Bis zum 25. Mai 2018 kommen auf ALLE Betreiber von Internetseiten – aber auch auf Agenturen und Dienstleister – umfassende Änderungen und verschärfte Anforderungen zu.
In diesem 2. Teil unsere Serie beschäftigen wir uns mit den Auswirkungen und Anpassungsbedarf auf Ihrer Website als Folge der DSGVO.
Im ersten Teil unserer Serie hatten wir einführend die Datenschutz Grundverordnung allgemein erläutert und wichtige Basisinformationen gegeben. Also gerne nochmal nachschauen.
- Ergänzung 12.04.
- Ergänzung 20.04. – Detailergänzungen Sicherung Website
- Ergänzung 22.04. – Detailinfos ergänzt
- Ergänzung 23.04. – Hilfreiche Links zum Thema
- Ergänzung 06.05. – Anpassungen Thema Cookie, weitere Links
- Ergänzung 09.05 – Weitere Detailinfos und Links ergänzt
- Ergänzung 08.10.2019 – Anpassung an neue Gesetzlage / Urteile im Jahr 2019 und weitere Links
DSGVO – Auswirkungen auf Ihre Website (Teil 2)
Die Änderungen und notwendigen Anpassungen die sich durch die DSGVO ergeben, stellen für alle Websitebetreiber (und das meint wirklich alle – siehe Teil 1) eine große Aufgabe dar.
Das gilt natürlich auch für Bunte – Technologie & Kommunikation als Dienstleister und „Berater“ für unsere Kunden und so haben wir uns recht aufwändig informiert, um die wichtigsten Informationen für unsere Kunden zu sammeln. Erneut müssen wir aber daraufhinweisen: wir können und dürfen keine Rechtsberatung tätigen. Es gilt:
Alle folgenden Informationen haben wir mit größter Sorgfalt recherchiert. Dennoch können wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen übernehmen.
Diese sind insbesondere allgemeiner Art und stellen keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
Ergänzend sind wir – um uns selber und unsere Kunden richtig untersützen zu können – Agenturpartner bei einer der bekanntesten deutschen Anwaltskanzleien für Internetrecht –Kanzlei Siebert Goldberg LLP – geworden, auch besser bekannt mit Ihrem Webangebot eRecht24 .
Ein nicht unerhebliches Investment, aber die Menge an Informationen und Tools ist dies auf jeden Fall Wert. Unter anderem durch den DSGVOkonformen Premium Datenschutzerklärungs-Generator.
Als eRecht24 Agentur-Partner können wir unsere Kunden schon jetzt bei der Umsetzung einer korrekten Datenschutzerklärung nach DSGVO und beim Thema Impressum mit entsprechenden Vorlagen unterstützen.
Diese Vorlagen für Datenschutz und Impressum sind allgemeiner Art und stellen keine Rechtsberatung dar. Zur Klärung weiterer Details oder zur Lösung von konkreten Rechtsfällen konsultieren Sie daher bitte einen Rechtsanwalt.
Bestandteil unserer umfangreichen Leistungen im Bereich Webseitenerstellung ist selbstverständlich auch die Unterstützung bei der Umsetzung aller Aufgaben und Anpassungen auf Ihrer Website, die sich als Folge der Anforderungen DSGVO ergeben.
Datenschutz in Alltag – und meine Website?
Inwieweit ist meine Website von den Änderungen der DSGVO betroffen – die Frage sollten sich alle Websitebetreiber jetzt schnell stellen – und nach den entsprechenden Antworten bis zum 25.05. aktiv werden und die offenen Punkte auf der eigenen Website bereinigen.
Damit das für alle Anwender anschaubar ist, haben wir hier eine Sammlung von Punkten erstellt, die zu beachten sind. Diese kann keinen Anspruch auf Vollständigkeit erheben und nicht alle dargestellten Bereiche sind für jede Webseite von Belang. Aber vielleicht finden Sie ja die für Sie wichtigen Punkte hier:
Technische Basismaßnahmen:
Websystem entsprechend abgesichert?
+++Neu 12.04. / 20.04.+++ Zu Ihrer Verantwortung die datenverarbeitenden Systeme wie Ihre Website standardmäßig korrekt abzusichern, gehören auch einfache Basisanforderungen – die aber in der Praxis aber leider immer noch oft missachtet werden. Denn Sie sind für angemessene Technisch-Organisatorische-Maßnahmen zum Schutz der Systeme verantwortlich.
Also z.B. im Websystem nicht den Standard-Benutzernamen „Admin“ für den administrativen Benutzer zu nutzen, denn der wird von automatisierten „Angriffen“ immer zuerst „getestet“.
Und natürlich das altbekannte Problem, das Passwörter eine gewisse Komplexität benötigen – also z.B. nicht „passwort1234“. In gutes Passwort sollte mindesten 8 – besser 12-18 Zeichen nutzen und aus Sonderzeichen, Zahlen und Buchstaben in Groß- und Kleinschreibung bestehen. Ach ja – und natürlich sollte jedes genutzte Angebot sein eigenes Passwort haben.
Das ist natürlich komplex, aber z.B. Passwort-Manager helfen hier und erleichtern den Arbeitsalltag.
Hier ein Artikel zum Thema von Heise Online und hier eine Info zum Thema Passwortschutz mit dem OpenSource Tool Keepass.
Auch sollten wie Vorsichtsmaßnahmen wie z.B. Plugins die wiederholte Einwahlversuche durch Robots verhindern oder andere Sicherungsfunktionen oder -Erweiterungen in Ihrem Website integriert werden.
Websystem regelmäßig aktualisiert?
Ist Ihr Websystem auf einem aktuellen Stand (CMS, Themes/Templates, Zusatzmodule wie Plugins, Komponenten usw.)?
Diese Fragestellung hat seinen Ursprung im „Grundsatz der Integrität und Vertraulichkeit der Daten“ der DSGVO. Danach sind Sie verpflichtetet die datenführenden Systeme und das meint natürlich auch ihre Website entsprechend zu schützen – und das geht nur mit regelmäßigen und zeitnahem einspielen von Aktualisierungen für System und Erweiterungen.
Sie können dies auch durch Bunte – Technologie & Kommunikation im Rahmen eines Wartungs- und Security-Vertrag durchführen lassen.
Hier weitere Infos zu unseren Angeboten rund um die DSGVO.
Regelmäßige Datensicherung der Website?
Machen Sie regelmäßige Datensicherungen Ihrer Website – und legen Sie diese dann auch verschlüsselt ab?
Dieses Thema kommt – wie der vorherige Punkt – aus dem Umfeld „Integrität und Sicherheit der Daten“. Nur so können Sie Website und Daten schnell wieder herstellen – und auch das zählt zu den technischen und organisatorischen Maßnahmen zum Datenschutz.
Was Sie auf jeden Fall beachten sollten – die abgelegten Backups enthalten personenbezogene Daten, d.h. Sie sind in der Verpflichtung auch die Backup-Files zu schützen. Aus diesem Grund sollten Sie Backups nur verschlüsselt ablegen und so gegen externe Zugriffe absichern.
Auch die Thematik Backups – natürlich verschlüsselt – wird automatisch für unsere Kunden mit unserem Wartungs- und Security-Vertrag abgedeckt. Wir sichern die Daten verschlüsselt und lagern Sie – von Ihrem eigenen Server – zusätzlich auf ein externes Sicherungssystem aus.
Für diesen Prozess erhalten Sie dann – im Zuge des Wartungs- und Securityvertrags natürlich von uns einen Vertrag zur Auftragsverarbeitung.
Kontakt- oder Bestellformular mit https?
Ist Ihre Website nur noch über https (SSL verschlüsselt) aufrufbar, bzw. gilt dies aber zumindest für Ihre Kontakt- oder Bestellformulare, aber auch z.B. Kommentare in Blogs ?
Die DSGVO schreibt eine SSL Verschlüsselung – also den Aufruf mit https – zwar nicht eindeutig vor. Aber für eine sichere Datenübertragung (beispielsweise für Kontakt- oder Bestellformulare oder Kommentare) ist es dann doch zwingend notwendig um den Schutz der personenbezogenen Daten zu sichern.
Neben der DSGVO sprechen noch viele andere sehr gute Gründe für den Umstieg auf https, wie die positive Auswirkung im Suchmaschinenumfeld (SEO) und das höhere Online-Reputation und Vertrauen bei Ihren Besuchern.
Seit dem OpenSource Projekt Let’s Encrypt gibt es bei vielen Hostern auch kostenlose Zertifikate. Und wenn nicht sind die einfachen BasisSSL-Zertifikate auch nicht besonders teuer.
Die Umstellung bei z.B. WordPress erfolgt dann händisch (mit Search and Replace in der Datenbank und Anpassung der ,htaccess). Außerdem sollte man noch Google Analytics und – wenn eingesetzt – die Google Search Console mit anpassen.
Bei Bedarf können wir dieses Vorgehen gerne auch auf Ihrer Website umsetzen. Kontaktieren Sie uns einfach.
Hier weitere Infos zu unseren Angeboten rund um die DSGVO.
Auch dieses Anwendungsszenario muss in der Datenschutzerklärung dargestellt werden.
Was ist mit Cookies?
Im Hinblick auf Cookies und Tracking gibt es momentan noch keine klar definierte Regelung. Cookies werden auf jeden Fall durch die DSGVO betroffen werden, aber spezifisch wird diese Frage erst durch die schon im Rahmen der Gesetzgebung angekündigte ePrivacy-Verordnung (ePV) neu geregelt werden. Diese kommt allerdings wohl erst 2019.
Damit bleibt die etwas unsichere aktuelle Rechtslage und man sollte wohl erstmal mit den aktuell oft genutzen Cookie Hinweisen arbeiten.
NEU 07.05.2018### Durch einen Beschluss der Datenschutzkonferenz (DSK) der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26.04. ändert sich die Grundlage etwas. Die Datenschützer erläutern darin Ihre Auslegung der DSGVO und fordern als Konsequenz dass Tracking-Maßnahmen wie z.B. von Google Analytics, Matomo usw. . nur noch dann angewendet werden könnten, wenn der betroffene Seitenbesucher hierzu explizit eine Einwilligung erteilt – also explizit mit einem OptIn (Checkbox zum „ankreuzen“) dem Tracking zustimmen müssen und zur Einwilligung umfassend und wirksam informiert werden müssen.
Damit verändert sich die bisherige Sicht der Cookie-Nutzung komplett.
Der Beschluss der DSK ist aber „nur“ die rechtliche Auffassung der Exekutive und hat – bis zur juristischen Klärung keine faktische Bindungswirkung.
Aber viele Experten haben jetzt die Befürchtung, das Abmahner diese „Einladung“ nutzen werden und sich explizit auf die Rechtsauffassung der DSK stützen werden.
Und wahrscheinlich gilt bis dahin die Aussage: Wer auf Nummer sicher gehen will, sollte aktiv die Einwilligungen der Seitenbesucher zum Tracking einholen.
Weitere Infos dazu: https://www.it-recht-kanzlei.de/dsk-tracking-nur-bei-einwilligung-zulaessig-dsgvo.html
Wir haben von unserer Seite für unsere Kunden – zumindestens im WordPress Umfeld – eine Lösung mit dem Plugin Borlabs Cookie gefunden, das als Opt-In-Lösung für Cookies wie Google AdSense, Google Analytics, Facebook Pixel usw. geeignet ist. Bei Interesse einfach Kontakt mit uns aufnehmen.
Neu 08.10.2018### Durch ein aktuelles Urteil des Europäischen Gerichtshofes vom 1. 10.2019 wird es zu Änderungen beim Umgang für Cookies für die meisten deutschen Websites müssen.
Danach muss die Einwilligung in Cookies „ausdrücklich“ erfolgen – das sogenannte OptIn – wenn Tracking oder Marketing Cookies eingesetzt werden.
Die bisher oft benutzte Lösung von Cookie-Bannern die darüber aufklären, das Cookies gesetzt und nur ein OK anbieten, bzw. durch scrollen oder weiternutzen die Zustimmung voraussetzen, sind nicht mehr rechtens – denn es muss eine aktive, echte Einwilligung des Websitebesuchers erfolgen.
Noch Uneinigkeit herrscht darüber, ob das Urteil für alle Cookies gilt und nicht nur für Tracking- und Marketing-Cookies. Betroffen wären auch „hilfreiche Cookies“ wie zum Speichern von Präferenzen oder Warenkörben. Hier wird noch über die Auslegung gestritten.
Klar ist zumindest das die technisch notwendigen Cookies nicht explizit der Zustimmung bedürfen. Mehr Details im speziellen Blogbeitrag.
Unabhängig von der eigenen Entscheidung, der Einsatz von Cookies sollte aber in der Datenschutzerklärung dargestellt werden.
DSGVO konforme Datenschutzerklärung vorhanden?
Ist Ihre Datenschutzerklärung schon an die neuen Anforderung hinsichtlich Darstellung und Informationen angepasst?
Wie in Teil 1 beschrieben gibt es klare Vorgaben hinsichtlich Darstellung und Inhalten einer neuen DSGVO konformen Datenschutzerklärungen – und mit fast 100%iger Sicherheit werden diese durch die bisher erstellten Datenschutzerklärungen nicht abgedeckt.
Sie müssen hier also auf jeden Fall „nachrüsten“!
Die Datenschutzerklärung muss einfach und verständlich formuliert sein und muss leicht zugänglich und auf einer Extra-Seite platziert sein, also nicht mehr als Teil des Impressums und auf jeder Seite erreichbar.
Sie muss die wichtigsten Kontaktdaten und die eingesetzten Funktionen und Tools abdecken.
Detailierte Infos dazu finden Sie in Teil 1 unserer DSGVO Artikel.
Zu diesem Komplex können wir auch beratend und unterstützend tätig werden, unter anderem durch unsere Status als eRecht24 Partner-Agentur und den DSGVOkonformen Premium Datenschutzerklärungs-Generator.
Hier weitere Infos zu unseren Angeboten rund um die DSGVO.
Impressum überprüft?
In dem Zuge sollten Sie vielleicht auch nochmal prüfen ob die Angaben in Ihrem Impressum stimmen.
Wenn eine Abmahnwelle kommt – was viele aktuell erwarten – werden die einfach zu verifizierenden Punkte wie Datenschutzerklärung und Impressum mit Sicherheit zuerst geprüft werden.
Oft fehlt im Impressum bei Anbietern von Dienstleistungen die Betriebshaftpflichtversicherung, mit Name und Anschrift der Versicherung und Geltungsbereich der Police. Achtung: auch im Einzelhandel z.B. dem Möbelhandel führt ein Service zur Altmöbelabholung und -Entsorgung schon zum Angebot von Dienstleistungen. Prüfen Sie also ob Sie nicht in irgendeiner Form auch Dienstleistungen anbieten
Also unser Tip – das Impressum jetzt im Rahmen der Veränderungen an der Datenschutzerklärung am besten gleich mit überprüfen.
Zu diesem Komplex können wir auch beratend und unterstützend tätig werden, unter anderem durch unsere Status als eRecht24 Partner-Agentur und den DSGVOkonformen Premium Datenschutzerklärungs- und Impressum-Generator.
Hier weitere Infos zu unseren Angeboten rund um die DSGVO.
Korrekte Einwilligung zur Datenverarbeitung?
Werden die Einwilligungen zur Datenverarbeitung auf Ihrer Website korrekt eingeholt, z.B. in Kontaktformularen oder Buchungsformularen?
Einwilligungen müssen gesondert vom Kunden angefordert werden und Sie müssen umfassend bzw. zweckgebunden getätigt werden. Das heißt es muss bei der Einwilligung dargelegt werden welche Daten wozu genutzt werden und ob diese ggfs. an dritte weitergegeben werden.
Auch sonst hat sich bei den Einwilligungen einiges getan: die Einwilligung muss freiwillig sein, sie darf nicht mit Koppelgeschäften verbunden sein und sie muss dokumentiert werden. Das heißt z.B. wenn Sie eine Newslettereinwilligung erhalten, müssen Sie als Unternehmen die Prozess-Schritte dokumentieren können. Prüfen Sie ob z.B. Ihr Newsletterprogramm unter der obligatorischen Nutzung eines DoubleOptIn auch das wirklich abbilden kann! Aktuell sind die großen Dienstleister und Entwickler an diesem Thema verstärkt am arbeiten, bei vielen ist das aber noch nicht abgeschlossen.
Denken Sie auch daran – Die Einwilligung muss jederzeit zu Widerrufbar sein und in der Einwilligung muss immer auch den Hinweis auf die Möglichkeit des Widerrufs enthalten sein.
Der Widerruf muss dabei so einfach wie die Erteilung der Einwilligung sein.
Das bedeutet z.B. auch das schon beim kleinen „Kontaktformular“ eine Einwilligung abgefragt und dies klar sichtbar und einfach formuliert werden muss. An diesem Punkt sollte auch schon per Link auf die Datenschutzerklärung verwiesen werden.
Und natürlich muss auch diese Form der Datenerhebung auch in der Datenschutzerklärung dargestellt werden.
Weitere Detailinfos zum Thema Einwilligungen finden Sie in unserem ersten Artikel.
###08.05.2018### Inzwischen ist auch die Abfrage der Einwilligung in einem Kontaktformular aber schon in der Diskussion und u.a. der bekannte Datenschutz-Experte und Anwalt für IT-Rech Stephan Hansen-Oest verneint deutlich die Notwendigkeit: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/
Fakt ist aber das sich seine Interpretation auf die Thematik Kontaktformular bezieht und die aktive Verlinkung der Datenschutzerklärung davon unbenommen ist – diese ist auf jeden Fall ein „Muss“.
Website Tracking mit Google Analytics etc.?
Setzen Sie Website-Tracking-Tools, z.B. Google Analytics, Piwik (jetzt Matomo) oder ähnliches ein?
Für diese Tools gibt es fast durchgängig schon eine datenschutzkonforme Vorgehensweise zur Nutzung.
Für Google Analytics – als verbreitetstes System – ist diese schon 2010 zwischen Google und dem hamburgischen Datenschutzbeauftragten definiert worden. Danach muss:
- Ein Vertrag zur Auftragsverarbeitung mit Google abgeschlossen werden – infolge der DSGVO kann dieser auch digital abgeschlossen werden. Es müssen nicht mehr 30 Seiten nach Irland geschickt werden ;-)
- die IP Adressen bei der Datenerhebung anonymisiert werden.
- Ein Widersspruchsrecht der User aufgebaut werden (OptOut Link in Datenschutzerklärung)
- Die Datenschutzerklärung angepasst werden.
Hier noch Basis-Infos zu den Absprachen des Hamburgischen Datenschutzbeauftragen zum rechtlich einwandfreien Betrieb von Google Analytics in Deutschland.Die Vorgaben werden von allen anderen Länder- Datenschutzbeauftragten anerkannt, sind also Deutschlandweit gültig.
Basis-Infos : https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/
Und wie oben beschrieben muss dieses Anwendungsszenario in der Datenschutzerklärung dargestellt werden.
Begrenzung der Speicherdauer in Google Analytics
*** Neu 12.04.*** Seit dem 12.04. kann man im Google Analytics Konto auch die Speicherdauer der Datenerhebung auf 14, 26, 38,50 Monate oder unbegrenzt einstellen.
Wobei jetzt noch zu klären wäre, ob dies infolge des Grundsatzes der Datensparsamkeit zwingend notwendig ist oder ob durch die oben besprochenen Anonymisierungsmaßnahmen den Anforderungen der DSGVO genüge getan ist.
Bisher haben wir auf diese Frage noch keine klare Antwort und werden die entsprechenden Fachkanäle beobachten. Hier alle Infos zur „Datenlöschung / Data rtention“: https://support.google.com/analytics/answer/7667196
Sondersituation Mobile Ansichten
In den Browsern mobiler Devices wie Smartphones oder Tablets funktionieren Add-Ons zum
Unterdrücken des Google-Analytics-Nutzertrackings nicht immer. Aber auch diesen Nutzern müssen Sie auf Ihrer Website die Möglichkeit geben, die Erfassung ihres Verhaltens durch Google Analytics zu deaktivieren.
Dafür ist in einer optimierten und DSGVO konformen Datenschutzerklärung am Ende des Abschnitts „Datenschutzerklärung für die Nutzung von Google Analytics – Widerspruch gegen Datenerfassung“ ein zusätzlicher Javascript-Link integriert. Beim Klick auf diesen Link wird beim Nutzer ein Cookie erzeugt, welcher das Nutzertracking in dem Browser des Nutzers für das mit Ihrer Website verknüpfte Google-Analytics-Account deaktiviert.
Aber damit dieser Link funktioniert, müssen Sie einen entsprechenden HTML-Quellcode mit Javascript vor Ihrem Google Analytics Tracking Code in Ihrer Website platzieren.
Online-Werbung – z.B. Google Adwords ?
Bei Online-Werbesystemen wie Google AdWords oder Google AdSense werden IP-Adressen und Aktivitäten erfasst und ggfs. Cookies gesetzt. D.h. es muss die Thematik der Information und der Einwilligung bedacht werden – wobei wie gesagt die Fragestellung der Cookies ja erst noch final durch eine noch kommende Cookie Richtlinie geklärt werden muss.
Es dürften aber vor allem Funktionen wie Re-Marketing aus Sicht der DSGVO kritisch sein und sollten zumindestens explizit in der Datenschutzerklärung dargestellt werden.
Social Media Plugins zum teilen?
Schon aktuell wird dringend davon abgeraten, die offiziellen Plugins/Buttons der sozialen Netzwerke zum Beispiel zum Teilen auf der eigenen Website zu nutzen. Diese übermitteln sogar schon beim Betreten der Website Daten an den jeweiligen Anbieter, egal ob man dort Mitglied ist oder nicht.
Die DSGVO ist hier noch strenger, so dass sich die Brisanz dieser Fragestellung ändert.
Wir empfehlen zum Beispiel den Einsatz einer datenschutzrechtlich korrekten Variante wie Sharif (entwickelt von der Computerzeitschrift ct) oder dem eRecht24 Safe Sharing Tool.
Diese Systeme stellen eine Verbindung zu einem der Social Media Netzwerke erst mit dem aktiven Klick des Anwenders auf „Link teilen“ her und sind somit datenschutzrechtlich unproblematisch.
Diese System gibt es für die verschiedensten Online-Redaktionssysteme (CMS), so unter anderem für WordPress, Typo3, Joomla, Contao u.v.m..
Gerne könne wir auch prüfen, ob es für Ihre Website und das eingesetzte CMS eine Variante dieser Tools gibt und können nach Prüfung auch die Einbindung für Sie umsetzen.
Hier weitere Infos zu unseren Angeboten rund um die DSGVO.
Und natürlich muss dieses Anwendungsszenario in der Datenschutzerklärung dargestellt werden.
Ein wichtiger Hinweis noch: reine Links auf die eigene Facebook-Fanpage, Twitterseite oder Google+ Business Page sind natürlich nicht davon betroffen.
Erlauben Sie Blog Kommentare?
Wenn in einem Blog oder Blogbereich Kommentare hinterlassen werden können, werden in der Regel – meist aus Spamschutzgründen – die E-Mail-Adresse gefordert und IP Adressen der Nutzer gespeichert. Damit fallen aber personenbezogene Daten an.
Als Folge müsste die Zustimmung und ein Hinweis zur Datenspeicherung (idealerweise mit Link auf die Datenschutz-Policy) im Kommentarbereich angebracht werden.
Für WordPress gibt es inzwischen Plugins die diese Funktion „nachrüsten“, aber auch am CMS selber könnten bis zum 25.05. noch die entsprechenden Änderungen vorgenommen werden.
Die Speicherung von IP Adressen kann man in WordPress auch mit einer kleinen Anpassung in einer Systemdatei unterdrücken.
Spannend ist aber gerade bei diesem Punkt die Fragestellung ob Websitebetreiber nicht sogar ein, nach DSGVO mögliches „berechtigtes Interesse“ an der Datenspeicherung haben. So z.B. damit man bei Beleidigungen oder ähnlichem die Möglichkeit hat, die Person zu identifizieren, die den Kommentar hinterlassen hat.
Auf jeden Fall muss diesen Anwendungsszenario in der Datenschutzerklärung dargestellt werden.
Versenden Sie einen Newsletter?
Wer einen Newsletter anbietet muss mehrer Themenkomplexe prüfen.
Zum einen muss das Newsletterversender die Einwilligung des Empfängers per double opt in auch nachweisen können. Dies ist nun aber als gesetzliche Vorgabe direkt in Artikel 7 der EU- DSGVO geregelt. D.h. der Anbieter Ihres Newslettertools muss diese Fragestellung abbilden können.
Wenn Sie für den Versand einen Drittanbieter nutzen, müssen Sie mit diesem eine Vertrag zur Auftragsverarbeitung abschliessen. Wer ein Anbieter außerhalb Europas, z.B. in den Vereinigten Staaten, wie z.B. Mailchimp oder Aweber nutzt, muss prüfen ob die Anbieter sich dann dem Privacy Shield Abkommen unterworfen haben, da persönliche Daten ausserhalb der EU übertragen werden.
Wichtig ist auch an das Koppelungsverbot zu denken. Die bisher oft genutzen Modelle wie „E-Book umsonst, wenn Sie sich in unseren Newsletter eintragen“, sind nicht nicht mehr erlaubt.
Auch diese Anwendungsszenario muss in der Datenschutzerklärung dargestellt werden.
Nutzen Sie Google Fonts?
Auf vielen Websites werden Google Fonts eingebunden und von Google Servern geladen – wobei es auch ähnliche Systeme von anderen Anbietern mit weniger Marktrelevanz gibt.
Es ist davon auszugehen, das dabei auch zumindestens IP-Adressen gelesen (und wohl auch gespeichert) werden.
Ob dies im Detail so ist und diese Nutzung von Google Fonts nach der DSGVO erlaubt ist, ist noch nicht abschließend geklärt. Auch die auf IT-Recht spezialisierten Fachanwälte haben darauf aktuell noch keine Antwort.
Falls es rechtskonform sein sollte, müsste wahrscheinlich aber ein Vertrag zur Auftragsverarbeitung mit Google abgeschlossen werden. Das dürfte dann aber – wie inzwischen auch bei Google Analytics – mit einem digitalen Abschluss funktionieren.
Aber dann sollte der Einsatz von Google Fonts in der Datenschutzerklärung dargestellt werden.
Google Fonts deaktivieren und lokal nutzen über Programmierung
Sollte der Einsatz von Google Fonts nicht rechtskonform sein oder Sie anhand der unsicheren Lage einfach lieber auf Nummer sicher gehen wollen, kann man die Google Fonts auch runterladen und lokal auf dem eigenen Webserver einbinden. Daneben muss dann das CSS der eigenen Seite angepasst werden und noch einige zu programmierende Anpassungen am CMS vorgenommen werden, damit nur noch die lokalen Fonts gezogen werden.
Wichtig ist auch, das die lokale Nutzung von Google Fonts insgesamt Performancevorteile für die Website bedeuten.
Bei Bedarf können wir dieses Vorgehen gerne auch auf Ihrer Website umsetzen. Kontaktieren Sie uns einfach.
Google Fonts deaktivieren und lokal nutzen im Divi Theme mit Plugin
+++Neu 12.04+++ Für Kunden deren Website mit dem oft genutzen Divi Theme-Framework erstellt sind, gibt es jetzt eine Lösung um die Google Fonts nur noch lokal auf dem Rechner vorzuhalten.
Das Plugin DP Divi DSGVO Helper deaktiviert die Online-GoogleFonts, lädt die Schriften lokal auf Ihr Systemund stellt die Nutzung nur noch der lokalen Variante für das Frontend sicher, wobei aber im Backend die 800 Google Schriften weiterhin auswählbar bleiben und kann dies auch für die oft genutzten FontAweSome Icons tun.
Neben der Sicherstellung das Google Fonts nur noch lokal genutzt werden, haben Sie bei dieser Lösung den Vorteil das Sie diesen Prozess – ohne wie bei der oben beschriebenen Lösung mit Arbeiten in Quellcode- auf Wunsch auch bei nachträglicher Änderung der Schriften vollkommen selbstständig umzusetzen können.
Hier zur Website des Plugins: https://wpboosts.de/lp/dp-divi-dsgvo-helper-lp/
Hier auch ein OnlineVideo zur Nutzung ==>
Wir haben eine AgenturLizenz für Kunden erworben und können diese auf Ihrer Website gerne einrichten. Das Paket umfasst dann die Lizenzgebühr für eine Lifetimelizenz und Installation und Einrichtung mit den aktuell standardmäßig genutzten Schriften für 60,- € .
Bei Bedarf können wir dieses Vorgehen gerne auch auf Ihrer Website umsetzen. Kontaktieren Sie uns einfach.
Hier weitere Infos zu unseren Angeboten rund um die DSGVO.
Nutzen Sie Google ReCaptcha?
Hier gibt es noch keine klare und für uns nachvollziehbare Aussage ob die Nutzung dieser hilfreichen Spamschutztools nach der DSGVO noch möglich ist. Wir bleiben am Ball.
Wenn man ReCaptcha weiter auf der Website nutzen will, sollte auf jeden Fall der Einsatz in der Datenschutzerklärung dargestellt werden
Auftragsverarbeitung – Vertrag mit dem Hoster?
Hosten Sie Ihre Website selber (im Keller) – oder sind Sie bei einem Hostinganbieter? Wenn ja haben Sie von diesem schon einen Vertrag zur Auftragsverarbeitung?
Wir gehen mal nicht davon aus, das Sie Ihren Webserver aus Ihrem Keller oder Lagerraum selber betreiben. Das heißt dann aber das Ihr Hostinganbieter – zumindest bei Shared Hosting oder auch Managed Servern – Zugriff auf personenbezogene Daten hat, z.B. die Daten Ihrer Kunden oder Ihre Einwahldaten in die Systeme mit Name und Mailadresse.
Damit sind Sie in der Verpflichtung mit diesem Anbieter einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abzuschließen. Erkundigen Sie sich also bei Ihrem Anbietern. Einige große Hoster haben diesen Prozess relativ einfach gemacht – bei vielen anderen muss dafür immer noch eine Anfrage beim Support gestartet werden.
Auch diese Anwendungsszenario muss in der Datenschutzerklärung dargestellt werden.
Kunden von Bunte – Technologie & Kommunikation die eines unser Hostingpakete nutzen, werden rechtzeitig vor dem 25.05. einen entsprechenden Vertrag erhalten.
Wir sind aktuell bei den letzten Details des Verzeichnisses zur Verarbeitungstätigkeit und warten noch auf einige AV-Verträge von Dienstleistern die für uns tätig sind und in den oben genannten Angeboten als Subdienstleister tätig sind (u.a. die Rechenzentren).
Recht auf Löschung und Berichtigung
Wenn ein Kunde seine Einwilligung widerruft und auf sein Recht auf Löschung nutzt, müssen Sie in der Lage sein die entsprechenden Daten unverzüglich zu löschen.
Aber auch wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt. Es können also nicht mehr alle Daten „unbegrenzt“ bei Ihnen genutzt werden. Nach Wegfall der Zweckbindung müssen Sie grundsätzlich gelöscht werden
Mit der Datenschutz Grundverordnung ist dieser Punkt jetzt erstmalig eigenständig geregelt mit einem „Recht auf Vergessenwerden“ in Artikel 17 der DSGVO.
Mögliche Ausnahmen wären z.B. das aufgrund von gesetzlichen Verpflichtungen eine Datenverarbeitung erforderlich ist (Vertragserfüllung, Steuern & Buchhaltung).
Und diese Aussagen gelten auch für das Recht auf Berichtigung der Daten – Berichtigung.
Auch die Möglichkeit zur Löschung und Berichtigung sollten Sie in der Datenschutzerklärung hinweisen.
Unsere Angebote zur Überprüfung Ihrer Website hinsichtlich der neuesten datenschutzrechlichen Anforderungen für Sie
Die beiden Blogbeiträge zum Thema Datenschutz Grundverordnung DSGVO sind vor allem als Informationsquelle und Anregung gedacht.
Aber natürlich kann Bunte – Technologie & Kommunikation ihnen bei diesem Themenkomplex auch beratend und unterstützend zur Seite stehen.
Diese Information und die unten stehenden erwähnten Vorlagen für Datenschutz und Impressum sind allgemeiner Art und stellen keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.
Wir hoffen das aufgrund der dargestellten Informationen und der Komplexität der Thematik für Sie nachvollziehbar ist, das es nicht möglich ist mit einfachen Pauschalangeboten zu arbeiten.
Dafür unterscheiden sich die verschiedenen Websites hinsichtlich Inhalte, eingesetzte Funktionen und Tools einfach zu deutlich.
Hier unsere Angebote:
1. Überprüfung der Datenschutzerklärung und Impressum bei unseren Kunden
Wir prüfen Ihre aktuellen Datenschutzerklärungen und das Impressum und erarbeiten für unsere Kunden im Bereich Websiteerstellungen mit dem eRecht24 Premium-Agentur Tools Vorlagen für eine individuelle und DSGVO-konforme Datenschutzerklärung und Impressum.
Diese Vorlagen für Datenschutz und Impressum sind allgemeiner Art und stellen keine Rechtsberatung dar. Zur Klärung weiterer Details oder zur Lösung von konkreten Rechtsfällen konsultieren Sie daher bitte einen Rechtsanwalt.
- Ungefähre Kosten:
Der Aufwand für dieses Angebot liegt erfahrungsgemäß zwischen 45 und max. 100 Minuten. Für die gesonderte Überprüfung des Impressums fallen nochmals ca. 15 Minuten an.
Unser Stundensatz beträgt 90,- € exkl. MwSt.. - Vorgehensweise:
Wir würden vorab bei Neuerstellung einer Website oder bei Überprüfung einer von uns in der Vergangenheit erstellten Website per Sichtung unsere 68 Fragen umfassende Liste zur genauen Definition der eingesetzten Funktionen und Tools vorausfüllen. Danach würden wir Ihnen die Fragenliste zur finalen Befüllung zukommen lassen und mit dem Ergebnis dann einen Vorschlag für eine individuelle Datenschutzerklärung erstellen und Ihnen als Word-Dokument und HTML-Quellcode zur direkten Einbindung zukommen lassen. - Einbindung:
Auf Wunsch können wir – bei uns bekannten oder einfach nachzuvollziehenden Redaktionsystemen auch nach Ihrer Überprüfung und Freigabe die neue Datenschutzerklärung einbinden und z.B. in der Navigation platzieren.
Auf jeden Fall umfasst dieses Angebot auch nochmals erweiterte Informationsangebote von eRecht24, wie den DSGVO Leitfaden und Praxis-Guide Premium, die wir Ihnen als PDF zur Verfügung stellen.
2. DSGVO Website-Check mit Empfehlungen
Wir überprüfen Ihre Website auf die im Beitrag oben dargestellten „kritischen“ Punkte im Kontext der DSGVO – neben der Fragestellung der Datenschutzerklärung – und würden in einem kurzen Bericht auf mögliche, problematische Punkte hinweisen und Empfehlungen für die Anpassung vorschlagen.
Da die Sichtung von Umfang, Gestaltung und den eingesetzten Tools Ihrer Website abhängig sind, kann dieser Websitecheck nur nach zeitlichem Aufwand berechnet werden.
Unser Stundensatz beträgt 90,- € exkl. MwSt..
Aus rechtlicher Hinweis aber bei diesem Angebot der der Hinweis:
Die Ergebnisse des Website-Check werden wir mit größter Sorgfalt recherchieren. Dennoch können wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen übernehmen. Diese sind insbesondere allgemeiner Art und stellen keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
3. Fehlerbehebung / Optimierung nach dem Website-Check
Auf Basis der Empfehlungen des Websites-Checks können wir – bei uns bekannten oder einfach nachzuvollziehenden Redaktionsystemeno oder statischen HTML Seiten, nach Absprache mit Ihnen die offenen Punkte auch direkt für Sie bearbeiten und korrigieren.
Da auch dieser Punkt vollkommen individuell ist, kann auch hier nur nach zeitlichem Aufwand berechnet werden.
Unser Stundensatz beträgt 90,- € exkl. MwSt..
4. Sparangebot für Mehrfachbuchung
- Wenn Sie zwei der oben dargestellten Pakete parallel buchen, sinkt der Stundensatz um auf 87,50€ exkl. MwSt..
- Wenn Sie alle drei der oben dargestellten Pakete parallel buchen, sinkt der Stundensatz auf 85,-€ exkl. MwSt..
5. Nutzung des eRecht24 DSGVO Premium Kundenpaketes
Wer sich eingehender informieren will, kann unser eRecht24 DSGVO Premium Kundenpaket buchen.
Sie erhalten damit Zugang zum Premiumbereich für Agenturkunden von eRecht24 mit:
- Video-Trainings und Webinaraufzeichnungen
- eBooks, Checklisten, Muster / Vorlagen und Verträge
- FAQ Bereich mit mehr als 50 der wichtigsten Fragen zur DSGVO
Diese Premium-Inhalte dürfen nicht öffentlich zugänglich gemacht oder an Dritte weitergegeben werden.
Die Einrichtung und Übermittlung des DSGVO Premium Kundenpaketes kostet einmalig 25,- € exkl. MwSt..
Sie möchten Kontakt mit uns zu unseren Fragen zur DSGVO aufnehmen:
Dann kontaktieren Sie uns unter
Kontaktieren Sie uns doch einfach direkt:
Tel. 0521 44812175 | Fax 0521 44812175-9 | E-Mail: info@bunte-tk.de
Oder nutzen Sie unser Anmeldeformular:
Hilfreiche Links mit Infos und Mustervorlagen
Hier jetzt noch eine Linksammlung mit hilfreichen Zusatzinformation oder Vorlagen.
- Handreichungen zur DSGVO für kleine Unternehmen und Vereine vom Bayerisches Landesamt für Datenschutzaufsicht – sehr hilfreiche Darstellung anhand von Branchen usw. mit den wichtigen zu beachtenden Punkten und Mustervorlagen.
https://www.lda.bayern.de/de/kleine-unternehmen.html - Kostenlose Dokumente, Muster & Vorlagen für Datenschutz der ActiveMind AG – einem Dienstleister für Datenschutzfragestellungen
https://www.activemind.de/datenschutz/dokumente/ - Kostenfreie Basisinformationen zum Thema Datenschutz Grundverordnung von eRecht24
https://www.e-recht24.de/datenschutzgrundverordnung.html - Information zur Datenschutz Grundverordnung DSGVO von Datenschutz.org
https://www.datenschutz.org/dsgvo/ - Artikel auf Heise Online zum Thema DSGVO auch mit weiterführenden Links und Informationen
https://www.heise.de/ct/ausgabe/2018-5-Die-DSGVO-bringt-den-Buergern-neue-Rechte-3965940.html
https://www.heise.de/ix/heft/Informationsverpflichtet-3920059.html - Schnell-Checkliste des Bundesverband mittelständische Wirtschaft zum Thema DSGVO:
https://www.bvmw.de/fileadmin/suborganization/Hamburg/PDF/checkliste-12-fragen-zum-datenschutz.pdf - IT Recht Kanzlei zum Thema Aussagen der Datenschutzkonferenz (DSK) – Tracking nur noch bei Einwilligung zulässig:
https://www.it-recht-kanzlei.de/dsk-tracking-nur-bei-einwilligung-zulaessig-dsgvo.html - Informationen für Vereine vom VIBSS des Landessportbund NRW:
http://www.vibss.de/vereinsmanagement/recht/datenschutz/ - DSGVO-Fahrplan der Kanzlei LawLikes mit Schwerpunkt auf der Thematik Newsletteranmeldung
https://lawlikes.de/dsgvo-kompakt/ - Weitere Info zum Thema DSGVO konformer Newsletter der IT-Recht Kanzlei.
- Infos zum Thema DSGVO und WordPress
- von den WP-Ninjas- Sehr hilfreich die Einschätzung von Plugins:
https://wp-ninjas.de/wordpress-dsgvo - Eine weitere Einschätzung von Plugins und weitere hilfreiche Artikel von BlogMojo
- Checkliste zum Thema DSGVO von BlogMojo https://www.blogmojo.de/dsgvo-checkliste/
- von den WP-Ninjas- Sehr hilfreich die Einschätzung von Plugins:
- Ebenfalls zum Thema DSGVO und WordPress – ein sehr informativer Guide der WordPress Spezialisten von Raidboxes:
https://raidboxes.de/wordpress-dsgvo-guide/ - DSGVO und Joomla – hier zwei Infoseiten zum Thema:
https://www.eresource.de/leistungen/datenschutzgrundverordnung-unter-joomla
https://www.joomla-upgrade-service.de/service/datenschutzgrundverordnung-dsgvo/ - Infos zum Thema PasswortSchutz und Passwortmanager als Technische-Organisatorische Maßnahme:
Heise Online | Passwortschutz mit dem OpenSource Tool Keepass.
Ach ja – und bevor Sie fragen – auch die Bunte – Technologie & Kommunikation Website ist noch nicht zu 100% DSGVOkonform angepasst. Natürlich nicht aus Unkenntnis oder weil unbekannt. Aber aktuell gehen die Kundenanfragen natürlich vor – aber wir werden passend fertig ;-)
