Im drit­ten Teil mei­ner Arti­kel­se­rie über die DSGVO kom­me ich nun zu den wei­te­ren Infor­ma­ti­ons­pflich­ten für Web­site- und Blog­be­trei­ber. Die­se Pflich­ten betref­fen vor allem das Impres­sum und die Daten­schutz­er­klä­rung.


Ein Impres­sum und eine Daten­schutz­er­klä­rung waren schon vor der DSGVO soge­nann­te Pflicht­an­ga­ben auf geschäft­li­chen Web­sites.

Hin­weis: Ich bin kei­ne Anwäl­tin, daher gebe ich in die­sem Bei­trag nur mei­ne per­sön­li­che Mei­nung wider. Es han­delt sich NICHT um eine Rechts­be­ra­tung. Falls du kon­kre­te Hil­fe bei der Umset­zung der DSGVO auf dei­ner Web­site benö­tigst, soll­test du einen Rechts­an­walt her­an­zie­hen.

Anpassung des Impressums

Soweit ich weiß, kom­men auf das Impres­sum kei­ne Neu­an­pas­sun­gen zu, wer sich aller­dings ver­ge­wis­sern will, was alles in ein kor­rek­tes Impres­sum gehört, soll­te z. B. den kos­ten­lo­sen Impres­s­ums­ge­ne­ra­tor von e‑Recht 24 ver­wen­den. Viel­leicht haben sich doch klei­ne­re Feh­ler in das Impres­sum ein­ge­schli­chen, die man nicht gemerkt hat (wie u. a. ein abge­kürz­ter Vor­na­me), die abge­mahnt wer­den kön­nen.

Von Zeit zu Zeit soll­te man ohne­hin über­prü­fen, ob die Pflicht­an­ga­ben auf sei­ner Web­site auf dem aktu­el­len Stand der Din­ge sind.

DSGVO-konforme Datenschutzerklärung

Bei der Daten­schutz­er­klä­rung sieht das schon anders aus. Die bis­he­ri­ge kann den neu­en Anfor­de­run­gen nach aus­führ­li­chen und ver­ständ­lich for­mu­lier­ten Infor­ma­tio­nen zur Spei­che­rung und Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, zu Rech­ten der Betrof­fe­nen, zu Lösch­fris­ten und zur Ver­wen­dung von Tools, Plugins etc. nicht mehr nach­kom­men.

Daher muss die­ser Text auf alle Fäl­le über­ar­bei­tet bzw. voll­stän­dig aus­ge­tauscht wer­den.

Glück­li­cher­wei­se gibt es Online-Daten­schutz­ge­ne­ra­to­ren, die einem die Arbeit abneh­men. Ohne sie könn­te man die­sen Text nicht ohne juris­ti­schen Bei­stand kor­rekt erstel­len.

Doch wel­che Daten­schutz­ge­ne­ra­to­ren sind schon auf dem neu­es­ten Stand? Ich habe zwei gefun­den, ein­mal den kos­ten­lo­sen Gene­ra­tor von dg​-daten​schutz​.de und den kos­ten­pflich­ti­gen von e‑recht24.de.

Kostenloser Datenschutzgenerator von dg​-daten​schutz​.de

Ange­bo­ten wird die­ser von der deut­schen Gesell­schaft für Daten­schutz, die ihren Man­dan­ten ver­schie­de­ne Dienst­leis­tun­gen wie Daten­lö­schung, exter­ner Daten­schutz­be­auf­trag­ter, Daten­schutz-Audit und wei­te­re Ser­vices rund um den Daten­schutz anbie­tet.

Der kos­ten­lo­se Daten­schutz­er­klä­rungs-Gene­ra­tor ist vor allem für Web­site-Betrei­ber nütz­lich.

Zuerst gibt man eini­ge Daten zur eige­nen Fir­ma ein und mar­kiert in 9 the­ma­tisch unter­glie­der­ten Berei­chen von All­ge­mei­nes bis Sons­ti­ges Din­ge an, die man auf sei­ner Web­site ein­setzt, ob nun Goog­le Ana­ly­tics, ver­schie­de­ne Affi­lia­te-Netz­wer­ke, Social Media, bestimm­te Wor­d­Press-Plugins usw.

Datenschutzgenerator von dg-datenschutz.de

Bild: Daten­schutz­ge­ne­ra­tor von dg​-daten​schutz​.de

Der Daten­schutz­ge­ne­ra­tor deckt wirk­lich viel ab, vor allem exter­ne Dienst­leis­ter und wich­ti­ge Online-Diens­te fin­den sich dar­in.

Lesen  DSGVO: Wie setze ich die neuen Bestimmungen um? 1. Analyse der personenbezogenen Daten

Ich habe mit dem Gene­ra­tor eine Daten­schutz­er­klä­rung erstellt, die den Umfang von einem klei­nen Ebook hat (über 25 Sei­ten). Sehr aus­führ­lich behan­delt wer­den in ihr die Infor­ma­tio­nen zur Löschung von per­so­nen­be­zo­ge­nen Daten und der Bereich zu Anbie­ter und Diens­te im Online-Mar­ke­ting. Jedes Dritt-Tool und jede Ein­nah­me­quel­le wird unter einer eige­nen Über­schrift auf­ge­führt.

Auch die not­wen­di­gen Opt-Out-Mög­lich­kei­ten fin­den sich in den jewei­li­gen Text­ab­schnit­ten.

Kostenpflichtiger Datenschutz-Generator von e‑recht24.de

Auf e‑recht24.de fin­det sich neben dem kos­ten­lo­sen Impres­s­ums­ge­ne­ra­tor auch ein kos­ten­lo­ser Daten­schutz­ge­ne­ra­tor, der aller­dings nicht alle wich­ti­gen Infor­ma­tio­nen für geschäft­li­che Web­site-Betrei­ber lie­fert. Vie­le Infor­ma­tio­nen sind nur für Pre­mi­um­kun­den von e‑Recht 24 zugäng­lich.

Ich bin dort zah­len­des Mit­glied (für knapp 17 Euro pro Monat) und habe daher Zugang zu dem kom­plet­ten Inhalt. Auch die­ser ist in ver­schie­de­ne Berei­che unter­teilt (sie­he Screen­shot) und man hakt alles Zutref­fen­de ab.

Datenschutz-Generator von e-recht24.de

Bild: Pre­mi­um-Daten­schutz­ge­ne­ra­tor von e‑Recht24.de

Neben News­let­ter, Ana­ly­se­tools, Social Media, Plugins und Part­ner­pro­gram­men sind auch Goog­le Web­fonts inte­griert. Der Hin­weis zu Goog­le Web­fonts fehlt dage­gen beim Daten­schutz­ge­ne­ra­tor von dg​-daten​schutz​.de, dafür ist bei e‑Recht 24 von den Part­ner­pro­gram­men nur Ama­zon auf­ge­führt. In die­sem Bereich ist der ande­re Gene­ra­tor umfang­rei­cher mit der Ein­bin­dung von affili­net, Tra­de­tra­cker, Tra­de­dou­bler, Bel­boon und Zanox.

Auch die Hin­weis­tex­te zu den Rech­ten der Betrof­fe­nen ist bei e‑Recht 24 weit­aus kür­zer gefasst. Dafür fin­det sich der Code für das Goog­le Ana­ly­tics Opt-Out-Coo­kie in dem Gene­ra­tor und die Erläu­te­rung, wie die­ser ein­ge­baut wer­den soll­te.

Die gene­rier­te Daten­schutz­er­klä­rung von e‑Recht 24 liegt mit ca. 10 Sei­ten deut­lich unter dem Umfang der von dg​-daten​schutz​.de.

Man sieht an die­sen bei­den Gene­ra­to­ren, dass sie sich im Inhalt und Umfang stark unter­schei­den, was zeigt, dass es kei­ne ein­deu­ti­ge Defi­ni­ti­on für die Gestal­tung einer Daten­schutz­er­klä­rung gibt.

Erstellung der eigenen Datenschutzerklärung

Für die eige­ne Daten­schutz­er­klä­rung soll­te man am bes­ten bei­de Gene­ra­to­ren her­an­zie­hen und die Pas­sa­gen über­neh­men, die für die eige­ne Web­site gel­ten, also alle per­so­nen­be­zo­ge­nen Daten auf­füh­ren, alle exter­nen Tools, die Daten erfas­sen sowie ein Opt-Out ein­bin­den.

Wenn du dei­ne Web­site genau ana­ly­siert hast, wirst du wis­sen, wel­che Tools du ver­wen­dest und wo du Daten spei­cherst. Dann fällt es dir ein­fach, dei­ne indi­vi­du­el­le Daten­schutz­er­klä­rung mit­hil­fe der bei­den Gene­ra­to­ren zusam­men­zu­stel­len.

Wahr­schein­lich wird es im Lau­fe der Zeit wei­te­re Anpas­sun­gen der Daten­schutz­er­klä­rung geben, wenn die DSGVO end­lich in Kraft tritt und eini­ge Gerichts­ent­schei­dun­gen dazu anste­hen wer­den. Daher soll­test du das The­ma immer im Auge behal­ten und dich über neue Anpas­sun­gen infor­mie­ren.

Lesen  Neue Ausgabe von eStrategy erschienen - Themenschwerpunkt: Agiles Projektmanagement

Im nächs­ten Jahr wird die ePri­va­cy-Ver­ord­nung kom­men und was dann noch von den jet­zi­gen Rege­lun­gen gel­ten wird, muss sich zei­gen.

Meine Datenschutzerklärung

Mei­ne Daten­schutz­klä­rung ist eine Mischung aus bei­den Gene­ra­to­ren. Das meis­te stammt aus dem Gene­ra­tor von e‑Recht 24, doch Pas­sa­gen über Part­ner­pro­gram­me habe ich von dem ande­ren Gene­ra­tor über­nom­men.

Außer­dem fin­den sich in mei­ner Daten­schutz­er­klä­rung Tex­te von ande­ren Part­ner­pro­gram­men, die weder in dem einen noch in dem ande­ren Gene­ra­tor vor­kom­men, z. B. von finan​zen​.de oder blog­fos­ter. Die­se Tex­te habe ich von den jewei­li­gen Part­ner­pro­gram­men.

Anpassung der Kontaktformulare

Mit der DSGVO sol­len in For­mu­la­ren ein Hin­weis und eine Check­box ein­ge­bun­den wer­den, die auf die Daten­schutz­klä­rung ver­weist. Mit dem Set­zen des Häk­chens soll der User sei­ne Zustim­mung für die Erfas­sung und Spei­che­rung der Daten geben. Dar­über hin­aus soll man noch hin­zu­schrei­ben, dass der User sei­ne Ein­wil­li­gung per Mail wider­ru­fen kann.

In Blogs gibt es die übli­chen Kom­men­tar­for­mu­la­re. Auch hier müss­te eine sol­che Check­box ein­ge­bun­den wer­den. Um die­se Check­bo­xen ein­zu­bin­den, bie­tet sich das Wor­d­Press-Plugin WP GDPR Com­pli­an­ce an. Damit kannst du in dein Kon­takt­for­mu­lar (wenn du das Plugin Con­ta­ct Form 7, Gra­vi­ty Forms oder Woo­Com­mer­ce ver­wen­dest) und in dein Blog-Kom­men­tar­for­mu­lar eine Check­box ein­bin­den.

Da in Woo­Com­mer­ce Rezen­sio­nen auch als Kom­men­ta­re gewer­tet wer­den kön­nen, soll­te auch dort eine Check­box in das Rezen­si­ons­for­mu­lar inte­griert wer­den.

Ob die­se Umset­zung hun­dert­pro­zen­tig rechts­si­cher ist, kann ich nicht sagen, das wird erst die Zeit zei­gen.

Wer auf sei­ner Web­site oder sei­nem Blog ein Kon­takt­for­mu­lar ver­wen­det, soll­te sei­nen Inter­net­auf­tritt auf SSL umstel­len, denn für die Über­tra­gung per­so­nen­be­zo­ge­ner Daten ist eine Ver­schlüs­se­lung zukünf­tig ein Muss.

Mein Kontaktformular

Ich habe das Plugin WP GDPR Com­pli­an­ce dafür genutzt und eine Check­box in das Kon­takt­for­mu­lar als auch in das Kom­men­tar­for­mu­lar ein­ge­bun­den.

Kontaktformular-Hinweis

Hin­weis in mei­nem Kon­takt­for­mu­lar bezüg­lich der Spei­che­rung und Ver­ar­bei­tung von User­da­ten

Neben der Check­box habe ich noch die bei­den fol­gen­den Sät­ze ein­ge­fügt:

Du kannst dei­ne Ein­wil­li­gung jeder­zeit für die Zukunft per Mail an info@​geld-​online-​blog.​de wider­ru­fen.

Detail­lier­te Infor­ma­tio­nen zum Umgang mit Nut­zer­da­ten fin­dest du in der Daten­schutz­er­klä­rung.

Kommentarformular mit Hinweis

So sieht der Hin­weis im Kom­men­tar­for­mu­lar aus. Etwas unschön for­ma­tiert, aber was soll’s.

Cookie-Banner

Coo­kie-Ban­ner wer­den wohl auch mit der DSGVO wei­ter genutzt, auch wenn ich dazu so gut wie kei­ne Infos gele­sen habe. Da aber in der Daten­schutz­er­klä­rung auf Coo­kies hin­ge­wie­sen wird, soll­te der Ban­ner auf der Web­site vor­zu­fin­den sein, so ver­ste­he ich es zumin­dest.

Lesen  Neues Gerichtsurteil zu Like-Buttons und Social Plugins von Facebook

Für die­sen Ban­ner ver­wen­de ich seit län­ge­rem das Plugin Coo­kie Con­sent, das recht ein­fach ein­zu­stel­len ist. Das Plugin legt auto­ma­tisch eine Sei­te mit dem Titel Coo­kies Poli­cy an, die ich wie­der lösche, denn ich ver­wei­se auf mei­ne Daten­schutz­er­klä­rung und nicht auf die­se vom Plugin gene­rier­te Stan­dard­sei­te.

Der Coo­kie-Ban­ner weist auf die Nut­zung von Coo­kies hin und ermög­licht dem Web­site-Besu­cher über einen Hin­weis-Link den Besuch der Daten­schutz­er­klä­rung, in der er über Opt-Out-Mög­lich­kei­ten infor­miert wird.

Fazit

Aus mei­ner Sicht ist die­ser Teil — Erneue­rung bzw. Anpas­sung der Daten­schutz­er­klä­rung und Anpas­sung des Kon­takt­for­mu­lars — der ein­fachs­te Teil der DSGVO-Umset­zung. Web­site-Ana­ly­se und die Erstel­lung des Ver­ar­bei­tungs­ver­zeich­nis­ses sind deut­lich kom­ple­xer und zeit­in­ten­si­ver.

Schließ­lich kann man für die­sen Schritt einen Daten­schutz­ge­ne­ra­tor her­an­zie­hen. Was wäre die Welt ohne einen sol­chen Gene­ra­tor? Ich mag es mir nicht vor­stel­len. :-)

Gera­de die Daten­schutz­er­klä­rung dürf­te im Fokus von vie­len Abmahn­ver­ei­nen und Anwäl­ten ste­hen. Daher kann ich nur emp­feh­len, bei der Erstel­lung der Daten­schutz­er­klä­rung sorg­fäl­tig und genau vor­zu­ge­hen. So kannst du das Abmahn­ri­si­ko deut­lich redu­zie­ren.

Was mir auch schon auf­ge­fal­len ist: Man­che Web­site-Betrei­ber waren bei ihrer Daten­schutz­er­klä­rung über­eif­rig und haben alle Text­pas­sa­gen auf­ge­nom­men, die es gibt, auch wenn sie kein Goog­le AdSen­se oder Goog­le Ana­ly­tics ver­wen­den, kei­ne Affi­lia­te-Pro­gram­me ein­set­zen oder kei­ne Goog­le Map-Kar­te inte­griert haben.

Wahr­schein­lich aus Angst, irgend­was falsch zu machen oder etwas ver­ges­sen zu haben. Doch viel hilft in die­sem Fal­le nicht viel. So soll­te man nicht vor­ge­hen, denn schließ­lich täuscht man die Web­site-Besu­cher mit unkor­rek­ten Anga­ben.

Ver­wen­de nur die Pas­sa­gen, die für dei­ne Web­site in Betracht kom­men, damit dei­ne Web­site-Besu­cher kor­rekt infor­miert wer­den, falls sie sich die Daten­schutz­er­klä­rung anschau­en. Im nächs­ten Teil mei­ner DSGVO-Arti­kel­rei­he gehe ich auf Wor­d­Press-Plugins und deren mög­li­chen Pro­ble­me mit der DSGVO ein.