Ja nun wird es langsam ernst, die DSGVO Änderungen rücken in greifbare Nähe. Das bedeutet Arbeit. Arbeit an der eigenen Seite und ein intensives Beschäftigen mit den Neuerungen und Pflichten, die man beachten muss. Ich bin kein Anwalt und darf somit natürlich nicht beratend tätig sein, schon gar nicht unentgeltlich. Daher ist das lediglich eine Zusammenfassung meiner persönlichen Meinung und was ich für mich aus den Änderungen mitgenommen habe!
Prinzipiell betreffen die Änderungen jeden, der eine oder mehrere der folgenden Fragen mit „ja“ beantworten kann:
- Hast Du ein Formular?
- Nutzt Du Cookies?
- Nutzt Du Analytics?
- Hast Du einen Newsletter?
- Schaltest Du Werbung?
Doch was bedeutet das nun im Detail?
Die Datenschutzgrundverordnung DSGVO 2018
Zuerst einmal müsst ihr euch belesen. Die dazu passende Website findet ihr hier: DSGVO-Gesetz
Da Gesetzestexte für den Laien meist unerständliches Kauferwelsch sind, empfehle ich die Interpretation der einschlägigen Digitalen Rechtsberater wie Thomas Schwenke oder e-recht24.de.
Da ich selbst kein Anwalt bin und natürlich auch keine Rechtsberatung machen darf und fachlich machen kann, kann ich hier nur zusammenfassen, was ich für mich und meinen Blog daraus mitgenommen habe.
-
Personenbezogene Daten
Kurzum gilt die DSGVO für die Erhebung und Verarbeitung von personenbezogenen Daten, die da u.a. wären:
- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Geburtstag
- Kontodaten
- Kfz-Kennzeichen
- Standortdaten
- IP-Adressen
- Cookies
Wenn ihr also mindestens eine von diesen Daten über eure Website erhebt, dann seid ihr in der Pflicht.
-
Einwilligung
Für das Webtracking auf Basis von Cookies reicht es demnach nicht mehr aus, nur ein „Opt-Out“ anzubieten, sondern ich muss den Besucher meiner Seite direkt beim Aufruf ein „Opt-in“ ermöglichen. Da ich diese Lösung selbst schon im Rahmen meiner Marketingleiter-Tätigkeit bei Communardo umgesetzt habe, wäre das ein Beispiel dafür: Communardo Opt-In
Diese Lösung wurde über ein eigens entwickeltes WordPress-Plugin umgesetzt, aber ich bin mir sicher, dass es dafür mittlerweile auch Standard-Lösungen gibt.
Erst nach Einwilligung werden Tracking-Optionen und auch embedded Code wie YouTube Videos oder Slideshare-Präsentationen „scharf“ geschaltet. Denn man darf nicht vergessen, dass fremde Inhalte auf der eigenen Seite meist auch selbst Nutzerbewegungen analysieren.
Ganz besonders gilt dies natürlich für Google Analytics, dessen Einsatz unter Beachtung der IP-Anonymisierung und der Auftragsdatenverarbeitung (ADV) weiterhin zulässig ist.
Die Daten der Nutzer werden ferner pseudonymisiert (die IP-Adresse muss dazu gekürzt werden), Google verpflichtet sich zudem vertraglich die Nutzerdaten nur weisungsgemäß zu verarbeiten und ist unter dem Privacy-Shield zertifiziert. Es gibt eine Opt-Out-Möglichkeit (zumindest im Web).
Wenn die Nutzer in der Datenschutzerklärung der Website über die Funktionsweise von Google Analytics aufgeklärt werden sowie den Link zum Opt-Out erhalten, ist die Privatsphäre der Nutzer hinreichend geschützt. (Quelle: Dr. Thomas Schwenke)
-
Datensicherheit
Für die Übermittlung der Daten von eurer Website ist eine sichere Verbindung essentiell. Wer sich also bislang noch nicht mit SSL und https beschäftigt hat, muss dies nun zwingend tun. Hilfestellung gibt mein Beitrag zur SSL-Zertifizierung Blogs.
-
Zweckbindung und Nachweisbarkeit
Es ist grundsätzlich nicht gestattet, Daten auf Vorrat zu erheben. Sie müssen auch immer einem bestimmten Zweck dienen, der dem Nutzer von vorherein klar kommuniziert wird. Falls ein Nutzer Auskunft über seine gespeicherten Daten haben möchte, müsst ihr sie ihm geben und im Falle eines Falles diese Daten auch löschen.
-
Datenschutzerklärung
Last but not least gilt es natürlich, die Datenschutzerklärung auf der eigenen Website anzupassen. Entsprechende Generatoren gibt es zu Hauf im Netz.
Information zur ordentlichen Datenschutzerklärung nach DSGVO
Muster zur Datenschutzerklärung (Generator)
In Anbetracht der drakonischen Strafen, insbesondere für KMU und Großunternehmen, gibt es keine Ausrede mehr. Die DSGVO ist zwar schon 2016 beschlossen worden, wird aber erst am 25. Mai 2018 verbindlich.
Disclaimer: Der Gesetzgeber untersagt kostenlose Rechtsberatung. Ich biete keine Rechtsberatung an.
Pingback: DSGVO: Was freie Journalisten und Blogger jetzt tun müssen - Fit für Journalismus