Es nützt nichts. Seit dem 25. Mai 2018 gilt die DSGVO. Wir (Unternehmen) müssen alle in die Zitr… äh, in den sauren Apfel beißen und uns da durchkämpfen. Ich versuche daran zu denken, dass mehr Datenschutz und digitale Sicherheit grundsätzlich etwas Gutes sind.
Mein Plan ist, auf dieser Seite ein paar nützliche Links und Hinweise zu sammeln. Fühlt euch frei, diese Sammlung zu nutzen, aber nagelt mich nicht darauf fest:
DISCLAIMER – HINWEIS:
Ich bin weder Juristin noch Datenschutzbeauftragte, sondern Webdesignerin! Dieser Artikel stellt KEINE Rechtsberatung dar, sondern gibt lediglich das wieder, was ich in eigener Recherche-Arbeit zu diesem Thema herausgefunden habe. Ich übernehme keine Gewähr für Richtigkeit, Aktualität und Vollständigkeit meiner Ausführung und keinerlei Haftung für mögliche Rechtsfolgen.
1. Verschlüsselt eure Website mit einem SSL-Zertifikat
Das ist wichtig, weil ansonsten alle Daten, die z. B. in einem Kontakt-Formular oder auf der Login-Seite einer WordPress Seite eingegeben werden, unverschlüsselt übertragen werden. Die neue DSGVO verbietet das. Ich habe vor einiger Zeit eine Anleitung geschrieben, wie man ein SSL-Zertifikat einrichtet und die Website verschlüsselt. Hier findet Ihr den Blog-Beitrag: Anleitung zur Umstellung der Website auf https
2. Es muss eine neue Datenschutzerklärung her:
Ich habe schon einige Datenschutz-Generatoren durchprobiert. Aktuell ist dieser mein Favorit: JuraForum Impressum- und Datenschutz-Generator. Den Generator von e-Recht24 kann ich nicht mehr empfehlen. Der Generator von Schwenke ist zwar gut, aber nicht kostenlos (zumindest in den meisten Fällen)
Ihr solltet bedenken, dass ein Mustergenerator keine rechtssichere Datenschutzerklärung erzeugen kann. Die rechtssichere Datenschutzerklärung gibt es nur vom Fachanwalt oder zertifizierten Datenschutzbeauftragten.
3. Google Analytics Code auf die neuste Version bringen
Das GA Snippet muss mit opt-out-Funktion und natürlich IP-Anonymisierung ausgestattet sein. Wenn ihr ein GA WordPress-Plugin verwendet, sorgt für die richtigen Einstellungen. Opt-out Funktion in der Datenschutzerklärung richtig einbetten und testen. Dafür eignet sich auch das WordPress-Plugin Google Analytics Opt-out (DSGVO / GDPR).
Wenn ihr den nächsten Absatz lest, entscheidet ihr euch allerdings vielleicht zukünftig auf GA zu verzichten… aber es gibt ja noch Alternativen zu Google Analytics.
03.05.18 – Achtung, wichtiges Update: Verwendet einen Cookie-Banner mit opt-in-Verfahren
Letzte Woche hat die DSK (Datenschutzkonferenz) beschlossen, dass nun doch ein Opt-in bei Verwendung von Tracking Cookies erforderlich ist. Ein Plugin, das ihr verwenden könnt, ist zum Beispiel Ginger EU Cookie Law. Allerdings bezweifle ich, dass dieser Banner so rechtssicher ist.
Weil Cookies personenbezogene Daten sammeln (können) und man diese nicht ohne Zustimmung sammeln darf, erfand der Mensch den – TADA! – Cookie Banner! Nur falls euch nicht klar war, was Cookies mit Datenschutz zu tun haben…
Das Cookie-Opt-in-Verfahren sollte eigentlich 2019 mit der ePrivacy-Verordnung auf uns zukommen. Das heißt, Cookies dürfen auf der Website nur verwendet werden, nachdem der Besucher zugestimmt hat.
Wichtig: Achtet darauf, dass der Cookie-Banner nicht den Link zum Impressum oder zur Datenschutzerklärung abdeckt.
Quelle zur DSK-Papier Info: https://www.dr-datenschutz.de/tracking-nur-noch-mit-opt-in-kritische-anmerkungen-zum-dsk-papier/
4. Formulare nur mit Einwilligung versenden?
Grundsätzlich dürfen keine willkürlichen Pflichtfelder gesetzt sein. Ist z.B. die Telefon-Nummer nicht zwingend notwendig (meist ist sie das nicht), darf dies auch kein Pflichtfeld sein.
Aber muss ich jetzt eine Checkbox zur Zustimmung einbauen? Das hört man sehr oft. Ich werde es in Zukunft so machen, dass ich nur auf die Datenschutzerklärung hinweise. Der gesunde Menschenverstand sagt mir doch, dass derjenige, der das Formular ausfüllt mit mir in Kontakt treten will und mir diese Daten senden will. Hört euch sonst das hier mal an https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/
5. Facebook, Instagram & Co.
Spätestens jetzt solltet ihr share-Buttons über das Plugin Shariff oder ähnliche (2-Klick-Lösung) einbinden, sodass Daten des Website-Besuchers nur an die Social-Media-Plattformen gesendet werden, wenn sie auch tatsächlich auf den Share-Button klicken und nicht pauschal die Daten aller Website-Besucher.
Es ist auch schon länger verboten, Social-Feeds, Facebook- oder Instagram-Timeline in die Website einzubinden. Also: auch nicht mehr machen…
Wenn ihr z.B. auf Facebook bloggt, dann geht doch einfach dazu über, auf eurer Website zu bloggen und die Beiträge in sozialen Medien zu teilen. So ist es egal, wo eure Follower sind, alle bekommen die gleichen Inhalte zu sehen. Es gibt dafür natürlich auch praktische Plugins:
- Complete Open Graph damit eure Posts auch hübsch mit Vorschaubild erscheinen
- Blog2Social: Social Media Auto Post & Scheduler um eure Posts in euren Social Media Kanälen zu posten.
6. Google Webfonts und andere extern eingebundene Elemente
Wieder ein Thema, an dem sich die Geister scheiden. Wenn Google Webfonts, Font Awesome, Youtube-Videos, Google Maps Karten von einem anderen Server eingebunden sind, der dann auch noch in einem Nicht-EU-Land steht, dann wird die IP-Adresse eures Website-Besuchers an diesen Server gesendet. Die einen sagen, das geht nur mit vorheriger Einwilligung des Besuchers. Die anderen sagen, ich habe aber ein berechtigtes wirtschaftliches Interesse, diese Dienste so zu nutzen. Fakt ist: Es gab die ersten Abmahnungen für Google Webfonts ohne Einwilligung. Also was tun??
Google Webfonts selbst hosten
Wer Zugriff auf den Quellcode hat, kann mit Hilfe dieser Website, die Google Webfonts selbst hosten: https://gwfh.mranftl.com/fonts
Wenn ihr WordPress nutzt, ist es mit diesem Plugin extrem einfach, die Schriften auf den eigenen Server zu holen. Ich nutze es auch auf diesem Blog: OMGF https://wordpress.org/plugins/host-webfonts-local/.
7. Updates machen
Um Sicherheitslücken zu schließen, solltet Ihr WordPress, Plugins und Theme auf dem neusten Stand halten. Übrigens, alle Themes und Plugins, die externe Elemente einbinden, wie z.B. Scripte oder (Google) Web Fonts, wären nach dem 25.05.18 nicht mehr datenschutzkonform…
WordPress 4.9.6 Update
Seit diesem Update gibt es folgende neue Tools:
- Werkzeuge > Personenbezogene Daten exportieren
- Werkzeuge > Personenbezogene Daten löschen
- Einstellungen > Datenschutz (hilft bei der Erstellung einer Datenschutzerklärung.)
8. Monitoring der Website auf Sicherheitslücken
Die sichere Datenverarbeitung sollte laufend kontrolliert und sichergestellt werden. Kennt ihr euch zum Beispiel mit HTTP Headern aus? Wisst ihr welche euer Server verwendet? Ich auch nicht. Auch das SSL Zertifikat kann Sicherheitslücken aufweisen. Dann hilft es auch nicht, wenn es ordnungsgemäß eingebunden ist. Wie kann ich nun nachweisen bzw. sicherstellen, dass da bei mir alles gut ist?
Monitoring mit SIWECOS
Bei SIWECOS könnt ihr eure Website auf Sicherheitslücken scannen. Wenn ihr euch registriert, wird die Website sogar regelmäßig automatisch gescannt und ihr im Fall eines Problems kontaktiert – völlig kostenlos! Ich bin begeistert!
Check it out: https://siwecos.de
Angezeigte Fehler sollten behoben werden und es sollte ein monatlicher Bericht über den Sicherheits-Status angelegt werden.
WordPress-Plugin für sichere HTTP-Header: HTTP Headers
oder die HTTP Header über die .htaccess einstellen
Hier kann man auch noch Schwachstellen auf der Website finden: https://webbkoll.dataskydd.net/en/
9. Legt ein Verfahrensverzeichnis an
Ich weiß, jetzt wird es echt schwer am Ball zu bleiben. Aber Privatsphäre und Datenschutz möchten wir ja alle. Deshalb gilt erstens, sammelt nur die Daten, die wirklich notwendig sind. Zum Beispiel braucht man für den Versand eines nicht personalisierten Newsletters ausschließlich eine E-Mail-Adresse.
Zweitens muss in einem Verfahrensverzeichnis festgehalten werden, welche Daten gesammelt werden und wie sie verarbeitet werden. Wenn ihr jetzt sagt, stopp, das gilt doch nur für personenbezogene Daten und so was sammle ich ja gar nicht. Pustekuchen. IP-Adressen wurden zu personenbezogenen Daten erklärt. Also, sobald ihr Google Analytics einsetzt oder ein anderes Analyse-Plugin, das euch Feedback und Statistiken liefern soll, sammelt ihr persönliche Daten. Gibt es eine Kommentar-Funktion auf eurer Website? Zack, dort werden auch IPs gespeichert. Außerdem bin ich ziemlich sicher, dass ihr per E-Mail kommuniziert und vielleicht schreibt ihr sogar Angebote und Rechnungen über eine Cloud-Software (shock)…
Vorlagen für Verfahrensverzeichnisse im Netz:
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Allgemein/Verzeichnis-Verarbeitungstaetigkeiten.html
10. Auftragsverarbeitungsverträge (AV) abschließen
Alle Dienstleister, die Zugriff auf die persönlichen Daten eurer Kunden haben, müssen mit euch solch einen Vertrag abschließen. Zu diesen Dienstleistern gehören:
- Google Inc, wenn ihr Google Analytics, Google ReCaptcha, YouToube, Google Meet, Google Calendar usw. nutzt
- Euer Webhoster (1und1, Webgo, Mittwald, All-inkl und Co.)
- Der Newsletter-Provider (Mailchimp, Cleverreach, Brevo…)
- Agenturen, die euren Google Analytics Account, euren Newsletter usw. technisch betreuen
- Buchhaltungs-Cloud-Software
Vorlagen/Muster für Auftragsverarbeitungsverträge
- Bayerisches Landesamt für Datenschutzaufsicht | Muster für einen Auftragsverarbeitungsvertrag
- https://www.gdd.de/downloads/praxishilfen/ph-iv-mustervertrag_zur_auftragsverarbeitung_ds-gvo-2-auflage-dezember-2020
11. Datenschutzbeauftragter
Seit dem 20. September 2019 wurde die Schwelle zur Datenschutzbeauftragten-Pflicht in Unternehmen von 10 auf 20 Personen angehoben. Es müssen also nur noch Unternehmen einen Datenschutzbeauftragten benennen, bei denen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dabei ist es unerheblich, ob es sich um eine Teilzeit- oder Vollzeitkraft, einen freien Mitarbeiter oder Praktikanten handelt.
Eine weitere Pflicht unabhängig von der Mitarbeiterzahl besteht, wenn ein Betrieb mit besonders sensiblen Daten (z.B. Gesundheitsdaten) zu tun hat. Auch wenn Daten aus Videoüberwachungen verarbeitet werden, besteht sofort eine Pflicht zur Bestellung eines Datenschutzbeauftragten.
12. Das war noch nicht alles
Die DSGVO verlangt noch einige weitere Maßnahmen, die ich noch recherchieren muss. Schreibt mir bitte in die Kommentare, wenn ihr noch nützliche Quellen habt.
Andere Checklisten zur DSGVO im Netz (meine Quellen):
- https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/
- https://www.content-iq.com/2018/03/22/dsgvo-fuer-einzelunternehmer-und-freelancer/
- https://www.marjeta-prah-moses.de/15-wordpress-tipps-zur-dsgvo-und-meine-checkliste-zum-runterladen/
Weitere nützliche Links
Wer DSGVO gerade zum ersten Mal hört, es handelt sich um die Europäische Datenschutzgrundverordnung, die von allen Unternehmen ab dem 25. Mai 2018 umgesetzt sein muss. Mehr dazu bei Wikipedia.
11 Antworten
Das klingt richtig toll! Danke für den Tipp!
Dieser Kommentator hatte einen Link auf eine Website für Mittelchen gegen Potenzstörungen gesetzt… Website ist in Moskau angemeldet… Ich sollte mal einen Post über Kommentar-Trolls machen ;-)
:-) Verrückter Scheiß! Schreib mal tatsächlich etwas über Kommentar-Trolls :-) Da ist ja wirklich crazy. Der Wahrheitsgehalt von Informationen ist immer zu überprüfen. Damals wie heute…
Kiel mol! https://www.ihk-schleswig-holstein.de/recht/aktuelle-rechtsthemen/datenschutz-grundverordnung/3971012
Auch was Feines!
Top, Danke!
Was ist, wenn ich kein Google Analytics o.ä. benutzte? Normale Server-Logfiles speichern aber doch auch IP-Adressen.
ja, tun sie. Und schon musst du die Website-Besucher darüber informieren (Cookie-Banner). Und du brauchst einen Auftragsverarbeitungsvertrag mit dem Server-Provider (wenn du es nicht selbst bist) und du müsstest die IP-Adressen in deinem Verfahrensverzeichneis als Daten aufführen, die du sammelst… würde ich zumindest sagen.
Ach so, du meinst, ob du dann einen AV-Vertrag mit deinen Kunden abschließen musst? Auch da würde ich sagen: ja. Vielleicht meldet sich ja noch mal ein Rechtsgelehrter zu Wort ;-)
Wer will kann hier noch versuchen die DSGVO für KMUs zu stoppen oder abzumildern:
https://www.openpetition.de/petition/blog/mit-dsgvo-erleichterungen-fuer-kmu-nur-leistbares-fordern-sanktionsverzicht-kmuaufschrei
Ich bin der Meinung, dass teilweise Grenzen überschritten wurden und eine Regelung dringend nötig war um die Privatsphäre von Privatpersonen, aber auch von Mitarbeitern in Unternehmen zu schützen. Auch wenn alles mit sehr viel Aufwand verbunden ist.
Hallo Franko, da hast du recht. In vielen Punkten war eine Sensibilisierung und ein besserer Schutz der persönlichen Daten nötig! Ich denke nur, dass die DSGVO über das Ziel hinaus geschossen ist… z.B. die IP-Adressen.
Der Websitebetreiber, der hier ja in die Pflicht genommen wird, kann damit höchstens rausfinden aus welcher Stadt sich jemand auf der eigenen Website „eingewählt“ hat, aber nicht welche Person dahinter steckt. Trotzdem ist nun die Grundlage der Kommunikation über das Internet plötzlich ein Datenschutzproblem und Server-Betreiber müssen die IP-Adressen nach 7 Tagen löschen.
Ich frage mich wie die Abteilung für Internetkriminalität der Polizei das findet. Mir wäre es ehrlich gesagt lieber, dass ein paar Pädophile mehr geschnappt werden als dass meine IP-Adresse besser geschützt wird. Allerdings findet man zu dem Thema nichts im Internet. Also vielleicht mache ich da auch einen Denkfehler?