Im dritten Teil meiner Artikelserie über die DSGVO komme ich nun zu den weiteren Informationspflichten für Website- und Blogbetreiber. Diese Pflichten betreffen vor allem das Impressum und die Datenschutzerklärung.
Ein Impressum und eine Datenschutzerklärung waren schon vor der DSGVO sogenannte Pflichtangaben auf geschäftlichen Websites.
Hinweis: Ich bin keine Anwältin, daher gebe ich in diesem Beitrag nur meine persönliche Meinung wider. Es handelt sich NICHT um eine Rechtsberatung. Falls du konkrete Hilfe bei der Umsetzung der DSGVO auf deiner Website benötigst, solltest du einen Rechtsanwalt heranziehen.
Anpassung des Impressums
Soweit ich weiß, kommen auf das Impressum keine Neuanpassungen zu, wer sich allerdings vergewissern will, was alles in ein korrektes Impressum gehört, sollte z. B. den kostenlosen Impressumsgenerator von e‑Recht 24 verwenden. Vielleicht haben sich doch kleinere Fehler in das Impressum eingeschlichen, die man nicht gemerkt hat (wie u. a. ein abgekürzter Vorname), die abgemahnt werden können.
Von Zeit zu Zeit sollte man ohnehin überprüfen, ob die Pflichtangaben auf seiner Website auf dem aktuellen Stand der Dinge sind.
DSGVO-konforme Datenschutzerklärung
Bei der Datenschutzerklärung sieht das schon anders aus. Die bisherige kann den neuen Anforderungen nach ausführlichen und verständlich formulierten Informationen zur Speicherung und Verarbeitung von personenbezogenen Daten, zu Rechten der Betroffenen, zu Löschfristen und zur Verwendung von Tools, Plugins etc. nicht mehr nachkommen.
Daher muss dieser Text auf alle Fälle überarbeitet bzw. vollständig ausgetauscht werden.
Glücklicherweise gibt es Online-Datenschutzgeneratoren, die einem die Arbeit abnehmen. Ohne sie könnte man diesen Text nicht ohne juristischen Beistand korrekt erstellen.
Doch welche Datenschutzgeneratoren sind schon auf dem neuesten Stand? Ich habe zwei gefunden, einmal den kostenlosen Generator von dg-datenschutz.de und den kostenpflichtigen von e‑recht24.de.
Kostenloser Datenschutzgenerator von dg-datenschutz.de
Angeboten wird dieser von der deutschen Gesellschaft für Datenschutz, die ihren Mandanten verschiedene Dienstleistungen wie Datenlöschung, externer Datenschutzbeauftragter, Datenschutz-Audit und weitere Services rund um den Datenschutz anbietet.
Der kostenlose Datenschutzerklärungs-Generator ist vor allem für Website-Betreiber nützlich.
Zuerst gibt man einige Daten zur eigenen Firma ein und markiert in 9 thematisch untergliederten Bereichen von Allgemeines bis Sonstiges Dinge an, die man auf seiner Website einsetzt, ob nun Google Analytics, verschiedene Affiliate-Netzwerke, Social Media, bestimmte WordPress-Plugins usw.
Bild: Datenschutzgenerator von dg-datenschutz.de
Der Datenschutzgenerator deckt wirklich viel ab, vor allem externe Dienstleister und wichtige Online-Dienste finden sich darin.
Ich habe mit dem Generator eine Datenschutzerklärung erstellt, die den Umfang von einem kleinen Ebook hat (über 25 Seiten). Sehr ausführlich behandelt werden in ihr die Informationen zur Löschung von personenbezogenen Daten und der Bereich zu Anbieter und Dienste im Online-Marketing. Jedes Dritt-Tool und jede Einnahmequelle wird unter einer eigenen Überschrift aufgeführt.
Auch die notwendigen Opt-Out-Möglichkeiten finden sich in den jeweiligen Textabschnitten.
Kostenpflichtiger Datenschutz-Generator von e‑recht24.de
Auf e‑recht24.de findet sich neben dem kostenlosen Impressumsgenerator auch ein kostenloser Datenschutzgenerator, der allerdings nicht alle wichtigen Informationen für geschäftliche Website-Betreiber liefert. Viele Informationen sind nur für Premiumkunden von e‑Recht 24 zugänglich.
Ich bin dort zahlendes Mitglied (für knapp 17 Euro pro Monat) und habe daher Zugang zu dem kompletten Inhalt. Auch dieser ist in verschiedene Bereiche unterteilt (siehe Screenshot) und man hakt alles Zutreffende ab.
Bild: Premium-Datenschutzgenerator von e‑Recht24.de
Neben Newsletter, Analysetools, Social Media, Plugins und Partnerprogrammen sind auch Google Webfonts integriert. Der Hinweis zu Google Webfonts fehlt dagegen beim Datenschutzgenerator von dg-datenschutz.de, dafür ist bei e‑Recht 24 von den Partnerprogrammen nur Amazon aufgeführt. In diesem Bereich ist der andere Generator umfangreicher mit der Einbindung von affilinet, Tradetracker, Tradedoubler, Belboon und Zanox.
Auch die Hinweistexte zu den Rechten der Betroffenen ist bei e‑Recht 24 weitaus kürzer gefasst. Dafür findet sich der Code für das Google Analytics Opt-Out-Cookie in dem Generator und die Erläuterung, wie dieser eingebaut werden sollte.
Die generierte Datenschutzerklärung von e‑Recht 24 liegt mit ca. 10 Seiten deutlich unter dem Umfang der von dg-datenschutz.de.
Man sieht an diesen beiden Generatoren, dass sie sich im Inhalt und Umfang stark unterscheiden, was zeigt, dass es keine eindeutige Definition für die Gestaltung einer Datenschutzerklärung gibt.
Erstellung der eigenen Datenschutzerklärung
Für die eigene Datenschutzerklärung sollte man am besten beide Generatoren heranziehen und die Passagen übernehmen, die für die eigene Website gelten, also alle personenbezogenen Daten aufführen, alle externen Tools, die Daten erfassen sowie ein Opt-Out einbinden.
Wenn du deine Website genau analysiert hast, wirst du wissen, welche Tools du verwendest und wo du Daten speicherst. Dann fällt es dir einfach, deine individuelle Datenschutzerklärung mithilfe der beiden Generatoren zusammenzustellen.
Wahrscheinlich wird es im Laufe der Zeit weitere Anpassungen der Datenschutzerklärung geben, wenn die DSGVO endlich in Kraft tritt und einige Gerichtsentscheidungen dazu anstehen werden. Daher solltest du das Thema immer im Auge behalten und dich über neue Anpassungen informieren.
Im nächsten Jahr wird die ePrivacy-Verordnung kommen und was dann noch von den jetzigen Regelungen gelten wird, muss sich zeigen.
Meine Datenschutzerklärung
Meine Datenschutzklärung ist eine Mischung aus beiden Generatoren. Das meiste stammt aus dem Generator von e‑Recht 24, doch Passagen über Partnerprogramme habe ich von dem anderen Generator übernommen.
Außerdem finden sich in meiner Datenschutzerklärung Texte von anderen Partnerprogrammen, die weder in dem einen noch in dem anderen Generator vorkommen, z. B. von finanzen.de oder blogfoster. Diese Texte habe ich von den jeweiligen Partnerprogrammen.
Anpassung der Kontaktformulare
Mit der DSGVO sollen in Formularen ein Hinweis und eine Checkbox eingebunden werden, die auf die Datenschutzklärung verweist. Mit dem Setzen des Häkchens soll der User seine Zustimmung für die Erfassung und Speicherung der Daten geben. Darüber hinaus soll man noch hinzuschreiben, dass der User seine Einwilligung per Mail widerrufen kann.
In Blogs gibt es die üblichen Kommentarformulare. Auch hier müsste eine solche Checkbox eingebunden werden. Um diese Checkboxen einzubinden, bietet sich das WordPress-Plugin WP GDPR Compliance an. Damit kannst du in dein Kontaktformular (wenn du das Plugin Contact Form 7, Gravity Forms oder WooCommerce verwendest) und in dein Blog-Kommentarformular eine Checkbox einbinden.
Da in WooCommerce Rezensionen auch als Kommentare gewertet werden können, sollte auch dort eine Checkbox in das Rezensionsformular integriert werden.
Ob diese Umsetzung hundertprozentig rechtssicher ist, kann ich nicht sagen, das wird erst die Zeit zeigen.
Wer auf seiner Website oder seinem Blog ein Kontaktformular verwendet, sollte seinen Internetauftritt auf SSL umstellen, denn für die Übertragung personenbezogener Daten ist eine Verschlüsselung zukünftig ein Muss.
Mein Kontaktformular
Ich habe das Plugin WP GDPR Compliance dafür genutzt und eine Checkbox in das Kontaktformular als auch in das Kommentarformular eingebunden.
Hinweis in meinem Kontaktformular bezüglich der Speicherung und Verarbeitung von Userdaten
Neben der Checkbox habe ich noch die beiden folgenden Sätze eingefügt:
Du kannst deine Einwilligung jederzeit für die Zukunft per Mail an info@geld-online-blog.de widerrufen.
Detaillierte Informationen zum Umgang mit Nutzerdaten findest du in der Datenschutzerklärung.
So sieht der Hinweis im Kommentarformular aus. Etwas unschön formatiert, aber was soll’s.
Cookie-Banner
Cookie-Banner werden wohl auch mit der DSGVO weiter genutzt, auch wenn ich dazu so gut wie keine Infos gelesen habe. Da aber in der Datenschutzerklärung auf Cookies hingewiesen wird, sollte der Banner auf der Website vorzufinden sein, so verstehe ich es zumindest.
Für diesen Banner verwende ich seit längerem das Plugin Cookie Consent, das recht einfach einzustellen ist. Das Plugin legt automatisch eine Seite mit dem Titel Cookies Policy an, die ich wieder lösche, denn ich verweise auf meine Datenschutzerklärung und nicht auf diese vom Plugin generierte Standardseite.
Der Cookie-Banner weist auf die Nutzung von Cookies hin und ermöglicht dem Website-Besucher über einen Hinweis-Link den Besuch der Datenschutzerklärung, in der er über Opt-Out-Möglichkeiten informiert wird.
Fazit
Aus meiner Sicht ist dieser Teil — Erneuerung bzw. Anpassung der Datenschutzerklärung und Anpassung des Kontaktformulars — der einfachste Teil der DSGVO-Umsetzung. Website-Analyse und die Erstellung des Verarbeitungsverzeichnisses sind deutlich komplexer und zeitintensiver.
Schließlich kann man für diesen Schritt einen Datenschutzgenerator heranziehen. Was wäre die Welt ohne einen solchen Generator? Ich mag es mir nicht vorstellen. :-)
Gerade die Datenschutzerklärung dürfte im Fokus von vielen Abmahnvereinen und Anwälten stehen. Daher kann ich nur empfehlen, bei der Erstellung der Datenschutzerklärung sorgfältig und genau vorzugehen. So kannst du das Abmahnrisiko deutlich reduzieren.
Was mir auch schon aufgefallen ist: Manche Website-Betreiber waren bei ihrer Datenschutzerklärung übereifrig und haben alle Textpassagen aufgenommen, die es gibt, auch wenn sie kein Google AdSense oder Google Analytics verwenden, keine Affiliate-Programme einsetzen oder keine Google Map-Karte integriert haben.
Wahrscheinlich aus Angst, irgendwas falsch zu machen oder etwas vergessen zu haben. Doch viel hilft in diesem Falle nicht viel. So sollte man nicht vorgehen, denn schließlich täuscht man die Website-Besucher mit unkorrekten Angaben.
Verwende nur die Passagen, die für deine Website in Betracht kommen, damit deine Website-Besucher korrekt informiert werden, falls sie sich die Datenschutzerklärung anschauen. Im nächsten Teil meiner DSGVO-Artikelreihe gehe ich auf WordPress-Plugins und deren möglichen Probleme mit der DSGVO ein.