Inhaltsverzeichnis
Diese 9 DSGVO Fehler solltest du vermeiden
Mit der Einführung der Datenschutz-Grundverordnung 2018 (DSGVO) und der geplanten ePrivacy-Verordnung 2019 hat sich für Website-Betreiber vieles geändert. Die korrekte Verarbeitung von personenbezogenen Daten spielt nun eine noch wichtigere Rolle und muss auf jeder Website sowie in jedem Funnel, jeder externen Landing Pages für jeden Nutzer transparent dargestellt werden.
Um Abmahnungen und hohe Strafzahlungen als Folge zu vermeiden, haben wir hier einmal die 9 Tipps aufgeführt, die Dir helfen sollen Fehler von vorn herein zu vermeiden.
1. FEHLERHAFTES IMPRESSUM
Jeder Website-Betreiber, der auf seiner Seite eine Dienstleistung, Waren und Informationen in Form von z. B. Texten bereitstellt, ist laut der sogenannten Anbieterkennzeichnungspflicht, welche im Telemediengesetz (TMG) § 5 geregelt ist, dazu verpflichtet, seiner Informationspflicht nachzukommen.
Das bedeutet, du als Betreiber oder Inhaber musst gewisse Angaben zu deiner Person bzw. zu deinem Unternehmen innerhalb des Impressums bekannt geben (Vorname, Name, Straße, PLZ, Wohnort). Denn Verbraucher oder auch Mitbewerber sollen jederzeit die Möglichkeit haben, sich über den Betreiber und somit den eventuellen Vertragspartner informieren zu können.
2. UNZUREICHENDE DATENSCHUTZERKLÄRUNG
Mit einer Datenschutzerklärung auf deiner Website stellst du sicher, dass du deine Besucher über die Erhebung und Verarbeitung personenbezogener Daten aufklärst und informierst. Der Besucher muss jederzeit einsehen können, welche Daten zu welchem Zweck von ihm gespeichert und wie sie verarbeitet werden. Hierzu zählen Daten wie die IP-Adresse, Browser-Daten, Cookies, Analyse-Tools (z. B. Google Analytics), das Facebook-Pixel und mehr. Außerdem muss der Besucher selbst entscheiden können, welche Daten gespeichert werden dürfen und sich im Nachhinein auch wieder dagegen entscheiden können.
3. FEHLENDER COOKIE-HINWEIS
Da fast alle Websites Cookies verwenden, verpflichtet die DSGVO bzw. ePrivacy-Richtlinie dich als Website- oder Shop-Betreiber dazu, die ausdrückliche Einwilligung des Nutzers einzuholen, bevor die Cookies gesetzt werden. Hierzu muss ein sogenannter “Cookie-Hinweis” erfolgen, sobald der Besucher Deine Website erstmalig besucht. In diesem “Hinweis” muss der Besucher über das Setzen von Cookies informiert werden und die Möglichkeit haben zu entscheiden, welche Cookies er zulassen möchte und welche nicht.
Im Cookie-Hinweis muss auch auf die Datenschutzerklärung hingewiesen bzw. verlinkt werden, damit der Nutzer sich über die Speicherung und Verarbeitung seiner Daten informieren kann. Sollte dies nicht möglich sein, muss der Link zum Impressum oder zur Datenschutzerklärung anklickbar sein.
4. KEIN ANONYMES TRACKING
Wenn du auf deiner Website Tracking-Tools wie z. B. Google Analytics nutzt, bist du dazu verpflichtet, die Daten ausschließlich anonym an die Drittanbieter zu übermitteln. Das bedeutet: Auch eine Person, die dem Tracking zustimmt, darf nicht durch das Drittanbieter-Tool identifizierbar sein. Für deine WordPress-Seite gibt es passende Plugins zur Anonymisierung.
5. KEINE AUFTRAGSVERARBEITUNG
Die DSGVO fordert, dass du mit allen Dienstleistern, die personenbezogene Daten speichern, einen Vertrag zur Auftragsdatenverarbeitung schließt. Dies soll dokumentieren, dass auch die Dienstleister verantwortungsbewusst und mit größter Sorgfalt mit eventuell übermittelten personenbezogenen Daten umgehen.
Datenschutz-Behörden haben jederzeit die Möglichkeit, solch einen Vertrag anzufordern und zu prüfen, ob du der Pflicht zur Auftragsdatenverarbeitung nachgekommen bist.
6. FEHLERHAFTE KONTAKTFORMULARE
Ja, sogar Kontaktformulare sind von der DSGVO betroffen. Denn sobald du ein Kontaktformular auf deiner Website einbindest, können Besucher dort personenbezogene Daten wie z. B. den Vornamen, den Nachnamen, die E-Mail Adresse etc. eingeben.
Deshalb müssen diese Daten bei der Übermittlung verschlüsselt (HTTPS) übermittelt werden und du im Kontaktformular auf die Datenschutzerklärung hinweisen bzw. verlinken. Darüber hinaus macht es Sinn, direkt im Kontaktformular zu vermerken, wie du die Daten behandelst und wie lange sie gespeichert werden. Hier ist es gängige Praxis eine Checkbox für die Einwilligung zur Verarbeitung der Daten zu schaffen.
7. KEINE VERSCHLÜSSELTE DATENÜBERTRAGUNG
Als Website-Betreiber musst du dafür sorgen, dass alle Daten – und vor allem personenbezogene Daten – verschlüsselt sind. Nutzt du auf deiner Seite etwa Formulare, CRM- oder Newsletter-Systeme (siehe Punkt 6), dürfen die dort enthaltenen Daten nicht unverschlüsselt übermittelt werden.
Grundsätzlich sollte deine gesamte Website auf SSL (HTTPS) umgestellt sein. Nur so kannst du sicherstellen, dass jegliche Daten verschlüsselt übertragen werden.
8. KEIN FACEBOOK-PIXEL OHNE EINVERSTÄNDNIS
Bei dem Facebook-Pixel handelt es sich um einen Tracking-Pixel von bzw. für Facebook. Mit diesem kannst du etwa tracken, welche Seiten ein bestimmter Benutzer besucht oder welche Aktionen er ausgeführt hat und diesen im Anschluss auf Facebook ganz gezielt bewerben.
Unter anderen ein aktuelles Urteil aus Bayern verpflichtet Websites-Betreiber dazu, den Facebook-Pixel erst zu setzen, wenn der Besucher diesem zugestimmt hat. Dafür kannst du Tools nutzen wie usercentrics (z B für externe Landingpages oder Funnel) oder für deine WordPress-Seite ist Borlab Coockies eine gute Lösung. Hier können deine Websitebesucher jederzeit auswählen, welche Coockies sie zulassen möchten und welche nicht! Achte darauf, dass Du alle Skripte gemäß den technischen Vorgaben einbindest und dieses auch testest!
9. YOUTUBE-VIDEOS UND ANDERE “EMBEDS” ÜBERTRAGEN PERSONENBEZOGENE DATEN
Wer YouTube-Videos auf seiner Website einbindet bzw. einbetten möchte, kann dies ganz einfach tun, in dem er den Einbettungs-Code aus dem Video in seine Seite einfügt. Das Problem: Mit dem Einbetten werden zahlreiche Daten wie z. B. Browser-Daten der Nutzer an den Google-Server übermittelt. Dies gilt sowohl für YouTube-Videos, als auch andere Dienste wie Google Maps, Vimeo und ähnliche.
Auch YouTubes “Erweiterter Datenschutzmodus” schafft hier keine Abhilfe: Durch den “NO-COOKIE”-Code schaltet YouTube zwar keine personalisierte Werbung mehr, personenbezogene Daten werden jedoch weiter übertragen. Als Website-Betreiber musst du daher sicherstellen, dass YouTube-Videos und andere “Embeds” erst nach der Einwilligung deiner Besucher geladen wird. Constent Tools wie Borlab schaffen hier Abhilfe, da Du externe Einbindungen erst nach Zusage deines Website- / Landingpagebesuchers laden lassen kannst!
Fazit
Die DSGVO hat viele Änderungen mit sich gebracht und mit der ePrivacy-Verordnung folgten noch mehr Änderungen. Auch weitere Gerichtsurteile zum Thema Datenschutz und Speicherung von Daten auf internationalen Servers (speziell außerhalb der EU) bleiben abzuwarten. Die daraus resultierenden Maßnahemen, werden uns Websitebestreiber und Online Marketer maßgeblich beschäftigen. Nichtsdestotrotz sind aber viele der Änderungen leichter umzusetzen, als es auf den ersten Blick erscheinen.