Bei Innovio Solutions sind wir Software Experten, Berater und Entwickler und keine Juristen. Dementsprechend ist dies keine Rechtsberatung und kann eine solche nicht ersetzen. Im Zweifelsfall wende dich bitte an einen Rechtsanwalt.
Webseitenbetreiber müssen mit der DSGVO etliche rechtliche Neuerungen berücksichtigen. Gerne stehen wir dir mit Rat und Tat zur Seite. In diesem Beitrag erklären wir, wie du deinen Internetauftritt DSGVO-konform gestaltest.
Die Besucher deiner Webseite müssen sich darauf verlassen können, dass ihre Daten vertraulich und mit Integrität (Datensicherheit) behandelt werden. Um dieses zu gewährleisten soll die Datenübermittlung verschlüsselt erfolgen. Ohne besondere Vorkehrungen ist der Übertragungsweg zwischen Servern und dem Browser deiner Besucher grundsätzlich nicht verschlüsselt. Das bedeutet: keine Sicherheit. Alle Daten sind im Prinzip von Dritten einsehbar, z.B. Passworteingaben, persönliche Daten, Eingaben in Formularen und Feldern etc.
Ein wichtiger Schritt zur Absicherung und Verschlüsselung des Lade- und Übertragungsweges ist der Einsatz eines SSL Zertifikats. Damit wird einerseits die Datenübertragung verschlüsselt und sicher, andererseits schafft es Vertrauen, wenn du als Webseitenbetreiber ein „https“ statt nur „http“ vor deiner Adresse anbietest. Suchmaschinen bevorzugen ebenfalls sichere Seiten. Das SSL Zertifikat kannst du über deinen Webhosting-Provider beziehen und implementieren. Preise beginnen ab ca. 129€/Jahr für einfache Webseiten.
Cookies sind kleine Textdateien, die von einer Website an den Browser geschickt und auf deinem Rechner gespeichert werden. Da die Cookie Thematik etwas komplexer ist, findest du alle weitere Infos in unserem Beitrag Cookies DSGVO-konform einsetzen.
Die DSGVO beinhaltet neue Richtlinien für die Datenschutzerklärung, die auf jeder Webseite, die Daten verarbeitet, Pflicht sind.
Folgende Inhalte werden dabei empfohlen:
Unser Tipp: Es gibt im Internet gute Generatoren für die Zusammenstellung einer neuen Datenschutzerklärung, wie beispielsweise der für Privatunternehmen und Kleinunternehmer kostenlose Datenschutz Generator oder das kostenpflichtige Angebot von eRecht24. Oder gib alternativ „Datenschutzerklärung DSGVO“ in eine Suchmaschine ein: Auch hier werden gute Ergebnisse angeboten.
Generell hat sich am Impressum nichts geändert. Es muss vorhanden sein und sollte valide sein. Allerdings verweisen viele Ratgeber darauf, dass man zwingend den Hinweis auf die „Online Streitbeilegung“ und den Hinweis zur „Außergerichtlichen Streitbeilegung“ einfügen sollte. Das sollte zum Beispiel folgendermaßen aussehen:
Online-Streitbeilegung
Die Europäische Kommission stellt unter https://ec.europa.eu/consumers/odr/ eine Plattform zur Online-Streitbeilegung bereit, die Verbraucher für die Beilegung einer Streitigkeit nutzen können und auf der weitere Informationen zum Thema Streitschlichtung zu finden sind.
Außergerichtliche Streitbeilegung
Wir sind weder verpflichtet noch dazu bereit, im Falle einer Streitigkeit mit einem Verbraucher an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.
Wer über Formulare auf seiner Webseite Daten sammelt (e-Mail, Adressdaten, Logins, Kommentarfelder etc.) und diese dann verarbeitet (zum Beispiel Empfang einer Anfrage im Mailpostfach, Speichern in einer Datenbank, etc.), der muss darauf hinweisen. Ebenso darauf, wie mit den Daten verfahren wird und wie lange sie gespeichert werden. Am besten baut man hierzu im Kontaktformular einen Haken für die Datenschutzerklärung ein (z.B. mit dem Plugin WP GDPR Compliance) und weist mit einem kurzen Absatz direkt am Formular darauf hin. Dieser könnte zum Beispiel folgendermaßen aussehen:
Ja, ich habe die Datenschutzerklärung (Link zur Datenschutzerklärung) zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden.
Einen Vertrag zur Auftragsverarbeitung (AVV) muss nach EU-Datenschutz-Grundverordnung (DSGVO) jede verantwortliche Stelle abschließen, die personenbezogene Daten im Auftrag verarbeiten lässt. Sobald du personenbezogene Daten auf einem externen System speicherst bzw. verarbeitest, musst du dies nach Art. 28 DSGVO rechtlich absichern.
Mehr zu diesem Thema findest du hier IP-Anonymisierung (oder IP-Maskierung) in Google Analytics
Ein Problem für Webseitenbetreiber (insbesondere bei WordPress basierten Webseiten) ist es, dass häufig externe Scripte (wie jQuery) oder auch Schriften (wie Google Fonts) von externen Servern geladen werden. Durch das Laden werden bereits Daten mit dem Server ausgetauscht, der die Scripte bereitstellt. So zum Beispiel die IP Adresse des anfragenden Rechners oder Endgeräts. Daher sollten diese Scripte wenn möglich lokal geladen werden.
Bei Schriften wie Google Fonts, kann man lokal laden und das Laden von externen Servern unterbinden. WordPress Premium Themes laden gerne direkt vom Server von Google. In unserem Beitrag Google Fonts DSGVO-konform einbinden erfährst du mehr zu diesem Thema.
Alles rund ums Thema Newsletter findenst du in unserem Beitrag Newsletter DSGVO-konform einsetzen.
Auch Online-Shops, wie z.B. WooCommerce, müssen schon lange datenschutzkonform sein. Wichtig, auch wegen der DSGVO, ist es zu prüfen, ob im Kaufprozess alles valide ist und der Aufklärungspflicht nachgekommen wird. Es werden definitiv benötigt:
WordPress Webseitenbetreiber sollten die verwendeten Plugins durchsuchen und mit Testseiten auf DSGVO-Konformität hin vergleichen.
Typische Plugins, die nach der DSGVO Probleme machen
Bitte beachte, dass nicht alle Plugins sofort gelöscht werden müssen. Sprich uns gerne hierzu an und vereinbare mit uns einen kostenlosen Beratungstermin.
Wer Marketing betreibt, möchte Erfolge tracken. Dazu werden häufig Trackingpixel in der Webseite eingebaut. Diese sind kritisch zu sehen, da durch sie bereits IP Daten zwischen den Servern getauscht werden und Profile erstellt werden. Daher rate ich generell von der Nutzung dieser Trackingmethoden ab. Müssen sie verwendet werden, frage bei der entsprechenden Plattform nach einer DSGVO-konformen Art der Einbindung. Zumindest ein Hinweis muss in der Datenschutzerklärung vorhanden sein.
Übrigens: Um herauszufinden, was überhaupt auf der eigenen Webseite so läuft, gibt es das praktische Browser-AddOn „Ghostery“, welches alle geladenen Tracker anzeigt. Diese können dann im Nachgang entfernt werden, wenn das denn möglich ist. Bei Unklarheit frage auch hier deinen WordPress-Partner.
Wenn du auf deiner Website YouTube-Videos verwendest, dann gibst du unbewusst die Daten deines Besuchers an YouTube weiter. Wird nämlich eine Website geladen, in der ein YouTube-Video eingebettet ist, dann „weiß“ YouTube, dass die Website soeben geladen worden ist und wer sich auf deiner Website befindet.
Du gibst also die Daten des Webseitenbesuchers – ohne dessen Einwilligung – an YouTube weiter. Das ist in Hinblick auf die DSVGO alles andere als ideal.