DSGVO: Checkliste für Webseitenbetreiber
Jan 1st 2021 in DSGVO

Bei Innovio Solutions sind wir Software Experten, Berater und Entwickler und keine Juristen. Dementsprechend ist dies keine Rechtsberatung und kann eine solche nicht ersetzen. Im Zweifelsfall wende dich bitte an einen Rechtsanwalt.

Webseitenbetreiber müssen mit der DSGVO etliche rechtliche Neuerungen berücksichtigen. Gerne stehen wir dir mit Rat und Tat zur Seite. In diesem Beitrag erklären wir, wie du deinen Internetauftritt DSGVO-konform gestaltest.

SSL verwenden

Die Besucher deiner Webseite müssen sich darauf verlassen können, dass ihre Daten vertraulich und mit Integrität (Datensicherheit) behandelt werden. Um dieses zu gewährleisten soll die Datenübermittlung verschlüsselt erfolgen. Ohne besondere Vorkehrungen ist der Übertragungsweg zwischen Servern und dem Browser deiner Besucher grundsätzlich nicht verschlüsselt. Das bedeutet: keine Sicherheit. Alle Daten sind im Prinzip von Dritten einsehbar, z.B. Passworteingaben, persönliche Daten, Eingaben in Formularen und Feldern etc.

Ein wichtiger Schritt zur Absicherung und Verschlüsselung des Lade- und Übertragungsweges ist der Einsatz eines SSL Zertifikats. Damit wird einerseits die Datenübertragung verschlüsselt und sicher, andererseits schafft es Vertrauen, wenn du als Webseitenbetreiber ein „https“ statt nur „http“ vor deiner Adresse anbietest. Suchmaschinen bevorzugen ebenfalls sichere Seiten. Das SSL Zertifikat kannst du über deinen Webhosting-Provider beziehen und implementieren. Preise beginnen ab ca. 129€/Jahr für einfache Webseiten.

Cookies-DSGVO-konform einsetzen

Cookies sind kleine Textdateien, die von einer Website an den Browser geschickt und auf deinem Rechner gespeichert werden. Da die Cookie Thematik etwas komplexer ist, findest du alle weitere Infos in unserem Beitrag Cookies DSGVO-konform einsetzen.

Datenschutzerklärung aktualisieren

Die DSGVO beinhaltet neue Richtlinien für die Datenschutzerklärung, die auf jeder Webseite, die Daten verarbeitet, Pflicht sind.

Folgende Inhalte werden dabei empfohlen:

  • der Zweck/Grund für die Datenverarbeitung
  • der Name und die Kontaktdaten des Verantwortlichen bzw. Datenschutzbeauftragten
  • die gesetzliche Legitimation für die Datenverarbeitung
  • der Empfänger der Daten
  • die Speicherfristen der Daten
  • die Angabe, ob Daten an Dritte weitergegeben werden
  • das Recht auf Auskunft und/oder die Löschung der Daten
  • die Angabe des Beschwerderechtes bei der Datenschutzaufsichtsbehörde
  • der Hinweis auf die Verwendung von Google Analytics

Unser Tipp: Es gibt im Internet gute Generatoren für die Zusammenstellung einer neuen Datenschutzerklärung, wie beispielsweise der für Privatunternehmen und Kleinunternehmer kostenlose Datenschutz Generator oder das kostenpflichtige Angebot von eRecht24. Oder gib alternativ „Datenschutzerklärung DSGVO“ in eine Suchmaschine ein: Auch hier werden gute Ergebnisse angeboten.

Impressum

Generell hat sich am Impressum nichts geändert. Es muss vorhanden sein und sollte valide sein. Allerdings verweisen viele Ratgeber darauf, dass man zwingend den Hinweis auf die „Online Streitbeilegung“ und den Hinweis zur „Außergerichtlichen Streitbeilegung“ einfügen sollte. Das sollte zum Beispiel folgendermaßen aussehen:

Online-Streitbeilegung

Die Europäische Kommission stellt unter https://ec.europa.eu/consumers/odr/ eine Plattform zur Online-Streitbeilegung bereit, die Verbraucher für die Beilegung einer Streitigkeit nutzen können und auf der weitere Informationen zum Thema Streitschlichtung zu finden sind.

Außergerichtliche Streitbeilegung

Wir sind weder verpflichtet noch dazu bereit, im Falle einer Streitigkeit mit einem Verbraucher an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.

Aufklärungspflicht auf Kontaktformularen

Wer über Formulare auf seiner Webseite Daten sammelt (e-Mail, Adressdaten, Logins, Kommentarfelder etc.) und diese dann verarbeitet (zum Beispiel Empfang einer Anfrage im Mailpostfach, Speichern in einer Datenbank, etc.), der muss darauf hinweisen. Ebenso darauf, wie mit den Daten verfahren wird und wie lange sie gespeichert werden. Am besten baut man hierzu im Kontaktformular einen Haken für die Datenschutzerklärung ein (z.B. mit dem Plugin WP GDPR Compliance) und weist mit einem kurzen Absatz direkt am Formular darauf hin.  Dieser könnte zum Beispiel folgendermaßen aussehen:

Ja, ich habe die Datenschutzerklärung (Link zur Datenschutzerklärung) zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden.

Vertrag zur Auftragsverarbeitung (AVV)

Einen Vertrag zur Auftragsverarbeitung (AVV) muss nach EU-Datenschutz-Grundverordnung (DSGVO) jede verantwortliche Stelle abschließen, die personenbezogene Daten im Auftrag verarbeiten lässt. Sobald du personenbezogene Daten auf einem externen System speicherst bzw. verarbeitest, musst du dies nach Art. 28 DSGVO rechtlich absichern.

Google Analytics datenschutzkonform umsetzen

Mehr zu diesem Thema findest du hier IP-Anonymisierung (oder IP-Maskierung) in Google Analytics

Externe Scripte und Schriften wie z.B. Google Fonts lokal laden

Ein Problem für Webseitenbetreiber (insbesondere bei WordPress basierten Webseiten) ist es, dass häufig externe Scripte (wie jQuery) oder auch Schriften (wie Google Fonts) von externen Servern geladen werden. Durch das Laden werden bereits Daten mit dem Server ausgetauscht, der die Scripte bereitstellt. So zum Beispiel die IP Adresse des anfragenden Rechners oder Endgeräts. Daher sollten diese Scripte wenn möglich lokal geladen werden.

Bei Schriften wie Google Fonts, kann man lokal laden und das Laden von externen Servern unterbinden. WordPress Premium Themes laden gerne direkt vom Server von Google. In unserem Beitrag Google Fonts DSGVO-konform einbinden erfährst du mehr zu diesem Thema.

E-Mail-Marketing (Newsletter)

Alles rund ums Thema Newsletter findenst du in unserem Beitrag Newsletter DSGVO-konform einsetzen.

E-Commerce & DSGVO

Auch Online-Shops, wie z.B. WooCommerce, müssen schon lange datenschutzkonform sein. Wichtig, auch wegen der DSGVO, ist es zu prüfen, ob im Kaufprozess alles valide ist und der Aufklärungspflicht nachgekommen wird. Es werden definitiv benötigt:

  • Hinweis in Datenschutzerklärung (z.B. auf externe Zahlungsanbieter wie Paypal)
  • Hinweis auf Datenschutz im Checkout, am besten mit Bestätigungs-Häkchen für die Datenschutzerklärung (wie bei ABGs)
  • Abschluss von Auftragsverarbeitungsverträgen mit Zahlungsanbietern oder Empfängern von Kundendaten (z.B. zum Versand von Produkten)

Vorsicht bei Plugins (WordPress)

WordPress Webseitenbetreiber sollten die verwendeten Plugins durchsuchen und mit Testseiten auf DSGVO-Konformität hin vergleichen.

Typische Plugins, die nach der DSGVO Probleme machen

  • Social Media Plugins
  • Plugins, die Analytics einbindet
  • Securityplugins
  • Newslettergenerierungs-Plugins (z.B. Mailchimp)
  • Fonts-Plugins
  • Google Maps Plugins

Bitte beachte, dass nicht alle Plugins sofort gelöscht werden müssen. Sprich uns gerne hierzu an und vereinbare mit uns einen kostenlosen Beratungstermin.

Pixel und Tracking von externen Plattformen wie Facebook

Wer Marketing betreibt, möchte Erfolge tracken. Dazu werden häufig Trackingpixel in der Webseite eingebaut. Diese sind kritisch zu sehen, da durch sie bereits IP Daten zwischen den Servern getauscht werden und Profile erstellt werden. Daher rate ich generell von der Nutzung dieser Trackingmethoden ab. Müssen sie verwendet werden, frage bei der entsprechenden Plattform nach einer DSGVO-konformen Art der Einbindung. Zumindest ein Hinweis muss in der Datenschutzerklärung vorhanden sein.

Übrigens: Um herauszufinden, was überhaupt auf der eigenen Webseite so läuft, gibt es das praktische Browser-AddOn „Ghostery“, welches alle geladenen Tracker anzeigt. Diese können dann im Nachgang entfernt werden, wenn das denn möglich ist. Bei Unklarheit frage auch hier deinen WordPress-Partner.

Einbinden von Videos

Wenn du auf deiner Website YouTube-Videos verwendest, dann gibst du unbewusst die Daten deines Besuchers an YouTube weiter. Wird nämlich eine Website geladen, in der ein YouTube-Video eingebettet ist, dann „weiß“ YouTube, dass die Website soeben geladen worden ist und wer sich auf deiner Website befindet.

Du gibst also die Daten des Webseitenbesuchers – ohne dessen Einwilligung – an YouTube weiter. Das ist in Hinblick auf die DSVGO alles andere als ideal.

Recent posts
Um einen durchgängigen Marktauftritt, der Ihre Zielgruppe anspricht, festlegen zu können, benötigen Sie ein passendes Farbkonzept.
Jul 1st 2021
Hier erklären wir das Projektvorgehen zusammen mit Projektphasen, Aufgaben und Zielen jeder Projektphase.
Jun 1st 2021
In diesem Beitrag möchten wir auf 6 Hauptzeichen hinweisen, die zeigen, dass Sie eine neue Website bzw. Homepage benötigen.
Mai 1st 2021
Betreiber einer Website müssen mit der DSGVO etliche rechtliche Neurungen berücksichtigen und diese betreffen auch sogenannte Cookies.
Mrz 1st 2021
Mit E-Mail-Marketing bespielen Sie mehrere Felder: Sie senden Werbebotschaften, Sie informieren und geben Tipps zu Ihrem Angebot, aber am wichtigsten: Sie sind mit jedem Newsletter oder jeder email für Ihre Kunden und Interessenten sichtbar und bleiben im Gedächtnis
Feb 1st 2021