DSGVO: Deine persönliche Website Checkliste

Die Datenschutz-Grundverordnung (DSGVO) wurde 2016 von der EU beschlossen, mit dem Ziel ein harmonisiertes Datenschutzrecht in der EU herbeizuführen. Damit ist sie für alle EU-Mitgliedstaaten rechtlich bindend.

Die DSGVO räumt dem nationalen Gesetzgeber aber gewisse Ausgestaltungsspielräume ein. Die exakte rechtliche Ausgestaltung der DSGVO wurden in Österreich im Datenschutz-Anpassungsgesetz 2018 festgeschrieben.

Dann drohen saftige Strafen. Bei besonders schwerwiegenden Verstößen können das Geldbußen von bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 4 % seines gesamten, weltweit erzielten Vorjahresumsatzes sein.

Du musst wissen, dass laut DSGVO jede natürliche Person das Recht hat, eine Beschwerde bei der Datenschutzbehörde einzureichen und gegen alle an einer Datenverarbeitung beteiligten Verantwortlichen rechtlich vorzugehen.

Dieser Artikel stellt keine Rechtsberatung dar. Wir haben uns mit den Bestimmungen der DSGVO zwar intensiv beschäftigt, sind jedoch weder Juristen noch Datenschutzexperten. Auch wenn wir mit großer Sorgfalt an dieses Thema herangetreten sind, übernehmen wir keinerlei Gewähr hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für allfällige Rechtsfolgen. Im Speziellen wende dich bitte an einen Fachanwalt.

Folge dem 1. Gebot: Privacy by Design / Privacy by Default

Privacy by Design / Privacy by Default ist das Grundprinzip der DSGVO.

Es reflektiert die Verhältnismäßigkeit der Datenverarbeitung. Gespeichert werden dürfen nur jene personenbezogenen Daten, die für die jeweilige Datenverarbeitungstätigkeit notwendig sind.

2. Führe ein Verarbeitungsverzeichnis

Führen ein schriftliches oder elektronisches Verarbeitungsverzeichnis, indem du festhältst:

Wer, was, warum, wie, wo und wie lange erfasst?

Dies gilt nach Einschätzung von Rechtsexperten auch für Betreiber von kleineren Websites & für Blogger.

An die Form gibt es kaum Vorgaben vom Gesetzgeber, viel mehr an den Inhalt.

Die WKO liefert hier eine Vorlage, die du dir kostenlos herunterladen kannst.

Hier die WKO Muster-Verarbeitungsverzeichnis herunterladen.

3. Erstelle eine Datenschutzerklärung

Erfülle die datenschutzrechtliche Informationspflicht für Webseiten, indem du eine gut sichtbare und auffindbare Datenschutzerklärung auf deiner Website inkludierst.

Du kannst das über eine eigene Seite lösen, die z.B. über einen Link in der Fußzeile (Footer) erreichbar ist.

Auch hier liefert die WKO eine Muster-Datenschutzerklärung. Eine individuelle Anpassung und Ausgestaltung ist zwingend erforderlich.

4. Integriere einen  Cookie-Hinweis Banner

Wer bislang auf den Cookie-Hinweis Banner verzichtet hat, muss diesen spätestens seit Wirksamkeit der DSGVO liefern.

Was Cookies sind, welche Arten es gibt und welche Informationen und Einwilligungsnotwendigkeiten du beachten musst, kannst du in unserem Blogpost über die Cookie-Hinweispflicht nachlesen.

5. Formulare um aktive Einwilligung erweitern

Die meisten Websites verwenden Formulare, z.B. Kontaktformulare. Werden über solche Formulare personenbezogene Daten, wie z.B. Vor- und Nachname abgefragt, so muss der Benutzer vor dem Absenden des Formulars aktiv einwilligen, dass seine Daten zur Beantwortung der Anfrage erhoben werden.

Am einfachsten umzusetzen ist diese Bestimmung, indem du die bestehenden Kontaktformulare um eine Checkbox zum aktiven Anhaken (Opt-In) erweiterst. Textbeispiel:

„Ja, ich bin damit einverstanden, dass meine Daten im Zuge dieser Anfrage übermittelt und verarbeitet werden.“

6. SSL-Verschlüsselung installieren

Eigentlich schon seit geraumer Zeit unumgänglich. Zudem auch für Google ein wichtiger Ranking-Faktor.

Mit einer SSL-Verschlüsselung durch ein SSL-Zertifikat machst du aus http:// dann https:// und stellst damit sicher, dass Benutzerdaten, z.B. beim Absenden einer Kontaktanfrage, sicher und verschlüsselt übertragen werden.

7. Social Sharing Icons DSGVO-konform machen

Du kennst sicherlich die sehr beliebten Social Media Icons von z.B. Facebook, Twitter und anderen sozialen Netzwerken – oftmals am Ende von Blogbeiträgen oder Webseiten?

Leider sind diese Social Sharing Icons alles andere datenschutzfreundlich. Sie übertragen alleine schon beim Aufrufen der Webseite Nutzerdaten an das jeweilige Netzwerk. Gemäß DSGVO dürfen die Nutzerdaten nämlich erst mit einem Klick auf das jeweilige Icon übertragen werden. Plugin-Empfehlung für WordPress:

Wenn du, so wie wir, WordPress verwendest, schafft das Plugin Shariff Wrapper Abhilfe.

8. Website-Software und Zusatzsoftware überprüfen

Wirf einen Blick darauf, ob deine Website-Software und zusätzlich verwendete Erweiterungen DSGVO-konform sind.

Wenn auch du, so wie fast 30 Prozent aller Websites weltweit, WordPress im Einsatz hast, solltest du vor allem die DSGVO-Konformität deines Themes, deiner installierten Plugins sowie auch deiner WordPress Konfiguration (Kommentarfunktionen, Formulare etc.) prüfen.

9. Wenn du Newsletter verwendest

Zuallererst einmal ist es ganz wichtig zu überprüfen, ob die verwendete Newsletter-Software den Richtlinien zur DSGVO entsprechen. Du musst sicherstellen, dass du ein datenschutzkonformes Newsletter-System im Einsatz hast.

Für die Integration der Newsletter-Anmeldung auf deiner Webseite solltest du Folgendes beachten:

9.1. Über Newsletter-Service informieren

Darüber hinaus sind deine Website-Besucher im Newsletter-Anmeldebereich ausführlicher als bisher über deinen Newsletter-Service zu informieren.

Es empfiehlt sich ein Newsletter Hinweistext, der folgende Kriterien erfüllen muss:

• Ausdrückliche (= aktive und wissentliche) Einwilligung
• Informativ – über was informiert der Newsletter
• Freiwillig & Widerruf
• Protokollierung & Double-Opt-In

Beispieltext:

Unser Newsletter informiert Sie über Online-Marketing, SEO & SEA und Social Media sowie über aktuelle Entwicklungen in unserer Agentur. Der Newsletter wird ungefähr 1 Mal pro Quartal ausgesendet, ist kostenlos und kann jederzeit abgemeldet werden. Mehr Infos in unserer Datenschutzerklärung [LINK]

9.2. Newsletter datenschutzkonform anbieten

Um den Schutz der Empfängerdaten zu gewährleisten, darfst du im Newsletter-Anmeldeformular nur die Angabe für die E-Mail-Adresse als verpflichtend kennzeichnen.

Achte auch auf die Verwendung eines Double-Opt-in-Verfahrens für die Newsletteranmeldung, um die ausdrückliche Einwilligung deiner Newsletter-Empfänger einzuholen.

Auch ein Abmelde-Link im Newsletter solltest du nicht vergessen, damit der Empfänger jederzeit seine Einwilligung zum Newsletterempfang widerrufen kann.

9.3 Vertrag mit dem Anbieter abschließen

Du musst sicherstellen, dass E-Mail-Marketing Anbieter, die Daten in deinem Konto schützen und für keine anderen, als die Auftragszwecke zu nutzen.

Dies erreichst du indem du mit dem Software-Anbieter einen Vertrag schließt und du dir die datenschutzkonforme Verwendung deiner Daten individuell von ihm bestätigen lässt.

9.4. In Datenschutzerklärung informieren

Informiere die Besucher deiner Website idealerweise in einem eigenen Newsletter-Absatz in der Datenschutzerklärung über so Dinge wie aktive Einwilligungen, verwendetes Newsletter-System, Inhalte, Datenerhebung, Protokollierung & Analyse sowie Kündigung.

10. Wenn du Google Analytics im Einsatz hast, befolge das:

Um Google Analytics datenschutzkonform zu nutzen, musst du diese 3 Punkte unbedingt beherzigen:

10.1. In Datenschutzerklärung hinweisen

Wenn du externe Webanalyse-Tools wie z.B. Google Analytics im Einsatz hast und damit personenbezogene Daten erhebst, musst du in der Datenschutzerklärung verpflichtend darauf hinweisen.

10.2. Zustimmung für Aktivierung einholen

Google Analytics darf erst mit ausdrücklicher Einwilligung der Websitebesucher genutzt werden, dies realisierst du über deinen Cookie-Banner.

Achte darauf, dass der User seine Einwilligung jederzeit widerrufen kann, am besten mit einem Link in der Datenschutzerklärung zu den Cookie Consent Einstellungen.

Eine Anonymisierung von IP-Adressen, die man im Universal Analytics noch aktivieren sollte, ist in Google Analytics 4 nicht mehr notwendig, da keine IP-Adressen protokolliert oder gespeichert werden.

10.3. Zusatz zur Datenverarbeitung mit Google abschließen

Schließe mit Google eine Vereinbarung zur Auftragsdatenverarbeitung. Kein Scherz! Dies ist wirklich erforderlich und kann ganz einfach über dein Google Analytics Konto gemacht werden.

Geschafft! Wie du siehst gibt es einiges zu beachten und auch einiges zu tun, um deine Webseite, deinen Blog oder deinen Online-Shop DSGVO-konform zu machen.

Wenn du diese Checkliste hier in diesem Artikel berücksichtigst, bist du auf einem guten Weg, datenschutzkonform zu werden.