DSGVO? DSGVO! Und jetzt? Meine persönliche Checkliste

Date/time:
Lesezeit: 5 Minuten, 44 Sekunden

[Update vom 25.05.: Ich habe unter 15 WordPress Tipps zur DSGVO und meine Checkliste zum runterladen , einen aktuelleren Beitrag zur DSGVO geschrieben. Wer also mag und es gerne etwas aktueller haben möchte, bitte hier entlang.]

Zum 25. Mai 2018 wird die EU Datenschutzgrundverordnung (EU-DSGVO) bzw. die General Data Protection Regulation (GDPR), wirksam und wurde bereits am 25. Januar 2012, als Teil der EU Datenschutzreform, durch die Europäische Kommission, vorgestellt. Die DSGVO wurde am 14. April 2016 vom EU-Parlament beschlossen und bereits am 25. Mai 2016 trat die DSGVO in Kraft.

Was ist diese DSGVO?

Diese neue Vorschrift gilt für ganz Europa und soll den Umgang von Unternehmen mit personenbezogenen Daten regeln. Darunter fallen z.B. : Name, Anschrift, Email-Adresse, Telefonnummern, Geburtstag, Konto-Daten, KFZ-Kennzeichen, Geo-Daten, IP-Adressen und Cookies.
Sprich die Website-Besucher sollen transparenter und einfacher verstehen was mit ihren Daten geschieht. D.h. auch dass die Nutzer Auskunft darüber erhalten können „zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind.“ (Quelle: dsgvo-gesetz.de)

Das klingt ja erst einmal ganz einfach und vor allem, unter dem Datenschutz-Gesichtspunkt, auch wünschenswert. Ob die ellenlange Datenschutzerklärung am Ende wirklich so transparent und einfach ist, dazu will ich mich jetzt lieber nicht äußern…

Einen guten Artikel hat heise online hierzu unter Die DSGVO bringt den Bürgern neue Rechte geschrieben.

Wen betrifft die DSGVO?

Diese Verordnung betrifft dabei nicht nur Online-Shops oder große Unternehmen. Im Grunde darf sich jeder angesprochen fühlen der ein Kontaktformular und/oder Nutzer-Tracking auf seiner Website eingebunden hat, einen Newsletter anbietet und/oder Werbung auf Facebook schaltet.

Achtung Website-Betreiber: Auch die für Sie wichtigen Regelungen des Telemediengesetzes (TMG) werden durch die Datenschutzgrundverordnung zum Teil verdrängt.
Hier kommen zukünftig aber noch weitere Änderungen auf Sie zu! Da die DSGVO nicht speziell für Telemedien konzipiert ist, wird es zukünftig wohl noch eine speziellere Verordnung geben: die neue e-Privacy Verordnung.“
(Quelle: erecht24.de // Was sich 2018 im Datenschutz ändert. Und warum das für Sie wichtig ist.)

DSGVO, diese fünf Buchstaben hängen aktuell wie ein Damoklesschwert über allen Webseiten Betreibern. Und selbst ich war (und bin es immer noch) dabei mir meine Informationen, was das nun genau bedeutet, zusammenzutragen. Dazu höre ich mir im Moment verschiedene Webinare an, besuche Vorträge und lese Artikel.
Nur so ein richtig gutes Bauchgefühl, so wie ich es in den letzten Jahren bei so vielen anderen rechtlichen Themen, rund um die Rechtssicherheit einer Website hatte, habe ich diesmal noch nicht.

Was ich weiß ist dass wir hier in Deutschland, Datenschutzrechtlich, bereits weit vorne sind. Und vieles, was unsere EU Nachbarn jetzt „überraschend“ trifft, war hier zu Lande, wenngleich keine Pflicht, jedoch bereits Thema. Wer sich hierzu bereits immer wieder aktualisiert hat, hat jetzt evtl. weniger zu tun.

Vorweg sei gesagt: Ich bin keine Anwältin. Ich darf keine Rechtsberatung geben. Und all meine Informationen sind zusammengesammelt und ohne Gewähr auf juristische Richtigkeit oder Vollständigkeit.
Um sich ein allumfassendes Bild zu machen, habe ich jeweils einen Link mit drangehängt, worunter jeder weitere Informationen findet.

Worüber können evtl. personenbezogene Daten übermittelt werden?

  • Live Websites wie z.B. unter WordPress:
    • Plugins
    • Benutzer – speziell durch BuddyPress und bbPress Installationen
    • Kommentare
    • eCommerce Lösungen wie z.B. WooCommerce oder DigiStore
  • Cloud Lösungen: Dropbox, Google Drive, Amazon S3
  • Email und Email Anhänge
  • CRM Systeme
  • Email Marketing Lösungen / Newsletter: MailChimp oder ähnliche
  • Buchungs-Software wie z.B. Eventbrite, Calendly, Youcanbookme
  • uvam.

Here wie Go – Meine persönliche Checkliste

Hier nun meine Checkliste auf die hin jeder, der eine einfache Website sein eigen nennt, seine Website überprüfen sollte. Einiges davon wird nicht in direktem Zusammenhang mit der DSGVO stehen, es schadet aber auch nicht diese rechtlichen Vorgaben zu überprüfen.

Website & Domain

✓ Website auf https umgestellt (SSL-Zertifikat)
✓ Ein Vertrag zur Auftragsverarbeitung (AV) wurde mit dem Provider abgeschlossen (ehemals Auftragsdatenverarbeitung“ (ADV))
✓ Impressum und Datenschutzerklärung ist von jeder Seite aus erreichbar und wird (auch nicht in der mobilen Ansicht) durch irgendwas Pop-Up-artiges überblendet.

Meine Support – Anfrage an meinen Provider all-inkl. (Stand: 26.02.2018)

„… im Zuge des in Kraft treten der DSGVO im Mai, wollte ich fragen ob Sie eine Auftragsverarbeitung (AV) zur Verfügung stellen? …“

Antwort von all-inkl.: „… da für die ADV nach DSGVO keine Schriftform vorgeschrieben ist, wird der Vertrag nach DSGVO in der Members Area vor dem 28.05.18 zum Download bereitgestellt. Wann dies der Fall sein wird werden wir unseren Kunden per Mail mitteilen. …“

Hilfreiche Links
Umstellung von http:// auf https:// für all-inkl. Kunden und WordPress User

Kontaktformular

✓ Checkbox zur Zustimmung (Opt-in) der Datenschutzerklärung wurde integriert
✓ Datenschutzerklärung wurde angepasst
✓ Über das Widerrufsrecht wird aufgeklärt und muss so einfach sein wie die Erteilung der Einwilligung
✓ Nachweis der Einwilligung

Einbetten von

✓ Youtube Videos

  • Datenschutzmodus in YouTube aktivieren
  • Datenschutzerklärung angepasst

✓ Facebook Like Buttons
Die Rechtslage ist hier noch nicht eindeutig. Daher meine Empfehlung Plugins, die den Like Button auf die Website bringen, zu deaktivieren. Stattdessen einfach das Facebook Icon (als Grafik) mit der Fanpage verlinken.
✓ Share Buttons unterhalb der Beiträge über das Plugin: Shariff

Cookie Hinweis

✓ Plugin: Cookie Notice von dFactory
✓ Darf den Link zum Impressum und zur Datenschutzerklärung nicht verdecken. Das gilt sowohl für Desktop, als auch für die mobile Ansicht.
✓ Datenschutzerklärung angepasst.

Hilfreiche Links
Cookie-Hinweis auf Webseiten: Quatsch oder Pflicht?

Google Analytics

✓ IP wird anonymisiert übertragen
✓ Vertrag zur Auftragsverarbeitung (AV) wurde abgeschlossen (ehemals Auftragsdatenverarbeitung“ (ADV))
✓ Auf das Widerspruchsrecht wurde hingewiesen
✓ Die Datenschutzerklärung wurde entsprechend angepasst (auch für Piwik)
✓ Opt Out Cookie und Link zu Browser Plugin

Hilfreiche Links
Google Analytics datenschutzkonform einsetzen
Google Analytics für WordPress-Websites

Newsletter (Mailchimp)

✓ Abschluss des „Data-Processing-Agreements“ mit MailChimp.
✓ Datenschutzerklärung angepasst.
✓ Einwilligungsformulare und Bestätigungsmails (Double-opt-in) um Hinweise auf Newsletter-Inhalte, MailChimp, Statistiken, Widerruf sowie die Datenschutzerklärung.
✓ Nachweis der Einwilligung

Hilfreiche Links
About the General Data Protection Regulation (MailChimp)
MailChimp, Newsletter und Datenschutz – Anleitung mit Muster und Checkliste

Allgemeines

✓ Es wird dokumentiert wofür die personenbezogenen Daten (pbD) verwendet werden.
✓ Dokumentation der bestehenden Verträge/Vereinbarungen.
✓ Erstellung eines Plans, für den Fall das ein Nutzer seine pbD einsehen oder diese löschen möchte.

Mein Service für meine Bestandskunden

Ich habe mir die Premium-Mitgliedschaft bei e-recht24 gegönnt und darf auch meine Kunden mit individuellem Impressum & Datenschutz beglücken. Wenn Bedarf besteht, bitte gerne hierüber einen Termin vereinbaren: Termin vereinbaren

Gemeinsam, per GoToMeeting (virtuell), werden wir mit dem e-recht24 Impressums- und Datenschutzgenerator, beides erstellen und am Ende auf die Website zu bringen.

(Noch einmal: Dieser Service ersetzt keine Rechtsberatung durch einen Juristen. Diese darf ich natürlich nicht geben.)

Diese Liste werde ich immer wieder updaten sobald etwas klarer wird oder neu dazu kommt. Sollte etwas fehlen oder nicht richtig sein dann schreibt mir das bitte damit ich hier keinen Blödsinn verbreite. Denn davor bin selbst ich nicht gefeit.)

Veröffentlicht von: Marjeta Prah-Moses

Seit 2009 selbständig, ist Wordpress nun seit über sieben Jahren meine Leidenschaft. Von Entrepreneure, über Grafiker, bis zu den kleinen, mittelständischen Unternehmen, unterstütze ich alle die sich auf den Weg zur eigenen Website machen.

Categories: Allgemein

15 Comments

  1. Hallo Marjeta,

    vielen Dank für diese tolle Liste.

    Ich habe eine Frage in Richtung WordPress und den Plugins: Wie bekomme ich heraus, ob ein Plugin DSGVO konform arbeitet? Ob es Daten sammelt und an den Hersteller sendet zum Beispiel? Gibt es da einen Kniff oder kann einem das nur der jeweilige Hersteller sagen?

    Beste Grüße und vielen Dank
    Christine

  2. Hallo,

    vielen Dank für die Super Checkliste. Sie hat mir sehr geholfen.

    Du hast ein Overlay für deinen Cookie Hinweis. Bevor du das nicht Bestätigst, kannst du nicht weitergehen. Wie hast du das eingerichtet?

    Viele Grüße

    • Hallo Marcus,

      das habe ich über das Plugin Borlabs Cookie umgesetzt.

      Es ist zwar nicht kostenlos, aber der Kaufpreis von einmalig € 29,- (inkl. MwSt.) ist für den großen Funktionsumfang und Support absolut gerechtfertigt.

      Ich bin so frei. Hier findest Du mehr Infos (dieser Link ist ein Affiliate Link).

      Viele Grüße & Frohes schaffen
      Marjeta

  3. Hallo Marjeta!

    Klasse Checkliste, die du da zusammengestellt hast. Unsere Agentur setzt sich auch gerade intensiv mit dem Thema auseinander, damit wir unsere Kunden auch bestmöglich dahingehend beraten zu können.

    LG

  4. Hallo, wie muss bei einem Kontaktformular der Nachweis der Zustimmung der Datenschutzerklärung konkret erbracht werden? Reicht es die Daten der Zustimmung in der Mail mit dem Kontaktformular Text zusammen zu speichern oder braucht man eine extra Datenbank? Welche Daten braucht man konkret?

    • Hallo Martin,

      dazu kann ich Dir leider nicht helfen. Aktuell gibt es zwei Lager. Die einen die sagen es ist absoluter Blödsinn eine Checkbox unterhalb des Kontaktformulares anzubringen. Und die anderen die schreiben ein Hinweis was mit den Daten gemacht wird und ein Link zur DSE reicht aus.

      Viele Grüße
      Marjeta

  5. In der Members Area von all-inkl unter /Stammdaten lässt sich der Vertrag mit zwei Anlagen sehr leicht abschließen – in elektronischer Form. War in einer Minute erledigt.

    LG Simone Laub

  6. Guten Tag Frau Prah-Moses,

    vielen Dank für die Zusammenstellung der verschiedenen Maßnahmen. Meine TO-DO-Liste sieht sehr ähnlich aus. Die entscheidende Frage steht aber leider weiterhin im Raum, auch 1 Monat vor Inkrafttreten der DSGVO. Die Webagenturen müssen ebenfalls einen Vertrag zur Auftragsverarbeitung mit ihren Kunden abschließen. Bzw. habe ich das so verstanden, dass eigentlich die Kunden (als Auftraggeber) den Vertrag mit der Webagentur (als Auftragnehmer) abschließen müssen. Denn die Agenturen haben ja ebenfalls Zugriff auf den Webserver und damit auf die Daten.

    Hier wäre es hilfreich, „Schützenhilfe“ vom Hoster zu bekommen. Ich hatte bereits vor rund 2 Monaten bei All-Inkl. angefragt und wortgleich dieselbe Antwort wie Sie erhalten. Leider stellt All-Inkl. bis heute keinen entsprechenden Mustertext in der Members Area bereit. Das ist schon ein bisschen schwach von einem Hoster, dessen Support sonst so hervorragend ist. Denn die Webagenturen benötigen ja ihrerseits noch etwas Zeit, um mit ihren eigenen Kunden die Verträge abzuschließen. Der Hoster Mittwald bietet seinen Kunden ein „DSGVO-Wissenspaket“ an. Sogar inklusive AV-Mustervertrag, leider aber nicht kostenlos, sondern für 99 Euro zzgl. MwSt. Verschieden Nutzer habe das DSGVO-Wissenspaket gelobt, aber auch fehlende Informationen kritisiert. Inwieweit dieses Angebot „das Gelbe vom Ei“ ist, weiß man wohl erst, wenn man das Wissenspaket erworben und genauer studiert hat. Die allgemeinen Informationen findet man sicherlich genauso auf eRecht. Interessant wäre wohl der AV-Mustervertrag. eRecht bietet zwar auch einen an. Der ist aber nicht speziell auf den Bereich Webhosting zugeschnitten.

    Meiner Meinung nach sollten die Hoster ihre Agentur-Kunden besser unterstützen. Denn diese tragen maßgeblich zum Geschäftserfolg der Hoster bei.

    Haben Sie bereits AV-Verträge mit Ihren Kunden abgeschlossen und falls ja, wo haben Sie einen vernünftigen Mustervertrag gefunden?

  7. Hallo,

    super Idee, hier einen Statusbericht mitzuführen …

    Hat sich All-Inkl schon gemeldet?
    Deren Ansage finde ich ziemlich lax. Immerhin sind sie nur Auftragnehmer und können doch den Vertragsinhalt nicht einfach „diktieren“. Und „vor dem 25.
    05.“ finde ich ziemlich knapp.

    Was, wenn du als Verantwortliche für die Daten deiner User damit so nicht einverstanden bist? (z.B. weil im Vertrag ein Passus fehlt, wie AI bei Löschanfrage eines Kunden das Löschen serverseitig umsetzt?)

    Ich habe eine ähnliche Anfrage vor 3 Tagen gestellt und noch gar keine Antwort bekommen.

    Danke für den Artikel,
    Frank

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Der Schutz Ihrer Daten ist mir wichtig, ...

... daher wird Ihre IP Adresse anonymisiert für meine Google Analytics - Statistik verwendet. Klicken Sie auf "Cookies akzeptieren", und helfen Sie mir damit meine Inhalte besser auf Sie abzustimmen.

Bitte wählen Sie eine Option aus.

Danke <3

Ihre Auswahl wurde gespeichert!

Hilfe

Hilfe

Um fortzufahren müssen Sie eine Auswahl treffen. Unterhalb finden Sie eine Erklärung über die verschiedenen Optionen.

  • Cookies akzeptieren:
    Alles Cookies wie z.B. Tracking- und Analytische-Cookies, sowie technisch notwendige Cookies.
  • Keine Cookies akzeptieren:
    Keine Cookies außer solche die notwendig sind um die Inhalte sehen zu können.

Sie können jederzeit ihre Cookie Einstellungen hier ändern: Datenschutzerklärung. Impressum

Zurück