DSGVO / EU Datenschutz Grundverordnung 2018 » Checkliste für Websitebetreiber

von Katrin Müller (Kommentare: 0)

DSGVO: Was Websitebetreiber laut der neuen EU Datenschutz Grundverordnung 2018 JETZT tun müssen

EU Datenschutz Grundverordnung 2018

Die umfangreiche Checkliste von SEOroyal zur DSGVO

Disclaimer:
Dieser Artikel stellt keine Rechtsberatung dar. Wir sind weder Juristen noch Datenschutzexperten. Obwohl wir mit aller angemessenen Sorgfalt auf die Richtigkeit der veröffentlichten Informationen achten, kann hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für alle fälligen Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben, keinerlei Gewähr übernommen werden.

Was besagt die DSGVO - EU Datenschutz Grundverordnung 2018?

Die neue Datenschutz-Grundverordnung (DSGVO) ist ein ab dem 25. Mai 2018 geltendes EU-Gesetz, welches in 99 Artikeln die Verarbeitung von personenbezogenen Daten im Netz regelt. Die Verarbeitung der EU Datenschutz Grundverordnung 2018 umfasst die Erhebung, Speicherung, Veränderung und Auswertung von Daten. Betroffen von der Verordnung sind alle, die im Internet auf irgendeine Weise Daten verarbeiten - ob Privatperson oder Dax-Konzern.

Zeit wird’s! Die DSGVO „EU Datenschutz Grundverordnung 2018“ ersetzt das alte Datenschutzgesetz von 1995 und vereinheitlicht den Datenschutz in Europa und darüber hinaus, denn die Verordnung gilt auch für Unternehmen außerhalb der EU, sofern sie Daten aus der EU verarbeiten.

DSGVO

Welche Strafen drohen bei Nichteinhaltung der neuen EU Datenschutz Grundverordnung 2018 ab dem 25. Mai 2018?

Wer die Vorgaben der neuen EU Datenschutz Grundverordnung 2018 nicht anwendet, dem drohen Strafen von maximal 20 Mio. Euro oder vier Prozent des Jahresumsatzes. Die Höhe der Strafe bemisst sich nach vielen Faktoren und kann zwischen 1000 Euro und den besagten 20 Millionen Euro liegen.

Was muss ich als Websitebetreiber aufgrund der neuen EU Datenschutz Grundverordnung 2018 tun?

Bevor wir Ihnen nun eine Checkliste zur Verfügung stellen, die Ihnen einen Überblick über die Maßnahmen für eine DSGVO-konforme Website gibt, möchten wir Sie auf den wichtigsten Punkt hinweisen: Die verschärften Dokumentations- und Rechenschaftspflichten, die nicht nur große Unternehmen betreffen, sondern auch jeden Freelancer, der Daten verarbeitet. Wie personenbezogene Daten verarbeitet werden, wer Zugriff darauf hat und wie sie geschützt werden, muss dokumentiert werden. Zudem sollte man Daten nur noch zweckgebunden verwenden. Hat ein Nutzer sich für den Newsletter angemeldet, sollte die angegebene Emailadresse ausschließlich dafür genutzt werden. 

Was Sie bei der Datenverarbeitung von Auftragsdaten und Mitarbeiterdaten beachten müssen sowie Hinweise zur Dokumentierung der Daten innerhalb Ihres Unternehmen finden Sie unten nach der Checkliste für Websitebetreiber.

Checkliste für Websitebetreiber – das müssen Sie nach der EU Datenschutz Grundverordnung 2018 jetzt tun!

1. DSGVO 2018: Datenschutzerklärung anpassen

Trennen Sie die Datenschutzerklärung vom Impressum, falls Sie diese integriert hatten. Fügen Sie alle Informationspflichten hinzu, welche die DSGVO besagt. Alle Dienste und Plug-ins, die Daten verarbeiten und alle Daten, die Dritten zugänglich gemacht werden, müssen in der Datenschutzerklärung aufgeführt werden. Ob Facebook Like-Button oder Google Captcha, sie alle ziehen Daten von Ihren Nutzern und verarbeiten diese – zum Teil auf Servern außerhalb der EU. Zudem muss der Nutzer, laut der neuen EU Datenschutz Grundverordnung 2018 über seine Rechte zur Auskunft, Berichtigung, Löschung und Widerspruch aufgeklärt werden.

Das sollte laut DSGVO Ihre Datenschutzerklärung beinhalten

  • Verständliche Sprache
  • Kontaktdaten des Seitenbetreibers
  • Datenschutzbeauftragter, wenn vorhanden
  • Rechtsgrundlage
  • Nennung aller Datenverarbeitungsvorgänge auf der Website
  • Umgang mit Kunden- / Bestelldaten
  • Tracking, Cookies, Social Media
  • Newsletter
  • Dauer der Datenspeicherung und Löschungsfristen
  • Auskunft, Berichtigung, Löschung und Widerspruch
  • Recht auf Datenherausgabe und Übertragbarkeit

Sehen Sie sich die Datenschutzerklärung unserer Website an, hier sehen Sie ein konformes Beispiel.

2. DSGVO 2018: Datensammlung auf Ihrer Website prüfen

DSGVO 2018: Datensammlung Kann man sich auf Ihrer Website beispielsweise für einen Newsletter anmelden, ein Kontaktformular verwenden oder einen Termin vereinbaren, erheben Sie personenbezogene Daten. Laut der neuen EU Datenschutz Grundverordnung 2018 dürfen Sie nur jene Daten erheben, die Sie für die vom Nutzer gewünschte Aktion brauchen. Ist ein Newsletter gewünscht, dürfen Sie nur die Emailadresse verlangen, Vor- und Nachname dürfen keine Pflichtfelder sein. Wenn Sie noch weitere Daten erheben wollen, muss für den Nutzer klar sein, dass die Angaben freiwillig sind.

In jedem Fall sollten Sie eine Checkbox implementieren, die den Nutzer vor der Handlung, wie beispielsweise einer Newsletter-Anmeldung, über die Verarbeitung seiner Daten informiert und auf die Datenschutzerklärung verlinkt.
DSGVO Hinweis: Die Checkbox darf nicht bereits abgehakt sein, der Nutzer muss den Haken selbst setzen!

3. DSGVO 2018: Tracking | Google Analytics

Sofern Sie Google Analytics zur Auswertung Ihrer Website-Leistung verwenden (oder auch andere Analysetools), sollten Sie einen Vertrag zur Auftragsverarbeitung abschließen und dafür sorgen, dass die Daten der Nutzer anonymisiert verarbeitet werden. Zudem ist es laut der neuen EU Datenschutz Grundverordnung 2018 nötig, ein Widerspruchsrecht einzufügen und die Aufbewahrungsdauer der Daten festzulegen.

  • Vertrag: Bei Google Analytics ist es am sichersten, den Vertrag mit Google auszufüllen und per Post nach Irland zu versenden.
  • Trackingcode anpassen / Anonymisierung

Eine datenschutzkonforme Nutzung von Google Analytics ist mit der Code-Erweiterung „anonymizeIp“ möglich, welcher händisch angepasst werden muss. Durch die Erweiterung werden die letzten 8 Bit der IP Adresse gelöscht und somit bis auf eine grobe Lokalisierung anonym. Alle Daten, die vorher und nicht anonymisiert genutzt wurden, sollten gelöscht werden. Google bietet in den Analytics-Einstellungen mittlerweile die Möglichkeit, sogenannte „Properties“ und „Datenansichten“ in den Papierkorb zu verschieben, wodurch sie nach 35 Tagen gelöscht werden.

  • Widerspruchsrecht

Laut der neuen EU Datenschutz Grundverordnung 2018 ist es notwendig, dem Nutzer die Möglichkeit des Widerspruchs gegen die Erstellung von Nutzerprofilen einzuräumen. Google hat dafür ein Deaktivierungs-Add-on entwickelt, das momentan aber noch nicht auf allen Endgeräten installierbar ist. Das Script muss erweitert werden, damit ein Opt-Out-Cookie gesetzt wird.

  • Aufbewahrungsdauer der Daten festlegen

Ab dem 25. Mai 2018 bietet Google eine zusätzliche Option zur Aufbewahrung der erhobenen Daten an. Die Einstellung sieht vor, dass die Nutzer- und Ereignisdaten standardmäßig 26 Monate gespeichert werden und der Button „Bei neuer Aktivität zurücksetzen“ ist standardmäßig aktiviert. Hier sollten Sie den Button deaktivieren und die Aufbewahrungsdauer auf 14 Monate begrenzen. Die Einstellung finden Sie unter „Verwaltung“ -> Property auswählen und in der Spalte „Property“ auf „Tracking-Informationen“ -> Datenaufbewahrung klicken.

  • Zusätzlich sollte ab dem 25. Mai 2018 der sog. „Zusatz zur Datenverarbeitung“ online bestätigt werden. Dieser enthält zusätzliche Regelungen, die den abgeschlossenen ADV-Vertrag nach DSGVO-Vorgaben ergänzen. Hierzu scrollen Sie in Google Analytics unter „Verwaltung > Kontoeinstellungen“ runter bis zur Rubrik „Zusatz zur Datenverarbeitung“. Klicken Sie auf „Zusatz anzeigen“ und bestätigen Sie den Auftragsverarbeitungsvertrag. Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ müssen Sie dann noch Ihre Firmen- bzw. Kontaktangaben ausfüllen und alles mit „speichern“ bestätigen.

4. DSGVO 2018: Cookie Banner

Am sichersten fahren Sie, wenn Sie Ihre Nutzer ausdrücklich per Klick um eine Einwilligung zur Datenverarbeitung bitten oder zumindest über die Datenverarbeitung unterrichten und auf ein Widerspruchsrecht hinweisen und sich dies per Klick bestätigen lassen. Dies geht am einfachsten, indem Sie einen Cookie Banner auf Ihrer Website installieren, der sofort bei Aufrufen der Website erscheint. Der Banner sollte grundsätzlich auch auf die Datenschutzerklärung verlinken. 

Achtung! Der Cookie Banner wird gerne unten in die Website eingeblendet und verdeckt das Impressum und die Datenschutzerklärung. Das ist nicht erlaubt!

5. DSGVO 2018: SSL Verbindung | Umstellung der Website auf https://

Falls Ihre Website noch nicht über eine sichere SSL Verbindung läuft, holen Sie die nun nach. Auch die positive Auswirkung von https:// auf das Google-Ranking wird Sie erfreuen.

DSGVO 2018: SSL Verbindung | Umstellung der Website auf https://

6. DSGVO 2018: Prüfen und ändern Sie Ihre Social Media Plugins und Videoeinbettungen

Social Media Plugins sammeln Daten und erstellen detaillierte Persönlichkeitsprofile. Prüfen Sie bei Ihrem Website-System inwieweit Sie die Plugins einbinden können, ohne dass direkt beim Aufrufen Ihrer Website Daten von Ihren Nutzern an Facebook & Co. gehen. Mit dem Plugin „Shariff“ können Ihre Nutzer erst nach Aufruf Ihrer Website entscheiden, ob Ihre Daten durch die Plugins an die sozialen Netzwerke übertragen werden sollen.

Nutzen Sie Facebook Werbeanzeigen? Prüfen Sie, ob Sie das Pixel aktiviert haben. Falls ja, nehmen Sie den Pixelcode von Ihrer Website runter. Das Pixel anzuwenden, ist momentan nicht zu empfehlen. Eine Analyse ist auch via Google Analytics möglich, daher kann man easy auf das Facebook-Pixel verzichten.

Bei Videoeinbettungen empfehlen wir ganz klar Vimeo von der Website zu verbannen und bei Youtube Videos die Funktion „erweiterter Datenschutzmodus“ zu nutzen. Diese Funktion finden Sie, wenn Sie den Einbettungscode auf Youtube aufrufen. Dies bedeutet aber auch, dass Sie alle bereits eingebundenen Videos mit dem neuen Code einbetten müssen.

DSGVO 2018

7. DSGVO 2018: Prüfen Sie Ihren Newsletter

Wie sammeln Sie die Emailadressen für Ihren Newsletter? Haben Sie das Double Opt-in? Falls nicht, löschen Sie die Daten. Sie müssen in der Lage sein, eine Dokumentation zur Datensammlung und -verarbeitung darzulegen, die eine deutliche Einverständniserklärung Ihrer Nutzer enthält.

Beim Anmeldeformular für den Newsletter sollte wieder eine Checkbox mit Verlinkung zur Datenschutzerklärung implementiert werden, in der steht, welchem Zweck der Newsletter dient und welche Informationen Abonnenten erhalten. Zudem müssen Nutzer wieder deutlich darauf hinwiesen werden, dass Sie Ihre Einwilligung widerrufen können.

In der Datenschutzerklärung müssen weitere Hinweise zum Versanddienstleister stehen, denn auch dieser verarbeitetet Daten. Des Weiteren muss mit dem Versanddienstleister ein Vertrag abgeschlossen werden, was bei vielen Dienstleistern, vor allem außerhalb der EU, noch nicht möglich ist. Wir empfehlen daher, einen Versanddienstleister innerhalb der EU zu wählen und auf DSGVO-Konformität zu achten.

8. DSGVO 2018: Prüfen Sie Ihren Webhoster

Auch mit Ihrem Webhoster bzw. Provider sollten Sie einen Vertrag zur Auftragsverarbeitung schließen, da auch dieser Zugriff auf die Daten Ihrer Nutzer hat. Bei 1und1 kann dieser beispielsweise ganz einfach im Benutzerkonto geschlossen werden.

9. DSGVO 2018: Nutzen Sie Google Fonts?

Prüfen Sie, ob Sie Google Fonts nutzen. Achtung, auch Wordpress nutzt Google Fonts! Google Fonts zieht Daten von Ihren Nutzern. Hier gibt es wieder Plugins, die dies verhindern. Bei Wordpress zum Beispiel hilft das Plugin „Disable Google Fonts“.

So liebe Website-Betreiber, nun haben Sie doch noch einiges zu tun. Sollten Sie Hilfe benötigen, oder die technische Umsetzung komplett abgeben wollen, kontaktieren Sie uns, SEO Agentur gerne. Wir bieten die technische Umsetzung ab 350,- Euro an.

DSGVO / EU Datenschutz Grundverordnung 2018 – Was Sie noch beachten sollten

  1. Die Datenverarbeitung in Ihrem Unternehmen

Unternehmen benötigen ab dem 25. Mai 2018 ein Verarbeitungsverzeichnis. Diese Pflicht gilt höchstwahrscheinlich auch für Unternehmen unter 250 Mitarbeitern, also sollten Sie sich in jedem Fall eines anlegen.  

Welche Inhalte gehören hinein?

  • Angaben des Verantwortlichen
  • Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und personenbezogener Daten
  • Kategorien von Empfängern
  • Übermittlungen von personenbezogenen Daten an ein Drittland
  • Fristen für Löschung
  • Beschreibung der technischen und organisatorischen Maßnahmen
  • Angaben des Auftragsverarbeiters
  • Name und Kontaktdaten des Auftragsverarbeiters und des Verantwortlichen, ihrer Vertreter und des Datenschutzbeauftragten
  • Kategorien von Verarbeitungen
  • Übermittlungen von personenbezogenen Daten an ein Drittland
  1. Datenschutzbeauftragter

Unternehmen, die mehr als 10 Personen beschäftigen oder zu einer Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO verpflichtet sind, müssen einen Datenschutzbeauftragten nennen. Die Qualifikation hierfür kann man beim TÜV oder der IHK erwerben.

  1. Mitarbeiterdaten

Auch der Mitarbeiterdatenschutz wird neu geregelt. Es sollen nur die Daten erhoben werden, die erforderlich sind und sie sollen nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Für alle nicht erforderlichen Daten muss die Einwilligung der Arbeitnehmer in schriftlicher und unterschriebener Form eingeholt werden.

  1. Auftragsdatenverarbeitung

Wenn die Verarbeitung personenbezogener Daten durch ein externes Unternehmen erfolgt, muss dies vertraglich geregelt werden.

  1. Datenschutz bei Minderjährigen

Bei Jugendlichen unter 16 Jahren brauchen Sie eine Einwilligung der Eltern für die Datenverarbeitung.

  1. Datenschutz-Folgenabschätzung

In manchen Fällen sind Sie verpflichtet die Folgen der Datenverarbeitung zu bewerten und diese in einer Datenschutz-Folgenabschätzung festzuhalten. Grundsätzlich dann, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.

Wann und wie eine solche Datenschutz-Folgenabschätzung im Detail durchzuführen ist, können Sie im umfangreichen Whitepaper des Forum Privatfreiheit nachlesen.

  1. Einsichtsrecht und Meldepflicht

Generell haben Nutzer den Anspruch auf Auskunft zu Ihren gespeicherten personenbezogenen Daten und diesem muss innerhalb eines Monats nachgekommen werden. Zudem müssen Datenpannen gegenüber Aufsichtsbehörden unverzüglich mittels umfassender Dokumentation vorgelegt werden.

Die DSGVO greift noch in einige weitere Prozesse ein - von den Betriebsräumen bis hin zur Medienproduktion. Kaum ein Bereich oder eine Branche bleibt verschont. Wir empfehlen daher ganz klar, einem Juristen explizit Ihren Fall vorzulegen und sich zum DSGVO umfassend beraten zu lassen.

Zurück

Einen Kommentar schreiben

Unsere Qualität - IHR VORTEIL

  • Über 15 Jahre SEO Erfahrung
  • Kompetente und ehrliche Beratung
  • Tiefes SEO Fachwissen
  • Über 20 Jahre Marketing Erfahrung
  • Marketing und Positionierungs Spezialisten
  • Individuelle und persönliche Beratung
  • Über 10 Jahre Social Media Erfahrung

Kundenstimmen

"Vielen Dank Frau Müller für die Top-Platzierungen meiner Internetseite - und das trotz der starken Konkurrenz in meiner Branche.

– Dr. Chung Suk Yun, Facharzt für Plastische und Ästhetische Chirurgie YUNDÉ per Mail, Okt. 2016

"Katrin Müller versteht mich mit meinen Bedürfnissen und die meiner Kunden im Online-Shop und gibt gute Anleitung, viel sichtbarer im World Wide Web zu erscheinen. Von mir daher 5 Sterne für Leistung und Service! Absolut empfehlenswert!!!"

– Claudia Weidung-Anders, www.home-and-dogs.com, Google Bewertung Okt. 2016

"Das Team um Frau Müller hat es in der Zeit geschafft alle meine Selling Keywords unter die TOP 10 im Suchindex zu bringen. Die Visibility meines Internet Auftritts hat sich während dieser Zeit erheblich verbessert."

– Dr. Thomas Lorentzen, www.beautyberlin.de, Google Bewertung Okt. 2016

"Nach langer Suche für eine professionelle SEO-Firma haben die Seoroyal meine Webseite in großen Schritten vorangebracht! Professionelle Betreuung und große Fachkenntnis im Medizin-SEO Breich! Vielen Dank an das Team!"

– Dr. Pejman Boorboor, www.dr-boorboor.de, Google Bewertung Okt. 2016