DSGVO Vorbereitung: Was musst du auf deiner Website beachten?

 

DSGVO Vorbereitung: Was musst du auf deiner Website beachten?

(Update 17.04.) Diesen Artikel aktualisiere ich laufend bis 25.05.2018. Er dokumentiert meinen Wissenstand - oder besser: die Ergebnisse meiner Detektivarbeit;) - zum Thema und den Bereichen, die mich - und damit viele Website-Betreiber - betreffen. – Achtung: Wenn du zu 100 % sicher gehen willst, wende dich bitte an einen Rechtsanwalt oder einen Datenschutz-Spezialisten.

Ich gehe hier der Frage nach, was ich als Website-Betreiber beachten muss und was folgerichtig alles in der ‚Datenschutzerklärung’ auf meiner Website und / oder an anderen Stellen (vielleicht im Cookie-Consent-Banner?!) stehen soll. Auch, was dann in meinem 'Verarbeitungsverzeichnis' abgelegt sein muss. Du bist hier richtig, wenn du wie ich

  • Ein Anmeldeformular auf der Seite hast
  • Eine Anmeldung zum Newsletter anbietest
  • Social Icons einbindest (zum Teilen von Artikeln zB)
  • Ein Analysetool wie Google Analytics nutzt
  • Mit dem Schalten von Google Ads und / oder Facebook Ads liebäugelst
  • Ein ‚Freebie’ zum Download anbietest (gegen Austausch der Email-Adresse)

Mich interessiert zusätzlich, was mein Website-Betreiber ‚Squarespace’ mit den Daten macht. Im integrierten Analysetool sehe ich nämlich zB die IP-Adressen meiner Seitenbesucher ...

Was mir gerade Kopfzerbrechen bereitet, ist das Facebook-Pixel, das ich auf meiner Website seit einiger Zeit eingebaut habe. Damit könnte ich theoretisch alle meine Website-Seitenbesucher auf Facebook mit Werbung beschicken. Ich weiß noch gar nicht, ob ich das machen will. Ich habe das Pixel aber schon mal vorsorglich eingebaut für den Fall, dass ich es in Zukunft nutzen will.

Genügt es in diesen Fällen, die Seitenbesucher einfach über alles transparent zu informieren? Oder muss ich mehr tun? Diesen Fragen gehe ich hier nach.

Was ist die DSGVO?

  • DSGVO ist die Abkürzung für ‚Datenschutzgrundverordnung’. Sie wurde erarbeitet, um das Vertrauen der Konsumenten in den europäischen Markt zu stärken.
  • Sie tritt am 25.05.2018 in Kraft und es gibt keine Übergangsfrist! Bis dahin muss alles umgesetzt sein.
  • Ziel: Das Vertrauen der Konsumenten (wieder)herstellen, dass personenbezogene, teilweise höchst private Daten geschützt sind.
  • Personenbezogene Daten sind zB Email-Adressen, Vorname, Nachname – aber auch die IP-Adresse.
  • Es gibt auch die Kategorie sensible Daten, hierfür gelten nochmals extra Regeln. Allerdings erheben wir die ja als normaler Wirtschaftstreibender üblicherweise nicht – Religionszugehörigkeit zB.

Was ist ab dem 25. Mai NEU?

  1. Wir müssen jetzt noch transparenter sein, was mit den Daten unserer Kunden, Seitenbesucher und Newsletter-Abonnenten passiert. Wir als Verantwortliche müssen ihnen sagen, was passiert und ihnen Möglichkeit geben zu sagen, das und das wollen sie nicht. Auch über Daten im Hintergrund (zB IP-Adressen) müssen wir die Leute aufklären. Dh., wir habe eine ausführliche und vollständige Datenschutzerklärung auf unserer Website.
     
  2.  Die Dokumentationspflicht: Als Verantwortliche müssen wir nun ein Verarbeitungsverzeichnis sämtlicher Verarbeitungstätigkeiten in unserer Zuständigkeit führen.
     
  3. Angemessenheit: Wir dürfen nur so viele Daten erheben, wie wir für unsere Tätigkeit brauchen. Und das müssen wir nachvollziehbar belegen können.
     
  4. Wir werden angreifbarer durch Mitbewerber. Ab jetzt können uns nicht mehr nur selbst Betroffene ‚anschwärzen’, also zum Beispiel jemand, der ein Email von uns kriegt. Ab Mai kann das jeder machen ...
     
  5.  Die Strafen sind erheblich höher geworden: Bis zu 4 % des (weltweiten) Jahresumsatz des vorangegangenen Geschäftsjahres oder bis 20 Millionen Euro kann bestraft werden. Wobei anscheinend zuvor Abmahnungen kommen.

Die gute Nachricht

-> Wir dürfen weiterhin Online Marketing betreiben, Newsletter verschicken und Werbung machen. Wir müssen nur auf bestimmte Dinge achten.

Verarbeitungsverzeichnis

1. Was ist & Prozess dokumentieren

Beim Erstellen schaust du dir an, was die Seitenbesucher auf deiner Website tun und was anschließend Schritt für Schritt mit ihren Daten passiert. Das legst du am besten in einer Mappe ab. Wo überall erhebst du Daten? Und was machst du damit? Du kontrollierst, ob du alles einhältst und du dokumentierst es im Verzeichnis. Das Verzeichnis müssen wir nicht öffentlich machen. Wir müssen es auf Verlangen der Datenschutzbehörde vorlegen. Und es muss korrekt und nachvollziehbar sein.

2. Auftragsverarbeitungsverträge (kurz: AV)

In diesem Verzeichnis sammeln wir außerdem die AV aller Dienste, die wir im Zuge unserer Tätigkeit nutzen. Darin bestätigen diese, dass sie mit personenbezogenen Daten ordnungsgemäß verfahren und diese sichern. In meinem Fall also Mailchimp & Co. Manche Dienste haben sie bereits fertig, manche noch nicht ...

3. Muster Verarbeitungsverzeichnis

Ich habe noch nichts für mich Geeignetes gefunden ... Mit dem Download-Muster-Dokument der WKÖ (Wirtschaftskammer Österreich) kann ich leider nichts anfangen. - Das ist eines unserer derzeitigen Probleme: Jedes Unternehmen ist anders von der DSGVO betroffen. Dieses Muster-Dokument passt daher nicht auf meine Bedürfnisse als fast ausschließlich Online-Unternehmerin ...

Kontaktformular / NEWSLETTER-Eintragung

Du darfst nur so viele Daten erheben, wie du wirklich brauchst. Klar ist, dass du die Email-Adresse abfragen darfst. Die brauchst du ja auch, wenn du deinen Newsletter schicken oder auf eine Anfrage antworten willst. Du darfst auch Vor- und Nachnamen abfragen, allerdings nur optional (ohne das '*'). Weil du sie ja nicht zwingend für die genannte Tätigkeit brauchst.

Über das Double-Opt-In für den Newsletter bestätigen Abonnenten doppelt, dass sie wirklich Emails von dir empfangen wollen. Damit gehts du sicher, denn dadurch ist es im jeweiligen Newsletter-Tool dokumentiert.

Es gibt Daten, die von den Nutzern bewusst eingegeben werden, wie eben die Email-Adresse und der Vorname. Es gibt aber auch Daten, die im Hintergrund mitlaufen, von denen sie nichts wissen, wie zB die IP-Adresse. Die IP-Adresse ist wie die Empfänger-Adresse auf einem Briefumschlag und kann dem Empfänger eindeutig zugewiesen werden.

Facebook, Google und Mailchimp

1. Auftragsverarbeiter

Firmen wie die drei genannten werden nach der DSGVO 'Auftragsverarbeiter' genannt. Ich bin gerade dabei, deren Auftragsverarbeitungsverträge (AV) einzuholen. Die AV belegen, dass die Auftragsverarbeiter ordnungsgemäß mit den personenbezogenen Daten verfahren und diese sichern.

Mailchimp ihn zB derzeit schon an: Data Processing Addendum. Bei den anderen recherchiere ich noch bzw. ich dabei, sie einzuholen. Wozu? Die und einige andere kommen in mein Verzeichnis.

2. Wer macht was

Die Auftragsverarbeiter verpflichten sich die DSGVO umzusetzen. Aber Achtung, nur weil die Plattformen das für sie Notwendige machen (hier zB Mailchimp), heißt das nicht, dass du als Nutzer der Plattformen schon von deinen Pflichten entbunden bist. Das gilt für alle von dir genutzten Plattformen. Sie bieten uns teilweise Services an, die wir nutzen können aber nich müssen. In dem Fall sind wir dann selbst verantwortlich.

Es ist unsere Aufgabe, zB auf unserer Facebook-Business-Page ein Impressum anzugeben bzw. auf das auf unserer Website einfach zu verlinken (das war übrigens bisher schon so). Laden wir Email-Adressen bei Facebook hoch, um die dahinterstehenden Accounts dann auf Facebook mit Werbung zu bespielen - ist das schon ein heikleres Thema. Ich mache das nicht, kann mir aber vorstellen, dass die reine Information darüber nicht reicht. Dass wir dafür extra Zustimmungen einholen müssen - vielleicht gleich schon gemeinsam mit dem Cookie-Consent ...

Squarespace

Squarespace liefert mittlerweile mehr Infos zur DSGVO als vor kurzem. Ab 14. Mai wird's hier den AV geben.

Wordpress Plugins

Besitzer einer Wordpress-Website haben es gut, sie können sich ein eigenes praktisches Plugin besorgen, um rechtskonform zu gehen. Hier zum Beispiel eines mit Cookie-Meldung, Google Analytics und den Facebook Pixel-Opt-Out. Ich will bei Squarespace bitte eine Funktion, die das auch kann!;)

Freebie

Oft im Online-Bereich eingesetzt und für Online-Unternehmer relevant: Für ein Freebie bekommst kostenloses Know-How im Austausch für deine Email-Adresse. Hier wird es Änderungen geben.

Die Juristen derzeit dabei, die neue Verordnung erst für spezielle Anwendungen wie eben genau diese zu deuten und für uns auszulegen. Mein derzeitiger Wissensstand dazu ist, dass Freebies in der bisherigen Form nicht mehr möglich sind. Also, die Email-Adresse zu verlangen, damit ein PDF-Download möglich ist, geht nicht mehr (Stichwort 'Angemessenheit').

Vielleicht wird es reichen, ab 25.05.2018 sinngemäß dazuzuschreiben ‚Du bezahlst dieses PDF mit deiner Email-Adresse’ und 'Du bekommst das, damit ich dir Werbung schicken darf’ – und es als Vertrag sehen ... . Sobald ich hier mehr weiß, aktualisiere ich die Infos!

Datenschutzerklärung auf deiner Website

Ich habe schon begonnen, sie analog zu den Empfehlungen der WKÖ anzupassen. Dieser Prozess ist noch nicht abgeschlossen, dh. ich mache in den nächsten Wochen weitere Ergänzungen.

Willst du zu 100 % sicher gehen, lagerst du das Erstellen der Datenschutzerklärung am besten an einen Spezialisten aus. Es gibt Generatoren – aber Vorsicht, oft sind nicht alle Tools drin, die du nutzt (zB dein Newsletter-Tool) und die Verantwortlichen übernehmen natürlich keine Haftung für die Richtigkeit ...

Für mich DERZEIT noch offen:

  1. Mein Web-Baukasten Squarespace (über den ich meine Website betreibe) hat eine eigene Analyse-Funktion. In der sehe ich die IP-Adressen und die lokalen Angaben der Seitenbesucher. Reicht es, wenn ich darüber auf meiner Website informiere und den AV einhole - oder muss ich darüber hinaus Schritte unternehmen? Kann ich anonymisieren / die Anonymisierung veranlassen?
     
  2.  Facebook-Pixel: Habe ich auf meiner Website eingebaut – reicht es, das offenzulegen oder muss ich darüber hinaus weitere Schritte setzen, zB ein Opt-Out, um konform mit der DSGVO zu gehen?
     
  3.  ‚Freebie’ in Form eines PDF – darf ich das noch anbieten, wenn ich dazu sage, dass mit der Email-Adresse dafür ‚bezahlt’ wird – oder ist das dann gar nicht mehr erlaubt?

Hast du die eine oder andere Antwort darauf? Ich freu mich, wenn du sie mir in den Kommentaren unten mitteilst.

Quellen:

WKÖ FAQs: https://www.wko.at/service/unternehmensfuehrung-finanzierung-foerderungen/eu-dsgvo-online-bereich-faq.html

Katrin Hill: https://www.katrinhill.com/38-dsgvo-was-gibt-es-zu-beachten/

Marit Alke: https://www.marit-alke.de/dsgvo-grundlagen-infos-online-unternehmer-interview-sabrina-keese-haufs/

Weiterführende Infos:

Deutschland: Gesellschaft für Datenschutz

Schweiz: https://dsb.zh.ch/internet/datenschutzbeauftragter/de/datenschutz.html#datenschutz
Und zB: Datenschutz-Grundverordnung der Europäischen Union

Österreich: Muster der WKÖ zur datenschutzrechtlichen Infopflicht für Websites

Squarespace: https://support.squarespace.com/hc/en-us/articles/360000851908

Mailchimp: https://kb.mailchimp.com/accounts/management/about-the-general-data-protection-regulation