DSGVO-Website-Anpassung – Mein Weg

11.04.2018

DSGVO-Website-Anpassung

Dieser Artikel beschäftigt sich mit der DSGVO-Website-Anpassung und ist der erste in einer Artikelserie, der einen kleinen Überblick über die zu erledigenden Dinge gibt.

Die Datenschutz-Grundverordnung, kurz DSGVO, ist das neue Datenschutz-Gesetz der Europäischen Union. Am 25.5.2018 endet die Übergangsfrist zur  Umsetzung aller Bestimmungen. Danach ist es möglich, dass beliebige natürliche oder juristische Personen Beschwerde wegen unzureichender Erfüllung der DSGVO einreichen. Für die Erfüllung aller Anforderungen aus der DSGVO bist du als Selbstständiger, Unternehmer oder Geschäftsführer deines Unternehmens verantwortlich.

Der Datenschutz betrifft das Erheben, Nutzen, und Speichern personenbezogener Daten. Damit das Grundrecht auf informationelle Selbstbestimmung auch in der Informationsgesellschaft als Freiheitsrecht gewahrt wird, begrenzt der Datenschutz die Verarbeitung personenbezogener Daten durch rechtliche Regelungen und technische Maßnahmen.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person:

Zum Beispiel:

  • Name, Familienstand, Geburtsdatum,
  • Adressinformationen,
  • Kontodaten,
  • Kfz Kennzeichen,
  • Vorstrafen,
  • genetische Daten, Krankendaten,
  • Zeugnisse oder
  • die IP-Adresse beim Zugriff auf bestimmte Internetangebote.

Die DSGVO gilt sowohl für die Speicherung von personenbezogenen Daten auf Papier, als auch für digital gespeicherte Informationen, wie zum Beispiel eine Website.

In dieser Artikelserie geht es ausschließlich um die Auswirkungen der DSGVO auf die Internetangebote und die damit erhobenen Nutzerdaten.

Ich beschreibe in den Artikeln die Maßnahmen, die ich selbst zur Umsetzung an meiner eigenen Webseite vornehme. Die Beiträge erheben weder einen Anspruch auf Vollständigkeit noch auf sachliche Richtigkeit, sie dokumentieren lediglich meine persönlichen Maßnahmen zur Umsetzung der Datenschutz-Grundverordnung.

Unter welchen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden?

Nach der neuen DSGVO gibt es nur zwei Möglichkeiten, nach denen personenbezogene Daten erhoben, gespeichert, verändert, verarbeitet, übermittelt oder in einer sonstigen Weise genutzt werden:

  1. Es ist durch ein Gesetz erlaubt.
  2. Die betroffene Person hat eingewilligt.

Auch Privatpersonen müssen das Datenschutzrecht beachten, wenn die Datenverarbeitung nicht ausschließlich für persönliche oder familiäre Zwecke erfolgt, zum Beispiel wenn Daten über andere Personen im Internet veröffentlicht werden.

Was bedeutet die Einwilligung in die Verarbeitung personenbezogener Daten?

Möchte eine öffentliche oder eine private Stelle personenbezogene Daten verarbeiten, obwohl es kein Gesetz gibt, das dies erlaubt, ist die Datenverarbeitung nur zulässig, wenn eine Einwilligung der betroffenen Person eingeholt wird.

Unter  Einwilligung versteht man in diesem Fall, dass derjenige, der die Daten einer Person verarbeiten möchte, zunächst das Einverständnis für diese Verarbeitung einholen muss. Erst wenn die Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat, kann mit der Verarbeitung begonnen werden.

Gesetzestext gefällig?

Hier finden Sie den Gesetzestext der Datenschutzgrundverordnung und die deutsche Umsatzung, das Bundesdatenschutzgesetzhttps://dsgvo-gesetz.de

 

Was muss ich als Betreiber bei der DSGVO-Website-Anpassung beachten?

Wenn du ein Impressum hast, dass du in den vergangenen Jahren an die Anforderungen des deutschen Telemediengesetzes angepasst hast, bist du auf der sicheren Seite. Hier muss nichts geändert werden. Dafür gibt es nach wie vor die kostenfreien Aggregatoren auf e-Recht24.de und anderswo.

Ich hab meine Webseite und die meiner Kunden mit WordPress erstellt. Die Anforderungen an die Websites gelten auch für Webseiten, die mit anderen Systemen erstellt wurden. Die technischen  Informationen zur Anpassung beziehen sich ausschließlich auf WordPress Websites – darauf weise ich in den entsprechenden Beiträgen noch mal hin.

Die Datenschutzerklärung

Jede Webseite benötigt eine Datenschutzerklärung, in der aufgeführt wird welche Daten wohin übertragen werden und wie ein Nutzer gegebenenfalls der Datenübertragung widersprechen kann. Eine Anforderung an die neue Datenschutzerklärung ist, dass sie leicht verständlich sein muss.

Da es sich hier um rechtsrelevante Texte handelt, empfehle ich jedem Website Besitzer, sich einen Experten für die Erstellung dieser Texte zu suchen.

Das kann zum Beispiel ein Fachanwalt oder die Plattform e-Recht24.de sein, die ihren zahlenden Mitgliedern einen Generator für die Erstellung der Texte und neuerdings ein Plugin zur automatischen Aktualisierung zur Verfügung stellen. Im Formular werden alle Informationen abgefragt. Diejenigen Werkzeuge, die du auf deiner Website verwendest, markierst du und daraus wird dann deine Datenschutzerklärung erstellt. Allerdings haftet die Plattform e-Recht24.de nicht für eventuell fehlerhafte Datenschutzerklärungen, was bei einer individuell erstellten Datenschutzerklärung vom Fachanwalt möglicherweise anders ist.

Deine Webseite benötigt zusätzlich zur Informationsseite „Impressum“ eine Seite „Datenschutzerklärung“, die die neuen Texte enthält. Beide Seiten sollten jeweils einen einzelnen Link im Menü erhalten. Diese Anforderung ist nicht neu und sollte auf jeder Website vorhanden sein.

Drittanbieter

Die Datenschutzerklärung muss zusätzliche Informationen enthalten, die durch Prozesse oder Funktionen eurer Webseite an Dritte weitergegeben werden. Diese „Dritten“ werden in der Datenschutzerklärung benannt undmit den Anbietern  gegebenenfalls Auftragsdatenverarbeitungsverträge abgeschlossen.

Beispiele sind die E-Mail Anbieter wie Klick-Tipp.com, Active Campaign, GetResponse oder Kontaktformulare, Kalender und weitere Services.

Für den Versand von Newslettern und Freebies gelten neue Regeln. Zum Beispiel darf ein Nutzer, der sich für ein Freebie anmeldet nicht automatisch für den Newsletter eingetragen werden (Kopplungsverbot). In der Beschreibung muss geklärt werden, welche Informationen der Nutzer wie oft bekommt. Gleiche Bestimmungen gelten für die Anmeldung zum Newsletter: auch hier muss erklärt werden, wie oft Informationen zu welchen Themen versendet werden. Zusätzlich muss darauf hingewiesen werden, dass das Abo jederzeit beenden werden kann. Doch dazu später mehr.

Hier finden Sie meine Liste zur DSGVO-Website-Anpassung:

  • SSL-Verschlüsselung, Sicherheit der Website
  • Datenschutzerklärung
  • Kontaktformular
  • Kommentarfunktion, Antispam-Plugins
  • Google-Webfonts-API, Schriften per CSS einbinden
  • Sichere „Teilen“-Buttons
  • Newsletter-Formular, ADV mit Anbieter
  • Einbettung von Videos
  • Google-Analytics: rechtssichere Einbindung + Auftragsdatenverarbeitungsvertrag (ADV), Plugin zur Vermeidung vom Tracking
  • Facebook-Pixel (evtl. Plugin zur Vermeidung vom Tracking)
  • Tool zur Überprüfung, welche Daten von der Website gesendet werden
  • Überprüfung der verwendeten Themes und Plugins, ggf. ADV
  • Divi-Theme (Realisierungstermin der Anpassungen bis jetzt unklar)
  • Prüfung, ob Youcanbookme.com nutzbar ist – Alternative?

 

Ich bin mir sicher, dass ich im Moment noch nicht alle Anpassungen bedacht habe und werde deshalb die Liste ggf. erweitern. Die Reihenfolge der folgenen Beiträge  muss nicht unbedingt mit der hier angegebenen übereinstimmen, das hängt davon ab, wie weit die einzelnen Anbieter die Voraussetzungen für die Anpassung zu Verfügung stellen.

[thrive_leads id='3502']