Websites DSGVO-sicher machen – jetzt handeln!

Am 25. Mai 2018 wird die Datenschutz-Grundverordnung DSGVO rechtsverbindlich und für Webseiten-Betreiber ändert sich einiges. Wir zeigen, wie es geht und unterstützen euch bei Bedarf.

Selbst Anwälte streiten sich derzeit über die Auslegung der Datenschutzgrundverordnung. Die DSGVO bereitet vielen Unternehmen große Kopfschmerzen, denn viele Bereiche bleiben rechtlich unsicher bis erste Urteile für mehr Rechtssicherheit sorgen.

Deshalb raten wir nicht in Panik zu verfallen, sondern einfach das eigene Tun kritisch zu hinterfragen.

Die wichtigsten Änderungen durch die DSGVO (ab 25.5.2018) für kleinere Unternehmen und Blogs:

  1. Transparente Datenschutzerklärung für jedes einzelne Elemente formulieren, das Nutzerdaten speichert.
  2. SSL-Zertifikat installieren (https), um Kontaktformulare sicher zu machen.
  3. Google Analytics IP anonymisieren.
  4. Social Media Plugins sicher machen.
  5. Kontaktformulare müssen Einverständnis zur Nutzung der personenbezogenen Daten beinhalten (Checkbox).

1. Datenschutzerklärung aktualisieren

Auf einer Website sollten künftig nur noch personenbezogene Daten erhoben werden, die man für den konkreten Zweck benötigt. Eine darüber hinaus gehende Verwendung der Daten ist nicht erlaubt. Der Gesetzgeber verpflichtet jeden Seitenbetreiber in einer Datenschutzerklärung transparent zu machen, welche Daten erhoben und wie sie genutzt werden. Jeder Nutzer hat einen Anspruch auf Auskunft, was mit seinen Daten geschieht. 

Wer nicht weiß, was alles in die Datenschutzerklärung stehen muss oder welche Plugins überhaupt Nutzerdaten sammeln, kann eine der diversen Vorlagen verwenden, die Anwaltskanzleien online zur Verfügung stellen.

Unsere Empfehlungen: eRecht24 (eingeschränkte Optionen in der kostenlosen Version) und ratgeberrecht.eu.  Zwar ist nicht jede Formulierung 100% sicher (zum Beispiel ist bis heute noch völlig ungeklärt, ob Facebook Like-Buttons mit der DSGVO konform sind oder nicht), aber gar keine Datenschutzerklärung einzubinden ist riskanter.

2. SSL-Zertifikat installieren

Wer ein Kontaktformular installiert, in dem Nutzer ihre Daten eingeben können, muss künftig ein SSL-Zertifikat installieren. Das erkennt man daran, dass vor dem www ein https steht (statt http). Das kann man in der Regel per Mausklick beim Web-Hoster installieren (der Webhoster All-Inkl bietet SSL sogar vorbildlich als kostenlose Lösung an – zwei Klicks genügen und die Seite ist sicher!).

Man sollte allerdings dringend darauf achten, dass die alte http Version der eigenen Seite nicht mehr gefunden und stattdessen an https weitergeleitet wird. Das ist auch ein wichtiges SEO-Thema und kann sonst große Probleme bereiten. 

Nicht sichere Webseiten kennzeichnet Google Chrome künftig als „nicht sicher“ und wird sie vermutlich früher oder später auch im Google Ranking kennzeichnen. Es ist also ein erheblicher Nachteil nicht auf https umzustellen. 

Keine Kontaktmöglichkeit anzubieten, um nicht auf SSL umstellen zu müssen ist allerdings keine Lösung:  jede Website muss ein Impressum anbieten, über das man mit dem Seitenbetreiber in Kontakt kommen kann. Dafür genügt aber auch die Angabe einer Mailadresse. So spart man sich Formulare rechtssicher zu machen, da eine Mail über das Mailprogramm und nicht über die Website versendet wird.

3. Google Analytics anonymisieren

Naturgemäß erheben vor allem Analysetools sehr viele Daten. Neben aktualisierten Datenschutzerklärungen und der Verschlüsselung von Kontaktformularen mit SSL , ist die Anonymisierung von Google Analytics ab Ende Mai also Pflicht! Und zwar für alle, die eine Website im Netz haben, egal ob Business oder Hobby! Es gibt künftig keine Kavaliersdelikte mehr im Datenschutz. Wer gegen geltendes Recht verstößt kann abgemahnt werden und das wird teuer.

4. Social Media Plugins sicher machen

Facebook, Google und Amazon gehören zu den Firmen, die die meisten Daten erheben und damit inzwischen so ziemlich alles über uns wissen. Die Social Plugins, Like und Follow-Buttons greifen auf Nutzerdaten zu, selbst wenn diese Nutzer die Buttons gar nicht anklicken. 

Heise hat deshalb mit dem Shariff Social Media Plugin ein Tool geschaffen, was das unterbindet. Erst wenn man auf einen Button klickt und einen Beitrag liken oder teilen möchte werden Daten an die Anbieter übertragen, vorher nicht. Das Plugin ist schnell und ohne Programmierkenntnisse in WordPress zu installieren. Wie es geht zeigen wir hier.

5. Kontaktformular mit DSGVO-Datenschutzerklärung ausstatten

Noch streiten sich Anwälte darüber, ob Kontaktformulare grundsätzlich eine extra Checkbox brauchen, um zu erlauben, dass man eine Antwort oder einen Newsletter bekommt oder ob das nicht selbstverständlich ist, wenn man freiwillig seine Mailadresse eintippt.

Sicher ist sicher, deshalb schadet es nicht, seine Kontaktformulare mit einer solchen Checkbox auszustatten und damit gleich auf seine Datenschutzbedingungen hinzuweisen. 

Jeder Nutzer hat nun ein Auskunftsrecht, um zu erfahren, was mit seinen Daten passiert. Die Zeit der heimlichen Datensammelei ist jedenfalls vorbei und das ist auch gut so.

Für WordPress empfehle ich das Plugin WPForms, ein Tool mit dem man schnell und einfach gut aussehende Formulare erstellen kann, ohne einen Entwickler für diese Aufgabe bemühen zu müssen.

Die Formulare lassen sich mit beliebigen Checkboxen, sowie dem Google Spamschutz reCaptcha ausstatten. 

Mit WPForms lassen sich beliebig viele Formularfelder anlegen und invididualisieren.

Ein Formular ist schnell angelegt. Man vergibt einen beliebigen Namen für sein Formular, kann beliebig viele Felder oder Checkboxen anlegen und am Ende noch einen bevorzugten Spamschutz auswählen unter Einstellungen.

Beispiel von Checkboxen mit WPForms: Mit Checkboxen kann man sich seine Datenschutzerklärung bestätigen lassen und auch einen Newsletter anbieten.

Der große Vorteil von Checkboxen: man kann sein Kontaktformular mit der Bestellung eines Newsletters verknüpfen. So lange man seine Nutzer darüber informiert, ist das kein Problem. Schließlich müssen Webseiten-Betreiber auch für Ihre Arbeitsaufwand bezahlt werden, in diesem Fall also mit einem Newsletterabo.

Die Mails gehen automatisch an den admin der WordPress-Installation, das Plugin benötigt also keine Mailadresse. Wer das Premium Plugin installiert, kann auch seine neuen Newsletterabonnenten direkt an Mailchimp senden, alle anderen müssen diese Mailadressen von Hand zum Newsletter einladen.

Auch Newsletterformular mit Checkbox versehen

Auch ein Newsletter-Formular ist nichts anderes als ein Kontaktformular und muss ab sofort mit einer entsprechenden Checkbox ausgestattet werden, in der der Abonnent ausdrücklich seine Erlaubnis erteilt, kontaktiert zu werden. 

Mailchimp hat seine Formulare entsprechend ausgebaut, ab sofort kann in jedes Formular eine Datenschutzerklärung mit Checkbox eingebaut werden.

Die DSGVO-Checkbox bei Mailchimp lässt sich individuell anpassen, um den Text weniger abschreckend zu formulieren.

Offen ist die Frage, ob man zwingend alle Newsletter-Abonnenten nochmals kontaktieren muss, um für ihre Erlaubnis zu fragen, ihnen Mails senden zu dürfen. Zumindest sollte man diese Nutzer nochmals um Bestätigung bitten, an deren Adresse man nicht nachweisbar über doppeltes Opt-in gekommen ist. Einfach Mailadressen in Newsletter-Verteiler zu importieren ohne zu fragen, war aber auch vor der DSGVO schon illegal. Ansonsten rate ich von der Versendung solchen Massenmails eher ab, bis es entsprechende Urteile dazu gibt.

Es ist eher unwahrscheinlich, dass kleine Unternehmen in der ersten Welle abgemahnt werden, die Anwälte werden sich immer zuerst die dicksten Fische suchen.

Fazit: Verunsicherte Seitenbetreiber und genervte Nutzer – Diese DSGVO schießt übers Ziel hinaus

Datenschutz ist wichtig und angesichts der Skandale von Facebook und Co. ist es überfällig, die Nutzer besser zu schützen. Statt die eigentlichen Datenkraken in die Pflicht zu nehmen, werden mit der DSGVO alle Seitenbetreiber aufs Glatteis geführt: keiner ist mehr sicher vor Abmahnungen durch findige Anwaltskanzleien, die jede Gesetzeslücke nutzen, um Geld zu verdienen. 

Über die neue Datenschutzverordnung wird in den nächsten Monaten vor Gerichten erbittert gestritten werden und es ist zu empfehlen, diese Urteile aufmerksam zu verfolgen.

Diese Verfahren werden voraussichtlich erst einmal die großen Konzerne durchfechten müssen, bis ein paar grundlegende Urteile zur Auslegung der DSGVO für mehr Rechtssicherheit sorgen – was aber auch die einschlägig bekannten Serienabmahner veranlassen wird, bei kleineren Websites gezielt und automatisiert per Crawler nach Fehlern zu suchen. Vermutlich wird derzeit aber vieles heißer gekocht als es dann gegessen wird.

Panik ist also noch nicht angebracht, aber man sollte das Thema verfolgen und sich auf die neue Datenschutz-Grundverordnung gründlich vorbereiten.

Du brauchst Hilfe bei der Umsetzung und Prüfung dieser Punkte? Kleinen Unternehmen, Vereinen und Bloggern biete ich an, im Rahmen einer SEO-Sprechstunde die Website zu prüfen.

Dieser Beitrag ersetzt keine Rechtsberatung. Wer mehr über die DSGVO erfahren möchte, sollte sich an entsprechende Fachanwälte wenden.