Echtes Insider-Wissen ohne Werbung und Gastbeiträge
Datenschutzsgrundverordnung

Nützliche Links und Tipps zur DSGVO für Websitebetreiber, Freiberufler und Kleinunternehmer

Inhaltsangabe

Es nützt nichts. Seit dem 25. Mai 2018 gilt die DSGVO. Wir (Unternehmen) mussten/müssen alle in die Zitr… äh, in den sauren Apfel beißen und uns da durchkämpfen. Ich versuche daran zu denken, dass mehr Datenschutz und digitale Sicherheit grundsätzlich etwas Gutes sind.

Mein Plan ist, auf dieser Seite ein paar nützliche Links und Hinweise zu sammeln. Fühlt euch frei, diese Sammlung zu nutzen, aber nagelt mich nicht darauf fest:

DISCLAIMER – HINWEIS:
Ich bin weder Juristin noch Datenschutzbeauftragte, sondern Webdesignerin! Dieser Artikel stellt KEINE Rechtsberatung dar, sondern gibt lediglich das wieder, was ich in eigener Recherche-Arbeit zu diesem Thema herausgefunden habe. Ich übernehme keine Gewähr für Richtigkeit, Aktualität und Vollständigkeit meiner Ausführung und keinerlei Haftung für mögliche Rechtsfolgen.

1. Verschlüsselt eure Website mit einem SSL-Zertifikat

Das ist wichtig, weil ansonsten alle Daten, die z.B. in einem Kontakt-Formular oder auf der Login-Seite einer WordPress Seite eingegeben werden, unverschlüsselt übertragen werden. Die neue DSGVO verbietet das. Ich habe vor einiger Zeit eine Anleitung geschrieben, wie man ein SSL-Zertifikat einrichtet und die Website verschlüsselt. Hier findet Ihr den Blog-Beitrag: Anleitung zur Umstellung der Website auf https

2. Es muss eine neue Datenschutzerklärung her:

Ich habe schon einige Datenschutz-Generatoren durchprobiert. Aktuell ist dieser mein Favorit: JuraForum Impressum- und Datenschutz-Generator. Den Generator von e-Recht24 kann ich nicht mehr empfehlen. Der Generator von Schwenke ist zwar gut, aber nicht kostenlos (zumindest in den meisten Fällen)

Ihr solltet bedenken, dass ein Mustergenerator keine rechtssichere Datenschuzterklärung erzeugen kann. Die rechtssichere Datenschutzerklärung gibt es nur vom Fachanwalt oder zertifizierten Datenschutzbeauftragten.

3. Google Analytics Code auf die neuste Version bringen

Das GA Snippet muss mit opt-out-Funktion und natürlich IP-Anonymisierung ausgestattet sein. Wenn ihr ein GA WordPress Plugin verwendet,  sorgt für die richtigen Einstellungen. Wer seinen Analytics Code selbst in den <head> einfügt, findet hier das komplette Google Analytics Snippet – fertig zum Einsatz. Opt-out Funktion in der Datenschutzerklärung richtig einbetten und testen. Dafür eignet sich auch das WordPress Plugin Google Analytics Opt-Out (DSGVO / GDPR).

Wenn ihr den nächsten Absatz lest, entscheidet ihr euch allerdings vielleicht zukünftig auf GA zu verzichten… aber es gibt ja noch Alternativen zu Google Analytics.

03.05.18 – Achtung wichtiges Update: Verwendet einen Cookie-Banner mit opt-in-Verfahren

Letzte Woche hat die DSK (Datenschutzkonferenz) beschlossen, dass nun doch ein opt-in bei Verwendung von Tracking Cookies erforderlich ist. Ein Plugin, das ihr verwenden könnt ist zum Beispiel Ginger EU Cookie Law. Allerdings bezweifle ich, dass dieser Banner so rechtssicher ist.

Weil Cookies personenbezogene Daten sammeln (können) und man diese nicht ohne Zustimmung sammeln darf, erfand der Mensch den – TADA! – Cookie Banner! Nur falls euch nicht klar war, was Cookies mit Datenschutz zu tun haben…

Das Cookie-Opt-in-Verfahren sollte eigentlich 2019 mit der ePrivacy-Verordnung auf uns zukommen. Das heißt Cookies dürfen auf der Website nur verwendet werden, nachdem der Besucher zugestimmt hat.

Wichtig: Achtet darauf, dass der Cookie-Banner nicht den Link zum Impressum oder zur Datenschutzerklärung abdeckt.

Quelle zur DSK-Papier Info: https://www.dr-datenschutz.de/tracking-nur-noch-mit-opt-in-kritische-anmerkungen-zum-dsk-papier/

4. Formulare nur mit Einwilligung versenden?

Grundsätzlich dürfen keine willkürlichen Pflichtfelder gesetzt sein. Ist z.B. die Telefon-Nummer nicht zwingend notwendig (meist ist sie das nicht), darf dies auch kein Pflichtfeld sein.

Aber muss ich jetzt eine Checkbox zur Zustimmung einbauen? Das hört man sehr oft. Ich werde es in Zukunft so machen, dass ich nur auf die Datenschutzerklärung hinweise. Der gesunde Menschenverstand sagt mir doch, dass derjenige, der das Formular ausfüllt mit mir in Kontakt treten will und mir diese Daten senden will. Hört euch sonst das hier mal an https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/

5. Facebook, Instagram & Co.

Spätestens jetzt solltet ihr share-Buttons über das Plugin Shariff oder ähnliche (2-Klick-Lösung) einbinden, so dass Daten des Website-Besuchers nur an die Social Media Plattformen gesendet werden, wenn sie auch tatsächlich auf den Share-Button klicken und nicht pauschal die Daten aller Website-Besucher.

Es ist auch schon länger verboten, Social-Feeds, Facebook- oder Instagram-Timeline in die Website einzubinden. Also: auch nicht mehr machen…

Wenn ihr z.B. auf Facebook bloggt, dann geht doch einfach dazu über, auf eurer Website zu bloggen und die Beiträge in sozialen Medien zu teilen. So ist es egal, wo eure Follower sind, alle bekommen die gleichen Inhalte zu sehen. Es gibt dafür natürlich auch praktische Plugins:

  • Complete Open Graph damit eure Posts auch hübsch mit Vorschaubild erscheinen
  • Blog2Social: Social Media Auto Post & Scheduler um eure Posts in euren social Media Kanälen zu posten.

6. Google Webfonts und andere extern eingebundene Elemente

Wieder ein Thema an dem sich die Geister scheiden. Wenn Google Webfonts, Font Awesome, Youtube-Videos, Google Maps Karten von einem anderen Server eingebunden sind, der dann auch noch in einem Nicht-EU-Land steht, dann wird die IP-Adresse eures Website-Besuchers an diesen Server gesendet. Die einen sagen, das geht nur mit vorheriger Einwilligung des Besuchers. Die anderen sagen, ich habe aber ein berechtigtes wirtschaftliches Interesse, diese Dienste so zu nutzen. Fakt ist: es gab die ersten Abmahnungen für Google Webfonts ohne Einwilligung. Also was tun??

Google Webfonts selbst hosten

Wer Zugriff auf den Quellcode hat, kann mit Hilfe dieser Website, die Google Webfonts selbst hosten: https://google-webfonts-helper.herokuapp.com/fonts

Wenn ihr WordPress nutzt, ist es mit diesem Plugin extrem einfach die Schriften auf den eigenen Server zu holen. Ich nutze es auch auf diesem Blog: Self-Hosted Google Fonts.

7. Updates machen

Um Sicherheitslücken zu schließen solltet Ihr WordPress, Plugins und Theme auf dem neusten Stand halten. Übrigens, alle Themes und Plugins, die externe Elemente einbinden, wie z.B. Scripte oder (Google) Web Fonts, wären nach dem 25.05.18 nicht mehr datenschutzkonform… mal sehen wie dieses Problem dann zu lösen ist. Wir können doch nicht alle zu Times New Roman und Arial zurück gehen…

WordPress 4.9.6 Update

Seit diesem Update gibt es folgende neue Tools:

  • Werkzeuge > Personenbezogene Daten exportieren
  • Werkzeuge > Personenbezogene Daten löschen
  • Einstellungen > Datenschutz (hilft bei der Erstellung einer Datenschutzerklärung.)

8. Monitoring der Website auf Sicherheitslücken

Die sichere Datenverarbeitung sollte laufend kontrolliert und sichergestellt werden. Kennt ihr euch zum Beispiel mit HTTP Headern aus? Wisst ihr welche euer Server verwendet? Ich auch nicht. Auch das SSL Zertifikat kann Sicherheitslücken aufweisen. Dann hilft es auch nicht, wenn es ordnungsgemäß eingebunden ist. Wie kann ich nun nachweisen bzw. sicherstellen, dass da bei mir alles gut ist?

Monitoring mit SIWECOS

SIWECOS Logo Bei SIWECOS könnt ihr eure Website auf Sicherheitslücken scannen. Wenn ihr euch registriert wird die Website sogar regelmäßig automatisch gescannt und ihr im Fall eines Problems kontaktiert – völlig kostenlos! Ich bin begeistert!

Check it out: https://siwecos.de

Angezeigte Fehler sollten behoben werden und es sollte ein monatlicher Bericht über den Sicherheits-Status angelegt werden.

WordPress-Plugin für sichere HTTP-Header: HTTP Headers
oder die HTTP Header über die .htaccess einstellen

Hier kann man auch noch Schwachstellen auf der Website finden: https://webbkoll.dataskydd.net/en/

9. Legt ein Verfahrensverzeichnis an

Ich weiß, jetzt wird es echt schwer am Ball zu bleiben. Aber Privatsphäre und Datenschutz wollen wir ja alle. Deshalb gilt erstens, sammelt nur die Daten, die wirklich notwendig sind. Zum Beispiel braucht man für den Versand eines nicht personalisierten Newsletters ausschließlich eine Email-Adresse.

Zweitens muss in einem Verfahrensverzeichnis festgehalten werden, welche Daten gesammelt werden und wie sie verarbeitet werden. Wenn ihr jetzt sagt, stopp, das gilt doch nur für personenbezogene Daten und so was sammle ich ja gar nicht. Pustekuchen. IP-Adressen wurden zu personenbezogenen Daten erklärt. Also, sobald ihr Google Analytics einsetzt oder irgendein anderes Analyse-Plugin, das euch Feedback und Statistiken liefern soll, sammelt ihr persönliche Daten. Gibt es eine Kommentar-Funktion auf eurer Website? Zack, dort werden auch IPs gespeichert. Außerdem bin ich ziemlich sicher, dass ihr per Email kommuniziert und vielleicht schreibt ihr sogar Angebote und Rechnungen (shock)…

Wie dieses Verzeichnis aussehen soll, kann man hier nachlesen: https://www.harald-dvorak.at/dsgvo-verarbeitungsverzeichnis-how-to/

Vorlagen für Verfahrensverzeichnisse im Netz:
https://www.activemind.de/datenschutz/dokumente/verfahrensverzeichnis/

10. Auftragsverarbeitungsverträge (AV) abschließen

Alle Dienstleister, die Zugriff auf die Daten eurer Kunden haben, müssen mit euch so einen Vertrag abschließen. Zu diesen Dienstleistern gehören:

  • Google Inc, wenn ihr Google Analytics nutzt
  • Euer Webhoster (Strato, 1und1 und Co.)
  • Der Newsletter-Provider (Mailchimp, Cleverreach, Sitepackage…)
  • Agenturen, die euren Google Analytics Account, euren Newsletter usw. technisch betreuen
  • Buchhaltungs-Cloud-Software

Vorlagen/Muster für Auftragsverarbeitungsverträge

11. Datenschutzbeauftragter

Seit dem 20. September 2019 wurde die Schwelle zur Datenschutzbeauftragten-Pflicht in Unternehmen von 10 auf 20 Personen angehoben. Es müssen also nur noch Unternehmen einen Datenschutzbeauftragten benennen, bei denen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dabei ist es unerheblich ob es sich um eine Teilzeit- oder Vollzeitkraft, einen freien Mitarbeiter oder Praktikanten handelt.

Eine weitere Pflicht unabhängig von der Mitarbeiterzahl besteht, wenn ein Betrieb mit besonders sensiblen Daten (z.B. Gesundheitsdaten) zu tun hat. Auch wenn Daten aus Videoüberwachungen verarbeitet werden, besteht sofort eine Pflicht zur Bestellung eines Datenschutzbeauftragten.

12. Das war noch nicht alles

Die DSGVO verlangt noch einige weitere Maßnahmen, die ich noch recherchieren muss. Schreibt mir bitte in die Kommentare, wenn ihr noch nützliche Quellen habt.

Andere Checklisten zur DSGVO im Netz (meine Quellen):

Weitere nützliche Links


Wer DSGVO gerade zum ersten mal hört, es handelt sich um die Europäische Datenschutzgrundverordnung, die von allen Unternehmen ab dem 25. Mai 2018 umgesetzt sein muss. Mehr dazu bei Wikipedia.

Kommentare

11 Antworten

    1. Dieser Kommentator hatte einen Link auf eine Website für Mittelchen gegen Potenzstörungen gesetzt… Website ist in Moskau angemeldet… Ich sollte mal einen Post über Kommentar-Trolls machen ;-)

  1. :-) Verrückter Scheiß! Schreib mal tatsächlich etwas über Kommentar-Trolls :-) Da ist ja wirklich crazy. Der Wahrheitsgehalt von Informationen ist immer zu überprüfen. Damals wie heute…

    1. ja, tun sie. Und schon musst du die Website-Besucher darüber informieren (Cookie-Banner). Und du brauchst einen Auftragsverarbeitungsvertrag mit dem Server-Provider (wenn du es nicht selbst bist) und du müsstest die IP-Adressen in deinem Verfahrensverzeichneis als Daten aufführen, die du sammelst… würde ich zumindest sagen.

    2. Ach so, du meinst, ob du dann einen AV-Vertrag mit deinen Kunden abschließen musst? Auch da würde ich sagen: ja. Vielleicht meldet sich ja noch mal ein Rechtsgelehrter zu Wort ;-)

  2. Ich bin der Meinung, dass teilweise Grenzen überschritten wurden und eine Regelung dringend nötig war um die Privatsphäre von Privatpersonen, aber auch von Mitarbeitern in Unternehmen zu schützen. Auch wenn alles mit sehr viel Aufwand verbunden ist.

    1. Hallo Franko, da hast du recht. In vielen Punkten war eine Sensibilisierung und ein besserer Schutz der persönlichen Daten nötig! Ich denke nur, dass die DSGVO über das Ziel hinaus geschossen ist… z.B. die IP-Adressen.

      Der Websitebetreiber, der hier ja in die Pflicht genommen wird, kann damit höchstens rausfinden aus welcher Stadt sich jemand auf der eigenen Website „eingewählt“ hat, aber nicht welche Person dahinter steckt. Trotzdem ist nun die Grundlage der Kommunikation über das Internet plötzlich ein Datenschutzproblem und Server-Betreiber müssen die IP-Adressen nach 7 Tagen löschen.

      Ich frage mich wie die Abteilung für Internetkriminalität der Polizei das findet. Mir wäre es ehrlich gesagt lieber, dass ein paar Pädophile mehr geschnappt werden als dass meine IP-Adresse besser geschützt wird. Allerdings findet man zu dem Thema nichts im Internet. Also vielleicht mache ich da auch einen Denkfehler?

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Beiträge zu ähnlichen Themen

Newsletter abonnieren

Wenn du willst, schicke ich dir gern eine E-Mail, wenn ich einen neuen Beitrag veröffentliche. Es kommt kein Spam. Nur nützliche Infos und Freebies für Menschen mit Websites. Versprochen.

Newsletter Sign-up
Ich nutze keinen externen Anbieter und speichere und nutze deine Daten ausschließlich, wie in meinen Datenschutzhinweisen beschrieben. Du kannst dich jederzeit wieder abmelden.

Willst du meinen Newsletter?

Verpasse keine neuen Posts oder Freebies. Ich versende max. einen Newsletter im Monat. Kein Spam. Versprochen.

Newsletter Sign-up
Ich speichere und nutze deine Daten ausschließlich wie in meinen Datenschutzhinweisen beschrieben. Du kannst dich jederzeit wieder abmelden.