Zum 25. Mai 2018 wurde die EU Datenschutzgrundverordnung (EU-DSGVO) wirksam. Sie soll den Umgang von Unternehmen mit personenbezogenen Daten regeln. Darunter fallen Name, Anschrift, Email-Adresse, Telefon, Geo-Daten, IP-Adressen, Cookies uva.
Der Grundsatz: Personenbezogene Daten sind schützenswert und die Verarbeitung nur in engen Grenzen erlaubt. Artikel 5, Abs. 1 DSGVO legt Folgendes fest:

  • Rechtmäßigkeit: Es muss eine Einwilligung der betroffenen Person für die Verarbeitung geben.
  • Verarbeitung nach Treu und Glauben
  • Transparenz: Die Verarbeitung muss in einer nachvollziehbaren Weise erfolgen.
  • Zweckbindung: Der Zweck oder die Zwecke müssen vorher bestimmt sein.
  • Datenminimierung: Nicht mehr Daten als notwendig verarbeiten.
  • Speicherbegrenzung: Nicht mehr nötige Daten sind zu löschen.

Wen betrifft die DSGVO?

Wer personenbezogene Daten verarbeitet und das nicht ausschließlich zur »Ausübung persönlicher oder familiärer Tätigkeiten« (Art. 2 Abs. 2 Buchst. c DSGVO) tut, muss sich an die Regeln der DSGVO halten. Die DSGVO betrifft damit also jeden Webseitenbetreiber, der z.B. ein Kontaktformular hat und/oder Google Analytics und/oder eine Google Map eingebunden hat, einen Newsletter anbietet und/oder Werbung schaltet. Selbst wenn Sie all diese Dinge von Ihrer Website entfernen, erhebt meist Ihr Provider bei der Erstellung von Statistiken Daten über Ihre Website.

Alle Angaben ohne Gewähr! Die folgenden Informationen ersetzen keine Rechtsberatung und erheben keinen Anspruch auf Korrektheit oder Vollständigkeit. Zweck dieses Beitrags ist es, über die Notwendigkeit von Maßnahmen zur Einhaltung der DSGVO zu informieren. Es ist in jedem Fall ratsam, dass Sie sich zum Thema Datenschutz durch einen Datenschutzbeauftragten/-experten beraten lassen.

HOW TO START - einige wichtige Punkte


Data Mapping ist die Basisarbeit:
Dokumentieren Sie, wo Sie pbD speichern und auf welcher Rechtsgrundlage. Erstellen und pflegen Sie ein Verzeichnis der Verarbeitungstätigkeiten (VdV). Sie müssen ggf. der Behörde gegenüber offenlegen, wie Sie mit den Daten umgehen. Schließen Sie Verträge mit Auftragsverarbeitern (z.B. Google und ihrem Provider). Der Nutzer hat Informations-, Löschungs- und Berichtigungsansprüche. Passen Sie Ihre Datenschutzerklärung an. Weisen Sie auf ein Erfassungs-, Speicher- und Löschkonzept hin, das Sie auch umsetzen!

Allgemeines

  • Sie dokumentieren, wofür die personenbezogenen Daten verwendet werden.
  • Dokumentation der bestehenden Verträge/Vereinbarungen.
  • Erstellen eines Plans, für den Fall, dass ein Nutzer seine personenbez. Daten einsehen oder diese löschen möchte.

Website & Domain

Kontaktaufnahme

  • Checkbox zur Zustimmung (Opt-in) der Datenschutzerklärung integrieren mit Link auf die Stelle in der Datenschutzerklärung
  • Datenschutzerklärung anpassen
  • Über das Widerrufsrecht aufklären - es muss so einfach sein wie die Erteilung der Einwilligung
  • Nachweis der Einwilligung

Google Maps

  • Über die Google Map werden Cookies gesetzt. Da der User nicht vorher sein Einverständnis geben kann, ist dies bedenklich. Ich empfehle daher zum aktuellen Zeitpunkt, die Google Maps ggf. durch eine statische Grafik zu ersetzen und einen Link zum Standort auf Google Maps zu setzen.
  • Hier eine weitere Einschätzung

Google Webfonts

Da auch hier von Google getrackt wird, sollten die Google Webfonts lokal eingebunden werden.

Einbetten von YouTube Videos

  • Datenschutzmodus in YouTube aktivieren
  • Datenschutzerklärung anpassen

Facebook Like Buttons

Die Rechtslage ist hier noch nicht eindeutig. Daher die Empfehlung, den Like Button zunächst von der Website zu nehmen und ggf. nur die eigene Fb Seite zu verlinken.

Cookie Hinweis

  • Cookie-Hinweis bei Aufruf der Seiten einbauen? - nach meinem Kenntnisstand noch nicht zwingend notwendig. (Wird für Deutschland durch die ePrivacy VO voraussichtlich 2019 geregelt. Ein Hinweis darf den Link zum Impressum und zur Datenschutzerklärung nicht verdecken.
  • Datenschutzerklärung anpassen
  • weiterführender Link: Cookie-Hinweis auf Webseiten: Quatsch oder Pflicht?

Google Analytics

  • IP-Anonymisierung durch zusätzliches Script veranlassen
  • Vertrag zur Auftragsverarbeitung (AV) abschließen - ehem. Auftragsdatenverarbeitung (ADV)
  • Auf das Widerspruchsrecht in Datenschutzerklärung hinweisen
  • Die Datenschutzerklärung entsprechend anpassen (ggf. auch für Piwik)
    Opt Out Cookie und Link zu Browser Plugin nennen
  • weiterführender Link: Google Analytics datenschutzkonform einsetzen

Newsletter

  • Datenschutzerklärung anpassen
  • Einwilligungsformulare und Bestätigungsmails (Double-opt-in) erweitern um Hinweise auf die Datenschutzerklärung.
  • Nachweis der Einwilligung

Hinweis für meine Kunden

Durch meine Premium-Mitgliedschaft bei e-recht24 (Partnerlink) kann ich mit meinen Bestandskunden gemeinsam ein individuelles Impressum & eine Datenschutzerklärung generieren. Rufen Sie dazu gern an.

WICHTIG: Dieser Service erhebt keinen Anspruch auf Richtigkeit und Vollständigkeit und ersetzt keine Rechtsberatung durch einen Juristen!

Hamburg, 13. Juni 2018