Man spricht darüber, man hört Gerüchte und doch weiß keiner so recht Bescheid. Unsere internen Umfragen haben ergeben, dass sich bis jetzt so gut wie kein Unternehmen mit den europaweiten neuen Vorgaben für Datenschutz auseinandergesetzt hat. Weitere Quellen zeigen, dass nur ca. 20 % aller Unternehmen die Verordnung DSGVO (Datenschutz Grundverordnung) überhaupt kennen.
Haben Sie schon davon gehört?
Die Verordnung soll europaweit einheitlich regeln, was der Staat und die Unternehmen mit den Daten der Bürger tun dürfen: Dürfen personenbezogene Daten (z.B. Namen, E-Mail-Adressen, Standortdaten, Bankdaten, Beiträge auf Social-Networking-Websites, medizinische Daten und vieles mehr) einfach so gespeichert werden? Zu welchem Zweck dürfen die Daten genutzt werden? Dürfen sie auch an andere weitergegeben werden? Und muss der Bürger vorher immer zustimmen?
Zitat aus https://bdi.eu/artikel/news/die-datenschutzgrundverordnung-die-wichtigsten-fragen-und-antworten/
Die DSGVO: https://dsgvo-gesetz.de/
Ab wann gilt die DSGVO?
Der Stichtag der Anwendung ist der 25. Mai 2018. Bis dahin müssen alle Maßnahmen erledigt sein, die das 11 Kapitel enthaltene Werk fordert.
Wen betrifft die DSGVO?
Grundsätzlich gilt die Verordnung für jede staatliche Einrichtung und jedes Unternehmen innerhalb der EU. Hier wird man nur schwer eine Lücke finden können.
Das betrifft aber nicht nur EU-Unternehmen, sondern auch Unternehmen, die ihren Sitz beispielsweise in den USA haben, jedoch personenbezogene Daten von EU-Bürgern verarbeiten. Somit sind auch Google und Amazon daran, sich umzustrukturieren. Mit Google kann man bereits sogar Verträge zu diesem Thema abschließen.
Welche Websites sind von der DSGVO betroffen?
Jedem, der sich mit der Verordnung und den zu schützenden Daten beschäftigt hat, wird schnell klar, dass die Anzahl der Websites, die nicht unter die DSGVO fallen, verschwindend gering ist. Inzwischen speichert fast jedes Unternehmen die Daten seiner Kunden online.
Zu den personenbezogenen Daten gehören u. a. Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, Passwörter und Cookies
Fazit: Es betrifft jedes Kontaktformular, jede Art von Cookies.
Und mal ehrlich! Welche Website trackt heutzutage nicht das Verhalten seiner Besucher?
Was kann ich konkret tun?
Wenn Sie sich rechtlich ausreichend informiert haben oder eine Beratung in Anspruch genommen haben - denn diesen Schritt können wir nicht für Sie übernehmen - bieten wir Ihnen konkrete Vorschläge, wie Sie Ihre Website DSGVO-konform umstrukturieren können und welche Anpassungen erforderlich sind.
Dieser Beitrag wird ständig erweitert - es lohnt sich also, gelegentlich wieder reinzuschauen, um auf dem Laufenden zu bleiben.
Checkliste des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA)
Die BayLDA hat einen Fragebogen zum Thema DSGVO veröffentlicht, den wir Ihnen gerne empfehlen, um einen ersten Eindruck der beinhalteten Themen zu erhalten:
Fragebogen
Was zählt zu personenbezogenen Daten?
- Der Name
- Die Anschrift
- Telefon- und Faxnummern
- Geburtsdaten
- und vieles mehr!
- Außerdem Wichtig: DIE IP-ADRESSE
Die Website ausstatten
Datenschutzerklärung
Die Datenschutzerklärung ist, ebenso wie das Impressum, verpflichtend für jede Website.
Leider sind die tatsächlichen Datenschutztexte meist nur von Online-Generatoren erstellt. Fast niemand liest diese Texte im Detail oder blickt durch, was genau damit gemeint ist. Genau das soll sich nun ändern und umgestaltet werden. Jeder Normalverbraucher soll den Inhalt, der hinter komplexen und leserunfreundlichen Satzgebilden steckt, verstehen können. Auch sollten Grafiken verwendet werden, um bestimmte Prozesse zu visualisieren.
Wenn Sie also Daten speichern oder weitergeben, dann klären Sie den Besucher angemessen darüber auf.
- Was passiert beim Absenden des Kontaktformulars?
- Werden die Daten per E-Mail gesendet oder in einer Datenbank gespeichert?
- In welchem Land befindet sich die Datenbank?
- Wie lange bleiben die Daten gespeichert und wie kann ich Sie wieder löschen lassen?
- Kann ich mir einen Auszug dieser Daten beschaffen?
Wenn Sie sich bei der Formulierung Ihrer Datenschutzerklärung Unterstützung wünschen, hilft unsere Texterin Ihnen gerne beim Individualisieren der Texte. Kontaktieren Sie uns einfach!
SSL
Sobald in einer Webseite Daten abgefragt werden, muss ein SSL-Zertifikat verwendet werden. So können Daten verschlüsselt ausgetauscht werden, ohne dass Dritte Zugriff darauf haben. SSL-Zertifikate sind essenziell für die Sicherheit und gesetzlich geregelt.
Wir bieten diverse Zertifikate für unsere Hosting-Kunden an und richten bei externen Providern gerne SSL ein.
Hier finden Sie den Hauptbeitrag zu SSL in Google Chrome.
Google Analytics
Bedenken Sie, dass Sie mit Google einen Datenverarbeitungsvertrag abschließen, wenn Sie Google Analytics nutzen möchten.
Den Vertrag finden Sie aktualisiert und diesem Link.
Zudem müssen Sie die IP-Adresse anonymisiert übermitteln (mittels der Funktion anonymizeIp im Skript).
Achten Sie außerdem darauf, wie das Skript eingebunden ist.
Wenn das Skript direkt von Googles Servern geladen wird, ist der Abruf des Skriptes eine Übermittlung der IP-Adresse an Google.
Update: Google bietet in Google Analytics mittlerweile Einstellungen an, wie lange die Daten dort gespeichert werden sollen:
Externe Skripte, wie z.B. Google Maps, Webfonts (Schriftarten), reCaptcha, Youtube...
Da all diese Techniken meist über extern gelagerte Skripte in die Website geladen werden, z.B. über folgenden Aufruf:
<script src="/https://ajax.googleapis.com/ajax/libs/jquery/1.8/jquery.min.js" type="text/javascript"></script>
... erzeugen Sie beim Laden des Skriptes eine Übermittlung der IP-Adresse Ihres Besuchers.
Vermeiden Sie also generell, die Skripte zu laden, bevor der Besucher dem auch zugestimmt hat.
So stellen Sie fest, ob externe Skripte verwendet werden
- Öffnen Sie Ihre Website im Google Chrome Browser
- Drücken Sie die Taste F12, um die Entwickler-Tools zu öffnen
- Wechseln die darin in den Tab "Source"
- Sehen Sie sich den Screenshot an, alles, was rot markiert ist, sendet aktuell die IP-Adresse des Besuchers an externe Server.
Update am 03.05.2018 - Aus für Tracking ohne Opt-In?
Aus der aktuellen Stellungnahme der Datenschutzkonferenz (DSK) vom 26.04.2018 geht hervor, dass die Verschleierung der IP-Adresse, wie es z. B. bei Google Analytics zum Einsatz kommt, nicht ausreicht, um das Tracking ohne Zustimmung des Betroffenen durchzuführen:
- Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und/oder Nutzerprofile erstellen, bedarf immer einer vorherigen informierten Einwilligung (Opt-In)
Quellen zu diesem Thema
- http://www.rechtzweinull.de/archives/2553-ist-tracking-nach-25-mai-2018-nur-noch-mit-einwilligung-bewertung-der-stellungnahme-der-datenschutzbehoerden-zu-tracking-targeting-co.html
- https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf
Der Beitrag wird weitergeführt
Denken Sie daran: Dieser Beitrag wird kontinuierlich weiter ausgebaut und mit wertvollen Informationen versehen - Schauen Sie wieder rein!
Wir überprüfen Ihre Website gerne für nur 129 € auf die aktuelle Situation und erstellen Ihnen einen Maßnahmenkatalog zur technischen Umsetzung der DSGVO auf Ihrer Website. Sprechen Sie uns an!