[Update vom 25.05.: Ich habe unter 15 WordPress Tipps zur DSGVO und meine Checkliste zum runterladen , einen aktuelleren Beitrag zur DSGVO geschrieben. Wer also mag und es gerne etwas aktueller haben möchte, bitte hier entlang.]
Zum 25. Mai 2018 wird die EU Datenschutzgrundverordnung (EU-DSGVO) bzw. die General Data Protection Regulation (GDPR), wirksam und wurde bereits am 25. Januar 2012, als Teil der EU Datenschutzreform, durch die Europäische Kommission, vorgestellt. Die DSGVO wurde am 14. April 2016 vom EU-Parlament beschlossen und bereits am 25. Mai 2016 trat die DSGVO in Kraft.
Was ist diese DSGVO?
Diese neue Vorschrift gilt für ganz Europa und soll den Umgang von Unternehmen mit personenbezogenen Daten regeln. Darunter fallen z.B. : Name, Anschrift, Email-Adresse, Telefonnummern, Geburtstag, Konto-Daten, KFZ-Kennzeichen, Geo-Daten, IP-Adressen und Cookies.
Sprich die Website-Besucher sollen transparenter und einfacher verstehen was mit ihren Daten geschieht. D.h. auch dass die Nutzer Auskunft darüber erhalten können „zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind.“ (Quelle: dsgvo-gesetz.de)
Das klingt ja erst einmal ganz einfach und vor allem, unter dem Datenschutz-Gesichtspunkt, auch wünschenswert. Ob die ellenlange Datenschutzerklärung am Ende wirklich so transparent und einfach ist, dazu will ich mich jetzt lieber nicht äußern…
Einen guten Artikel hat heise online hierzu unter Die DSGVO bringt den Bürgern neue Rechte geschrieben.
Wen betrifft die DSGVO?
Diese Verordnung betrifft dabei nicht nur Online-Shops oder große Unternehmen. Im Grunde darf sich jeder angesprochen fühlen der ein Kontaktformular und/oder Nutzer-Tracking auf seiner Website eingebunden hat, einen Newsletter anbietet und/oder Werbung auf Facebook schaltet.
Achtung Website-Betreiber: Auch die für Sie wichtigen Regelungen des Telemediengesetzes (TMG) werden durch die Datenschutzgrundverordnung zum Teil verdrängt.
Hier kommen zukünftig aber noch weitere Änderungen auf Sie zu! Da die DSGVO nicht speziell für Telemedien konzipiert ist, wird es zukünftig wohl noch eine speziellere Verordnung geben: die neue e-Privacy Verordnung.“
(Quelle: erecht24.de // Was sich 2018 im Datenschutz ändert. Und warum das für Sie wichtig ist.)
DSGVO, diese fünf Buchstaben hängen aktuell wie ein Damoklesschwert über allen Webseiten Betreibern. Und selbst ich war (und bin es immer noch) dabei mir meine Informationen, was das nun genau bedeutet, zusammenzutragen. Dazu höre ich mir im Moment verschiedene Webinare an, besuche Vorträge und lese Artikel.
Nur so ein richtig gutes Bauchgefühl, so wie ich es in den letzten Jahren bei so vielen anderen rechtlichen Themen, rund um die Rechtssicherheit einer Website hatte, habe ich diesmal noch nicht.
Was ich weiß ist dass wir hier in Deutschland, Datenschutzrechtlich, bereits weit vorne sind. Und vieles, was unsere EU Nachbarn jetzt „überraschend“ trifft, war hier zu Lande, wenngleich keine Pflicht, jedoch bereits Thema. Wer sich hierzu bereits immer wieder aktualisiert hat, hat jetzt evtl. weniger zu tun.
Vorweg sei gesagt: Ich bin keine Anwältin. Ich darf keine Rechtsberatung geben. Und all meine Informationen sind zusammengesammelt und ohne Gewähr auf juristische Richtigkeit oder Vollständigkeit.
Um sich ein allumfassendes Bild zu machen, habe ich jeweils einen Link mit drangehängt, worunter jeder weitere Informationen findet.
Worüber können evtl. personenbezogene Daten übermittelt werden?
- Live Websites wie z.B. unter WordPress:
- Plugins
- Benutzer – speziell durch BuddyPress und bbPress Installationen
- Kommentare
- eCommerce Lösungen wie z.B. WooCommerce oder DigiStore
- Cloud Lösungen: Dropbox, Google Drive, Amazon S3
- Email und Email Anhänge
- CRM Systeme
- Email Marketing Lösungen / Newsletter: MailChimp oder ähnliche
- Buchungs-Software wie z.B. Eventbrite, Calendly, Youcanbookme
- uvam.
Here wie Go – Meine persönliche Checkliste
Hier nun meine Checkliste auf die hin jeder, der eine einfache Website sein eigen nennt, seine Website überprüfen sollte. Einiges davon wird nicht in direktem Zusammenhang mit der DSGVO stehen, es schadet aber auch nicht diese rechtlichen Vorgaben zu überprüfen.
Website & Domain
✓ Website auf https umgestellt (SSL-Zertifikat)
✓ Ein Vertrag zur Auftragsverarbeitung (AV) wurde mit dem Provider abgeschlossen (ehemals Auftragsdatenverarbeitung“ (ADV))
✓ Impressum und Datenschutzerklärung ist von jeder Seite aus erreichbar und wird (auch nicht in der mobilen Ansicht) durch irgendwas Pop-Up-artiges überblendet.
Meine Support – Anfrage an meinen Provider all-inkl. (Stand: 26.02.2018)
„… im Zuge des in Kraft treten der DSGVO im Mai, wollte ich fragen ob Sie eine Auftragsverarbeitung (AV) zur Verfügung stellen? …“
Antwort von all-inkl.: „… da für die ADV nach DSGVO keine Schriftform vorgeschrieben ist, wird der Vertrag nach DSGVO in der Members Area vor dem 28.05.18 zum Download bereitgestellt. Wann dies der Fall sein wird werden wir unseren Kunden per Mail mitteilen. …“
Hilfreiche Links
Umstellung von http:// auf https:// für all-inkl. Kunden und WordPress User
Kontaktformular
✓ Checkbox zur Zustimmung (Opt-in) der Datenschutzerklärung wurde integriert
✓ Datenschutzerklärung wurde angepasst
✓ Über das Widerrufsrecht wird aufgeklärt und muss so einfach sein wie die Erteilung der Einwilligung
✓ Nachweis der Einwilligung
Einbetten von
✓ Youtube Videos
- Datenschutzmodus in YouTube aktivieren
- Datenschutzerklärung angepasst
✓ Facebook Like Buttons
Die Rechtslage ist hier noch nicht eindeutig. Daher meine Empfehlung Plugins, die den Like Button auf die Website bringen, zu deaktivieren. Stattdessen einfach das Facebook Icon (als Grafik) mit der Fanpage verlinken.
✓ Share Buttons unterhalb der Beiträge über das Plugin: Shariff
Cookie Hinweis
✓ Plugin: Cookie Notice von dFactory
✓ Darf den Link zum Impressum und zur Datenschutzerklärung nicht verdecken. Das gilt sowohl für Desktop, als auch für die mobile Ansicht.
✓ Datenschutzerklärung angepasst.
Hilfreiche Links
Cookie-Hinweis auf Webseiten: Quatsch oder Pflicht?
Google Analytics
✓ IP wird anonymisiert übertragen
✓ Vertrag zur Auftragsverarbeitung (AV) wurde abgeschlossen (ehemals Auftragsdatenverarbeitung“ (ADV))
✓ Auf das Widerspruchsrecht wurde hingewiesen
✓ Die Datenschutzerklärung wurde entsprechend angepasst (auch für Piwik)
✓ Opt Out Cookie und Link zu Browser Plugin
Hilfreiche Links
Google Analytics datenschutzkonform einsetzen
Google Analytics für WordPress-Websites
Newsletter (Mailchimp)
✓ Abschluss des „Data-Processing-Agreements“ mit MailChimp.
✓ Datenschutzerklärung angepasst.
✓ Einwilligungsformulare und Bestätigungsmails (Double-opt-in) um Hinweise auf Newsletter-Inhalte, MailChimp, Statistiken, Widerruf sowie die Datenschutzerklärung.
✓ Nachweis der Einwilligung
Hilfreiche Links
About the General Data Protection Regulation (MailChimp)
MailChimp, Newsletter und Datenschutz – Anleitung mit Muster und Checkliste
Allgemeines
✓ Es wird dokumentiert wofür die personenbezogenen Daten (pbD) verwendet werden.
✓ Dokumentation der bestehenden Verträge/Vereinbarungen.
✓ Erstellung eines Plans, für den Fall das ein Nutzer seine pbD einsehen oder diese löschen möchte.
Mein Service für meine Bestandskunden
Ich habe mir die Premium-Mitgliedschaft bei e-recht24 gegönnt und darf auch meine Kunden mit individuellem Impressum & Datenschutz beglücken. Wenn Bedarf besteht, bitte gerne hierüber einen Termin vereinbaren: Termin vereinbaren
Gemeinsam, per GoToMeeting (virtuell), werden wir mit dem e-recht24 Impressums- und Datenschutzgenerator, beides erstellen und am Ende auf die Website zu bringen.
(Noch einmal: Dieser Service ersetzt keine Rechtsberatung durch einen Juristen. Diese darf ich natürlich nicht geben.)
Diese Liste werde ich immer wieder updaten sobald etwas klarer wird oder neu dazu kommt. Sollte etwas fehlen oder nicht richtig sein dann schreibt mir das bitte damit ich hier keinen Blödsinn verbreite. Denn davor bin selbst ich nicht gefeit.)