Die DSGVO ist nach wie vor für viele Websitebetreiber*innen ein enormes Problem. Oft ist gar nicht genau klar, was denn nun erlaubt und verboten ist. Doch selbst wenn ihr alles richtig machen möchtet, bestehen genug Grauzonen, die später zu Schwierigkeiten führen können. Zeit also, sich das Thema DSGVO noch einmal genauer anzusehen und euch fünf Tipps mit auf den Weg zu geben, die schnell und effektiv für mehr Datenschutz sorgen.
Vorab allerdings wieder der Disclaimer, dass wir keine Anwälte sind. Alle Tipps basieren auf unseren Erfahrungen und unserem Wissen sowie einer entsprechenden Recherche. Allerdings solltet ihr im Einzelfall immer noch einmal selbst prüfen, ob die erwähnten Techniken für euer Unternehmen tatsächlich ausreichend und vor allem auch rechtlich sicher sind.
Doch genug der Vorrede. Schauen wir uns lieber an, was getan werden kann, um der DSGVO Genüge zu tun.
1. Datenschutzerklärung einrichten
Oft vergessen und doch so wichtig ist die Datenschutzerklärung. Diese darf auch nicht als Teil des Impressums vorhanden sein, sondern muss einzeln und über einen entsprechenden Link erreichbar gemacht werden. Früher wurden Impressum und Datenschutz gerne kombiniert, doch das ist heutzutage eben nicht mehr möglich. Genau wie das Impressum muss auch die Datenschutzerklärung von jeder Seite aus erreichbar sein. Wie die Datenschutzerklärung aussehen sollte bzw. welche Punkte sie enthalten muss, hängt von der jeweiligen Website und den angebotenen Services ab. Wer sich keine Beratung leisten kann, ist mit einem Datenschutz-Generator gut beraten. Die besten Datenschutz-Generatoren hatten wir euch schon einmal in einem Artikel vorgestellt. Schaut dort also unbedingt noch einmal vorbei.
2. Formulare DSGVO-konform einbauen
Ein oft vergessenes Problem sind auch Formulare auf der jeweiligen Website. Wenn Nutzer*innen euch etwas schreiben oder ein Formular ausfüllen, werden für gewöhnlich automatisch personenbezogene Daten übertragen, was in Hinsicht auf die DSGVO dann wiederum problematisch ist. Gerade Kontaktformulare sind in diesem Bereich eine Falle, da auch hier der Grundsatz der Datensparsamkeit gilt. Ihr dürft streng genommen keine Angaben verlangen, die für den Kontakt nicht notwendig sind. Wenn doch, muss klar erkenntlich gemacht werden, dass es sich nicht um sogenannte Pflichtangaben handelt, Nutzer*innen die Felder also leer lassen können. Auch bei Kommentaren sollte genau wie bei fast allen anderen Formularen auf den Datenschutz hingewiesen werden. Am besten ist ihr verlinkt diesen noch einmal klar und deutlich oder erschafft eine Checkbox, mit der Nutzer*innen bestätigen müssen, die Datenschutzerklärung zur Kenntnis genommen zu haben. Formulare sind seit der DSGVO rechtlich immer schwierig zu sehen und zudem mit vielen Fallstricken verbunden. Deshalb schalten viele Betreiber*innen sie mittlerweile komplett ab und deaktivieren eventuell sogar die Kommentare im eigenen Blog. Überall dort, wo Daten übertragen werden, sind seit der DSGVO potenzielle Probleme vorhanden.
3. Embeds nur noch via 2-Klick-Lösung
Auch Embeds von YouTube, Twitter oder anderen Plattformen sind seit DSGVO ein rechtliches Minenfeld. Jeder YouTube Embed stellt nämlich automatisch eine Verbindung zu YouTube her, überträgt also Daten und weitere Informationen, die so nicht gesendet werden dürfen. Besucher*innen eurer Website ist das vorab nicht ersichtlich und ist die Seite erst einmal aufgerufen, wird das Video bereits automatisch geladen. Genau das solltet ihr verhindern. Am besten ist es, eine 2-Klick-Lösung zu verwenden. Embeds werden dann erst geladen, wenn Nutzer*innen aktiv klicken und damit mehr oder weniger bestätigen, den Datenschutz beachtet zu haben. Auch hier empfiehlt es sich zusätzlich, die Datenschutzerklärung des jeweiligen Dienstes zu verlinken und darauf hinzuweisen, dass mit dem Klick ein anderer Datenschutz gilt bzw. ein externer Service nachgeladen wird, auf welchen ihr keinerlei Einfluss habt. Plugins gibt es dafür eine Menge, wie beispielsweise Plugins für YouTube, die kinderleicht zu WordPress hinzugefügt werden können. So oder so solltet ihr sicherstellen, dass keine Inhalte von fremden Quellen geladen werden. Das gilt dann automatisch für Scripte von externen Servern. Alles sollte auf dem eigenen Webspace liegen, auch Webfonts.
4. AV-Vertrag mit dem Hosting-Anbieter
Der Vertrag zur Auftragsverarbeitung (AV-Vertrag) muss mit Dienstleistern geschlossen werden, die in eurem Auftrag personenbezogene Daten verarbeiten. Bei einer Website ist der klassische Fall der jeweilige Hoster, der Log-Files anlegt, die in der Regel IP-Adressen etc. enthalten. Gleiches gilt für Newsletter-Systeme und ähnliche Angebote. Immer wenn ihr externe Services nutzt, die mit personenbezogenen Daten in Verbindung kommen, ist ein Vertrag zur Auftragsverarbeitung notwendig. Die meisten Hoster und Anbieter (zumindest aus der EU) stellen solche AV-Verträge inzwischen standardmäßig zur Verfügung, sodass ihr euch gar nicht mehr gesondert darum kümmern müsst. Das ist übrigens ein wichtiger Punkt, denn streng genommen darf kein Anbieter außerhalb der EU verwendet werden, da die Übermittlung von personenbezogenen Daten in die USA beispielsweise viel Ärger verursachen kann. Ihr sucht euch also lieber Partner*innen innerhalb von Europa.
5. Cookies prüfen und streichen
Das letzte große Thema sind die Cookies. Die dürfen zwar gesetzt werden, doch die DSGVO sagt auch, dass Nutzer*innen nicht mehr genötigt werden dürfen, alle Cookies akzeptieren zu müssen. Laut DSGVO ist es deshalb notwendig, sich die Einwilligung der Nutzer*innen zu holen. Beim ersten Besuch muss somit danach gefragt werden, was denn konkret gespeichert werden darf. Ausgenommen davon sind nur Cookies, die für den Betrieb einer Website benötigt werden. Doch auch hier müsst ihr darüber informieren, dass diese entsprechend gesichert werden. Pflicht ist also immer ein Cookie-Banner, welches Nutzer*innen über Cookies informiert und im Fall der Fälle erlaubt, nicht notwendige Cookies abzulehnen. Ein großes Thema, welches wir bereits in unserem Artikel zu den Cookie Banner Plugins für WordPress behandelt haben. Auch hier lohnt ein Blick in den Artikel von damals, der immer noch aktuell ist.
Die DSGVO und ihre tausend Fallstricke
Wer die oberen fünf Punkte beachtet, macht bereits vieles richtig. Doch die DSGVO ist verzwickt und oft nicht klar verständlich, sodass es auch rechtlich immer noch Diskussionsbedarf gibt. Außerdem kommt über kurz oder lang die europäische ePrivacy-Verordnung, die dann ebenfalls wieder einige Änderungen beinhalten wird. Wann ist jedoch unklar, da sie eigentlich schon vor Jahren fertig sein sollte.
Somit bleibt am Ende vieles unklar und doch scheint es einen einfachen Grundsatz zu geben. Sammelt so wenige Daten wie möglich, wenn ihr keine Probleme mit der DSGVO haben wollt. Und wenn ihr unbedingt Daten sammeln möchtet, dann achtet sehr genau darauf, was ihr sammelt, wie ihr es sammelt, wer dafür zuständig ist und ob ihr eure Nutzer*innen darüber korrekt informiert.
Wir hoffen, der Artikel war interessant und konnte etwas Klarheit zum Thema DSGVO schaffen. Wer möglichst wenig sammelt, ist beim Thema Datenschutz oft schon vorne mit dabei. Wer gerne weiterhin viel sammeln möchte, sollte sich rechtlich bestens beraten lassen, denn ganz so einfach ist das nun alles nicht mehr, vor allem wenn dafür Services und Tools aus den USA Anwendung finden.
by A-DIGITAL one
Unsere Herzen schlagen Digital, unsere Projekte leben Digital, unsere Kunden lieben und schätzen Digital! Die einzigartige digitale Performance, die wir seit 1999 an den Tag legen.
Mit unserem Team von über 45 Experten begleiten wir Sie auf Ihrem Weg der digitalen Transformation. Mit klaren Strategien, persönlicher Betreuung und exzellenter Ausführung entwickeln wir, innovativ und individuell, maßgeschneiderte digitale Lösungen, die performen und verkaufen können.