DSGVO für Webseitenbetreiber | Suchmaschinenoptimierung

DSGVO für Webseitenbetreiber

Nur noch wenige Tage (genau genommen am 25.05.2018) und dann tritt die DSGVO endgültig in Kraft. Wobei, so ganz richtig ist das gar nicht. Sie ist schon 2016 in Kraft getreten. Da es bei Gesetzen immer eine Frist zur Umsetzung gibt, werden die Regelungen aber erst 2018 unumstößlich. Als Onlineunternehmen und Webseitenbetreiber sind wir schon sehr früh darüber gestolpert. Anfang 2017 hörten wir erstmalig davon. Obwohl ich selbst Jura studiert habe, und Paragrafen und Gesetze eigentlich ganz spannend finde, habe ich die Regelungen natürlich auch erst einmal weiter ignoriert. Das Tagesgeschäft ist wichtiger und wir hatten ja noch unfassbar viel Zeit.

Kommt Ihnen bekannt vor?

Ich schätze, so erging es den meisten Unternehmern.

Tatsächlich ist es so, dass auch heute (noch mal zur Erinnerung: wir sprechen von Mai 2018) noch einige Unternehmer in Unwissen dahintreiben. Hauptsächlich sind es Offlineunternehmer.

Nein, das ist leider kein Witz.

Erst in der letzten Woche bekam ich einen Anruf von solch einem Unternehmer (Hausarzt), der mich fragte, ob ich schon was von der DSGVO gehört hätte.

Binnen weniger Sekunden musste ich entscheiden, ob ich hier einem Telefonstreich aufgesessen bin oder aber ob der Anrufer das wirklich so meinte.

Ich entschied mich richtig.

Besagter Arzt hatte, warum auch immer, noch nie was davon gehört.

Jetzt kannte ich seine Website. Wir hatten bereits im vergangenen Jahr darüber gesprochen und ich sagte ihm damals schon, dass hier dringend Handlungsbedarf bestünde.

  • Keine SSL-Verschlüsselung
  • Keine Datenschutzerklärung
  • Mal ganz davon abgesehen, dass die Seite technisch nur mäßig funktionierte.

Damals dachte ich noch nicht im Traum daran, dass es sogar noch größere Baustellen hinsichtlich der DSGVO und ihrer Vorschriften gab.

Die Konsequenz? Die Website zieht nun binnen weniger Tage zu WordPress um und wir sichern sie so weit ab wie möglich.

So „schlimm“ ergeht es Ihnen hoffentlich nicht. Immerhin haben Sie danach gegoogelt und sind hier gelandet. Sie wissen also, dass es das DSGVO-Monster wirklich gibt!

Doch was ist das Ziel dieses Beitrags? Nein, ich werde Ihnen hier keine Schauermärchen erzählen. Auch die Basics erspare ich Ihnen zu einem großen Teil, ebenso wie Paragrafen.

Stattdessen will ich Ihnen ein paar der Fragen beantworten, die ich ziemlich häufig gestellt bekomme.

Darunter fallen Fragen wie:

  • Gilt das auch für mich? Ich bin doch nur Kleinunternehmer etc.
  • Mit welchen Strafen ist zu rechnen, wenn ich mich nicht an die Vorgaben halte?
  • Wie setze ich die DSGVO auf meiner Website um? Speziell auf meiner WordPress Website?
  • Was muss ich als Webseitenbetreiber noch wissen?

Lassen Sie uns loslegen!

DSGVO gilt auch für Kleinunternehmer

Die Wahrheit ist, die DSGVO gilt für jeden Unternehmer, der personenbezogene Daten verarbeitet. Jeder, der eine Website hat, verarbeitet in irgendeiner Form personenbezogene Daten. Auch Kleinunternehmen. Eine typische Ausnahme stellt beispielsweise eine Familienwebsite dar. Sofern hier keine Verlinkungen zu kommerziellen Seiten gesetzt werden und der Betreiber keinen kommerziellen Zweck verfolgt, gilt die DSGVO nicht.

Für alle anderen gelten die Regelungen. Ohne Wenn und Aber!

Was kann bei Nichtbeachtung schlimmstenfalls passieren?

Leider sind die Bußgelder bei Nichtbeachtung ziemlich empfindlich. Sogar existenzbedrohend. Das ist auch der Grund, warum das Thema derzeit in aller Munde ist. Die Höhe der Strafe liegt entweder bei 4 % des weltweiten Vorjahresumsatzes des Unternehmens oder des Unternehmers oder aber bis zu 20 Millionen Euro pro Verstoß.

Dank dieser Zahlen bekommt die Regelung die (nötige) Aufmerksamkeit.

Die Grundsätze der Datenverarbeitung nach DSGVO

Neben den Bußgeldern regelt die DSGVO auch eine erweiterte Dokumentationspflicht sowie die Rechte von Betroffenen. Demnach kann (vereinfacht ausgedrückt) jeder zu jeder Zeit eine Löschung seiner Daten verlangen. Die Löschung muss dann binnen einer sehr strikt geregelten Reaktionsfrist erfolgen.

Vor allem für Webseitenbetreiber gilt hier:

  • Die Verarbeitung von personenbezogenen Daten (hier sind auch IP-Adressen gemeint) muss maximal transparent erfolgen.
  • Außerdem dürfen eh nur solche Daten erhoben werden, die notwendig sind. Das bedeutet etwa, dass bei einer Eintragung in den Newsletter nur noch die E-Mail-Adresse abgefragt werden darf. Bisher war auch die Abfrage des Namens üblich.
  • Jeder hat das Recht auf Vergessen. Wie gut das im www funktioniert, sei jetzt mal dahingestellt. Fakt ist, Sie müssen ab sofort alle Daten löschen (können), die Sie erheben.
  • Der Zugriff auf Ihre Daten soll für Dritte nur sehr eingeschränkt gelten. Mit diesen muss zudem ein ADV (Auftragsdatenverarbeitungsvertrag) abgeschlossen werden.
  • Jeder Webseitenbetreiber muss die Einhaltung nachweisen können. Stichwort TOMs und Verarbeitungsverzeichnisse.

Ganz konkret: Welche Daten werden von einer Website aufgezeichnet?

Vielleicht haben Sie sich bis zum heutigen Zeitpunkt noch keine Gedanken dazu gemacht, welche Daten wirklich von Ihnen oder Ihrem CMS, Ihrem Hoster erhoben und gesammelt werden. Es geht weit über die Nutzung von Google Analytics oder Piwiki hinaus. Unterschieden werden die gesammelten Daten nach solchen, die der Nutzer aktiv eingibt und solchen, die ohne direktes Zutun gesammelt werden.

Daten, die der Nutzer aktiv eingibt:

  • Anfragen über das Kontaktformular
  • Kommentare in einem Blog
  • Benutzung des Suchfeldes
  • Anmeldedaten zu geschützten Angeboten (Mitgliederbereiche)
  • Anmeldungen zu Ihrem Newsletter
  • Kontakt und/oder Zahlungsdaten in Ihrem Shop

Passive Daten werden hier gesammelt:

  • Beim Teilen in sozialen Netzwerken
  • Beim Tracking (Google Analytics und andere Tools)
  • Bei eingebunden Modulen wie Google Maps, Youtube, vimeo
  • Beim Laden von extern eingebundenen Schriftarten (meist Google Fonts)

Ein paar Beispiele

Die meisten Webseitenbetreiber haben sich bis jetzt noch nie Gedanken dazu gemacht, wer welche Daten sammelt. Das ändert sich gerade. Um es Ihnen ein bisschen verständlicher zu machen, hier ein paar Beispiele aus der Praxis.

Ihr Webhoster

Ihre Website liegt in den allermeisten Fällen auf einem fremden Webspace. Diesen haben Sie gemietet. Glück für Sie, wenn dieser in der EU sitzt. Dann muss er selbst dafür sorgen, dass er die Daten, die er über Server-Logfiles ganz automatisch sammelt, DSGVO-konform sichert.

Diese Daten werden häufig gesammelt:

  • Name der abgerufenen Webseite und der Website, die zuvor besucht wurde,
  • Datei,
  • Datum und Uhrzeit des Abrufs,
  • übertragene Datenmenge,
  • Meldung über erfolgreichen Abruf,
  • Browsertyp nebst Version,
  • das Betriebssystem des Nutzers,
  • IP-Adressen des Nutzers

Kontaktformular

Jeder, der eine Anfrage über ein Kontaktformular sendet, gibt mindestens seine E-Mail-Adresse bekannt. Die ist ja auch nötig. Wie könnten wir sonst Kontakt aufnehmen? Auch der Name und das Anliegen werden abgefragt. Das macht die Kommunikation einfacher.

Newsletter

Wer sich zu einem Newsletter einträgt, gibt seine E-Mail-Adresse her. Gleichzeitig werden aber auch Ort und Zeit der Eintragung sowie die IP-Adresse gesichert. Das ist sogar nach DSGVO nötig, um den Nachweis erbringen zu können, dass sich die Person tatsächlich in den Verteiler eingetragen hat.

Terminbuchungstools

Ich persönlich bin ein überzeugter Anhänger von Terminbuchungstools und würde am liebsten immer alle Termine so bekommen. Irgendwo anzurufen, um dann darüber zu diskutieren, wann was möglich ist, ist so 90er 😊. Ich liebe Terminbuchungstools. Sie ersparen mir als Anwender Zeit (ich kann den Termin mal eben schnell abends auf dem Sofa buchen) und ich muss nicht „zu den üblichen Geschäftszeiten“ daran denken, anzurufen. Mal davon abgesehen, dass ich dann vermutlich gar nicht erst durchkomme, weil die Damen am Telefon überlastet sind.

Diese Terminbuchungstools speichern aber wieder Daten. Name, Telefonnummer, E-Mail-Adressen beispielsweise. Manchmal sogar noch mehr. Wie zum Beispiel die Krankenkasse oder zumindest, ob man privat oder gesetzlich versichert ist. Häufig werden auch IP-Adressen gespeichert.

Kommentare

Wer in einem Blog einen Kommentar hinterlässt, dessen IP-Adresse wird zur Sicherheit gespeichert. Auf Kommentare sind wir aus SEO-Sicht absolut angewiesen. Je mehr Kommentare wir haben, desto besser ist dies für die Sichtbarkeit bei Google und Co. Andererseits sind wir als Webseitenbetreiber aber auch für die Inhalte verantwortlich. Um nachweisen zu können, wer rechtswidrige Kommentare verfasst hat, brauchen wir als Webseitenbetreiber nun mal die IP-Adresse.

Google Maps, Youtube und die DSGVO

Um die Besucherdauer zu verbessern (gut für SEO), binden wir gerne Youtube-Videos ein. Das Problem ist nun aber, dass die Videos aktuell immer geladen werden, auch wenn der Besucher das Video gar nicht ansehen wollte. Dabei wird seine IP-Adresse an den jeweiligen Anbieter gesendet. Das will die DSGVO nun ändern und erlaubt das Laden von Maps oder Videos erst nach Zustimmung.

Was bedeuten die Änderungen nun aber wirklich für Webseitenbetreiber?

Ich hoffe, Sie haben jetzt erkannt, wie viele Daten alleine Ihre Website täglich für Sie sammelt.

Über Sinn und Unsinn der Verordnung lässt sich natürlich noch immer streiten. Meiner Meinung nach hätte der Schutz personenbezogener Daten auch viel einfacher erreicht werden können. Die Technik dazu haben wir. Aber gut, ändern können wir es leider nicht und so sind wir als Webseitenbetreiber dazu gezwungen, die DSGVO erst zu nehmen und alles Notwendige umzusetzen.

Hier kommt unsere DSGVO Website Checkliste

Um es Ihnen ein wenig einfacher zu machen, habe ich eine Checkliste zusammengestellt, die Ihnen dabei helfen soll, die DSGVO auch auf Ihrer Website umzusetzen. Die Liste ist nach Dringlichkeit sortiert, hat aber nicht den Anspruch auf Vollständigkeit!

  1. Hohe Dringlichkeit
    • Bringen Sie Ihr Impressum auf den neusten Stand. Das geht entweder recht simpel über Anbieter wie eRecht24.de oder aber, indem Sie einen Anwalt damit beauftragen. Der Vorteil bei einem Anwalt ist die Haftung. Dieser übernimmt nämlich die Gewähr auf Richtigkeit und Sie sind im Zweifel fein raus. Der Nachteil sind die deutlich höheren Kosten und das Problem, jetzt noch einen Anwalt zu finden, der das übernimmt.
    • Auch die Datenschutzerklärung muss aktualisiert werden. Hier müssen zwingend alle Dienste aufgenommen werden, die in irgendeiner Form Daten von den Besuchern speichern. Auch hier haben Sie die Wahl zwischen einem Generator wie eRecht24 und dem Gang zum Anwalt.
    • Verschlüsseln Sie Ihre Website (SSL-Verschlüsselung).
    • Checken Sie die Cookies, die Ihre Website speichert. Dazu können Sie beispielsweise im Inkognito-Modus über den Befehl F12 herausfinden, welche Cookies gesetzt werden und welche Daten an andere gesendet werden. Schauen Sie dazu unter „Sources“ nach.
    • Beim Newsletter darf die Eintragung nicht mehr über ein sogenanntes Freebie erfolgen (Kopplungsverbot). Außerdem muss vor Eintragung klar geregelt sein, mit welchen Informationen nach Eintragung gerechnet werden kann. Definieren Sie auch, wie oft der Newsletter versendet wird. Außerdem wichtig: Es darf nur noch die E-Mail-Adresse abgefragt werden. Dokumentieren Sie außerdem, wie die Aufbewahrungsfristen sind, und führen Sie einen Nachweis.
    • Im Kontaktformular darf nur noch die E-Mail-Adresse als Pflichtfeld abgefragt werden.
    • Richten Sie einen Opt-Out für Tracking-Tools wie Google Analytics oder Piwiki ein. Außerdem brauchen Sie eine ADV mit dem Anbieter.
    • Verwenden Sie nur noch passive Like- und Share Buttons auf der Seite.
    • Checken Sie, ob alle Bildrechte auf der Seite gekennzeichnet sind.
    • Werden externe Schriftarten verwendet? Binden Sie diese besser lokal ein. Stichwort Google Fonts.
    • Deaktivieren Sie Gravatar und Emojis.
    • Binden Sie externe Dienste wie Youtube so ein, dass diese erst nach Bestätigung des Besuchers geladen werden.
    • Haben Sie sogenannte Affiliate-Links erklärt?
    • Verschlüsseln Sie Backups (und speichern Sie diese besser lokal als in einer Cloud)
    • Sorgen Sie dafür, dass die Besucher-IP-Adressen anonymisiert sind.
    • Wie sieht es mit dem Schutz vor Datenmissbrauch aus? Schreiben Sie auf, was bei einem Hackingangriff unternommen wird.
    • Ist Ihre Seite technisch und rechtlich auf einem möglichst aktuellen Stand? Gibt es Updates, die Sie bislang vernachlässigt haben? Jetzt wird es Zeit!

 

  1. Mittlere Dringlichkeit
    • Schließen Sie AV-Verträge mit allen beteiligten Personen und Unternehmen ab. Dazu gehört beispielsweise Google, IT-Dienstleister, Hoster, Newsletter-Anbieter.

 

  1. Wenn noch Zeit übrig ist
    • Legen Sie ein Verfahrensverzeichnis an.

Sie haben vielleicht festgestellt, dass ein paar Punkte „Schnee von gestern“ sind. Die SSL-Verschlüsselung und die Anonymisierung von IP-Adressen gehören schon seit ein paar Jahren zu einer guten Website. Andere Dinge sind vielleicht neu für Sie. Aber keine Panik! Sie werden für die Umsetzung an einer einfachen Website etwa 2-4 Stunden benötigen. Falls Sie Hilfe brauchen, haben wir ein kurzfristig buchbares Angebot für Sie geschnürt. Den DSGVO-Website-Check.

DSGVO für WordPress Websites

Dass wir hier Verfechter von WordPress Websites sind, dürfte bekannt sein. Es ist tatsächlich auch einer der mitbenutzen CMS. WordPress hat nun angekündigt, dass es Anpassungen geben wird, damit die Webseiten DSGVO-konform(er) werden. Damit bekommen Sie als Webseitenbetreiber nun aber leider keinen Freifahrtschein für die DSGVO.

Daher erweitern wir an dieser Stelle unsere Auflistung von oben speziell für WordPress Websites.

Checken Sie die verwendeten Plugins auf ihre DSGVO-Tauglichkeit. Wir von sichtbar.online verzichten schon immer auf das eine oder andre Plugin. Ich weiß aber aus Erfahrung, dass „selbstgebaute“ WordPress Websites schnell mal 20 und mehr Plugins haben. Über Sinn und Unsinn lässt sich hier sicher streiten. Plugins sind einfach einfach und so verwundert es nicht, dass für jeden Piep ein Plugin installiert wird. Je nach Thema braucht man zusätzliche Helferlein, wenn man beim Wort CSS große Augen bekommt. Viele dieser Plugins speichern leider selbst Daten und übermitteln diese an die Entwickler. Bislang absolut unproblematisch. Dank DSGVO aber ein Problem.

DSGVO Website Plugin Checkliste

Die Liste der möglichen Plugins ist wirklich lang. Deshalb kann die hier verlinkte Liste gar nicht als abschließend betrachtet werden. Wenn Sie ein Plugin haben, bei dem Sie unsicher sind, hilft Google in aller Regel. Überprüfen Sie in diesem Schritt auch gleich, ob Sie das Plugin wirklich benötigen. Erst kürzlich hatte ich eine Website für den Website-Check auf dem Bildschirm und stellte fest, viele der installierten Plugins erfüllen eigentlich identische Aufgaben. Da jedes Plugin die Ladezeiten Ihrer Website verzögert, nutzen Sie den Check vielleicht auch dafür, unnötige Ladezeiten-Bremsen zu identifizieren und zu löschen.

Hier geht es zur Checkliste für WordPress Plugins von den wp-ninjas.

 

Weitere Quellen:

DSGVO Gesetzestext: https://dsgvo-gesetz.de/

Was KMU jetzt für die DSGVO unbedingt noch tun müssen – https://www.security-insider.de/was-kmu-jetzt-fuer-die-dsgvo-unbedingt-noch-tun-muessen-a-676945/

Datenschutzbeauftragter

DSGVO: Pflichten und Stellung des Datenschutzbeauftragten – https://efarbeitsrecht.net/dsgvo-der-datenschutzbeauftragte-und-seine-stellung-im-unternehmen/

Datenschutzbeauftragter und DSGVO – https://www.e-recht24.de/artikel/datenschutz/10744-datenschutzbeauftragter-dsgvo.html

WordPress-Ankündigung zur DSGVO-Erweiterung: https://www.seo-suedwest.de/3699-wordpress-4-9-6-erweiterungen-dsgvo.html

 

YouTube aktivieren?

Auf dieser Seite gibt es mind. ein YouTube Video. Cookies für diese Website wurden abgelehnt. Dadurch können keine YouTube Videos mehr angezeigt werden, weil YouTube ohne Cookies und Tracking Mechanismen nicht funktioniert. Willst du YouTube dennoch freischalten?