EU-Datenschutz-Grundverordnung (DSGVO): Was nun?
Von erstaunt fragenden Blicken („Und was hat das mit mir zu tun?“) bis zu heilloser Panik („Was muss ich denn jetzt machen?“) war alles dabei, wenn in Gesprächsrunden das Wort „Datenschutz-Grundverordnung“ fiel. Am 25. Mai in Kraft getreten, ging die DSGVO der EU an vielen spurlos vorüber, andere ließen auf ihrer Webseite keinen Stein auf dem anderen. Dabei ist sie im Grunde ja etwas völlig Selbstverständliches…
Wer mir auf meiner Webseite persönliche Daten hinterlässt, muss darauf vertrauen können, dass ich verantwortungsbewusst und sorgsam damit umgehe. Also nicht gleich dem Nachbarn davon erzähle. So weit, so einleuchtend. Was aber selbst der korrekteste Webseiten-Betreiber oft nicht bedenkt, ist die Technik, die er nutzt. Denn diese führt mitunter ein „Eigenleben“.
Beispiel Youtube: Besuche ich eine Seite, auf der Videos eingebettet sind, werden persönliche Daten von mir (IP-Adresse, Benutzerverhalten, …) ungefragt an Google übertragen – selbst dann, wenn ich mir das Youtube-Video gar nicht ansehe! Dasselbe gilt übrigens auch für die fast überall präsenten Share-Buttons, die ein Teilen auf den verschiedensten sozialen Plattformen ermöglichen, oder bei Schriftarten, die von Google-Servern geladen werden (was sehr häufig vorkommt).
Was muss ich nun wirklich auf meiner Webseite tun, um die DSGVO einzuhalten?
Vorneweg: Wir sind keine Anwälte und können hier auch keine Rechtsberatung ersetzen. Aber es gibt ein paar wesentliche Eckpunkte der DSGVO, die jeder Website-Betreiber einhalten sollte.
Datenschutz-Erklärung
Auch wenn es keiner liest: JEDE Webseite braucht eine neue, textlich an die DSGVO angepasste Datenschutzerklärung, die Besucher klar und transparent über Zweck, Umfang und die mögliche Weitergabe ihrer gespeicherten Daten aufklärt. Unsere Kunden profitieren dabei von den Leistungen der deutschen Internet-Rechtsexperten von eRecht24.
SSL-Verschlüsselung
Persönliche Daten müssen immer verschlüsselt übermittelt werden, damit niemand sie auf technischem Weg auslesen kann. Dies erfolgt mittels eines so genannten SSL-Zertifikats, das man am Symbol des Schlosses erkennt (in der Adresszeile des Browsers, unmittelbar vor der Internetadresse). Klickt man auf dieses Symbol, erscheint ein Hinweis auf die sichere Verbindung.
Unser Hoster ALL-INKL.COM bietet ab dem Paket „PrivatPlus“ kostenlose Let’s Encrypt-Zertifikate an. Wichtig: Das Zertifikat alleine reicht nicht, es müssen auch sämtliche Elemente einer Webseite (z. B. Bilder) auf die verschlüsselte Verbindung umgestellt werden (https:// statt http://).
Übrigens: Auch wenn deine Webseite überhaupt keine Daten von deinen Besuchern verlangt, ist ein SSL-Zertifikat unbedingt anzuraten, da es mittlerweile ein bedeutender Faktor für das Google-Ranking ist.
(Kontakt-) Formulare
Die Frage ist berechtigt: Brauche ich bei meinen Formularen wirklich ein Kontrollkästchen, mit dem der Absender einer Nachricht die Datenschutzbestimmungen aktiv anerkennt? Schließlich ist es doch logisch, dass meine Daten übermittelt werden, damit ich überhaupt eine Antwort bekommen kann. Andererseits ist es nur wenig Aufwand, eine entsprechende Checkbox zu installieren. Und falls die übermittelten Daten zusätzlich in einer Datenbank gespeichert werden, ist diese sowieso Pflicht.
Newsletter
Es galt schon bisher, dass als Pflichtfeld nur die E-Mail-Adresse abgefragt werden darf (Prinzip der Datensparsamkeit). Der neue Abonnent muss darauf hingewiesen werden, welche Inhalte (News, Angebote, …) er in welchem Intervall (wöchentlich, monatlich, …) bekommt. Die Anmeldung hat per Double-OptIn zu erfolgen (Anmeldemail mit Link zur Bestätigung der E-Mail-Adresse), wobei diese werbefrei sein und die Bestätigung gespeichert werden muss.
Jeder Newsletter braucht in Folge (auch das war schon vor der DSGVO Pflicht) einen Abmeldelink und ein gültiges Impressum. Der Umgang mit den Empfänger-Daten muss Eingang in die Datenschutzerklärung finden. Wird zum Versand ein Dienstleister beauftragt, muss mit diesem ein Auftragsverarbeitungsvertrag geschlossen werden. Das betrifft übrigens jeden externen Dienstleister, der per Auftrag Daten verarbeitet, also auch den Hoster oder beispielsweise Google, wenn Analytics genutzt wird.
Kommentare und Bewertungen
Kommentare unter Blogbeiträgen oder Produktbewertungen in Shops müssen auch anonym möglich sein. Deshalb dürfen die IP-Adressen der Kommentatoren und Rezensenten nicht gespeichert werden. Bereits gespeicherte sind aus der Datenbank zu löschen.
Soziales & mehr
Wer auf seiner Webseite Besuchern ermöglicht, Inhalte via Klick auf einen Share-Button in den gängigen Sozialen Medien zu teilen, muss ebenfalls für eine gesicherte Übertragung sorgen. Übliche Like-Buttons von Facebook & Co. sind tunlichst zu vermeiden! Über unseren Partner eRecht24 bieten wir hier eine datenschutzkonforme Lösung an.
Einblendungen der Facebook-Timeline oder von Twitter-Posts oder Youtube-Videos sind mit einer Zwei-Klick-Lösung zu versehen. Das bedeutet, dass beim Besuch der Seite noch keine Datenübertragung erfolgt, sondern erst mit bewusster Einwilligung durch Klick auf den entsprechenden Datenschutzhinweis. Außerdem raten wir dazu, Google-Schriftarten auf den lokalen, eigenen Server zu stellen und von dort zu laden.
Cookies
Sie sprießen wie Unkraut aus dem Internet-Rasen: Hinweise auf die Verwendung von Cookies. Dabei gibt es bis dato noch keine rechtsverbindliche Aussage, was genau notwendig ist: die Aufforderung, Cookies zu akzeptieren, die freie Auswahl, welche Cookies zugelassen werden sollen oder der einfache Hinweis in der Datenschutzerklärung. Unser Krümelmonster ist die vielen Cookies jedenfalls leid. Ihm wäre es lieber, die Cookies würden sich verkrümeln…
Fazit
So groß ist der Aufwand in der Regel nicht, um die eigene Webseite datenschutzkonform zu gestalten. Frag uns einfach, wenn du unsicher bist.