Die EU-Datenschutz-Grundverordnung (EU-DSGVO), auch General Data Protection Regulation (GDPR) genannt, gilt nach einer Übergangsfrist von 2 Jahren nun ab dem 25. Mai 2018 unmittelbar und betrifft alle Unternehmen, welche personenbezogene Daten von EU-Bürgern erfassen, speichern und verarbeiten. In Italien greift die EU-DSGVO bzw. RGPD (Regolamento generale sulla protezione dei dati = Reg. UE 2016/679) zusammen mit dem Dekret D.lgs. 196/2003 (Garante Privacy).
Die DSGVO hat zum Ziel, die Sicherheit und die Verantwortung im Umgang mit personenbezogenen Daten in den EU-Mitgliedsstaaten zu verbessern und zu vereinheitlichen.
Anmerkung: Dieser Beitrag stellt keine Rechtsberatung dar! Die Informationen in diesem Beitrag wurden mit Sorgfalt recherchiert, dennoch übernehme ich keine Haftung für die Richtigkeit bzw. Vollständigkeit der bereitgestellten Informationen. Dieser Artikel gibt lediglich einen Überblick und hoffentlich hilfreiche Hinweise für deutschsprachige WordPress-Blogs, Websites und Betreiber von E-Mail-Newslettern. Du findest unten weiterführende Links zum Thema. Zur Lösung von konkreten Rechtsfällen und die Anwendung der DSGVO zusammen mit dem italienischen Datenschutzrecht kontaktiere bitte unbedingt einen Rechtsanwalt!
DSGVO: Was ist bei der Erfassung, Speicherung und Verarbeitung von personenbezogenen Daten zu beachten?
Personenbezogene Daten sind beispielsweise Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Kontodaten, aber auch Standortinformationen und IP-Adressen. Auch Cookies sind personenbezogene Daten im Sinne des Artikels 4 Nr. 1 DSGVO.
All diese Daten werden also vorwiegend über Online-Formulare gesammelt, über Web-Statistiken erfasst, in Web-Datenbanken abgelegt und beim Versand einer E-Mail-Newsletter weiterverwendet …
Mit Inkrafttreten der DSGVO müssen Unternehmen nun nachweisen können, warum und für welchen Zweck sie personenbezogene Daten speichern. Die Datenerfassung, -speicherung und -verarbeitung muss rechtmäßig und transparent stattfinden und für die betroffene Person stets verständlich, nachvollziehbar und eindeutig sein. Mit anderen Worten: die Kommunikation mit dem Web-User muss zielgerichtet, gerechtfertigt und klar verständlich sein. Eine E-Mail-Marketing-Datenbank z.b. muss eindeutig sein – Einkaufen von Adressen ohne Herkunftsangabe sollte wohl endgültig der Vergangenheit angehören! Du musst jederzeit belegen können, woher die Daten stammen und, dass du die Einwilligung zur Zusendung eines Newsletters hast!
Bei der Datenerfassung ist also die Zustimmung der betroffenen Person grundlegend: Die Einwilligung des Website-Besuchers muss dabei „freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich“ bekundet werden. Beachte dabei unbedingt die Form der Einwilligung („opt in“ und „opt out“ z.b. bei Newslettern), das Kopplungsverbot (beispielsweise keine vorausgewählten Checkboxen!) und die gesetzliche Alterskontrolle bei Kindern!
Dein Blog oder deine Webseite sollte im Hinblick auf die neue Datenschutz-Grundverordnung technisch sehr gut gerüstet und vor allem sicher sein. Stelle deine Webseiten jetzt unbedingt auf HTTPS um und gestalte sie so vertraulich wie möglich. Die Datenschutz-Grundverordnung verlangt „Datenschutz durch Technik (Privacy by Design)“. Datenschutz muss also künftig schon beim Design eines Systems berücksichtigt werden. Kommt es hingegen zu einem technischen Zwischenfall müssen alle Daten und Zugänge schnell wiederherstellbar sein. Kommt es zu einem Hackerangriff bzw. einem Datenklau, ist eine Meldung bei der Aufsichtsbehörde innerhalb 72 Stunden zu machen.
Was die Datenaufbewahrung angeht, so kommt der betroffenen Person das Recht zu, jederzeit Auskunft darüber zu erhalten, ob und wie ihre personenbezogenen Daten verarbeitet werden und wo sie gespeichert sind. Denke also daran, dass du einer Dokumentationspflicht nachkommen musst und stets prüfen, ob deine Datenschutzrichtlinien aktuell sind. Stelle sicher, dass personenbezogene Daten nicht länger als nötig aufbewahrt werden. Achte darauf, dass die Daten bestenfalls auf einem Server mit Standort innerhalb der EU verarbeitet und gespeichert werden. Die betroffene Person kann auch veranlassen, dass ihre Daten gelöscht werden.
Über alle getroffenen Maßnahmen der Datenerfassung, -speicherung und -verarbeitung müssen immer und jederzeit Nachweise erbracht werden können – auch hinsichtlich der Auftragsdatenverarbeitung (ADV). Solltest du als Web-Dienstleister im Auftrag eines Kunden personenbezogene Daten verarbeiten (betrifft zb. das Betreiben von einer Newsletter-Software, CRM-Systemen, Cloud Computing etc.) oder werden Daten an Dritte/Externe (z.b. Druckerei) weitergegeben, so sollst du dich datenschutzrechtlich absichern: schließe dafür eine schriftliche Datenschutzvereinbarung ab. Diese Vertragsunterzeichnung kann laut DSGVO nun auch online erfolgen.
Hinweis: Laut der DSGVO muss in Organisationen des öffentlichen Sektors und in Unternehmen mit mehr als 250 Mitarbeitern ein Datenschutzbeauftragter installiert werden. Auch braucht es einen Datenschutzbeauftragten, wenn das Kerngeschäft eines Unternehmens die Verarbeitung sensibler persönlicher Daten ist.
WordPress und Datenschutz-Updates bis Mai 2018
WordPress-Blogs und alle Website-, Shopbetreiber sollten bis zum Stichtag am 25. Mai 2018 unbedingt ihre Datenschutzrichtlinien anpassen. Hier gibt es kostenfreie und kostenpflichtige Online-Generatoren:
https://datenschutz-generator.de/ (für den deutschsprachigen Raum)
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/ (DSGVO Muster-Datenschutzerklärung)
https://www.iubenda.com/it (für Italien und italienische Blogs)
Bei WordPress-Blogs bedarf es stets zusätzlicher wichtiger Maßnahmen um den Datenschutz zu sichern und zu gewährleisten. Hier einige Tipps:
- Mache deine Webseiten Angriffs-sicher:
- WP-Installationen, Themes und Plugins sollten sich immer auf dem neuesten Stand befinden.
- Kümmere dich um eine sichere Web-Servertechnik (PHP, MySQL, Linux, Apache) und hoste deinen Blog bestenfalls in der EU. Schließe, wenn nötig, mit deinem Provider einen Vertrag zur Auftragsdatenverarbeitung ab.
- Stelle deine Webseiten auf HTTPS um!
- Sorge für regelmäßige Backups und Datensicherungen.
- Prüfe, ob die installierten WP-Plugins personenbezogene Daten speichern oder nicht? Bsp.: Google Analytics, Google Adsense, Facebook – Falls ja, füge diese Erweiterungen den Datenschutzbestimmungen zu.
- Kontrolliere, ob Plugins personenbezogene Daten (meist IP-Adressen) auf Server außerhalb der EU weiterleiten? Bsp.: JetPack, MailChimp, Akismet … falls nicht undedingt notwendig, verzichte besser auf solche Plugins!
- Bedenke, dass Social Media Anbindungen auch personenbezogene Daten übertragen! Kontrolliere welche Social Media Plugin und Social Media Button du aktiv verwendest, brauchst bzw. deaktivieren kannst …
- Anonymisiere die IP-Adressen in Analytics. Am schnellsten geht das, indem du deinen Google Analytics-Trackingcode um folgende Zeile erweiterst: „ga(‘set’, ‘anonymizeIp’, true);“.
- Entferne die IP-Adresse bei Kommentaren. Hier ein „How-to“ auf dem „Kritzelblog“. Auch wirst du bei Kommentaren das Einverständnis des Nutzers zur Datenverarbeitung brauchen. Das WP GDPR Compliance Plugin macht es z.b. möglich, dass du eine weitere Checkbox zum Kommentarfeld hinzufügen kannst.
- Aktualisiere besser schon jetzt deine „Cookies-Richtlinien“ und biete auch technisch die Möglichkeit, dass Website-Nutzer Cookies selbst deaktivieren können. Also muss der Leser dem Setzen eines Cookies einwilligen. Tut er das nicht, so muss er trotzdem Zugang zu der Seite bekommen. Die endgültige, überarbeitete Regelung der Cookies wird voraussichtlich erst 2019 in der ePrivacyVO geregelt werden.
- Checke deine Kontaktformulare: erfasse so wenig wie möglich persönliche Daten von deinen Nutzern und integriere eine Checkbox, über welche die Nutzer der Datenverarbeitung zustimmen müssen. Achte wie bereits oben erwähnt auf das Kopplungsverbot, die Form der Einwilligung („opt-in“ bei Anmeldeformularen) und die Alterskontrolle. Aktiviere auch eine SSL-Verschlüsselung beim Übertragen der Formularfelder.
- Erstelle eine Liste von Datenverarbeitungstätigkeiten und baue ein Dokumentationssystem auf.
- Anonymisiere Daten für Marketingzwecke immer, wenn dies möglich ist und lass dich von einem Datenschutzexperten beraten.
Weiterführende Links zur EU-DSGVO und ePrivacyVO:
https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung
https://www.logpoint.com/de/blog/dsgvo-compliance-was-ist-die-dsgvo-und-wie-koennen-sie-sicherstellen-dass-ihr-unternehmen-konform-handelt/
https://t3n.de/news/dsgvo-datenschutzgrundverordnung-aenderungen-837794/
https://www.kritzelblog.de/seo-sem/dsgvo-erste-schritte-tipps/
https://www.abakus-internet-marketing.de/blog/die-neue-dsgvo-interview-mit-rechtsanwalt-dr-graf
https://www.reisen-fotografie.de/dsgvo-als-blogger/
Checklisten:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Auswirkungen-auf-Websites.html
https://www.dsgvo-checkup.de/
https://www.hubspot.de/data-privacy/gdpr-checklist
E-Mail Marketing:
https://onlinemarketing.de/news/dsgvo-eprivacy-marketing-auswirkungen
https://www.marketing-boerse.de/Fachartikel/details/1743-Die-DSVGO-im-E-Mail-Marketing–die-wichtigsten-Aenderungen/141602
https://drschwenke.de/mailchimp-newsletter-datenschutz-muster-checkliste/
https://www.mailjet.de/dsgvo/email-marketing/
https://www.pinuts.de/blog/87546/lead-generation-dsgvo-datenschutz
ePrivacyVO:
https://www.datenschutz.org/eprivacy-verordnung/
https://www.pinuts.de/blog/webstrategie/dsgvo-e-privacy