DSGVO im Allgemeinen
Ab dem 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft und betrifft alle Unternehmen, die personenbezogene Daten verarbeiten.
Die EU will mit diesem Gesetz regeln, wie mit personenbezogenen Daten umgegangen werden darf und wie diese verarbeitet werden dürfen.
Das Strafausmaß für eine Verletzung der DSGVO kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen.
Aktuell sieht es allerdings so aus, als würde man in Österreich vorerst noch Straffrei bleiben
Was muss ich als Webseiten-Betreiber beachten?
Als erstes ist eine Bestandsaufnahme meines aktuellen IST-Zustandes wichtig:
- Welche Daten werden auf meiner Webseite gesammelt und verarbeitet?
- Informationen die eine Person wissentlich übermittelt, wie zum Beispiel: Name, Kontaktdaten, Kontodaten, Geburtstag, ….
- Informationen die automatisch gesammelt werden, wie zum Beispiel: Standortdaten, IP-Adresse, Cookies, …
Bei den automatisch gesammelten Informationen ist fast jede Webseite von der DSGVO betroffen.
Beispiele:
- IP Adressen werden oftmals von Anti-Spam Plugins, Google Analytics, uvm zur Auswertung verwendet und weitergeleitet.
- Kommentar-Funktionen, wo Name und E-Mail angegeben werden muss
- Kontaktformulare wo die Kontaktdaten angegeben werden
- Anmeldung an einem Newsletter
- Tracking Tools zur Analyse des Benutzerverhaltens (Cookies, IP)
- Social Media Plugins, die Daten ohne User-Interaktion übertragen
Was muss ich nun konkret zur Einhaltung der DSGVO tun?
1. Datenschutzerklärung aktualisieren/erstellen
Für die Datenschutzerklärung gibt es einige sehr gute Generatoren, welche die Notwendigen Informationen modularisiert zuschaltbar machen.
https://www.e-recht24.de/muster-datenschutzerklaerung.html
https://www.datenschutzkanzlei.de/machen-sie-ihre-datenschutzerklaerung-fit-fuer-die-dsgvo
Kurz gesagt, sollte folgende Information vorkommen:
- Kontaktdaten einer Ansprechperson für die Verarbeitung personenbezogener Daten
- Wie die Daten auf der Webseite erhoben werden
- Datenverwendung
- Welche Datenkategorien es gibt
- Wie erfolg die Datenspeicherung
- Vorhandensein von Fristen für eine Löschung
- Datenschutzmaßnahmen
- Notfallmaßnahmen
2. Webseite auf eine verschlüsselte Kommunikation umstellen
Notwendig sobald wir personenbezogene Daten verarbeiten.
WordPress von HTTP auf HTTPS umstellen
3. Verarbeitungsverzeichnis erstellen
Muss allerdings nicht gemacht werden, wenn das Unternehmen weniger als 250 Mitarbeiter hat und nur in beschränktem Umfang personenbezogene Daten verarbeiten (Artikel 30, Absatz 5 der DSGVO)
4. Google Analytics
4.1 Auftragsdatenverarbeitungsvertrag muss mit Google abgeschlossen werden
Österreicher können einfach den Online Vertrag akzeptieren. Scrollen Sie dazu in den Kontoeinstellungen ihres Google Analytics Konto bis nach unten und klicken auf “Zusatz anzeigen”. Dann stimmen Sie dem Zusatz zu und speichern alles am Ende der Seite ab.
Für Deutschland reicht aufgrund des Bundesdatenschutzgesetzes der Online Vertrag nicht aus. Man muss den nachfolgenden Vertrag in Papierform unterschreiben und an Google Irland schicken.
https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf
4.2 Google Analytics Opt-Out Option
Einem User auf ihrer Webseite muss es möglich sein das Tracking mittels Google Analytics zu deaktivieren. Für WordPress stellt das Plugin “Google Analytics Dashboard for WP (GADWP)” dafür eine Option zur Verfügung.
Google Analytics –> Tracking Code –> Erweitertes Tracking -> enable support for user opt-out
In der Datenschutzerklärung muss eine Anleitung oder der entsprechende Code beschrieben sein.
5. Anonymisieren der IP Adresse
Es ist wichtig alle Plugins durchzugehen und herauszufinden, ob diese die IP-Adresse verarbeiten. Wenn dies so ist, muss Sie zumindest die IP Adresse anonymisieren.
Bei Google Analytics gibt es die Option anonymizeIP, welche im Tracking Code hinzugefügt werden kann (https://www.metrika.de/blog/web-analytics/google-analytics-anonymizeip/)
Das WordPress Plugin “Google Analytics Dashboard for WP (GADWP)” bietet auch diese Option als einfaches Flag.
Google Analytics –> Tracking Code –> Erweiterte Einstellungen –> Erweitertes Tracking -> IP-Adresse anonymisieren
Bei Verwendung des Plugins “Redirection” muss unter Options bei der IP-Protokollierung “Anonymize IP” eingestellt werden
Bei Verwendung des Plugins “Antispam Bee” muss das Weiterleiten der IP Adresse deaktiviert werden. In den Antispam-Regeln folgende Boxen deaktivieren
“Öffentliche Spamdatenbank berücksichtigen”, “Kommentare aus bestimmten Ländern blockieren”, “Kommentare nur in einer bestimmten Sprache zulassen”.
6. Kommentar-Formulare und Kontaktformulare
Hinweis zur Datenspeicherung muss als verpflichtende Check box Verfügbar sein. Idealerweise mit Link zur Datenschutzseite.
7. Social Media Plugins
Es dürfen ohne Benutzerinteraktion keine Daten an die Social Media Plattformen übertragen werden. Oftmals werden schon beim bloßen Laden einer Webseite Benutzerinformationen übertragen. Die jewelige Social Media Plattform weiß dann genau, auf welcher Seite befinde ich mich aktuell.
Hier muss sichergestellt werden, dass erst beim Klick auf einen der Social Media Buttons eine Kommunikation passiert.
Für WordPress kann ich hier das Plugin “Shariff Wrapper” empfehlen.
8. Cookies
Auch bei der Verwendung von Cookies müssen wir die Personen darauf hinweisen. Dabei ist es egal die Person diese Meldung bestätigt oder nicht.
Für WordPress kann ich wiederrum das Plugin “Wp Cookie Choice” wärmstens empfehlen.
9. Newsletteranmeldung
Für einen Anmeldung an einen Newsletter sollte Grundsätzlich nur die E-Mail Adresse verpflichtend sein. Bei Newsletter sollten man immer das Double-Opt-In Verfahren nutzen. Denn gemäß der DSGVO müssen Sie jederzeit nachweisen können, dass der User die Verwendung seiner Daten bewilligt hat. Wichtig ist auch ein entsprechender Abmeldelink im Newsletter, sodass der User jederzeit eine Widerruf-Möglichkeit hat.
Das WordPress Plugin “Subscribe To Comments Reloaded” unterstützt einem hierbei Tatkräftig.
10. Recht auf Löschung/Recht auf Vergessen und die Datenübertragbarkeit
Laut DSGVO kann eine Person die Einwilligung zur Nutzung seiner personenbezogenen Daten jederzeit widerrufen. Dann sind die personenbezogenen Daten unverzüglich zu löschen. Die Daten müssen auch gelöscht werden, wenn der Zweck nicht mehr gegeben ist, wofür die Daten ursprünglich angegeben wurden.
Zusätzlich hat eine Person auch das Recht, dass man ihm sämtliche Daten die über ihn gespeichert werden, aushändigt.
siehe auch https://dsgvo-gesetz.de/art-20-dsgvo/
Deswegen ist es sehr wichtig, immer zu Wissen, wo personenbezogene Daten gespeichert sind und wie man diese Löschen kann.
Disclaimer
Ich bin kein Jurist und befasse mich mit dem Thema, weil ich selbst wissen wollte, was ich anpassen muss. Desweiteren übernehme ich keinerlei Haftung und erhebe keinen Anspruch auf Vollständigkeit oder Richtigkeit.
Quellen:
https://t3n.de/news/dsgvo-datenschutzgrundverordnung-aenderungen-837794/2/