DSGVO – das Wichtigste zusammengefasst

dsgvo-handlungsbedarf

Seit dem 25.Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Bereits lange Zeit zuvor wurde Panik verbreitet. So extrem, dass einige (kleine) Websites und Blogs sich vorläufig aus dem www verabschiedet haben. Vielen bereitet das Thema EU-Datenschutzgrundverordnung (DSGVO) nach wie vor Kopfzerbrechen, da unklar ist was genau und in welchem Umfang zu tun ist.

Wichtige Information vorab: Datenschutz ist ein heikles Thema. Die Inhalte des Beitrags sind recherchiert und nach meinem Verständnis zusammengefasst. Die Zusammenfassung stellt keine Rechtsberatung dar und erhebt keinen Anspruch auf Vollständigkeit und Richtigkeit. Wer 100% sicher gehen möchte, kommt an einem Datenschutzexperten nicht vorbei.

DSGVO - Was hat sich geändert?

Im Grunde genommen hat sich nicht viel geändert. Themen wie das SSL-Zertifikat und der Cookie-Hinweis, die vor dem 25.05.2018 noch optional waren, sind jetzt Pflicht. Die gravierendste Änderung, die wohl den meisten Bauchschmerzen bereitet, sind die möglichen Bußgelder, die um ein Vielfaches teurer geworden sind. Vor Inkrafttreten der DSGVO lag das maximale Bußgeld bei 300.000 €. In Art. 83 DSGVO sind die möglichen Bußgelder definiert. Maximal 20 Millionen € oder 4% des gesamten Jahresumsatzes des vorausgegangenen Geschäftsjahres können verhängt werden.

DSGVO - Was gehört in die Datenschutzerklärung?

Es gibt keine allgemeingültige Datenschutzerklärung, die via copy & paste auf jeder Website eingebunden werden kann. Es hängt immer von der individuellen Website und den eingesetzten Diensten, Formularen und Tools ab. Allgemein beginnt die Datenschutzerklärung mit dem Geltungsbereich, der über die Art, den Umfang und die Zwecke der Erhebung und Verwendung personenbezogener Daten aufklärt. An dieser Stelle ist auch der verantwortliche Anbieter zu nennen. Danach folgt der „individuelle Teil“, hier wird aufgelistet, wann und wofür Daten erhoben werden, welche Tracking-Tools und Dienste zum Einsatz kommen und was genau mit den Daten passiert. Ebenfalls Teil der Datenschutzerklärung ist das Widerspruchsrecht und das Recht auf Änderung. Unterm Strich soll das bedeuten, dass der Nutzer jederzeit das Recht auf Auskunft und Einsicht in die erhobenen Daten hat und diese bei Bedarf ändern, sperren oder löschen lassen kann.

DSGVO - Was müssen Sie konkret tun?

Um den Anforderungen der DSGVO folge zu leisten, müssen Sie unter anderem die folgenden Dinge umsetzen:

  1. Verträge zur Auftragsdatenverarbeitung abschließen
  2. SSL-Zertifikat einbinden
  3. Formulare auf der Website überprüfen
  4. Cookie-Hinweis und Opt-Out-Möglichkeit einbinden
  5. Datenschutzerklärung auf der Website integrieren

Verträge zur Auftragsdatenverarbeitung abschließen

Mit jedem externen Dienstleister, der Zugriff auf erhobene, personenbezogene Daten erhält, muss ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. Hierzu gehören beispielsweise der Web-Hoster und Anbieter von Tracking-Tools (z.B. Google Analytics). Der Vertrag seitens des Hosters wird von diesem zur Verfügung gestellt. Der Vertrag von Google kann direkt in Google Analytics abgeschlossen werden. Alle Dienste, Tools und Anbieter, die Daten speichern und ggf. an Dritte übermitteln müssen in der Datenschutzerklärung aufgelistet werden. Hierzu gehören nicht nur Tracking-Anbieter, auch der Einsatz von Google Maps, Google Fonts und Kontaktformularen muss in der Datenschutzerklärung aufgelistet werden.

SSL-Zertifikat einbinden (https)

Websites mit SSL-Zertifikat waren schon vor der DSGVO aus Gründen der Datensicherheit „State of the Art“ und aus SEO-Sicht unumgänglich. Im Browser wurden Seiten ohne oder mit abgelaufenem SSL-Zertifikat rot markiert und es gab einen Hinweis auf die unsichere Verbindung. Sollte bis dato kein SSL-Zertifikat eingebunden sein, muss dies schnellstmöglich beim Website-Hoster angefordert werden.

Darstellung der sicheren Verbindung (via https) im Browser
https-Verbindung-sicher
Darstellung der unsicheren Verbindung (via http) im Browser
unsichere-http-Verbindung

Formulare auf der Website überprüfen

Prinzip der Datenminimierung: es dürfen nur Daten erhoben werden, die auch wirklich notwendig sind. Wenn auf Ihrer Website ein Formular zur Kontaktaufnahme integriert ist, muss darauf geachtet werden, dass die Pflichtfelder zur Bearbeitung der Anfrage passen. Beispielsweise haben Sie ein Formular „Rückrufservice“ für potentielle Kunden eingerichtet, die zurückgerufen werden möchten. Im Normalfall möchte man den Namen wissen, für die Anfrage des Rückrufs ist allerdings nur die Telefonnummer notwendig. Daher sollte der Name kein Pflichtfeld sein. Bei Kontaktformularen muss zudem ein Hinweis auf die Datenverarbeitung eingebunden werden. Auch der Nutzer muss aktiv zustimmen, dass er mit der Datenverarbeitung einverstanden ist.

Beispiel eines datenschutzkonformen Formulars
Kontaktformular von klickyard als Beispiel mit Hinweistext

Cookie-Hinweis und Opt-Out-Möglichkeit einbinden

Werden Cookies eingesetzt (bspw. durch die Verwendung von Google Analytics), muss ein Hinweis erfolgen. Der Websitebesucher muss den Hinweis bestätigen bzw. die Cookies akzeptieren und zusätzlich auf die Datenschutzerklärung für weiterführende Informationen weitergeleitet werden. Dem Websitebesucher muss eine Möglichkeit eingeräumt werden, dem Tracking zu widersprechen. Hierfür wird ein sogenanntes Opt-Out-Cookie verwendet. In nahezu jeder Datenschutzerklärung wird auf das Browser-Plugin verwiesen. Dieses funktioniert allerdings nur für Desktop-PCs und Laptops. Um mobilsurfenden Besuchern ein Opt-Out zu ermöglichen, kann das Plugin Google Analytics Opt-Out in WordPress installiert werden. Das Opt-Out-Cookie ist sozusagen ein „Anti-Tracking-Cookie“ und verhindert, dass das Nutzerverhalten auf der Website beim Besuch erfasst wird. Wenn der Browser-Verlauf gelöscht wird, muss das Opt-Out-Cookie erneut gesetzt werden.

Beispiel eines eingebundenen Google Analytics Opt-Out
Google Analytics Opt-Out-Möglichkeit
Beispiel eines eingebundenen Cookie-Hinweises
Cookie-Hinweis-Beispiel-klickyard

Datenschutzerklärung auf der Website integrieren

Bislang war die Datenschutzerklärung in der Regel im Impressum „versteckt“ eingebunden, mittlerweile ist sie nicht nur aufgrund des Umfangs auf einer eigenen Seite besser aufgehoben. Die Datenschutzerklärung muss gut sichtbar auf der Website eingebunden sein. Dies kann im Footer oder in der Navigation sein. Unter https://datenschutz-generator.de/ können Sie sich Ihre Datenschutzerklärung zusammenstellen. Falls Sie nicht wissen welche Tracking-Tools eingesetzt werden, können Sie dies mit der Google-Chrome Browser-Extension „Ghostery“ herausfinden. Sobald diese Extension installiert ist, erscheint ein kleines „Geist-Icon“ mit einer Ziffer neben der Adresszeile. Wenn man darauf klickt, erhält man die Information, welche Tracking-Tools eingesetzt werden. Wichtig: alle aufgelisteten Tools müssen in der Datenschutzerklärung aufgeführt werden.