Die 10 Basics am Weg zur DSGVO konformen Website
Die DSGVO (EU Datenschutzgrundverordnung) wird bekanntlich ab 25. Mai 2018 voll wirksam. Der in dieser Verordnung geregelte Schutz personenbezogener Daten betrifft nicht nur, aber auch jede Homepage.
Ist Ihre Homepage bereits DSGVO konform?
Wenn Sie das rechtssicher beantworten wollen, führt kein Weg an einer Rechtsberatung oder Datenschutz-Spezialisten vorbei. Für alle anderen, hier meine pragmatische Annäherung an das Thema:
Grundsätzlich geht es um folgende Fragen für eine DSGVO konforme Website:
- Welche personenbezogenen Daten gibt es auf meiner Website und was passiert damit?
Personenbezogene Daten sind nicht nur die offensichtlichen (bei Newsletter und Formularen), sondern auch alle jene, bei denen die IP Adresse mitgespeichert wird (z.B. bei Cookies, Google Analytics).
Um überhaupt persönliche Daten speichern zu dürfen, benötigt man einen guten Grund: zur Vertragserfüllung, eine Einwilligung oder ein „berechtigtes Interesse“. - Wie lange werden die Daten gespeichert?
- Sind meine Formulare korrekt?
keine unnötigen Pflichtfelder, keine voraktivierten Checkboxen, Hinweis zur Datenverwendung, … - Welche Online Marketing Tools, Scripts etc. werden verwendet?
Webanalysetools wie Google Analytics, Facebook Pixel, andere Cookies - Wie werden die Daten geschützt?
- Wer hat Zugriff auf die personenbezogenen Daten?
Brauch ich eine oder mehrere Auftragsdatenvereinbarungen? - Gibt es eine Datenschutzerklärung?
Bevor es zu den Details geht, noch eine Aussage von Věra Jourová (Hüterin des europäischen Datenschutzes. EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung) in der „Zeit Online“ vom 16.5.2018 auf die Frage, wie gerade kleinere Betreiber, Blogger und Vereine alle Kriterien ohne Anwalt umsetzen sollen:
„Ich werde ihnen raten, dass sie sich auf ihren gesunden Menschenverstand verlassen sollen.”,
Věra Jourová – EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung
Meine Empfehlungen für die ersten Schritte am Weg zu einer DSGVO konformen Website gelten für „normale“ Websites von EPUs / KMUs (Für Shops und „sensible“ Daten wird es nicht ganz reichen.):
1. SSL/HTTPS Verschlüsselung
Mit SSL erfolgt eine Verschlüsselung aller Daten, die zwischen dem Browser der Website BesucherInnen und dem Server des Providers (Hosting) hin und her geschickt werden. Waren es zuerst nur Banken und Shops, die so ihre Websites abgesichert haben, wird es mehr und mehr Standard und sollte bei keiner Website fehlen.
Nähere Informationen finden Sie hier: SSL Zertifikat für WordPress Homepage
Ob Ihre Website bereits SSL hat, sehen Sie in der Adress-Zeile Ihres Browsers – bei Chrome z.B. mit „sicher“ / „unsicher“ so: Wenn Ihr Provider SSL anbietet (bei den meisten mittlerweile gratis), sorgen wir für die reibungslose Integration auf Ihrer Website.
2. Formulare
Wenn man Formulare auf seiner Website hat (z.B. ein Kontaktformular, Formular zur Newsletter Anmeldung):
- SSL / HTTPS Verschlüsselung ist bei Formularen ein MUSS
- Ein Hinweis auf die Verwendung der Daten bzw. einen Link zur Datenschutzerklärung beim Senden-Button des Formulars
- Es dürfen keine unnötigen Pflichtfelder in einem Formular sein (Koppelungsverbot!)
- Checkboxen dürfen nicht bereits angehakt sein, das muss von der Person, die das Formular ausfüllt, aktiv erfolgen (z.B. Akzeptieren der AGBs)
- TLS Verschlüsselung für den Versand des E-Mails
SSL/HTTPS verschlüsselt nur zwischen dem Browser und dem Server (Hosting Provider). Beim „Senden“ werden die ausgefüllten Daten jedoch vom Server weiter an den Empfänger (meist Ihre Firma) geschickt. TLS übernimmt diesen Teil der Verschlüsselung. - Wenn Daten aus Formularen zusätzlich unter WordPress gespeichert werden, muss das auch in die Datenschutzerklärung aufgenommen werden.
3. Newsletter
Newsletter dürfen nur versandt werden an
- Personen, die sich mit double-opt-in für den Newsletter angemeldet haben (d.h. Anmeldung + Bestätigung über einen Link, der per E-Mail kommt)
- Kunden und Kundinnen (für ähnliche und ergänzende Produkte)
- Personen, von denen man eine andere nachweisbare Bestätigung hat, dass sie den Newsletter beziehen wollen
Kein Newsletter Versand darf erfolgen an
- Personen, die in der ECG-Liste der Regulierungsbehörde für Telekommunikation und Rundfunk stehen („Blacklist“ abfragen)
Weiters ist beim Newsletter zu beachten:
- Ein Hinweis auf die Verwendung der Daten bzw. einen Link zur Datenschutzerklärung beim Senden-Button des Formulars
- Kopplungsverbot: Die Anmeldung zum Newsletter darf nicht zwangsweise gekoppelt sein mit z.B. einen Kauf in einem Shop.
Ausnahme Freebies (e-Books, …): Da gibt es auch Juristen, die die Meinung vertreten, dass man hier einen Newsletter verknüpfen darf. - Möglichkeit der Abmeldung vom Newsletter bei jedem Newsletter
- Passus in der Datenschutzerklärung: Widerrufsbelehrung, was passiert mit den Daten aus der Newsletter Anmeldung, werden sie weitergegeben, wie kann man sie löschen lassen, gibt es eine Analyse des Leseverhaltens (wer den Newsletter geöffnet hab, weitergeklickt hat etc.)
- Falls ein Versanddienstleister eingesetzt wird (z.B. Mailchimp) ist mit diesem ein Auftragsverarbeitungsvertrag abzuschließen.
- den Versand mit TLS verschlüsseln
Hinweis: Was sonst rechtlich beim Versand von Werbung zu beachten ist, ist in Österreich im TKG (Telekommunikationsgesetz) geregelt. Für Online Werbung arbeitet die EU an einer neuen E-Privacy Verordnung, die wahrscheinlich 2019 auf uns zukommt.
4. Google Analytics anonymisieren
Update 1.7.2023:
Google Analytics (UA) wurde mit 1.7.2023 eingestellt. Die von Google angebotene Alternative Google Analytics 4 kann/muss nicht anonymisiert werden.
Google Analytics ist das meist eingesetzte Tool, um zu analysieren, wie viele Besucher meine Website bekommt, wie lange sich BesucherInnen auf der Website aufhalten, woher sie kommen und mehr. Die Informationen kann man für seine eigene Website mit statistischen Werten anschauen und analysieren. Google selbst erhebt jedoch auch die IP-Adresse der BesucherInnen – außer man „anonymisiert“ die IP Adresse über eine Einstellung. Damit wird die IP-Adresse nicht mehr vollständig gespeichert, hat damit keinen Personen-Bezug mehr und ist somit nicht mehr DSGVO relevant.
Nähere Information dazu finden Sie hier: EU Cookie-Richtlinie für WordPress Websites in Österreich
Beim Einsatz von Google Analytics ist zu beachten:
- Anonymisierte IP Adresse (Cookie Hinweis, falls die IP Adresse nicht anonymisiert wird)
- Vertrag zur Auftragsdatenverarbeitung mit Google online abschließen:
Hierzu scrollen Sie in Google Analytics unter „Verwaltung“ > „Kontoeinstellungen“ hinunter bis zur Rubrik „Zusatz zur Datenverarbeitung“. Hier können Sie auf „Zusatz anzeigen“ klicken und den Auftragsverarbeitungsvertrag bestätigen. - Datenschutzerklärung: Passus aufnehmen
- Opt-out-Möglichkeit anbieten
5. Kontrollieren, ob ein Cookie Pop-up notwendig ist
Ein Cookie Pop-up ist der lästige Balken, der bei vielen Webseiten am unteren oder oberen Rand des Browser-Fensters eingeblendet wird, um zu informieren, dass Daten über den Website Besuche gespeichert werden und eine Zustimmung einholen wollen.
Bei vielen unserer Websites ist kein Cookie Pop-up notwendig, weil nur sogenannte Session-Cookies verwendet werden, die sofort wieder gelöscht werden, wenn der Browser geschlossen wird und die keine Daten an Dritte schicken. Das sollte jedoch überprüft werden.
Beispiele für die Verwendung von Cookies oder Scripts, die personenbezogene Daten an Dritte weitergeben, sind:
- Facebook Pixel (für die Auswertung des Erfolgs von Facebook Werbung auf der Website)
- Google AdWords Remarketing (von Google eingeblendete Werbung auf einer Website)
- Restaurantreservierungen wie Book-a-Table
- Terminreservierungen für Ärzte wie Med-Nanny und Docfinder
- Chat-Lösungen
- bestimmte Antispam-Plugins (Akismet schickt z.B. Daten in die USA)
- Google Analytics, wenn die IP Adresse nicht anonymisiert ist
- Youtube Video (schickt Cookies an Google Netzwerk Doubleclick Werbung)
Tipp: Alternative Einbindung über www.youtube-nocookie.com/embed/… - Jetpack (schickt IP Adressen nach USA)
- Facebook oder Instagram Inhalte anzeigen
Welche Cookies auf Ihrer Website gespeichert werden können wir mit Tools für Sie testen.
Was ist zu tun, wenn Cookies im Einsatz sind, die personenbezogene Daten an Dritte weitergeben (besonders wenn die Daten Europa verlassen):
- Cookie Pop-up Banner installieren
- Hinweis in der Datenschutzerklärung
- Vereinbarung mit außereuropäischen Firmen, dass sie die DSGVO Regelungen einhalten („Privacy Shield“)
6. Einbindung Inhalte von Dritten
Update 4.5.2018:
Bei Anzeige von Google Maps, Verwendung von Google Fonts und anderen Inhalten und Services, die nicht selbst erstellt werden, sondern mit Code in die eigene Website eingebunden werden, wird immer die IP-Adresse des Website-Besuchers an den Anbieter mitgesendet, da dieser sonst die Inhalte nicht für die eigene Website zurückschicken kann. Somit gehören auch solche Inhalte in die Datenschutzerklärung aufgenommen.
Update 18.5.18
Gravatare binden Fotos für Kommentare ein. Das kann entweder in den Einstellungen > Diskussion deaktiviert werden oder mit einem Plugin wie Avatar Privacy auf ein Opt-in reduziert werden. Auf jeden Fall ist auch hier ein Text in die Datenschutzerklärung aufzunehmen.
7. Impressum vorhanden und vollständig?
Eine eigene Seite „Impressum“ muss von jeder Webseite aus zugänglich sein. Meist ist die Impressum-Seite ein Link ganz unten auf jeder Webseite. Entspricht Ihr Impressum den gesetzlichen Anforderungen?
Die WKO hat dafür
- für die verschiedenen Gesellschaftsformen die jeweiligen Anforderungen – zur Übersicht bei der WKO
- ein ECG-Service, bei dem man die Einhaltung mit Eintragung bei der WKO überprüfen kann.
8. Technischen Datenschutz kontrollieren
Kontrollieren und dokumentieren von technischen Datenschutzmaßnahmen mit:
- regelmäßige Backups (werden Backups gemacht, wo werden sie gespeichert, wie lange)
- SSL / HTTPS Verschlüsselung (siehe oben)
- TLS Verschlüsselung für den Mail-Versand über die Website (siehe oben)
Tipp: Auch beim eigenen Mail-Programm überprüfen, ob es verschlüsselt versendet (Standard SMTP Port-Einstellung 587) - WordPress Sicherheit: regelmäßige Updates (entweder selbst oder durch unser Wartungsservice)
- Berechtigungen vergeben wenn personenbezogene Daten in WordPress gespeichert werden („Privacy by Design“)
9. Wer hat Zugriff auf die personenbezogenen Daten?
Manchen Zugriff auf personenbezogene Daten kann man als Website Inhaber verhindern (siehe oben), bei bestimmten Personengruppen, ist der Zugriff jedoch Teil der gewünschten Arbeit. Für diese braucht es Vereinbarungen, damit die Daten rechtssicher an Dritte weitergegeben werden können:
- Vereinbarung zur Auftragsdatenverarbeitung mit dem Hosting Provider
- World4you stellt im Kundenbereich seit 21.5.2018 unter „Ihr Benutzerkonto“ > „Persönliche Daten“ eine Auftragsdatenverarbeitungserklärung zum Online zeichnen zur Verfügung.
Bei Punkt 8 Zeile 2 wird jedoch jegliche Haftung auch bei grober Fahrlässigkeit ausgeschlossen. D.h. die DSGVO schreibt vor, so einen Vertrag abzuschließen und der Auftragnehmer schließt jegliche Haftung auch bei grobem Verschulden aus??? Wahrscheinlich bin ich nicht die Einzige, die sich da in die Enge getrieben fühlt!Update 7.6.2018: Mittlerweile wurde der Punkt 8 „Haftung, Schadensersatz, Vertragsstrafe“ komplett aus dem Auftragsdatenverarbeitungsvertrag bei World4you gestrichen. - easyname stellt im Controlpanel unter dem Menüpunkt „Datenschutz“ einen Auftragsdatenverarbeitungsvertrag zur Verfügung.
- A1 Telekom schickt auf Nachfrage an datenschutz@a1.net einen „AVV light“ und eine „DSGVO Info Allgemein“ an Ihre Kunden (Nachtrag 26.7.18)
- World4you stellt im Kundenbereich seit 21.5.2018 unter „Ihr Benutzerkonto“ > „Persönliche Daten“ eine Auftragsdatenverarbeitungserklärung zum Online zeichnen zur Verfügung.
- Vertrag zur Auftragsdatenverarbeitung mit Google abschließen und Kontaktperson nennen
- Vereinbarung zur Auftragsdatenverarbeitung mit Versanddienstleister für Newsletterversand (z.B. Data Processing Agreement mit Mailchimp)
- Vereinbarung zur Auftragsdatenverarbeitung mit der Webagentur / Webmaster, falls diese personenbezogene Daten verarbeiten (Hinweis für unsere Kunden: „Verarbeitung“ lt. Artikel 4 Zeile 2 DSGVO ist bei uns selten)
- Geheimhaltungsvertrag mit Mitarbeitern
Da es sich dabei um Verträge / Vereinbarungen handelt, müssen sie von Website Inhabern abgeschlossen werden. Das kann ich als Webdesignerin nicht übernehmen.
10. Datenschutzerklärung
Neben dem Impressum hat spätestens am 25. Mai 2018 auch die Datenschutzerklärung auf jeder Website zu finden sein.
Für die Erstellung der Datenschutzerklärung gibt es mehrere Möglichkeiten, falls Sie keinen Rechtsanwalt dafür haben, z.B.:
- das WKO Muster anpassen. Viele Fachgruppen haben eigene Vorlagen erstellt, z.B. für den Handel
- Muster der deutschen Gesellschaft für Datenschutz anpassen: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
- Datenschutzgenerator von Dr. Schwenke für Blogger, Privatpersonen und Kleinunternehmen (Rechtsanwalt in Deutschland) – sehr verständliche Texte für die verschiedenen Teile, die in die Datenschutzerklärung gehören. Leider nur für ganz kleine Unternehmen. Für größere gibt es eine Kaufversion um € 99 + Mwst.
- WordPress stellt im Backend ab Version 4.9.6 ebenfalls Textvorschläge für die Datenschutzerklärung zur Verfügung: Einstellungen > Datenschutz > Link „Sehen Sie sich unseren Leitfaden an“
Diesen Teil der Arbeit können wir nicht für Sie übernehmen, wir können Ihnen aber für Ihre Website den Input liefern, den Sie zum Ausfüllen benötigen und die von Ihnen erstellte / generierte und angepasste Datenschutzerklärung dann auf Ihre Website stellen.
Sie benötigen Unterstützung?
So unterstützen wir Sie für die Anpassung Ihrer Website an die neue Datenschutzgrundverordnung:
- SSL Umstellung – € 100 + Mwst für normale WordPress Websites ohne Shop.
- monatliche Wartung – ab € 39 + Mwst
- Auf Cookies testen und wenn notwendig Cookie Banner einbinden
- Testen, welche DSGVO-relevanten Komponenten eine Homepage aufweist (= Input zum Ausfüllen / Generieren von Datenschutzerklärungen)
- TLS Verschlüsselung für Formulare und Newsletter
- und natürlich alle inhaltlichen Änderungen auf WordPress Webseiten inkl. Einbinden der Datenschutzerklärung
Und zum Schluss ein Hinweis in eigener Sache:
Diesen Beitrag über die Grundlagen, wie man sich auf den Weg zu einer DSGVO konformen Website macht, habe ich nach bestem Wissen nach Besuch mehrerer DSVGO Weiterbildungen und zusätzlichen Recherchen erstellt. Ich bin jedoch keine Rechtsanwältin. Ein rechtssicherer Webauftritt ist nicht Gegenstand meines Angebots und muss bei Bedarf durch Ihre eigene Rechtsberatung sichergestellt werden.
Dieser Beitrag wird sicher noch ergänzt oder geändert werden, sobald sich neue Erkenntnisse ergeben.
Weiterführende Links / Quellen:
- WKO – EU Datenschutzgrundverordnung – Übersicht
- „Toolset DSGVO“ der WKO Handel
- www.e-recht24.de/datenschutzgrundverordnung.html
- Rechtsanwalt Dr. Schwenke (Deutschland) mit informativem Blog zu Datenschutz
Rechtstext:
- VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 27. April 2016
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien
Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) - Datenschutz-Anpassungsgesetz 2018 vom 31.7.2017