DSGVO oder was?
Unsere Top-Tipps für WordPress-Webseiten

10. August 2018

DSGVO-Tipps für Webseiten

Bereits seit über zwei Monaten ist die neue EU-DGSVO (EU Datenschutzgrundverordnung) wirksam und inzwischen hat wohl jeder schon einmal davon gehört oder damit zu tun gehabt.

Auch wenn die juristische Abmahnwelle bisher nicht so stark angerollt ist wie befürchtet, hat die EU-DSGVO – für uns vor allem in Onlineprojekten – weiterhin hohe Relevanz und beeinflusst natürlich auch unsere Arbeit bzw. die Abwicklung von Webprojekten. Doch was heißt das konkret für Websitebetreiber? Wie lässt sich die EU-DSGVO richtig implementieren?

Auch wenn wir keinen Ersatz für eine Rechtsberatung leisten können und wollen, haben wir durch unsere Projekte der letzten Wochen und den Austausch mit verschiedenen Rechtsanwälten / Datenschutzbeauftragten die für uns acht wichtigsten Tipps für Webprojekte aufgelistet – gewissermaßen unsere Praxiserfahrungen.

Tipp 1: Check von Impressum & Datenschutzerklärung auf der Webseite

Bereits seit über zwei Monaten ist die neue EU-DGSVO (EU Datenschutzgrundverordnung) wirksam und inzwischen hat wohl jeder schon einmal davon gehört oder damit zu tun gehabt.

Auch wenn die juristische Abmahnwelle bisher nicht so stark angerollt ist wie befürchtet, hat die EU-DSGVO – für uns vor allem in Onlineprojekten – weiterhin hohe Relevanz und beeinflusst natürlich auch unsere Arbeit bzw. die Abwicklung von Webprojekten. Doch was heißt das konkret für Websitebetreiber? Wie lässt sich die EU-DSGVO richtig implementieren?

Die Impressumspflicht ist in Deutschland nichts Neues. Dennoch schadet es nicht zu überprüfen, ob alle Pflichtinformationen enthalten sind. Da diese je nach Berufsgruppe variieren, empfehlen wir bei Unsicherheiten immer eine Rechtsberatung einzuholen.

Die Datenschutzerklärung gibt dem Website-Nutzer Aufschluss über die Verarbeitung seiner Daten auf der Website (also z.B. welche personenbezogenen Daten bei einer Kontaktanfrage erhoben und gespeichert werden). Die meisten Datenschutzerklärungen müssen im Zuge der EU-DSGVO überarbeitet oder erneuert werden, da sich mit dem Inkrafttreten der EU-DSGVO die Rechtsgrundlage für die Nutzer geändert hat. Hier empfehlen wir, sich für die Erstellung der Datenschutzerklärung lieber an einen Anwalt bzw. den Datenschutzbeauftragten zu wenden um keine fehlerhaften Inhalte darzustellen (das Thema ist einfach sehr komplex).

Übrigens: Impressum und Datenschutz müssen immer zwei eigenständige Seiten sein und auf jeder Seite gut sichtbar verlinkt werden!

Tipp 2: Information & Einwilligung in Cookies

Neben den Informationen in der Datenschutzerklärung ist es empfehlenswert den Websitebesucher von Anfang an und durchgängig transparent auf die Nutzung seiner Daten hinzuweisen – z.B. über ein Cookie Pop-Up (hier darauf achten, dass das Cookie-Banner nicht die Links zu Impressum / Datenschutz verdeckt) – bzw. auch eine entsprechende Einwilligung zur Nutzung der Daten einzuholen, wenn notwendig. Auch ein entsprechender Hinweis über die Datennutzung bei Kontaktformularen ist zu empfehlen.

Tipp 3: Schriften lokal einbinden

Die meisten Webseiten verwenden Schriften über eine (oftmals nicht bekannte) Schnittstelle zum Anbieter „Google Fonts“. Über diese Schnittstelle hat Google Zugriff auf Nutzerdaten (z.B. die IP-Adresse) und speichert diese. Wir empfehlen daher Schriften lokal einzubinden, also auf dem eigenen Webserver hochzuladen.

Tipp 4: Newsletter konform einbinden

Ein Newsletter ist ein guter Kanal, um Kunden und Interessenten regelmäßig Updates über das Unternehmen oder ein Produkt oder Service in Form von maßgeschneideten Kampagnen zu schicken; daher wird auch gerne eine Anmeldemöglichkeit für den Newsletter auf der Website eingebunden. Im Zuge der EU-DSGVO empfiehlt es sich, diese Einbindung zu überprüfen und z.B. eine zusätzliche Checkbox für die konkrete Einwilligung zur Datennutzung einzubauen.

P.S. Zwar keine Neuerung, aber es empfiehlt sich zu verifizieren, dass der Anmeldeprozess im Double-Opt-In Verfahren erfolgt und bei jedem Mailing eine entsprechende Abmeldemöglichkeit angeboten wird. Vor allem bei bereits seit längerer Zeit bestehenden Anmeldungen und gesammelten Adressen könnte dies problematisch sein.

Tipp 5: E-Mails sicher versenden

Viele Kontaktformular-Erweiterungen versenden E-Mails (die beispielsweise der Nutzer oder auch Websitebetreiber erhalten) nicht über eine verschlüsselte Verbindung. Es ist daher sinnvoll, hierfür eine zusätzliche verschärfte Verschlüsselung einzurichten, sodass E-Mails über den regulären Mail-Account des Websitebetreibers über TLS (Transport Layer Security) versendet werden können.

Tipp 6: Websiteanalyse

Natürlich interessiert auch weiterhin, wie viele Besucher auf einer Website waren, wo diese herkommen, welche Inhalte besonders von Interesse sind usw. Die zwei bekanntesten Analysetools sind wohl Google Analytics und Matomo (ehemals Piwik). Vorteil bei Matomo: die Daten können auf dem eigenen Server gehostet werden, werden also nicht wie bei Google Analytics auf einen Server außerhalb der EU weitergeleitet.

Beide Anbieter haben im Rahmen der EU-DSGVO entsprechende Erweiterungen implementiert, sodass sich z.B. die IP-Adresse anonymisieren, ein Opt-Out bzw. Opt-In möglich ist und die Dauer der Datenspeicherung verwaltet werden kann. Egal welches Tool es wird: es sollte stets ein Vertrag zur Auftragsdatenverarbeitung mit dem Anbieter vorliegen und eine konforme Einbindung auf der Website erfolgen – inkl. entsprechendem Verweis in der Datenschutzerklärung.

Tipp 7: Nutzung weiterer Drittanbieter

Neben den bereits genannten Drittdiensten gibt es natürlich noch eine Vielzahl an weiteren Diensten und Schnittstellen, die Nutzerdaten speichern (z.B. Social Media Dienste, GoogleMaps, Captcha-Abfragen…). Ob bzw. wie der Dienst weiterhin genutzt werden kann, hängt davon ab, wie der Anbieter mit Nutzerdaten umgeht und welche Möglichkeiten zur DSGVO-konformen Nutzung auf Webseiten bestehen. Hier also immer ausführlich beschreiben, konkrete Informationen in die Datenschutzerklärung aufnehmen und ggfs. einen Vertrag zur Auftragsdatenverarbeitung mit dem Anbieter abschließen.

Tipp 8: SSL-Zertifikat

Eigentlich fast kein eigener Tipp, da alle Browser Webseiten ohne SSL-Zertifikat (also https:// am Anfang der URL) schon seit letztem Jahr als unsicher einstufen. Durch die DSGVO ist es allerdings auch „offiziell“ geworden, dass eine sichere Verbindung zur Datenübertragung (also z.B. bei Kontaktformularen) notwendig ist. Wer also noch keines hat, sollte diese schleunigst einbinden (das geht i.d.R. ganz einfach über den Hostinganbieter).

Wir hoffen diese Tipps helfen euch dabei die DSGVO-Basics bei Webprojekten zu implementieren bzw. schon bei der Planung zu berücksichtigen. Bei weiteren Fragen könnt ihr euch natürlich jederzeit gerne bei uns melden. Entweder wir können euch direkt helfen oder zumindest mit einem guten Kontakt zu einem Datenschutz-Anwalt!