hanseranking GmbH
Sie als Website- oder Webshopbetreiber haben sich sicherlich schon mit der Thematik der DSGVO befasst. Seit ihrer Einführung im Mai 2016 und ihrem Inkrafttreten im Mai 2018 ist die befürchtete Abmahnwelle zwar noch eher gering ausgefallen, nichtsdestotrotz sollten Sie sich absichern und Ihre Website oder Ihren Webshop den Bestimmungen der DSGVO und der ePrivacy-Verordnung entsprechend anpassen. Mit einer endgültigen Verabschiedung der ePrivacy-Verordnung rechnet man derzeit nicht vor Ende 2021, aber das bisherige Opt-out-Verfahren ist schon jetzt nicht mehr zulässig. Der User muss der Speicherung seiner Daten durch das Setzen von Cookies aktiv (Opt-in-Verfahren) zustimmen.
Die meisten Websites und Onlineshops wurden mit WordPress, Shopware oder anderen CMS-Systemen und deren Plug-ins erstellt. Da stellt sich die Frage, wo überall rechtliche Fallstricke lauern könnten und wie Sie diese am besten umgehen können. Generell betrifft das jede mit WordPress oder anderen CMS- oder Shopsystemen erstellte Seite, da sie zumindest immer die IP-Adresse des Users speichert. Nur private Seiten, die keinerlei Analysetools nutzen und keinerlei Werbung machen, sind ausgenommen. Wir möchten Ihnen in diesem Beitrag die größten Risiken und einige Lösungsvorschläge vorstellen.
WICHTIGER HINWEIS
Dieser Beitrag erhebt keinen Anspruch auf Vollständigkeit, Richtigkeit oder Aktualität. Er ist im besten Wissen und Gewissen verfasst, stellt aber in keiner Form eine Rechtsberatung dar. Der Verfasser ist kein Jurist oder Datenschutzbeauftragter und wir übernehmen keinerlei Haftung. Wir empfehlen Ihnen daher, Ihre Website und Ihren Webshop von einem Fachanwalt auf Fehler untersuchen zu lassen oder einen Datenschutzbeauftragten zurate zu ziehen!
Stark vereinfacht: Die DSGVO schützt die persönlichen Daten der User. Unter persönliche Daten fallen alle Informationen, die konkrete Rückschlüsse auf die noch lebende und natürliche Person oder auch juristische Person wie Vereine oder Unternehmen zulassen. Also beispielsweise Namen, IP-Adresse, Bankverbindung, Alter, Geschlecht, Wohnort, Vorlieben und vieles mehr.
Betroffen sind Unternehmen und einfache Betreiber einer Website mit Sitz in der EU und solche, die personenbezogene Daten über EU-Bürger erheben, verarbeiten und nutzen. Besonderen Schutz durch die DSGVO erhalten Minderjährige unter 16 Jahren. Hier müssen die Eltern die Einwilligung zur Speicherung von Daten geben, weswegen viele Unternehmen von der Speicherung dieser Daten absehen. Eine Benennung eines internen oder externen (günstiger) Datenschutzbeauftragten ist ab einer Anzahl von neunzehn Mitarbeitern Pflicht für jedes Unternehmen.
Der Verwendung von Cookies muss aktiv durch Opt-in vom User zugestimmt werden. Ausnahmen sind nur technisch notwendige Cookies (Warenkorbinhalte etc.) und solche für das Zählen der Besucher.
Die DSGVO bestimmt, wie viele personenbezogene Daten des Users gesammelt, verarbeitet, weiterverbreitet und für wirtschaftliche Zwecke genutzt werden dürfen. Der User muss über die Verwendung seiner Daten informiert werden. Er hat ein Auskunfts-, Lösch- und Widerspruchsrecht. Dies müssen Sie ihm durch ein Pop-up mitteilen und ihm dort die Wahlmöglichkeit zum Umfang der Datenspeicherung (Cookies) geben.
Schlimmstenfalls kann Ihnen, wenn Sie gegen die DSGVO verstoßen, ein Bußgeld in Höhe von 20 Millionen Euro oder 4 Prozent des Jahresumsatzes drohen. Dies ist aber unseres Wissens bei kleinen und mittelständischen Unternehmen noch nicht vorgekommen.
Wenn Sie Fotos im Rahmen von Pressearbeit (Magazin, Blog, Zeitung etc.) online nutzen, gilt die Einschränkung der DSGVO für Sie nicht. Nutzen Sie die Fotos für Werbung und PR, sieht die Sache allerdings anders aus. Dabei spielt es auch keine Rolle, ob es sich um eine Einzelperson oder Gruppe handelt, die zu sehen ist. Aber auch bei beispielsweise Vereinsmitgliedern bedarf es keiner gesonderten Erlaubnis, wenn diese bereits in der Vereinssatzung geschrieben steht. Personen des öffentlichen Interesses, wie Politiker, Schauspieler und Sänger sind ebenfalls Sonderfälle. Auch bei Konzerten und anderen Veranstaltungen, bei denen keine Person gezielt herausgehoben wird, sind keine Zustimmungen erforderlich.
Ausnahmen bilden Gruppen, die nicht das Hauptmotiv sind und, wenn Sie beispielsweise einen Weihnachtsmarkt oder Sportveranstaltung fotografieren, dort einfach zufällig als Beiwerk im Bild auftauchen. Bei allen anderen brauchen Sie oder der Fotograf dessen Werk. Sie nutzen eine Einwilligung der fotografierten Person oder Personen. Diese sollten Sie im besten Fall schriftlich einholen, aber auch mündliche Zusagen sind zulässig und ein Lächeln in die Kamera kann ebenfalls als Zustimmung gewertet werden.
Nicht ohne ausdrückliche Zustimmung veröffentlicht werden dürfen:
Eine DSGVO-konforme Datenschutzerklärung können Sie entweder über zahlreiche kostenlose Onlinetools, wie zum Beispiel „Mein Datenschutzbeauftragter“, „SOS-Recht“ oder „Datenschutz-Generator“ erstellen oder – besser – diese danach von einem Fachanwalt auf Ihr Unternehmen anpassen lassen.
Das Pop-up ist die einfachste Lösung, ihre Website- oder Shop-Besucher zur Zustimmung der Datensammlung aufzufordern. Ideal ist die Möglichkeit, dem User die Wahl zu lassen, welcher Datenspeicherung er zustimmt, anstatt dies pauschal zu erlauben. Nach dem Hinweis zur Cookie-Nutzung wie beispielsweise „Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre User-Experience zu verbessern.“ sollte die Wahlmöglichkeit zwischen „Essenziell“, „Statistiken“, „Marketing“ und „Externe Medien“ bestehen und die „Essenziellen Daten“ voreingestellt sein. Ein etwas farblich hervorstechender Button „Allen zustimmen“ kann aber ebenfalls über dem Button „Speichern“ sinnvoll sein, statt den User alle einzeln zustimmen zu lassen, da er sich sonst in der Regel auf die „Essenziellen Daten“ beschränken wird.
Neben der standardmäßigen Speicherung der IP-Adresse bei mit CMS-Systemen erstellten Seiten und der Speicherung von Cookies, die vom User ausgewählt werden müssen, gibt es noch weitere Fallen in die Sie als Betreiber einer Website oder eines Webshops tappen können.
Betreiber von privaten nicht kommerziellen Blogs und Websites, die mit WordPress erstellt wurden, wähnen sich oft in Sicherheit und meinen, die DSGVO und die kommende verschärfte ePrivacy-Verordnung beträfe nur Unternehmen, Vereine, Freiberufler, Kleinunternehmer und Selbstständige. Das ist im Kern zwar korrekt, aber so ziemlich jede mit WordPress erstellte Seite speichert die IP-Adressen der Nutzer und bietet Analyse-Tools und einiges mehr, was sie rechtlich nicht mehr zur „privaten Website“ macht. Generell gilt, wenn Sie in irgendeiner Weise personenbezogene Daten speichern, diese auf die Nutzung für den zuvor angegebenen Zweck zu beschränken und nur so lange zu speichern, wie unbedingt nötig. Sie müssen die Sicherheit der Daten gewährleisten und die Bearbeitung dokumentieren. Ein wichtiger Schritt ist die Umstellung von der einfachen kostenlosen Verschlüsselung mit http:// auf die wesentlich sicherere und kostenpflichtige mit https://, falls noch nicht erfolgt. Die gängigen Browser empfehlen den Usern, die Seiten mit http nicht zu besuchen und markieren diese als unsicher.
Klingt alles sehr kompliziert, daher hat WordPress einige Plug-Ins, die Ihnen dabei helfen, Teile der DSGVO umzusetzen. Wir haben für Sie unsere Top 10 DSGVO-Plug-ins einmal zusammengestellt.
Neben dem Marktführer WordPress gibt es noch andere CMS-Systeme, die sich ebenfalls auf die DSGVO eingestellt haben:
Joomla
Seit der Version 3.9 beinhaltet Joomla eine Privacy Tool Suite die u. a. die folgenden Features bietet:
Zudem bietet das Plug-in „System – Datenschutz Zustimmung” eine einfache Opt-in-Möglichkeit.
Drupal
Bei Drupal gibt es sieben relevante Module für die DSGVO, die aber bisher hauptsächlich nur in Englisch verfügbar sind.
TYPO3
Das CMS-System TYPO3 setzt standardmäßig keine Cookies für anonyme Website-Besucher, sondern nur für relevante Funktionen und Zugriffe (Log-ins). IP-Adressen können anonymisiert werden und es verfolgt eine nocookie-Policy in Bezug auf die Einbettung von Drittanbietern. Die DSGVO-Bestimmungen werden vom Kernsystem ab Version TYPO3 v9 berücksichtigt. Sie können Daten als „sensibel“ einstufen und selbst festlegen wie lang die Daten gespeichert werden und sie auf Wunsch komplett löschen.
Zudem bietet TYPO3 noch Plug-ins, die es den Websitebetreibern einfacher machen, DSGVO-konform zu sein. Eins ist beispielsweise die TYPO3 Extension „rx_shariff“, die bei Social Media Seiten nur ein „Share-Links“ bietet und keine Userdaten speichert. Auf der Seite Typo3-Probleme.de finden Sie noch viele Anleitungen, wie Sie Ihre Seite für die DSGVO nachrüsten können. Es ist allerdings etwas unübersichtlich und mühsam.
Ob Sie Shopware oder Pickware für die Erstellung und den Betrieb Ihres Webshops nutzen, die Risiken und Pflichten in Bezug auf die DSGVO sind größtenteils gleich.
Ab zehn oder mehr Mitarbeitern, die mit personenbezogenen Daten arbeiten, besteht in der Regel die Benennungspflicht eines Datenschutzbeauftragten, der auf der Shopseite auch mit Kontaktdaten benannt werden muss. Auch müssen Sie darüber die entsprechende Datenschutzbehörde informieren. Ebenfalls muss ein Mitarbeiter für die operative Verantwortung des Datenschutzes festgelegt werden, der die alltäglichen Entscheidungen, wie den Abschluss von Auftragsdatenverarbeitungsverträgen mit Dienstleistern, trifft.
Die Shopsystem-Plug-ins werden bei Ihnen installiert, wodurch alle Daten auf Ihrem Server und nicht dem des Shopsystems liegen. Es werden demnach keine personenbezogenen Daten aus dem Shop des Nutzers an das Shopsystem übertragen, weswegen kein ADV-Vertrag nötig ist.
Versandadapter-Plug-ins hingegen übermitteln persönliche Daten an die Server der Versanddienstleister. Diese fallen unter das Postgeheimnis und sind daher nicht DSGVO-relevant. Kunden müssen der Weitergabe von E-Mail und Telefonnummer explizit in einer Checkbox, die bei den Shopsystemen im Frontend eingebunden ist, zustimmen.
Bei dem Plug-in für den Bankabgleich ist ein Drittanbieter eingebunden, mit dem Sie einen ADV-Vertrag abschließen sollten.
Prüfungen und Zertifizierungen von dem Händlerbund, Trusted Shops, Protected Shops oder der European Commision geben Ihrem Shop Sicherheit. Die Shopsysteme Shopware und Pickware arbeiten eng mit den Zertifizierungsstellen zusammen und erfüllen von ihrer Seite alle DSGVO-Anforderungen. Das bedeutet, dass sie alle nötigen Funktionen bereitstellen, um Ihren Shop DSGVO-sicher zu machen. Dabei liefern die Shopsysteme allerdings nur die technische Basis dafür. Die Installationen und entsprechenden Einstellungen müssen Sie als Betreiber selbst vornehmen. Die Shopsysteme haben einen Support, der Kunden damit hilft und es gibt es Plug-ins, die Ihnen diese Arbeit weitgehend abnehmen. Wir empfehlen hier die „DSGVO Toolbox“ von Netzperfekt. Sie bietet zur Umsetzung der DSGVO u. a.:
Activemind https://www.activemind.de/magazin/einfuehrung-eprivacy-verordnung/
Blogmojo über Datenschutz-Plug-ins https://www.blogmojo.de/wordpress-datenschutz-plugins/
Blogmojo über Cookie-Plug-ins https://www.blogmojo.de/wordpress-cookie-plugins/
Borlabs https://de.borlabs.io/borlabs-cookie/
Cookiebot https://www.cookiebot.com/de/
Europäische Kommission https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_de
Datenschutz-Generator https://datenschutz-generator.de/
Drupal https://www.drupal.de/
Drupal über GDPR-Compliance https://www.drupal.org/project/gdpr_compliance
Drupal über GDPR-Tag-Manager https://www.drupal.org/project/gdpr_tag_manager
Drupal über GDPR-Export https://www.drupal.org/project/gdpr_export
Drupal über GDPR-Consent https://www.drupal.org/project/gdpr_consent
Drupal über EU-Cookie-Compliance https://www.drupal.org/project/eu_cookie_compliance
Drupal über Blizz-Vanisher https://www.drupal.org/project/blizz_vanisher
Drupal über GDPR https://www.drupal.org/project/gdpr
DSGVO Pixel Mate https://wp-dsgvo-plugin.com/
Joomla https://www.joomla.de/
Mein-Datenschutzbeauftragter https://www.mein-datenschutzbeauftragter.de/datenschutzerklaerung-konfigurator/
Pickware https://www.pickware.de/
Ryte https://de.ryte.com/magazine/der-grosse-cms-vergleich-die-wichtigsten-systeme-im-check
Shopware https://www.shopware.com/de/
Shopware über die DSGVO-Toolbox https://store.shopware.com/netzp78065682636/dsgvo-toolbox.html/
SOS-Recht https://sos-recht.de/datenschutz/dsgvo-datenschutz-generator/
Typo3 https://typo3.org/
Typo3 über rx sharif https://extensions.typo3.org/extension/rx_shariff/
Typo3-Probleme http://www.typo3-probleme.de/2018/06/14/typo3-was-muss-beachtet-werden-dsgvo-2266/
WordPress über Google-Fonts https://de.wordpress.org/plugins/disable-google-fonts/
WordPress über Clearfy https://de.wordpress.org/plugins/clearfy/
WordPress über Meks Smart Social Widget https://de.wordpress.org/plugins/meks-smart-social-widget/#reviews
WordPress über Disable Google Fonts https://de.wordpress.org/plugins/disable-google-fonts/
WordPress über Google Analytics Germanized https://de.wordpress.org/plugins/ga-germanized/
WordPress über Smart User Slug Hider https://de.wordpress.org/plugins/smart-user-slug-hider/
WordPress über Really Simple SSL https://de.wordpress.org/plugins/really-simple-ssl/
