marenkoeppen

DSGVO - AV Verträge
Rechtliche Aspekte (DSGVO und Co)

Im Dschungel der DSGVO, Teil 2: DSGVO und Webseiten

Meine DSGVO Erfahrungen, Teil 2 oder: DSGVO und Webseiten

Als Freiberufler bzw. Einzelunternehmer muss (und will !) ich mich natürlich um den Datenschutz kümmern und mich an die Vorgaben der Datenschutzgrundverordnung, kurz DSGVO, halten.

Dieser Beitrag ist ein Erfahrungsbericht. Und kann hoffentlich den Freiberuflern und Selbständigen unter meinen Lesern ein bisschen weiterhelfen.

Ich gebe hier meine eigene Meinung und mein eigenes Wissen (Eigenrecherche) wieder. Das ersetzt selbstverständlich keine rechtliche Beratung.

In meinem ersten Beitrag zur Reise durch den DSGVO Dschungel habe ich von den AV Verträgen gesprochen. Dazu gehört auch der Vertrag mit Google. Dazu berichte ich im nächsten Beitrag. Heute geht es erst einmal um allen anderen Maßnahmen zum Datenschutz auf der Webseite.

DSGVO und Webseiten: Übersicht der Maßnahmen

Ich habe sehr viel recherchiert und an verschiedenen Webinaren teilgenommen, um mir einen Überblick zu verschaffen, welche Anforderungen an den Datenschutz meine Webseite erfüllen muss. Dazu gehören:

  • Sichere Datenübertragung durch SSL Verschlüsselung –> SSL Zertifikat
  • Überarbeitung der Datenschutzbestimmungen auf der Seite
  • Kontaktformulare:  SSL verschlüsseln und Hinweis auf die Datenschutzbestimmungen mit aufnehmen
  • Kommentarfunktion: IP Adresse nicht erfassen oder anonyimisieren bzw. entsprechende Hinweise dazu auf der Webseite einbauen
  • Cookie Hinweis: Aus meiner Sicht keine Pflicht aus der DSGVO, das Thema der Cookie wird wohl in der ePrivacy Verordnung (soll 2019 kommen) geregelt.
  • Datenschutzkonforme Verwendung von Google Analytics! Dazu gibt es einen separaten Beitrag!
  • Datenschutzkonforme Einbindung von Social Sharing

DSGVO und Webseiten: SSL Verschlüsselung

Da ich auf meiner Webseiten Kontaktformulare verwenden, habe ich von Anfang an eine SSL Verschlüsselung eingebaut. Das war relativ einfach. Das SSL Zertifikat wurde mir über meine WordPress Hoster Raidboxes zur Verfügung gestellt und ich bin den Anleitungen zur Umstellung auf SSL gefolgt.

Wichtig ist nach der Umstellung

  • alle Links auf der Seite, inkl. der URLs zu den Bildern, zu überprüfen und eventuell anzupassen,
  • in den Einstellungen zu schauen, ob die Permalinks auf https umgestellt wurden,
  • überprüfen, ob auch die WordPress Konsole auf https umgestellt ist.

Wenn Sie nicht von Anfang an mit der SSL Verschlüsselung gearbeitet haben, sondern eine bestehende Webseite umstellen, ist es ebenfalls wichtig, festzulegen, dass die Webseite nur noch über https läuft. Ansonsten sieht Google zwei Webseiten (http und https). Ich empfehle hier den Vorgaben des Hosters und ggf. des Web-Content-Mangement Systems zu folgen. Ich habe bei Raidboxes gute Informationen dazu in der Hilfe gefunden und auch Strato bietet so eine Anleitung.

DSGVO und Webseiten: Datenschutzbestimmungen

Eine Datenschutzbestimmung gehört auf jede Webseite, nicht erst mit der DSGVO. Sie muss wie das Impressum einfach erreichbar sein und zwar von jeder Unterseite der Webseite aus. Sie gehört nicht versteckt ins Impressum, sondern braucht eine eigene Seite bzw. eine eigene Verlinkung.

Ich habe sie bei mir in den Footer eingebunden, so ist sie von jeder Seite aus mit einem Klick erreichbar.

Mit der DSGVO muss die Datenschutzbestimmung überarbeitet werden. Es ist wichtig, transparent aufzuzeigen wie Daten verarbeitet werden und zu welchem Zweck.

Ich nutze den Generator von eRecht24, bin dort Premium Mitglied und habe somit seit etwa Februar Zugriff auf den Generator für eine Datenschutzerklärung nach DSGVO. Der Generator stellt Text oder HTML Code bereit, so ist die Einbindung in die Webseite denkbar einfach.

Im Abschnitt zu Google Analytics ist allerdings noch eine Anpassung vorzunehmen. Damit der Besucher Google Analytics über einen Link deaktiveren kann, ist dazu Code zu hinterlegen. Zu Google Analytics mache ich einen eigenen Beitrag.

DSGVO und Webseiten: Kontaktformulare

Das SSL Zertifikat für die Webseite gilt auch für das Kontaktformular. Somit ist die verschlüsselte Übertragung der Daten umgesetzt.

Die DSGVO schreibt vor, dass nur die wirklich notwendigen Daten erfasst werden dürfen. Also gilt es zu überlegen, welche Daten wirklich benötigt werden und welche nicht. Im Kontaktformular sollte dann nur das Nötigste abgefragt werden.

Ein Hinweis auf die Datenschutzbestimmungen sollte im oder am Kontaktformular stehen. Nach meinen letzten Informationen reicht ein Hinweis aus, es ist wohl nicht erforderlich, dass den Bestimmungen zugestimmt wird, bspw. durch Setzen eines Häkchens.

Ich habe den Hinweis wie folgt eingebunden: „Ich stimme den Datenschutzbestimmungen zu“. Nur wenn das Häkchen gesetzt wird, kann das Kontaktformular abgesendet werden. Die Datenschutzbestimmungen sind natürlich verlinkt.

Für meine Kontaktformulare verwende ich das WordPress Plugin „Contact Form 7„. Mit diesem konnte ich die Änderungen einfach vornehmen. Übrigens habe ich verschiedene Kontaktformulare erstellt, so dass ich auf jeder Seite mit Kontaktformulare nur die jeweils notwendigen Daten abfrage.

Zusätzlich habe ich eine 2. E-Mail konfiguiert. Das ist eine Funktion innerhalb von Contact Form 7. Der Interessent erhält eine E-Mail mit den von ihm eingetragenen Daten, einen Hinweis, wo die Daten erfasst wurden und mit meinen Kontaktdaten und Hinweis auf Impressum und Datenschutz. Zusätzlich wird diese E-Mail an mich in CC geschickt. So habe ich eine Protokollierung über den Versand der E-Mail und kann diese archivieren.

Da ich die Nachrichten speichern und kontrollieren können muss, habe ich mit dem Plugin „Easy WP SMTP“ eingerichtet, dass alle ausgehende E-Mails über meinen Strato Mail Server laufen. Der Vorteil: Der Absender der E-Mail, die der Interessent erhält, ist meine offizielle Kontakt E-Mail Adresse. Der Interessent kann direkt auf die E-Mail antworten, wenn er Änderungswünsche oder Fragen hat oder die Anfrage löschen lassen will.

DSGVO und Webseiten: Kommentarfunktion

Zwei Themen: IP Adressen und Avatare

Beim Hinterlassen von Kommentaren wird die IP Adresse gespeichert. Das ist durchaus sinnvoll und notwendig, um gegen Kommentare mit nicht einwandfreien Inhalte vorgehen zu können.

Bei mir (WordPress) werden auch Avatare mit anzeigt. Dazu wird eine Verbindung zu Gravatar hergestellt. Das ist bedenklich, da hier personenbezogene Daten weitergegeben werden. In WordPress kann ich unter Einstellungen ganz einfach Avatare nicht einblenden lassen und so die Verbindung zu Gravatar kappen.

In Bezug auf die IP Adressen gehört ein entsprechender Passus in die Datenschutzbestimmungen. Da ich Kommentare aber nicht direkt veröffentliche, sondern erst prüfe und sie dann manuell freischalte, gibt es für mich keine Notwendigkeit, die IP Adresse zu speichern. Aktuell habe ich noch keine Lösung gefunden, wie ich diese IP Adresse anonymisieren kann.

Da die Kommentarfunktion auf meiner Seite zu 95% von Spammern verwendet wird, habe ich mich entschieden, sie abzuschalten. Wer mir Feedback geben möchte, kann das über die Social Media Portale tun.

Das ist für mich erst einmal eine gute Lösung. Ich muss mich jetzt noch damit beschäftigen, alle in der Vergangenheit gespeicherten IP Adressen zu löschen. Wie das am einfachsten geht, recherchiere ich gerade noch.

DSGVO und Webseiten: Cookie Hinweis

Ehrlich gesagt bin ich nicht sicher, ob der Cookie Hinweis wirklich sein muss. Nach meinem Verständnis wird die ePrivacy Verordnung regeln, wie wir überhaupt Cookies nutzen dürfen. Ich habe den Hinweis schon einmal eingebunden und dazu das Plugin „Cookie Notice“ verwendet. Ach ja, sowohl dieses Plugin als auch Contact Form 7 bieten die Möglichkeit, es in weiteren Sprachen einzurichten. Wichtig für mich, da ich neben der deutschen, auch eine englische Version meiner Webseite bereithalte.

DSGVO und Webseiten: Social Sharing

Also das ist ein Thema, welches schon lange vor der DSGVO wichtig war. Social Sharing Buttons sollten unbedingt Datenschutzkonform eingesetzt werden. Ich habe umgestellt auf das Plugin „eRecht24 Safe Sharing“. Dieses steht eRecht24 Premium Mitgliedern kostenfrei zur Verfügung.

Hinweis zu den genannten Plugins

Ich habe hier die WordPress Plugins genannt, mit denen ich arbeite. Natürlich gibt es eine Reihe weiterer Plugins, die diese Funktionen anbieten. Arbeiten Sie mit einem anderen Web-Content-Management System, schauen Sie dort bitte nach entsprechenden Tools oder Funktionen.

DSGVO und Webseiten: Informationsquellen

Ich habe sehr viel recherchiert und viele Informationen über Blogartikel und Webinare erhalten.

Sehr hilfreich finde ich:

  • eRecht24 Blog: Auch außerhalb der Mitgliedschaft stellt eRecht24 viele hilfreiche Informationen zur Verfügung.
  • VGSD, Verband der Gründer und Selbstständigen Deutschland e.V.: Für Mitglieder gab es gerade zwei sehr informative Webcasts zur DSGVO, da ging es vor allem um die Maßnahmen und ums das Verfahrensverzeichnis. Es lohnt sich, die Aufzeichnungen anzuschauen, diese stehen jedoch nur Mitgliedern zur Verfügung.
  • Nikolaus Kolba hat auf seinem YouTube Kanal eine Video-Serie zur DSGVO und WordPress Webseiten veröffentlicht.
  • Die DSGVO für Blog-Betreiber – Dem Grauen begegnen„, Informativer Blog Beitrag von vibrio.

Mein Fazit

Für mich selbst war die Optimierung der Webseite der einfache Part im Dschungel der DSGVO. Auch wenn ich das mit den Kommentaren (IP Adressen) noch nicht abschließend bearbeitet habe. In den nächsten Wochen werde ich an der ein oder anderen Stelle noch etwas nacharbeiten. Zum Beispiel habe ich einige der Anpassungen noch nicht auf der englischen Seite umgesetzt. Und nun geht es weiter mit den Dokumentation. Die sind für mich der eigentliche Dschungel.

Der nächste Beitrag wird kürzer, versprochen. 🙂 Da geht es dann um Google Analytics.