Checkliste mit DSGVO-Maßnahmen für Ihre Website

Datenschutz-Grundverordnung - DSGVO

Datenschutz-Grundverordnung – DSGVO

Offizieller Titel: Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – kurz: DSGVO.

Die europäische Datenschutzgrundverordnung ist für viele Unternehmen die wichtigste Gesetzesänderung seit Jahren. Sie tritt am 25. Mai 2018 in Kraft. Bei Verstößen drohen Ihnen hohe Bußgelder. Jede Website muss der Datenschutz-Grundverordnung angepasst werden!

Aber Achtung! Die DSGVO bezieht sich nicht nur auf die digitale Speicherung von personenbezogenen Daten, sie betrifft auch die analoge Verarbeitung von Personendaten! Die DSGVO betrifft also auch Ihre Karteikarten!

Für Arztpraxen, Apotheken etc. gelten sogar besondere Bestimmungen. Hier kann Ihnen Ihre zuständige Kammer/Verband sicher Informationen liefern. 

Diese Artikel bezieht sich nur auf Websites!

Hinweis: Es handelt sich nur um Tipps und Hinweise zur DSGVO, ohne Anspruch auf Vollständigkeit. Entsprechend werden diese Informationen ausschließlich zu Informationszwecken angeboten und dienen nicht der Rechtsberatung oder der Beurteilung, wie die DSGVO sich auf Sie und Ihr Unternehmen auswirkt.

Hier eine Checkliste mit DSGVO-Maßnahmen für Ihre Website

1. SSL-Verschlüsslung – Sichern Sie Ihre Website

Personenbezogene Daten müssen gegen Zugriffe Dritter geschützt sein. Nutzen Sie ein Kontaktformular? Nun, dann werden bereits personenbezogene Daten erhoben. Damit keine Abmahnungen drohen, müssen Daten verschlüsselt übertragen werden.

SSL steht für „Secure Socket Layer“. Sie erkennen eine verschlüsselte Website durch das Schlosssymbol in der Browser-Adresszeile, das „s“ im „https://“, welches für secure steht oder, je nach Browser, an der grünen Farbe.

Um Ihre Website zu verschlüsseln, benötigen Sie ein SSL-Zertifikat. Die meisten Provider bieten hier kostenlose SSL-Zertifikat an, wie z. B. das von Let’s Encrypt!

Wenn Sie Ihre Website nachträglich verschlüsseln, müssen alle Links, alle URL-Pfade zu Fotos, Grafiken etc. angepasst werden!

2. Formulare – nur mit Checkbox

Alle Formulare benötigen eine Checkbox, egal ob Kontakt-Formular, Newsletter-Formular, Anmelde-Formular für Seminare etc.

Diese Checkbox muss als Pflichtfeld deklariert werden und die Zustimmung des Nutzer dokumentieren, dass seine Daten verarbeitet werden dürfen. Dazu muss zur Checkbox ein Text eingefügt werden, aus dem klar hervorgeht, dass der Nutzer mit der Übermittlung einverstanden ist, zu welchem Zweck die Daten genutzt werden und ggf. wie lange sie aufbewahrt werden. Dieser Text sollte auch einen Link zur Datenschutzerklärung haben. Durch Anklicken der Checkbox muss der Nutzer bestätigen, dass er diese gelesenen hat und mit der Übermittlung der Daten einverstanden ist.

Beispieltext Checkbox: Ich habe die Datenschutzerklärung zur Kenntnis genommen. Ich stimme zu, dass meine Angaben zur Kontaktaufnahme und für Rückfragen gespeichert werden.
Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per Mail an beispiel@abc.de widerrufen!

 3. YouTube-Videos datenschutzkonform einbetten

YouTube-Videos müssen ohne Cookies in Ihre Website eingebunden werden.
Das geht relativ einfach, man muss nur die URL ein wenig erweitern:

Mit Cookie: https://youtu.be/_3VTsN_xZc4

Ohne Cookie: https://www.youtube-nocookie.com/embed/_3VTsN_xZc4

Auch hierfür gibt es ein Plug-in (z. B. für WordPress), welches automatisch alle YouTube-Videos ohne Cookies in Ihre Website einbindet!

4. Kommentarfunktionen ohne Speicherung der IP-Adresse

Falls Sie auf Ihre Website Kommentare für Beiträge oder Seiten zulassen, dann achten Sie darauf, dass die IP-Adresse des Nutzers nicht gespeichert wird. Einige Systeme, z. B. WordPress, speichern automatisch die IP-Adresse. Das können Sie in WordPress mit ein paar Zeilen Code in der „functions.php“ schnell abstellen. Oder Sie nutzen ein Plug-In!

Sie müssen dann nur noch die bereits gespeicherten IP-Adressen aus der Datenbank löschen. Das geht mit „phpMyAdmin“ ohne Probleme. Fragen Sie Ihren Webdesigner.

5. Cookie-Hinweis auf Webseiten einblenden

EU Cookie Richtlinie: Sicher kennen Sie die Cookie-Hinweisleisten, die bereits auf vielen Websites eingesetzt werden. Meist erscheinen sie am Anfang kurz im Footer der Seite oder in oben auf der Seite. Sie müssen den Cookie-Hinweis bestätigen und die Leiste verschwindet!

Mit „EU Cookie Richtlinie“ ist die Richtlinie „RL 2009/136/EG“ der EU gemeint. Die Cookie Richtlinie wird voraussichtlich Anfang 2019 von der neuen E-Privacy-Verordnung abgelöst, die dann zusätzlich zur neuen EU DSGVO in Kraft tritt.

Auch wenn wir uns in Deutschland derzeit hier rechtlich noch in einer Grauzone bewegen. Sollten Sie auf Nummer sicher gehen und einen Cookie-Hinweis auf Ihrer Website einblenden.

6. Share Buttons für Facebook & Co.

Verwenden Sie nicht die die üblichen Facebook-Share-Buttons, hier drohen Abmahnungen!

Mein Tipp: Verwenden Sie Shariff-Buttons oder ähnliche Tools!

Die üblichen Social-Media-Buttons übertragen die User-Daten bei jedem Seitenaufruf an Facebook & Co. und geben den sozialen Netzwerken genaue Auskunft über Ihr Surfverhalten (User Tracking). Dazu müssen Sie weder eingeloggt noch Mitglied des Netzwerks sein. Dagegen stellt ein Shariff-Button den direkten Kontakt zwischen Social Network und Besucher erst dann her, wenn der User aktiv auf den Share-Button klickt. Das c’t-Projekt Shariff ersetzt die üblichen Share-Buttons der Social Networks und schützt Ihr Surf-Verhalten vor neugierigen Blicken.

Meiner Meinung nach sollten Sie darauf verzichten, Skripte oder Tools direkt von Facebook, Twitter & Co. In Ihre Website einzubauen, das führt in vielen Fällen zu Verstößen gegen die Datenschutz-Grundverordnung. Falls Sie nicht darauf verzichten wollen, dann lassen Sie es im Einzelfall auf jeden Fall prüfen!

7. Google Analytics Opt-Out Link ein

Wer Google Analytics auf seiner Website einsetzt, der sollte auch wirklich sicherstellen, dass Analytics auch Datenschutzkonform eingebunden wurde. So muss die Datenschutzerklärung entsprechend angepasst werden, und es muss ein Opt-Out-Link eingefügt werden. Damit kann man Google mitteilen, dass man nicht getrackt werden möchte.

Eine DSGVO-konforme Datenschutzerklärung kann man z. B. bei „eRecht24“ erstellen lassen, allerdings aktuell nur als Premium-Nutzer.

Es muss nicht unbedingt Google Analytics!
Mein Tipp: Verwenden Sie das Open-Source-Analysetool Matomo, ehemals Piwik. Motomo bietet einen ähnlichen Leistungsumfang wie Google Analytics, nur das Matomo die Daten dirket auf Ihrem Server speichert. Ein weiterer Vorteil, Sie müssen keine „Auftragsdatenverarbeitungsverträge“ (ADV Verträge) abschließen!

8. Auftragsdatenverarbeitungsverträge

Mit Ihren Dienstleistern, die direkt oder auch nur indirekt Zugriff auf personenbezogene Daten haben, wie zum Beispiel Newsletter-Versender oder Hoster, müssen Sie sogenannte „Auftragsdatenverarbeitungsverträge“ (ADV Verträge) schließen. Ihre Dienstleister stellen Ihnen in der Regel diese Verträge zur Verfügung.

Und Sie müssen ein Verarbeitungsverzeichnis erstellen, in dem alle Personen und Dienstleister mit ihrer genauen Tätigkeit gelistet sind, die personenbezogene Daten von Ihrem Unternehmen verarbeiten oder darauf Zugriff haben.

Hier nochmals der Hinweis, dass es sich hier nur um Tipps und Hinweise zur DSGVO handelt, ohne Anspruch auf Vollständigkeit. Entsprechend werden diese Informationen ausschließlich zu Informationszwecken angeboten und dienen nicht der Rechtsberatung oder der Beurteilung, wie die DSGVO sich auf Sie und Ihr Unternehmen auswirkt.

9. Datenschutzerklärung an die DSGVO anpassen

Ihre Datenschutzerklärung muss sich mindestens auf die DSGVO berufen und Informationen zu folgenden Punkten beinhalten:

Ihren Kunden müssen Sie beispielsweise erklären:

  • wie Sie Daten erheben
  • warum Sie ihre Daten verarbeiten
  • wie lange Sie diese Daten speichern werden (Sie dürfen die Daten nicht länger als unbedingt erforderlich aufbewahren)
  • welche personenbezogenen Daten erhoben werden
  • wie diese erhoben werden
  • dem Verarbeitungszweck
  • der Datenspeicherfrist
  • den Rechten der betroffenen Personen
  • Ihrem Beschwerdeverfahren
  • wie Sie die Datenübertragung an Dritte handhaben
  • welche Analysetools Sie verwenden

Das sind nur einige Punkte zu Orientierung. Für die Erstellung einer DSGVO-konformen Datenschutzerklärung bieten einige Rechtsanwälte Generatoren an, wie z. B. eRecht24 etc.

Falls Sie Fragen haben, rufen Sie mich einfach an!

Udo Schucker
Tel.: 02041 23224
Mobil: 0177 7996663
E-Mail: schucker@schuckermedia.de
Web: www.schuckermedia.de

Haftungsausschluss: Es wird ausdrücklich darauf hingewiesen, dass schuckermedia nicht garantieren kann, dass ein Unternehmen, das die hier aufgeführten Maßnahmen ergreift, die Datenschutzvorschriften zu 100 % einhält. schuckermedia bietet lediglich Tipps und Hinweise zur DSGVO an. Entsprechend werden diese Informationen ausschließlich zu Informationszwecken angeboten und dienen nicht der Rechtsberatung oder der Beurteilung, wie die DSGVO sich auf Sie und Ihr Unternehmen auswirkt.