Ist Ihre Webseite DSGVO-konform? Haben Sie schon ein Cookie Opt-in?
Ich mache Ihre Webseite wetterfest!
Schon mal von DSGVO und Cookie Opt-in gehört? Nein? Sollten Sie aber. Denn die Datenschutzgrundverordnung betrifft alle Webseitenbetreiber, die in der EU angesiedelt sind oder EU-Bürger adressieren. D.h. Daten sammeln von diesen. Und das tut Ihre Webseite ganz sicher – auch, wenn Sie es nicht merken.
Details
In den letzten beiden Jahren gab es viel Wirbel um dieses Thema. Die Unsicherheit war groß und umso tiefer ich eingetaucht bin, umso schwieriger wurde es. Statt klare Antworten zu finden taten sich noch mehr Fragen auf. Die meisten Webseiten waren wegen der verwendeten Technik nicht DSGVO-konform.
Und dann kam im letzten Jahr das Urteil des Europäischen Gerichtshofs hinzu, das ein Cookie Opt-in verlangte - eine Möglichkeit den Webseiten-Besuchern die Wahl zu ermöglichen, ob Cookies gesetzt werden oder nicht. Falls Sie das nicht kennen: Cookies sind kleine Code-Schnipsel, die von Internet-Seiten auf Ihrem Computer oder Smartphone abgelegt werden, um bestimmte, teilweise notwendige Daten abzurufen, z.B. bei einem Wiederkehren auf die Webseite.
Auch wenn es noch eine Restunsicherheit gibt, habe ich eine gute Nachricht für Sie: Ich werde Ihre Webseite wohl kaum regendicht machen können, aber wetterfest allemal.
Seit dem 28. Mai 2018 ist die DSGVO in Kraft. Wenn Sie schon eine Webseite im Internet veröffentlicht haben, sollten diese also mittlerweile DSGVO-konform sein. Falls nicht, kann ich mich gerne darum kümmern. Je nach Stand Ihrer Webseite und je nachdem wie hoch der Aufwand wird, kann ich Ihnen das schon ab 59,- Euro anbieten.
Bei allen von mir erstellten, neuen Webseiten ist dieser Service im Preis inbegriffen.
Die DSGVO
EU-Mitgliedstaaten müssen die DSVO ab dem 25. Mai 2018 verbindlich anwenden.
Sie gilt für alle Unternehmen, die in der EU ansässig sind oder Daten von EU-Bürgern erheben.
Es sind drastisch höhere Bußgelder vorgesehen und Bußgelder werden Pflicht.
https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung
Nach den 5 Geboten im Datenschutz:
Einwilligung des Betroffenen
Soweit kein Erlaubnistatbestand vorliegt, dürfen Daten nicht verarbeitet werden
-> z.B. Cookie Consent und Double Opt-in
Datensparsamkeit
Eine Datenverarbeitung muss dem Zweck angemessen und sachlich relevant sowie auf das notwendige Maß beschränkt sein.
-> z.B. keine Telefonnummern erfragen bei Kontaktformularen, wenn das für eine Kontaktaufnahme nicht nötig ist.
Zweckbindung
Die Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Im Fall einer Zweckerreichung sind die Daten zu löschen.
-> z.B. beim Newsletter können Daten behalten werden solange der Empfänger dem Erhalt zustimmt.
Datensicherheit
Bei der Verarbeitung von Daten müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um den Schutz vor Datenmissbrauch zu gewährleisten.
-> Dafür sorgen die Dienstleister, mit denen zum Teil allerdings Verträge abgeschlossen werden müssen.
Transparenz
Betroffene sollen wissen, dass und welche Daten in Bezug auf ihre Person erhoben wurden (u.a. Verfahrensverzeichnis, Löschkonzept, etc.).
-> z.B. in der Datenschutzerklärung.
Nötige Anpassungen und Änderungen
Diese Bereiche sind zu bearbeiten:
- Anpassung der Datenschutzerklärung
- Umgang mit Drittanbieter-Services (Newsletter, Google, Hosting-Provider, …)
- Datenerfassung- und Speicherung (Kontaktformulare, Kommentarfunktion, …)
Im einzelnen wären das dann:
Datenschutzerklärung
Präzise, transparent, verständlich, leicht zugänglich, in klarer und einfacher Sprache muss sie sein. Und noch vieles mehr beinhalten.
-> Datenschutzerklärung-Generator von eRecht24 bietet seinen Premium-Kunden eine hohe Sicherheit. Mit meiner Mitgliedschaft als Agentur erhalte ich Zugriff darauf und kann für Ihre Webseite eine neue Datenschutzerklärung erstellen, die juristisch geprüft ist vom größten deutschen Anbieter für Internet-Recht.
Ein Tipp falls Sie das selber machen möchten: stellen Sie die Datenschutzerklärung auf noindex
Newsletter
Anforderungen an die Anbieter von E-Mail-Marketing (Newsletterversender)
Ein Vertrag zur Auftragsverarbeitung mit diesen Subunternehmern muss abgeschlossen werden.
Formulare zur Datenerhebung
Das Formular, in dem Adressen gesammelt werden z.B. für den Newsletter-Versand muss folgende Kriterien erfüllen:
➜ Double-Opt-in (DOI, Empfänger muss explizit dem Empfang zustimmen)
➜ Werbefreie DOI
➜ Es muss ein Zweck im Formular angegeben werden!
➜ Es muss einen Hinweis auf die Datenschutzerklärung in der Einwilligung geben
➜ Die Verwendung von Newsletter2Go, MailChimp, GetResponse oder welchem Dienstleister auch immer muss in der Datenschutzerklärung aufgeführt werde
Sonderfall: Direktwerbung
Nur im Ausnahmefall ist eine vorherige, ausdrücklich erteilte Einwilligung des Adressaten für den Erhalt eines Newsletters, Telefon- oder E-Mail-Werbung nicht erforderlich. Dies gilt allerdings nur, wenn keine personenbezogenen Daten bei der E-Mail-Versendung genutzt werden (Bsp.: MVhfV15xV1hDXFAfVVQ@nospam).
Eine solche Ausnahme kann vorliegen, wenn die nachfolgend aufgeführten Voraussetzungen gegeben sind:
1. der Kunde Bestandskunde ist
2. Werbung für ähnliche Waren erfolgt
3. der Kunde der Verwendung nicht widersprochen hat
4. bei Erhebung der E-Mail-Adresse und bei jeder Zusendung von Direktwerbung ein klarer und deutlicher Hinweis auf das Widerspruchsrecht erfolgt
Newsletterversand
Angaben im Impressum des Newsletters
Die Mindestangaben eines Impressums im Newsletter sind:
● Name und Anschrift des Anbieters
● Vertretungsberechtigter
● Aufsichtsbehörde, soweit eine behördliche Zulassung erforderlich ist (z.B. im Gaststättenrecht)
● Registergericht, Registernummer
Opt-out
Ferner muss in Newslettern jederzeit eine einfache Opt-Out-Möglichkeit vorhanden sein. Dies erfolgt durch einen Abmeldelink innerhalb des Newsletters.
Auskunftsrecht
Eine betroffene Person (also der Empfänger) hat das Recht, von der verantwortlichen Stelle eine Bestätigung über den Umstand zu verlangen, ob personenbezogene Daten über sie verarbeitet werden. Soweit dies besteht, hat die betroffene Person ein Recht auf Auskunft bezüglich dieser personenbezogenen Daten.
Weitere Datenerhebungsquellen und Dienste
Kontaktformular
Im Kontaktformular muss der Nutzer explizit zur Nutzung der erfassten Daten zustimmen. Am besten mit einer Checkbox. Auch dürfen keine für den Zweck unnötigen Daten erfasst werden (z.B. keine Telefonnummer bei einem Online-Gewinnspiel).
Kommentarfeld
Wenn Kommentare abgegeben werden können, sollte per verpflichtende Checkbox darauf hingewiesen werden, dass damit Daten gesammelt werden könnten.
Google Fonts
Experten sagen, die Hälfte aller Webseiten betreibt diese mit dem Gebrauch von Google Fonts, die erst bei der Anzeige der Webseite vom Google Server geladen werden. Das geht so rasend schnell, dass wir es nicht mitbekommen. Ist aber mit der neuen DSGVO nicht mehr ohne Hinweis zulässig, weil unbemerkt Daten von Google gesammelt werden könnten.
Hier gibt es mehrere Möglichkeiten. Eine ist einfach abzuwarten. Vogel-Strauß-Taktik. Die Fachleute werden sich schon was überlegen, bzw. Google wird eine Lösung finden. Birgt aber gewisse Risiken.
Oder aber mit dem Hinweis auf Art. 6 Abs. 1 lit. a DSGVO dem berechtigten Interesse in die Datenschutzerklärung aufnehmen. Bei manchen Webseiten ist es auch möglich, Google Fonts lokal auf dem Server laufen zu lassen. Das ist sicherer, hat aber Nachteile wie Verlangsamung der Ladezeiten.
Google Analytics
Wenn wir schon mal bei dem Thema sind … Ein sogenannter ADV-Vertrag mit Google Analytics ist notwendig, wenn Daten zur Analyse gesammelt werden.
Hosting Provider
Hier ist ebenfalls ein ADV-Vertrag notwendig.
SSL
Wird nicht explizit vorgeschrieben, aber wie sollen personenbezogene Daten sicher vermittelt werden ohne? Glücklich diejenigen, die es bereits haben. Sonst richte ich gerne ein SSL-Zertifikat ein.
Plug-ins
Z.B. sammelt Akismet (der offizielle WordPress-Antispam-Filter) Daten. Wie so viele andere auch. Das Nutzen-Risiko-Verhältnis muss bei jedem einzelnen Plug-in betrachtet werden. Teilweise lassen sich einfach Alternativen finden.
Facebook und andere Follow- und Like-Buttons
Ein ganz schwieriges Thema. Das meiste ist nach dem aktuellen Stand nicht zulässig. In den Büros der großen Anbieter rauchen die Köpfe. Hier ist bis zum 25. Mai eine Lösung notwendig, die wohl von Facebook und Co. geliefert werden muss.
Youtube, Vimeo und so weiter und so fort
Diese Liste lässt sich aktuell weiter verlängern. Ich bleib am Ball und informiere Sie.
e-Privacy/ Cookie Opt-in
Die e-Privacy-Gesetzgebung ist angekündigt. DSGVO 2.0 sozusagen. Eine Erweiterung, die zunächst mit der DSGVO kommen sollte, sich dann aber verzögerte. Dabei geht es darum, dass sich Besucher / Leser VOR dem Betreten einer Webseite entscheiden sollen, ob sie Cookies erlauben wollen oder nicht.
Europa ist hier übrigens nicht alleine. Auch Kalifornien, Brasilien, Kanada und weitere Länder haben ähnliche Regelungen.
Nun ist mit einem Urteil des Europäischen Gerichtshof im Oktober 2019 der Fall eingetreten, dass dieses Opt-in jetzt schon notwendig wird. Ich glaube nicht, dass im ersten Schwung alle kleinen Webseiten angeklagt werden. Das lässt ein wenig Zeit, alle Seiten umzustellen. Neue Seiten sollten aber gleich mit einem Cookie Opt-in ausgestattet sein.