DSGVO Vorbereitung: Was musst du auf deiner Website beachten?

 

DSGVO Vorbereitung: Was musst du auf deiner Website beachten?

(Update 05.07.) Dieser Artikel dokumentiert meinen Wissenstand zum Thema DSGVO und den Bereichen, die mich - und damit andere Website-Betreiber - betreffen. – Achtung: Wenn du zu 100 % sicher gehen willst, wende dich bitte an einen Rechtsanwalt oder Datenschutz-Spezialisten!

Kompakt gleich kurz vorweg:

Die DSGVO betrifft jeden, der in der EU personenbezogene Daten verarbeitet. Und das tust du, wenn du eine Website hast. Wieso, erfährst du weiter unten. Verschickst du einen Newsletter oder kann man mit dir online Termine vereinbaren - erst recht. Das solltest du erledigen:

  • Die Datenschutzerklärung auf deiner Website anpassen

  • Dort transparent erklären, welche personenbezogenen Daten gesammelt werden und was du damit machst

  • Bei den von dir genutzten Plattformen Auftragsverarbeitungsverträge anfordern, zB bei deinem Newsletteranbieter

  • Sicherstellen, dass die von dir gesammelten Daten bei dir sicher sind

Ich gehe hier der Frage nach, was ich als Website-Betreiber beachten und was in der ‚Datenschutzerklärung’ auf meiner Website stehen muss. Auch, was ich in mein 'Verarbeitungsverzeichnis' lege.

Du bist hier richtig, wenn du wie ich

  • Ein Anmeldeformular auf der Seite hast

  • Eine Anmeldung zum Newsletter anbietest

  • Social Icons einbindest (zum Teilen von Artikeln zB)

  • Ein Analysetool wie Google Analytics nutzt

  • Mit dem Schalten von Google Ads und / oder Facebook Ads liebäugelst

  • Ein ‚Freebie’ zum Download anbietest (gegen Austausch der Email-Adresse)

  • Deine Website auf 'Squarespace' hast

Genügt es in diesen Fällen, die Seitenbesucher einfach über alles transparent zu informieren? Oder muss ich mehr tun? Dem gehe ich hier nach.

Was ist die DSGVO?

  • DSGVO ist die Abkürzung für ‚Datenschutzgrundverordnung’. Sie wurde erarbeitet, um das Vertrauen der Konsumenten in den europäischen Markt zu stärken.

  • Sie trat am 25.05.2018 in Kraft - ohne Übergangsfrist!

  • Ziel: Das Vertrauen der Konsumenten (wieder)herstellen, dass personenbezogene, teilweise höchst private Daten geschützt sind.

  • Personenbezogene Daten sind zB Email-Adressen, Vorname, Nachname, Alter – aber auch die IP-Adresse und Bankdaten. Hast du eine Website, hast du auch einen Provider. Der wiederum erfasst die IP-Adressen deiner Seitenbesucher, das geht gar nicht anders.

  • Bilder von Kunden auf Social Media-Plattformen und der Website fallen ebenfalls unter die Kategorie 'Verarbeitung von personenbezogenen Daten'.

Es gibt Daten, die uns die Nutzer bewusst geben, zB ihre Email-Adressen und Vornamen. Es gibt aber auch Daten, die im Hintergrund mitlaufen, zB die IP-Adresse. Von denen wissen sie nichts. Die IP-Adresse ist wie die Empfänger-Adresse auf einem Briefumschlag und kann dem Empfänger eindeutig zugewiesen werden.

 Was musst du auf deiner Website für die DSGVO beachten?

Was ist SEIT dem 25. Mai 2018 NEU?

  • Wir müssen jetzt noch transparenter sein, was mit den Daten unserer Kunden, Seitenbesucher und Newsletter-Abonnenten passiert. Wir als Verantwortliche müssen ihnen sagen, was passiert und ihnen Möglichkeit geben zu sagen, das und das wollen sie nicht. Auch über Daten im Hintergrund (zB IP-Adressen) müssen wir die Leute aufklären. Dh., wir habe eine ausführliche und vollständige Datenschutzerklärung auf unserer Website.

  • Die Dokumentationspflicht: Als Verantwortliche müssen wir nun ein Verarbeitungsverzeichnis sämtlicher Verarbeitungstätigkeiten in unserer Zuständigkeit führen.

  • Angemessenheit: Wir dürfen nur so viele Daten erheben, wie wir für unsere Tätigkeit brauchen. Und das müssen wir nachvollziehbar belegen können.

  • Wir werden angreifbarer durch Mitbewerber. Ab jetzt können uns nicht mehr nur selbst Betroffene ‚anschwärzen’, also zum Beispiel jemand, der ein Email von uns kriegt. Ab Mai kann das jeder machen ...

  • Die Strafen sind erheblich höher geworden: Bis zu 4 % des (weltweiten) Jahresumsatz des vorangegangenen Geschäftsjahres oder bis 20 Millionen Euro kann bestraft werden. Wobei anscheinend zuvor Abmahnungen kommen.

Die gute Nachricht

-> Wir dürfen weiterhin Online Marketing betreiben, Newsletter verschicken und Werbung machen. Wir müssen nur auf bestimmte Dinge achten.

Daten-sicherHEIT

Als eine Maßnahme zur Datensicherheit nutze ich jetzt das VPN-Service von ZenMate aus Deutschland (VPN = 'Virtual private network'). Mit dieser VPN-Verbindung sind meine Daten nun verschlüsselt und ich habe keine Sorge mehr, dass meine Infos eingesehen werden. Hacker können zB. ganz einfach deine Daten und die deiner Kunden einsehen und klauen, wählst du dich in ein WLAN-Netzwerk ein - übrigens auch in dein eigenes zu Hause. Ohne Verschlüsselung ist es ein leichtes, zB. an deine Kreditkarten- oder Online-Banking-Daten zu kommen.

Verarbeitungsverzeichnis

1. Was passiert & Prozess dokumentieren

Beim Erstellen schaust du dir an, was die Seitenbesucher auf deiner Website tun und was anschließend Schritt für Schritt mit ihren Daten passiert. Das dokumentierst du am besten in einer Mappe. Wo überall erhebst du Daten? Und was machst du damit? Du kontrollierst, ob du alles einhältst und du dokumentierst es im Verzeichnis. Das Verzeichnis müssen wir nicht öffentlich machen. Wir müssen es auf Verlangen der Datenschutzbehörde vorlegen. Und es muss korrekt und nachvollziehbar sein.

2. Auftragsverarbeitungsverträge (kurz: AV)

Im Verzeichnis sammeln wir außerdem die AV aller Dienste, die wir im Zuge unserer Tätigkeit nutzen. Darin bestätigen diese, dass sie mit personenbezogenen Daten ordnungsgemäß verfahren und diese sichern. In meinem Fall also Mailchimp & Co. Manche Dienste haben sie bereits fertig, manche immer noch nicht ...

Bietest du so wie ich Leistungen im Webdesign und Social Media Marketing an oder bist du virtuelle Assistentin, dann brauchst du für dich ebenfalls einen AV. Ich hab meinen von Lawlikes bezogen und angepasst. Manchmal gibt es Kunden, die akzeptieren meinen AV nicht und schicken mir ihren (so geschehen im Fall einer Rechtsanwaltskanzlei, für die ich einen Auftrag übernahm). Auch okay;)

3. Muster Verarbeitungsverzeichnis

Das Problem: Jedes Unternehmen ist anders von der DSGVO betroffen. Das Muster-Dokument der WKÖ passt nicht wirklich auf meine Bedürfnisse als fast ausschließlich Online-Unternehmerin ... Fazit: Ich bastle mir mein eigenes!

Datenschutzerklärung

Ich habe in den vergangenen Wochen meine Datenschutzerklärung angepasst - und ziemlich ausgebaut. Dadurch, dass wir jetzt alles transparent und verständlich erklären müsssen, dürfte wohl jede Datenschutzerklärung länger geworden sein;). Hier ist das Muster der WKO als Basis für deine Datenschutzerklärung.

Willst du zu 100 % sicher gehen, lagerst du das Erstellen der Datenschutzerklärung am besten an einen Rechtsanwalt aus. Es gibt Generatoren – aber Vorsicht, oft sind nicht alle Tools drin, die du nutzt (zB dein Newsletter-Tool) und die Verantwortlichen übernehmen keine Haftung für die Richtigkeit ...

Kontaktformular / NEWSLETTER-Eintragung

Du darfst nur so viele Daten erheben, wie du wirklich brauchst. Klar ist, dass du die Email-Adresse abfragen darfst. Die brauchst du ja auch, wenn du deinen Newsletter schicken oder auf eine Anfrage antworten willst. Wenn du bestimmte Angaben nicht zwingend für deine Tätigkeit brauchst, darfst du sie zwar (teilweise) abfragen, allerdings nur optional. Ich zB darf Vor- und Nachnamen optional (ohne das '*') abfragen. Weil ich die ja nicht zwingend brauche, damit ich jemanden ein Email schicken kann ...

Über das Double-Opt-In für den Newsletter bestätigen Abonnenten doppelt, dass sie wirklich Emails von dir empfangen wollen. Damit gehst du sicher, denn dadurch ist es im jeweiligen Newsletter-Tool dokumentiert. Das Double-Opt-in ist allerdings nicht in der DSGVO geregelt. Die neue Verordnung besagt nur, dass jemand explizit bestimmten Dingen zustimmen muss und dann dürfen wir sie zB mit Mails beschicken ...

Email-Liste im Newsletter-Tool

Meine Frage war: Muss ich zur Sicherheit nochmals an alle Bestandskunden / Newsletterabonnenten ein Einwilligungsformular schicken, um DSGVO-konform zu gehen, auch wenn sie per Double-Opt-in zu mir gekommen sind?

Antwort: Nein. Ich muss die Leute auf meiner Newsletter-Liste nicht neu einladen, sich für meinen Newsletter zu registrieren, weil sie ohnehin mit Double-Opt-In dort gelandet sind. Außerdem sollte eine Einverständniserklärung nicht per E-Mail versandt werden, denn das kann bereits als Spam gewertet werden (!) ...

Contentessa_tipps.jpg

Du bist hier richtig!

Denn ich packe mein Know-How und die Erfahrungen aus vielen Website-Projekten in meine regelmäßig erscheinenden Tipps.

Squarespace

1. Was macht Squarespace mit den Daten?

Seit 14. Mai gibt's neue, transparente Geschäftsbedingungen - und hier den Auftragsverarbeitungsvertrag (AV). Er wird bei Squarespace 'Addendum', also 'Zusatz' genannt. Im Unterschied zu Mailchimp gibt's keine Möglichkeit mit Namen zu unterschreiben; ich verstehe es so, dass das Squarespace-Addendum Teil der AGB ist. Und dass die Firmen es einfach unterschiedlich handhaben ...

2. Neue Funktionen bei Squarespace

Im DSGVO-Guide von Squarespace werden ua. die neuen Funktionen beschrieben, die uns helfen sollen DSGVO-konform zu gehen: Ich kann nun das 'Activity Log' deaktivieren; die IP-Adressen meiner Seitenbesucher sehe ich im integrierten Analysetool nicht mehr! (Sie können zwar nicht anonymisiert, aber immerhin ausgeschaltet werden - für mich;)). Auch die Analytics-Cookies können jetzt deaktiviert werden.

3. Squarespace Tracking / Analytics

Eine Erklärung zum Tracking durch Squarespace habe ich bereits in meiner Datenschutzerklärung ergänzt.

4. Ist Squarespace sicher und DSGVO-konform?

Mich interessiert besonders, ob Squarespace eine sichere Plattform ist; sie ist amerikanisch, die Server stehen in den USA ... Ich habe nachgeforscht: Squarespace ist beim EU-US Privacy Shield gelistet (es ist die Nachfolgeregelung zum 'Safe-Harbour-Abkommen'). Die USA gelten außerdem als 'Drittstaat mit angemessenem Datenschutz'. Solange das so ist, mache ich mir weiter keine Gedanken. Attraktive Alternativen zu diesem Web-Baukasten mit Servern in der EU kenne ich nicht ... Außerdem expandiert Squarespace in Europa, laufend kommen weitere Sprachen dazu; die Firma wird an die Börse gehen. Sie wird also alles - auch im Bereich Datenschutz - tun, damit diese Vorhaben und das Wachstum nicht gefährdet sind.

Google Analytics, Mailchimp, Squarespace ETC.

1. Auftragsverarbeiter

Die genannten Firmen werden nach der DSGVO 'Auftragsverarbeiter' genannt. Ich habe die Auftragsverarbeitungsverträge (AV) der genannten Firmen eingeholt. Wozu? Sie kommen in mein Verzeichnis. Hier ist zB der von Mailchimp: Data Processing Addendum.

Die AV belegen, dass die Auftragsverarbeiter ordnungsgemäß mit den personenbezogenen Daten verfahren und diese sichern.

2. Wer macht was?

Die Auftragsverarbeiter verpflichten sich die DSGVO umzusetzen. Aber Achtung, nur weil die Plattformen das für sie Notwendige machen (hier zB Mailchimp), heißt das nicht, dass du als Nutzer der Plattformen schon von deinen Pflichten entbunden bist! Das gilt für alle von dir genutzten Plattformen. Sie bieten uns teilweise Services an, die wir nutzen können aber nich müssen. In dem Fall sind wir dann selbst verantwortlich.

Du selbst musst zB trotzdem die Daten deiner Kunden sicher verwahren. Es ist unsere Aufgabe, zB auf unserer Facebook-Business-Page ein Impressum anzugeben bzw. auf das auf unserer Website einfach zu verlinken (das war übrigens bisher schon so).

Cookies, Tracking

Der Cookie-Banner wird mit der DSGVO nicht geregelt. Cookies werden durch die ePrivacy Verordnung (ePV) geregelt, und die wird wohl erst 2019 umgesetzt werden. Bis dahin bleibt es bei der aktuellen Rechtslage. Vielleicht sparen wir uns dann die Cookie-Banner und das Ein- und Ausschalten von Cookies wird in den jeweiligen Browser integriert ... Was wir jetzt schon brauchen ist eine Cookie-Policy als Teil der Privacy Policy ...

Freebie

Oft im Online-Bereich eingesetzt und für Online-Unternehmer relevant: Für ein Freebie bekommst du kostenloses Know-How im Austausch für deine Email-Adresse. Hier wird es Änderungen geben.

Die Juristen sind dabei, die neue Verordnung für spezielle Anwendungen wie eben genau diese zu deuten und für uns auszulegen. Mein Wissensstand dazu ist, dass Freebies in der bisherigen Form nicht mehr möglich sind. Also, die Email-Adresse zu verlangen, damit ein PDF-Download möglich ist, geht nicht mehr (Stichwort 'Angemessenheit' und 'Koppelungsverbot').

Als sicherste Variante wird hier von Juristen derzeit folgende gesehen: Du bietest dein Freebie kostenlos zum Download an und koppelst es nicht an die Email-Adresse. Dafür bewirbst du den Newsletter, indem du seine Nutzen hervorhebst. Du machst also zB eine Landingpage und bewirbst dort den Newsletter prominent und in höchsten Tönen. Das PDF mit dem Freebie befindet sich auch auf dieser Seite, allerdings ist der Download an keine Bedingungen geknüpft.

Diese Variante wird als riskanter eingestuft, da es noch keinen Prozess/Präzedenzfall mit Urteil dafür gibt: Du schreibst zum Freebie sinngemäß dazu ‚Du bezahlst dieses PDF mit deiner Email-Adresse’ und 'Du bekommst das, damit ich dir Werbung schicken darf’ – und siehst es als Vertrag ... Wie gesagt, riskanter.

Ich habe die oben erwähnte sicherste Variante gewählt.

Google Ads

Google Adwords ist in diesem Fall kein Auftragsverarbeiter. Die AGB wurden aktualisiert, treten mit 25.05. in Kraft. Einzig meine Kontaktinfos bzgl. GDPR (=DSGVO) habe ich bei den Einstellungen hinterlegt. Google hat jetzt also weitere wertvolle personenbezogene Daten von mir ;)

Facebook-Pixel

Update: Ich hab den Code meines Facebook-Pixels aus der Website rausgehaut. Da meine Datenschutzerklärung immer länger wurde und ich ihn ohnehin nicht nutzte, beschloß ich, mich von Überflüssigem zu trennen. Der sicherste Weg in diesen unsicheren Zeiten ;)

Ich hatt ihn auf meiner Website eingebaut, um in Zukunft  theoretisch alle meine Website-Seitenbesucher auf Facebook mit Werbung beschicken zu können. Es reicht, wenn ich mir das Thema in einem halben Jahr wieder vornehme.

Hast du die eine oder andere Antwort? Ich freu mich, wenn du sie mir in den Kommentaren unten mitteilst.

Quellen:

WKÖ FAQs

DSGVO-Checkliste zum Download (Lawlikes)

Katrin Hill: https://www.katrinhill.com/38-dsgvo-was-gibt-es-zu-beachten/

Marit Alke: https://www.marit-alke.de/dsgvo-grundlagen-infos-online-unternehmer-interview-sabrina-keese-haufs/

Andreas Stocker: https://www.andreasstocker.at/die-dsgvo-und-dein-online-business

Weiterführende Infos:

Squarespace und die DSGVO

Österreich:
Muster Datenschutzerklärung (WKÖ)
Leitfaden zum datenschutzkonformen Cookie-Einsatz (Argedaten)

Deutschland: Gesellschaft für Datenschutz

Schweiz: https://dsb.zh.ch/internet/datenschutzbeauftragter/de/datenschutz.html#datenschutz
Und zB: Datenschutz-Grundverordnung der Europäischen Union