Daur-Online

Grundsätzliches: Was ist die DSGVO?

Das Thema Datenschutz ist ja nichts Neues. Auch wenn hier durch die Diskussion um die Datenschutzgrundverordnung DSGVO viel Wind und Wirbel entstand. Die DSGVO führt eigentlich nur die unterschiedlichen Datenschutzbestimmungen der einzelnen EU-Länder zusammen und definiert diese in einer Verordnung. Ziel war eigentlich einen europaweit einheitlichen EU-Datenschutz-Grundverordnung zu installieren, das hat aber nicht so ganz geklappt, denn es gibt eine Reihe an „Öffnungsklauseln“ mit denen einzelne Länder gewisse Details selber festlegen können.

Die DSGVO trat am 25.05.2016 in Kraft und wird (soweit der Plan) am 25.05.2018 anwendbar. Bei Verstößen drohen hohe Geldstrafen von 10 – 20 Mio. Euro oder 2 – 4% des Weltjahresumsatzes. Geschäftsführer oder Firmeninhaber können unter Umständen bei Verstößen persönlich haftbar gemacht werden!

Der Hintergrund zur DSGVO ist Artikel 8 Charta der Grundrechte der EU. dieser besagt:

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) 1Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. 2 Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

Die 7 Grundsätze der DSGVO

  1. Die Verarbeitung von personenbezogenen Daten (Art. 5 DSGVO)
  2. Rechtmäßigkeit der Verarbeitung personenbezogener Daten (Art. 6 DSGVO)
  3. Bedingungen für die Einwilligung zur Verarbeitung von personenbezogenen Daten (Art. 7 DSGVO)
  4. Bedingungen für die Einwilligung zur Verarbeitung von personenbezogenen Daten bei Kindern (Art. 7 DSGVO)
  5. Verarbeitung von „besonderen“ personenbezogenen Daten (Art. 9 DSGVO)
  6. Verarbeitung von pers. Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO)
  7. Verarbeitung, für die Identifizierung der betroffenen Person nicht erforderlich ist (Art. 11 DSGVO)

Was sind personenbezogene Daten – Definition nach DSGVO

Personenbezogene Daten sind hier nach Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität (Artikel 4 Ziffer 1 DSGVO)

  1. allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer…)
  2. Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer…)
  3. Bankdaten (Kontonummern, Kreditinformationen, Kontostände…)
  4. Online-Daten (IP-Adresse, Standortdaten…)
  5. physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße…)
  6. Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten…)
  7. Kundendaten (Bestellungen, Adressdaten, Kontodaten…)
  8. Werturteile (Schul- und Arbeitszeugnisse…)

Was bedeutet das jetzt für die Erfassung von personenbezogenen Daten?

Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

Grundsätzlich gilt:
Die Verarbeitung personenbezogener Daten ist verboten.

Außer eine der folgenden Kriterien ist erfüllt (Art. 6 DSGVO):

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt.
  2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Was bedeutet das jetzt für die Verarbeitung von personenbezogenen Daten?

  1. Personenbezogene Daten dürfen nur zu dem Zweck erfasst und verwendet werden, für den der Nutzer aktiv eingewilligt hat. Eine anderweitige, verdeckte oder geheime Verwertung von personenbezogene Daten ist verboten.
  2. Die Identität des Verantwortlichen, der die personenbezogenen Daten verarbeitet muss offengelegt werden.
  3. Der Betroffen hat ein Recht auf eine Auskunft seiner personenbezogenen Daten unabhängig vom Ort der Verarbeitung.
  4. Der Zweck der Datenverarbeitung muß vorher eindeutig und rechtmäßig festgelegt werden.
  5. Es muß einen ausreichenden Rechtfertigungsgrund geben, wenn die personenbezogenen Daten zu einem anderen Zweck weiterverwendet werden.
  6. Die Weitergabe von personenbezogenen Daten an Dritte ist ein eigener Zweck und bedarf eines Rechtfertigungsgrundes oder der Einwilligung (aktives Opt-In).
  7. Personenbezogene Daten dürfen nur verarbeitet werden, wenn diese für den Zweck erheblich, relevant und angemessen sind. Es dürfen also nur die Daten erhoben werden, die auch tatsächlich notwendig sind um den Zweck zu erfüllen.
  8. Es ist die Richtigkeit der personenbezogenen Daten zu gewährleisten. Im Endeffekt ist der, der die Daten nutzt dafür verantwortlich, dass die verwendeten personenbezogenen Daten auch richtig und aktuell sind. Falsche Daten sind unmittelbar zu löschen!
  9. Personenbezogene Daten dürfen nur für einen definierten Zeitraum gespeichert werden. Also genau so lange, bis der Zweck, für den sie eingeholt wurden, erfüllt ist. Nach der Erfüllung des entsprechenden Zwecks, sind die personenbezogenen Daten zu löschen!
  10. Der Datenerfasser muss eine angemessen Sicherheit der personenbezogenen Daten gewährleisten. Dazu zählt der Schutz der Daten vor zugriffen Dritter, unabsichtliche Schädigung und Verlust der Daten und die notwendigen technischen Maßnahmen.

So, und was heißt das jetzt in Bezug auf unsere Webseiten (Lösungsansätze WordPress)?

Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

Im Online Marketing besteht ein Großteil des Tagesgeschäftes auf der Erfassung und Auswertung von Daten. Nehmen wir hier mal den Statistik-Dienstleister Google Analytics ins Visier.
Google Analytics erfasst die Daten einer Webseite mit Hilfe eines Cookies. Dieser Cookie ermöglicht die Auswertung einer Seite nach Nutzern, Seitenaufrufen… wodurch eine Seite bewertet und optimiert werden kann. Kurzum, die Basis aller Online Marketing Disziplinen. Dafür speichert Google die IP-Adresse (im Idealfall anonymisiert) und erstellt ein Bewegungsprofil des Users, je nachdem was an Daten so verfügbar ist. Es werden also personenbezogene Daten erhoben und gesammelt. Es ist teilweise überraschend, wie viele einzelne Systeme aus der eigenen Seite Daten abzwacken und einsammeln. Aber damit ist ja jetzt Schluß! xD

Update von WordPress – DSGVO konform!

Seit dem 17.05.2018 bietet WordPress mit seinem neuen Update 4.9.6 weitere integrierte Funktionen an:
Hier geht´s zur aktuellen WordPress Version.

  1. Export und Löschung von Personenbezogenen Daten
    Neue Werkzeuge wurden hinzugefügt, um dir dabei zu helfen, personenbezogene Daten zu exportieren und Löschanfragen nachzukommen.
  2. Datenschutzerklärung
    Erstelle die Seite für die Datenschutzerklärung deiner Website oder wähle sie unter Einstellungen > Datenschutz aus, um deine Benutzer darüber auf dem Laufenden zu halten.

Opt-In oder Opt-Out – was ist DSGVO konform?

Bisher konnte man den ganzen Datenwahn gut umgehen, indem man einfach auf jeder Webseite ein Opt-Out für den User eingerichtet hat. Bei einem Opt-Out gilt eine Einwilligung in die Nutzung der personenbezogenen Daten als von vorneherein erlaubt, wird also einfach mal so angenommen. Der User kann durch einen Klick dann der Nutzung seiner Daten wiedersprechen, er muss also aktiv der Nutzung wiedersprechen.
Mit der DSGVO ist das dann vorbei, denn die DSGVO besagt, dass der User der Nutzung seiner personenbezogenen Daten aktiv zustimmen muss. Dadurch wird ab dem 25.Mai.2018 das Opt-In Verfahren zur Pflicht.

Damit wird das Opt-In Verfahren zum Standard.

Nutzung von Google Analytics – DSGVO konform

  1. Einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen!
  2. Der User muss der Nutzung der personenbezogenen Daten zustimmen, dafür wird ein Cookie Opt-In notwendig. Dieses gibt es bereits in verschiedenen Varianten als Plugins und Widgets für die diversen CMS zum Download. So z.B. die kostenpflichtigen WordPress Plugins (einmalig 29.- €) Pixelmate und oder noch besser sogar das Plugin von Borlabs. Letzteres bietet Euch sogar noch die Möglichkeit das Problem mit iFrames und Google Maps zu lösen (ebenfalls 29.- €).
  3. Google Analytics muss in Eure Datenschutzerklärung integriert werden. Hier wird der Zweck der Erfassung der personenbezogenen Daten geregelt sowie die erhobenen Daten selbst benannt.
  4. Und klar, die IP muss natürlich anonymisiert werden.

Die Nutzung einer Kontakt- oder Kommentarfunktion in einem Blog – DSGVO konform

Bei WordPress gibt es ja die schöne Kommentar-Funktion, die die Interaktion mit dem Nutzer ermöglichen soll. Für diesen Zweck erfasst WordPress die IP-Adresse, den Namen und die E-Mail des Kommentators.
So, was ist jetzt erheblich, relevant und angemessen?
Für die Nutzung der Kommentierungsfunktion sind die Erfassung des Namens und E-Mail angemessen, erheblich und relevant. Die Erfassung der IP-Adresse hingegen ist für den Betrieb einer Kommentarfunktion nicht notwendig und damit nicht relevant.

Daher gilt es hier, die Erfassung der IP-Adresse zu unterbinden oder zu anonymisieren. Dafür hat die WordPress Community bereits einige Tools gebastelt, die genau diese Funktion erfüllen (WP Plugin Remove IP  ist schon älter, ändert aber nix an der Funktion!)

Es gibt auch ein zusätzliches Double-Opt-In-Verfahren für die Kommentieren-Funktion oder eher für das kommentieren von Kommentaren. Das WP Plugin Subscribe to Double-Opt-In Comments.

Desweiteren benötigt Ihr, da Ihr ja wieder personenbezogene Daten erfasst, eine aktive Zustimmung zu diesem Zweck. Dafür gibt es ein starkes Plugin, welches in die Kommentar- oder Kontaktformulare eine Checkbox integriert. Diese Checkbox muss bestätigt werden und damit in die Erhebung der personenbezogenen Daten eingewilligt werden. Plugin: WP GDPR COMPLIANCE, welches ich selber auch in Verbindung mit Remove IP nutze.

Nutzung von Spamfiltern – DSGVO konform

Ja, auch die meisten Spamfilter sammeln personenbezogene Daten und leiten diese zur Überprüfung weiter. Viele Spamfilter nutzen exteren Blacklists, bei denen IP-Adressen abgeglichen und gegebenenfalls gesperrt werden. Daher müssen auch alle Spamfilter, genau unter die Lupe genommen werden, ob und welche Daten diese weiterleiten. Funktionen, die personenbezogene Daten nutzen sollten besser deaktiviert werden. Bei WordPress ist Akismet vorinstalliert, steht aber schon seit langem im Ruf, Daten sehr ungezügelt zu verteilen. Hier empfhiehlt sich generell die Deaktivierung von Akismet. Eine Alternative könnte das WordPress Plugin Antispam Bee sein. Bei diesem Plugin müssen allerdings die Einstellungen für „Öffentliche Spamdatenbank berücksichtigen“ und „Kommentare nur in bestimmter Sprache zulassen“ deaktiviert werden um keine Daten an Dritte zu übermitteln.

Nutzung von Youtube –  DSGVO konform

Ja, Youtube ist praktisch, keine Probleme mehr mit Streaming, unterschiedlichen Betriebssystemen, Browsern… Einfach ein Video bei Youtube hochladen und dann auf der eigenen Seite einbinden. Schöne heile Welt.
Aber… eine Seite, die ein eingebettetes Youtube Video enthält übermittelt beim Laden der Seite personenbezogene Daten an Youtube und stellt damit wieder einen Verstoß gegen die DSGVO dar.
Die WordPress Community hat hierfür ebenfalls ein kostenloses Plugin parat. Das WP Plugin Youtube Lyte, hier wird der eingebettete Youtube Link angepasst. Statt das Video zu laden und Daten zu übermitteln wird erst das Vorschaubild des Videos geladen. Erst nach Bestätigung wird das Video dann geladen und die Daten übermittelt.
Eine Alternative zu Lyte ist das Plugin „Embed videos and respect privacy„.
Alternativ bietet Youtube auch das datenschutzkonforme Einbetten von Videos an.
Youtube Video in Youtube öffnen – Teilen Button klicken – dann auf Einbetten – und der Code-Vorschau rechts das Häckchen bei „Erweiterten Datenschutzmodus aktivieren“ setzen. Der Code zum Video einbetten wird jetzt entsprechend angepasst. Es werden jetzt wesentlich weniger Daten an Youtube übermittelt, ein Datenaustausch findet aber immernoch statt!

Social Media Funktionen wie Teilen oder Liken – DSGVO konform verwenden

Ähnlich wie bei Youtube, Google Maps und iFrames werden auch von den meisten social Media Plugins Daten an die jeweiligen Plattformen übermittelt. Und das in der Regel schon beim Laden der Seite. Daher gilt auch eine besondere Vorsicht bei der Nutzung von Social Media Plugins. Damit hier nichts anbrennt empfiehlt sich die Nutzung des WordPress Plugins „Shariff Wrapper„.

Google Fonts und Emojis

Google Fonts sind echt eine praktische Sache, zum einen schonen sie den eigenen Server zum anderen sind sie einfach bequem und schauen gut aus.. Aber auch hier wird, laut Meinung einiger Experten, ein Datenaustausch vorgenommen. Zur Sicherheit reduzieren wir hier auf klassische Fonts und deaktivieren Google Fonts und Emojis. Dabei hilft uns das WordPress-Plugin „Autoptimize„. Nach der Installation einfach unter Einstellungen – Extras die beiden Kästchen bei „Emojis entfernen“ und bei Google Fonts „Google Fonts entfernen“ aktivieren.

Mit Drittanbietern AVV (Verträge zur Auftragsdatenverarbeitung) abschließen

Dabei stellt sich erstmal die grundlegende Frage: Wer greift eigentlich alles auf die Daten meiner Webseite zu?
Das könnte z.B. dein Hoster sein wie z.B. 1und1 oder Strato usw. Jeder Hoster bietet diese AVVs bereits an, kümmern muss man sie allerdings selber!
Es sind nicht immer nur die üblichen Gesicheter wie Google, Facebook und Co.!
Eine Liste mit den entsprechenden Links zu einer Sammlung von Drittdienstleistern findet ihr hier: Liste AV-Verträge

„Liste wird weitergeführt!“


DSGVO – Was du wissen musst!

  1. Es muss sichergestellt werden, dass der Kunde freiwillig und aktiv für einen definierten Zweck – nicht pauschal – der Verarbeitung der personenbezogenen Daten zustimmt.
  2. Die freiwillige Einwilligung seitens des Kunden kann z.B. über ein Online-Formular in Kombination mit dem automatischen Versand einer Bestätigungsmail erfolgen. Mit hilfe eines Links in der Bestätigungsmail könnte so ein Double-Opt-In eingerichtet werden. Das wäre dann wohl die sicherste Methode.
  3. Die Zustimmung zur Verarbeitung der personenbezogenen Daten des Kunden darf beispielsweise nicht an das Abonnement eines Newsletters o.ä. gekoppelt sein.
  4. DEr Opt-Out Ansatz ist unzulässig. Das „Nicht-wegklicken“ eines Häkchens ist laut DSGVO unzureichend. Ein bereits gesetztes Häkchen in einem Online-Formular o.ä. zur Zustimmung reicht also nicht aus.
  5. Der Kunde muß die Möglichkeit haben, jederzeit zu widerrufen. Erhält der Kunde nach Widerruf trotzdem einen Newsletter, kann er dagegen juristisch vorgehen.

Ähnliches gilt für alle Integrationen innerhalb einer Webseite, die Daten erfassen und oder an Dritte übermitteln. Wobei bei letzteren sogar noch eine entsprechende Auftragsdatenverarbeitung abgeschlossen werden muss.

Dazu gehört z.B.:

  • Personalisierung
  • Die Einbindung von Google Diensten wie DoubleClick, AdSense, Google Maps usw.
  • Teilen und Like Funktionen für soziale Medien
  • Andere Analysedienste wie z.B. InfOnline oder Piwik und entsprechende Statistik-Plugins wie Jetpack – Lösung: WP Plugin Statify
  • Vermarkter wie OMS, Ströer, Plista, Ligatus, Taboola… die personenbezogene Daten nutzen
  • Gravatar Alternativen: WP User Avatar odr besser WP First Letter Avatar (Achtung, die Nutzung von Gravatar als Avatare ist bei WordPress voreingestellt und muss deaktiviert werden. WP Dashboard – Einstellungen – Diskussion – Avatare – „Avataranzeige – zeige Avatare“ deaktivieren – speichern – Cache löschen.)
  • Diverse Caching und Backup Plugins

Was ist also zu tun?

  1. Für jede Funktion, die personenbezogene Daten sammelt und oder verarbeitet muß ein Zweck definiert werden.
  2. Für jeden Zweck muß festgelegt werden, welche personenbezogenen Daten zur Erfüllung notwendig sind und ob der Zweck rechtmäßig ist.
  3. Der Nutzer muß über den Zweck der Erfassung seiner personenbezogenen Daten unterrichtet werden – welche Daten werden erhoben, von wem und warum!
  4. Der Nutzer muss aktiv der Erfassung und Nutzung seiner personenbezogenen Daten zustimmen – Opt-In.
  5. Die personenbezogenen Daten dürfen nur für den jeweiligen Zweck verwendet werden, für den der Nutzer aktiv eingewilligt hat.
  6. Die personenbezogenen Daten sind nach der Zweckerfüllung zu löschen.
  7. Der Nutzer hat ein Recht auf Löschung seiner Daten, sowie ein Recht darauf, die erfassten Daten zu sehen und zu korrigieren.

Heißt das jetzt, man darf als Webseitenbetreiber keine Werbung mehr ausspielen?

Nein, das heißt es nicht. Sie können weiterhin Werbung ausspielen. Nur dürfen Sie ggf. keine personalisierte Werbung ausspielen, da hier personenbezogene Daten übermittelt werden.

Was ist mit Werbemailings und Newsletten?

Hier gibt es auch Sonderregelungen, die es einem Unternehmen ermöglichen, einem Kunden, mit dem es bereits in Kontakt steht, Werbung für ähnliche Produkte zu schicken.
Eine genaue Definition bietet die it-recht kanzlei münchen, die das Thema DSGVO und Newsletter detailiert zerlegt haben.

„Liste wird weitergeführt!“


Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

 

Grüße,

Wolfram Daur – Online Marketing Manager

Bild: Pixabay TheDigitalArtist

 

 

Wolfram Daur - Online Marketing Manager || 2016 offiziell zertifiziert durch ein Online-Studium zum Online Marketing Manager durch die DEPAK (Deutsche Presseakademie)

View Comments

There are currently no comments.

Next Post