Heute schon an die EU-DSGVO gedacht? Der 8-Schritte-Plan, wie Sie die neue Datenschutz-Novelle als Website-Betreiber umsetzen 

Der 25. Mai 2018 ist für alle europäischen Website-Betreiber und diejenigen, die mit Daten von EU-Bürgern in Kontakt kommen, ein wichtiges Datum. Denn dann tritt die neue EU-Datenschutzreform, kurz DSGVO, in Kraft. Das Ziel der Reform: europaweit einheitliche Datenschutzbedingungen zu schaffen. Wir geben Ihnen einen Überblick über die Datenschutznovelle und Tipps, wie Sie sie auf Ihrer Website umsetzen.

Die Novelle birgt viel Diskussionsstoff. Experten sehen sie zwar als nötig an, da sie ein abschließendes Regelwerk für den europaweiten Datenschutz schafft. Allerdings finden sich an vielen Stellen Grauzonen, die keine finale Rechtssicherheit geben. Vor allem, weil die Reform so umfassend ist, dass kaum jemand durchblickt. Trotzdem sollten Sie sich schnellstmöglich daran machen, Ihre Website „DSGVO-dicht“ zu gestalten. Denn bisherige Datenverarbeitungen und Einwilligungen sind ab dem 25. Mai nur gültig, wenn sie der DSGVO entsprechen.

Kurze Einführung in die EU-DSGVO

Erst einmal: Das Ziel der Datenschutz-Reform ist es, europaweit einheitliche Rahmenbedingungen zu schaffen. So soll eine größere Rechtssicherheit beim Umgang mit personenbezogenen Daten entstehen, um mit Daten achtsamer umzugehen. Die Verordnung betrifft jeden Website-Betreiber, der mit personenbezogenen Daten arbeitet, vom Konzern bis zum Einzelunternehmen.

Zwei Seiten der Medaille: wirtschaftliche und persönliche Interessen gleichermaßen im Blick

Obwohl die DSGVO zwar erhöhte Pflichten und hohe Bußgelder bei Verstoß mit sich bringt, berücksichtigt sie auch wirtschaftliche Interessen. So erschwert sie auf der einen Seite die Einholung einer Einwilligung, verpflichtet zur Datenportabilität und stellt klar, dass pseudonyme Cookies und IP-Adressen als „Online-Kennungen“ personenbezogene Daten sind.

Allerdings schreibt sie auf der anderen Seite den freien Verkehr von Daten und damit wirtschaftliche Interessen im Artikel 1 fest. Das Abwägen zwischen berechtigten wirtschaftlichen Interessen und dem Schutz von Personendaten wird zum entscheidenden Aspekt der zukünftigen gesetzlich erlaubten Datenverarbeitung.

Die Theorie der DSGVO: die Key-Facts

Basis der neuen Regelungen sind die bisherigen Grundprinzipien des Datenschutzes. Sie lauten:

„Jede Datenverarbeitung muss rechtmäßig erfolgen, anhand vorab festgelegter Zwecke, transparent, in möglichst geringem Umfang und soll die Daten vor unberechtigter Veränderung sowie Verlust schützen.“

Im Detail gehören zu den Grundsätzen für die Verarbeitung personenbezogener Daten laut Art. 5 DSGVO u.a. zudem:

  • Rechtmäßigkeit: Sie dürfen Daten nur entsprechend dem Gesetz verarbeiten.
  • Transparenz: Betroffene müssen die Verarbeitung ihrer Daten nachvollziehen können, was vor allem eine verständliche und vollständige Datenschutzerklärung erfordert. Die Informationspflichten wurden mit Art. 13 und 14 DSGVO erhöht.
  • Verbot mit Erlaubnisvorbehalt: Das bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer wenn sie per Gesetz erlaubt wurde.
  • Zweckbindung: Das Gebot der Zweckbindung soll dafür sorgen, dass Daten nur für den vereinbarten Zweck verarbeitet werden. Sie müssen also im Vorfeld definieren, wofür Sie Daten nutzen möchten. Dies wird dann dokumentiert. Eine nachträgliche Zweckänderung ist nur möglich, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art 6 Abs. 4 DSGVO).
  • Datenminimierung und Speicherbegrenzung: Unternehmen dürfen nur die Daten erheben, die sie für den jeweiligen Zweck brauchen. Daten auf Vorrat zu speichern, ist verboten. Eine Identifizierung der Personen darf nur solange ermöglicht werden, wie es für den entsprechenden Zweck nötig ist. (Art. 5 Abs. 1 lit. c und e DSGVO).
  • Integrität und Vertraulichkeit: Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

Privacy by Design und Privacy by Default per Gesetz festgeschrieben

Neu zu den genannten Grundprinzipien kommen im Artikel 25 DSGVO die Prinzipien „Privacy by Design“ und „Privacy by Default“ hinzu. „Privacy by Design“ bedeutet, dass Datenschutzmaßnahmen bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden müssen. „Privacy by Default“ meint, dass zum Beispiel die Voreinstellungen bei Geräten oder bei Onlineplattformen standardmäßig die höchste Datenschutzstufe haben sollen.

Sie müssen jederzeit Nachweise über Ihre Datenverarbeitungsprozesse führen und belegen, dass deren Zwecke, Art und Umfang und risikomindernde Maßnahmen wie „Privacy by Design“ dokumentiert und die Zulässigkeit geprüft worden sind. Denn eine der weitreichendsten Änderungen ist die Umkehr der Beweislast. So müssen Behörden nicht mehr Verstöße gegen den Datenschutz nachweisen, sondern Sie müssen als Unternehmen belegen, dass Sie die Regeln einhalten – eine 180-Grad-Wende.

DSGVO: Die Praxis für Website-Betreiber

Da es sich bei der DSGVO vor allem um den Schutz personenbezogener Daten handelt, ist erst einmal wichtig, zu definieren, welche Daten bei Ihnen auf der Website verarbeitet werden. Das können sein:

  • Vorname, Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstage, Kontoverbindungen etc.

Aber auch

  • Online-Kennungen, wie zum Beispiel Standortdaten, IP-Adressen, Cookies etc.,

gelten laut DSGVO dazu.

Genau diese Erweiterung der Personendaten betrifft die meisten Website-Betreiber, auch wenn sie keine Onlineshops haben. Fast jede Website ist somit von der DSGVO betroffen, wenn

  • IP-Adressen von Website-Besuchern übermittelt und gespeichert werden.
  • sie über eine Kommentarfunktion mit E-Mail-Angabe verfügt.
  • Besucher auf Ihrer Webseite Seiten oder Beiträge kommentieren können. Dann werden E-Mail-Adressen und Benutzernamen/Nicknames auf Ihrer Seite gespeichert.
  • sie Kontaktformulare enthält.
  • sich Ihre Leser für einen Newsletter anmelden können.
  • Sie mit Tracking und Cookies das Nutzerverhalten analysieren.
  • Sie Social Media Plugins nutzen, die nicht datenschutzkonform sind. (Shariff Wrapper wäre hier eine gute Variante zum Erstellen von datenschutzkonformen Teilen-Buttons)

Der 8-Schritte-Plan zur Umsetzung der EU-DSGVO auf Ihrer Website

1. Aktualisieren Sie Ihre Datenschutzerklärung!

Dazu gibt es auf vielen Seiten Musterseiten und Generatoren.

Hier eine Auswahl:

Kurz zusammengefasst müssen Sie darin unter anderem über folgende Aspekte Auskunft geben:

  • alle Zwecke der Datenverarbeitung,
  • den Namen und Kontaktdaten des Verantwortlichen und auch des Datenschutzbeauftragten,
  • die gesetzliche Legitimation für die Datenverarbeitung,
  • die Empfänger der Daten,
  • die Speicherfrist oder Kriterien, um die Frist zu bestimmen,
  • die Absicht, die Daten an Dritte weiterzugeben, ev. auch in einem Drittland oder international,
  • die Rechte auf Auskunft, Löschung usw. und
  • das Beschwerderecht bei der Datenschutzaufsichtsbehörde.

2. Nutzen Sie ein SSL-Zertifikat und stellen Sie Ihre Website auf HTTPS um!

Wie das geht erfahren Sie hier.

3. Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten!

Alle Unternehmer müssen dieses Verzeichnis führen. Ausgenommen sind hiervon lediglich Unternehmen mit weniger als 250 Mitarbeitern, die nur in beschränktem Umfang und unkritische Daten verarbeiten (Art. 30 Abs. 5 DS-GVO).

4. Schließen Sie mit Google einen Vertrag!

Neben dem verpflichtenden Hinweis auf den Einsatz von Google Analytics sowie einer inkludierten Opt-Out-Möglichkeit müssen Sie einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Die entsprechende PDF-Vorlage finden Sie hier. Den Vertrag drucken Sie zweimal aus und schicken ihn unterschrieben an Google Irland (Adresse im Dokument).

Es gibt aber auch eine einfachere Möglichkeit: Sie können die Vereinbarung direkt in Ihrem Google Analytics Account schließen. Dort gehen Sie in Ihre > Kontoeinstellungen, scrollen bis nach unten und klicken auf „Zusatz anzeigen“. Dann stimmen Sie dem Zusatz zu und speichern alles am Ende der Seite ab.

5. Installieren Sie eine Google-Analytics-Opt-Out-Option!

Die Opt-Out-Funktionalität lässt sich bei WordPress zum Beispiel mit einem Plugin wie GA Opt-Out realisieren, aber auch im Google Analytics Plugin finden Sie unter „Tracking Code“ eine Option dafür. Sinnvollerweise bauen Sie den entsprechenden Code an passender Stelle innerhalb der Datenschutzbestimmungen ein.

6. Anonymisieren Sie die Google Analytics IP!

Wie Sie die IPs anonymisieren, hängt von der Art der Tracking-Code-Einbindung ab. Wer den Tracking-Code direkt einbindet, fügt die Funktion anonymizeIP zu. WordPress Plugins (GA Dashboard for WordPress) verfügen in der Regel über eine entsprechende Option. Die dritte Möglichkeit ist die entsprechende Konfiguration des Tag Managers.

7. Nicht die Kommentarfunktion vergessen!

Ein Hinweis zur Datenspeicherung (idealerweise mit Link auf die Datenschutz-Policy) muss auch an dieser Stelle angebracht werden, obwohl Ihre User freiwillig kommentieren. Mit einer Checkbox, implementiert als Custom Field mit WP Discuz, gehen Sie auf Nummer sicher.

8. Einfach alle personenbezogenen Daten entfernen!

Dieser letzte Tipp ist natürlich eher als Scherz gemeint. Allerdings: Wer Fehlern und Abmahnungen vollkommen aus dem Weg gehen möchte, der entfernt am besten Banner, Analytics Features und Formulare. Gleichzeitig fallen damit auch alle Vorteile weg, die das Online-Marketing bietet. Wenn Sie personenbezogene Daten auf unseren Servern speichern und verarbeiten, dann empfehlen wir Ihnen einen Vertrag zur Auftragsverarbeitung gemäß DSGVO mit uns abzuschließen. Der Vertrag steht Ihnen hier unter Punkt 16 zum Download zur Verfügung.

Übrigens:

Wir empfehlen Ihnen, weniger sensible Personendaten nicht lockerer zu handhaben: Schon nach bisher geltendem Recht müssen Personen der Verwendung zustimmen, allerdings war die Zustimmung bei (Online-)Formularen bereits vorausgewählt. Neu: Dem Speichern auch nicht sensibler Daten müssen User durch eindeutige Handlung zustimmen.

Fazit

Die EU-DSGVO ist umfangreich, so dass Sie schnellstens damit anfangen sollten Ihre Website umzustellen. Denn bei Verstößen oder Unterlassung drohen zum Teil drakonische Strafen, die bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes eines Unternehmens betragen können – je nachdem, welcher Betrag höher ist. Auch wenn die Umsetzung der Datenschutznovelle umständlich ist, nehmen Sie sie ernst, auch als Website-Betreiber ohne Onlineshop und Zahlungsverkehr. Vorteil und Nachteil zugleich: Viele Bestimmungen sind bislang nicht bis ins Kleinste für die Praxis durchdekliniert, sodass erst einschlägige Gerichtsurteile wirkliche Orientierung bieten werden.

Wichtiger rechtlicher Hinweis!

Unser Artikel gibt Ihnen einen Überblick über die wichtigsten Punkte der DSGVO. Er ist allerdings kein Ersatz für eine Rechtsberatung. Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen lassen Sie sich am besten von einem Anwalt oder Datenschutzbeauftragten beraten.

 

Quellen:

https://dsgvo-gesetz.de/

https://www.hosteurope.de/blog/dsgvo-darauf-sollten-sie-achten/

https://t3n.de/news/dsgvo-datenschutzgrundverordnung-aenderungen-837794/2/

http://www.absatzwirtschaft.de/eu-datenschutz-was-sich-durch-die-grundverordnung-fuer-unternehmen-aendert-80365/

 

Bildnachweis: Pixabay

Franziska Thoms

Über den Autor

Franziska Thoms

Franzi ist Social Media und Content Manager für GoDaddy und die DomainFactory, leidenschaftliche Instagrammerin und Kinogängerin. Wenn sie nicht gerade auf der Suche nach den aktuellen Trends im Kosmos der sozialen Netzwerke ist, findet man Franzi etwas Leckeres in der Küche zaubern, unterwegs in den Bergen oder einen Serien-Marathon starten.

39 Kommentare


  • df666
    df666 - 5. April 2018 um 12:05 Uhr

    Viel wichtiger und spannender als diese recht trivalen Informationen, die man überall finden kann, wäre es zu erfahren, wie Domainfactory seinen Verpflichtungen gemäß DSGVO nachkommt! Stichwort Datensicherheit, Auftragsdatenverarbeitung, Logfilespeicherdauer, Anonymisierung etc.

  • Bernd
    Bernd - 7. April 2018 um 18:25 Uhr

    Danke für die Zusammenfassung, Was ist mit Access Logs und Speicherfristen? Und vor allem mit den Hoster Verträgen?

    Diese Kommentarfunktion auf df.eu benachrichtigt mich übrigens nicht darüber was mit meinen Angaben gemacht wird und warum diese notwendig sind und es gibt nur implizite Zustimmungsmöglichkeit.

    Gruss
    Bernd

  • Nils Dornblut
    Nils Dornblut - 8. April 2018 um 23:33 Uhr

    Die DomainFactory selbst arbeitet noch an einigen Anpassungen Ihres eigenen Angebots zur neuen EU-Datenschutzreform. Wenn es zu den Änderungen Details gibt, berichten wir entsprechend.

  • NB
    NB - 10. April 2018 um 11:35 Uhr

    DF hostet Domains und tritt damit als Auftragsdatenverarbeiter (ADV) auf.
    Der Domain-Inhaber als Auftragsgeber muss unbedingt eine ADV-Vereinbarung mit DF abschließen, in der alle Forderungen und Vorschriften der §§9 und 11 BDSG geregelt werden.
    Wann wird DF seinen Kunden eine passende ADV-Vereinbarung vorschlagen?
    MfG
    NB

  • ONMA Hannover
    ONMA Hannover - 10. April 2018 um 13:55 Uhr

    Super Beitrag! Vielen Dank für die gute und sehr informative Übersicht!

  • Dirk
    Dirk - 11. April 2018 um 10:21 Uhr

    Achte darauf, dass dein Hoster eine vollständige Transportverschlüsselung für eMails anbietet.
    Schade, dass DF das nicht macht 😉

    • Anonymous
      Anonymous - 11. April 2018 um 15:24 Uhr

      @Dirk: ich weiß nicht warum aber von und zu DF gehen seit einige Zeit mehr keine Mails von uns, so komisches RC4/MD5/SHA1 wird da noch erlaubt 😀

      • Nils Dornblut
        Nils Dornblut - 12. April 2018 um 00:12 Uhr

        Was genau wird wo erlaubt und was für Meldungen bekommen Sie genau @Anonymous?

      • Anonymous
        Anonymous - 12. April 2018 um 08:33 Uhr

        @Nils: moonligt.ispgatway.de ACL: Blocked weak cipher {ECDHE_RSA_WITH_RC4_128_SHA}

    • Nils Dornblut
      Nils Dornblut - 12. April 2018 um 00:11 Uhr

      Was genau vermissen Sie hier an Funktionalität diesbezüglich? Transportverschlüsselung (TLS) ist bei uns für ein- und ausgehende Verbindungen seit langer Zeit aktiv.

  • hohemazb
    hohemazb - 12. April 2018 um 14:43 Uhr

    Ich verstehe die Punkte 4., 5., 6. nicht. Ich benutze weder Google noch Google Analytics. Warum brauche ich dann diese Punkte?

    • Nils Dornblut
      Nils Dornblut - 14. April 2018 um 00:32 Uhr

      Wenn Sie es nicht nutzen, können sie die Punkte natürlich überspringen. Es handelt sich um Empfehlungen, die in vielen Fällen treffen.

  • Max
    Max - 13. April 2018 um 08:44 Uhr

    Danke, sehr hilfreich!

  • Andi
    Andi - 16. April 2018 um 08:07 Uhr

    Hallo,
    anscheinend muss man heute studieren, um eine Website zu betreiben. Ich jedenfalls verstehe von den ganzen Artikeln überhaupt nicht, in wie weit das mich auch betrifft.
    Nun mal Klartext.
    Ich betreibe eine Website zur Information meiner Kunden, welche Dienstleistung ich anbiete. Die einzigen Daten, die ich evtl. bekomme, sind eine Mailadresse über das Kontaktmail und einen Namen, der aber Fake sein kann. Was konkret habe ich zu beachten oder zu ändern?

    Gruß
    Andi

    • Alexander
      Alexander - 16. April 2018 um 13:14 Uhr

      Hallo Andi,

      da bin ich ganz bei dir!
      Bei mir sind dies auch nur Information. Das ganze Drumherum der EU-DSGVO ist so umfangreich, dass einem die Freude als Einzelunternehmen vergeht 🙁
      Es reicht nicht aus, dass einen das Finanzamt jährlich ….. – jetzt auch noch die EU-Verordnungen.

      Noch einen schönen Tag.

      Ciao, Alexander

    • Nils Dornblut
      Nils Dornblut - 16. April 2018 um 22:48 Uhr

      Es herrscht bei solchen Einführungen meist erst einmal einige Verwirrung. Das ist leider nicht vermeidbar. Wir haben oben wichtige Punkte beschrieben, die Sie ausführen sollten. Welchen der 8 Punkte verstehen Sie dort nicht und was ist das Problem mit diesem? Es sieht erst einmal ziemlich kompliziert aus, aber letztendlich ist es überschaubar, wenn es nicht um umfangreiche Datenverarbeitung geht. Aber auch diese bezwingbar. Ein ADV-Vertrag mit uns abzuschließen ist jetzt auch recht leicht:

      https://www.df.eu/forum/threads/82264-NEU-DSGVO-konforme-ADV-Vertrag-optional-und-kostenfrei-zum-direkten-Download?p=528027#post528027

      Wir können leider keine Individualberatung machen, versuchen aber mit Einträgen wie diesem es zu vereinfachen.

  • Gertrude Mauerbauer
    Gertrude Mauerbauer - 17. April 2018 um 09:50 Uhr

    Wie sieht es mit der Pseydonymisierung der IP-Adressen in Logfiles aus? Habe ich eine Antwort zu diesem Thema übersehen oder gibt es dazu bisher noch nichts?
    – Wird die Pseudonymisierung bereits durchgeführt?
    – Wenn nein, kann ich das für unsere Websites, die auf einem Host bei Ihnen liegen, ‚bestellen‘?

    • Nils Dornblut
      Nils Dornblut - 17. April 2018 um 21:51 Uhr

      Wir werden uns dazu noch äußern, müssen diesbezüglich aber noch um Geduld bitten.

  • Guido Duclos
    Guido Duclos - 18. April 2018 um 00:03 Uhr

    America erfindet, Silikon Valley ist extrem Innovative.
    Was kommt aus Deutschland das digital die Welt bewegt?
    Nichts, aber dafür hängt es hinterher bremst und verhängt Strafen.
    Aber irgendwie muss man ja auffallen wenn man nichts revolutionäres innovatives entwickeln kann, sondern nur zur
    letzten digitalen Provinz gehört. Wenn Deutschland mitmischt, dann wird alles komplex mit sehr geringem Workflow, und schrecklich bürokratisch.
    Wie Schade !

    • Nils Dornblut
      Nils Dornblut - 19. April 2018 um 21:36 Uhr

      Deutschland hat sicher einen Anteil mit daran, aber generell ist es die EU-Datenschutzreform. Diese wird und muss hier umgesetzt werden.

  • Stefan
    Stefan - 18. April 2018 um 16:07 Uhr

    Was davon ist für mich relevant, wenn ich eine Webseite betreibe,
    > die kein Kontaktformular beinhaltet
    > auf der ich Google Analytics rausnehme
    > auf der lediglich allgemeine Informationen zu meinen Produkten stehen und
    > dort keinerlei Daten gesammelt werden
    > die Seite auch keine Kommentarfunktion beinhaltet
    Welche Punkte wären dann relevant für mich (unabhängig von der Unternehmsgröße)?

    VG
    Stefan

    • Nils Dornblut
      Nils Dornblut - 19. April 2018 um 21:40 Uhr

      Bitte bedenken Sie immer: Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Die Webseite ist also nur ein kleiner Teilbereich und wurde hier aufgrund unserer Ausrichtung thematisiert. Im Unternehmen sicher daher einiges (E-Mail, allgemeiner Umgang mit Daten usw.) . Von der Liste oben bezogen auf die Webseite dann 1-3, würde ich sagen. Stellt natürlich keinerlei Rechtsberatung dar und muss im Einzelfall geprüft werden.

  • Alex
    Alex - 19. April 2018 um 19:09 Uhr

    Hallo Zusammen und Betroffene,

    ich betreibe kein Geschäft sondern „nur“ ein privatesForum (phpbb), in welchem Beiträge geschrieben werden. Die persönlichen Daten, die der User bei der Registrierung angibt, werden gespeichert. Weiterhin noch das Log. Welche der 8 Punkte treffen für einen privaten Webseitenbetreiber zu?

    Vielen Dank im Voraus.

    Viele Grüße
    Alexander

    • Nils Dornblut
      Nils Dornblut - 19. April 2018 um 21:49 Uhr

      Wie ein Kommentar drüber schon gerade geschrieben, ist die Datenschutz-Grundverordnung (DSGVO) eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlichen soll. Wenn Sie nicht darunter fallen, dann betrifft diese Sie auch nicht.

      Falls Die Frage nach Vereinen aufkommt, da gibt es hier einen informativen Beitrag:

      http://www.verein-aktuell.de/vereinsrecht-organisation-fuehrung/vorstand-mitgliederversammlung-co/ist-ihr-verein-fuer-die-neue-datenschutz-grundverordnung-dsgvo-bereit

      • aPEX
        aPEX - 24. April 2018 um 13:00 Uhr

        Sprich, der Betreiber eines privaten Computer Forums, das komplett ohne Werbung auskommt, keine Firma ist, keine öffentliche Einrichtung ist, kein Verein ist, keine kommerzielle Absichten hat, keine Analyse Software verwendet, keine Social Media Plugins verwendet, keine Daten der Mitglieder (Teilnehmer) sammelt ist davon auch nicht betroffen?

        Alles andere würde ja bedeuten das tausende Foren jetzt zumachen müssen.

      • Nils Dornblut
        Nils Dornblut - 25. April 2018 um 23:50 Uhr

        Wir können und dürfen das nicht beurteilen, wie Sie im Sinne des Gesetzes da zu betrachten sind. Wenn Sie im Sinne des Gesetzes nicht zur Anwendungsgruppe gehören, sind Sie auch nicht betroffen. Bitte entschuldigen Sie, dass wir nicht klar nein sagen können und dürfen, weil es natürlich theoretische Fälle geben kann. Rechtsberatung diesbezüglich können und dürfen wir nicht leisten.

  • Raphael Bolius
    Raphael Bolius - 20. April 2018 um 10:47 Uhr

    Leider ein sehr, sehr oberflächlicher Artikel! Ich hätte mir viel mehr konkretere Information gewünscht.

    Alleine Punkt 3: 3. Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten! Alle Unternehmer müssen dieses Verzeichnis führen. Ausgenommen sind hiervon lediglich Unternehmen mit weniger als 250 Mitarbeitern, die nur in beschränktem Umfang und unkritische Daten verarbeiten (Art. 30 Abs. 5 DS-GVO).

    Das ist keine sinnvolle Information! Unternehmen mit mehr als 250 Mitarbeitern werden schlicht und einfach die Möglichkeit haben jemanden dieser 250 auf das Thema anzusetzen. Viel wichtiger wäre es wohl kleinen Seitenbetreibern, die als Ein-, Zwei-, oder Dreipersonenunternehmen im Web vertreten sind, und ohnehin anderes zu tun haben, als sich um die korrekte Einbindung ihres Kontaktformulares zu kümmern, Hilfestellung zu bieten. Denn für deren Seiten ist die DSGVO ja nicht gemacht, die dient ja dazu um Google, Facebook & Co in die Schranken zu weisen. Trotzdem hat die genannte Personen gruppe ein Riesenproblem mit dem Thema und kann – wegen einer lächerlichen Kleinigkeit – existenzgefährdent abgemahnt werden.

    Weitere Oberflächlichkeiten: Wo ist Info über Piwik, es wird nur Google-Analytics angesprochen. Wo ist die Problematik der Einbindung externer Ressourcen (Google-Fonts…) erklärt. sorry. Die Zusammenstellung ist nicht hilfreich.

    • Nils Dornblut
      Nils Dornblut - 22. April 2018 um 11:42 Uhr

      Danke für Ihre kritischen Worte.

      Wir wollten mit dem Artikel kein allumfassendes Werk zur DSGVO schaffen, sondern einen generellen Überblick und einen Einstieg liefern. Die jeweils relevanten Punkten können unterschiedlich sein, das ist richtig und es muss individuell geschaut werden.

      Wenn Sie Piwik einsetzen, erfolgt die Verarbeitung der Daten auf Ihrem eigenen Speicher und Sie müssen keine Vertrag mit jemandem machen, wohl aber Regularien der anderen Punkte z. B. in Bezug auf IPs beachten.

      Externe Inhalte einbinden und nutzen ist ein gesondertes Thema (Punkt 6 geht da kurz drauf ein). Genauere Infos dazu hier beispielsweise:

      https://www.7media.de/wp-coaching/dsgvo-neue-datenschutz-anforderungen/

    • Nils Dornblut
      Nils Dornblut - 22. April 2018 um 11:48 Uhr

      Bitte verwechseln Sie auch Abmahnungen nicht mit den Strafen nach DS-GVO. Hier wird das genauer thematisiert:

      https://www.datenschutz-guru.de/abmahngefahren-durch-die-dsgvo/

      Es ändert sich rein durch DS-GVO daran, also an der Abmahngefahr jetzt nicht so viel, das bleibt in dem sinne recht gleich von den „Themenschwerpunkten“ her.

      • Raphael Bolius
        Raphael Bolius - 22. April 2018 um 12:08 Uhr

        @ Abmahnung/ Strafen durch DSGVO: Ja das ist richtig. aber die DSGVO weckt schlafende Hunde. 😉 Bis heute hatte niemand den Gedanken, dass Google-Fonts Daten an Google liefern würden. Ich habe die Frage ob Google-Fonts Daten an Google übermitteln vor ca. 2 Jahren in einem Forum gestellt, die Antwort der meisten Diskussionsteilnehmer darauf war: Mag sein, ist mir egal.

        Jetzt weiss aber jeder dass Google-Fonts nicht OK sind, solange sie nicht am eigenen Server liegen. Mit ein bisschen Fantasie kann man jetzt also daraus den Schluss ziehen, dass 90% aller Templates und Themes abmahnbar sind. Das ist eine Steilvorlage für die Abmahnindustrie und ich warte schon auf die erste Welle.

        „Kleine Webseiten“ werden wahrscheinlich gar keine Strafen durch die DSGVO zu erwarten haben. Die Datenschützer haben Anderes zu tun als das Yogazentrum von nebenan zu verklagen, weil es ein Kontaktformulr hat und kein Häckchen, mit dem man der Datenübermittlung zustimmt. Aber sowas ist ein gefundenes Fressen für Abmahner.

      • Nils Dornblut
        Nils Dornblut - 22. April 2018 um 12:31 Uhr

        Ich denke nicht, dass die neue DS-GVO da schlaffende Hunde bei Anwälten weckt. Es ist aber durchaus von Vorteil, wenn sich jedes Unternehmen grundsätzlich mit dem Thema Datenschutz mal beschäftigt. Das kennen sicher viele aus eigener Erfahrung in der mehr oder weniger intensiven Weise, das Thema wurde sehr stiefmütterlich behandelt und gerade Firmen, die sich dem bisher nicht bewusst sind, wachen vielleicht mehr und mehr auf. Es heißt ja nicht, dass Firmen, die einen guten Standard haben jetzt sehr viel drauflegen müssen.

        Auch das mit externen Inhalten zu Tracking-Zwecken ist schon lange bekannt, wie beispielsweise diese Studie von vor 5 Jahren zeigt, die teilweise auch noch viel ältere Verweise enthält:

        https://www.esat.kuleuven.be/cosic/publications/article-2334.pdf

        Bitte aber Vorsicht mit Abmahfähigkeit, dazu einfach mal den Artikel lesen, den nicht verlinkt habe. Hysterie und Angst helfen bei dem Thema nicht weiter. Man kann durch sauberes Arbeiten und gewissen Grundregeln, wie oben beispielhaft dargestellt schon viel vermeiden.

  • Raphael Bolius
    Raphael Bolius - 20. April 2018 um 11:25 Uhr

    Noch ein Nachtrag zum Post von vorhin: Ich habe auf meinem Blog einen etwas informativeren Artikel in dem vor allem auf die Bedürfnisse der „kleinen“ Seitenbetreiber eingegangen wird. Also was z. B. eine Zahnarztpraxis konkret tun muss. Denn die werden ja aufrund der DSGVO nicht einen Datenschutzbeaucftragten anstellen. 😉 Hier gehts zum Artikel: DSGVO für kleine Webprojekte/

    Ich werde demnächst noch einen zweiten Artikel zum Thema verfassen, denn gute Tipps gibts ja viele. IOft scheitert es aber an der Praxis. Wenn es z. B. laut DSGVO nicht OK ist, Google-Fonts zu nutzen, dann kann man ja 99% der fertigen Themes in die Tonne treten. Da versuche ich Workarounds für die gängigsten Probleme anzubieten. Auch die Frage, „was soll eingentlich gelöscht werden“, wenn jemand eine Löschung beantragt, ist interessant. Die Daten, die die Besucher hinterlassen, verteilen sich ja an sehr viele Orte. Eine Löschung ist also gar nicht sooo einfach. Man muss nur an die Backups denken.

    • Nils Dornblut
      Nils Dornblut - 22. April 2018 um 11:52 Uhr

      Was für wen informativ ist, würden wir gerne dem Leser überlassen. Unsere Zielrichtung habe ich oben beschrieben. Natürlich können Sie gerne auf Ihren Artikel verweisen, es gibt im Internet dazu mittlerweile ja auch sehr viele Spezialartikel für unterschiedliche Ausrichtungen, Firmengrößen und Themengebiete rund um die DS-GVO.

      • Raphael Bolius
        Raphael Bolius - 24. April 2018 um 13:41 Uhr

        Hallo Herr Dornblut,
        Sie haben schon recht, die Leser sollen entscheiden und so schlecht, wie ich zunächst meinte, ist der Artikel auch nicht. Mir brennen wohl gerade die Sicherungen durch, weil ich als Webdesigner Fragen ohne Ende beantworten soll, die ich als „Nicht-Rechtsanwalt“ gar nicht beantworten darf, die aber meine Kunden alle wissen wollen. Auch mein Anwalt ist wohl unter der Flut der Anfragen zusammengebrochen, ich habe einen Agenturaccount bei erecht-24 und seitdem die DSGVO dort Thema ist, merkt man deutlich wie die Bearbeitungsgeschwindigkeit der Themen rapide zurückgeht. Ich versuche daher die Inhalte auf meiner Webseite so aufzubereiten, dass auch meine Kunden sie verstehen und nachvollziehen können.

        Es sind jetzt im Zusammenhang mit der DSGVO für mich noch einige weitere Fragen aufgetaucht:
        1) Sind anonymisierte IP-Adressen überhaupt noch personenbezogene Daten? Sie lassen ja keinen Rückschluss auf eine bestimmte Person mehr zu und damit sollte die DSGVO wohl für alle Daten, die von Google-Analytics oder Piwik erhoben werden (falls sie rcihtig anonymisiert werden) irrelevant sein.

        2) Es bleiben aber immer noch IP Adressen oder andere personenbezogene Daten übrig: Logindaten in ein CMS, Daten, die beim Versenden von Kontaktformularen/ Blogkommentaren entstehen. Bei Shops fallen ohnehin viele Daten an. usw. usw. Wenn diese Informationen (oder Teile davon) in den Logfiles gespeichert werden, müsste man ja einen ADV-Vertrag mit Domainfactory abschließen. Wie ist hier Ihre Empfehlung?

        Mit freundlichen Grüßen
        Raphael Bolius

      • Nils Dornblut
        Nils Dornblut - 25. April 2018 um 23:06 Uhr

        Nichts in dem Bereich wird seit Jahren so kontrovers diskutiert wie das Thema IP-Adresse und Einordnung dieser in verschiedenen Kontexten. Vermutlich wir das auch Gerichte noch über Jahre immer wieder beschäftigen im Zusammenhang der Anonymisierung dieser.

        Im Zweifel können sie einen ADV-Vertrag mit uns abschließen. Das sollte im Regelfall recht einfach sein durch unsere Vorlage. Auch kann man solche Verträge nachträglich anpassen. Besser ist es in jedem Fall etwas zu haben und ggf. nachzubessern, als gar nichts zu haben.

  • aPEX
    aPEX - 24. April 2018 um 12:53 Uhr

    Ist davon auch ein privates Computer Forum betroffen, das keinerlei Daten Daten speichert, verarbeitet oder analysiert?

    • Nils Dornblut
      Nils Dornblut - 25. April 2018 um 23:44 Uhr

      Die Datenschutz-Grundverordnung (DSGVO) eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlichen soll. Wenn Sie nicht darunter fallen, dann betrifft diese Sie auch nicht.