Mit diesen Schritten passt du deine Webseite an die DSGVO an

 

Ab dem 25. Mai 2018 gilt die neue Datenschutzgrundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR), auch in Deutschland. Das bringt so einige Änderungen mit sich und stellt auch dich als Webseitenbetreiber vielleicht vor eine größere Herausforderung. Um dir einen Überblick zu verschaffen, habe ich an dieser Stelle einige Antworten auf wichtige Fragen zusammengefasst.

ACHTUNG: Dieser Artikel ist KEINE Rechtsberatung, sondern beinhaltet lediglich eine Zusammenfassung meiner eigenen Recherchen. Ich bin weder Jurist noch Datenschutz-Experte. Dementsprechend übernehme ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung. Um sicherzugehen, kontaktiere bitte einen Anwalt, der sich auf Datenschutz spezialisiert hat.

 

Was ist die DSGVO und warum ist das für mich wichtig?

Die Datenschutzgrundverordnung (DSGVO) ist die EU-weite Verordnung über den Umgang mit personenbezogenen Daten. Sie dient dir als Nutzer einer Webseite zur Sicherheit, denn dank dieser Verordnung erlangst du Kenntnis darüber, welche deiner Daten auf einer Webseite gespeichert und weiterverarbeitet werden und wie du gegebenenfalls dagegen widersprechen kannst.

Als Betreiber einer Webseite musst du deine Nutzer darüber aufklären, welche Daten verarbeitet werden. Du brauchst also eine rechtskonforme Datenschutzerklärung auf deiner Webseite – wie ja auch schon in der Vergangenheit ;-).

Hilfreich ist hierbei z. B. der Generator auf eRecht24 (DSGVO-konform derzeit nur in der Premium-Version) oder der Datenschutz-Generator von Rechtsanwalt Dr. Schwenke.

 

Worauf musst du also achten?

SSL-Verschlüsselung

Die Daten müssen verschlüsselt übertragen werden. Du benötigst also ein SSL-Zertifikat und musst deine Webseite auf https: umstellen.

 

Cookies

Bestimmt sind dir schon öfters diese Banner, die auf fast jeder Webseite aufploppen und dich über die Nutzung von Cookies informieren, aufgefallen. Cookies sind Datenpakete, die zwischen Webbrowser und Webserver ausgetauscht werden. Sie werden als Textdateien auf dem Computer des Webseitenbesuchers gespeichert und enthalten Informationen zur Identifikation des Nutzers, um ihn bei einem erneuten Besuch deiner Webseite wiederzuerkennen. Häufig kommen sie z. B. in Online-Shops vor, wo Informationen über den Warenkorb gespeichert werden, oder als Tracking-Cookies von Google Analytics usw.
Funktionale – technisch notwendige – Cookies sind zum Betrieb der Webseite erforderlich (z. B. Speichern von Login-Daten oder Sprachauswahl. Diese Cookies werden beim Schließen des Browsers gelöscht.) und dürfen ohne vorherige Zustimmung gesetzt werden. Nicht funktionale Cookies bedürfen nach der EU-Cookie-Richtlinie jedoch eine Zustimmung (Opt-In).
Du musst also auf deiner Webseite auf die Nutzung von Cookies hinweisen. Am besten bindest du ebenfalls ein Cookie-Banner ein. Ein Hinweis sollte sich dazu in deiner Datenschutzerklärung finden.

Hilfreiche Plugins sind: Cookie Notice (zuletzt aktualisiert 04/2018) oder WP Cookie Choice (ungetestet mit der aktuellen WordPress-Version)

Eine genaue Regelung wird hierzu vermutlich erst die ePrivacy treffen, die voraussichtlich 2019 folgt.

 

Kontaktformular und Kommentarfunktion

Auch Kontaktformulare von Contact Form 7 oder Gravity Forms und die Kommentarfunktion auf deiner Webseite musst du im Zuge der DSGVO rechtsgültig absichern. Dazu kannst du das Plugin WP GDPR Compliance nutzen. Unter deinem Formular erscheint dann ein zusätzlicher Hinweis:
„Mit der Nutzung dieses Formulars erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Webseite einverstanden.“
Der Nutzer wird also aufgefordert, indem er das Häkchen in das entsprechende Kästchen setzt, aktiv seine Einwilligung zur Übermittlung der Daten zu erteilen.
Willst du außerdem, dass deine Leser die Kommentare abonnieren können (also: deine Besucher bekommen eine automatische E-Mail, wenn es einen neuen Kommentar gibt), musst du auch hier das Double-Opt-In-Verfahren anwenden. Ein geeignetes Plugin ist Subscribe to Double-Opt-In Comments. Hier solltest du abwägen, inwieweit die Funktion auf deiner Webseite überhaupt genutzt wird und das Abonnieren von Kommentaren gegebenenfalls einfach deaktivieren.

 

Drittanbieter

Dieser Teil der DSGVO wird etwas schwieriger und du wirst vermutlich etwas mehr Zeit benötigen, um dich damit auseinanderzusetzen, mit wem du eigentlich alles wissentlich oder unwissentlich zusammenarbeitest.

 

Newsletter-Versanddienstleister

Zunächst einmal wirst auch du als Autor wahrscheinlich einen Newsletter anbieten. Da hierbei zumindest die E-Mail-Adresse des Nutzers erhoben wird, musst du dich auch damit beschäftigen.
Bereits jetzt muss dein Leser seine ausdrückliche Zustimmung erteilen, dass du E-Mails an seine Adresse versenden darfst. Das geschieht in der Regel durch das so genannte Douple Opt-In-Verfahren, das jetzt bereits Standard sein sollte! Der Leser trägt dabei seine E-Mail-Adresse ein und erhält daraufhin eine E-Mail, in der er nochmals aktiv per Klick auf einen Link bestätigt, dass er sich zu deinem Newsletter anmelden möchte.
Es ändert sich somit hier nicht allzu viel. Ich empfehle aber, in deinem Anmeldeformular zu vermerken, wohin die Daten übertragen werden und für weitere Informationen mit einem Link auf deine Datenschutzerklärung zu verweisen.
Darüber hinaus solltest du mit dem Anbieter, den du nutzt, einen Vertrag zur Auftragsdatenverarbeitung abschließen. In meinem Fall ist das MailChimp. Das Data Progressing Addendum kannst du ausdrucken, unterschreiben und wieder einscannen. Dann schicke es per Mail an legal@mailchimp.com.

 

Freebies

In der DSGVO wird darüber hinaus vom Kopplungsverbot gesprochen. Du darfst also keine Daten sammeln, die nicht der Erfüllung des eigentlichen Zwecks dienen. Ein E-Book beispielsweise nur gegen die Herausgabe einer E-Mailadresse abzugeben, würde dem Koppelungsverbot zuwiderhandeln.

 

Webhoster

Auch mit deinem Webhoster solltest du ein entsprechendes Abkommen zur Auftragsdatenverarbeitung unterzeichnen. Denn sobald ein Besucher deine Webseite „betritt“, werden Daten von deinem Server-Anbieter gespeichert.

Aktuell sind leider noch nicht alle Dienste auf dem neuesten Stand. Frage am besten explizit bei deinem Hoster nach, ob es bereits einen Vertrag gibt, den du mit ihnen abschließen kannst.
Bei all-inkl.com findest du ein entsprechendes Abkommen inzwischen in der Members Area.

 

Plugins

Im Einzelfall musst du selbst prüfen, ob die von dir verwendeten Plugins Daten erheben oder nicht. Eine hilfreiche und sehr umfassende Übersicht, damit du weißt, womit du dich befassen musst, findest du hier.

Antispam Bee

Antispam Bee ist das einzige AntiSpam Plugin, das deutschen Datenschutzbestimmungen genügt. Allerdings solltest du noch eine kleine Einstellung vornehmen: „Öffentliche Spamdatenbank berücksichtigen“ sowie „Kommentare nur in einer bestimmten Sprache zulassen“ musst du deaktivieren.

iThemes Security

Sicherheitsplugins speichern in aller Regel die IP-Adressen deiner Nutzer. Hier gilt es zu klären, ob die Daten auf deinem Server oder dem des Anbieters gespeichert werden. Bei letzterem – dies ist z. B. bei iThemes Security der Fall – musst du einen Vertrag zur Auftragsdatenverarbeitung abschließen!

Backups

Bekannte Plugins sind hierfür BackWPUp oder Updraft Plus. Du solltest beachten, dass personenbezogene Daten, die du auf deiner Webseite speicherst, auch im Backup gespeichert werden. Entsprechend solltest du hier auf Datensicherheit achten. Werden deine Backups auch auf Cloud-Diensten wie z. B. Dropbox gespeichert, bedenke, dass dabei Daten auf fremde Server übertragen werden.

Jetpack

Das Plugin Jetpack wird momentan sehr kritisch gesehen. An einer Lösung, es datenschutzkonform zu verwenden, wird derzeit gearbeitet.

 

Google Analytics

Falls du deine Seite mit Google analysierst, benötigst du unbedingt ein Abkommen zur Datenauftragsverarbeitung mit Google. Außerdem solltest du die Daten anonymisieren lassen (das galt allerdings auch schon vor der DSGVO).
Den Vertrag kannst du downloaden. Unterschreibe auf Seite 2 und 14 und schicke den Vertrag in zweifacher Ausfertigung an:

Contract Administration Department
Google Ireland Ltd
Gordon House
Barrow Street
Dublin 4
Irland

Am besten nutzt du ein geeignetes Plugin, um Google Analytics rechtskonform einzusetzen. Zum Beispiel beim Plugin Google Analytics for WordPress by MonsterInsights kannst du die Anonymisierung der IP-Adressen in den Einstellungen aktivieren. Füge einen entsprechenden Hinweis in deine Datenschutzerklärung ein.

 

Google Fonts

Kritisch sind auch Google Fonts, weil die IP-Adresse des Besuchers übertragen wird. Mit dem Plugin Disable Google Fonts kannst du die Übertragung der IP-Adressen verhindern (aber auch die Fonts nicht mehr nutzen). Allem Anschein nach arbeiten die verantwortlichen Programmierer aber an einem Update im Sinne der Datenschutzkonformität.

 

Social-Buttons

Über Sharing-Buttons für Facebook, Twitter und Co. wird schon seit langem datenschutzrechtlich diskutiert. Bisher ist diesbezüglich noch keine klare Rechtslage gegeben.
Rechtskonform sind diese Sharing-Buttons nur, wenn die Daten des Nutzers erst dann übermittelt werden, wenn er auf den entsprechenden Button geklickt hat (Vorsicht!: die meisten Plugins sammeln z. B. die IP-Adresse bereits, sobald der Nutzer auf deiner Seite landet). Datenschutzkonform ist das Plugin Shariff.

 

Youtube-Videos einbetten

Auch Youtube speichert Cookies, wenn du ein Video auf deiner Webseite einbettest. Wenn du also z. B. deine Buchtrailer oder sonstige Videos rechtskonform auf deiner Webseite einbinden willst, musst du den erweiterten Datenschutzmodus aktivieren:

1. Klicke zunächst auf „Teilen“ und dann auf „Einbetten“
2. Aktiviere das Kästchen „Erweiterten Datenschutzmodus aktivieren“
3. Kopiere den Code und füge ihn auf deiner Webseite ein.

Weise auch hier in deiner Datenschutzerklärung daraufhin, dass du Youtube-Videos einbettest.

 

Weitere Anbieter

Natürlich können noch weitere Drittanbieter ins Spiel kommen, je nachdem, was man auf deiner Webseite findet. Es gilt: Überall, wo Daten erhoben werden, musst du dies in deiner Datenschutzerklärung mit einem Eintrag berücksichtigen. Zur Sicherheit solltest du außerdem entsprechende Verträge zur Auftragsdatenverarbeitung mit den jeweiligen Anbietern abschließen.

 

Verfahrensverzeichnis

Im Zuge der DSGVO bist du außerdem verpflichtet, ein Verfahrensverzeichnis zu führen. Darin werden alle „Verfahren“ aufgelistet, bei denen personenbezogene Daten erfasst oder verarbeitet werden. Theoretisch gibt es im Artikel 30 der DSGVO die Ausnahme, dass nur Unternehmen ab 250 Mitarbeitern ein Verfahrensverzeichnis erstellen müssen. Liest man aber zu Ende, stellt sich heraus, dass jede Verarbeitung, die nicht nur gelegentlich durchgeführt wird, ins Verfahrensverzeichnis aufgenommen werden muss. Somit ist die Pflicht wohl für die meisten gegeben.

Den Inhalt des Verfahrensverzeichnisses regelt Artikel 30 der DSGVO:

1. Name und Kontakt des Verantwortlichen
2. Zweck der Verarbeitung
3. Welche Personengruppen und welche Kategorien von Daten sind betroffen?
4. Wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)
5. Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert)?
6. Vorgesehene Löschfristen der Daten (soweit möglich)
7. allgemeine Beschreibung der technischen und organisatorischen Sicherheit der Daten gemäß Artikel 32 (soweit möglich)

Es genügt ein einfaches Excel- oder Word-Dokument, in dem du die nötigen Angaben erfasst.

Wichtig:

Alle Arten, wo und wie personenbezogene Daten verarbeitet werden, müssen durch einen Eintrag in deiner Datenschutzerklärung zu finden sein!

Du musst den Nutzer vor Aufnahme der Verarbeitung informieren, was du mit seinen Daten machst, sofern du die Daten direkt bei ihm erhebst. Falls du deine Datenschutzerklärung mithilfe eines Generators erstellst, achte darauf, dass die kompletten Inhalte der Informationspflicht (Artikel 13 und 14 DSGVO) abgebildet werden. Ergänze oder ändere die Inhalte so ab, dass sie für dich entsprechend passen und vollständig sind!

 

Hier kannst du dir das PDF downloaden: DSGVO – Checkliste fuer deine Webseite

 

(Stand 1. Mai 2018)