[Letzte Update: 26.4.2018] Die neue DSGVO (Datenschutz-Grundverordnung), die ab dem 25.5.2018 in Kraft tritt verlangt von Website-Betreibern gewisse Hinweise und Einstellungen um die Privatsphäre der Besucher zu schützen. Mehr Infos dazu findest du z.B. hier: https://www.e-recht24.de/datenschutzgrundverordnung.html.

Die Datenschutzgrundverordnung gilt für:

1.) Alle Unternehmen, die in der EU ansässig sind.

2.) Unternehmen die personenbezogene Daten von EU-Bürgern verarbeiten (du hast z.B. dein Unternehmen in der Schweiz oder Singapur, aber sammelst Daten von europäischen Kunden).

 

Personenbezogene Daten sind z.B.:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtstag
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten
  • IP-Adressen
  • Cookies

Auch wenn du (so wie ich) auf solche Geschichten gar keine Lust hast und du nur „Bahnhof – umsteigen“ verstehst, musst du hier mitmachen, sonst drohen empfindliche Geldstrafen! (4 % vom Umsatz des Vorjahres).

Disclaimer – ACHTUNG

Ich bin keine Juristin. Aber selbst betroffen und meine Kunden auch. Deshalb habe ich mich ausführlich mit dem Thema auseinandergesetzt und das (derzeit) Wichtigste (so wie ich es verstanden habe!) umgesetzt.

Ich übernehme keinerlei Haftung und erhebe keinen Anspruch auf Vollständigkeit oder Richtigkeit!

Wenn du vollkommen auf Nummer sicher gehen willst, ziehe einen Fachanwalt zu Rate!

 

Die folgende Punkte gelten für Blogger, Freelancer, Onlinemarketer etc.. Wenn du einen Onlineshop betreibst, gelten weitere Regeln, die hier nicht angesprochen werden.

Neue DSGVO – Liste der nötigen Umsetzungen

NEU! Lade dir hier die Checkliste zur neuen DSGVO herunter:

Hast du Folgendes im Einsatz? Hier gilt Handlungsbedarf! (unten werden sie im einzelnen erklärt)

  1. Google Analytics
  2. Datenschutzerklärung
  3. Verarbeitungsverzeichnis
  4. Kontaktformular
  5. Kommentarfunktion
  6. Social Plugins (Facebook & Co.)
  7. Newsletter
  8. SSL – verschlüsselte Kommunikation (https statt http)
  9. Cookies
  10. Auftragsdatenverarbeitungsvertrag (ADV)
  11. Du bist selbst Auftragsdatenverarbeiter (Webdesigner & Co. aufgepasst!)
  12. Google Fonts und Icons
  13. Youtube-Videos
  14. Facebook-Pixel

 

1. Google Analytics

Du nutzt Google Analytics um die Besucherzahlen deiner Website zu messen? Dann musst du folgende Punkte abhaken:

a) die IP-Adressen müssen anonymisiert werden. Dazu muss der Code von Google angepasst bzw. erweitert werden. Den Code findest du idR. in der header.php deines Themes (Design -> Editor -> rechte Spalte: nach header.php suchen). Eine genaue Anleitung dazu findest du hier: IP-Adresse anonymisieren.

b) in deiner Datenschutzerklärung musst du darauf hinweisen, dass du Google Analytics verwendest UND eine Opt-out-Funktion einbinden (wie das geht steht ebenfalls im obigen Link).

Den Code für die Anonymisierung der IP-Adressen und den Opt-Out-Cookie findest du auch hier (Punkt 2): datenschutzbeauftragter-info.de

c) mit Google den schriftlichen Vertrag abschließen: Diesen Mustervertrag von Google zweimal ausdrucken, auf Seite 2 die dort geforderte Bestätigung unterschreiben und am Ende des Vertrages (Anlage 1) ebenfalls unterschreiben.

Das Ganze mit Rückumschlag (Umschlag muss an dein Unternehmen adressiert sein – das Porto übernimmt Google)  vollständig an die Adresse der Google Ireland Ltd. in Dublin schicken. Die Adresse steht ebenfalls auf dem 2. Blatt.

Später (das kann Wochen und Monate dauern) erhältst ein Exemplar des Vertrags unterschrieben zurück.

d) zusätzlich schließt du den elektronischen Vertrag mit Google sofort ab. Dazu gehst du in dein Google Konto auf Verwalten -> Kontoeinstellungen.

Ganz unten siehst du: „Zusatz zur Datenverarbeitung“. Zusatz anzeigen lassen, annehmen und speichern.

Achtung: hast du mehrere Website bei Google, dann musst du dies für jede einzelne tun.

Ist dir dies Prozedere mit Google zu viel, dann überlege ob du ein alternatives Tool zur Auswertung deiner Websitebesucher nutzen willst: Matomo oder Canecto z.B..

2.) Datenschutzerklärung

Auch wenn du Google Analytics nicht nutzt – deine Website braucht definitv eine! Diese wird sicherlich ausführlicher und länger sein als bisher.

Hierin musst du auf alle Dinge hinweisen mit denen du Daten sammelst.

(Facebook Pixel, Hoster (all-inkl. & Co.), Kommentare, Kontaktformular, Newsletter, Google usw.)

Einen Mustertext für deine Datenschutzerklärung findest du hier: Muster-Disclaimer von eRecht24.de

3.) Verarbeitungsverzeichnis

Die DSGVO möchte dass du dir eine Liste erstellst an welchen Stellen deiner Website zu Daten sammelst, speicherst und was mit den Daten passiert. Zusätzlich warum du dies tust und wo du die Daten speicherst. Dies kann dazu dienen zu überlegen ob du diese Daten überhaupt brauchst und nutzt.

a) Regulär sammelst du bei diesen Aktionen die Daten deiner Besucher: Kommentare, Newsletter-Optin, Kontaktformular, Social-Plugins usw..

Bei einer selbstgehosteten WordPress-Website werden in diese direkt in der WP-Datenbank gespeichert (Name, Website, E-Mail, IP-Adresse und der Text/die Nachricht an sich).

Zugriff auf die Daten in WordPress hast du mit der IP-Adresse oder Email des Users. Dort kannst du alle gesammelten Daten ansehen und ggf. löschen.

ACHTUNG: Solltest du erst jetzt die Daten der User anonymisieren, bist du verpflichtet alle zuvor gespeicherten Daten komplett zu löschen!!! (da sie nicht mit der Zustimmung der Besucher gesammelt wurden)!!!

b) Hinzu kommt die Namen und Anschriften von Kunden denen du eine Rechnung ausstellst oder ein schriftliches Angebot schickst.

c) Des weiteren gibst du u.U. Daten an deine Mitarbeiter, virtuelle Assistenten etc. weiter. Mit denen musst du eine Verschwiegenheitserklärung abschließen!

Tipp: Ein Muster findest du hier: Verschwiegenheitserklärung von Active Mind

 

Um die einzelnen Daten-Sammel-Stellen abzusichern, kommt hier die einzelne Anleitung:

4.) Kontaktformular

Update 26.4.18! Der Datenschutz-Guru meint: Diese Checkbox ist „Bullshit“ und überflüssig: datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/

Ein Hinweis dass die Daten (Name und Email) gespeichert und zur weiteren Nutzung verarbeitet werden reiche völlig aus….

Wie du das nun handhaben willst, liegt bei dir….

Dies war der bisherige Kenntnisstand: Sobald die Website-Besucher dich mithilfe eines Kontaktformulars (in WordPress das Formular von „Contact Form 7“) anfunken können, braucht es folgende Neuerung:

Es muss ein Hinweis und eine Checkbox eingefügt werden. Hier können User bestätigen, dass sie die Datenschutzbestimmungen akzeptieren. Die Checkbox darf nicht standardmäßig aktiviert sein! Das sieht dann in etwa so aus:

dsgvo kontakt checkbox

Dies geht am besten mit einem Plugin:  WP GDPR Compliance

Frage im Formular nur die absolut wichtigen Daten ab! Name und Email. Mehr nicht. Telefonnummer und weitere private Daten sind nicht zulässig!

5.) Kommentarfunktion

a) Kann ich auf deiner Website/Blog einen Kommentar hinterlassen?

Dann nutze auch hier das in Nr. 4) erwähnte Plugin und setze die erforderliche Checkbox ein!

b) Ist es deinen Lesern erlaubt Kommentare und Beiträge zu abonnieren?

Dann braucht es das Double-Opt-In-Verfahren (der User muss per Email bestätigen, dass er das wirklich abonnieren will). Auch hierfür gibt es mit Subscribe to „Double-Opt-In“ Comments ein Plugin, dass diese Aufgabe übernimmt.

c) Nutzt du ein Antispam-Plugin wie z.B. Akismet? Dann raus damit! Akismet hält sich nicht an die europäischen Gesetze.

Verwende besser Antispam Bee.

6.) Social Plugin

Schon länger ist es nicht erlaubt ein Plugin für das Liken und Teilen deiner Blogbeiträge zu nutzen dass mithilfe eines Buttons direkt mit Facebook & Co. verbunden ist und die Daten an diese übermittelt.

Beispiel: So etwas wie dies hier, wo direkt ein „Like“ abgegeben werden kann ist nicht erlaubt:

dsgvo social media plugin

Möchtest du das Feature „teilen“ trotzdem nutzen, verwende das Plugin „Shariff Wrapper“.

Das soll datenschutzkonform sein. (Alle Angaben ohne Gewähr!!!)

 

Generell gilt: Sobald die Daten eines Users ohne Einwilligung irgendwo hingeschickt werden, ist dies nicht erlaubt!

7.) Newsletter

Das Double-Optin ist ja eh schon Pflicht und bekannt.

UND: Jede weitere Email im Newsletter muss klar erkennbar einen Link zur Abmeldung enthalten!

Das Impressum und gern auch die Datenschutzerklärung sollen in jedem Newsletter verlinkt sein!

a) NEU: Außerdem muss der User bei der Eingabe seiner Kontaktdaten ebenfalls wieder aktiv den Datenschutzbestimmungen zustimmen/darüber informiert werden. (am besten mit einer Checkbox direkt beim Opt-In-Formular)

Das könnte dann so aussehen:

DSGVO Optin Beispiel

Du kannst auch schreiben: „Deine Daten werden vertraulich behandelt! Näheres in der Datenschutzerklärung“ (diese verlinken).

Achtung! Nicht alle Emailprovider sind rechtskonform! 

Prüfe das genau und schließe mit dem jeweiligen Anbieter einen Auftragsdatenverarbeitungsvertrag ab und erweitere deine Datenschutzerklärung.

Ausführlich erklärt hier für Mailchimp: Beispiel für Ergänzung der Datenschutzerklärung von Dr. Schwenke

Informiere dich immer direkt bei deinem Provider ob die nötigen Punkte für die DGSVO eingehalten werden.

Schließe mit deinem Emailprovider in jedem Fall einen Auftragsdatenverarbeitungsvertrag ab! Das ist ein Muss!

 

b) NEU: Des weiteren gibt es mit der DSGVO ein echtes Kopplungsverbot. Newsletter-Eintragungen dürfen dann nicht mehr an den Download von bestimmten Inhalten wie Freebies, Whitepaper, Checklisten u.ä. gekoppelt werden!

Der sicherste Weg ist daher zukünftig den Lead Magneten frei herunterladbar zu gestalten und die Anmeldung zum Newsletter gesondert anzubieten.

Ansonsten machen es Viele so, dass sie den Newsletter-Eintrag anbieten und dazu ein Freebie verschenken.

Alternativ kannst du auch dein Freebie parallel kostenlos gegen die Email-Adresse und daneben kostenpflichtig (zum realistischen fairen Preis) anbieten.

Wichtig ist dass der neue Email-Besitzer klipp und klar darüber informiert wird dass er sich für eine NL-Folge anmeldet (die er aber sofort wieder durch Abmeldung beenden kann).

[Update 11.4.18]: Hier erklärt die Datenschutzbeauftragte Anita Leferenz genau wie du dieses Problem am besten löst: freebies nach dsgvo

8.) SSL – verschlüsselte Kommunikation

Sobald Daten auf deiner Website eingegeben werden (bei Kommentaren oder im Kontaktformular) muss die Verbindung verschlüsselt sein.

Solange du noch nicht von http auf https hast umstellen lassen, erscheint oben im Browser links neben der URL ein Kreis mit einem „i“. Klickst du drauf siehst du: Verbindung nicht sicher.

Um von http auf https (sichere SSL-Verschlüsselung) umzustellen, musst du deinen Hoster (dort wo deine Website gehostet ist) kontakten bzw. dort Einstellungen ändern.

9.) Cookies

Cookises sind kleine Textdateien, die beim Surfen auf dem Computer (im Browser) abgespeichert werden. Mit ihnen lässt sich nachverfolgen, welche Webseiten der Nutzer besucht hat. Dies hat zum Ziel, passende Werbung zu schalten oder per Google Analytics den Traffic zu analysieren.

Es ist Pflicht auf die Verwendung von Cookies hinzuweisen. Dies geht ganz leicht mit einem Plugin wie z.B. „WP Cookie Notice„.

Achte darauf dass dieses kleine Popup nicht den Link zum Impressum und der Datenschutzerklärung verdeckt!

10.) Auftragsdatenverarbeitungsvertrag (ADV)

Daten, die über deine Website gesammelt werden, landen nicht nur bei dir, sondern auch bei anderen Anbietern mit denen du zusammenarbeitest.

Überlege dir bei welchen Unternehmen Kundendaten von dir noch aufbewahrt werden. Das können sein:

  • dein Newsletter-Dienste (mailchimp, clever reach, klicktipp usw.)
  • dein Email-Anbieter (web.de, gmx usw.)
  • dein Webinar-Anbieter (z.B. webinarjam, webinaris usw.)
  • dein Produkt-Verkäufer (Edudip, elopage usw.;  digistore gehört nicht dazu, mit denen brauchst du keinen ADV!!!)
  • Cloud-Speicher-Dienste (Dropbox & Co.)
  • Hoster (all-inkl.com, strato)
  • Google-Dienste (docs, drive, Analytics)
  • Homepage-Baukästen und Blog-Plattformen (jimdo, wix, wordpress.com)
  • Terminplanungs-Tools (youcanbook.me & Co.)
  • Soziale Netzwerke (facebook (wenn erweiterte Dienste genutzt werden wie Lookalike/Custom Audience, Pixel), linkedin)
  • Virtuelle Assistenten, Webdesigner usw. (alle die Login-Daten erhalten)
  • Plugins
  • Sonstige: Dienste wie trello, slack, adobe, Microsoft u.a.

 

Da du als UnternehmerIn für die Sicherheit der Daten verantwortlich bist, gilt es einen Auftragsdatenverarbeitungsvertrag  mit all diesen externen Dienstleistern abzuschließen. Und zwar für jeden einzelnen.

Dein Verarbeitungsverzeichnis (Punkt 3) liefert dir eine Übersicht wer das genau ist.

Tipp 1: Ab 1. Mai soll dieser Auftragsdatenverarbeitungsvertrag  per Mail abzuschließen sein, derzeit ist es noch schriftlich zu machen. Also gerne bis dahin warten!

Wer es jetzt schriftlich machen will, hier ein Muster für den Auftragsdatenverarbeitungsvertrag.

Tipp 2: Auf englisch heißt der ADV: order privacy agreement.

Tipp 3: Hier findest du eine tolle Liste von Diensten die du evtl. selbst nutzt und den aktuellen Stand, ob und wo du einen ADV mit ihnen abschließen kannst: blogmojo.de/adv-verträge/

 

11. Du bist selbst Auftragsverarbeiter?

Wenn du von Kunden Aufträge erhältst in denen sie dir ihre Login-Dateien zur Verfügung stellen brauchst du zwei Dinge:

a) einen eigenen Auftragsverarbeitungsvertrag (am besten digital auf deine Website stellen und Kunden zustimmen lassen)

b) mit jedem Kunden eine Verschwiegenheitserklärung abschließen. Ein Muster findest du hier: Verschwiegenheitserklärung von Active Mind

Dies gilt für virtuelle Assistenten, Programmierer, Social Media Manager etc.. Für Webdesigner gilt: Wer nur die Website erstellt braucht keine. Wer auch Support anbietet schon.

12. Du nutzt Google Fonts?

Das solltest du dringend ändern. Am besten lädst du dir die gewünschten Schriften auf deinen Server und koppelst dich von Google ab.

13. Du hast Videos auf deiner Website von Youtube eingebunden?

Auch hier gilt Handlungsbedarf. Was du genau tun musst steht hier: blogmojo.de/youtube-videos-datenschutzkonform-einbetten/

14. Du verwendest den Facebook-Pixel?

Dann schau dir diesen Artikel von Dr. Schwenke an: drschwenke.de/facebook-pixel-voraussetzungen-fuer-einen-rechtssicheren-einsatz/

Hier gibt es eine Anleitung wie du den Pixel rechtssicher auf deine Website einbinden kannst: facebook-pixel-rechtssicher-dsgvo

Dazu ist ein wenig Code einfügen nötig.

 

Summasummarum: Das ist echt reichlich und auf den 1. Blick überfordernd. Ich weiß. Am besten arbeitest du dich Punkt für Punkt durch und erledigst die Aufgaben. Jammern nützt nix!

Solltest du Ergänzungen oder Verbesserungen haben, freue ich mich über deinen Kommentar!

Herzlichen Dank,

Ines

NEU! Lade dir hier die Checkliste zur neuen DSGVO herunter:

PS: Folgende Beiträge habe ich beim Zusammenstellen dieses Artikels genutzt:

Datenschutzverordnung von e-Recht24

Emailmarketing DSGVO

Google Analytics datenkonform einsetzen

Muster Dokumente & Vorlagen für den Datenschutz

 

PPS: Weitere wertvolle Tipps und Links hat Frau Monika Birkner in ihrem Fahrplan zur DSGVO zusammengestellt: Fahrplan zur DSGVO