TMC_Blog
In wenigen Schritten Ihre Website DSGVO-Konform machen – so geht’s!
Datenschutz Digital Website
20.04.2018
4 min. read
Die neue Datenschutz-Grundverordnung (DSGVO) bringt Informationspflichten in umfangreicher Form mit sich. Das Ziel: Sie soll die Basis für eine europaweite, einheitliche und verbindliche Regelung des Datenschutzes schaffen. Daraus erwachsen möglicherweise für Sie als Unternehmen neue Pflichten und Vorschriften. In dem Fall sollten Sie jetzt schnell handeln, denn die neue Gesetzeslage tritt ab dem 25. Mai 2018 in Kraft.
Neben Festlegungen interner Datenschutz-Prozesse und -Standards fällt auch das Bereitstellen von Websites in den Geltungsbereich der neuen DSGVO. Es ist also höchste Zeit, sich um dieses Thema zu kümmern.
Welche Änderungen sollten Sie auf Ihrer Website dringend vornehmen?
Das hängt natürlich in erster Linie von Ihrer Website ab. Gewisse Anpassungen sind allerdings unabhängig davon auf jeden Fall erforderlich, zum Beispiel eine DSGVO-konforme Datenschutzerklärung.
Aktualisierte Datenschutzerklärung
Im Regelfall müssen Webseitenbetreiber zumindest die Datenschutzerklärung anpassen. In diesem Zusammenhang sollte auch die Vollständigkeit und Aktualität des Impressums geprüft und bei Bedarf entsprechend aktualisiert werden.
Mit Hilfe des Premium Datenschutz-Generators von eRecht24 erstellen wir für Sie eine komplett auf Ihre Website abgestimmte, DSGVO-konforme Datenschutzerklärung. Da die Datenschutzerklärung ab dem 25.05.2018 von jeder Seite aus mit einem Klick erreichbar sein muss, kümmern wir uns natürlich auch um eine entsprechende Verlinkung.
Auftragsdatenverarbeitungsvertrag
Von Ihrem Hoster erhalten Sie vermutlich einen Auftragsdatenverarbeitungsvertrag, den Sie unterschrieben zurückschicken müssen. Mit Google lässt sich eine solche Vereinbarung mittlerweile in wenigen Schritten auch online abschließen. Dies erledigen wir gerne für Sie.
IP-Anonymisierung bei Google Analytics
Der Google-Analytics-Code ist von Haus aus nicht datenschutzkonform. Deshalb sollten Sie erfasste IP-Adressen durch das sogenannte „anonymizeIp“ anonymisieren und den Nutzern Ihrer Website durch einen Opt-Out-Cookie die Möglichkeit geben der Erstellung von Nutzungsprofilen zu widersprechen.
Aufbewahrung von Nutzer- und Ereignisdaten bei Google Analytics
Auch in der Google Analytics-Console sollten Anpassungen gemacht werden. Da im Rahmen der DSGVO auch die Aufbewahrungszeit von Daten eine große Rolle spielt, stellt Google Analytics eine Funktion zur Verfügung, mit der die erhobenen Daten nach einem bestimmten Zeitraum gelöscht werden. Den Aufbewahrungszeitraum sollten Sie in der Analytics-Verwaltung unter „Property“ > „Tracking-Informationen“ > „Datenaufbewahrung“ festlegen.
Cookie Notice / Cookie-Banner
Wir empfehlen Ihnen auf Ihrer Website eine sogenannte Cookie Notice zu installieren, mittels derer Ihre Besucher über die Verwendung von Cookies auf Ihrer Website informiert werden. Die Installation eines Cookie-Banners oder einer Cookie Notice auf Ihrer Website ist momentan keine Pflicht, wirkt sich aber positiv auf das Google Ranking aus und könnte im Zusammenhang mit der zu erwartenden ePrivacy-Verordnung zur Pflicht werden.
SSL-Zertifikat-Implementierung
Enthält Ihr Webauftritt ein Kontaktformular oder einen Shop, ist die Einbindung einer SSL-Verschlüsselung ohnehin Pflicht. Doch da Google ungesicherte Seiten sowieso mehr und mehr mit schlechten Platzierungen bestraft und ab Juni über den Browsermarktführer Chrome vor solchen Seiten explizit warnen wird, ist nun so oder so Handeln angesagt.
Viele Hoster bieten in den Hosting-Paketen bereits SSL-Zertifikate an, die aktiviert werden können. Sobald dieses aktiviert ist, sollten Sie Weiterleitungen einrichten, die von HTTP auf HTTPS umleiten, um keine Rankings bei Google zu verlieren.
IT-Sicherheit und Prävention vor Hacker-Angriffen
Die DSGVO zielt auch auf die IT-Sicherheit ab. Daher sollten Sie im Zusammenhang mit Ihrem Content Management System darauf achten, dass Sie die Version aktuell ist und gegebenenfalls neue Updates einspielen. Auch die Einführung einer 2-Faktor-Authentifizierung bei Logins bringt mehr Sicherheit, sodass keine ungewollten Zugriffe auf das Backend Ihrer Website entstehen können.
Erweiterter Datenschutzmodus
Enthält Ihre Website YouTube-Videos, werden automatisch Daten Ihrer Besucher an YouTube weitergeleitet – völlig unabhängig davon, ob ein Video abgespielt wird oder nicht. Durch Aktivieren des erweiterten Datenschutzmodus über den Embed-Code der Videos können Sie verhindern, dass Daten an YouTube weitergegeben werden.
Doppelklick-Lösungen für die Einbindung von sozialen Netzwerken
Die Einbindung von Social-Media-Plugins und Like-Buttons soll es für den Nutzer einfacher machen, sich mit dem Unternehmen über die sozialen Netzwerke zu vernetzen und Inhalte zu teilen. Allerdings ist auch die Einbindung dieser Inhalte, ähnlich wie bei YouTube, damit verbunden, dass Daten erhoben und an die Anbieter der eingebundenen Dienste übermittelt werden. Daher sollten Sie auf Ihrer Website eine Doppelklick-Lösung integrieren, bei der der Nutzer der Übermittlung seiner Daten erst zustimmen muss, bevor er zum Beispiel über die Facebook-Likebox die Facebook-Seite Ihres Unternehmens mit „Gefällt mir“ markieren kann. Aktiviert der Nutzer diese Dienste nicht, werden keine Daten übermittelt.
UPDATE 03.Mai 2018: Abmahn-Risiko bei Nutzung von Analyse-Cookies
Die Datenschutz-Aufsichtsbehörden haben mit dem Papier „zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ ein Dokument veröffentlicht (Stand 26.04.2018), dass möglicherweise ein Abmahn-Risiko beim Einsatz von Analyse-Cookies, wie z.B. Google Analytics oder Piwik, auf der eigenen Website mit sich bringt.
In Punkt 9 des folgenden Dokuments heißt es: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i.S.d. DSGVO , in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d.h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“
Hinsichtlich des oben genannten Papieres sollten Sie in Erwägung ziehen die Besucheranalyse / Tracking zumindest für die nächste Zeit auszusetzen, um das Risiko einer Abmahnung zu reduzieren. In diesem Fall sollten Sie dann auch Ihre Datenschutzerklärung entsprechend anpassen, d.h. die entsprechenden Texte zur Besucheranalyse / Tracking herausnehmen.
Die Quelle: Papier „zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ (Stand 26.04.2018)
UPDATE 01.Oktober 2019: EuGH-Urteil zur Einwilligungspflicht bei der Nutzung von Cookies
In der Zwischenzeit gibt es neuere Begebenheiten bezüglich der Nutzung von Cookies auf Websites und in Apps, die wir hier in einem aktuelleren Blog-Beitrag aufgegriffen haben.
Zum Beitrag:
EuGH-Urteil: Einwilligungspflicht für Cookie-Nutzung