08 Mai DSGVO – Vorsätze für den 25. Mai 2018
Die Angst vor der neuen Verordnung
Noch immer ist sie nicht aus den Köpfen zu kriegen: Die Angst vor dem Unbekannten. Wobei die neue Datenschutzgrundverordnung alles andere als unbekannt ist. Schon in <diesem> Artikel aus dem Februar dieses Jahres gibt es ausführliche Informationen zum Thema DSGVO und wie sie sich auf die bisherigen Datenschutzbemühungen auswirkt. Gibt es also Grund zur Sorge? Nein! Bei der Befolgung dieser neun Schritte:
– Impressum und Datenschutzerklärung aktualisieren
Das Impressum und die Datenschutzerklärung sollten bereits seit langem altbekannte Begleiter jeder Webseite sein. Jede Seite, also auch diese, die nur Zuwendungen in Form von Produktproben für Tests bekommen, MÜSSEN ein Impressum haben. Gesetzlich vorgesehen ist, dass sich auf diesen Seiten alle nötigen Informationen zum Betreiber und Aufklärung hinsichtlich rechtlich bedenklicher Cookies oder Verwendung von z. B. Social-Media-Plugins. Viele private Nutzer scheuen sich allerdings Adresse und Telefonnummer anzugeben und kommen in der Folge auf die Idee, das Impressum zu „verstecken“. Auch dies kann geahndet werden, da das Gesetz davon spricht, dass die Informationen aus dem Impressum „leicht erkennbar, unmittelbar erreichbar und ständig verfügbar“ sein müssen.
Wer also auf der sicheren Seite sein möchte, sollte dem Impressum samt Datenschutzerklärung einen Platz an der Sonne, in einem dynamischen Hauptmenü gönnen. So ist gewährleistet, dass der Nutzer jederzeit auf die Angaben zum Datenschutz zugreifen kann. Nach eintreten des DSGVO sollten Sie besonders folgende Fragestellungen im Auge haben:
1. Welchem Zweck dient die Verarbeitung der Daten?
2. Wer ist für die Inhalte der Seite verantwortlich?
3. Wer ist Datenschutzbeauftragter?
5. Aus welchem Recht werden Daten erhoben?
5. Wer empfängt und verarbeitet die Daten?
6. Welche Speicherfrist gilt für die erhobenen Daten?
7. Werden Daten an Dritte weitergegeben?
8. Welche Rechte hat der Nutzer (Auskunft, Löschung etc.)?
9. Bei welcher Behörde können mögliche Datenschutzverstöße angezeigt werden?
Tipp: Unser Partner in eRecht24 bietet einen zu großen Teilen kostenfreien Impressums- und Disclaimer-Generator!
– SSL Zertifikat nutzen
Ein kleiner Buchstabe, große Wirkung statt „http“ wollen wir ein „https“ vor unserer Domain sehen. Die geschieht mittels eines SSL-Zertifikates. Besteht eine gesicherte Verbindung, werden sensible Daten verschlüsselt übertragen, dies ist nicht nur im Rahmen des DSGVO sinnvoll. Auch Google freut sich über sichere Webseiten und belohnt diesen Zusatzaufwand mit einem besseren Rankingplatz.
Tipp: Auch wenn es durchaus möglich ist, sich selbst mit einem SSL-Zertifikat zu versorgen, sind bei Einbindung und Gewährleistung der Funktionalität starke Partner zu empfehlen. Wir beraten Sie gerne!
– Das Verarbeitungsverzeichnis – Vertrauen ist gut, Kontrolle ist besser!
Unternehmen, dessen Mitarbeiterstärke die 250er-Marke überschreitet, müssen ein Verzeichnis sämtlicher Tätigkeiten in Bezug auf Nutzerdaten führen. Dieses sollte im Großen und Ganzen einige der Daten enthalten, die auch schon in der Datenschutzerklärung vakant geworden sind. Hierzu gehören z. B. Namen und Kontaktdaten des Verantwortlichen und eines Datenschutzbeauftragten und der Zweck der Datenverarbeitung. Neu ist Kategorisieren der betroffenen Personen, also der Personen dessen Daten erhoben werden, oder derer, die Daten empfangen. Hierzu gehören z. B. Kunden, Lieferanten, das Finanzamt, der Steuerberater und viele mehr. Für das Verarbeitungsverzeichnis ist die schriftliche Form vorgesehen, dies kann aber auch auf elektronischem Wege geschehen.
– Vertrag zur Auftragsdatenverarbeitung
Wie so oft, müssen wir uns den Suchmaschinenriesen Google zum Verbündeten machen. Neben dem sowieso obligatorischen Hinweis auf den Einsatz von Google Analytics und einer Opt-Out-Option, also einer Möglichkeit, Google Analytics per Mausklick zu deaktivieren, muss ein Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen werden. Ein entsprechender Vordruck kann im Internet heruntergeladen, ausgefüllt und an Google gesandt werden.
Tipp: Einfacher ist es natürlich, wenn Sie direkt über den Google Analytics Account unter den Kontoeinstellungen auf „Zusatz anzeigen“ klicken und den zusätzlichen Vereinbarungen zustimmen und diesen Vorgang dann abspeichern.
– Opt-Out – Wie geht das?
Die vorgenannte Opt-Out-Option ist unerlässlich, um der Datenschutzgrundverordnung Genüge zu tun. Umsetzen lässt sich diese Option mittels eines Cookies, welcher z. B. in der Datenschutzerklärung eingebaut werden kann. Hier kann der Nutzer dann sein Einverständnis zur Datenerhebung entziehen und Google Analytics deaktivieren. Wer kein Programmier-Genie ist, kann dies in Wordpress beispielsweise mit einem Plugin bewerkstelligen.
– IPs anonymisieren
Schon vor der DSGVO ein heißes Pflaster, das Speichern der kompletten IP-Adresse eines Nutzers. Doch spätestens mit Inkrafttreten der Datenschutzgrundverordnung sollte besonders darauf geachtet werden, dass die persönlichen Daten des potenziellen Kunden nicht aufgrund der IP-Adresse zu ermitteln sind. Wieder können beispielsweise Plugins zurate gezogen werden. Sollten Sie sich der Vorgehensweise allerdings nicht komplett sicher sein, muss ein Profi ans Werk.
– Sicherheitslücke Kommentarfunktion
Wer sich bei der Kommentarfunktion in Sicherheit wiegt, könnte eine böse Überraschung erleben. Denn auch wenn die Webseitenbesucher hier freiwillig „ihren Senf dazugeben“, entbindet dies den Webseitenbetreiber nicht von seiner Pflicht, den Datenschutz möglichst transparent zu gestalten. Deswegen sollte auch hier ein Hinweis zur Datenerhebung und Speicherung (optimalerweise mit Link zur Datenschutzerklärung) erfolgen.
– 100-prozentige Sicherheit, durch Entfernung aller personenbezogenen Daten!
100-prozentige und lückenlose Sicherheit ist ein frommer und scheinbar schwer zu erreichender Wunsch. Wer auch bei allen vorgenannten Maßnahmen noch Zweifel hegt, kann mit der Entfernung sämtlicher Cookies, Kommentarfelder und Formulare natürlich das maximale an Sicherheit (gemäß der Datenschutzgrundverordnung) für seine Webseite herausholen. Leider wird dann der eigentliche Nutzen einer Webseite fast komplett eingebüßt!