Die Website DSGVO-konform gestalten – so klappt’s!
Zunächst sei gesagt, dass dieser Artikel natürlich keine ausführliche und auf Sie abgestimmte Rechtsberatung ersetzt. Das dürfen wir gar nicht. Doch im Rahmen unserer Möglichkeiten wollen wir Ihnen einen möglichst guten Überblick über das Thema DSGVO verschaffen und Ihnen auch ein bisschen die Angst vor diesem doch recht umfangreichen Thema nehmen.
Wenn man sich an ein paar Grundregeln hält, an ein paar Schräubchen dreht und hier und da das Thema Datennutzung ein weniger konkreter im eigenen Haus kommuniziert, hat man es schon fast geschafft und die eigene Unternehmenswebsite entspricht den Anforderungen der Datenschutz-Grundverordnung. Ein langes Wort, viele Punkte auf der To-do-Liste, also gehen wir es doch gleich an!
Was ist die DSGVO?
Die DSGVO (Datenschutz-Grundverordnung) ist ein Gesetz, genauer gesagt ein EU-Gesetz, das für alle EU-Mitgliedsstaaten gilt. Seit dem 25. Mai 2018 wurden die darin festgehaltenen Regelungen zur Pflicht und können bei Nichteinhaltung mit teils hohen Bußgeldern bestraft werden. Die DSGVO ersetzt das Bundesdatenschutzgesetz und einige andere Regelungen, die vor Einführung der DSGVO für alle Betreiber von Websites, Blogs und Co. galten.
Was regelt die DSGVO genau?
Die DSGVO regelt alle Prozesse und Anforderungen im Sinne des Datenschutzmanagements aller Unternehmen in der EU und ist auch bindend für Unternehmen, die Ihren Sitz zwar außerhalb haben, aber in der EU agieren. Bedeutet also, dass auch große Unternehmen wie Facebook und Google sich an die Vorschriften der DSGVO zu halten haben. (Nun ja...)
Welche Anpassungen muss ich auf meiner Website vornehmen?
Im Grunde ganz einfach: Versetzen Sie sich einmal in die Lage eines Besuchers und durchforsten Sie Ihre Website selbst. Wo denken Sie, hinterlassen Sie „Spuren“, die auf Ihre Person zurückzuführen sind? Darum dreht es sich nämlich vor allem: Personenbezogene Daten. Und die verdienen einen besonderen Schutz, gerade im Internet kann damit nämlich auch viel Schabernack getrieben werden.
Logisch, ein Formular, in das ich meine Adresse eingebe, ist besonders schützenswert, z. B. durch eine entsprechend verschlüsselte Übertragung. Doch manchmal ist gar nicht ersichtlich, dass tatsächlich personenbezogene Daten im Spiel sind. Die folgenden Anregungen sollten Ihnen helfen, Ihre Website ein Stück weit „DSGVO-konformer“ zu machen.
Grundsätzliche Handlungsempfehlungen
- Regeln Sie Ihre Cookies DSGVO konform
Mit Cookies bezeichnen IT-ler nicht ihre Keksen aus der Kaffeeküche, sondern jene kleinen „Helferlein“, die Daten auf Ihrer Website und auch auf den Rechnern Ihrer Website-Besucher sammeln. Und einige von diesen kleinen Dateien sind auch immens wichtig, sonst läuft unter Umständen die Website nicht mehr rund oder das Marketing meckert, weil sie keine Besucherdaten-Analysen mehr durchführen können.
Wichtig beim Einsatz von Cookies: Transparenz! So ganz klar ist innerhalb der DSGVO leider noch nicht geregelt, wie die beste Vorgehensweise mit Cookies aussieht. Doch sicher ist: Die Nutzer müssen der Verwendung von Cookies auf Ihren Rechnern entsagen können. Mit speziellen Cookie-Bot-Tools ist das mittlerweile ganz einfach möglich. Und auch in Ihrer Datenschutzerklärung sollten Sie erwähnen, welche Cookies genau auf Ihrer Website zum Einsatz kommen. Was uns auch schon zum nächsten Thema bringt. - Erstellen Sie eine (rechtssichere) Datenschutzerklärung
Wir denken, dieser Punkt ist mittlerweile allen klar. Neben einem Impressum muss sich nach aktueller Lage nun auch eine zusätzliche Seite auf Ihrer Website befinden (mit einem Klick zu erreichen), auf der sich die Datenschutzerklärung Ihres Unternehmens befindet. Wir werden hier nicht im kleinsten Detail erläutern, welche Inhalte in dieser Datenschutzerklärung im Sinne der DSGVO enthalten sein müssen, möchten Sie jedoch grob darüber informieren, was besonders wichtig ist.
Wenn Sie nicht direkt auf anwaltliche Hilfe setzen wollen: Verlassen Sie sich bei der Erstellung Ihrer Datenschutzerklärung ausnahmslos auf einen vertrauenswürdigen Anbieter oder Online-Generator, der Sie bei Neuerungen darauf aufmerksam macht, dass Sie evtl. Anpassungen vornehmen sollten. Auch wenn das ein paar Euro kostet – am Ende wird dieser Betrag geringer sein als ein etwaiges Bußgeld. - Passen Sie Ihre Google Analytics Einstellungen an
Großes Thema in Bezug auf die DSGVO: Verschlüsselte IP-Adressen. Denn ja, auch IP-Adressen zählen zu den personenbezogenen Daten. Wenn Sie die Zugriffe auf Ihre Website mit Google Analytics auswerten, dann stellen Sie sicher, dass die IP-Adressen der Website-Besucher ab sofort verschlüsselt werden. Sonst kann es zu Strafen kommen! Dies gilt im Übrigen auch für jedes andere Analyse Tool.
Und auch auf der Website gibt es eine Neuerung: Besucher müssen nun die Möglichkeit eines „Opt-outs“ für Analyse-Tools wie Google-Analytics angeboten bekommen. Dies lässt sich ebenfalls über jene bereits erwähnten Cookie-Bot-Tools umsetzen. - Senden Sie DSGVO-konforme Newsletter
Natürlich verarbeitet auch ein Newsletter-Tool personenbezogene Daten. Hier kommt eine Besonderheit ins Spiel: Immer, wenn ein externes Unternehmen – wie z. B. der Anbieter eines Newsletter-Tools – mit Daten Ihrer Besucher „in Berührung“ kommt, müssen Sie einen sogenannten Auftragsdatenverarbeitungs-Vertrag, kurz AV-Vertrag, mit ihm schließen. Einige dieser Unternehmen bieten direkt online Standard-Verträge zum Ausfüllen an. Überlegen Sie ganz genau, welche Tools Sie überdies im Einsatz haben (zum Beispiel ein CRM), bei denen ein AV-Vertrag im Sinne der DSGVO von Nöten sein könnte.
Eigentlich schon ein alter Hut, an dieser Stelle aber sicherlich nicht unangebracht: Beim Newsletter-Versand unbedingt darauf achten, dass Ihre Leser auch ein „Double-Opt-In-Verfahren“ durchlaufen haben und Ihrer Datenschutzerklärung zugestimmt haben. Dann kann eigentlich nichts mehr schief gehen! - Passen Sie die Einstellungen für Blog-Kommentare an
Wenn Sie einen Online-Blog betreiben, dann sollten Sie unbedingt die Kommentarfunktion entsprechend der DSGVO Regelungen anpassen. Meist werden hier E-Mail-Adressen angegeben oder IP-Adressen ausgelesen – und das sind wenig überraschend personenbezogene Daten! Eine komplette Anonymisierung ist hier allerdings problematisch. Was, wenn jemand Beleidigungen oder rechtswidrigen Content in den Kommentaren verbreitet? Sie könnten ihn nicht zurückverfolgen. Sie brauchen also eine Möglichkeit, um Personen, die Kommentare hinterlassen, identifizieren zu können, ansonsten tragen Sie das Risiko. Stellen Sie auf jeden Fall sicher, dass die Daten verschlüsselt werden. - Ein unterschätztes Thema: Zugriffsrechte und Passwörter
Überlegen Sie mal, wer von Ihren Mitarbeitern Zugriff auf Ihr Newsletter-Tool und damit Einsicht in alle Daten Ihrer Leser hat? Oder einen Vollzugriff auf das CRM? Verschaffen Sie sich unbedingt einen Überblick darüber, wer Systeme einsehen kann, in denen Sie persönliche Daten von Kunden und Interessenten speichern – und ob er ihn wirklich braucht. Je weniger Leute Zugriff haben, desto „sicherer“ die Daten.
Und auch zum Thema Passwörter sollten Sie Ihre Mitarbeiter dringend sensibilisieren. Obwohl „Passwort“ zweifelsohne nicht zu de sichersten Passwörtern auf diesem Erdball gehört, wird es immer wieder benutzt. Stellen Sie klare Regeln auf. Wir empfehlen mindestens 8 Zeichen, darin enthalten sollten Klein- und Großbuchstaben, sowie mindestens eine Zahl und ein Sonderzeichen sein. Auch das regelmäßige Erneuern der Passwörter sollten sie festlegen. Aber das nur am Rande. - Verschlüsseln Sie Ihre Website mit SSL
Wahrscheinlich haben Sie das sowieso schon gemacht, immerhin sind unverschlüsselte Websites mittlerweile von Google & Co. verpönt – und das ist bekanntlich gar nicht gut für das Ranking Ihrer Website in den Suchmaschinen. Daher (und nicht nur für das Erfüllen der DSGVO Regeln) sollten Sie sich ein SSL-Zertifikat für Ihre Unternehmenswebsite holen. - Legen Sie ein Verzeichnis Ihrer Datenverarbeitungs-Tätigkeiten an
Vorlagen für ein solches Verzeichnis gibt es bereits bei vielen Anbietern zum Download. Einmal angelegt, erfüllen Sie die Anforderung der DSGVO und gewinnen ein Stück weit mehr Sicherheit im Dickicht des Datenschutz-Dschungel. - Vorsicht bei Social Media Buttons
Social Media im Sinne der DSGVO – dafür bräuchte es eigentlich einen kompletten eigenen Artikel. Bevor Sie sich die Haare raufen: Passen Sie einfach auf bei der Einbindung von Social Media Plugins. Denn einige übermitteln bereits beim Besuch der Unternehmenswebsite Daten zurück an die Sozialen Netze – und das dürfte im Sinne der DSGVO äußerst fraglich sein. Für die Einbindung von YouTube-Videos gibt es eine einfache, gute Lösung: Aktivieren Sie einfach den Datenschutzmodus, wenn Sie den Link zum Teilen aufrufen. - Wann ist man fertig mit allen DSGVO Maßnahmen?
Die Antwort wird Ihnen vermutlich nicht gefallen: Nie so wirklich. Da dieses Gesetz noch relativ jung und die korrekte Einhaltung an mancher Stelle noch nicht zu hundert Prozent klar ist, wird es noch ein Weilchen dauern, bis alle Regeln eindeutig formuliert vorliegen und wir uns schließlich danach richten können. Ganz wichtig: Halten Sie sich stets auf dem Laufenden und holen Sie sich bei Bedarf auch rechtliche Unterstützung.
Der richtige Partner, wenn es um DSGVO geht
Sie sind auf der Suche nach einem Partner, der Sie bei der Umsetzung DSGVO unterstützt oder haben Fragen, wie einige der Regeln technisch umgesetzt werden können? Wir gehen das Thema mit Ihnen an!
Wir freuen uns auf Ihre Anfrage.
0Noch keine Kommentare
Social Media
Was gibt es Neues?
Top-Tools zur Optimierung von Webentwicklungsprozessen
Der erste Schritt zur eigenen Website: Domainregistrierung leicht gemacht
Newsletter
Schnell abonniert, stets informiert!
Mit unserem Newsletter bleiben Sie am Ball in Sachen neuester Entwicklungen aus der Branche und bahnbrechender
Angebote aus unserem Haus.