+49 (0) 69 153269 01 info@scaled-innovation.com

Am 25.05. ist es so weit: die DSGVO, die neue Datenschutzgrundverordnung tritt in Kraft. Spätestens jetzt ist Zeit zu handeln, denn bei Nichtbeachtung drohen empfindliche Strafen und das Risiko einer Abmahnung ist groß.

In diesem kleinen Blogartikel möchte ich Dich ein wenig für das Thema Datenschutz und DSGVO sensibilisieren und Dir einen kleinen Leitfaden für die Umsetzung an die Hand geben.

DISCLAIMER – HINWEIS:
Ich bin weder Juristin noch Datenschutzbeauftragte! Dieser Artikel stellt KEINE Rechtsberatung dar, sondern gibt lediglich das wieder, was ich in eigener Recherche Arbeit zu diesem Thema herausgefunden habe. Ich übernehme keine Gewähr für Richtigkeit, Aktualität und Vollständigkeit meiner Ausführung und keinerlei Haftung für mögliche Rechtsfolgen.

Inhaltsverzeichnis [Anzeigen]

DSGVO – was ist das überhaupt?

Zuallererst: die DSGVO ist gar nicht so neu. Sie wurde 2016 bereits in der EU beschlossen und soll das Datenschutzrecht in der EU vereinheitlichen. DSGVO steht für Datenschutzgrundverordnung und sie tritt am 25.05.2018 in Kraft. Ziel der DSGVO ist es, die Privatsphäre zu stärken und mehr Kontrolle über persönliche Daten zu geben. Der Schutz persönlicher Daten soll gewährleistet sein und deren Nutzung soll transparenter werden. Der Nutzer soll selbst aktiv entscheiden können, welche Daten er herausgibt und welche nicht – und er soll wissen, was mit den Daten geschieht.

Wer ist von der DSGVO betroffen?

Grundsätzlich: ALLE, die Daten ihrer Nutzer erheben und verarbeiten und das tut im Prinzip jeder Websitebetreiber, sei es über Kontaktformulare, Google Analytics, Facebook Pixel, Newsletter etc. Damit sind auch kleine Unternehmen und Selbständige betroffen, nicht nur große Konzerne. Die DSGVO gilt übrigens auch für Nicht-EU-Unternehmen, wenn sie Daten von EU-Bürgern verarbeiten, also beispielsweise Email-Marketing-Anbieter wie Mailchimp oder ActiveCampaign.

Welche Strafen erwarten mich?

Die zuständige Datenschutzbehörde vor Ort überwacht sie Einhaltung der Vorschriften, es stehen Strafen von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes im Raum. Und das sind die offiziellen. Von Abmahnkosten ganz zu schweigen, denn geschäftstüchtige Profi-Abmahner wetzen bereits ihre Messer.

Der Datenschutzhinweis

Du brauchst auf jeden Fall eine Datenschutzerklärung auf Deiner Website. Diese muss genau wie das Impressum von jeder Unterseite Deiner Website aus erreichbar sein, und zwar am besten als eigener Menüpunkt, als eigene Unterseite. Dieser kann dann z.B. „Datenschutz“ oder „Datenschutzerklärung“ heißen. Deine Datenschutzerklärung sollte beinhalten:

  • welche Daten erhoben und verarbeitet werden
  • ob und in welcher Form Daten an Dritte weitergegeben werden
  • ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
  • ein Ansprechpartner für Fragen

Die Datenschutzerklärung sollte individuell auf die jeweilige Website / den Website-Betreiber angepasst sein. Du kannst Datenschutzgeneratoren nutzen, allerdings haftest Du dann auch selber, das sollte Dir bewusst sein. Deshalb prüfe diese Generatoren daraufhin, ob sie auch wirklich alle Tools beinhaltet, die Du im Einsatz hast. Gerade bei sehr individuellen und komplexen Konstellationen solltest Du einen Rechtsanwalt zu Rate ziehen.

Ein Muster für eine Datenschutzerklärung gibt’s bei der WKO , bei activeMind, bei der Deutschen Gesellschaft für Datenschutz oder im Premium-Bereich von e-Recht24 * Auch der Datenschutz-Generator von RA Schwenke ist wieder online. Weitere Datenschutzgeneratoren: Anwaltskanzlei Weiß & Partner, WBS Law

Datenschutzerklärung für Facebook-Seiten und Gruppen von Lawlikes [UPDATE 22.06.]

Mein Tipp: der Datenschutzgenerator von e-Recht24 * Premium, den ich (in angepasster Form) auch hier auf meiner Website einsetze.

Hinweis: Bleib hier unbedingt auf dem Laufenden, so dass Du mögliche Änderungen zeitnah implementieren kannst!

[UPDATE 01.05.2018] Datenschutzerklärung FAQ beim Rechtsbelehrung Podcast

Cookies

Diese „bösen kleinen Kekse“ sind Datenpakete, die zwischen Webbrowser und Webserver ausgetauscht werden. Es handelt sich um kleine Textdateien, die auf dem Computer des Websitebesuchers gespeichert werden und Informationen zur Identifikation des Nutzers enthalten. Diese kommen z.B. häufig in Online-Shops vor, wo Informationen über den Warenkorb gespeichert werden, andere Beispiele sind die Tracking-Cookies von Google Analytics oder das Facebook Pixel oder Cookies von Affiliate- und Werbenetzwerken. Jeder kennt sie, die Werbeanzeigen, die nach dem Besuch beispielsweise eines Onlineshops die dort angeschauten Produkte auf einer fremden Website anzeigen.

Man unterscheidet hier zwischen funktionalen (technisch notwendigen) Cookies, die zum Betrieb der Website notwendig sind wie das Speichern von Login-Daten oder Session-Cookies beim Warenkorb oder Sprachauswahl (werden beim Schließen des Browsers gelöscht) und technisch nicht notwendigen Cookies wie Tracking-Cookies und Targeting-Cookies.

Funktionale Cookies dürfen ohne vorherige Zustimmung gesetzt werden, nach der EU-Cookie-Richtlinie ist bei nicht funktionalen Cookies eine Zustimmung (Opt-In) erforderlich.

Du musst auf Deiner Website auf die Nutzung von Cookies hinweisen – das ist nun Pflicht. Allerdings reicht in Deutschland derzeit noch ein Opt-Out, d.h. der Nutzer muss lediglich die Möglichkeit haben, Cookies zu deaktivieren. Darauf muss in der Datenschutzerklärung unter Hinweis auf die Browser-Einstellungen hingewiesen werden.

Falls Du einen Cookie-Banner einsetzen möchtest (was keine Pflicht ist), solltest Du beachten, dass der Banner den Link zu Deiner Datenschutzerklärung nicht verdeckt!

Hier eine Liste von Cookie Plugins für die eigene WordPress-Website:

  • Cookie Notice
  • [UPDATE 16.04.]: Das kostenpflichtige Plugin Borlabs Cookie * bietet eine Opt-In Lösung für Cookies, Google Analytics & Facebook Pixel Unterstützung, Blockieren und Nachladen von iframes (Google Maps, YouTube, Vimeo…)
  • [UPDATE 23.04.]: freies WP Cookie Plugin mit ‘Opt-In’ Option: “Ginger – EU Cookie Law
  • Pixel Mate*: Facebook Pixel datenschutzkonform einbinden mit Opt-In (inkl. Google Analytics mit IP Anonymisierung und Opt-In) und Cookie-Notice. Neu: Blockierung externer Ressourcen
  • WP DSGVO Tools *: Optin für Google Analytics und Facebook Pixel, Cookie Notice, Löschanfragen, Pseudonomysierung. Unterstützung von Contact Form 7, Gravity Forms und WooCommerce

Was ich hier auch sehr schön finde, wofür kein separates Plugin erforderlich ist, ist das kleine Javascript von Cookie Consent by Insites. Das kleine Script baust Du einfach im <HEAD> Deiner Website ein und es ist demnach auch auf Websites nutzbar, die nicht WordPress nutzen, z.B. auch auf Deiner Jimdo-Seite (wobei Jimdo hier eine eigene Lösung bereithält) oder auf Deiner statischen HTML-Seite. Viele WordPress-Themes, darunter auch mein bevorzugtes Genesis Framework oder das DIVI-Theme erlauben ohne zusätzliches Plugin in den Theme-Optionen die Einbindung in den Head-Bereich Deiner Website.

[UPDATE 27.04.]: auch Google Analytics Germanized bietet nun einen Cookie-Hinweis (opt-in und opt-out)

Drittanbieter: Verarbeitungsverzeichnis anlegen!

Was sind nun Drittanbieter? Das sind alle Anbieter, die nicht direkt zum eigenen Unternehmen gehören und die auf Deiner Website Daten erheben oder verarbeiten. Mit diesen Anbietern sollten Auftragsdatenverarbeitungsverträge abgeschlossen werden und sie sollten explizit in einem eigenen Abschnitt in der Datenschutzerklärung aufgeführt werden (inkl. Name und Anschrift der Firma, Hinweis auf die Art und Verwendung der Daten und auf den Auftragsdatenverarbeitungsvertrag.)
Bei Drittanbietern aus USA solltest Du darauf achten, dass sie im Privacy Shield registriert sind!

Beispiele für Drittanbieter:

Tracking-Dienste

wie Google Analytics oder Facebook Pixel. Hier werden personenbezogene Daten erfasst u.a. die IP Adresse, das Nutzerverhalten, zum Teil über Seiten hinweg. So lassen sich Nutzerprofile erstellen, selbst wenn der Websitebesucher davon gar nichts weiß und dem nie zugestimmt hat. Gerade Facebook Pixel ist besonders datenhungrig.

Email-Marketing-Dienste

wie ActiveCampaign, Mailchimp, GetResponse, KlickTipp, ConvertKit etc.

Terminbuchungs- und Kalendertools

wie Acuityscheduling, YouCanBookMe, eTermin

Zahlungsanbieter

wie Elopage oder Paypal. Digistore ist Reseller und kein Auftragsverarbeiter.

Webinaranbieter

wie Zoom, Clickmeeting, Webinarjam, …

Webhoster

wie All-Inkl.com, Domainfactory, HostEurope, Strato, 1und1, Jimdo…

Selbst wenn Du keine Tracking Dienste, Social Plugins oder Email Marketing nutzt: In dem Moment, in dem Du eine Website betreibst, werden bereits Daten Deiner Besucher erhoben: nämlich über die Logfiles (hier werden IP Adressen gespeichert)

X