Die DSGVO (Datenschutzgrundverordnung) kommt…

Ab 25. Mai 2018 tritt die DSGVO in Kraft, die den Umgang mit personenbezogenen Daten von EU-Bürgern bzw. von Menschen mit Sitz in der EU regelt. Das Gesetz ist hier sehr übersichtlich aufereitet: dsgvo-gesetz.de

Wahrscheinlich ist Ihnen als Websitebetreiber die DSGVO (Datenschutzgrundverordnung) in den letzten Wochen bereits mehrfach begegnet – und entweder haben Sie sich mittlerweile bereits ausführlich mit dem Thema befasst (dann brauchen Sie an dieser Stelle nicht weiter zu lesen) oder Sie haben sie bisher mit mehr oder minder schlechtem Gewissen ignoriert.

Das Ziel der DSGVO: ein sorgfältiger Umgang mit Nutzerdaten

Im Grunde ist die DSGVO eine gute Sache. Denn schließlich ist doch klar, dass sie eine längst fällige Antwort auf die hemmungslose Datensammelei der großen Konzerne ist. Auf der anderen Seite stellt sie möglicherweise auch eine Überregulierung dar (manche Experten bezweifeln, dass im Rahmen der aktuellen DSGVO ein legaler Betrieb von Content Management Systemen wie z. B. WordPress überhaupt möglich ist), bei der fraglich ist, ob sie zu den gewünschten Veränderung führen wird: ein sorgfältiger Umgang mit Nutzerdaten.

Uns allen sollten ein sorgfältiger Umgang mit unseren eigenen – und fremden – Nutzerdaten wichtig sein. Auf der Basis dieser den meisten Menschen wohl eingängigen Übereinkunft, könnten vielleicht auch Sie, als Websitebetreiber, sich dazu durchringen, sich des Themas anzunehmen…?

Fangen wir also an. Im Grunde geht es darum, sich ein paar Gedanken zu machen und einige Fragen zu klären. Die Resultate sind interessant für Sie selbst – und für Ihre Nutzer, die Sie darüber in Ihren Datenschutzhinweisen informieren. Hier die Fragen:

  • Wer sind Sie eigentlich, welche Daten sammeln Sie und wie verfahren Sie mit den gesammelten Nutzerdaten?
  • Sammelt Ihr System (z. B. WordPress) möglicherweise Nutzerdaten?
  • Haben Sie bereits dafür Sorge getragen, dass Nutzerdaten immer sicher übertragen werden?
  • Wer bekommt die von Ihnen gesammelten Nutzerdaten – außer Ihnen selbst – sonst noch in die Hände?

Wer sind Sie eigentlich, welche Daten sammeln Sie und wie verfahren Sie mit den gesammelten Nutzerdaten?

Impressum: Sie brauchen ein rechtskonformes Impressum (die Impressumspflicht besteht seit 2007, eigentlich sollten Sie längst…) Im Impressum outen Sie sich als Betreiber Ihrer Website und informieren die Nutzer Ihres Webauftritts über die Möglichkeiten einer Kontaktaufnahme. Im Netz finden sich zahlreiche Generatoren, die Sie bei der Erstellung rechtskonformer Texte unterstützen, beispielsweise:

Datenschutzerklärung: Die Datenschutzerklärung ist im Grunde das Dokument, in dem Sie den Nutzern Ihres Webauftritts darlegen, welche Daten Sie erheben und wie Sie mit diesen Daten verfahren. Z. T. tun Sie das selbst (z. B. wenn Ihnen jemand einen Nachricht per Kontaktformular zusendet), manchmal tun das andere in Ihrem Auftrag (z. B. wenn Ihr Provider die Zugriffe auf Ihre Website aus Sicherheitsgründen aufzeichnet  oder Sie einen externen Dienst für den professionellen Newsletterversand nutzen → s. weiter unten, „Auftragsdatenverarbeitungsvertrag“).

Auch für die Datenschutzerklärung gibt es verschiedenste Generatoren im Netz, beispielsweise:

Sammelt Ihr System (z. B. WordPress) möglicherweise Nutzerdaten?

Cookie-Hinweis: Content Management Systeme wie WordPress nutzen Cookies, kleine Dateien, um die Funktionalität des Systems zu gewährleisten bzw. zu verbessern. Darauf sollten Sie Ihre Nutzer unbedingt hinweisen. Bei WordPress gibt es hierfür spezielle Plugins, beispielsweise

WordPress Plugins: Es gibt ein paar Tricks und Kniffe, wie man weitere beliebte WordPress-Plugins datenschutzkonform(er) einrichtet, beispielsweise Antispam Bee, Redirection, Kommentarfunktion, Videos etc. Wie das geht, erklärt Kerstin Paar auf ihrem Blogbeitrag: kerstin-paar.de/dsgvo-checkliste-website-blog/. Außerdem gibt sie dort auch den wichtigen Hinweis, Plugins zum Teilen unbedingt in der Datenschutzerklärung zu erwähnen!
Cool ist übrigens auch diese Seiten: zahlreiche WordPress-Plugins im DSGVO-Check, mit Lösungen, Alternativen und Plugin-Tipps:

Analysetools: Von Tools wie z. B. Google Analytics rate ich meinen Kunden generell ab – aus Datenschutzgründen :). Wie man Google Analytics dennoch datenschutzkonform betreiben kann, erklärt Kerstin Paar auf ihrem Blogbeitrag (s.o.)

Haben Sie bereits dafür Sorge getragen, dass Nutzerdaten immer sicher übertragen werden?

SSL: Sobald Nutzerdaten übertragen werden, z. B. wenn jemand Ihr Kontaktformular ausfüllt und absendet, muss dies über eine verschlüsselte Verbindung geschehen. Ob Ihre Website verschlüsselt ist, sehen Sie am kleinen grünen Vorhängeschloss in der Browserzeile. Mehr Infos zu SSL finden Sie hier: Das Internet soll sicherer werden…
(Wenn Sie keine Nutzerdaten übertragen, muss Ihre Website nicht über eine verschlüsselte Verbindung angeboten werden; möglicherweise ist es aber dennoch sinnvoll, weil SSL inzwischen ein Rankingfaktor bei Suchmaschinen ist.)

Wer bekommt die von Ihnen gesammelten Nutzerdaten – außer Ihnen selbst – sonst noch in die Hände?

Wenn Sie als Websitebetreiber Nutzerdaten sammeln, haben meist nicht nur Sie selbst Zugriff auf diese Daten. Neben Ihren Mitarbeitern sind dies häufig auch die von Ihnen beauftragten Dienstleister. Damit sich auch diese an Ihre Regeln halten, sollten Sie mit Ihren Dienstleistern entsprechende Verträge („Auftragsdatenverarbeitungsvertrag“) schließen.

Webhosting: So sollten Sie z. B. mit Ihrem Hostinganbieter (Provider) einen Auftragsdatenverarbeitungsvertrag schließen. Die Hostinganbieter sind sich ihrer Verpflichtung bewusst und werden von Ihrer Anfrage nicht überrascht sein :). Infos zum Auftragsverarbeitungsvertrag mit verschiedenen Hostern finden Sie beispielsweise hier:

Newsletter per Mailchimp: Wenn Sie externe Anbieter für Ihren Newsletterversand nutzen, hat das zwei Konsequenzen: ersten sollten Sie wieder einen Vertrag zur Auftragsdatenverarbeitung abschließen (der Link zur entsprechenden Seite bei Mailchimp: mailchimp.com/legal/forms/data-processing-agreement/) und zweitens sollten Sie in Ihrer Datenschutzerklärung angeben, wie Sie mit den so gewonnen Daten umgehen. Sehr ausführlich ist dies alles hier erklärt: drschwenke.de/mailchimp-newsletter…

Auftragsdatenverarbeitungsvertrag: Natürlich sollten Sie auch bedenken, mit allen weiteren Dienstleistern entsprechende Verträge abzuschließen, die mit den Daten Ihrer Nutzer in Berührung kommen. Das kann z. B. Ihr Webmaster sein, oder auch Ihr Steuerberater. Auf der Website des Bayerischen Landesamtes für Datenschutz gibt es entsprechende Handreichungen:

Weitere Links und mein persönlicher Disclaimer

Hier noch ein paar weitere hilfreiche Websites, auf die ich bei meinen Recherchen gestoßen bin:

Zum Abschluss noch ein Hinweis in eigener Sache:  Ich habe mich mit den Bestimmungen der DSGVO zwar  beschäftigt, aber ich bin weder Juristin noch Datenschutzexpertin. Obwohl ich sorgfältig auf die Richtigkeit der oben veröffentlichten Informationen achte, übernehme ich hinsichtlich deren inhaltlicher Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit sowie für etwaige Rechtsfolgen, die sich aus deren Umsetzung ergeben, keinerlei Gewähr. Dieser Artikel stellt keine Rechtsberatung dar – wenden Sie sich bei entsprechenden Fachfragen bitte immer an einen qualifizierten Experten.