Am 28.01. war der Europäische Datenschutztag. Auch wenn das Thema mittlerweile wieder etwas in den Hintergrund gerückt ist, so taucht die DSGVO doch immer mal wieder auf. Es ist wichtig, dass wir uns regelmäßig damit beschäftigen, damit unsere Website DSGVO-konform ist und bleibt! Ab und an ändert sich doch etwas, wir wechseln einen Anbieter oder wir bieten plötzlichen einen Newsletter an, der in der Datenschutzerklärung genannt werden muss. Zum einen ist das Thema natürlich wichtig, damit wir nicht abgemahnt oder gar eine Strafe zahlen müssen. Zum anderen finde ich das Thema DSGVO auch eine gute Sache, da man sich endlich tatsächlich mal damit beschäftigt, was mit seinen Daten geschieht, ob das tatsächlich alles notwendig ist und wie man seine eigenen Daten und die seiner Kunden am besten schützt.
Am Europäischen Datenschutztag habe ich eine Story und einen Beitrag bei Instagram zum Thema gemacht, aber es ist mir aufgefallen, dass einige Dinge doch noch Probleme bereiten, darum möchte ich daraus einen Blogpost machen und ausführlicher über die entsprechenden Themen schreiben, die gemacht werden müssen, um eine Website DSGVO-konform zu machen.
Installation eines SSL-Zertifikats
Die Installation eines SSL-Zertifikats ist Pflicht. Das bedeutet, dass deine Website mit https und nicht nur mit http beginnen musst. So ein Zertifikat bekommst du meist bei deinem Hosting-Anbieter. Anschließend musst du ein paar Schritte ausführen, um das Zertifikat zu installieren. Um herauszufinden, wie du das machst, google am besten deinen Hostinganbieter + SSL installieren, da findest du sicher etwas. Wenn du es nicht allein machen möchtest, kannst du mich auch gerne diesbezüglich kontaktieren.
Wenn deine Website nach der Installation noch einige Seiten mit http und als unsicher anzeigt, dann nutze die Seite whynopadlock.com, um herauszufinden, was die Probleme auslöst.
Impressum & Datenschutzerklärung
Das ist sicher kein Neuland für dich. Um eine Website DSGVO-konform zu machen, benötigt sie ein Impressum und eine Datenschutzerklärung, in der geschrieben steht, welche Tools du benutzt und was mit den Daten im Grunde genommen passiert.
Wenn du also Google Analytics nutzt, muss dazu mehr geschrieben werden, das Gleiche gilt für deinen Newsletter, deine Social Media Accounts, die Einbindung von YouTube Videos, die Nutzung von Digistore24 usw.
Den in meinen Augen besten Datenschutzgenerator findest du auf e-recht24.de. Ein Großteil der Inhalte ist kostenlos, wenn es dann in spezifischere Aspekte wie ActiveCampaign oder Digistore24 geht und du diese Inhalte für deine Datenschutzerklärung nutzen möchtest, musst du Premium Abonnent sein.
Cookie-Hinweis
Ein weiterer grundlegender Punkt ist der Cookie-Hinweis. So gut wie alle Websites verwenden diese. Im Grunde benötigst du zum einen die Erwähnung in der Datenschutzerklärung, aber auch einen Hinweis bzw. Ein Einwilligungs-Pop-Up, sobald der Nutzer auf deine Seite kommt. Eine solche Opt-in Lösung findest du bei Borlabs.
Kontaktformulare
Wenn du Kontaktformulare auf deiner Website integrierst, frage hier nur Daten ab, die du auch tatsächlich für die Beantwortung der Frage benötigst. Wenn du sowieso immer per E-Mail antwortest, benötigst du z.B. die Telefonnummer nicht und solltest sie auch nicht abfragen.
Ich empfehle dir außerdem entweder einen Haken zu integrieren, den der User anklicken muss und damit einwilligt, dass die Daten von dir genutzt werden dürfen oder zumindest einen Hinweis-Text diesbezüglich zu schreiben. Ich persönlich nutze auf meiner Kontaktseite folgenden Text (man muss das Ganze auch mit dem Klick auf einen Haken bestätigen):
„Sendest du unser Kontaktformular, erteilst du deine Einwilligung, dass wir deine Daten für die Bearbeitung der Anfrage im Rahmen unserer Datenschutzerklärung verarbeiten. Du hast jederzeit das Recht, eine uns erteilte Einwilligung zur Verarbeitung deiner personenbezogenen Daten zu widerrufen. Dies kann durch eine formlose Mitteilung erfolgen, zB über unser Kontaktformular, eine Mail an die im Impressum angegebene Mail-Adresse. Dein Widerruf berührt die Rechtmäßigkeit der bis dahin vorgenommenen Datenverarbeitung nicht.“
Newsletter Opt-in
Das gleiche Thema betrifft auch dein Newsletter Opt-in. In dem solltest du so wenig Daten wie möglich abfragen. Am besten ist es nur die E-Mail-Adresse abzufragen, denn das ist das Einzige, was du wirklich brauchst. Viele möchten aber die Abonnenten mit ihrem Namen ansprechen und fragen zusätzlich den Namen ab. Diesen solltest du aber nicht als Pflichtfeld im Formular verwenden. Grundsätzlich musst du für alle Felder, die du nutzt, begründen können, warum du diese vom Nutzer ausfüllen lässt.
Abgesehen vom Registrierungsformular, ist natürlich das Double-Opt-in Pflicht. Das sollte eigentlich nichts Neues sein. Das bedeutet, dass der zukünftige Abonnent zunächst seine E-Mail-Adresse bestätigen muss, bevor er in deine Liste eingetragen wird. Tut er das nicht, werden seine Daten nicht gespeichert.
Freebie
Ein Freebie ist rein theoretisch nicht DSGVO-konform, weil es gegen das Kopplungsverbot verstößt. Dies besagt, dass du keine Dokumente oder anderen „Gratis“-Geschenke an eine E-Mail-Adresse koppeln darfst. Das Dokument muss also auch ohne die Angabe der E-Mail-Adresse verfügbar sein. Außer man benötigt die E-Mail-Adresse, um dem Nutzer das Freebie zur Verfügung zu stellen, wie es zum Beispiel bei einem Mini-Email-Kurs der Fall wäre. In dem Fall benötigst du als Unternehmer natürlich die E-Mail-Adresse, sonst könntest du den Kurs an den potentiellen Kunden ja gar nicht weiterleiten.
Nichtsdestotrotz gibt es einige Alternativen, die inzwischen genutzt werden, um trotzdem mit einem Freebie arbeiten zu können. Ich habe diese einmal in Instagram näher erläutert, du findest die Beiträge hier und hier. Bitte nimm aber erneut zur Kenntnis, dass ich keine Datenschützerin bin. Ich habe keine Weiterbildung in dem Bereich gemacht. Das Ganze basiert auf Wissen, dass ich mir selbst angeeignet habe. Daher sind diese Beiträge ohne Gewähr auf Richtigkeit und Vollständigkeit.
YouTube
Zunächst sollte YouTube natürlich in deiner Datenschutzerklärung erwähnt werden, wenn du Videos von YouTube auf deiner Website einbindest. An YouTube werden nämlich personenbezogene Daten deiner Website-Besucher weitergeleitet, für die es eine Einwilligung benötigt. Mit dem Cookie-Plugin von Borlabs kannst du außerdem einstellen, dass YouTube Videos erst ausgeblendet werden. Der Besucher muss auf einen Button zur Einwilligung klicken und erst dann kann er die Videos sehen.
Wenn du das Plugin nicht nutzt, empfehle ich dir die YouTube Videos im privacy-enhanced Modus einzubetten. Wenn du also in YouTube auf „Teilen“ und „Einbetten“ klickst, scrolle einfach ein wenig nach unten und setze den Haken bei privacy-enhanced Mode. Dieser Haken wurde im Rahmen der DSGVO eingeführt und verhindert, dass personenbezogene Daten direkt an YouTube gesendet werden, wenn der Nutzer die Videos ja nur auf der Website anschaut.
Social Media Plugins
Wenn du Social Media Plugins nutzt, solltest du aufpassen, dass diese DSGVO-konform ist. Häufig steht das bereits in der Plugin-Beschreibung. Wenn du unsicher bist, frag am besten bei den Entwicklern, um sicherzugehen. Grundsätzlich ist das Social Media Plugin Sheriff das Go-to Plugin für viele Online-Unternehmer.
Google Analytics
Wenn du Google Analytics benutzt, muss dies natürlich zum einen wieder in der Datenschutzerklärung erwähnt werden. Zum anderen musst du die IP-Adressen, die an Google Analytics normalerweise weitergeleitet werden und personenbezogene Daten sind, anonymisieren. Wenn dir das zu aufwändig ist und du Google Analytics sowieso nicht ausgiebig nutzt, kannst du auch auf schlankere Alternativen zurückgreifen. Ich selbst nutzt zum Beispiel das Plugin Statify. Bei dem Plugin werden keine IP-Adressen gespeichert oder weitergegeben. Es zählt Seitenaufrufe und nicht Besucher. Du kannst außerdem auch den Zeitraum der Aufbewahrung der Daten bestimmen.
In der Auswertung siehst du die Quellen – also woher deine Website-Besucher kommen und welche Seiten sie besuchen. Das sind für mich sowieso die wichtigsten Zahlen und in meinem Fall reichen sie vollkommen aus.
Google Fonts
Wenn du besondere Schriftarten nutzt, wurden diese lange Zeit von fast allen immer direkt aus Google Fonts geladen. Aber auch hier zieht sich Google Daten der Personen, die auf deiner Seite sind und bei denen die Schriften geladen werden. Um dies zu verhindern, musst du deine Schriftarten lokal auf deiner Website einbinden.
Auftragsdatenverarbeitung
Und im letzten Schritt, der aber nicht weniger wichtig ist, musst du mit allen Anbietern oder Dienstleistern, an die du personenbezogene Daten weiterleitest einen Auftragsdatenverarbeitungsvertrag abschließen. Dieser Vertrag besagt im Grunde, dass du der „Chef“ dieser Daten bist und entscheidest, was mit ihnen passiert. Die Drittpartei darf diese Daten nicht für ihre eigenen Zwecke nutzen und muss sie löschen, wenn du kündigst oder sie darum bittest.
Das klingt komplizierter als es ist. In den meisten Fällen, musst du nicht einmal etwas ausdrucken. Eine Online-Unterschrift reicht. Du musst nur in deinem Account danach suchen oder ggf. Eine E-Mail senden und entsprechend unterschreiben. Ich habe bisher bei keinem Anbieter Probleme gehabt, diesen Vertrag zu finden.
Mit wem musst du also so einen Vertrag abschließen? Mit
- Google Analytics,
- deinem Hosting-Anbieter,
- deinem Newsletter-Anbieter,
- deinem Rechnungstool,
- deinem E-Mail-Anbieter und
- Kalender- oder Terminbuchungs-Tools
zum Beispiel. Eine Auflistung zahlreicher Anbieter inklusive Link zum Auftragsdatenverarbeitungsvertrag findest du auf Blogmojo. Ein absolut empfehlenswerter Artikel, der mir sehr viel Zeit gespart hat und den ich auch immer wieder nutze, wenn Kunden, den Vertrag benötigen oder ich ein neues Tool nutze.
Fazit
Ich hoffe, du fühlst dich jetzt nicht erschlagen und denkst dir „oh Gott, wo soll ich bloß anfangen…“. Ganz ehrlich, es ist alles halb so wild und du wirst das hinkriegen diese Dinge umzusetzen. Natürlich nimmt es Zeit in Anspruch, aber die DSGVO ist nun mal ein Thema das sein muss. Wenn du Fragen hast, kannst du mir gern eine E-Mail oder einen Kommentar unter dem Beitrag schreiben.
Verbessere mich gern auch, wenn ich in diesem Artikel etwas falsch oder nicht ausreichend erklärt habe. Ich bin wie gesagt kein Datenschützer und schreibe diesen Artikel basierend auf meinem eigenen Wissen. Nimm gern noch andere Quellen zur Hand, es gibt mittlerweile super gute Websites zum Thema, wie z.B. E-recht24 oder Lawlikes. Diese werden von spezialisierten Anwälten betrieben und wissen bei Neuerungen sehr schnell Bescheid.
Also los geht’s – mach deine Website DSGVO-konform!