Checkliste: Wie du deine Webseite DSGVO-konform anpasst

Ab 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung. Sie gibt vor, wie personenbezogene Daten verarbeitet und gesichert werden müssen. Bei Verstoß drohen dicke Bußgelder. Es wird also Zeit, dass du deine Webseite entsprechend anpasst.

In diesem Artikel geht es um die To-do’s, die für Webseiten-Betreiber anfallen. Doch die DSGVO bringt noch weitere Pflichten mit sich, z. B. die Erstellung eines Verarbeitungsverzeichnisses oder ggf. die Benennung eines Datenschutzbeauftragten. Diese Punkte werden in diesem Artikel nicht behandelt.

Die folgende Checkliste dient nur zur Orientierung. Ob die Liste für dich und deine Webseite vollständig ist, solltest du durch eine professionelle Rechtsberatung prüfen lassen. Ich bin keine Rechtsberaterin und meine Aussagen entsprechen dem Wissen, welches ich mir in den letzten Wochen angeeignet habe und sind nicht rechtsverbindlich!

Welche Webseiten-Betreiber sind von der DSGVO betroffen?

Alle, die personenbezogene Daten erheben und verarbeiten. Und somit fast jeden Unternehmer der eine Webseite betreibt. Kleine, sogennante Visitenkarten im Web sind genauso betroffen, wie große Webshops.

Auch wenn du Blogger bist und beispielsweise Google Analytics einsetzt, musst du zukünftig die neuen Bestimmungen berücksichtigen.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Einzelangaben, die sich auf eine identifizierbare natürliche Person beziehen, z. B.:

  • Name
  • Kontaktdaten
  • Bankverbindung
  • Foto
  • Positionsdaten
  • IP-Adresse

 

Was ist zukünftig bei der Erfassung von Daten zu beachten?

Grundsätzlich:

  • müssen dir User eine Einwilligung zur Speicherung ihrer Daten erteilen
  • musst du den User genau über die Datenerhebung und -verarbeitung informieren
  • musst du dem User Einsicht gewähren und Berichtigungen und Widerruf nachkommen

Du darfst Daten:

  • nur auf rechtsmäßige Weise erheben und verarbeiten
  • nur für festgelegte, eindeutige und legitime Zwecke sammeln und nutzen
  • nur sparsam erheben: sie sollten auf das notwendige Maß beschränkt sein
  • nur solange wie nötig speichern
  • nur in einer Weise verarbeiten, die eine angemessene Sicherheit gewährleistet und vor unbefugter und unrechtmäßiger Verarbeitung schützt
  • nur noch verwenden, wenn du die Verarbeitung dokumentierst

 

Checkliste: Wie du deine Webseite DSGVO-konform anpasst

 

SSL Verschlüsselung

Wenn deine Seite noch nicht verschlüsselt ist, solltest du das dringend nachholen und sie von http:// auf https:// umstellen. Die SSL-Verschlüsselung ist ab 25. Mai 2018 Pflicht, wenn du mit deiner Webseite personenbezogene Daten erhebst.

Datenschutzerklärung & Impressum

Datenschutzerklärung und Impressum müssen auf deiner Webseite leicht erreichbar sein. Dass heißt, du darfst dem User nur max. 2 Klicks zumuten, um die jeweiligen Seiten aufzurufen. Zudem muss deine Datenschutzerklärung zukünftig den Vorgaben der DSGVO entsprechen. Es gibt Generatoren, die dir bei der Erstellung einer entsprechenden Datenschutzerklärung helfen, wie z. B. den von eRecht24.
Wenn du absolut sicher gehen möchtest, lässt du deine Datenschutzerklärung von einem Anwalt erstellen oder zumindest prüfen.

Beim Impressum ändert sich inhaltlich nichts. Nutze aber die Gelegenheit und überprüfe ob es vollständig ist:

  • Vollständiger Name des Diensteanbieters (ausgeschrieben Vor- und Zuname)
  • Falls vorhanden: Name der Gesellschaft mit Vertretungsberechtigten (in der Regel ist das der Geschäftsführer mit ausgeschriebenem Vor- und Zunamen)
  • Vollständige Anschrift
  • Unmittelbare Kontaktdaten: Telefonnummer, E-Mail-Adresse, Fax
  • Falls vorhanden: Handelsregister, Registergericht
  • Falls vorhanden: Ust-ID
  • Falls behördliche Zulassung erforderlich: Aufsichtsbehörde samt Anschrift
  • Bei reglementierten Berufen: Zuständige Kammer, Berufsbezeichnung, Links zu berufsrechtlichen Regelungen (betrifft u. a. Rechtsanwälte, Steuerberater, Berufe aus dem Gesundheitswesen)

 

AV-Verträge

Du musst mit den Anbietern von Online-Tools oder Plugins, die du nutzt und die personenbezogene Daten erheben, A(D)V-Verträge (Auftrags(Daten)Verarbeitungs-Verträge) abschließen. Das sind zum Beispiel Newsletter-Anbieter (extern oder als Plugin) und dein Webhoster.
Erstell am besten eine Liste sämtlicher Dienste, die du nutzt, und überprüfe ob von diesen personenbezogene Daten erhoben werden. Im Anschluss kannst du dort DSGVO-konforme AV-Vertäge anfragen. Manche sind noch in der Mache, hier ist Geduld gefragt. (Stand Mitte April 2018)

Google Analytics

Die Nutzung von Google Analytics ist weiterhin erlaubt, wenn du folgende Voraussetzungen beachtest:

  • AV-Vertrag mit Google abschließen. Falls du vor langer Zeit schon einen abgeschlossen hast, musst du vermutlich einen neuen abschließen. Das soll ab 25. Mai elektronisch möglich sein.
  • IP Anonymisierung aktivieren.
  • Opt-out Link in der Datenschutzerklärung einrichten (über diesen kann ein Nutzer die Erhebung von Daten via Google Analytics blockieren).

Bei den letzten beiden Punkten hilft dir sicher dein Programmierer. Für die Opt-out-Einrichtung können WordPress-User ein Plugin nutzen: Google Analytics Opt-out

Google Fonts

Viele Webseiten nutzen Google Fonts. Auch Google Fonts erheben personenbezogenen Daten. Nach meinen Informationen arbeitet Google an einer Lösung, das ist aber nur eine wage Information und nicht sicher. Hier bleibt die Entwicklung abzuwarten.
Es gibt eine Lösung, die unabhängig davon funktioniert: Speichere die Schriften lokal auf deinem eigenen Server. Auch hierbei hilft dir bestimmt dein Programmierer.

Newsletter / Kopplungsverbot

Auch unter der DSGVO gilt das double opt-in Prinzip. Dass heißt, du musst dir nach der Newsletter-Anmeldung durch einen User nochmal die Bestätigung einholen, das er den Newsletter abonnieren möchte.

Wie unter AV-Verträge schon erwähnt, schließ mit deinem Anbieter einen AV-Vertrag. Möglicherweise ist der noch in Bearbeitung, frag einfach mal nach.

Deine Webseite konvertiert schlecht?

Dann hol dir jetzt die 6 Schritte-Anleitung für ein nutzerfreundliches Webdesign, das die Usability fördert und hilft, dass deine Angebote genutzt werden.

Zudem gilt das Kopplungsverbot zu beachten: Du kannst ein kostenloses E-Book oder ein sonstiges Freebie nicht mehr an die Registrierung für deinen Newsletter koppeln. Dass heißt, registriert sich jemand um dein Freebie zu erhalten, darfst du die gesammelten Daten nur dazu verwenden, das Feebie zu übermitteln. Du darfst an diese Adressen keinen Newsletter oder sonstige E-Mails schicken.
Hier gibt es ein paar smarte Lösungen, wie z. B. eine Checkbox an der Freebie-Registrierung, die man aktivieren muss und wodurch man auch der Newsletter-Eintragung zustimmt. Oder du gibst dein Freebie zukünftig als Dankeschön für die Anmeldung zum Newsletter heraus.

Link zur Datenschutzerklärung

Das ist keine Pflicht, aber sicher eine vertrauensbildende Maßnahme: Setze an alle Registrierungs- und Abonnement-Möglichkeiten auf deiner Webseite einen Link zur Datenschutzerklärung.
Vor allem auch auf deiner Landingpage! Die ja meist über keine Navigation verfügt.

Kontaktformulare

Bei Kontaktformularen muss der User der Erhebung der Daten zukünftig zustimmen. Das lässt sich über eine Checkbox regeln, die du über das WordPress Plugin WP GDPR Compliance einrichten kannst.

Kommentare

Nutzt du im Blog die Kommentarfunktion, musst du auch hierfür die Zustimmung des Users einholen. Auch das lässt sich über die Checkbox regeln (WP GDPR Compliance).

Löschpflicht

Nach Art. 17 DSGVO musst du zukünftig Daten löschen, wenn:

  • der Erhebungszweck entfallen ist
  • die Einwilligung widerrufen wurde (z. B. Newsletter-Abmeldung)
  • ein Widerspruch des Nutzers erfolgt und keine gesetzlichen Speicherpflichten bestehen (Steuern/Buchhaltung)

Achtung: Nicht alle Newsletter-Tools löschen die Daten nach Newsletter-Abmeldung! Ich nutze beispielsweise Active Campaign, dort muss ich die Daten nach Abmeldung händisch löschen.

Cookies

Hier ergeben sich momentan keine Änderungen. Cookies werden durch die ePrivacy-Verordnung geregelt. Diese kommt voraussichtlich erst 2019.

Bestimmungen, die schon gelten, aber teils noch nicht beachtet werden

 

Urheberrechte

Das ist ein alter Hut, ich möchte es aber trotzdem nochmal erwähnen: Nutze keine Bilder aus der Google-Suche! Verwende eigenes Bildmaterial oder erwirb Lizenzen für Bilder und erwähne immer den Urheber! In Deutschland ist das Pflicht, auch wenn du lizenzfreie Bilder einsetzt. Idealerweise gehört die Benennung des Urhebers sogar direkt am Bild.
Auch wenn du auf deiner Webseite Musik abspielst oder Texte zitierst, hab immer die Urheberrechte im Blick.

Social Media Plugins

Share- und Like-Buttons von Facebook & Co. dürfen schon jetzt nicht mehr verwendet werden, da sie personenbezogene Daten an die jeweiligen Netzwerke übertragen. Diese solltest du also schon jetzt von deiner Webseite entfernen. Es gibt ein alternatives Plugin, mit dem sich Share-Button zu sozialen Netzwerken einrichten lassen und welches nach eigenen Angaben DGCVO-konform ist: Shariff Wrapper

Fazit

Dank DSGVO müssen wir viele To-do’s abarbeiten, doch letztendlich schützt die neue Verordnung unsere Daten. Und die sind ein wertvolles Gut in unserer heutigen Zeit. Wenn du deine Webseite DSGVO-konform anpasst, hast du nichts zu befürchten. Ganz im Gegenteil, letztendlich fördern die Maßnahmen auch das Vertrauen deiner User.
Abschließend nochmal der Hinweis: Diese Checkliste dient nur zur Orientierung, sie ist vermutlich nicht vollständig und nicht rechtsverbindlich! Lass dich von einem Anwalt beraten oder zumindest deine Anpassungen überprüfen.

Happy working
Goldmarie a.k.a. Su Wiemer

Susanne Wiemer
Hola, ich bin Goldmarie a.k.a. Su Wiemer und ich zeige dir, wie du einen Online-Auftritt gestaltest, der deine Wunschkunden magisch anzieht und sie in Kunden umwandelt – Design matters!

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.