Diese Webseite verwendet Session-Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung dieser zu. Über den Button können Sie diesen Hinweis schließen.
Erklärung zum Datenschutz

Auf dem Weg zur DS-GVO

DAS NEUE EU-DATENSCHUTZRECHT

Im Hinblick auf die am 25. Mai in Kraft tretende europäische Datenschutz-Grundverordnung – kurz DS-GVO – haben wir in diesem Schritt-für-Schritt-Plan 12 wichtige Maßnahmen für Sie zusammengestellt. Wir haben für Sie als Webseitenbetreiber ein besonderes Augenmerk auf die Speicherung personenbezogener Daten durch Weblication® CMS gelegt.

Datenschutzerklärung

01. Datenschutzerklärung auf Ihrer Webseite

Sollte Ihre Webseite noch nicht über eine eigene Unterseite „Datenschutzerklärung“ verfügen, so empfehlen wir diese schnellstmöglich zu erstellen. Auch für den Fall, dass Sie Ihre Datenschutzerklärung bis jetzt als Unterpunkt in Ihrem „Impressum“ geführt haben, empfehlen wir eine eigenständige Unterseite für den Datenschutz. Ihre Datenschutzerklärung sollte von jeder Seite Ihrer Webpräsenz mit einem Klick erreichbar sein und Ihre Besucher ausführlich und transparent über die Erfassung, Speicherung und Verarbeitung personenbezogener Daten informieren.

Verschaffen Sie sich zunächst ein Bild darüber, wo und in welcher Form auf Ihren Webseiten personenbezogene Daten erhoben werben. Im Internet existieren zahlreiche Webseiten bzw. Konfiguratoren für die Erstellung einer allgemeinen Datenschutzerklärung. Diese können als Grundlage genutzt und um eigene Punkte ergänzt werden.
Eine Empfehlung ist e-recht24.de.

Personenbezogene-Daten

02. Verzeichnis von Verarbeitungstätigkeiten mit personenbezogenen Daten

Grundsätzlich fordert die DS-GVO die Erstellung eines Verzeichnisses über alle Datenverarbeitungstätigkeiten in Ihrem Unternehmen oder Verein. Darin muss dokumentiert werden wie und zu welchem Zweck mit personenbezogenen Daten gearbeitet wird. Ein gutes Beispiel für ein einfaches Verzeichnis gibt wko.at.

Cookies

03. Hinweis auf den Einsatz von Cookies

Sogenannte Cookies werden von Webseiten auf dem lokalen Rechner eines Anwenders gespeichert, um diesen z. B. in Zukunft zu identifizieren. Auf die Verwendung von Cookies und deren Zweck müssen Sie in Ihren Datenschutzangaben hinweisen. Zusätzlich empfehlen wir die aktive Einverständniserklärung zu Cookies durch den Benutzer selbst einzufordern. Dazu haben sich „Cookie-Hinweise“ etabliert, welche beim Besuch der Webseite angezeigt und erst durch einen Klick des Besuchers ausgeblendet werden.

Weblication® selbst speichert lediglich temporär gültige Session-Cookies im Hauptspeicher des Browsers, die nach dem Schließen des Browsers wieder verworfen werden. Diese Session-Cookies enthalten keine IP-Adresse. Eine Rückverfolgung oder Identifizierung des Besuchers mit Hilfe dieses Cookies ist somit nicht möglich.

Monitoring

04. Datenspeicherung durch das Weblication®-Monitoring

Mit Version 7.x erhielt Weblication® CMS ein Monitoring zur Analyse von Webseitenaufrufen. Im Standard ist dieses Monitoring aktiv und erfasst unter anderem die IP-Adresse, das Betriebssystem sowie den verwendeten Browser des Besuchers. Ab Version 12.x werden die IP-Adressen teilanonymisiert (die letzten beiden Blöcke der IP-Adresse sind anonymisiert) und ab Version 12.007.000.000 werden die Log-Dateien für das Monitoring vollständig anonymisiert. Ausgenommen sind Anfragen von Suchmaschinen, da diese keine personenbezogenen Daten hinterlassen und daher mitgetrackt werden können, ohne dass eine Angabe in der Datenschutzerklärung erfolgen muss.

Wir empfehlen ältere, personenbezogene Log-Dateien zu löschen und das Server-Monitoring bei Verwendung einer älteren CMS-Version über die Projektkonfiguration zu deaktivieren.

Formulare

05. Datenerhebung durch Formulare

Bei Formularen wie z. B. Kontaktformularen, Prospektbestellungen, Online-Bewerbungen, Benutzerregistrierungen, etc. gilt (wie überall beim Erheben von Daten) der Grundsatz der Datensparsamkeit. Es dürfen nur diejenigen Daten abgefragt werden, die zur Bearbeitung der jeweiligen Anfrage notwendig sind. In Ihrer Datenschutzerklärung sollten Sie zusätzlich beschreiben, wie mit den im Formular erhobenen Daten umgegangen wird.

Der Datenerhebung und -verarbeitung muss vor dem Absenden des Formulars aktiv zugestimmt werden. Das gängigste Verfahren dabei ist der Einsatz einer Pflichtfeld-Checkbox, welche der Ausfüllende per Klick aktivieren muss, um das Formular absenden zu können.

Neben dem Einsatz dieser Checkbox empfehlen wir Formulardaten über eine verschlüsselte Verbindung zwischen Benutzer und Server zu übertragen. Weitere Informationen entnehmen Sie bitte Punkt „08. HTTPS-Umstellung: Daten verschlüsselt übertragen“.

Newsletter

06. Newsletteranmeldung und -versand

Bei der Eintragung in einen Newsletterverteiler muss der Interessent der Anmeldung aktiv zustimmen. Dazu muss er seine Einwilligung zur Verarbeitung seiner Daten durch Aktivierung eines Pflichtfeld-Häkchens mit Verweis auf den Datenschutz setzen (Siehe Punkt „05. Datenverarbeitung durch Formulare“). In der Datenschutzerklärung muss ausführlich erklärt werden, welche Daten zu welchem Zweck erfasst werden.

Damit gewährleistet werden kann, dass der Interessent sich bewusst und mit seiner eigenen E-Mail-Adresse einträgt, muss die Anmeldung über das sogenannte Double-Opt-In-Verfahren vorgenommen werden. Nach der Anmeldung wird bei diesem Verfahren eine E-Mail mit Bestätigungslink an die hinterlegte E-Mail-Adresse versendet. Erst das Anklicken dieses Links fügt den Interessent dem E-Mail-Verteiler hinzu.

Nutzen Sie im Weblication® CMS die Möglichkeit der Newsletter-Anmeldung, werden neben den im Formular sichtbaren Daten auch IP-Adresse, Betriebssystem, Browser (inkl. Version), sowie die aufgerufene URL und der Zeitpunkt der Anmeldung in einem gesonderten Log gespeichert.

Sofern Sie die Newsletter-Funktionalitäten im Weblication® CMS verwenden, werden bei jedem Versand die personenbezogenen Daten zwecks Analyse in einem Duplikat gespeichert. Mit Hilfe dieser Daten kann nachverfolgt werden, wer einen Newsletter geöffnet hat (sofern die Einstellung dafür gesetzt ist).

Social-Media

07. Social-Media-Integration auf der Webseite

"Gefällt-mir-Buttons" sowie andere "Widgets" von Facebook, Google+, Twitter und anderen Drittanbieter-Anwendungen sind datenschutzrechtlich oft problematisch. Durch Code-Integration in die eigene Webseite, erhalten Dritte Zugriff auf personenbezogene Daten Ihres Besuchers und können diesen über Webseiten hinweg verfolgen. Das 2-Klick-Konzept, welches auf heise online beschrieben wird, entschärft dieses Problem, indem die externe Anwendung erst durch einen vom Besucher durchgeführten Klick geladen wird. Somit erhält die Drittanbieter-Plattform erst nach aktivem Handeln des Webseitenbesuchers evtl. Zugriff auf dessen Informationen. 

Die aktuell als Weblic zur Verfügung stehenden Social-Media-Buttons in Weblication® CMS sind datenschutzkonform. Sie übermitteln beim Aufruf der Seite noch keine Daten an den jeweiligen Plattform-Betreiber. Dies geschieht erst beim Klick auf einen Social-Media-Button. 

Wir empfehlen Ihre Webseite auf Social-Media-Funktionen und die Einbindung der 2-Klick-Lösung zu überprüfen und dies gegebenenfalls anzupassen.

Verschlüsselung

08. HTTPS-Umstellung: Daten verschlüsselt übertragen

Die verschlüsselte Datenübertragung zwischen Server und Browser erhöht die Sicherheit für die Besucher Ihrer Webseite. Insbesondere bei der Verwendung von Formularen empfehlen wir die Verwendung einer verschlüsselten Verbindung. Mit der HTTPS-Umstellung optimieren Sie Ihren Internetauftritt und profitieren von weiteren Vorteilen. Damit das Übertragungsprotokoll HTTPS funktioniert, brauchen Sie ein gültiges SSL-Zertifikat (Secure Socket Layer). Dieses kann ab 25 Euro pro Jahr zzgl. Einrichtungsgebühr in unserem Webhosting-Kundenmenü bestellt werden. Zusätzlich empfehlen wir die Einrichtung einer automatischen Weiterleitung von einer nicht verschlüsselten (http) auf eine verschlüsselte (https) Verbindung bei Aufruf Ihrer Webseite.

Serverlogs

09. Serverlogs und deren Verwendung

Sogenannte Serverlogs oder Serverlogfiles protokollieren Aufrufe Ihrer Webseiten und müssen in Ihrem Datenschutz erwähnt werden. Das Rechenzentrum, in dem unsere Server betrieben werden, behält sich das Recht vor, Serverlogs bis max. drei Tage aufzubewahren. Diese werden im Bedarfsfall zu internen Auswertungen genutzt und nicht an Dritte weitergegeben.

Zusätzlich bieten wir in unserem Kundenmenü die Möglichkeit an, pro Domain Serverlogs zu aktivieren. Auf unseren Servern sind diese individuellen Logs im Standard deaktiviert. Die Logs auf unseren Servern beinhalten folgende Daten: Domain, IP-Adresse, Browsertyp, Browserversion, verwendetes Betriebssystem, Referrer-Url, Request, • Status-Code,• übertragene Bytes sowie Datum inkl. Uhrzeit.

Als rudimentäre Statistik-Funktionalität verfügt jede Domain über das Tool Webalizer. Bisher, falls nicht im Kundenmenü deaktiviert, wurden personenbezogene Daten (wie z.B. die IP-Adresse) erfasst. Ab dem 25.05.2018 werden diese Daten generell nicht mehr erfasst. Wir empfehlen Ihnen die bisherigen Daten per schriftlichem Auftrag an spprtgtmdd durch uns pro Domain löschen zu lassen.

Auftragsdatenverarbeitung

10. Vertrag zur Auftragsdatenverarbeitung mit Providern

Wenn Sie personenbezogene Daten auf unseren Servern speichern und verarbeiten, dann empfehlen wir Ihnen den Abschluss einen Vertrag zur Auftragsdatenverarbeitung gemäß DS-GVO. Der Vertrag kann von Ihnen per Mail über die spprtgtmdd ab dem 22.5.2018 angefordert werden.

YouTube

11. Verwendung von Drittanbieter-Diensten wie Youtube, Google Fonts, etc.

Verwenden Sie Drittanbieter-Dienste wie z. B. Youtube, Google Maps, Google Fonts, Social-Media-Plugins oder andere, erhalten die jeweiligen Plattform-Betreiber oftmals Daten Ihrer Besucher und können diese über mehrere Webseiten hinweg verfolgen. Wir empfehlen Ihnen die Datenschutzerklärung der jeweiligen Anbieter aufmerksam durchzulesen und in Ihrem Datenschutz sowohl auf die Verwendung der Dienste als auch auf den Datenschutz des jeweiligen Drittanbieters hinzuweisen.

Tracking

12. Tracking Tools datenschutzkonform einbinden

Oftmals werden Tracking Tools wie Google Analytics, eTracker oder Matomo (ehemals Piwik) verwendet, um das Angebot der eigenen Webseite optimieren zu können. Ihre Datenschutzerklärung müssen Sie je nach verwendetem Tool und der erhobenen Daten anpassen. Zusätzlich empfehlen wir auf eine Anonymisierung der Daten zu achten und dem Besucher die Möglichkeit zu bieten, sich per Klick selbst vom Tracking ausschließen zu können. Werden die Daten von Dritten erhoben, gespeichert und verarbeitet, ist oftmals ein Vertrag zwischen beiden Parteien notwendig.

Eins der beliebtesten Web-Analytic-Tools ist Google Analytics, welches bei richtiger Verwendung alle Bedingungen erfüllen kann:
Sollten Sie mit Google noch keinen Vertrag zur Datenverarbeitung im Einsatz mit Google Analytics haben oder aber einen Vertrag, der vor September 2016 abgeschlossen wurde, sollten Sie diesen nun eingehen bzw. aktualisieren. Sie können sich den Vertrag über folgenden Link herunterladen, ausdrucken und unterschrieben an Google senden: http://www.google.com/analytics/terms/de.pdf
Darüber hinaus muss der von Google standardgemäß generierte Tracking-Code angepasst werden. Eine datenschutzkonforme Nutzung ist nur mit einer Code-Erweiterung möglich. Durch die Nutzung der Code-Erweiterung „anonymizeIp“ werden die IP-Adressen Ihrer Besucher anonymisiert. Dies ist bei der im Weblication® CMS zur Verfügung gestellten Schnittstelle bereits Standard.

Für den Widerspruch der Datenerhebung hat Google ein Deaktivierungs-Add-on entwickelt, das aber nicht auf allen Endgeräten installierbar ist. Deshalb muss der Tracking-Code erweitert werden, damit ein Opt-Out-Cookie mit Hilfe eines Links oder einer Schaltfläche vom Benutzer gesetzt werden kann. Dieses Cookie verhindert die zukünftige Datenerfassung. Die oben beschriebenen Maßnahmen, sowie die allgemeine Auskunft, dass Google Analytics im Einsatz ist, müssen im Datenschutz aufgeführt werden. 

Fazit

Die europäische DS-GVO ist umfangreich, so dass Sie schnellstmöglich damit anfangen sollten, Ihre Webseite zu kontrollieren und gegebenenfalls anzupassen. Bei Verstößen oder Unterlassung drohen zum Teil drastische Strafen, die bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes eines Unternehmens betragen können – je nachdem, welcher Betrag höher ist. Auch wenn die Umsetzung der Datenschutznovelle umständlich ist, sollten Sie diese Ernst nehmen. Vorteil und Nachteil zugleich: Viele Bestimmungen sind bislang nicht bis ins Kleinste für die Praxis durchdekliniert, sodass erst einschlägige Gerichtsurteile wirkliche Orientierung bieten werden.

Wichtiger rechtlicher Hinweis!

Unser Schritt-für-Schritt-Plan gibt Ihnen einen Überblick über die wichtigsten Punkte der DS-GVO. Er ist allerdings kein Ersatz für eine Rechtsberatung. Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen, lassen Sie sich am besten von einem Anwalt oder Datenschutzbeauftragten beraten.

Datenschutzkonforme Nachweise erstellen

Für die Erstellung eines datenschutzkonformen Nachweises, empfehlen wir folgende Ansprechpartner:

  1. Rödl & Partner
    Frank Fischer
    Fachanwalt für Urheber- und Medienrecht
    Telefon: +49 (0) 2 21 / 94 99 09 - 307
    E-Mail: frnkfschrrdlcm
  2. Rechtsanwaltskanzlei Dr. Schwenke
    Dr. Thomas Schwenke
    Telefon: +49 (0) 30 / 91 49 80 12
    E-Mail: knzldrschwnkd
  3. SIEBERT GOLDBERG LLP in Berlin (eRecht24)
    Sören Siebert
    Rechtsanwalt Internetrecht
    Telefon: +49 (0) 30 / 29 04 54 51
    E-Mail: nfsbrt-gldbrgd

Maßnahmen auf Ihrer Webseite durchführen

Sollten Sie Unterstützung bei der technischen Umsetzung auf Ihrer Webseite wünschen, stehen wir Ihnen gerne zur Verfügung:

  1. gotoMEDIA
    Petra Swonke
    Telefon: +49 (0) 52 50 / 70 85 - 722
    E-Mail: pswnkgtmdd
  2. gotoMEDIA
    Anna Jungemann
    Telefon: +49 (0) 52 50 / 70 85 - 724
    E-Mail: jngmnngtmdd
  3. gotoMEDIA
    Stefan Neisemeier
    Telefon: +49 (0) 52 50 / 70 85 - 711
    E-Mail: nfgtmdd

Wir freuen uns, bald von Ihnen zu hören

gotoMEDIA  |  Spielplatzstraße 19  |  33129 Delbrück  |  Telefon +49 (0) 52 50 / 70 85 - 700  |  E-Mail nfgtmdd

gotoMEDIA
Spielplatzstraße 19
33129 Delbrück
Telefon +49 (0) 52 50 / 70 85 - 700
E-Mail nfgtmdd