Ist Deine Website bereit für die EU-DSGVO?

Die Abkürzung DSGVO steht für den Begriff „Datenschutz-Grundverordnung“. Die DSGVO ist eine vom Europäischen Parlament beschlossene Verordnung, die das Recht jeden EU-Bürgers hinsichtlich des Datenschutzes stärkt und vereinheitlicht. Im Vordergrund der DSGVO stehen die personenbezogenen Daten jeder einzelnen Person. Dies sind alle die Informationen, die sich auf eine identifizierbare Person beziehen. Die DSGVO schützt das Persönlichkeitsrecht jedes einzelnen EU-Bürgers und soll den Datenfluss in Europa vereinfachen. Alle Mitglieddaten der EU bekommen das gleiche Datenschutzniveau.

Die Datenschutz-Grundverordnung (DSGVO) trat schon am 25. Mai 2016 in Kraft. Der Stichtag für alle EU- Mitgliedstaaten ist der 25. Mai 2018. Eine Verlängerung der Übergangsfrist von zwei Jahren ist nicht geplant. Alle EU-Mitgliedstaaten müssen dann die verbindliche Datenschutz-Grundverordnung ab dem 25. Mai 2018 anwenden.

In der Datenschutzgrundverordnung geht es vor allem um die Datensicherheit aller EU Bürger. Es ist grundsätzlich untersagt, personenbezogene Daten zu sammeln. Personenbezogene Daten dürfen nur mit der ausdrücklichen Zustimmung des Betroffenen erhoben werden. Ab dem 25 Mai 2018 reicht es nicht mehr, nur ein Impressum auf einer Firmenwebsite zu besitzen. Eine korrekte Datenschutzerklärung wird zur Pflicht. Darin müssen alle Vorgänge der Verarbeitung von personenbezogenen Daten genau beschrieben werden.

Die Datenschutz-Grundverordnung (DSGVO) gilt für alle Personen und Unternehmen, die in der Europäischen Union (EU) ansässig sind. Dies gilt auch für Unternehmen, die sich außerhalb der Europäischen Union befinden und personenbezogene Daten von EU-Bürgern verarbeiten.

Für Blogger oder Webseitenbetreiber, die eine reine private Webseite betreiben. Es ist unbedingt darauf zu achten, dass die private Webseite keine personenbezogenen Daten sammelt oder verarbeitet. Web-Analysetools wie Google Analytics oder Online Formulare sind dann tabu.

Nach dem europäischen Recht sind personenbezogene Daten die Informationen, die sich auf eine natürliche Person beziehen. Auch alle Daten und Informationen, die Rückschlüsse auf eine Person erlauben.

Beispiele für personenbezogene Daten und Informationen:

• Vorname
• Nachname
• Postleitzahl
• Ort
• Straße
• E-Mail Adresse
• Telefonnummer
• Mobiltelefon
• Geburtstag
• Geschlecht
• Kontodaten
• Kfz Kennzeichen
• Aktuelle Standortdaten
• IP-Adresse
• Cookies

Gerade die IP Adresse eines Besuchers einer Website gilt es zu schützen. Mit einer IP Adresse kann eine Person genau ermittelt werden. Aber Standortdaten, Cookies oder auch Merkmale wie Körpergröße, Haarfarbe, Religionszugehörigkeit oder akademische Titel sind personenbezogene Daten.

Nach der EU DSGVO gelten für Unternehmen und Betreiber von Webseiten folgende 5 Grundsätze:

1. Du darfst personenbezogene Daten nur erheben, verarbeiten und speichern, wenn Du ausdrücklich die Einwilligung der Person eingeholt hast.
2. Du darfst nur Daten speichern und verarbeiten, die Du auch tatsächlich brauchst. Daten, die Du nicht unbedingt gebrauchst, dürfen nicht einfach so erhoben werden.
3. Personenbezogene Daten dürfen nur für den Zweck verwendet werden, zudem sie auch tatsächlich erhoben wurden.
4. Wenn persönliche Daten von einer Person erhoben wurden, so hat die Person das Recht, diese Daten einzusehen. Gleichzeitig hat die Person das Recht, dass diese personenbezogene Daten von ihm gelöscht werden.
5. Webseitenbesitzer und Unternehmen müssen personenbezogene Daten sicher aufbewahren und löschen, wenn sie nicht mehr benötigt werden.

Der Räumliche Anwendungsbereich ist in „Art. 3 – EU-DSGVO – Räumlicher Anwendungsbereich“ genau geregelt. Der räumliche Anwendungsbereich der Datenschutz Grundverordnung ergibt sich grundsätzlich bei der Verarbeitung personenbezogener Daten. Für alle 28 EU Mitgliedstaaten und für Unternehmen und Organisationen außerhalb der Europäischen Union, sofern diese Datenverarbeitung von EU-Bürgerinnen und Bürger betreffen. Es ist nicht entscheidend, ob sich die betreffende Person nur kurz- oder langfristig in der Europäischen Union (EU) aufhält. Auch spielt es keine Rolle, welches Produkt oder Dienstleistung ein Unternehmen bei der Erhebung der personenbezogenen Daten anbietet. Allein entscheidend ist es, ob personenbezogene Daten von EU-Bürgerinnen & Bürgern erhoben und verarbeitet werden.

Die Höhe der Strafen, die bei Verstößen gegen die Datenschutz Grundverordnung verhängt werden, sind jetzt viel höher als beim Bundesdatenschutzgesetz (BDSG). Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Vorjahresumsatzes bei Verstößen vor. Je nachdem, welcher Betrag höher ist. Doch nicht nur der absolute Höchstwert wurde neu angepasst, auch die Bußgelder für weniger schwere Verletzungen wurden drastisch erhöht.

Marktforscher gehen davon aus, dass mehr als die Hälfte der Unternehmer die Richtlinien der DSGVO zum Stichtag nicht rechtzeitig einhalten können. Daher besteht großer Handlungsbedarf für alle Kleine und mittlere Unternehmen (kurz KMU). Besonders Einzelunternehmer oder Freiberufler sind bei der Einhaltung der Bestimmungen oft überfordert.

Die deutsche Abkürzung ADV steht für Auftragsdatenverarbeitung. Wenn andere Firmen oder Organisationen Zugriff auf die Daten von Deinen Kunden haben, betrifft es die Auftragsdatenverarbeitung. Dann benötigst Du einen ADV Vertrag mit dem jeweiligen Unternehmen. Dieser ADV Vertrag muss Dir von dem Unternehmen, die personenbezogene Daten von Deinen Kunden bearbeitet, zur Verfügung gestellt werden.

Beispiele von Unternehmen oder Organisationen, die personenbezogene Daten verarbeiten:

• Google, bei der Verwendung von Google Analytics
• Provider, der Deine Website hostest (z.B. 1&1, Strato, Domainfactory)
• Newsletter oder Marketingtools (z.B. Clever Reach, Klick Tipp)

Die schriftlichen ADV Verträge musst Du zu Deinen anderen Datenschutzakten abheften.

• Google
  http://www.google.com/analytics/terms/de.pdf
• 1&1
  https://hilfe-center.1und1.de/hosting/1und1-webhosting-c10085285/archiv-c10082642/vereinbarung-zur-datenverarbeitung-im-auftrag-adv-a10795589.html
• Strato
  https://www.strato.de/faq/article/2763/Fragen-zur-Auftragsdatenverarbeitung-ADV-und-der-neuen-EU-Datenschutzgrundverordnung-DSGVO.html
• ALL-INKL.COM – Neue Medien Münnich
  Steht noch aus
• PayPal
  Telefonat am 09.04.2018 mit dem Kundenservice von PayPal. Laut Aussage eines PayPal Mitarbeiters werden demnächst die PayPal Kunden per E-Mail zum ADV-Vertrag informiert.
• Clever Reach
  https://support.cleverreach.de/hc/de/articles/360002465634-Fragen-zur-DSGVO

Mit der Suchmaschine Google wirst Du einige Musterverträge für die Auftragsverarbeitung von personenbezogene Daten finden. An dieser Stelle empfehlen wir den AV-Vertrag der activeMina.AG. Du kannst auf der Website den AV-Vertrag kostenlos als Word-Dokument herunterladen. Der AV-Vertrag wird Dir auch gleichzeitig in englischer Sprache für Deine Ausländischen Partner angeboten.

Den Mustervertrag für die Auftragsverarbeitungs (AV-Vertrag) findest Du hier:
https://www.activemind.de/datenschutz/dokumente/av-vertrag/

Die gesamten Hinweise der Informationspflichten durch die DSGVO sollten auf einer extra Seite veröffentlicht werden. Wenn Du noch keine extra Seite dafür besitzt, solltest Du eine neue Webseite dafür anlegen. Der Link und der Name dieser neuen Seite kann Datenschutz, Datenschutzhinweise oder Datenschutzerklärung genannt werden. Wie beim Impressum sollte die Seite Datenschutz von jeder Seite leicht und schnell erreichbar sein. Wir empfehlen Dir, den Link zur Seite Datenschutz direkt neben dem Link zum Impressum zu installieren.

Jede Firmenwebsite benötigt heute für die EU-DSGVO eine Datenschutzerklärung. Auch im Raum Villingen-Schwenningen und Umgebung helfen wir unsren Kunden, die Datenschutzerklärung zu aktualisieren. Wird ein Datenschutzbeauftragter für ein Unternehmen benötigt, so sollte diese Person in der Datenschutzerklärung mit aufgeführt werden. Betreiber von Internetseiten sind jedoch gesetzlich nicht dazu verpflichtet, ihren Datenschutzbeauftragten auf ihrer Internetwebsite zu nennen. Egal ob ein interner oder externer Datenschutzbeauftragter vom Unternehmen bestellt werden muss, wir empfehlen unseren Kunden grundsätzlich die Kontakten des Beauftragten des Datenschutzes auf der Website zu veröffentlichen. Gleichzeitig wirbt das Unternehmen mit den Angaben des Datenschutzbeauftragen für seine starke und kompetente Umsetzung der Datenschutzrichtlinien.

Für einen Datenschutzbeauftragten (DSB) ergeben sich seine Aufgaben unmittelbar aus der DSGVO. Der externe Datenschutzbeauftragte und der betriebliche Datenschutzbeauftragte haben die gleichen Aufgaben zu erfüllen. Hierbei gibt es keinen Unterschied zwischen internen und externen DSB. Die Pflichtaufgaben eines Datenschutzbeauftragten nach der DSGVO lassen sich in drei große Blöcke unterteilen:

Die drei Blöcke von Pflichtaufgaben für einen DSB:

1. Interne Aufgaben im Unternehmen
2. Funktion im Verhältnis zur Aufsichtsbehörde
3. Funktion als Anlaufstelle für betroffene Personen

Übersicht der Aufgaben eines Datenschutzbeauftragten (DSB)

• Die Überwachung des Umfangs sowie der Verfahren, Methoden und Prozesse, mit deren Hilfe personenbezogene Daten im Unternehmen verarbeitet und gespeichert werden, zum Beispiel durch die Erstellung eines schriftlichen Verfahrensverzeichnisses.
• Einweisung der mit der Datenverarbeitung betrauten Mitarbeitern in einem Unternehmen und Unterrichtung über die datenschutzrechtlichen Grundlagen sowie die Verpflichtung der Personen auf das Datengeheimnis.
• Die Überwachung und Koordinierung der technischen und organisatorischen Maßnahmen (Tom), die zur Sicherstellung des Datenschutzes gemäß der DSGVO für das jeweilige Unternehmen erforderlich sind.
• Die Einhaltung des Grundsatzes der Datenvermeidung und Datensparsamkeit in Bezug auf personenbezogene Daten sicherzustellen.
• Durchführung und Dokumentation von Vorabkontrollen soweit notwendig bzw. vorgeschrieben.
• Die Beratung und Unterstützung der Geschäftsleitung sowie einzelner Abteilungen zu datenschutzrechtlichen Fragen.
• Die Vertretung des Unternehmens gegenüber Externen in bzw. zu Fragen des Datenschutzes (z.B. gegenüber den Aufsichtsbehörden).
• Die Erarbeitung betriebsinterner Richtlinien und die praktische Umsetzung der Datenschutzbestimmungen inklusive Kontrolle auf deren korrekten Einhaltung.

Die zertifizierten Datenschutzbeauftragte der GFT Prisma prüfen Deine Website anhand einer DSGVO Check Liste, ob Deine Internetseiten DSGVO-konform sind um Bußgelder zu vermeiden. Möchtest Du Deine Website von unseren Profis überarbeiten lassen, dann führen wir dies gerne für Dich durch. So kannst Du Dich auf Deine Kernaufgaben konzentrieren. Die Profis der GFT Prisma für Datenschutz & Datensicherheit helfen Dir. Unsere Datenschutzbeauftragte sind im Umkreis Donaueschingen, Freiburg, Freudenstadt, Rottweil, St. Georgen und Villingen-Schwenningen persönlich für Dich da.

Bei einem Kontaktformular auf einer Website werden personenbezogene Daten erhoben. Daher gilt es einige wichtige Punkte bei der Erstellung eines Eingabeformulars zu beachten.

Bei der Übertragung der Eingabedaten in ein Webformular werden personenbezogene Daten vom PC zum Webserver übermittelt. Die Daten werden im Standard Webprotokoll HTTP unverschlüsselt übertragen. Hacker haben leichten Zugriff auf diese Informationen. Wir empfehlen für die sichere Übertragung der Webdaten eine SSL Verschlüsselung. Die Installation eines SSL Zertifikats auf dem Webserver schützt die gesamte Übertragung Ihrer Webdaten und ist zugleich ein wichtiger Rankingfaktor für Deine Suchmaschinenoptimierung (SEO).

Klare Kennzeichnung von Pflichtfeldern. Die Eingabe-Pflichtfelder müssen sichtbar gekennzeichnet werden. Die Pflichtfeld-Kennzeichnung besteht für Formulare laut DSGVO.

Bei einem Web Kontaktformular dürfen nur die Daten erhoben werden, die für die Beantwortung einer Anfrage unbedingt notwendig sind. Für die Kontaktaufnahme über ein Kontaktformular ist z.B. das Geburtsdatum nicht erforderlich und darf auch kein Pflichtfeld sein.

Sorge für eine klare Beschriftung der Eingabefelder.

Für die Kontaktaufnahme über ein Formular reicht der Name und eine gültige E-Mail-Adresse als Pflichtfeld. Bedenke auch, zu viele Eingabefelder schrecken die Besucher ab, die Funktion des Kontaktformulars zu benutzen.

Art. 5 DSGVO, Grundsätze für die Verarbeitung personenbezogener Daten, Absatz 1. Littera c.

„Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).“

Informationen in der Datenschutzerklärung
In der Datenschutzerklärung auf der Website muss der Besucher darüber informieren werden, wie die Daten weiterverarbeitet werden, die über ein Kontaktformular eingegeben werden.

Eine wichtige Anforderung an ein Kontaktformular ist es, dass der Absenden vor dem Absenden informiert werden muss, was mit seinen persönlichen Angaben geschieht. Zum Beispiel, dass die Daten elektronisch verarbeitet und gespeichert werden.

Wohin mit dem Datenschutz Hinweis für ein Kontaktformular?
Die ausführlichen Hinweise, wie die persönlichen Daten vom Kontaktformular elektronisch verarbeitet und gespeichert werden, gehört auf die Seite der Datenschutzerklärung.

Die Checkbox zur Einwilligung der Datenschutzerklärung kannst du ganz einfach mit dem kostenlosen WordPress Plugin Contact Form 7 realisieren. Dieses Plugin bringt alle notwendigen Funktion für ein Zustimmungs-Kontrollkästchen mit. Der Nutzer muss der Zustimmung (Checkbox) vor dem Absenden anklicken. Wird das Häkchen nicht gesetzt, gibt das Kontaktformular eine Fehlermeldung aus und die Daten werden nicht abgeschickt.

WordPress Plugin Contact Form 7

Wohin die Checkbox mit dem Datenschutzhinweis?
Die Checkbox mit dem Datenschutzhinweis sollte idealerweise oberhalb des Sende Buttons installiert werden. Der Text mit dem kurzen Datenschutzhinweis darf einen Link zur ausführlichen Datenschutzerklärung beinhalten.

Zusammenfassung, was Dein Kontaktformular einhalten muss:

• Verschlüsseltes Übertragen der persönlichen Formulardaten –> Installation eines SSL Zertifikates
• Pflichtfelder –> die klare Kennzeichnen der Eingabepflichtfelder
• Abfrage persönlicher Daten –> auf die notwendigsten Eingabefleder beschränken
• Hinweis, wie Du die Daten verarbeitest –> Datenschutzerklärung
• Checkbox (Zustimmung / Acceptance) –> Einwilligung der Datenschutzerklärung oberhalb des Sende Buttons installieren

Damit Du Dein Google Analytics wirklich rechtssicher einsetzen kannst, müssen folgende vier Punkte für die DSGVO erfüllt sein:

• Die persönliche IP-Adresse des Users muss anonymisiert werden. Dabei werden die letzten Ziffern der IP-Adresse gelöscht, bevor die Daten auf den Google-Servern gespeichert werden. Eine eindeutige Zuordnung der IP-Adresse zu einem Gerät darf nicht vorhanden sein.
• Auf der Seite Datenschutzerklärung müssen Besucher über die genaue Verwendung von Google Analytics und deren Funktionsweise informiert werden. Wir empfehlen den Datenschutz Generator von eRecht24. Dort bekommst Du einen Mustertext für die Verwendung von Google Analytics.
• Dem Besucher muss die Möglichkeit des Opt-Out für Google Analytics angeboten und aufgezeigt werden.
• Da Google die Daten Deiner Besucher verarbeitet und speichert, musst als Webseitenbetreiber einen Vertrag zur Auftragsdatenverarbeitung (ADV) mit Google abschließen. Den Auftragsverarbeitungs-Vertrag nach DSGVO für Google findest du hier: www.google.com/analytics/terms/de.pdf
  Der ADV Vertrag besteht aus insgesamt 18 Seiten und Du musst ihn in zweifacher schriftlicher Ausfertigung an Google – Irland senden. Die erste Seite enthält alle wichtigen Informationen zur Ausfüllung des Vertrages.

Die Adresse von Google lautet:

Contract Administration Department
Google Ireland Ltd
Gordon House
Barrow Street
Dublin 4
Ireland

Diese Frage können wir sehr schnell beantworten. Leider gibt es kein einzelnes Plugin, dass Deine gesamte Website rechtssicher auf die DSGVO umstellt. Jede WordPress Installation ist individuell nach den Bedürfnissen der Websitebetreiber angepasst. Gerade diese Vielfältigkeit der verschiedenen WordPress Websites macht diese Anpassung so schwierig. Angefangen von den verschiedenen

• Plugins
• Formularen (z.B. Kontaktformular, Newsletter Anmeldung)
• Webtracker (z.B. Google Analytics, Piwik)
• Social Media Verknüpfungen (z.B. Facebook, Twitter, Instagram)
• Cookies
• Webdiensten (z.B. Google Maps, Google Web Fonts)

um nur einige Punkte zu nehmen, die jede Internetseite voneinander unterscheidet. Jeder dieser wichtigen Webfunktionen muss individuell auf die Datenschutz-Grundverordnung DSGVO angepasst werden. Bestimmt werden in naher Zukunft einige Entwickler von WordPress Plugins ihre eigenen Plugins auf die DSGVO umstellen. Vielleicht wird es dann auch ein Logo oder eine Kennzeichnung für rechtssichere WP Plugins geben. Wer weiß?

Oft wissen Unternehmer oder Webseitenbetreiber überhaupt nicht, ob Ihre eigene Internetseite Cookies verwendet. Für die Browser Firefox und Chrome gibt es das kostenlose Add-on (kleine Zusatzprogramm) Ghostery, dass Dir genau anzeigt, welche Cookies und Services auf Deiner Website integriert sind. Das Add-one Ghostery schützt Hauptsächlich Deine Privatsphäre im Web. Zusätzlich hilft es Dir, dass Deine eigenen Seitenbesuche bei Google Analytics nicht mitgezählt werden. Alle Webseitenbesitzer, die Cookies auf Ihrer Website einsetzen, müssen zum 25. Mai 2018 Ihre Datenschutzerklärung neu anpassen. Die EU-DSGVO verlangt, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden der Cookies benannt werden.

Es reicht nicht, einmalig eine neue Datenschutzerklärungsseite anzulegen. Die Daten müssen sachlich und inhaltlich immer aktuell und richtig gehalten werden. Änderungen im Bezug der Datenerfassung und Datenverarbeitung müssen sofort in der Datenschutzerklärung eingetragen werden. Überprüfe regelmäßig Deine eigene Datenschutzerklärung auf Aktualität um Bußgelder zu vermeiden.

Neben der DSGVO gibt es noch weitere wichtige rechtliche Punkte, die Du unbedingt auf Deiner Website beachten solltest:

1. Kopiere keinen Content
   In Deutschland gilt das Urheberrecht. Jeder Text und jedes Bild auf einer Website unterliegen dem Urheberrecht. Auch wenn Texte und Bilder sehr einfach im Internet technisch kopiert werden können, dürfen diese nicht einfach vervielfältigt werden.
2. Die Impressumspflicht
   Ein Impressum ist nach § 5 Telemediengesetz (TMG) für „geschäftsmäßige Websites“ vorgeschrieben. Rein private Webseiten sind von der Impressumspflicht ausgenommen. Achte auf Deinem Impressum darauf, dass alle Deine Pflichtangeben ordnungsgemäß enthalten sind.
3. Das Markenrecht
   Achte schon bei der Auswahl Deiner Domain darauf, dass Du nicht gegen das geltende Markenrecht verstößt. Gerade Firmennamen und Logos sind meistens durch den Markschutz geschützt
4. Das Geschmacksmusterrecht
   Auch das Designrecht (Geschmacksmusterrecht) gilt es bei einer Website zu beachten. Vermeide die Nachahmung von Icons, Grafiken und Logos.
5. Vorsicht bei Online-Shops
   Besonders bei Online-Shops gibt es extra Vorschriften die einzuhalten sind. Vom Bestellvorgang bis zum Widerrufsrecht müssen die Rechte der Käufer geschützt werden.

Googles neue Datenschutzerklärung
Google Analytics Datenaufbewahrung
http://www.ibusiness.de/members/marketing/db/461491SUR.html

Diese Seite wird stetig überarbeitet! Schau wieder vorbei.