DSGVO

Was ist DSGVO?

Bisher gab es nur eine Richtlinie aus dem Jahr 1995, die die Handhabung und den Schutz von personenbezogenen Daten im Internet regelt. Die war zu allererst nicht mehr zeitgemäß, dann nicht einheitlich für Europa und wirklich bindend war sie auch nicht. Das ändert die Datenschutzgrundverordnung, kurz DSGVO, ab dem 25. Mai 2018. Dann müssen alle Websitebetreiber, die personenbezogene Daten verarbeiten, diverse Änderungen vornehmen.

Das spreeatelier hilft Ihnen gern,

die wichtigsten Checks durchzuführen und Ihre Website(s) entsprechend der DGSVO „upzudaten“. Nach einer Analyse des Ist-Zustands Ihrer Webseite schicken wir Ihnen eine Maßnahmenliste zu.

Sie müssen die ToDos nicht mit uns umsetzen, wir rechnen Ihnen aber die Kosten bei Beauftragung der Umsetzung mit an.

Schreiben Sie uns eine Email an dsgvo@spreeatelier.de oder nutzen Sie unser Kontaktformular.

100 € Analyse

Wir analysieren den IST-Zustand der Website und erstellen eine Zusammenfassung der möglichen und nötigen ToDos zu.

Muss ich handeln??

Die DGSVO ist für alle Website-Betreiber, der mit personenbezogenen Daten arbeiten, vom Konzern bis zum Einzelunternehmen, in der EU bindend. Es wird nicht nach Größe der Unternehmen unterschieden, sondern nach der Art der Datenverarbeitung. Sie sollten handeln, wenn 

  • IP-Adressen der Webseite-Besucher übermittelt und gespeichert werden,
  • Sie über eine Kommentarfunktion mit E-Mailangabe verfügen,
  • Sie ein Kontaktformular haben,
  • sich bei Ihnen für einen Newsletter angemeldet werden kann,
  • per Tracking und Cookies das Nutzerverhalten der User analysiert wird,
  • Sie Social Media Plugins (Facebook-Like, Pinterest, etc.) nutzen,
  • Sie z.B. Google Maps eingebunden haben,
  • Sie externe Fonts von Google oder Adobe nachladen in Ihrer Website.

Melden Sie sich auch gern, wenn Sie sich nicht sicher sind, ob sie handeln müssen.

Was sind denn personenbezogene Daten?

Das sind die Infos, mit denen man ein Individuum identifizieren kann, z.B.

  • direkt durch Name, Foto, Telefon, Emailadresse, etc. oder
  • indirekt durch Nutzername, IP-Adresse, Cookie-Id, etc.

Es gilt zu eruieren, welche personenbezogenen Daten man woher hat und wie man sie verarbeitet.

Wir haben alle Inhalte recherchiert und nach unserem Verständnis in dieser 8-Punkte Checkliste zusammengestellt. Dieser Beitrag stellt keine Rechtsberatung dar und erhebt keinen Anspruch auf Vollständigkeit. Wir versuchen Sie hiermit für dieses Thema zu sensibilisieren und Ihnen zu zeigen, dass das alles gar nicht so schlimm ist! Aber lassen Sie sich bitte auf jeden Fall anwaltlich oder von einem Datenschutzbeauftragten beraten. Für die technische Umsetzung der Maßnahmen melden Sie sich gern bei uns.

8-Punkte Checkliste

1. Aktualisieren Sie Ihre Datenschutzerklärung!

Sie müssen das neue Gesetz an dieser Stelle respektieren, in dem Sie Ihren Usern pro-aktiv erklären, was Sie mit Daten tun, die sie explizit oder implizit über sie sammeln (wie z.B. Namen, Emailadressen, Telefonnummern, etc.)

Kontaktieren Sie hierfür Ihren Anwalt oder Datenschutzbeauftragten. Ein einfacher Weg könnte auch sein, Sie halten sich an einen der folgenden Generatoren und erzeugen Ihre Datenschutzerklärung online, um sie dann nochmals formal prüpfen zu lassen:

2. Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten!

Alle Unternehmen müssen dieses Verzeichnis führen. Darin enthalten sind z.B.

  • Kontaktdaten der Kunden
  • Zweck der Verarbeitung
  • vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien.

Es heisst zwar, dass diese Regelung nur für Unternehmen mit über 250 Beschäftigten gilt, aber jeder, der dauerhaft Daten verarbeitet – dazu gehören jegliche Art von Kunden- und Personalmanagement sowie die Buchhaltung, muss diese auch festhalten.

Hier eine umfangreiche Richtlinie:
https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf

3. Schließen Sie mit Google einen Vertrag!

Neben dem verpflichtenden Hinweis auf den Einsatz von Google Analytics sowie einer inkludierten Opt-Out-Möglichkeit müssen Sie einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Den Vertrag drucken Sie zweimal aus und schicken ihn unterschrieben an Google Irland (Adresse im Dokument).

Hier finden Sie den Download des Vertrags mit Google: https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf

Es gibt aber auch eine einfachere Möglichkeit: Sie können die Vereinbarung direkt in Ihrem Google Analytics Account schließen. Dort gehen Sie in Ihre > Kontoeinstellungen, scrollen bis nach unten und klicken auf „Zusatz anzeigen“. Dann stimmen Sie dem Zusatz zu und speichern alles am Ende der Seite ab.

4. Installieren Sie eine Google-Analytics-Opt-Out-Option!

Die Opt-Out-Funktionalität lässt sich bei WordPress zum Beispiel mit einem Plugin wie GA Opt-Out (https://de.wordpress.org/plugins/google-analytics-opt-out/) realisieren, aber auch im Google Analytics Plugin finden Sie unter „Tracking Code“ eine Option dafür.

5. Anonymisieren Sie die Google Analytics IP!

Wie Sie die IPs anonymisieren, hängt von der Art der Tracking-Code-Einbindung ab. Wer den Tracking-Code direkt einbindet, fügt die Funktion anonymizeIP zu. WordPress Plugins (GA Dashboard for WordPress) verfügen in der Regel über eine entsprechende Option. Die dritte Möglichkeit ist die entsprechende Konfiguration des Tag Managers.

6. Nicht die Kommentarfunktion und Logfiles vergessen!

Ein Hinweis zur Datenspeicherung (idealerweise mit Link auf die Datenschutz-Policy) muss auch an dieser Stelle angebracht werden, obwohl Ihre User freiwillig kommentieren. Mit einer Checkbox, implementiert als Custom Field mit WP Discuz, gehen Sie auf Nummer sicher.

Die Logfiles (die auf dem Webserver auflaufen und z.B. Ihre User und deren Zugriffe und die von Bots tracken) müssen auch in der Datenschutz-Policy erwähnt und begründet werden (wie lange sie z.B. auf dem Server aufgehoben werden).

7. Google Services wie Fonts, Maps und Plugins für Social Walls und Sharing sind schwierig!

Die Nutzung von Google Fonts oder auch von Google Maps in der Website sind insofern problematisch, als dass man kein Opt-out für den User ermöglichen kann. Auch sind Plugins wie Facebook und Instagram nur bedingt DSGVO-konform. Wir haben dazu keine direkten Empfehlungen, ausser, dass man auf die Nutzung dieser Services explizit in den Datenschutz-Policies hinweisen sollte. Wer damit nicht einverstanden ist, der sollte auf zukünftige Besuche der Webseite verzichten.

8. Woocommerce updaten!

Nicht jeder Kunde nutzt Woocommerce, aber die „Deutsche“ Version Woocommerce-Germanized ist schon auf einem guten Weg: https://de.wordpress.org/plugins/woocommerce-germanized/ oder https://marketpress.de/shop/plugins/woocommerce-german-market/. Woocommerce selbst wird wohl auch mit einem Update in den nächsten Wochen aufwarten.

Rechtlicher Hinweis
Wir wollen Ihnen und Euch mit dieser Email auf die wichtigsten Punkte der DSGVO hinweisen. Dies ist allerdings kein Ersatz für eine Rechtsberatung. Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen lassen Sie sich am besten von einem Anwalt oder Datenschutzbeauftragten beraten.

Quellen
https://dsgvo-gesetz.de/
https://www.hosteurope.de/blog/dsgvo-darauf-sollten-sie-achten/