener Daten von Unternehmen zu regeln und für den Webseiten-Besucher verständlich darzustellen.
So weit so gut – eine grundsätzlich tolle Sache.
Der Grundgedanke ist der Schutz der Privatsphäre und die Aufklärung wann, wo und wie anonyme oder personenbezogene Daten gespeichert werden. Außerdem soll der Besucher die Möglichkeit haben, das Sammeln von Daten zu deaktivieren.
Die neue Verordnung ersetzt die bisher geltenden Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Im Gegensatz zur bisherigen Richtlinie gilt die DSGVO für alle EU-Mitgliedstaaten. Jeder Mitgliedsstaat muss sich daran halten und darf den von der Verordnung festgelegten Datenschutz im Grundsatz nicht ändern. Allerdings kann jeder Staat bestimmte Aspekte des Datenschutzes individuell regeln.
In der DSGVO sind unter anderem 6 Grundsätze für die Verarbeitung personenbezogener Daten geregelt:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
- Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
- Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
- Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
- Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
Laut der DSGVO darf nur gespeichert werden, was für die aktuelle Datenverarbeitungstätigkeit tatsächlich notwendig ist. Zusätzlich muss ein Verarbeitungsverzeichnis geführt werden, es sei denn:
- die Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen
- die Verarbeitung erfolgt nur gelegentlich
- es werden keine sensiblen Daten verarbeitet
Was vernünftig klingt und auch ist, hat leider oft einen herben Beigeschmack für Seitenbetreiber.
Ein Blog-Betreiber zum Beispiel müsste ein Verarbeitungsverzeichnis führen, wenn Google Analytics, Newsletter oder Kommentarfunktionen verwendet werden.
Wen betrifft die DSGVO?
Fast jeder, der eine Website betreibt, ist davon betroffen.
Die gute Nachricht: Wir haben eine Checkliste entwickelt, mit der Webseiten-Betreiber ihren Status Quo prüfen und Maßnahmen ergreifen können. Dies setzt jedoch einige Kenntnisse in Wartung von Webseiten voraus. Wenn Sie unsicher sind und Hilfe benötigen, sind wir als kompetenter Partner für Sie da.
Wenn Ihre Website folgende Funktionalitäten aufweist, müssen Sie Maßnahmen zur Einhaltung der DSGVO ergreifen:
- Verwendung von Google Analytics
- Speichern von Cookies
- Kontaktformulare
- Login bzw. Member-Bereich
- Newsletter Anmeldung & Versand
- Bilder, Namen und weitere Informationen von Mitarbeitern auf der Seite
- Alle weiteren Funktionalitäten, die in irgendeiner Weise personenbezogene Daten speichern, mit denen eine Identifizierung einer Person möglich wäre (Name, IP-Adressen, Cookies, Kontodaten etc.)
Wie man bereits erkennen kann, verwendet fast jede Seite mindestens eine der genannten Features. Umso wichtiger ist es, sich hier umfassend abzusichern und die Richtlinien der DSGVO einzuhalten.
Maßnahmen zur Einhaltung der DSGVO
Der erste Schritt ist eine Analyse der eigenen Website und des Unternehmens. Man sollte folgende Fragen beantworten:
- Ist die Kerntätigkeit des Unternehmens bzw. der Website die Datenverarbeitung und habe ich mehr als 10 Mitarbeiter?
- Betreibe ich einen privaten Blog oder betreibe ich eine gewinnorientierte Seite mit Bannern, Affiliate-Links oder Ähnlichem?
- Betreibe ich einen Online-Shop oder Member-Bereich?
- Speichere ich in irgendeiner Weise Daten, IP-Adressen oder Cookies von Besuchern meiner Website?
Je nachdem, welche Punkte auf Sie zutreffen, müssen verschiedene Anpassungen durchgeführt werden. Wenn Sie beispielsweise eine Plattform für Fitnesskurse oder eine Online-Anmeldung für Versicherungen bieten, dann werden Ihre Maßnahmen für eine DSGVO-konforme Webseite umfangreicher ausfallen.
Da dies den Umfang des Beitrags sprengen würde, fokussieren wir uns nachfolgend explizit auf kleine und mittelgroße Webseiten für KMU bzw. Blogs und kleine Online-Shops.
DSGVO Checkliste
Nachfolgend finden Sie eine Auflistung der wichtigsten Punkte zur Einhaltung der Richtlinien der DSGVO:
Impressum & Datenschutzbestimmungen auf der Webseite
Das Wichtigste zuerst: Ihre Webseite muss über ein Impressum sowie Datenschutzbestimmungen verfügen.
Das Impressum muss die Informationspflichten laut §5 E-Commerce Gesetz, §14 Unternehmensgesetzbuch, §63 Gewerbeordnung und Offenlegungspflicht laut §25 Mediengesetz erfüllen. Es sollte, genau wie der Datenschutzhinweis, leicht auffindbar und erreichbar sein. Ein Link im Footer ist hierfür ideal, da die meisten Webseitenbesucher diese Positionierung bereits von anderen Seiten kennen.
Beim Datenschutzhinweis reicht ein Standardtext nicht mehr aus. Der Hinweis muss für jede Seite individuell angepasst werden, es muss dabei auf den Einsatz von Drittanbietern für die Erhebung von personenbezogenen Daten hingewiesen werden. Außerdem muss er die Art, das Ausmaß und die Verwendung der gespeicherten Daten beinhalten.
Verwendung von Google Analytics
Viele Webseiten verwenden Google Analytics zur Analysezwecken und Optimierung der Inhalte. Zugriffszahlen, beliebte Seiten oder Beiträge und demographische Daten sind nur einige der Statistiken, die Google Analytics auf ihrer Webseite auswertet. Um diese Daten zu erhalten, werden natürlich auch personenbezogene Daten verwendet und gespeichert.
Daher gibt es hier verstärkt Maßnahmen zur Einhaltung der DSGVO:
Vertrag mit Google notwendig (Elektronisch oder gedruckt)
Zuerst muss ein Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen werden. Diesen Vertrag kann man ausdrucken, ausfüllen und zwei Exemplare an Google Inc. nach Dublin schicken. Ein Exemplar wird von Google Inc. gegengezeichnet und an das ausstellende Unternehmen bzw. Person zurückgeschickt. Diesen Vertrag sollte man dann archivieren.
Hier findet man den Vertrag zum Download: Google Inc. Data Processing Agreement
Es gibt auch eine nette Alternative zum gedruckten Vertrag, denn die DSGVO – wie sie aktuell geplant ist – erlaubt auch die elektronische Zustimmung. Diese Zustimmung kann im eigenen Analytics Konto unter Kontoeinstellungen im Abschnitt „Zusatz zur Datenverarbeitung“ erteilt werden. Dazu klickt man im Abschnitt „Zusatz zur Datenverarbeitung“ auf „Zusatz anzeigen“, stimmt zu und speichert dann ab – als Bestätigung erscheint in grün das Datum der Zustimmung und damit ist man auf der sicheren Seite.
Google Analytics Opt-Out Option
Jeder Besucher muss die Möglichkeit haben, die Datenerhebung von Google Analytics zu deaktivieren. Auf der Website sollte die Abmeldung leicht zu finden sein, zum Beispiel durch eine Browser-Extension oder ein Plugin für WordPress wie dieses hier: Google Analytics Opt-Out
Oder alternativ als Link zu einem Browser-Plugin in den Datenschutzbestimmungen der Webseite. Hier finden Sie das offizielle Plugin von Google: http://tools.google.com/dlpage/gaoptout?hl=de
Google Analytics IP-Anonymisierung
Bei der IP-Anonymisierung wird die IP-Adresse des Seiten-Besuchers gekürzt bzw. die letzten Stellen ersetzt, kurz nachdem sie an das Analytics-Datenerfassungsnetzwerk geschickt wurde. Somit wird die vollständige IP-Adresse physikalisch nicht gespeichert.
Die IP-Anonymisierung kann auf drei verschiedenen Wegen erfolgen:
- Wenn der Google Analytics Tracking-Code direkt auf der Webseite eingebunden wurde, muss die Funktion anonymizeIP hinzugefügt werden. Hier finden Sie mehr Informationen dazu: anonymizeIp
- Alternativ kann man beim Google Tag Manager die IP-Anonymisierung aktivieren
- WordPress-Seiten verwenden einfach ein Plugin für die Ip-Anonymisierung, zum Beispiel das Google Analytics Dashboard for WP
Google Tag Manager – Data Processing Amendment
Wird der Google Tag Manager auf einer Webseite genutzt, ist eine Übereinkunft zur Datenverarbeitung notwendig. Diese Übereinkunft regelt die Rechte und Pflichten zwischen den Verantwortlichen für die Datenverarbeitung und Google als Auftragsverarbeiter. Diese Option zur Datenverarbeitung, welche nur für EU-Staaten gilt, sollte aktiviert werden. Dafür besuchen Sie im Tag Manager Admin > Account > Account Settings.
Cookies
Wie es schon aktuell der Fall ist, muss der Webseiten-Besucher vorab darüber informiert werden wenn die Webseite Cookies speichert und dazu aktiv seine Zustimmung erteilen. Meist sieht man solche Cookie Notifications am unteren Bildschirmrand mit ein oder mehreren Buttons. Es ist ratsam, hier den Link zu den Datenschutzbestimmungen einzubauen, da die Cookie Notification oftmals diese Links im Footer überdeckt und sie daher nicht sichtbar wären.
Für WordPress empfiehlt sich besonders der Einsatz dieses Plugins, welches wir selbst schon ausführlich getestet und verwendet haben: Cookie Consent
Des Weiteren muss in den Datenschutzbestimmungen die Art, Verwendung und Speicherung der Cookies erklärt werden.
Opt-Out der Datensammlung sowie Löschung und Berichtigung der gespeicherten Daten
Dem Besucher muss es möglich sein, die Datensammlung zu verhindern. WordPress-Benutzer können hierfür das schon erwähnte Plugin Google Analytics Opt-Out verwenden.
Der Nutzer hat auch das Recht, die Löschung dieser Daten zu verlangen. Dafür wird ein entsprechender Hinweis und ein Impressum mit Kontaktmöglichkeit benötigt. Fordert ein Nutzer eine Löschung, so muss dies wie folgt passieren:
Newsletter, insbesondere Drittanbieter wie Mailchimp
Der Versand von regelmäßigen Newslettern erfordert natürlich die Speicherung von Nutzerdaten wie Namen und Email-Adresse. Vor allem bei Nutzung eines Drittanbieters gibt es mehrere Punkte zu beachten. Wir gehen hier besonders auf den beliebten Service von Mailchimp ein. Dieser hat sich dem Privacy Shield Abkommen verpflichtet. Das Abkommen regelt den Datenschutz beim Austauschen der Daten zwischen Amerika und Europa. Daher muss man einen Datenverarbeitungsvertrag abschließen und einen deutlichen Hinweis bei der Anmeldung zum Newsletter anbringen.
Vertrag mit Mailchimp – Data Processing Addendum
Ähnlich zu Google Analytics sollte auch mit Mailchimp ein Vertrag zum Thema Datenschutz geschlossen werden. Unter Mailchimps Data Processing Addendum findet sich eine Anleitung, Beispiele und vieles mehr.
Hinweis vor der Anmeldung
Noch bevor sich ein Besucher für den Newsletter anmelden kann, sollte ein Hinweis unmittelbar in der Nähe des Formulars angezeigt werden. Dieser Hinweistext muss folgende Kriterien erfüllen:
- Ausdrückliche (= aktive und wissentliche) Einwilligung
- Informativ – über was informiert der Newsletter
- freiwillig und Möglichkeit zum Widerruf
- Protokollierung und Double-Opt-In
Hier wäre ein Beispiel für einen solchen Hinweistext:
Double-Opt-in
Seit 31. Oktober 2017 hat Mailchimp automatisch auf Single Opt-In umgestellt – aus Sicht von Datenschutz und der DSGVO ein absolutes No-Go. Daher sollte bei bestehenden und neuen Konten sofort Double-Opt-in aktiviert werden. Ansonsten bekommen User keine Bestätigungsemail nach der Anmeldung.
**UPDATE, 2019: Mailchimp bietet mittlerweile alle notwendigen Einstellungen und Templates für DSGVO-konformes Versenden** :-)
Nach Aktivierung von Double-Opt-in muss die Bestätigungsemail angepasst werden. Darin soll sich ein Hinweis auf die Datenerhebung, -sammlung und -verwendung sowie ein Link zur Datenschutzbestimmung befinden.
Kontaktformulare
Wenn auf der Webseite Formulare verwendet und diese Daten irgendwie gespeichert werden, zum Beispiel in einer Datenbank zur Kontaktaufnahme, dann muss der Nutzer aktiv sein Einverständnis abgeben. Am besten bietet man hierfür eine Checkbox mit entsprechendem Hinweis der Datenspeicherung an, die der Nutzer anhaken muss. Sie darf jedoch nicht schon vorausgewählt sein.
Bilder und Daten von Mitarbeitern auf der Webseite
Hat Ihre Webseite einen Bereich, in dem Mitarbeiter vorgestellt werden? Eventuell mit Bildern? Dann sollten Sie sich explizit die Erlaubnis bzw. Zustimmung zur Bildverarbeitung und Nutzung dieser Daten von den Betroffenen einholen, sofern dies nicht schon im Arbeitsvertrag geregelt ist.
Share-Buttons
Ohne Zustimmung des Besuchers dürfen keine Daten an Social Media-Kanäle übertragen werden. Dies wird schnell zum Problem, da die meisten Einbettungen von Social Media Buttons bereits beim Besuchen der Webseite eine Verbindung zu den sozialen Netzwerken herstellen. Facebook, Google+ & Co können so unbemerkt Daten der Webseitenuser erheben und deren Verhalten tracken. Wobei man davon ausgehen kann, dass auch hier die großen Unternehmen wie Facebook & Co noch rechtzeitig Anpassungen vornehmen werden.
Durch diese derzeit noch aktuelle Vorgehensweise erübrigt sich jedoch im Moment die Nutzung der meisten WordPress Sharing-Plugins mit der DSGVO. Es gibt aktuell jedoch 3 Möglichkeiten, dieses Problem zu umgehen:
- Totaler Verzicht der Social Sharing Plugins
- 2-Klick-Lösung: Durch zwischenschalten eines Plugins, bei dem erst durch erneutes Klicken die Zustimmung der Sammlung von Nutzerdaten erfolgt
- Mit dem Plugin shariff lassen sich datenschutzkonforme Teilen-Buttons erstellen. Es ist leicht zu bedienen und sehr flexibel – aktuell sicher die beste Lösung, wenn man nicht auf die Social Sharing Funktionalität verzichten möchte
Kommentarfunktion bei Seiten und Blogbeiträgen
Hierbei muss – nach unserem aktuellen Verständnis – keine zusätzliche Checkbox eingebunden werden, da das Senden und Veröffentlichen eines Kommentares bereits einen aktiven und freiwilligen Akt darstellt. Ein kurzer Hinweistext zur Datenspeicherung mit Link zum Datenschutz ist dennoch zu empfehlen.
User-Registrierung
Wenn es auf der Seite eine User-Registrierung und Anmeldung gibt, dürfen nur für diesen Zweck notwendige Daten gespeichert werden. Es muss dabei immer das Einverständnis des Nutzers und der entsprechende Hinweis in der Datenschutzerklärung gegeben sein.
Fazit und offene Fragen
Wie man sieht, ist die Umstellung bzw. Einhaltung der Richtlinien für die DSGVO zeitaufwändig und umfangreich. Viele Punkte sind noch ungeklärt oder lassen Raum für Fragen offen, wie zum Beispiel:
- Werbung, Counter von Drittseiten und Ähnliches
- Tracking Pixel und andere Social Media Funktionen
- Einbinden von Youtube-Videos oder Facebook Postings
- Login über soziale Netzwerke wie Facebook oder Google+
Wir haben uns intensiv mit dem Thema DSGVO beschäftigt und rüsten unsere Seiten gemäß DSGVO um.
Sollten Sie Hilfe mit Ihrer Webseite oder eine Beratung zum Thema benötigen, sind wir gerne für Sie da!
Quellen: datenschmutz.net, drschwenke.de, wko, datenschutz.org