Am 25. Mai 2018 ist es soweit: die Datenschutzgrundverordnung tritt in Kraft. Anhand Ihres Webauftritts können Verstöße besonders leicht festgestellt werden. Wer bis zum Inkrafttreten des Gesetzes seine Homepage nicht auf Vordermann bringt, läuft Gefahr abgemahnt zu werden. Hierbei werden horrende Bußgeldsätze fällig.
Überarbeiten Sie also Ihre Onlinepräsenz!
Nachfolgend wollen wir einen kurzen Überblick geben, was Sie vor dem Inkrafttreten der DSGVO unbedingt beachten müssen.
Verschlüsseln Sie schon?
Zunächst sollten Sie prüfen, ob Sie Eingabefelder auf Ihrem Webauftritt haben. Dies sind z.B. Kontaktformulare oder Suchfunktionen. Sobald Benutzereingaben übermittelt werden können, müssen Sie Ihre Homepage SSL-Verschlüsseln.
Nicht nur der Gesetzgeber fordert inzwischen eine sichere Datenübertragung, Google bezieht die Verschlüsselung schon seit Längerem ins Ranking mit ein (Lesen Sie hier mehr...). Sichern Sie Ihre Website ab, schlagen Sie zwei Fliegen mit einer Klappe. Zum einen verbessern Sie Ihr Ranking und zum anderen halten Sie sich an die Gesetzgebung. Sie können damit folglich nur gewinnen.
Sie können das SSL-Zertifikat bei einem vertrauenswürdigen Anbieter erstehen oder alternativ "Let´s Encrypt" einsetzen (Lesen Sie mehr...). Prüfen Sie jedoch zunächst, ob Ihr Hostinganbieter "Let´s Encrypt" unterstützt.
IP-Adressen sind personenbezogen
Ein weiterer wichtiger Punkt ist die Anonymisierung von IP-Adressen. Diese sind gemäß DS-GVO personenbezogene Daten und somit schützenswert. Achten Sie darauf, dass Tools wie "Google Analytics" IP-Adressen anonymisiert (Lesen Sie hier mehr...).
Damit Sie nicht jeden Besucher Ihrer Website um Erlaubnis fragen müssen, ob die Daten von Dritten verarbeitet werden dürfen, sollten Sie eine entsprechende Rechtsgrundlage schaffen. Denn jeden Nutzer vor Besuch des Webauftritts um Einverständnis zu bitten ist schlichtweg unpraktikabel. Schließen Sie mit den entsprechenden Parteien eine Auftragsverarbeitung ab. Dazu zählen Webhoster, "Google Analytics" oder IT-Dienstleister, die Zugriff auf personenbezogene Daten besitzen. Gehen Sie so eine vertragliche Beziehung ein, gelten diese folglich nicht länger als außenstehende Dritte.
Nein Danke, keine Kekse von Fremden
Fast jede Website benutzt Cookies, jedem Besucher muss es möglich sein die Datenerfassung via Cookies ablehnen zu können. Dies gilt jedoch nicht für Cookies, welche zur Nutzerfreundlichkeit beitragen. Hierzu zählen z.B. sogenannte Sessioncookies. Anders sieht dies beim Einsatz von "Google Analytics" aus. Der Nutzer muss sofort darauf hingewiesen werden, dass mit dem Besuch Cookies erfasst werden. Außerdem müssen Sie es ermöglichen in einfachen Schritten das Tracking abschalten zu können.
Vergissmeinnicht war einmal
Legen Sie sich ein Konzept zurecht, mit dem Sie die Nutzerrechte wahren können. Jeder Nutzer hat das Recht über seine Daten Auskunft zu erlangen. Er kann eine Berichtigung oder Löschung beantragen, sowie der Erhebung widersprechen.
Überlegen Sie sich also im Vorfeld geeignete Maßnahmen, mit denen Sie die Nutzerrechte erfüllen können. Machen Sie sich hierzu folgende Überlegungen:
- Wo habe ich personenbezogene Daten abgelegt (z.B. Accesslogs)?
- Welche Art von personenbezogenen Daten erfasse ich (z.B. IP-Adressen, Kontaktdaten)?
- Mit welchen Systemen greife ich auf personenbezogene Daten zu (z.B. CRM)?
- Habe ich Backups die personenbezogene Daten enthalten und wenn ja, kann ich dort einzelne Datensätze löschen oder gar das ganze Backupset?
- Übermittle ich Daten an Unternehmen außerhalb der EU und wenn ja, sind diese unter dem Privacy-Shield zertifiziert?
Aktuell soll´s sein
Zu guter Letzt, werfen Sie einen Blick auf Ihr Impressum und Ihre Datenschutzerklärung. Diese sollten Sie unbedingt vor dem Start der DS-GVO aktualisieren. Wobei es ohnehin notwendig ist, die Datenschutzerklärung auf den neuesten Stand zu bringen. Informieren Sie Ihre Nutzer so detailliert wie nur möglich.
Ist Ihr Webauftritt mehrsprachig, so müssen Sie auch für die entsprechende Übersetzung sorgen. Ab dem 25. Mai muss für jede angebotene Sprache die passende Datenschutzerklärung vorliegen.