DSGVO – Was ihr für eure Webseite und euer Business beachten müsst

Dass sich die Datenschutzgrundverordnung (DSGVO) hin und wieder ändert, ist sicherlich bekannt. Doch die ab dem 25. Mai einführende, neue EU-Verordnung hat es in sich. Wir haben mehrere Stunden und Wochen investiert, um auf dem Stand dieses Beitrages zu gelangen und möchten euch über alles Wichtige, das ihr beachten müsst, in diesem Beitrag informieren.

Die neue DSGVO (Datenschutzgrundverordnung) steht in den Startlöchern und wurde für alle Webseitenbetreiber und Unternehmen, die personenbezogene Daten sammeln, stark verschärft. Dabei sind nun nicht nur mehr die großen Webseiten und Unternehmen, sondern auch Kleinunternehmer und Webseiten-Betreiber allgemein in der Pflicht sich mit der DSGVO auseinanderzusetzen und ggf. die Punkte umzusetzen. Unsere Informationen konnten wir über diverse Webseiten, darunter auch erecht24.de (dazu später mehr) in Erfahrung bringen.

Wir möchten euch mit diesem Beitrag zu dem Thema sensibilisieren und einen kleinen Leitfaden auf den Weg geben, damit ihr etwas einfacher durch dieses doch recht komplexe Thema durchblicken könnt. Dafür haben wir uns intensiv mit dem Thema auseinandergesetzt und unsere Erkenntnisse hier zusammengefasst. Da wir aber keine Rechtsexperten sind, können wir natürlich weder für euch noch für uns garantieren, dass das hier die absolut 100%ige Lösung ist.

99% unserer Kunden nutzen Google Analytics zur Auswertung ihrer Reichweite, Zugriffszahlen, etc. und fallen somit unter die neue DSGVO. In ganz wenigen Fällen, in denen weder Analyse-Tools, noch Newsletter etc. genutzt werden, ist die Umsetzung in diesem Maße nicht unbedingt erforderlich. Empfehlen würden wir es aber trotzdem.

Aber Vorsicht: Nicht nur die Webseite muss eine konforme Datenschutzerklärung enthalten. Ihr müsst euch ebenfalls Gedanken über eure Firmen-internen Prozesse zum Umgang mit personenbezogenen Daten machen. Dieses solltet ihr fest in eurer Firmenpolitik verankern und schriftlich aufnehmen, damit ihr bei einer Prüfung genau erklären könnt, wie ihr in diversen Arbeitsschritten vorgeht.

Da wir uns sicher sind, dass sich die Abmahner bereits ihre Hände reiben, möchten wir euch hiermit ein paar wichtige Punkte aufführen, die ihr auf jeden Fall bis zum 25. Mai umgesetzt haben solltet.

 

Kurz: Was sind eigentlich personenbezogene Daten?

 

Zu den personenbezogenen Daten zählen:

  • Name, Alter, Familienstand, Geburtsdatum
  • Personalausweisnummer, Sozialversicherungsnummer
  • Adressdaten sowie Telefonnummer, E-Mail Adresse
  • Konto- und Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Gesundheitsdaten und genetische Daten
  • Werturteile wie zum Beispiel Zeugnisse
  • Vorstrafen

 

 

Schritt 1: Klärt eure Firmen-internen Prozesse

Dazu gehört:

  • Wird ein externes/online Programm zur Buchhaltung/Rechnungserstellung (z.B. Papierkram.de) etc. genutzt? Dort werden nämlich Kundendaten gespeichert, um die Belege erstellen zu können. Besorgt euch, falls bereits verfügbar, eine ADV (Auftragsdatenvereinbarung) des jeweiligen Anbieters und schließt den Vertrag ab.
  • Wo speichert ihr Kundendaten ab? Excel-Tabelle, Outlook Kontakte, etc.
  • Wie geht ihr mit den Daten intern um?
  • Wo bewahrt ihr Zugangsdaten der Kunden auf (Hosting-Anbieter, Blogs, etc.) und wie geht ihr mit diesen Daten um? Werden sie nach Projektabschluss gelöscht? Wie wird das mit dem Kunden kommuniziert?
  • Sind in eurem Unternehmen mindestens neun Mitarbeiter damit beschäftigt personenbezogene Daten automatisiert zu verarbeiten? Dann müsst ihr einen Datenschutzbeauftragten bestellen oder im Unternehmen ausbilden.

Wir nehmen unseren Bereich Webdesign als Beispiel. Wir arbeiten intensiv mit unseren Kunden zusammen und versuchen Prozesse so schnell wie möglich durchzuführen. Dazu benötigen wir, solange der Kunde es nicht selbst erledigen kann, die Zugangsdaten zu seinem Hosting-Anbieter, um dort eine Webseiten-Installation, SSL-Zertifikate, Datenbanken, Domains, E-Mails, etc. anlegen zu können. Also benötigen wir im Grunde alle Zugangsdaten, die zur Installation und Durchführung des Projektes nötig sind.

Sobald ein Projekt abgeschlossen wurde, löschen wir alle Zugangsdaten aus unseren Notizen, den Browsern und aus Outlook. Möchte ein Kunde aber weiterhin mit uns zusammenarbeiten und hat vielleicht auch unseren Support-Service gebucht, behalten wir die Daten auf seine Einwilligung solange.

 

Schritt 2: Welche Schritte sind für deine Webseite wichtig?

Habt ihr nun eure internen Prozesse festgelegt, müsst ihr euch zu den Plattformen, welche personenbezogene Daten speichern, einen Vertrag zur Auftragsdatenverarbeitung (ADV) besorgen (sofern bereits verfügbar), ausdrucken, ausfüllen und wegschicken. Bei Google z.B. erhaltet ihr nach einigen Wochen ein unterzeichnetes Exemplar zurück (https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf). In der Zeit könnt ihr euch den folgenden Themen widmen:

Pflicht: Eure Webseite benötigt ein SSL-Zertifikat, wodurch Daten verschlüsselt auf dem Server gesichert werden. Solch ein Zertifikat kann über euren Webspace-Anbieter aktiviert/bestellt werden und ist in den meisten Fällen kostenlos. Dadurch ist eure Webseite nur noch über https:// statt http:// aufrufbar und zeigt nach erfolgreicher Aktivierung ein grünes Schloss in der Adresszeile.

  • Dann müssen, mithilfe des Plugins “Really Simple SSL”, alle Links auf https:// umgeschrieben werden. Das erledigt das Programm ganz einfach und schnell und zeigt auch den Status an.
  • Ganz wichtig ist das Hinzufügen der neuen URL mit https:// in Google Analytics und Google Webmaster Tools, um sicher zu stellen, dass ab sofort alle Inhalte von dieser URL aus von Google indexiert werden.

Ihr benötigt einen Hinweis zur Speicherung von Cookies, welche der Besucher akzeptieren muss, plus eine Opt-out Funktion in der Datenschutzerklärung. Damit wird jeder Person die Möglichkeit gegeben, der Speicherung von Cookies nachträglich zu widersprechen.

  • Das Plugin “Google Analytics Germanized” ist dafür genau das richtige Tool. Per Shortcode bindet ihr die Opt-out-Funktion in die Datenschutzerklärung ein. Ebenso sollte die Funktion “Anonymize IP” in den Plugin-Einstellungen aktiviert sein.

Plugins, welche das Liken und Teilen auf den Social Media-Plattformen möglich machen, sind nicht mehr konform und können zu Abmahnungen führen, selbst wenn die Plattform-eigenen Tools genutzt werden. Wer aber dennoch die direkten Like und Share Buttons nutzen möchte, der findet bei erecht24.de ein DSGVO konformes Plugin.

 

Schritt 3: Die Datenschutzerklärung

Auf erecht24.de haben wir das für uns informativste und größte Paket zu dem Thema geboten bekommen und nehmen dies natürlich als Anhaltspunkt und Weiterempfehlung. Der Service ist mit knapp 15€ monatlich zwar nicht kostenlos, bietet aber massig an Infomaterial, Webinaren, weiteren Features und ist monatlich kündbar.

Unsere Datenschutzerklärung haben wir dort über einen Generator erstellen lassen. Dieser führt durch einen Fragebogen, welcher am Ende eine passende Datenschutzerklärung erstellt. Ebenfalls kann diese gleich in anderen Sprachen angefordert werden.

Was euch die Plattform außerdem bietet:

  • Einen DSGVO konformen Datenschutz-Generator (Per Fragebogen gelangt ihr hier nach und nach zu eurer Datenschutzerklärung) Da ihr euch mit dem Thema bis hierhin schon etwas auseinandergesetzt hat, fallen euch die Antworten dort leichter. Dazu kann auch direkt eine englische Version erstellt werden.
  • Webinare und Infomaterial zum Thema DSGVO
  • Wichtige Formalitäten für Shopbetreiber
  • ebooks, Checklisten, uvm.
  • Auch einen Generator für ein Impressum, Widerrufsrecht oder eine AGB ist dort zu finden

Wer den Service nutzen möchte, der findet hier alle weiteren Informationen. (*Partnerlink)

 

Tipp: Erstellt eine Checkliste

Da immer noch nicht wirklich klar ist, wie eine 100%ig rechtskonforme Datenschutzerklärung und richtige Arbeitsweise mit personenbezogenen Daten im Unternehmen aussehen soll, ist es wichtig, dass ihr die Möglichkeit habt vorzuweisen, dass ihr euch mit dem Thema auseinander setzt und schon einige Dinge umgesetzt hat. Falls doch eine Abmahnung ins Haus fliegt, wäre das eine Möglichkeit dagegen vor zu gehen. Dafür müsst ihr aber alles dokumentiert festhalten. Erstellt euch also eine Checkliste oder ladet ein Muster herunter, wo ihr genau vermerkt was bereits umgesetzt wurde, was in Planung ist und wer euer Datenschutzbeauftragter ist.

 

Schlusswort

Ihr merkt schon, dass das Thema sich als doch etwas komplizierter gestaltet als vorher gedacht. Es ist bisher immer noch nicht klar was ab dem 25. Mai passieren wird. Es ist aber wichtig, dass ihr euch damit auseinander setzt, denn wenn ihr bis hierhin gelesen habt, ist euch sicherlich aufgefallen, dass ihr das Thema DSGVO nicht ignorieren könnt und solltet.

Wir hoffen, dass euch unser Beitrag etwas durch den DSGVO-Dschungel führen konnte und freuen uns auf euer Feedback!

 

Bilder: Pixabay