Jeder kann Deine Website besuchen und diese natürlich auch gegen Rechtsverstösse prüfen. Daher ist im Bezug der DSGVO die Umsetzung auf Deiner Website ein Muss!

Aber ich möchte hier nochmals betonen, dass es bei der DSGVO nicht allein um die Website geht. Datenschutz ist ein umfangreiches und ein wichtiges Thema. In vielen Facebook Gruppen wird fast ausschliesslich über die Website diskutiert, da vergisst man schnell, dass der Datenschutz noch viel mehr beinhaltet.

Daher informiere Dich und bleib am Ball!

Disclaimer:
Als Webdesignerin darf und kann ich keine Rechtsauskunft geben! Ich schildere in diesem Artikel lediglich mein Verständnis zu diesem Thema.
Ich möchte mit diesem und den folgenden Artikeln meine Sicht der DSGVO weitergeben um Dich zu unterstützen, auch weiterhin eine rechtssichere Website zu betreiben. Wenn Du wirklich rechtssichere Antworten erhalten möchtest, musst Du aber einen Anwalt kontaktieren.

Website-Checkliste

Lange überlegte ich mir, ob ich überhaupt eine Checkliste veröffentlichen soll. Viele Baustellen sind ungeklärt – auch bei Rechtsanwälten. Zudem erfordern viele Themen auch ein tieferes technisches Verständnis. Schlussendlich wird sich erst nach der Einführung der DSGVO zeigen, wie Gerichte urteilen. Das die Auslegung des Gesetzes auch bei Rechtsanwälten widersprüchlich ist, zeige ich Dir im untenstehendem Beispiel „Formulare und Kommentare auf“.

Zudem wird zur Zeit eher empfohlen alles ziemlich strickt zu nehmen. Also eher zu viel umzusetzen als zu wenig. Auch hier kann ich Dir einfach nur empfehlen, dich immer mal wieder zu informieren und ggf. Deine Website laufend anzupassen.

Was die Sache nicht einfacher macht, viele Hersteller/Anbieter arbeiten selber noch ein einer DSGVO konformen Lösung. Daher können einige Punkte dieser Checkliste in einigen Wochen/Monaten unwichtig werden.

Grundsätzlich ist es immer ratsam eine Website von einem Anwalt prüfen zu lassen. Da es aber verständlich ist, dass nicht jeder sich einen Anwalt leisten kann/will/möchte, erstellte ich trotzdem diese Checkliste.

Diese ist sicherlich nicht als „Absolut“ zu sehen, sondern spiegelt einfach meine intensicen Recherchen inkl. Kursen und Agentur Mitglied bei e-Recht24 (*) wider.

Lies auch jeweils meine Kommentare dazu. Einige Themen werden von den Rechtsanwälten sehr unterschiedlich interpretiert. Ich löste dies bei mir so, dass ich mich für eine Variante entschied und dies auf eine „Überwachungsliste“ setzte. So weiss ich, welche Themen ich vertieft weiterhin verfolgen sollte.

Also legen wir los!

1. Webhosting und allgemeine Einstellungen

  • Auftragsverarbeitungsvertrag (AV) mit Webhoster abschliessen
  • Website mit SSL verschlüsseln (nicht nur wichtig für die DSGVO). Prüfe auch, ob Deine Website ausschliesslich verschlüsselt aufgerufen werden kann – sprich via https. Je nach Einstellungen kann Deine Website via http und https aufgerufen werden. Dies solltest Du vermeiden.
  • Allgemeine Sicherheit gewährleisten (sichere Passwörter verwenden, regelmässig Updates durchführen)

2. Rechtstexte

  • Impressum erstellen und als eigenständigen Link von jeder Inhaltsseite aus erreichbar machen
  • neue Datenschutzerklärung erstellen und als eigenständigen Link von jeder Inhaltsseite aus erreichbar machen
  • wenn Du auf Deiner Website direkt etwas verkaufst, solltest Du AGB erstellen und als eigenständigen Link von jeder Inhaltsseite aus erreichbar machen

Wie erstellst Du diese Rechtstexte? Am einfachsten geht es über sogenannten Generatoren. Aber auch diese Texte solltest Du durchlesen und ggf. auf Deine Situation anpassen. Der sicherste Weg ist eine Erstellung durch einen Rechtsanwalt.

Mir ist zur Zeit kein schweizer DSGVO Datenschutzgenerator bekannt! Daher verweise ich zur Zeit auf deutsche Generatoren.

Hier einige hilfreiche Links:

DSGVO Datenschutzerklärung und Impressum via E-Recht 24.

Der DSGVO konforme Datenschutzgenerator steht zur Zeit nur den Mitgliedern zur Verfügung
www.e-recht24.de *

DSGVO Datenschutzgenerator von Dr. Schwenke

www.datenschutz-generator.de

DSGVO Datenschutzgenerator von Activemind

www.activemind.de/datenschutz/datenschutzhinweis-generator

Individuelle DSGVO Datenschutzerklärung von Lawlikes erstellen lassen

https://elopage.com/s/lawlikes/datenschutzerklaerung-fuer-die-webseite

Schweizer Impressum Generator

Hier wird auch ein Datenschutzgenerator angeboten. Dieser beinhaltet weniger Informationen als die DSGVO Generatoren. Daher empfehle ich diesen nur noch als Impressumsgenerator für CH-Unternehmer.

www.bag.ch/impressum-generator

3. Pop up mit „Cookie Hinweis“

Wichtig zu wissen. Die DSGVO regelt NICHT dem Umgang mit Cookies. Dies wird viel zu oft missverstanden. Eine neue Cookie Regelung wird voraussichtlich 2019 durch die E-Privacy-Verordnung geregelt.

Trotzdem wird derzeit empfohlen, mit einem solchen Pop up auf die Cookies und auf den Datenschutz zu verweisen.

Achtung dieses Pop up darf auch keinen Fall den Link zum Impressum verdecken oder Du solltest auch innerhalb dieses Pop up auf das Impressum verweisen. Dies gilt natürlich für die Desktop und mobile Version!

Ich empfehle für die Umsetzung folgendes WordPress Plugin:

https://de.wordpress.org/plugins/cookie-notice/

4. Social Media

Die meisten Social Media Plugins – wie z.B. das Facebook Page Plugin – übertragen Daten an die Social Media Plattform. Egal ob sich jemand dort angemeldet hat oder nicht.

  • Prüfe alle Social Media Plugins oder Widgets und ggf. entferne diese. Z.B. ist mir keine Lösung beim Facebook Page Plugin bekannt.
  • Auch die „Teilen-Buttons“ können Daten übertragen. Ich empfehle diese zu entfernen oder durch einfache Links zu ersetzen. Plugins wie Shariff verhindern das Übertragen der Daten und können auch verwendet werden.

5. Google Analytics / Analyse Tools

Je nach Analyse Tool wie Google Analytics, Piwik oder WordPress.com-Stats sind verschiedene Schritte zu empfehlen. Informiere Dich hier gut!

Für Google Analytics findest du eine Anleitung hier

6. Tracking, Retargeting, Remarketing usw.

Auch hier musst Du genau prüfen was Du darfst und was nicht mehr.

Informationen von Seiten Google findest Du hier:

https://privacy.google.com/intl/de_ALL/businesses/controls/#?modal_active=none

Laut meinen Informationen ist Google bei AdWords, DoubleClick for Publishers, AdExchange und AdSense verantwortlich für die Datenverarbeitung, denn Google nutzt hierfür eigene Nutzerdaten. Daher sollte dies alles keine Probleme bereiten. Aber Du bist auf jeden Fall verpflichtet Deine Websitenbesucher in der Datenschutzerklärung darüber zu informieren!

(Kleine Anmerkung: Sogar in der Google Partner Community ist man sich nicht einig wie Remarketing in Zukunft rechtlich weitergehen soll. Ich bleibe an diesem Thema dran)

Informationen von Seiten Facebook findest Du hier:

https://www.facebook.com/business/gdpr

Setzt Du Custom Audiences einsetzen,  solltest Du diese Nutzungsbedingungen lesen und akzeptieren.

https://www.facebook.com/ads/manage/customaudiences/tos.php#

Beim Einsatz von dem erweitertem Facebook Pixel empfehle ich Dir dieses Plugin:

https://elopage.com/s/lawlikes/wordpress-dsgvo-plugin

Facebook Pixel Empfehlung von e-Recht24
https://www.e-recht24.de/artikel/facebook/10585-facebook-pixel.html

7. Formulare und Kommentare

Dies ist ein ziemlich umstrittenes Thema. Einige Rechtsanwälte empfehlen hier überall eine Checkbox hinzuzufügen. Andere raten genau davor ab und empfehlen „nur“ einen Hinweistext in der Nähe des Absendebuttons. Also was ist nun richtig, wenn sich sogar Rechtsanwälte nicht einig sind?

Persönlich habe ich mich für die Checkboxen entschieden.

  • Füge bei jedem Formular eine Checkbox hinzu mit dem Hinweis, was mit den Daten passiert. Zudem verweise auf die Datenschutzerklärung.

Entscheidend bei den Formularen sind die Pflichtfelder und die verschlüsselte Übertragung. Frage nur die effektiv benötigten Informationen ab. Alles andere sollte weg oder auf jeden Fall nicht als Pflichtfeld definiert werden.

Kommentare

Auch hier empfehle ich eine Checkbox hinzuzufügen. Dies geht ziemlich einfach mit dem Plugin WP GDPR Compliance

Wenn Du willst kannst Du mit diesem Plugin auch noch die Checkboxen bei den Formularen hinzufügen.

IP-Adresse speichern – Ja oder Nein?

Bei jedem Kommentar wird auch die IP Adresse in der Datenbank gespeichert. Auch hier ist man sich uneinig. Die einten sagen dies sei wichtig z.B. für Strafverfolgungen bei rechtswidrigen Kommentaren. Andere sagen wiederum, das Speichern der IP bezüglich der Datensparsamkeit nicht mehr erlaubt ist.

Zur Zeit habe ich es so gelöst, dass ich mit einer Checkbox darauf hinweise, dass der Name, E-Mail und die IP Adresse gespeichert werden. Aber auch dieses Thema werde ich weiterhin verfolgen.

Wer die IP Adressen nicht mehr speichern möchte, findet hier eine gute Anleitung:

https://www.internetkurse-koeln.de/wordpress-kommentar-ip-adressen-nicht-speichern-warum-und-wie/

8. Newsletter und Freebies

Eines der heissesten Themen bei Bloggern und Onlinemarketern.

Eintragung nur für einen Newsletter

Informiere hier Deine Websitenbesucher welche Themen sie im Newsletter erhalten und ggf. auch wie oft Du diesen versendest. Auch hier ist ein Verweis auf die Datenschutzbestimmung empfehlenswert.

Double-Opt-in ist weiterhin Pflicht! Zudem sollte im Opt-in Mail keine Werbung von Dir enthalten sein. Also so neutral wie möglich halten.

Newsletter in Verbindung mit einem Freebie

Gängige Praxis auf fast allen Marketing Seiten. Man bietet ein Geschenk/Freebie an und jemand trägt sich dafür in den Newsletter ein. Hier ist das Stichwort bei der DSGVO das Koppelungsverbot.

Also im Prinzip darfst Du dies gar nicht mehr verbinden. Jetzt werden viele Empfehlungen und Ratschläge weitergegeben, aber hier wird es sich erst noch zeigen, was künfitg erlaubt ist und was nicht.

Ich rate hier eine Lösung zu finden und Augen und Ohren offen zu halten.

Mögliche Lösungswege sind:

  • Freebie als direkt Download anbieten und zusätzlich auf den Newsletter verweisen, dass Du dann weiterhin Informationen zu diesem Thema erhältst.
    Beispiel dieser Umsetzung bei Lawlikes inkl. sehr empfehlenswerte DSGVO Checkliste
    https://lawlikes.de/dsgvo-kompakt/
  • Freebie gratis mit Anmeldung des Newsletter anbieten und zusätzlich kostenpflichtig als Download.
  • Newsletter hervorheben und Freebie in den Hintergrund rücken lassen. Also Du abonnierst meinen Newsletter mit den Inhalten XYZ und bekommst mein Freebie.
  • Freebie als E-Mail-Kurs / E-Mail-Serie anbieten. Dies aber auch klar bei der Anmeldung bekanntgeben!

Persönlich halte ich die 1. Variante inkl. Beispiel von Lawlikes als dies Beste und Sicherste. Aber dies ist sicherlich nicht für jedes Business geeignet. Alle anderen Varianten sehe ich als Heikel an.

Vielleicht muss einfach ein Umdenken im ganzen Online Marketing stattfinden. Ich bin gespannt wie es hier weitergeht.

9. Eingebettete Inhalte

Hier spreche ich z.B. von Videos, Maps, Audios usw. Die meisten übertragen Daten.

Z.B. bei eingebetteten YouTube Videos werden Daten direkt an YouTube übertragen – bevor das Video überhaupt auf Deiner Website gestartet wurde.

Auch hier gibt es verschiedenen Lösungswege.

  • Einfache Links setzen. Ohne Einbettung. Also hier schau Dir mein Video an – Link auf das Video bei YouTube! Das gleiche Prinzip bei Google Maps usw.

Dies gilt für ALLE Einbettungen. Egal ob z.B. YouTube Videos oder Vimeo usw.

Für YouTube Videos gibt es neu die Möglichkeit die Video im erweiterten Datenschutzmodus einzubetten oder ein Plugin zu verwenden. Ich habe mich für das Plugin „Embed videos and respect privacy“ entschieden.

Weitere Infos über die Möglichkeiten und auch die Verwendung dieses Plugins findest Du auf dieser Seite
https://www.blogmojo.de/youtube-videos-datenschutzkonform-einbetten/

10. Alle Plugins prüfen

So jetzt wird es so richtig lustig. Theoretisch kann jedes installierte Plugin Daten an 3. übertragen. Dies weist Du aber gar nicht. Daher solltest Du JEDES Plugin überprüfen.

Hierzu schreibst Du einfach den Plugin Hersteller an oder prüfst mögliche Verbindungen nach Aussen. Dies geht z.B. wie folgt:

  • Browser-Plugin Ghostery
  • Chrome Developer Tools (Rechte Maustaste klicken, im Kontextmenü auf „Untersuchen“ gehen und den Reiter „Sources“ auswählen).

Zugeben dies ist wirklich schwierig. Zum Glück hat sich da jemand schon richtig viel Mühe gegeben und viele Plugins geprüft und Handlungsempfehlungen erstellt. Internet ist schon was cooles 🙂

https://www.blogmojo.de/wordpress-plugins-dsgvo/

11. Sonstiges

Folgende Dinge sind auch noch zu beachten.

  • Gravatare: Die kleinen Bilder bei den Kommentaren. Zur Zeit wird empfohlen diese zu deaktivieren. Dies machst Du in Deinem WordPress Backend unter Einstellungen – Diskussion – Hacken bei Avatare anzeigen entfernen.
  • Google Schriften (oder allgemein ausgelagerte Schriften). Diese übertragen auch Daten. Oftmals wird empfohlen diese lokal einzubinden. Ich empfehle hier zu warten und das Thema weiter zu verfolgen. Hab mal in einer Facebook Gruppe gelesen, dass Google hier an einer Lösung arbeitet.
    [Update 31.05.2018] Die ersten Abmahnungen zu diesem Thema wurden versendet. Ob dies gerechtfertigt ist, bleibt offen. Ich empfehle Google Fonts derzeit nicht zu verwenden oder lokal einzubinden.
    https://www.mittwald.de/blog/mittwald/howtos/dem-datenschutz-zuliebe-wie-ihr-google-fonts-lokal-in-eure-webseiten-einbindet
  • FontAwesome, Emojicons usw. Gleiche Baustelle wie bei Google Fonts.
    Emojicons können einfach mit dem Plugin Autoptimize unterbunden werden.

 

Vergiss bitte nicht diese Anpassungen auch auf Deinen Landingpages, Testwebsiten, Memberseiten usw. durchzuführen!!!!

Brauchst Du Hilfe bei der Umsetzung der DSGVO auf Deiner Website? Dann schau Dir meine DSGVO Angebote an

Dies waren so meine Empfehlungen für eine durchschnittliche Website. Je nach Website musst Du natürlich noch mehr überprüfen – vor allem auch wenn Du einen Onlineshop anbietest.

Sei achtsam mit Deiner Website und prüfe oder lass mal die Verbindungen nach „Aussen“ prüfen.

Aber bitte verfalle auch nicht in Panik bezüglich Deiner Website. Glaub mir wenn Du Dich mit diesem Thema beschäftigst, machst Du schon viel mehr als der Grossteil aller Websitenbetreiber.

Die nächsten Monate werden mehr Klarheit schaffen. Auch die Anbieter von Plugins und Diensten stehen ja in der Pflicht. Da diese oftmals nicht den ganzen EU Markt verlieren möchten, arbeiten viele auch an einer Lösung.

Daher bleib cool und setze einfach alles so gut wie möglich um und informiere Dich weiterhin!

Und denk daran… bleib natürlich, auch online!

Lieber Gruss

Karin

Newsletter

Mit der Anmeldung bist Du einverstanden, dass ich Dir Newsletter zu den Themen WordPress, AdWords und Online Marketing zusende. Du kannst Dich jederzeit von meinem Newsletter abmelden. Weitere Informationen findest Du in der Datenschutzerklärung.

Affiliate/Werbelinks

Die mit Sternchen (*) gekennzeichneten Links sind sogenannte Affiliate-Links. Wenn du auf so einen Affiliate-Link klickst und über diesen Link einkaufst, bekomme ich von dem betreffenden Anbieter eine Provision. Für dich verändert sich das Angebot und der Preis nicht. Du unterstützt so meine Arbeit bei meinen gratis Anleitungen und Blogartikeln