Der 25. Mai 2018 ist für alle europäischen Website-Betreiber und diejenigen, die mit Daten von EU-Bürgern in Kontakt kommen, ein wichtiges Datum. Denn dann tritt die neue EU-Datenschutzreform, kurz DSGVO, in Kraft. Das Ziel der Reform: europaweit einheitliche Datenschutzbedingungen zu schaffen. Wir geben Ihnen einen Überblick über die Datenschutznovelle und Tipps, wie Sie sie auf Ihrer Website umsetzen.
Die Novelle birgt viel Diskussionsstoff. Experten sehen sie zwar als nötig an, da sie ein abschließendes Regelwerk für den europaweiten Datenschutz schafft. Allerdings finden sich an vielen Stellen Grauzonen, die keine finale Rechtssicherheit geben. Vor allem, weil die Reform so umfassend ist, dass kaum jemand durchblickt. Trotzdem sollten Sie sich schnellstmöglich daran machen, Ihre Website „DSGVO-dicht“ zu gestalten. Denn bisherige Datenverarbeitungen und Einwilligungen sind ab dem 25. Mai nur gültig, wenn sie der DSGVO entsprechen.
Kurze Einführung in die EU-DSGVO
Erst einmal: Das Ziel der Datenschutz-Reform ist es, europaweit einheitliche Rahmenbedingungen zu schaffen. So soll eine größere Rechtssicherheit beim Umgang mit personenbezogenen Daten entstehen, um mit Daten achtsamer umzugehen. Die Verordnung betrifft jeden Website-Betreiber, der mit personenbezogenen Daten arbeitet, vom Konzern bis zum Einzelunternehmen.
Der 8-Schritte-Plan zur Umsetzung der EU-DSGVO auf Ihrer Website
1. Aktualisieren Sie Ihre Datenschutzerklärung!
Kurz zusammengefasst müssen Sie darin unter anderem über folgende Aspekte Auskunft geben:
- alle Zwecke der Datenverarbeitung,
- den Namen und Kontaktdaten des Verantwortlichen und auch des Datenschutzbeauftragten,
- die gesetzliche Legitimation für die Datenverarbeitung,
- die Empfänger der Daten,
- die Speicherfrist oder Kriterien, um die Frist zu bestimmen,
- die Absicht, die Daten an Dritte weiterzugeben, ev. auch in einem Drittland oder international,
- die Rechte auf Auskunft, Löschung usw. und
- das Beschwerderecht bei der Datenschutzaufsichtsbehörde.
2. Nutzen Sie ein SSL-Zertifikat und stellen Sie Ihre Website auf HTTPS um!
3. Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten!
Alle Unternehmer müssen dieses Verzeichnis führen. Ausgenommen sind hiervon lediglich Unternehmen mit weniger als 250 Mitarbeitern, die nur in beschränktem Umfang und unkritische Daten verarbeiten (Art. 30 Abs. 5 DS-GVO).
4. Schließen Sie mit Google einen Vertrag!
Neben dem verpflichtenden Hinweis auf den Einsatz von Google Analytics sowie einer inkludierten Opt-Out-Möglichkeit müssen Sie einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Die entsprechende PDF-Vorlage finden Sie hier. Den Vertrag drucken Sie zweimal aus und schicken ihn unterschrieben an Google Irland (Adresse im Dokument).
Es gibt aber auch eine einfachere Möglichkeit: Sie können die Vereinbarung direkt in Ihrem Google Analytics Account schließen. Dort gehen Sie in Ihre > Kontoeinstellungen, scrollen bis nach unten und klicken auf „Zusatz anzeigen“. Dann stimmen Sie dem Zusatz zu und speichern alles am Ende der Seite ab.
5. Installieren Sie eine Google-Analytics-Opt-Out-Option!
Die Opt-Out-Funktionalität lässt sich bei WordPress zum Beispiel mit einem Plugin wie GA Opt-Out realisieren, aber auch im Google Analytics Plugin finden Sie unter „Tracking Code“ eine Option dafür. Sinnvollerweise bauen Sie den entsprechenden Code an passender Stelle innerhalb der Datenschutzbestimmungen ein.
6. Anonymisieren Sie die Google Analytics IP!
Wie Sie die IPs anonymisieren, hängt von der Art der Tracking-Code-Einbindung ab. Wer den Tracking-Code direkt einbindet, fügt die Funktion anonymizeIP zu. WordPress Plugins (GA Dashboard for WordPress) verfügen in der Regel über eine entsprechende Option. Die dritte Möglichkeit ist die entsprechende Konfiguration des Tag Managers.
7. Nicht die Kommentarfunktion vergessen!
Ein Hinweis zur Datenspeicherung (idealerweise mit Link auf die Datenschutz-Policy) muss auch an dieser Stelle angebracht werden, obwohl Ihre User freiwillig kommentieren. Mit einer Checkbox, implementiert als Custom Field mit WP Discuz, gehen Sie auf Nummer sicher.
8. Einfach alle personenbezogenen Daten entfernen!
Dieser letzte Tipp ist natürlich eher als Scherz gemeint. Allerdings: Wer Fehlern und Abmahnungen vollkommen aus dem Weg gehen möchte, der entfernt am besten Banner, Analytics Features und Formulare. Gleichzeitig fallen damit auch alle Vorteile weg, die das Online-Marketing bietet.
Fazit
Wir empfehlen Ihnen, weniger sensible Personendaten nicht lockerer zu handhaben: Schon nach bisher geltendem Recht müssen Personen der Verwendung zustimmen, allerdings war die Zustimmung bei (Online-)Formularen bereits vorausgewählt. Neu: Dem Speichern auch nicht sensibler Daten müssen User durch eindeutige Handlung zustimmen.
Die EU-DSGVO ist umfangreich, so dass Sie schnellstens damit anfangen sollten Ihre Website umzustellen. Denn bei Verstößen oder Unterlassung drohen zum Teil drakonische Strafen, die bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes eines Unternehmens betragen können – je nachdem, welcher Betrag höher ist. Auch wenn die Umsetzung der Datenschutznovelle umständlich ist, nehmen Sie sie ernst, auch als Website-Betreiber ohne Onlineshop und Zahlungsverkehr. Vorteil und Nachteil zugleich: Viele Bestimmungen sind bislang nicht bis ins Kleinste für die Praxis durchdekliniert, sodass erst einschlägige Gerichtsurteile wirkliche Orientierung bieten werden.
Quelle: https://www.df.eu/blog/der-8-schritte-plan-wie-sie-die-neue-dsgvo-umsetzen/?utm_source=newsletter&utm_medium=email&utm_campaign=blog-newsletter-12_2017&_$ja=tsid:68638|cgn:blog-newsletter|kw:12/2017