Say hello

Checkliste: Wie du deine Webseite DSGVO-konform anpasst

Checkliste: Wie du deine Webseite DSGVO-konform anpasst

Apr 16, 2018

Seit 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung. Sie gibt vor, wie personenbezogene Daten verarbeitet und gesichert werden müssen. Bei Verstoß drohen dicke Bußgelder. Es wird also Zeit, dass du deine Webseite entsprechend anpasst.

In diesem Artikel geht es um die To-do’s, die für Webseiten-Betreiber anfallen. Doch die DSGVO bringt noch weitere Pflichten mit sich, z. B. die Erstellung eines Verarbeitungsverzeichnisses oder ggf. die Benennung eines Datenschutzbeauftragten. Diese Punkte werden in diesem Artikel nicht behandelt.

Die folgende Checkliste dient nur zur Orientierung. Ob die Liste für dich und deine Webseite vollständig ist, solltest du durch eine professionelle Rechtsberatung prüfen lassen. Ich bin keine Rechtsberaterin und meine Aussagen sind nicht rechtsverbindlich!

Welche Webseiten-Betreiber sind von der DSGVO betroffen?

Alle, die personenbezogene Daten erheben und verarbeiten. Kleine, so gennante Visitenkarten im Web sind in dem Fall genauso betroffen, wie große Webshops.

Auch wenn du Blogger bist und beispielsweise Google Analytics einsetzt, musst du zukünftig die neuen Bestimmungen berücksichtigen.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Einzelangaben, die sich auf eine identifizierbare natürliche Person beziehen, z. B.:

  • Name
  • Kontaktdaten
  • Bankverbindung
  • Foto
  • Positionsdaten
  • IP-Adresse
  • Gesundheitsdaten (hier gelten noch strengere Richtlinien)

Was ist zukünftig bei der Erfassung von Daten zu beachten? 

Grundsätzlich:

  • müssen dir User eine Einwilligung zur Speicherung ihrer Daten erteilen
  • musst du den User genau über die Datenerhebung und -verarbeitung informieren
  • musst du dem User Einsicht gewähren und Berichtigungen und Widerruf nachkommen

Du darfst Daten:

  • nur auf rechtsmäßige Weise erheben und verarbeiten
  • nur für festgelegte, eindeutige und legitime Zwecke sammeln und nutzen
  • nur sparsam erheben: sie sollten auf das notwendige Maß beschränkt sein
  • nur solange wie nötig speichern
  • nur in einer Weise verarbeiten, die eine angemessene Sicherheit gewährleistet und vor unbefugter und unrechtmäßiger Verarbeitung schützt
  • nur noch verwenden, wenn du die Verarbeitung dokumentierst

Checkliste: Wie du deine Webseite DSGVO-konform anpasst

SSL Verschlüsselung

Wenn deine Seite noch nicht verschlüsselt ist, solltest du das dringend nachholen und sie von http:// auf https:// umstellen. Die SSL-Verschlüsselung ist seit 25. Mai 2018 Pflicht, wenn du mit deiner Webseite personenbezogene Daten erhebst.

Datenschutzerklärung & Impressum

Datenschutzerklärung und Impressum müssen auf deiner Webseite leicht erreichbar sein. Dass heißt, du darfst dem User nur max. 2 Klicks zumuten, um die jeweiligen Seiten aufzurufen. Zudem muss deine Datenschutzerklärung zukünftig den Vorgaben der DSGVO entsprechen.

Es gibt Generatoren, die dir bei der Erstellung einer entsprechenden Datenschutzerklärung helfen, wie z. B. die von eRecht24 oder von Dr. Thomas Schwenke.

Wenn du absolut sicher gehen möchtest, lässt du deine Datenschutzerklärung von einem Anwalt erstellen oder zumindest prüfen.

Beim Impressum ändert sich inhaltlich nichts. Nutze aber die Gelegenheit und überprüfe ob es vollständig ist:

  • Vollständiger Name des Diensteanbieters (ausgeschrieben Vor- und Zuname)
  • Falls vorhanden: Name der Gesellschaft mit Vertretungsberechtigten (in der Regel ist das der Geschäftsführer mit ausgeschriebenem Vor- und Zunamen)
  • Vollständige Anschrift
  • Unmittelbare Kontaktdaten: Telefonnummer, E-Mail-Adresse, Fax
  • Falls vorhanden: Handelsregister, Registergericht
  • Falls vorhanden: Ust-ID
  • Falls behördliche Zulassung erforderlich: Aufsichtsbehörde samt Anschrift
  • Bei reglementierten Berufen: Zuständige Kammer, Berufsbezeichnung, Links zu berufsrechtlichen Regelungen (betrifft u. a. Rechtsanwälte, Steuerberater, Berufe aus dem Gesundheitswesen)

AV-Verträge

Du musst mit den Anbietern von Online-Tools oder Plugins, die du nutzt und die personenbezogene Daten erheben, AV-Verträge (Auftrags-Verarbeitungs-Verträge) abschließen. Das sind zum Beispiel Newsletter-Anbieter (extern oder als Plugin) und dein Webhoster.

Erstell am besten eine Liste sämtlicher Dienste, die du nutzt, und überprüfe ob von diesen personenbezogene Daten erhoben werden (Die Google Suche hilft in den meisten Fällen um das herauszufinden).

Im Anschluss kannst du dort DSGVO-konforme AV-Vertäge anfragen.

Google Analytics & andere Tracking-Tools

Die Nutzung von Google Analytics oder des Facebook Pixels ist weiterhin erlaubt, wenn du folgende Voraussetzungen beachtest:

  • AV-Vertrag mit dem jeweilgen Anbieter abschließen.
  • IP Anonymisierung aktivieren.
  • Opt-out Link in der Datenschutzerklärung einrichten (über diesen kann ein Nutzer die Erhebung von Daten via Google Analytics, Facebook & co. blockieren).
  • Nach EuGH-Urteil vom 1.10.2019: ‚Opt-in‘-Cookie-Banner, dass heißt, bitte das Tracking erst aktivieren, wenn der User zugestimmt hat. Siehe hierzu weiter unten im Artikel: ‚ePrivacy: Cookies‘

Für die Google-Opt-out-Einrichtung in der Datenschutzerklärung können WordPress-User ein Plugin nutzen: Google Analytics Opt-out.
Das Opt-out für den Facebook-Pixel lässt sich manuell einrichten (frag am besten deinen Programmier*n oder via Google Tag Manager.

Google Fonts

Viele Webseiten nutzen Google Fonts. Auch Google Fonts erheben personenbezogenen Daten. Aktuell löst du dieses Problem, indem du die verwendeten Schriften lokal einbindest. Dazu werden die Fonts auf deinem Server abgelegt und von dort geladen oder über spezielle Funktionen in Themes, z. B. Divi hochgeladen.

Newsletter / Kopplungsverbot

Auch unter der DSGVO gilt das double opt-in Prinzip. Dass heißt, du musst dir nach der Newsletter-Anmeldung durch einen User nochmal die Bestätigung einholen, das er den Newsletter abonnieren möchte.

Wie unter AV-Verträge schon erwähnt, schließ mit deinem Anbieter einen AV-Vertrag. Möglicherweise ist der noch in Bearbeitung, frag einfach mal nach.

Zudem gilt das Kopplungsverbot zu beachten: Du kannst ein kostenloses E-Book oder ein sonstiges Freebie nicht mehr an die Registrierung für deinen Newsletter koppeln. Dass heißt, registriert sich jemand um dein Freebie zu erhalten, darfst du die gesammelten Daten nur dazu verwenden, das Feebie zu übermitteln. Du darfst an diese Adressen keinen Newsletter oder sonstige E-Mails schicken.

Hier gibt es ein paar smarte Lösungen, wie z. B. eine Checkbox an der Freebie-Registrierung, die man aktivieren muss und wodurch man auch der Newsletter-Eintragung zustimmt. Oder du gibst dein Freebie zukünftig als Dankeschön für die Anmeldung zum Newsletter heraus.

Link zur Datenschutzerklärung

Das ist keine Pflicht, aber sicher eine vertrauensbildende Maßnahme: Setze an alle Registrierungs- und Abonnement-Möglichkeiten auf deiner Webseite einen Link zur Datenschutzerklärung.
Vor allem auch auf deiner Landingpage! Die ja meist über keine Navigation verfügt.

Kontaktformulare

Bei Kontaktformularen muss der User der Erhebung der Daten zukünftig zustimmen. Das lässt sich über eine Checkbox regeln, die du über das WordPress Plugin WP GDPR Compliance einrichten kannst.

Kommentare

Nutzt du im Blog die Kommentarfunktion, musst du auch hierfür die Zustimmung des Users einholen. Auch das lässt sich über die Checkbox regeln (WP GDPR Compliance).

Löschpflicht

Nach Art. 17 DSGVO musst du zukünftig Daten löschen, wenn:

  • der Erhebungszweck entfallen ist
  • die Einwilligung widerrufen wurde (z. B. Newsletter-Abmeldung)
  • ein Widerspruch des Nutzers erfolgt und keine gesetzlichen Speicherpflichten bestehen (Steuern/Buchhaltung)

Achtung: Nicht alle Newsletter-Tools löschen die Daten nach Newsletter-Abmeldung! Ich nutze beispielsweise Active Campaign, dort muss ich die Daten nach Abmeldung händisch löschen. 

ePrivacy: Cookies

Was die Cookies betrifft, so greift eine Ergänzung zur DSGVO, die EU-Verordnung ‚ePrivacy Verordnung‘. Beide sollten zeitgleich in Kraft treten, doch die ePrivacy-Verordnung kommt voraussichtlich erst 2020.

Nach dem EuGH-Urteil vom 1.10.2019 bist du derzeit auf der sicheren Seite, wenn du für Cookies einen ‚Opt-in‘-Cookie Banner einrichtest. Dass heißt, du bittest deine Webseiten-Besucher erst um Einverständnis, bevor du Tracking-Cookies aktivierst. Optional sollten deine Besucher die Möglichkeit haben, nur die nötigsten Cookies zuzulassen (hier sind Tracking-Cookies ausgenommen) oder einzelne Cookies auszuwählen, die live gehen dürfen.

Einen solchen ‚Opt-in‘-Banner kannst du beispielsweise mit dem Plugin ‚Pixelmate‘ von Lawlikes einrichten – hier kannst du es downloaden. Auch ich verwende diesen Cookie-Banner und teste gerade hier auf meiner Seite die aktuellste Version, die nach dem EuGH-Urteil überarbeitet wurde und bald verfügbar sein wird.

Der bisher oft verwendete ‚Opt-out‘-Cookie Banner ist also derzeit nicht zu empfehlen (Stand 10/2019). Hierbei werden Cookies sofort live geschaltet und der Besucher hat nur die Möglichkeit dem zu widersprechen. Wenn er es nicht tut, sind die Cookies aktiv.

Ob zukünftig nur Tracking-Cookies betroffen sind und wie die Verordnung im einzelnen aussehen wird, erfahren wir voraussichtlich erst 2020.

Bestimmungen, die schon gelten, aber teils noch nicht beachtet werden

Urheberrechte

Das ist ein alter Hut, ich möchte es aber trotzdem nochmal erwähnen: Nutze keine Bilder aus der Google-Suche! Verwende eigenes Bildmaterial oder erwirb Lizenzen für Bilder und erwähne immer den Urheber! In Deutschland ist das Pflicht, auch wenn du lizenzfreie Bilder einsetzt. Idealerweise gehört die Benennung des Urhebers sogar direkt am Bild.
Auch wenn du auf deiner Webseite Musik abspielst oder Texte zitierst, hab immer die Urheberrechte im Blick.

Social Media Plugins

Share- und Like-Buttons von Facebook & Co. dürfen schon jetzt nicht mehr verwendet werden, da sie personenbezogene Daten an die jeweiligen Netzwerke übertragen. Diese solltest du also schon jetzt von deiner Webseite entfernen. Es gibt ein alternatives Plugin, mit dem sich Share-Button zu sozialen Netzwerken einrichten lassen und welches nach eigenen Angaben DGCVO-konform ist: Shariff Wrapper

Fazit

Dank DSGVO müssen wir viele To-do’s abarbeiten, doch letztendlich schützt die neue Verordnung unsere Daten. Und die sind ein wertvolles Gut in unserer heutigen Zeit. Wenn du deine Webseite DSGVO-konform anpasst, hast du nichts zu befürchten. Ganz im Gegenteil, letztendlich fördern die Maßnahmen auch das Vertrauen deiner User.
Abschließend nochmal der Hinweis: Diese Checkliste dient nur zur Orientierung, sie ist vermutlich nicht vollständig und nicht rechtsverbindlich! Lass dich von einem Anwalt beraten oder zumindest deine Anpassungen überprüfen.

Happy working
Goldmarie a.k.a. Su Wiemer

Portrait Su Wiemer

Hi, ich bin Su, Senior UX Designerin. Ich entwickle und schreibe über Lösungen für digitale Produkte, die Nutzer begeistern. Ganz nach dem Motto #makeusershappy.

Mehr Webdesign Tipps:

Keyword finden Anleitung zur Keyword-Optimierung
Keyword finden und richtig nutzen: Ultimative Anleitung für mehr Traffic
  • Mehr lesen
UX Design: Lesbarkeit Webseite
Wie du die Lesbarkeit auf deiner Webseite verbesserst
  • Mehr lesen
Bildgrößen für Webseiten richtig anlegen – mit Tutorial
  • Mehr lesen
Wie du die Ladezeit deiner Webseite reduzierst
6 simple Tipps – so reduzierst du die Ladezeit deiner Webseite
  • Mehr lesen
Landingpage optimieren: So sorgst du für eine bessere Conversion
  • Mehr lesen
UX Design: Navigation Illustration
UX/UI Design-Beispiele für deine Navigation
  • Mehr lesen

Mehr Webdesign Tipps:

Keyword finden Anleitung zur Keyword-Optimierung
Keyword finden und richtig nutzen: Ultimative Anleitung für mehr Traffic
  • Mehr lesen
UX Design: Lesbarkeit Webseite
Wie du die Lesbarkeit auf deiner Webseite verbesserst
  • Mehr lesen
Bildgrößen für Webseiten richtig anlegen – mit Tutorial
  • Mehr lesen
Wie du die Ladezeit deiner Webseite reduzierst
6 simple Tipps – so reduzierst du die Ladezeit deiner Webseite
  • Mehr lesen
Landingpage optimieren: So sorgst du für eine bessere Conversion
  • Mehr lesen
UX Design: Navigation Illustration
UX/UI Design-Beispiele für deine Navigation
  • Mehr lesen