Last-Minute-Check: Ist Ihre Website fit für den großen Tag?

zuletzt aktualisiert am: 7. Juni 2021

Huuuuuu! Das Schreckgespenst DSGVO kommt immer näher. Fast möchte man glauben, es drohe der Weltuntergang. Und alle beschäftigt nur eine Frage: Ist meine Website DSGVO-konform?

Keine Sorge, alles halb so wild, wenn man ein paar Basics beachtet und nicht komplett die Augen verschließt (so frei nach dem kindlichen Motto: *Augen-zu-halt* „Was ich nicht sehe, ist auch nicht da!“)

Also schauen wir uns mal mit weit offenen Augen an, was zum 25.05.2018 noch alles auf Ihrer Website zu tun ist:

Last-Minute-Check: Ist Ihre Website DSGVO-konform?

To-Dos bis zum 25.Mai:

1. Impressum und Datenschutzerklärung 
2. SSL-Zertifikat 
3. Cookie-Warnung 
4. Einwilligung zur Datenübertragung im Kontaktformular 
5. Plugins & Widgets, vor allem Social Media Plugins mit Zwei-Klick-Lösung 
6. Urheberrecht und Recht am eigenen Bild 

Abseits der Website:

• Vertrag zur Auftragsverarbeitung mit Dienstleistern wie Google Analytics oder Mailchimp.
• Verfahrensverzeichnis 

So weit so kurz, doch was bedeutet das konkret?

Ihre Aufgaben:

Was muss zum 25. Mai umgesetzt sein, um Ihre Website DSGVO-konform zu machen?

1. Impressum und Datenschutzerklärung

   
   Die DSGVO schreibt zum Beispiel vor, dass der Nutzer einer Website über die Erfassung seiner personenbezogenen Daten und über den Verantwortlichen zu informieren ist. Daher braucht Ihre Seite ein umfassendes Impressum und eine Datenschutzerklärung, die DSGVO-konform ist. Nutzen Sie Datenschutzgeneratoren, wie den von eRecht24 sind Sie schon sehr gut aufgestellt. Allerdings sei hier hinzugefügt, dass eine für Sie individuell erstellte Datenschutzerklärung eines Anwaltes immer besser als jeder Generator ist.

2. SSL-Zertifikat

   
   Wenn Sie ein Formular nutzen, Downloads mit E-Mail anbieten oder Login-Seiten haben, muss Ihre Seite ab dem 25.5. über ein SSL-Zertifikat gesichert sein. Das erkennen Sie daran, dass in der URL statt http:// ein https:// steht. 
   

3. Cookie-Warnung

   
   Nein, hier geht es nicht ums Backen. Cookies sind kleine Dateien, die das Nutzerverhalten aufzeichnen. Manchmal sind sie notwendig, damit die Seite optimal genutzt werden kann, manchmal sind sie reine Marketingtools. So oder so: Der Nutzer muss darüber informiert werden, dass seine Daten von Cookies erfasst werden. Ende April sorgte das Positionspapier der Datenschutzkonferenz für Wirbel, wonach ab dem 25.05. das Telemediengesetz nicht mehr gilt. Dieses war die Grundlage für die bisherige Annahme, das „User Tracking“ über Google Analytics mit einer Opt-Out-Lösung ausreiche. Das heißt, dass man bisher davon ausging, dass man das Nutzerverhalten (natürlich anonymisiert) über Google Analytics verfolgen könnte, der Nutzer aber das Recht hätte, über einen Link auf der Datenschutzerklärung (mittels Opt-Out) zu widersprechen. Der Auffassung der Datenschutzkonferenz folgend, benötigt man jetzt ein explizites „Opt-In“ vor der Aufzeichnung der Daten. Das letzte Wort ist hier noch nicht gesprochen, denn die ZAW stellt die berechtigten Interessen der Unternehmen entgegen. Technisch würde das einigen Aufwand bedeuten, der mit den aktuellen WordPress-Plugins meines Wissens noch nicht lösbar ist. Hier wird die nahe Zukunft zeigen, ob es eine rechtliche Lösung gibt oder ob 99% der Seiten nachrüsten müssen.
   

4. Einwilligung zur Datenübertragung im Kontaktformular

   
   Ganz neu ist die Forderung, dass Nutzer beim Absenden eines Kontaktformulars explizit ihre Einwilligung zur Verarbeitung der Daten geben sollten. Wenn Sie ein Kontaktformular nutzen, fügen Sie eine Checkbox mit der Einwilligung hinzu. 

5. Plugins & Widgets, vor allem Social Media Plugins mit Zwei-Klick-Lösung

   
   Social-Media-Plugins ohne Zwei-Klick-Lösung sind in Deutschland schon jetzt rechtswidrig, da sie Daten übermitteln, ohne dass ich dem als Nutzer widersprechen kann und sogar, wenn ich selbst nicht einmal Nutzer der entsprechenden Plattform bin. Als Webseitenbetreiber sind Sie für die Einhaltung der gesetzlichen Vorgaben verantwortlich, sollten also auf gar keinen Fall facebook-Share-Plugins nutzen, die direkt beim Klick Inhalte auf Ihrem Profil teilen. Selbst die Zwei-Klick-Lösungen sind umstritten. Einfache Links zu Ihrer eigenen Facebook-Seite sind indes problemlos. Prüfen Sie generell alle Plugins darauf, welche Daten sie übertragen und ob die Übertragung wirklich nötig ist. Eventuell müssen Sie einen Vertrag zur Auftragsverarbeitung mit Ihrem Plugin-Dienstleister schließen.

6. Urheberrecht und Recht am eigenen Bild

   
   Nicht erst mit Eintritt der DSGVO, sondern schon jetzt gültig, aber leider oft übersehen: das Urheberrecht. Hier lauern für Webseitenbetreiber die größten Gefahren, wenn sie Bilder verwenden, ohne die Erlaubnis zu haben und/ oder den Urheber zu nennen. Eine Erlaubnis vom Fotografen und der dargestellten Person sollten Sie stets schriftlich festhalten, denn Sie sind als Verantwortlicher in der Nachweispflicht. Den Urheber müssen Sie nach dem Urhebergesetzt „am oder im Bild“ nennen.  

Alles gemacht? Prima!

Sie sind bereit und überleben den Weltuntergang 🙂

Ihre Website ist DSGVO-konform. Aber halt! Da war ja noch was abseits der Website!

Vertrag zur Auftragsverarbeitung

oder kurz AV-Verträge mit Dienstleistern wie Google Analytics oder Mailchimp schließen.

Sie müssen unbedingt einen Vertrag zur Auftragsverarbeitung mit Ihrem Analyse-Tool und Ihrem E-Mail-Marketing-Anbieter des Vertrauens abschließen und den Vorgang in Ihrem Verfahrensverzeichnis dokumentieren. Ohne diesen Vertrag ist eine Datenverarbeitung nicht gestattet, selbst, wenn Sie die Cookie-Warnung gesetzt haben. In diesem Vertrag verpflichten Sie Ihren Dienstleister nämlich dazu, sich an die Regeln der DSGVO zu halten. Bei Anbietern wie Google oder Mailchimp, die Ihren Sitz in den USA haben, benötigen Sie weitere Sicherungsmaßnahmen, wie eine Privacy Shield Zertifizierung, da die USA datenschutzrechtlich als unsicherer Drittstaat gilt.  

und in dem selben Atemzug:

Führen Sie ein Verfahrensverzeichnis.

Das hilft Ihnen, sich über Ihre Datenverwendung im Klaren zu sein und Sie kommen Ihrer Pflicht zu Transparenz nach. Außerdem hilft das Verfahrensverzeichnis, Ihre Datenschutzerklärung zu komplettieren. 

Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung.