dsgvo

DSGVO verstehen und umsetzen

Verstehst du auch nur Bahnhof beim neuen Datenschutzgesetz, willst aber Abmahnrisiken minimieren? Ich vage den Versuch zwischen zehntausend Ratgebern kurz auf den Punkt zu kommen.

Mir wird bei allen rechtlichen Angelegenheiten immer schlecht. Als harmonieorientierter Mensch, der immer seine Zusagen hält, gehe ich Rechtsfragen möglichst häufig aus dem Weg. Aber manchmal, wenn die Datenschützer der EU mal wieder Disko spielen und dabei auf wildeste Ideen kommen, die kaum jemand versteht oder umsetzen kann, komme auch ich nicht am Thema vorbei. Diesmal geht’s um die Datenschutzgrundverordnung, die sogenannte DSGVO, die ich mir und dir mal versuche runter zu brechen.

Vorab Disclaimer: Ich bin kein Rechtsanwalt und gebe hier keine gesicherten Auskünfte. Um rechtlich auf „Nummer Sicher“ zu gehen empfehle ich dir den Gang zum Datenschutzexperten.

Was ist neu?

Eigentlich ist nichts wirklich neu, denn auf den Datenschutz muss man schon immer achten. Da heuer aber drakonische Strafen verhängt werden können, wenn man das Thema zu lax angegangen ist, solltest du die Datenverarbeitung klar regeln:

  • Löschung nutzerspezifischer Daten in externen Tools, die ohne Zustimmung gesammelt wurden: Dazu zählen vor allem die Löschung von IP-Adressen in Kommentaren. Aber auch Kontaktdaten in Newsletter-Systemen müssen gelöscht werden, wenn es dazu keinen ausdrücklichen Opt-In gab. Wer beispielsweise Bestandskunden ohne Opt-In angeschrieben hat – was bis zum 25.05. noch geht/ ging, sollte diese ab dem 25.05. löschen und nicht mehr anschreiben. Deswegen besser jetzt schon die Nutzer kontaktieren und sie zum erneuten Anmelden motivieren!
  • Keine unautorisierte Weitergabe von Nutzerdaten: Theoretisch muss man für alle Website-Trackings und Datenverarbeitungen von Nutzerdaten eine Zustimmung der Nutzer einholen. Das geht bei Newsletter-Programmen recht easy, da praktisch jedes Tool ein Double-Opt-In Verfahren bietet. Für Web-Statistiken und -Trackings gibt’s aber noch kein praktische Lösung, die ich kenne und empfehlen würde. Das einzige relativ einfach zu bedienende WordPress-Plugin namens Google Analytics Opt-Out funktioniert bspw. nicht mehrsprachig. Außerdem ist das Opt-In für Web-Statistiken und Tracking noch strittig. Deswegen empfehle ich hierzu erst nochmal abzuwarten, wie sich die Gesetzgeber das vorstellen und – falls es bis dahin noch nichts Neues gibt – ab dem 25.05. auf kritische Trackings zum Retargeting (insbesondere Facebook-Pixel, Facebook und andere Social Plugins sowie Google AdWords Remarketing) zu verzichten, um keine unnötigen Risiken einzugehen. Diese Regelung betrifft auch Google Fonts und YouTube. Verwendest du Google Fonts, solltest du sie sowohl aus Datenschutz- als auch aus Performance-Gründen nur noch lokal hosten und nicht mehr direkt über Google einbetten. Alle YouTube-Videos sollten nur noch über cookiefreie URLs eingebettet oder per Lazy Load nachgeladen.

YouTube Datenschutzmodus

Bei WordPress-Seiten ist es außerdem sehr wichtig, in der Kommentarfunktion Gravatar-Icons zu deaktivieren, da man davon ausgeht, dass der Dienst von extern geladen wird und wir nicht wissen, ob dabei auch Daten an Extern weitergegeben werden.

  • Datenverarbeitung aller Tools nur noch nach DSGVO: Mit allen Anbietern, Diensten und Tools, welche Nutzerdaten verarbeiten, müssen Verträge zur Datenverarbeitung nach DSGVO geschlossen und diese dann dokumentiert (gespeichert) werden. Alle Anbieter, Dienste und Tools müssen in der Website-Datenschutzerklärung erwähnt werden. Das betrifft nicht nur Statistiken, sondern auch Kontakt- und Kommentarformulare, Google Fonts und Google Maps.
  • Benennung eines Datenschutzbeauftragten und Dokumentation der Datensicherung: Der oder die Verantwortliche muss in der Datenschutzerklärung benannt und kontaktiert werden können. Er ist für alle Nachweise zur Datenverarbeitung verantwortlich und muss nutzerspezifische (Kontakt-) Daten auf Wunsch sofort löschen können.
  • Keine unverschlüsselte Übertragung nutzerspezifischer Daten: Falls noch nicht geschehen, solltest du deine Website unbedingt noch sicher verschlüsseln.

Was musst du machen?

„Keine Panik“, wie der Rechtsanwalt Steffen Majoyeogbe im Medienvirus-Podcast zur DSGVO sagt. Um die Datenverarbeitung einfach und klar zu regeln, folgst du am besten meinem Praxisguide in fünf Schritten zum Website-Datenschutz:

  1. Alle Trackings auflisten
  2. Verträge mit externen Anbietern schließen
  3. Eigene Formulare und Systeme prüfen
  4. Datenschutzerklärung generieren
  5. Cookie Hinweis einbauen

Links zum Video:

Teste auch mal für dich den Abmahncheck von der Kanzlei WBS Law. Meines Erachtens meldet das Tool aber auch Lösungen, die man gar nicht einsetzt.

Was hälst du davon, deine Website mit Datenschutzhinweisen voll zu stopfen? Wäre es nicht sinnvoll, einfach alle Anbieter in die Verpflichtung zu nehmen und durch eine kurze Auflistung aller Dienste, die Daten verarbeiten, das Thema zu lösen? Ich halte von dem Paragraphenreiten ja herzlich wenig und durchlesen tun’s ja eh fast nur Rechtsanwälte…

Wenn du noch Fragen zum Thema Datenschutz und DSGVO hast, schaue doch mal in die gleichnamige Facebook-Gruppe.

Zurück SEO Blog