Guide-In nur 3-Schritten zur DSGVO konformen Website

Du willst deine Website einfach DSGVO konform machen?

Datenschutzgrundverordnung (DSGVO), Bundesdatenschutzgesetze. Wettbewerbsrecht und Abmahnungen…
Im Deutschen Gesetzes-Dschungel sieht man den Wald vor lauter Bäumen nicht? Rechtsanwälte und Agenturen verlangen immense Summen für eine DSGVO konforme Website?

In 3 Schritten zur DSGVO konformen Website Beitragsbild zum dsgvo blogartikel

In diesen kurzem Guide lernst du wie du deine Website mit einfachen und schnellen Schritten DSGVO-Konform gestaltest und was es sonst noch zu beachten gibt.

Die Schritte:

1. IST-Zustand: Bestandsaufnahme

2. Datenschutzerklärung anfertigen

3. Website Anpassen

Neben den konkreten Schritten gibt es auch eine Reihe zusätzlicher News und spannender Praxisbeispiele rund um das Thema DSGVO.  Außerdem erhälst du Tipps, wie du mit Abmahnern umgehen solltest.

Bonus:

– Was ist nach dem 25. Mai. 2018 passiert?
– Cookies Explizite Einwilligung? Ja oder Nein?
– Bonus: Wie du mit Abmahnern umgehen solltest

Was ist nach dem 25. Mai.2018 passiert?

Seit dem 25.Mai 2018 ist die Datenschutz-Grundverordnung nun offiziell in Kraft, seitdem ist gar nicht so viel passiert. Bisher sind noch keine entscheidenden Urteile gefallen. Die gefürchtete große Abmahnwelle und die Bildung einer neuen Abmahnindustrie sind bisher ausgeblieben.

Ich kann es nicht häufig genug erzählen…
die Rechtslage ist  unklar!

Weder ich, noch ein Anwalt, können dir eine 100%-DSGVO-Konforme Website bauen.

Das Problem ist dabei häufig: Anwälte verlangen immense Summen. Sie machen das, um allen Anforderungen der DSGVO gerecht zu werden, denn der Anwalt kann ggf. haftbar gemacht werden. Dieser hat also ein immenses Interesse alle DSGVO-Punkte umzusetzen.

Im Ergebnis ist das doch positiv?!
oder nicht?

Leider gehen die Anwälte viel zu weit ohne Grund: Die Rechtslage ist unklar!
Anwälte sind (meist) keine IT-Experten und selbst für IT-Experten sind die veworrenden Datenströme im Internet kaum ganzheitlich erfassbar. Insofern fällt es schwer folgende Fragen konkret zu beantworten.

  • Sind Cookies als personenbezogenes Datum einzustufen?
  • Muss Cookies Explizit zugestimmt werden, bevor sie eingesetzt werden?
  • Was ist mit Web-Analyse Tools wie Google Analytics, Piwik (Matomo), Etracker?
  • Inwiefern sind Tag Management Tools wie Google Tag Manager, Adobe DTM relevant?
  • YouTube Videos, Soundcloud-Podcasts auf der eigenen Website transferieren Daten an Dritte?
  • Social-Share Buttons von Facebook, Twitter, Instagram & Co. sowieso?
  • Überträgt Google Fonts (eine Schriftart) Daten an Dritte? Um welche Art von Daten handelt es sich dabei?

 

Kampf um die dsgvo was wettbewerbsrechte mit Abmahnungen zu tun haben

Um die meisten Fragen werden die Gerichte (vermutlich) Jahre lang streiten. Deswegen sollten einfache Website/ Shopbetreiber sich hier regelmäßig über den aktuellen Stand informieren.

Wie starte ich jetzt konkret mit der Umsetzung?

 

1. IST-ZUSTAND: Bestandsaufnahme

Zu aller erst: In der DSGVO-Datenschutzgrundverordnung oder GDPR-General Data Protection Regulation geht es um den Schutz personenbezogener Daten. Das heißt alle Prozesse in denen regelmäßig personenbezogene Daten gesammelt und gespeichert werden, müssen klar ersichtlich für die betroffene Person sein. Für eine einfache Website mit Web-Analyse, Kontaktformular und Online Shop genügt eine Datenschutzerklärung. In der Datenschutzerklärung sollte sich der Nutzer über die Verwendung seiner Daten informieren können.

Dazu müssen im ersten Schritt folgende Fragen gestellt werden:

Welche Tools nutzt du, deine Website?

Um zu wissen was du in deiner Datenschutzerklärung angeben musst, musst du erstmal Wissen, welche Daten du sammelst, bzw. welche Daten von deiner Website gesammelt werden. Hierzu fertigst du am besten eine kurze Liste an:

Datensammlung durch/von…

  • Web-Analyse Tools: Google Analytics, Piwik, Etracker, Hotjar, Crazy-Egg…
  • Agenturen
  • Externe Zahlungsanbieter (Paypal, Giropay, Klarna, Skrill, Visa oder American Express,…)
  • Eigenes Kontaktformular
  • Finanzbuchhaltung, Verwaltungsaufgaben
  • Affiliate Partnern (Links & Cookies von Google, Amazon & Co.)
  • Bewerbern (Bewerben sich per Mail), auch Bewerberpoole
  • Registrierungsfunktion & Log-In
  • YouTube Videos auf deiner Website schicken Daten zu Google (auch Soundcloud & Co.)
  • CRM (Customer-Relationship-Management Systeme)
  • Newsletter
  • Online Marketing (Retargeting, Google Ads, AdSense,..)
  • Social Media, Tools, PlugIns und Fremde Inhalte
  • Live Chat

Super! Nach der Liste ist die meiste Arbeit getan, jetzt gehts schneller vorwärts.

Alle Tools die Cookies nutzen sind bei der dsgvo relevant bildschirm

2. Datenschutzerklärung Anfertigen

Du bist kein Anwalt?
Ich auch nicht, dennoch hat auch diese Seite eine professionelle Datenschutzerklärung erhalten. Mein Dank geht hierfür an die vielen kostenlosen Datenschutz-Generatoren im Netz, die wunderbare Arbeit leisten.

Im besonderen kann ich einen Generator besonders empfehlen:

Den datenschutz-generator.de von Dr. Schwenke.

Dieser für Privatpersonen & Kleingewerbetreibende Kostenlose Datenschutz-Generator hat mit Abstand die meisten Auswahlmöglichkeiten und Funktionen. Hiermit spart Ihr euch unglaublich viel Arbeit und Zeit. Falls Ihr ein normales Business seid, würde ich empfehlen hier ruhig die paar Hundert Euro zu investieren, die bei der kostenpflichtigen Version anfallen.

Die Datenschutz-Generatoren im Überblick:

Mit den Datenschutz Generatoren hast du deine Datenschutzerklärung in wenigen Minuten erstellt.

Ein weiterer Meilenstein ist geschafft, die Nutzer haben nun die Möglichkeit sich über die Datenverarbeitung in deinem Unternehmen zu informieren!

Es fehlt jedoch noch der wichtigste Punkt:

Darf ich diese Daten überhaupt speichern, oder benötige ich hierfür eine explizite Einwilligung vom Nutzer/ Kunden?

Wettbewerbsrecht Abmahnungen, bei der DSGVO und Cookies steht ein großes Fragezeichen zwischen Wolkenkratzern

3. Website Anpassen

Grundsätzlich kann man sich merken, dass solange die Verarbeitung notwendig ist, zum Beispiel bei einer Bestellung im Online Shop benötige ich zwingend Name und Adresse. Dann benötige ich sicherlich keine explizite Einwilligung. Die Datenschutz Hinweise sollten, jedoch gut sichtbar sein, also zum Beispiel in der Antragsstrecke oder im Footer. Auch Werbung versenden für ähnliche Produkte ist grundsätzlich erlaubt, wenn der Nutzer bereits bei mir gekauft hat.

Das heißt auch beim Kontaktformular benötigt Ihr grundsätzlich keine extra Check Box, wie Sie bei vielen Websites heute zu finden ist. Schließlich wollt Ihr nur die Anfrage vom Kunden beantworten.

Bei allen Personenbezogenen Datentransfers muss die Verbindung verschlüsselt sein

Außer

Ihr versendet an Nutzer, die euer Kontaktformular genutzt und Ihre E-Mail angegeben haben einen Newsletter oder eine Werbemail. Dieses bedarf (logischerweise) einer expliziten Zustimmung, da der Nutzer damit nicht rechnen konnte. Die Frage, ob man dem Nutzer explizit auf die Analyse der Kontaktanfragen/ Newsletter Anmeldungen hinweisen muss ist nicht klar.
Fressnapf macht es!

Fressnapf-Newsletter Anmeldung

Viele weitere große Online Shops tun es nicht. (Bzw. nur in der Datenschutzerklärung, ohne Checkbox)

Nach diesem Prinzip könnt Ihr bei allen klar personenbezogenen Daten verfahren.
Ich spreche hier ausdrücklich von klar personenbezogenen Daten, wie Adresse, Name, Geburtsdatum usw.

Das Problem mit den Cookies

DSGVO Das Problem mit den Cookies

Cookies sind kleine Textdateien die im Browser gespeichert werden. Cookies werden für diverse Zwecke verwendet. Für Web-Analyse Tools sind Cookies unumgänglich, nur so können mehrere Sitzungen einem Nutzer zugeordnet werden. Über Cookies sammelt Facebook Daten, genauso wie Google.

Was ist jetzt das Problem mit den Cookies?

Das ist der gängige Tenor den Ihr überall lest: Über  Cookies, PlugIns, Social Media Share Buttons… sammeln dritte auf eurer Seite personenbezogene Daten.

Dies Bedarf nach DSGVO:

  1. Einer expliziten Einwilligung
  2. Bzw. eigentlich dürft Ihr Cookies nicht verwenden, denn IP-Adressen und Co. wandern sofort zu den Anbietern in den USA und das ist verboten!

Ihr müsst also auf alle Annehmlichkeiten, wie bessere Schriftarten (Google Fonts), PlugIns (WordPress), kostenlose Analyse Tools (G-Analytics) verzichten?

Nein müsst Ihr nicht!

Schaut euch mal die größten Online Shops Deutschland an. Diese setzen standardmäßig haufenweise Cookies von Facebook, Google und Co., hierzu kann ich euch auch meinen Blogbeitrag über die Handhabung von Cookies der großen Online Shops empfehlen: Zum Beitrag

Ein einfacher Hinweis über die Nutzung von Cookies wird zum Beispiel von Zalando und BonPrix genutzt!

Zalando

Zalando-Einwilligungstext-Cookie-DSGVO

BonPrix

Bonprix-Cookie-Einwilligungstexte dsgvo
Dieser ist nicht mal besonders gut sichtbar. Wie dir wahrscheinlich schon aufgefallen ist, habe ich mich auch daran orientiert. Das Cookie-Banner lässt sich in WordPress über ein einfaches Plug-In installieren. Bei anderen Content-Management Systemen gibt es meist auch vorgefertigte Cookie Banner.

Möchte der Nutzer keine Cookies akzeptieren, kann er dieses selber in seinem Browser einstellen. Ihr weist darauf einfach in der Datenschutzerklärung hin. Dies ist standardmäßig in allen Datenschutz Generatoren vorhanden.

Es gibt auch Fortschrittlichere Cookie Banner, die jede WordPress Seite nutzen kann. So eine Lösung verwendet zum Beispiel auch der Blog von AmazeeMetrics aus der Schweiz. Dort findet Ihr auch diesen spannenden Artikel über die Nutzung von Cookie Bannern: Zum Artikel.

Warum vertrete ich hier diese Meinung? (Die Rechtslage ist unklar…)

  • Die Daten die über Cookies/ Web-Analyse Tools gesammelt und übermittelt werden, lassen sich nur sehr schwer zu personenbezogenen Daten verwandeln.
  • Sie sind nicht so wertvoll, wie die meisten denken.
  • Sie sind in den meisten Fällen sowieso schon komplett anonymisiert.

Cookies und Web-Analyse-Tools sind keine CRMs. Hier werden keine direkt personenbezogenen Daten gespeichert.

Schon Fertig!

Super Ihr habt jetzt eine DSGVO-Konforme Website.

Weitere Maßnahmen die im Zuge der DSGVO getroffen werden müssen?

Das heißt nicht, dass euer Unternehmen bereits DSGVO konform ist. Zusätzlich müsst Ihr auch ein Verzeichnis von Verarbeitungstätigkeiten führen und mit jedem Auftragsdatenverarbeiter (Agenturen, Dienstleister) einen AV-Vertrag schließen.

Die zwei letzt genannten Punkte müsst Ihr jedoch nicht veröffentlichen. Die zuständigen Behörden, die diese Punkte kontrollieren, sind jedoch grenzenlos überlastet.

Das heißt Gefahr durch Abmahner besteht vor allem durch Fehler auf der Website. Diese habt Ihr jedoch jetzt gelöst.

Bonus: Wie du mit Abmahnungen umgehen solltest

Es sind einige Personen und Unternehmen bereits wegen DSGVO-Verstößen abgemahnt worden. Hierbei wurde zum Beispiel die Verwendung von Google Fonts kritisiert, oder ein nicht verschlüsseltes Kontaktformular. Die Rechtslage ist nicht geklärt. Es empfiehlt sich sicherlich einfach abzuwarten.

Werden einem jedoch nur wenige Tage gegeben, bis der Betrag überwiesen sein muss, handelt es sich meist um windige Anbieter, dessen Post man am besten direkt entsorgt.

Aktuell wurde noch kein Unternehmen wegen Verstößen gegen die DSGVO verurteilt. Es kann noch Jahre dauern bis die ersten Präzedenzfälle geschaffen werden.

Fazit

Bäcker schließt Website wegen DSGVO

Ich hoffe ich konnte dir und deinem Unternehmen mit diesem Blog Post einen Mehrwert bieten.

Es ist leider beängstigend, wenn man Sieht wie die Website der Fahrschule, des Bäckers um die Ecke Offline genommen wird aufgrund der Cookie Problematik und große Online Shops dieses Thema weiterhin stiefmütterlich behandeln.

Schreibe einen Kommentar