DSGVO: todos für Webseitenbetreiber

Vorweg: Ich bin kein Rechtsanwalt und darf, kann und werde hier keine Rechtsberatung zum Thema DSGVO machen. Sie können dies gerne als Anhaltspunkte oder Überblick sehen – aber ohne jegliche Garantie oder Gewährleistung hierfür. Danke für Ihr Verständnis. 

Da ich selbst einige Webseiten betreue, hat sich in den letzten Wochen immer mal wieder die Frage gestellt, was hier für Anpassungen nötig sind. Nach längerer Recherche, Lesen der DSGVO und ggf. der Erwägungsgründe und Austausch mit einigen weiteren Seiten bin ich der Meinung, dass die folgenden Punkte notwendig sind. Wichtig hierbei ist, dass Webseiten zu “persönlichem” oder “familiärem” nicht unter diese Verordnung fallen: https://dsgvo-gesetz.de/erwaegungsgruende/nr-18/

Todos für Webseitenbetreiber

  1. Die Seite sollte komplett SSL-verschlüsselt, d. h. durchweg per HTTPS erreichbar sein. Hier empfiehlt sich gleich ein automatischer redirect von HTTP auf HTTPS. Die DSGVO ist recht allgemein gehalten, allerdings gibt es 2 konkrete Maßnahmen, die unter gewissen Umständen zu treffen sind: Anonymisierung und Verschlüsselung. Da Verschlüsselung schon direkt genannt ist, gibt es eigentlich kein Argument, diese nicht auch zu verwenden. Speziell natürlich, wenn es Formulare, Newsletter-Anmeldungen, etc. gibt, da ist das sowieso Pflicht.
  2. Als nächstes sollten die Formulare alle mal genau unter die Lupe genommen werden. Hier sollte für jedes Feld hinterfragt werden, ob das Erfragen dieser Information überhaupt notwendig ist. Das typische Beispiel, das immer wieder genannt wird, ist die des Online-Alkohol-Shops. Bisher wurde oft nach dem Geburtstagsdatum gefragt oder eventuell nach dem Alter. Nach der neuen DSGVO sind das eigentlich alles zu viele Daten, d. h. das einzige, das abgefragt werden darf ist sinngemäß “Ich bestätige, dass ich über 16 Jahre alt bin”. Bei einem einfachen Kontaktformular zum Beispiel sollte es bei Name und Email-Adresse (und dem Anliegen natürlich) belassen werden.
  3. Ebenso bei den Formularen sollte eine zusätzliche Einwilligung als Checkbox hinterlegt werden, mit der der Benutzer dann quasi der Verarbeitung seiner Daten zustimmt. Diese Checkbox darf auf keinen Fall per Default angehakt sein, d. h. der Benutzer MUSS aktiv einwilligen und den Haken setzen, alles andere wäre nicht in Ordnung. Als weitere Voraussetzung muss sichergestellt sein, dass er das Formular auch nicht absenden kann, wenn er den Haken nicht setzt.
  4. Als weiterer Punkt ist die Verwendung von Statistik-Tools zu nennen. Falls Sie Statistiken über die Benutzer fahren, gibt es diverse Punkte zu beachten:
    1. Diese zu Statistikzwecken gesammelten Daten dürfen auf keinen Fall für irgendeinen anderen Zweck verwendet werden.
    2. Es ist darauf zu achten, dass in der Datenschutzerklärung erläutert wird, was mit den, zu Statistikzwecken erhobenen, Daten geschieht.
    3. Sollten irgendwelche externen Anbieter verwendet werden, die die Statistiken erstellen, wie z. B. Google Analytics, muss das explizit auch genannt werden. Eigentlich müsste es hierzu auch ein Opt-in geben, damit jeder Webseitenbesucher dem vorweg zustimmen kann. Ich anonymisiere grundsätzlich die IP-Adressen in der Statistik-Software (z. B. wp-statistics) komplett (das ist ja ebenfalls ein im Gesetzestext fix genannter Begriff). Sie sollten außerdem eine Löschfrist festlegen, nach der die zu statistischen Zwecken erhobenen Daten auch endgültig gelöscht werden. Mit den anonymisierten Daten kann ich die Statistiken für meine Zwecke noch ausreichend gut verwenden.
  5. Wenn noch weitere externe Services eingebunden sind, wie z. B. Social-Media-Plugins, so ist das natürlich ebenfalls in der Datenschutzerklärung zu nennen (mindestens). Ich habe bei mir die Social-Media-Plugins alle deaktiviert und durch links direkt auf mein dortiges Profil ersetzt. Das hat auch den angenehmen Nebeneffekt, dass die Seiten wesentlich schneller sind.
  6. Hier ist auch zu prüfen, ob noch weitere Dinge von extern geladen werden. Hintergrund: Der betroffene hinterlässt seine personenbezogene Daten (IP-Adresse, vielleicht Referer, Browser, etc. ) bei einem externen Anbieter (möglicherweise im nicht-eu-Ausland), ohne dazu eingewilligt zu haben. Hier gibt es aktuell Diskussionen bezüglich google-fonts, WordPress-emojis (die von einem externen CDN kommen) und ähnliches. Guter Anhaltspunkt ist hier https://tools.pingdom.com.
    Auch kann man sich das hier https://webbkoll.dataskydd.net/en mal anschauen, ist recht interessant und aufschlussreich.
  7. Des Weiteren verwenden Sie sicherlich cookies in irgendeiner Weise. Grundsätzlich sollte direkt beim ersten Aufrufen der Seite irgendwo eine Info erscheinen nach dem Prinzip “Diese Seite verwendet cookies um das Nutzererlebnis zu verbessern. Wenn Sie fortfahren, stimmen Sie der Nutzung zu” – wobei ein OK die Meldung verschwinden lässt und ein “nicht einverstanden” die Seite explizit verlässt.
    Anmerkung: Ich habe mittlerweile eine Meinung gehört, dass ein “Nicht einverstanden”-Button, der die Seite mit Klick verlässt und z. B. zu google.de verweist, eine Diskriminierung bestimmter Personen sein. Ich werde dem nachgehen. 
  8. Wie oben ja schon mehrfach darauf verweisen wurde, ist eine explizite Datenschutzerklärung auf der Seite notwendig (es empfiehlt sich ein Anwalt!).
  9. Bei der Verwendung eines CMS ist dringend auf eine vernünftige Aktualität zu achten. Ein CMS, das seit Jahren nicht upgedated wurde, bietet keinen ausreichenden Schutz für personenbezogener Daten Betroffener.
  10. (Dieses Dokument wird fortgeführt auch mit zukünftigen Auslegungen der DSGVO.)

 

Stand: 31.05.2018

ps: Ich bin kein Rechtsanwalt und darf, kann und werde hier keine Rechtsberatung zum Thema DSGVO machen. Sie können dies gerne als Anhaltspunkte oder Überblick sehen – aber ohne jegliche Garantie oder Gewährleistung hierfür. Danke für Ihr Verständnis. 

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich akzeptiere