EU-Datenschutz-Grundverordnung (DSGVO) erfolgreich umsetzen

EU-Datenschutz-Grundverordnung (DSGVO) erfolgreich umsetzen

Viel ist über die EU-Datenschutz-Grundverordnung (DSGVO) geschrieben und debattiert worden. Ob Experten aus den Bereichen IT und Recht, ob Personen und Organisationen, welche die DSGVO umsetzen müssen: Viele unterschiedliche Meinungen sind vertreten. Ich gebe hier keinen Kommentar ab und überlasse Ihnen eine persönliche Bewertung. Fakt ist, dass es sich um geltendes Gesetz handelt und Sie als Website Betreiber das Gesetz umsetzen müssen.

Erfordernisse aus der Datenschutz-Grundverordnung

Selbst, wenn Sie keine Website betreiben, erhalten Sie zwar aus der Grundverordnung grundlegende Rechte im Datenschutz, sind aber gleichzeitig verpflichtet, einige Maßnahmen im allgemeinen Geschäftsbetrieb zu ergreifen. Dazu gehören, ohne Anspruch auf Vollständigkeit und ungeachtet der laufenden höchstrichterlichen Rechtsprechung, beispielsweise:

  • Sie müssen ein Verzeichnis von Verarbeitungstätigkeiten führen
  • Sie müssen der Informationsverpflichtung gegenüber jenen nachkommen, deren personenbezogenen Daten Sie verarbeiten
  • Verarbeitet ein Auftragnehmer im Auftrag eines Auftraggebers personenbezogene Daten, so ist zwischen beiden Parteien eine Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO abzuschließen
  • Verletzungen des Schutzes personenbezogener Daten sind der nationalen Behörde zu melden, es besteht unter bestimmten Bedingungen eine Pflicht zur Datenschutz-Folgenabschätzung 
  • Unter bestimmten Bedingungen und Regeln benötigen Sie einen Datenschutzbeauftragten
  • Sie müssen unter anderem das Recht auf Berichtigung, Löschen und Vergessenwerden umsetzen
  • Wenn Sie etwa postalisch Werbe- & Informationsmaterial an Kunden und Interessenten versetzen, benötigen diese Inhalte ebenfalls einen Passus zu DSGVO

Was bedeutet die DSGVO für Ihre (WordPress) Website?

Ohne Anspruch auf Vollständigkeit und ohne Berücksichtigung der laufenden Rechtssprechung benötigen Sie:

  • Eine möglichst rechtssichere Datenschutzerklärung
  • Eine datenschutzkonforme Lösung für Cookies
  • Funktionen zur Auskunft über das Speichern personenbezogener Daten, zum Exportieren und zum Löschen
  • Überall, wo Anwender Daten eingeben (Formular, Shop, Registrierung), bedarf es eines Hinweises zum Datenschutz und einer Zustimmung durch den Anwender
  • Dienste & Quellcodes von außerhalb Ihrer Website müssen datenschutzgerecht eingebunden werden und Sie müssen darüber informieren

Welche Vorgehensweise zur Umsetzung ist die beste?

Grundsätzlich sollten Sie zuerst sicherstellen, dass Ihre WordPress Installation (oder ein alternatives CMS) überhaupt in einer DSGVO kompatiblen (GDPR-compliant) Version installiert ist. Das gilt gleichfalls für das Theme und alle installierten Plug-ins. Wer eine lang bewährte Website betreibt und diese nie aus guten oder weniger guten Gründen aktualisiert hat, steht hier bereits vor einer sehr schwierigen Aufgabe. In manchen Fällen kann ein Neuanfang die einzig wirtschaftliche Lösung sein.

Anschließend gibt es zwei grundsätzliche Ansätze. Wobei, darüber sind sich viele einig, keiner davon zu hundertprozentiger Rechtssicherheit führen mag. Wenn Sie von der Datenschutz Grundverordnung komplett überfordert sind und Sie die Aufgabe aus Kostengründen mit wenig Aufwand intern lösen müssen, dann können Sie auf Plug-ins wie das GDPR Framework By Data443 oder WP DSGVO Tools (GDPR) mit Fokus auf Österreich und Deutschland verwenden. Diese verstehen sich als (mehr oder minder) Komplettlösung und bieten entsprechende Assistenten und Funktionen an.

Die zweite Variante besteht darin, dass Sie selbst die volle Kontrolle haben möchten, wie Sie die Datenschutz Grundverordnung umsetzen. In diesem Fall lassen Sie die Datenschutzerklärung nicht von einem Plug-in oder WordPress generieren (wo Sie gegebenenfalls weder mit Rechtschreibung, noch Formatierung glücklich sein könnten), sondern verfassen sie selbst. Orientieren Sie sich dabei an den Mustererklärungen der nationalen Datenschutzbehörde oder Ihrer Interessensvertretung.

Bei Datenauskunft und Datenlöschung können Sie die Bordmittel von WordPress verwenden. Für den Cookie Hinweis benötigen Sie ein Plug-in, das Ihren Bedürfnissen genügt. Alles, was personenbezogene Daten an Dritte weitergibt (Analytics, Schriften, Facebook & Co.), müssen Sie entsprechend konfigurieren und in der Datenschutzerklärung bekannt geben.

Was sollten Sie in Bezug auf Ihre Website besonders prüfen?

Erneut ohne Anspruch auf Vollständigkeit und unabhängig von aktuellen sowie kommenden Rechtssprechungsfällen gehören zu den wichtigsten Punkten:

  • Im Grunde genommen müssen Sie jedes verwendete Plug-in prüfen, ob es Cookies benötigt und ob es personenbezogene Daten verarbeitet
  • Bei jedem Formular, das Sie für Ihre Besucher bereitstellen, müssen Sie über den Datenschutz informieren und benötigen Sie eine Zustimmung für die Verarbeitung
  • Wenn Sie einen Online Shop wie WooCommerce betreiben, müssen Sie den kompletten Geschäftsvorgang DSGVO kompatibel einrichten
  • Wenn Sie Funktionen zum Teilen oder Folgen in sozialen Netzwerken anbieten, müssen Sie genau darauf achten, wie Sie diese einbauen
  • Wenn Sie, wie die meisten Webmaster, Google Dienste wie Analytics, Search Console, AdSense und weitere einsetzen, benötigen Sie einerseits entsprechende Codes, andererseits entsprechende Hinweise in der Datenschutzerklärung
  • Beim Einsatz von Google Fonts oder Font Awesome werden datenschutzrechtlich relevante Daten übertragen. Sie benötigen erneut einen Hinweis in Ihrer Erklärung.
  • Wenn Ihre Website noch nicht SSL Zertifikat verschlüsselt über https:// läuft oder teilweise Zertifikatfehler ausgibt, ist es Zeit, das zu ändern
  • Außerdem sollten alle E-Mail-Nachrichten nur über sicher verschlüsselte Ports gesendet und empfangen werden

Fazit zur Datenschutz-Grundverordnung

Anhand der Länge dieses Beitrags kann man vermuten, dass inzwischen besonders bei kleineren Webprojekten das Umsetzen der DSGVO deutlich mehr Aufwand in Anspruch nimmt als der ganze Rest der Website. Das mag jeder für sich beurteilen. Da bei Verstößen gegen die Datenschutz Richtlinie schwere Strafen und Konsequenzen drohen, sollten Sie das Thema nicht auf die leichte Schulter nehmen.