Dieser Artikel wird aufgrund seiner Wichtigkeit bis auf Weiteres beständigt aktualisiert.
Letztes Update: 28.04.2018
Die Datenschutz-Grundverordnung – DSGVO und das BDSG (neu) werden ab 25. Mai 2018 anwendbar.
Viele Website Betreiber – egal ob eCommerce Shop, Verein, Firmen Website oder private Website / Blog – sind verunsichert wie die eigene Internetpräsenz rechtssicher für das neue Gesetz umzustellen ist. Wir helfen Ihnen gerne weiter.
Den Gesetzestext erreichen Sie unter anderem hier: https://dsgvo-gesetz.de
Bitte beachten Sie:
Wir geben an dieser Stelle keinerlei rechtsverbindliche Auskunft. Diese kann rechtssicher nur von entsprechenden juristischen Personen erteilt werden. Sie können sich also im Zweifelsfall NICHT auf unsere Informationen berufen. Wir geben Ihnen jedoch einige praxisnahe Beispiele und Empfehlungen dafür was aus technischer Sicht auf Ihrer Website geändert werden sollte / muss.
Hintergrund:
Die (neue) EU-Datenschutzgrundverordnung schützt die persönlichen Daten des EU-Bürgers (nicht nur im Internet) ab 25.5. 2018 deutlich besser. Zwei wesentliche Aspekte dabei sind a.) die Informationspflicht des Datenerhebenden (bei Websites: welche Daten werden erhoben , zu welchem Zweck) sowie b.) Widerrufsrecht / Recht auf „vergessen“ / Löschen von Daten. c.) Schutz vor Datenmissbrauch.
Dieser Gesetzesbeschluss, welcher Ende Mai 2018 in Kraft tritt und sicherlich gut für die eigene Datensicherheit ist, stellt mitunter selbst kleine Website Betreiber vor enorme Aufgaben. Denn von nun an gilt es ALLE Daten die erfasst werden, sei es durch eigene Formulare oder Scripts von Dritten (wie Besucher Statistiken) zu hinterfragen.
Wir wollen Ihnen an dieser Stelle eine unverbindliche Informationshilfe sein und bieten Ihnen am Ende dieser Seite an uns konkret mit Aufgaben bzgl. DSGVO zu beauftragen.
1. Kontaktformulare / SSL Verbindung
1.1. Bereits seit dem 1.01.2016 gilt eine Pflicht für eine SSL-Verbindung (https://) zu Websites mit Kontaktformularen (§ 13 Abs. 7 TMG). Betreiber von Websites innerhalb der EU, die über Kontaktformulare Daten erheben sollten auf ein SSL Zertifikat umstellen.
Ohne eine SSL Verbindung könnten Daten von Kontaktformularen beim Abschicken von Dritten abgegriffen werden, ein Datenschutz wäre somit hinfällig. Bei vielen Providern, 1und1, strato, host europe etc. ist ein SSL Zertifikat kostenpflichtig es gibt allerdings auch kostenlose Zertifikate.
Neben dem reinen aktivieren des Zertifikats muss, je nach Programmierung der Website sicher gestellt werden, daß alle Resourcen wie Bilder, Scripts, Schriften etc. auch jeweils über eine https Verbindung eingebunden werden, da nur ein einziger nicht sicherer Verweis (in Form eines includes) die Sicherheit der gesamten Verbindung zunichte macht.
1.2. Ihr Kontaktformular sollte am Ende stehts eine Checkbox zur Zustimmung Ihrer Datenschutzbestimmungen enthalten. Ohne Zustimmung kein Absenden und Weiterverarbeiten der Daten.
1.3. Neben dem Kontaktformular sollte ein Link auf die Datenschutzbestimmungen (entsprechende Passage) platziert werden, wie die Daten verwendet werden und ein Widerrufsrecht aufgeklärt werden.
2. Google Analytics / Statistiktools
Beim Einsatz von Besucherstatistik Tools wie Google Analytics, Piwik (jetzt Matomo) ist ein Hinweis in der Datenschutzerklärung notwendig. IP-Adressen müssen anonymisiert erfasst werden.
3. Youtube Videos datenschutzkonform einbetten
Schon der Aufruf einer Webpage mit eingebettetem YouTube-Inhalt kann eine Verbindung zum Google-Werbenetzwerk DoubleClick aufnehmen, und dass selbst dann, wenn das eingebettete Video selbst weder automatisch abgespielt oder angeklickt wurde. Der Besucher muss aber numehr in der Datenschutzerklärung umfassend informiert werden, insbesondere über die durch den Seitenaufruf gesetzten Cookies und die dadurch ausgelöste Datenverarbeitung.
Sie sollten Youtube-Videos im erweiterten Datenschutzmodus eingebetten:
Youtube bietet diese Möglichkeit an: Teilen → Einbetten → Mehr anzeigen → Erweiterten Datenschutzmodus aktivieren.
Aus dem Link „www.youtube.com“ wird „www.youtube-nocookie.com“.
http://www.heise.de/ct/ausgabe/2016-1-YouTube-Videos-datenschutzkonform-einbetten-3046316.html
4. Facebook Like Buttons, Google+ gefällt mir und Co.
Das LG Düsseldorf hat entschieden, dass die Funktion des Like-Buttons von Facebook gegen deutsches Datenschutzrecht verstößt, da das Plugin personenbezogene Daten der Webseitenbesucher ungefragt an Facebook überträgt (LG Düsseldorf, Urt. v. 09.03.2016, Az. 12 O 151/15 / Urteil als PDF). Das Urteil ist noch nicht rechtskräftig (Stand Mai 2016).
Im Falle einer WordPress basierten Website sollte man unbedingt handeln, die entprechenden Plugins deaktivieren und stattdessen z.B. das Plugin https://wordpress.org/plugins/shariff/ einsetzen.
5. Cookie Hinweis Text
5.1. Mit einem optisch unschönen Cookie Hinweistext wurde schon jeder in der Vergangenheit konfrontiert. Dies ist nun beim Einsatz von Cookies zwingend erforderlich. Sie müssen den Besucher darüber informieren welche Cookies über ihn gesammelt werden und dem Website Besucher die Möglichkeit erlauben dies ausdrücklich zu unterbinden.
5.2. Cookies können technischer Natur sein (um beispielsweise bestimmte vorherigen Einstellungen beim wiederbesuch der Website wieder herzustellen), Daten wie zuvor besuchte Artikel (Kosmusgüter) zur Analyse heranzuziehen uvm. Cookies können vom einfachen anoymen Besucherzähler bis hin zum komplexen Profiling alles mögliche über Ihren Website Besucher sammeln. Diese Daten gilt es nun klar auf den Tisch zu legen und den Besucher vor die Frage zu stellen ob er dem entsprehend einwilligt.
6. Datenschutz Hinweis Text
6.1. Alles worüber Ihr Website Besucher informiert werden muss mündet letztlich in einem Datenschutz Text der für Ihre Website (und die darin verwendeten Datenerhebungsmethoden wie Besucherzähler, Kontaktformular, eCommerce Onlineshop Informationen) gültig.
6.2. Bestenfalls berät Sie bei der Erstellung eines solchen Datenschutztextes ein Fachanwalt.
6.3. Es gibt inzwischen allerdings auch „Datenschutz Textgeneratoren“ DSGVO konform, die nach Angabe der Stammdaten und verwendeter Werkzeuge wie Formulare, Analysetools und WordPress PlugIns entsprechend aus Mustertextblöcken einen Datenschutz Text „zusammenbauen“. Durch diese Automatisierung ist eine Nachkontrolle dringend anzuraten.
Generator der inzwischen recht bekannten Medienkanzlei „WILDE BUEGER SOLMECKE“ finden Sie hier:
https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/
Andere entsprechend unter „Datenschutzrecht Generator“ bei beliebten Suchmaschinen…
7. Holzhammer Methode
7.1. Keine Lust auf das DSGVO ? Komplizierte Umstellungen und Differenzierung der einzelnen Dienste? Kein Problem!
Informieren Sie beim Aufrufen Ihrer Website VOLLUMFÄNGLICH über alle Datenerhebungen , Risiken, Verwendung der Daten und fordern Sie zu eine Einwilligung auf oder verbieten Sie (technisch) das weitersurfen auf Ihrer Website…
Sie merken hier ist schon etwas Galgenhumor gefragt. So schön das DSGVO für den Endkunden sein mag, so wenig ist es doch aktuell für viele in der Praxis ohne hohenAufwand umsetzbar.
8. geht es auch OHNE Mehrkosten / Aufwand weiter ?
8.1. Selbstverständlich ist auch der Betrieb einer Website nach dem DSGVO ohne Änderungen denkbar und praktizierbar. Erheben Sie schlichtweg keinerlei Besucherdaten mehr:
- Verzicht auf Besucherstatistiken
- Verzicht auf Kontaktformulare
- Verzicht auf Facebook & Co. Like Buttons
- Verzicht auf („falsch“) eingebettete Youtube, Vimeo u.a. Videos
- VERZICHT AUF ALLES WAS IHREN WEBSITE BESUCHER PROTOKOLLIERBAR MACHT
Nachtrag 05.06.2018 -besser ist JEDE Website verfügt über einen Datenschutz Hinweis Text (Privacy Policy) denn selbst bei einer leeren Seite werden auch Informationen über die IP Adresse des Benutzers an das Webserver Protokoll übermittelt.
vgl:
https://www.youtube.com/watch?v=VIMAXEmpXOE
9. mögliche Konsesquenzen bei Missachtung des DSGVO
Die Vemutung liegt nahe, dass mit Wirkung des DSGVO wieder sogenannte Abmahnanwälte bzw. Kanzleien auf den Plan treten, die hier ein lukratives Geschäftsfeld wittern.
Bei Kontaktformularen ohne SSL Verbindung:
https://www.datenschutzbeauftragter-info.de/bussgeld-fuer-kontaktformulare-ohne-verschluesselung/
Wir bieten Ihnen die Prüfung und technische Umstellung Ihrer Website auf das DSGVO hiermit wie folgt an:
Leistungen:
- Prüfung SSL Verbindung Provider -> Angebot (Mehrkostendurch Provider SSL Zertifikat)
- Umstellung der Website auf SSL -> Angebot (Umstellung Ihrer Website auf SSL)
- Cookie Hinweis,
- Datenschutztext via Text von versierter Kanzlei
Wir bieten Ihnen die Prüfung und technische Umstellung Ihrer Website auf das DSGVO hiermit wie folgt an:
Leistungen:
- Prüfung SSL Verbindung Provider -> Angebot, (entsprechend Ihrem Provider)
- Umstellung der Website auf SSL -> Angebot, (entsprechend Ihrer bisherigen Website Struktur und Seitenanzahl)
- Cookie Hinweis, (einmalig)
- Datenschutztext via Text von rechtgültiger Kanzlei
Auch wenn es grotesk erscheint, benötigen wir bevor wir mit den Arbeiten beginnen können einige Angaben von Ihnen. Alle Anfragen, deren Anzahl aktuell bereits sehr hoch ist, werden chronologisch nach Posteingang bearbeitet.
Vorzug haben allerdings SCHRÖDER MEDIA Bestandskunden.
1.) Durch das Ausfüllen des Formular entstehen Ihnen keine Kosten
2.) Durch das Ausfüllen des Formular, bekennen Sie Ihr Interesse am Thema DSGVO an und wünschen eine grundlegende (kostenlose) Erst-Beratung
3.) Sie erkennen an, dass Anfragen chronologisch nach Posteingang und nach Kunden Stammkunden Schröder Media im Zweifel bevorzugt behandelt werden
4.) Sie erkennen unsere Datenschutzbestimmungen an