Was muss ich auf meiner Webseite ändern, wenn die DSGVO in Kraft tritt?

Was muss ich auf meiner Webseite ändern, wenn die DSGVO in Kraft tritt?

Am 25. Mail 2018 tritt die viel diskutierte Datenschutzgrundverordnung in Kraft, ebenso ein neues Bundesdatenschutzgesetz. Über Sinn oder Unsinn dieses bürokratischen Machwerks wollen wir hier nicht diskutieren, sondern Hilfestellung geben, was auf der eigenen Webseite gemacht werden sollte, um diese DSGVO-konform zu machen. Mustertexte bieten wir nicht an, die finden sich aber auf zahlreichen Seiten. Ein paar Hinweise zu solchen Webseiten haben wir aufgeführt.

  1. Datenschutzerklärung: die gehört nicht nur auf jede Webseite, sie sollte auch gut auffindbar sein. Ein Link im Footer der Seite bietet sich da in der Regel an - am besten gleich neben dem Link zum Impressum. Es gibt diverse Webseiten (meist von Rechtsanwälten), die vorformulierte Erklärungen zur freien Verwendung anbieten. In der Regel wird verlangt, dass neben dem Urheberrechtshinweis ein Link zu der betreffenden Seite auf der eigenen Seite unter dem Text erscheint.
    Hier ein paar Beispielseiten: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/, http://www.anwaltblog24.de/kostenlose-muster-datenschutzerklaerung-onlin...
    Noch ein Tipp: Da davon auszugehen ist, dass sich gewerbliche Abmahner gerne Webseiten anschauen werden, in der Hoffnung dort Verstöße zu finden, sollte die eigene Seite mit der Datenschutzerklärung für Suchmaschinen blockiert werden. Das kann man über die robots.txt machen und/oder die entsprechenden Metatags (
  2. Newsletter: Das man einen Newsletter nur per Double-Opt-In abonnieren lassen sollte, ist keine neue Erfindung der DSGVO, sondern schon seit Jahren zwingend. Ab dem 25.5. ist es aber erforderlich in der Zustimmungsmail, die den Link enthält, mit dem sich der Interessent endgültig anmelden kann, Hinweise zum Datenschutz enthält. Warum das so ist, wird hier erklärt und einen Beispieltext findet man auf der Seite auch. In den Newsletter selber gehört dann neben dem Impressum auch ein Link zur Webseite mit der Datenschutzerklärung.
  3. Kontaktformular: Auch hier braucht es künftig einen Hinweis auf die Verarbeitung der persönlichen Daten, die ja regelmäßig mit einem Kontaktformular erhoben werden. Bei flexiblen Formular-Generatoren wie z.B. Drupals Webform-Modul ist das schnell erledigt.
  4. User können sich auf der Webseite einen Account anlegen? Dann gehört die Zustimmung zur Verarbeitung der übermittelten persönlichen Daten auf die Seite, auf der sich der User erstmalig registrieren kann.
  5. Tracking mit Google Analytics & Co. Hier wird die Verarbeitung der persönlichen Daten aus der Hand gegeben. Daher muss der Seitenbesucher in der Datenschutzerklärung darauf hingewiesen werden. Ebenso wie auf die Möglichkeit, dass er dem Tracking widersprechen kann und eine Möglichkeit, das Tracking auszuschalten sollte dort auch vorhanden sein. Für den Seitenbetreiber ist zusätzlich der Abschluss eines Vertrages zur Auftragsdatenverarbeitung notwendig. Google bietet einen solchen Vertrag an. Andere Anbieter von Trackingdiensten sicher auch. Mehr zu diesem Thema findet sich hier. Alternativ kann man sich überlegen, ob man das Tracking nicht lieber in die eigene Hand nimmt und z.B. Matomo (vormals Piwik) auf dem eigenen Server betreibt. Die Anonymisierung der IP-Adresse sollte man bei allen Diensten aktivieren, sofern sie nicht ohnehin eingeschaltet ist.
  6. User können Kommentare auf der Webseite hinterlassen. Hier sollte man genau prüfen, ob dabei personenbezogene Daten gespeichert werden, z.B. die vollständige IP-Adresse oder die E-Mail-Adresse. In diesen Fällen muss auch wieder die Genehmigung zur Datenspeicherung eingeholt werden. Alternativ kann man natürlich auf darauf verzichten, solche Daten zu speichern. Bei der IP-Adresse genügt es, wenn man diese anonymisiert indem man die letzten drei (besser noch die letzten sechs) Ziffern z.B. durch "XXX" oder "xxx.xxx" ersetzt. Statt 192.168.1.100 wird dann 192.168.xxx.xxx gespeichert.
  7. Cookies: Kaum eine Webseite kommt ohne sie aus. Neben wichtigen technischen Informationen, die für das ordnungsgemäße Funktionieren der Seite erforderlich sind, gibt es auch noch Tracking-Cookies. Auch hierüber muss der User in der Datenschutzerklärung informiert werden - inklusive Angaben was er gegen die Cookies machen kann - und sinnvollerweise auch, was das für Folgen hat, nämlich, dass die Seite nicht mehr alle Funktionen bietet.

Noch mehr Informationenn zum Thema findet man hier: https://www.bitkom.org/Presse/Anhaenge-an-PIs/2016/160909-EU-DS-GVO-FAQ-03.pdf

Und noch ein Hinweis: Unsere Tipps sind ohne Anspruch auf Vollständigkeit. Auch übernehmen wir keine Haftung, falls etwas unrichtig dargestellt wurde. Wer seine eigene Webseite DSGVO-konform machen will, dem empfehlen wir, sich anwaltlich beraten zu lassen.

Wer Hilfe bei der technischen Umsetzung der oben beschriebenen Maßnahmen benötigt, dem stehen wir gerne zur Seite.