Die europäische Datenschutz-Grundverordnung oder kurz DSGVO tritt nach 2-jähriger Übergangsphase nun am 25.5.2018 rechtskräftig und mit aller Konsequenz in Kraft.
Mit diesem Artikel möchte ich Dich auf die bevorstehende wichtige Gesetzesänderung hinweisen, die Du unbedingt beachten und bei der Du entsprechend sofort handeln musst.
Diese Information ist für Dich besonders wichtig in Zusammenhang mit Deiner Webseite – egal welche Art Webseite Du betreibst, wenn es nicht nur eine rein private Seite ist – und wenn Du dort ein Kontaktformular eingebunden hast (z.B. auf Deiner Seite “Kontakt”) und/oder Du E-Mail-Marketing betreibst.
Das sind die Inhalte in diesem Artikel:
EU-DSGVO – worum geht es eigentlich?
SSL-Verschlüsselung (Umstellung auf https://)
Datenschutzerklärung DSGVO
Impressumsgenerator
Landingpages und alle Seiten mit Eintrageformulare anpassen
Koppelungsverbot DSGVO
Impressum, Datenschutzerklärung und Haftungsausschluss
Vereinbarungen zur Auftragsdatenverarbeitung
DSGVO konformes Sharing-Tool von eRecht24 oder Sharif verwenden
Google Analytics Opt-out
“Erweiterter” Cookie-Hinweis
Die Erstinformation
AGBs und Widerrufsbelehrung
Fazit zur Umsetzung der DSGVO
EU-DSGVO – worum geht es eigentlich?
Ab dem 25. Mai 2018 gilt europaweit die neue DSGVO (Datenschutzgrundverordnung). Es ist nicht nur schwierig allen Anforderungen gerecht zu werden, sondern auch sehr kostspielig, wenn man sich nicht an die neuen Vorschriften hält. Die Strafen gehen hierbei bis zu drastisch hohen 20 Mio Euro, damit hat die EU-Kommission eine enorme Ansage gemacht und für große Ängste gesorgt. Jeder Webseitenbetreiber ist verpflichtet bis zum 25. Mai 2018 alle notwendigen Anforderungen zu erfüllen, ansonsten kann es zu hohen Strafen kommen, wie eben erwähnt.
Die EU-DSGVO regelt den Umgang mit Daten im Internet und die damit verbundenen Verpflichtungen. Eine wichtige Voraussetzung der DSGVO (Datenschutz-Grundverordnung) ist die Nutzungspflicht von verschlüsselten Webseiten im Internet, sobald Daten übermittelt werden. Diese Webseiten sind über die Adressleiste mit “https://” und dem Schloss-Symbol zu erkennen. Wenn Deine Webseite diese Voraussetzung noch nicht erfüllt, sollte dies so schnell wie möglich nachgeholt werden.
Im folgenden Video bekommst Du einen Überblick was es hinsichtlich Eintrageformulare, Freebies und Koppelungsverbot auf sich hat:
SSL-Verschlüsselung – auf https:// umstellen
Aber Achtung: Wichtig bei der Umstellung auf https:// ist, dass Du hierbei keinen Fehler machen darfst. Das ist möglicherweise ein nicht ganz einfacher Prozess, denn es ist wichtig, alles ganz genau umzusetzen, damit man keine Rankings bei Google verliert. Wie die Umstellung genau erfolgt, hängt einerseits vom Hoster und den dort angebotenen SSL-Zertifikaten ab, sowie den Einstellungen, die Du dort machen kannst.
Grob gesagt gibt es kostenlose und kostenpflichtige SSL-Zertifikate. Welche es bei Deinem Hostinganbieter genau gibt und was die kosten, hängt von Deinem Hoster ab. Teilweise ist bereits ein SSL-Zertifikate im Hostingpaket mit inbegriffen. Gewisse Hosting-Anbieter geben Dir auch die Möglichkeit direkt in Deinem Account ein kostenloses SSL-Zertifikat mit Let’s Encrypt einzubinden. Oder Du kannst evtl. auch ein anderswo gekauftes SSL-Zertifikat entsprechend auf dem Server installieren lassen.
https:// Umstellung und was zu beachten ist
Kleine Fehler bei der Umstellung auf https:// (etwas zu übersehen) kann fatale Auswirkungen auf Dein Projekt haben. Das beginnt bei der Indexierung in Google, geht weiter über die interne Verlinkung und weitere technische Aspekte, die richtig angewandt werden müssen, damit Du keine Nachteile nach der Umstellung hast. Der Knackpunkt ist weniger die https://-Umstellung selbst, als dass dadurch nicht doppelte Inhalte entstehen (Double Content), weil nun Deine Inhalte sowohl über http:// und https:// faktisch doppelt vorhanden sind und Google diese auch doppelt indexieren würde, wenn Du nicht gewisse Dinge berücksichtigst.
Warum sollte die Webseite auf https:// umgestellt werden?
Fakt ist jedoch, Du musst aus rechtlichen Gründen diese https://-Umstellung zwangsweise vornehmen, wenn Du mindestens ein Kontaktformular auf Deiner Webseite hast oder auch nur schon Kommentare zulässt. Denn beim Abgeben eines Kommentars wird die E-Mailadresse abgefragt und diese zusammen mit der IP-Adresse an den Server übertragen. Die Vorschrift ist nun, dass die Übertragung dieser Daten verschlüsselt erfolgen muss. Du musst also schnellstmöglich handeln.
Vorteile von der Website-Umstellung auf https://
Wenn alles richtig und ordnungsgemäß auf https:// umgestellt worden ist, erhält Dein Projekt zusätzlich einen nennenswerten Ranking-Boost bei Google, da https seit einiger Zeit auch ein Ranking-Faktor von Google ist! Das heisst, wenn es 2 Webseiten mit qualitativ vergleichbaren Inhalten gibt, wird diejenige Website höher gerankt, die über https:// erreichbar ist. So hat diese rechtliche Verpflichtung auch einen Vorteil für SEO und Dein Business.
DSGVO Datenschutzerklärung
Zusätzlich gibt es die Pflicht eine neue und rechtskonforme (DSGVO angepasste) Datenschutzerklärung zu integrieren, die individuell auf Dein Projekt angepasst sein muss, daher evtl. einen Fachanwalt beiziehen. Es gibt jedoch kaum bis keine Anwälte, die sowohl eine rechtskonforme Datenschutzerklärung erstellen und zusätzlich die Umstellung auf https und die gesamte technische Umsetzung für die Suchmaschinenoptimierung (SEO) umsetzen können.
Im eRecht24 Premium-Bereich steht Dir auch ein DSGVO konformer Datenschutz-Generator zur Verfügung, mit dem Du die entsprechenden spezifischen DSGVO-Texte einfach selbst generieren kannst. Ebenso kannst Du Dir von dort das eRecht24-Siegel für eine reschtssichere Datenschutzerklärung in Deine Webseite einbauen.
Neues Impressum erstellen in Zusammenhang mit der DSGVO
Ebenso solltest Du Dein Impressum angepasst an die neue EU-DSGVO erstellen und auf Deiner Webseite veröffentlichen. Bei eRecht24 gibt es zwar einen kostenlosen Impressums-Generator, allerdings ist dabei zu beachten, dass die vollumfänglichen Möglichkeiten, inkl. der DSGVO Bereich den Premium-Mitgliedern von eRecht24 vorbehalten ist. Damit Du auf alle Features zugreifen kannst und z.B. auch das eRecht24-Siegel für reschtssicheres Impressum auf Deiner Webseite einsetzen, solltest Du Dir deshalb eRecht24 Premium gönnen.
Bitte spreche mit Deinem Webmaster über die allenfalls notwendige Umstellung auf https://, sofern Du das nicht selbst umsetzen willst oder kannst.
DSGVO und worauf es wirklich ankommt
Aus meiner Sicht sind vor allen Dingen folgende Punkte bezgl. der DSGVO entsprechend prioritär zu korrigieren und anzupassen:
1. SSL-Verschlüsselung – Umstellung auf https://
Entsprechend umsetzen, wie bereits weiter oben beschrieben oder sprich mit Deinem Webmaster oder melde Dich bei mir.
2. Landingpages und alle Seiten mit Eintrageformulare anpassen
Auch solche Eintrage-Formulare, die nicht über einen Maildienstleister wie Klick-Tipp, Getresponse, Mailchimp, etc., laufen, sind entsprechend anzupassen, also auch Formulare, die mit dem kostenlosen Plugin Contact Form 7 erstellt wurden.
Es geht im wesentlichen um die Verhältnismässigkeit und dass nur Daten abgefragt werden dürfen, die auch zur Auslieferung der gewünschten Informationen benötigt werden. Das heisst, für die Auslieferung eines einfachen Freebies, z.B. einer pdf-Checkliste, benötigt man nicht zwingend eine E-Mailadresse, sondern die kann direkt als pdf-Download zur Verfügung gestellt werden, schon gar nicht wird dazu Name und Vorname benötigt, Die zusätzliche Möglichkeit der freiwilligen Eintragung in eine Liste kann optional sein und vor allem freiwillig sein. Die bisher gängige Strategie mit den Freebies, also kostenlose Inhalte gegen die Kontaktdaten (als quasi Bezahlung), muss entsprechend angepasst und umformuliert werden (siehe dazu auch den nächsten Punkt “Koppelungsverbot”).
Wichtig: Nur E-Mail-Adressen über das Double-Opt-in-Verfahren sammeln und/oder die Zustimmung und Kenntnisnahme der Bestimmungen explizit durch setzen eines Hakens in eine Checkbox, bestätigen lassen. Im Ernstfall musst Du diese Einwilligung beweisen können.
3. Koppelungsverbot DSGVO
Das Koppelungsverbot besagt, dass jemand, der etwas kostenloses zum Thema x angefordert hat, nicht ohne weitere explizite Zustimmung in der “allgemeinen Newsletter-Liste” oder Listen zu anderen Themen landen darf. Das bedingt also eine Anpassung der bisher üblichen Praxis bezgl. Autoresponder-E-Mails, Newslettern und Zusendung weiterer anderer Angebote und/oder Werbung.
Solchen zusätzlichen Listen-Eintragungen oder Zustimmungen könnte z.B. mittels Checkboxen beim jeweiligen Anmeldeformular freiwillig noch zugestimmt werden. (freiwillige Eintragung und unabhängig vom hier angeforderten Produkt).
Oder auch könnte die Checkliste (Freebie) direkt als Download auf der Webseite angeboten werden und optional und freiwillig gibt es noch das Formular für den Eintrag in den Newsletter.
Oder man baut Eintrageformulare für den Newsletter auf Auslieferungs- und Dankesseiten ein, so dass man einfach weiter Möglichkeiten nutzt, um den Kontakt doch noch in die Newsletter- oder eine andere Liste zu bekommen. So eine Eintragung muss jedoch freiwillig und unabhängig von z.B. dem Freebie sein.
4. Impressum, Datenschutzerklärung und Haftungsausschluss
Ersetze Dein bisheriges Impressum, die bisherige Datenschutzerklärung und den bisherigen Haftungsausschluss durch die neue jeweils DSGVO konforme Ausführung (und baue evtl. die eRecht24-Siegel mit ein).
5. Vereinbarungen zur Auftragsdatenverarbeitung
Schliesse mit dem Hoster, dem E-Mail-Dienstleister (Klick-Tipp, Getresponse, etc.), Cloud-Diensten (Google Drive, Dropbox, usw.), Google Analytics, Bewertungs- und Vergleichsdiensten, usw. jeweils die Vereinbarung zur Auftragsdatenverarbeitung ab. Bei Klick-Tipp kannst Du diese beispielsweise direkt in Deinem Account bestellen. Für die Vereinbarung mit Google Analytics lädst Du die gesamten 18 Seiten herunter, druckst sie aus, ergänzt an den vorgesehenen Stellen die Daten und unterschreibst es. Dann schickst Du alles an Google nach Irland, wo es von Google ebenso unterzeichnet wird und wieder an Dich zurückgeschickt wird.
Im englischsprachigen Raum ist der Begriff GDPR das Pendent zu DSGVO. Wenn Du englischsprachige Tools nutzt, suche dort also nach Informationen zu GDPR, Data Processing Agreemen, EU’s new Data Privacy Law oder ähnlichen Themen, um die Vereinbarung zur Datenverarbeitung zu finden.
Bei Mailchimp kannst Du die Auftragsdatenverarbeitung hier direkt online ausfüllen und generieren lassen und anschliessend herunterladen und ausdrucken.
Sämtliche Vereinbarungen zur Auftragsdatenverarbeitung heftest Du bei Dir ab, damit Du diese vorzeigen kannst, wenn es nötig wäre.
Wo werden Daten gesammelt und verarbeitet:
- Hosting
- E-Mail-Dienstleister
- Buchungstools
- Zahlungsanbieter
- Terminplanungstools
- Vergleichstools für Versicherungen, usw.
- Google Drive
- Dropbox
- Planungs- und Teamarbeitstools wie Trello
- Schnittstellen wie Zapier
- Webinar-Plattform
6. DSGVO konformes Sharing-Tool von eRecht24 oder Sharif verwenden
Verwende Alternativen anstelle der bisherigen Like- und Social Sharing-Plugins, von denen die meisten bereits heute schon nicht mit dem deutschen Datenschutz konform sind. Daher also auch hier unbedingt nachbessern! Wichtig ist hierbei, dass diese Tools erst Daten an Facebook und Co. übertragen, wenn der User auf den Button drückt und dies bestätigt, also nicht schon beim Aufruf der Seite, wie bei den allermeisten Like- und Share-Plugins.
Als eRecht24 Premium-Nutzer kannst Du das eRecht24 Sharing Tool einsetzen. Eine weitere Möglichkeit bietet sich mit dem kostenlosen Sharif-Plugin.
7. Google Analytics Opt-out
Für Google Analytics muss es zwingend eine Opt-out-Möglichkeit geben, d.h. der User muss durch einen einfachen Klick einstellen können, dass seine Session nicht über Google Analytics verfolgt wird. Damit das überhaupt realisiert werden kann, muss einerseits erst der “normale” Analytics-Code “modifiziert” werden und ein Opt-out-Link gesetzt werden. Natürlich muss die Datenübertragung an Analytics auch anonymisiert sein, das ist bereits heute schon gemäss deutschem Datenschutzgesetz so vorgeschrieben.
Für den Einsatz in Zusammenhang von Google Analytics gibt es z.B. das WordPress-Plugin “Google Analytics for WordPress by MonsterInsights“, bei dem in der kostenlosen Version zwar die Anonymisierung eingestellt werden kann, jedoch nicht die Opt-out-Funktion enthalten ist. Daher gibt es für diesen Zweck passend ein weiteres mit MonsterInsights zusammen arbeitendes Plugin, Google Analytics Opt-out“. Das geht jedoch noch einen Schritt weiter und hat den Nachteil, dass auch das “Opt-in”, also das Tracking mit Analytics explizit erlaubt werden muss, bevor es zustande kommt. Eine weitere, andere Möglichkeit das vorgeschriebene Analytics Opt-out anzuwenden beschreibe ich Dir im nächsten Punkt.
8. “Erweiterter” Cookie-Hinweis
Wahrscheinlich hast Du bereits den “normalen” Cookie-Hinweis im Einsatz (der entgegen der weit verbreiteten Meinung jedoch nicht unbedingt nötig wäre). Wir kennen den von vielen Webseiten her und den können wir entsprechend “modifiziert” auch für das Analytics Opt-out verwenden. Wichtig ist hierbei, dass das Opt-out für Google Analytics dort mit drin ist (der normale bisher bekannte Cookie-Hinweis reicht dazu nicht aus).
Das kann dann mit dem bekannten allgemeinen Cookie-Hinweis kombiniert so aussehen, wie auf dem folgenden Bild.
9. Die Erstinformation
Die Erstinformation wie sie in Zusammenhang mit Finanzdienstleistungen vorgeschrieben ist, entsprechend auf den neuesten Stand bringen.
Wichtig ist in diesem Zusammenhang, dass wenn sich auf der Seite z.B. ein Vergleichsrechner befindet, die Daten des Interessenten erst eingetragen werden können, wenn vorher zwangsläufig die Erstinformation eingeblendet wurde, resp. sogar per Zwangsdownload heruntergeladen wurde, damit nun von deren Kenntnisnahme ausgegangen werden kann.
Zum kostenlosen Impressums- und Erstinformations-Generator von Digidor (Expertenhomepage)
10. AGBs und Widerrufsbelehrung
Auch die AGBs und die Widerrufsbelehrung entsprechend auf den neuesten Stand bringen und wo nötig der DSGVO anpassen.
Fazit zur Umsetzung der DSGVO
Viele Dinge sind noch mehr oder weniger unklar oder man ist sich nicht einig wie und in welcher Form gewisse Einzelheiten genau umgesetzt werden können, resp. welche Varianten erlaubt sind oder nicht. Es gibt bezüglich der Auslegung der DSGVO strenge und eher weichere Ansätze.
Beispielsweise sehen bisher die Gerichte die “Bezahlung” eines eBooks mit der E-Mailadresse nicht als solche an. Wenn ich z.B. ein eBook zum Preis x anbiete und gleichzeitig daneben als kostenlosen Download gegen die E-Mailadresse, hat der User zwar die Auswahlmöglichkeit, inwieweit dass das gesetzlich auch toleriert werden wird, werden die Erfahrungen und erste Urteile zeigen müssen.
Dass das hin und her über gewisse nicht klar definierten Auslegungen und das Ausloten der Grenzen nicht auf Deinem Rücken ausgetragen wird, solltest Du genau darum die bisher übliche Freebie-Strategie überdenken und entsprechend anpassen.
So könnten die verschiedenen Kapitel eines eBooks als kostenlosen Kurs in einem Mitgliederbereich zur Verfügung gestellt werden. Somit benötigt man die E-Mailadresse, um den Memberzugang ausliefern zu können. Oder man erstellt die Inhalte als E-Mail-Kurs, wo man in mehreren aufeinanderfolgenden Mails die Inhalte vermittelt.
Auch Deine Eintrageformulare solltest Du unter Berücksichtigung des DSGVO Koppelungsverbots entsprechend anpassen und die Opt-out-Möglichkeit für Analytics implementieren.
DSGVO-Kurs
