Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie bringt für Unternehmen und Webseitenbetreiber eine ganze Reihe an Verpflichtungen mit sich.
Viele Website-Betreiber fragen sich, welche Auswirkung die DSGVO ganz konkret auf Firmenwebsite, Blog und Online-Shop hat. In diesem Artikel haben wir dir alle wichtigen Bestimmungen kompakt als DSGVO Website Checkliste zusammengestellt.
Zuerst, was ist die Datenschutz-Grundverordnung (DSGVO)?
Die Datenschutz-Grundverordnung (DSGVO) wurde 2016 von der EU beschlossen, mit dem Ziel ein harmonisiertes Datenschutzrecht in der EU herbeizuführen. Damit ist sie für alle EU-Mitgliedstaaten rechtlich bindend.
Die DSGVO räumt dem nationalen Gesetzgeber aber gewisse Ausgestaltungsspielräume ein. Die exakte rechtliche Ausgestaltung der DSGVO wurden in Österreich im Datenschutz-Anpassungsgesetz 2018 festgeschrieben.
Ab wann gilt‘s?
DSGVO und Datenschutz-Anpassungsgesetz 2018 traten am 25. Mai 2018 in Kraft. Bis zu diesem Zeitpunkt solltest du spätestens deine Hausaufgaben gemacht haben und Webseite, Blog oder Web-Shop DSGVO-konform gemacht haben.
Was, wenn nicht DSGVO-konform?
Dann drohen saftige Strafen. Bei besonders schwerwiegenden Verstößen können das Geldbußen von bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 4 % seines gesamten, weltweit erzielten Vorjahresumsatzes sein.
Du musst wissen, dass mit Inkrafttreten der DSGVO jede natürliche Person das Recht erhält, eine Beschwerde bei der Datenschutzbehörde einzureichen und gegen alle an einer Datenverarbeitung beteiligten Verantwortlichen rechtlich vorzugehen.
Wichtiger Hinweis!
Dieser Artikel stellt keine Rechtsberatung dar. Wir haben uns mit den Bestimmungen der DSGVO zwar intensiv beschäftigt, sind jedoch weder Juristen noch Datenschutzexperten. Auch wenn wir mit großer Sorgfalt an dieses Thema herangetreten sind, übernehmen wir keinerlei Gewähr hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für allfällige Rechtsfolgen. Im Speziellen wende dich bitte an einen Fachanwalt.
DSGVO Website Checkliste: Mit diesen 10 Punkten wirst du DSGVO-konform
Folge dem 1. Gebot: Privacy by Design / Privacy by Default
Privacy by Design / Privacy by Default ist das Grundprinzip der DSGVO.
Es reflektiert die Verhältnismäßigkeit der Datenverarbeitung. Gespeichert werden dürfen nur jene personenbezogenen Daten, die für die jeweilige Datenverarbeitungstätigkeit notwendig sind.
2. Führe ein Verarbeitungsverzeichnis
Führen ein schriftliches oder elektronisches Verarbeitungsverzeichnis, indem du festhältst:
Wer, was, warum, wie, wo und wie lange erfasst?
Dies gilt nach Einschätzung von Rechtsexperten auch für Betreiber von kleineren Websites & für Blogger.
An die Form gibt es kaum Vorgaben vom Gesetzgeber, viel mehr an den Inhalt.
Die WKO liefert hier eine Vorlage, die du dir kostenlos herunterladen kannst.
Hier die WKO Muster-Verarbeitungsverzeichnis herunterladen.
3. Erstelle eine Datenschutzerklärung
Erfülle die datenschutzrechtliche Informationspflicht für Webseiten, indem du eine gut sichtbare und auffindbare Datenschutzerklärung auf deiner Website inkludierst.
Du kannst das über eine eigene Seite lösen, die z.B. über einen Link in der Fußzeile (Footer) erreichbar ist.
Auch hier liefert die WKO einen Muster-Datenschutzerklärung. Eine individuelle Anpassung und Ausgestaltung ist zwingend erforderlich.
4. Spätestens jetzt: Mach den Cookie-Hinweis Banner
Wer bislang auf den Cookie-Hinweis Banner verzichtet hat, muss diesen spätestens mit Wirksamkeit der DSGVO liefern.
Die bisherige Rechtslage war, den Website Besucher darüber zu informieren, dass bei weiterem Besuch der Webseite von der Einwilligung des Nutzers in die Verwendung von Cookies ausgegangen wird.
Einige Experten sind der Meinung, dass diese Information auch nach dem 25. Mai 2018 ausreichend ist.
Die komplett risikolose Variante ist: Hinweis & Information mit Einwilligungsmöglichkeit (z.B. Button: „Ja, das ist ok für mich“) und Link zur Datenschutzerklärung. Textbeispiel:
„Diese Seite verwendet Cookies, um dir das bestmögliche Erlebnis zu gewährleisten. Surfst du weiterhin auf unserer Seite, stimmst du unserer Cookie-Nutzung und unserer Datenschutzrichtlinie [Link] zu.„
5. Formulare um aktive Einwilligung erweitern
Die meisten Websites verwenden Formulare, z.B. Kontaktformulare. Werden über solche Formulare personenbezogene Daten, wie z.B. Vor- und Nachname abgefragt, so muss der Benutzer vor dem Absenden des Formulars aktiv einwilligen, dass seine Daten zur Beantwortung der Anfrage erhoben werden.
Am einfachsten umzusetzen ist diese Bestimmung, indem du die bestehenden Kontaktformulare um eine Checkbox zum aktiven Anhaken (Opt-In) erweiterst. Textbeispiel:
„Ja, ich bin damit einverstanden, dass meine Daten im Zuge dieser Anfrage übermittelt und verarbeitet werden.“
6. SSL-Verschlüsselung installieren
Eigentlich schon seit geraumer Zeit unumgänglich. Zudem auch für Google ein wichtiger Ranking-Faktor.
Mit einer SSL-Verschlüsselung durch ein SSL-Zertifikat machst du aus http:// dann https:// und stellst damit sicher, dass Benutzerdaten, z.B. beim Absenden einer Kontaktanfrage, sicher und verschlüsselt übertragen werden.
7. Social Sharing Icons DSGVO-konform machen
Du kennst sicherlich die sehr beliebten Social Media Icons von z.B. Facebook, Twitter und anderen sozialen Netzwerken – oftmals am Ende von Blogbeiträgen oder Webseiten?
Leider sind diese Social Sharing Icons alles andere datenschutzfreundlich. Sie übertragen alleine schon beim Aufrufen der Webseite Nutzerdaten an das jeweilige Netzwerk. Gemäß DSGVO dürfen die Nutzerdaten nämlich erst mit einem Klick auf das jeweilige Icon übertragen werden. Plugin-Empfehlung für WordPress:
Wenn du, so wie wir, WordPress verwendest, schafft das Plugin Shariff Wrapper Abhilfe.
8. Website-Software und Zusatzsoftware überprüfen
Wirf einen Blick darauf, ob deine Website-Software und zusätzlich verwendete Erweiterungen DSGVO-konform sind.
Wenn auch du, so wie fast 30 Prozent aller Websites weltweit, WordPress im Einsatz hast, kannst du davon ausgehen, dass bis zum Inkrafttreten der DSGVO am 25. Mai alles rechtskonform gelöst ist.
Das betrifft allerdings nur den Kern von WordPress, nicht aber verwendete Themes, Plugins oder sonstige Erweiterungen. Diese musst du im Einzelfall prüfen.
9. Wenn du Newsletter verwendest, beachte Folgendes:
Zuallererst einmal ist es ganz wichtig zu überprüfen, ob die verwendete Newsletter-Software den Richtlinien zur DSGVO entsprechen. Du musst sicherstellen, dass du ein datenschutzkonformes Newsletter-System im Einsatz hast.
Wenn du z.B. MailChimp verwendest hast du Glück gehabt. MailChimp hat bereits 2016 das „Privacy-Shield“ Datenschutzabkommen zwischen USA und der EU unterzeichnet und entspricht damit grundsätzlich den Bestimmungen der DSGVO.
MailChimp: Features
9.1. Auf Double-Opt In umstellen
Wichtig ist, dass du all deine MailChimp Listen auf Double-Opt In umstellst. Denn, seit Oktober 2017 hat MailChimp automatisch alle Konten auf Single Opt-In umgestellt, was aus Sicht von Datenschutz & DSGVO ein absolutes No-Go ist.
MailChimp_Double_Opt_In_1
MailChimp: Schritt 2
MailChimp_Double_Opt_In_web2
9.2. Über Newsletter-Service informieren
Darüber hinaus sind deine Website-Besucher im Newsletter-Anmeldebereich ausführlicher als bisher über deinen Newsletter-Service zu informieren.
Es empfiehlt sich ein Newsletter Hinweistext, der folgende Kriterien erfüllen muss:
- Ausdrückliche (= aktive und wissentliche) Einwilligung
- Informativ – über was informiert der Newsletter
- Freiwillig & Widerruf
- Protokollierung & Double-Opt-In
Beispieltext:
Unser Newsletter informiert Sie über Online-Marketing, SEO & SEA und Social Media sowie über aktuelle Entwicklungen in unserer Agentur. Der Newsletter wird ungefähr 1 Mal pro Quartal ausgesendet, ist kostenlos und kann jederzeit abgemeldet werden. Mehr Infos in unserer Datenschutzerklärung [LINK]
9.3. Vertrag mit MailChimp abschließen – Data Processing Addendum
Du musst sicherstellen, dass E-Mail-Marketing Anbieter wie MailChimp die Daten in deinem Konto schützen und für keine anderen, als die Auftragszwecke zu nutzen.
Dies erreichst du indem du mit MailChimp einen Vertrag schließt und du dir die datenschutzkonforme Verwendung deiner Daten individuell von MailChimp bestätigen lässt.
9.4. In Datenschutzerklärung informieren
Informiere die Besucher deiner Website idealerweise in einem eigenen Newsletter-Absatz in der Datenschutzerklärung über so Dinge wie aktive Einwilligungen, verwendetes Newsletter-System, Inhalte, Datenerhebung, Protokollierung & Analyse sowie Kündigung.
Für weitere Informationen kannst du diesen Link zu MailChimp einfügen, indem sich detailliertere Informationen befinden.
10. Wenn du Google Analytics im Einsatz hast, befolge das:
Um Google Analytics datenschutzkonform zu nutzen, musst du diese 4 Punkte unbedingt beherzigen:
10.1. In Datenschutzerklärung hinweisen
Wenn du externe Webanalyse-Tools wie z.B. Google Analytics im Einsatz hast und damit personenbezogene Daten erhebst, musst du in der Datenschutzerklärung verpflichtend darauf hinweisen.
10.2. Ermögliche die Datenerfassung zu deaktivieren
Biete deinen Besuchern die Möglichkeit, sich von der Datenerfassung auszunehmen. Dazu musst du jedem deiner Benutzer ein Recht auf Widerspruch einräumen.
Wie lässt sich das praktisch umsetzen?
Zwei Möglichkeiten sind dabei zu empfehlen:
1. Gib deinem Website-Besucher eine Anleitung zur Installation eines Browser-Addons, welches die Datenerhebung für alle gängigen Browser durch Analytics unterbindet.
2. Setze ein sogenanntes Opt-Out Cookie, z.B. mit dem Hinweistext „Erfassung von Daten durch Google Analytics für diese Webseite deaktivieren“. Durch das Anklicken dieses Links, wird dieser Benutzer vom Google Analytics Tracking ausgenommen.
Beide Möglichkeiten stellst du sinnvollerweise in der Datenschutzerklärung dar.WordPress Plugin Empfehlung:
WORDPRESS PLUGIN EMPFEHLUNG – Das Opt-Out kann man über das Plugin Google Analytics Opt-Out lösen
10.3. IP-Adressen anonymisieren
Damit die IP-Adresse nicht 1:1 bestimmten Nutzern zugewiesen werden kann, muss die IP-Adresse deiner Website-Besucher anonymisiert werden.
Erweitere den Google Analytics Code um das Snippet „anonymizeIP“. Diese Erweiterung kürzt die IP-Adressen vor dem Speichern um die letzten 8 Bit und anonymisiert sie dadurch.
Je nachdem ob du Google Analytics direkt im Code deiner Webseite, über Plugins oder den Tag Managereingebunden hast, ist die Vorgehensweise eine andere. Auch zwischen Google Analytics Universal und Classic besteht ein Unterschied.
10.4. Zusatz zur Datenverarbeitung mit Google abschließen
Schließe mit Google eine Vereinbarung zur Auftragsdatenverarbeitung. Kein Scherz! Dies ist wirklich erforderlich und kann ganz einfach über dein Google Analytics Konto gemacht werden.
Zusatz zur Datenverarbeitung so in Analytics abschließen:
Google_Zustimmung_Datenschutzverarbeitung_web
Geschafft! Wie du siehst gibt es einiges zu berücksichtigen und auch einiges zu tun, um deine Webseite, deinen Blog oder deinen Online-Shop DSGVO-konform zu machen.
Wenn du diese Checkliste hier in diesem Artikel berücksichtigst, bist du auf einem guten Weg, datenschutzkonform zu werden.
Ich freue mich über deine Ergänzungen, Anregungen und Fragen hier in den Kommentarfeldern.
Markus Kristandl
