WordPress

Datenschutzgrundverordnung (DSGVO)

Als Websitebetreiber sind wir für unsere Website verantwortlich. Die neue Datenschutzgrundverordnung (DSGVO) müssen wir also bis spätestens zum 25. Mai 2018 umsetzen. Was ist konkret zu tun?

Diesen Beitrag ergänze ich laufend und gehe Schritt für Schritt mit Dir durch alle Änderungen, die ggfs. für Deine Website notwendig sein können. In den nächsten Wochen wird es noch einige wichtige Entwicklungen zum Thema geben, viele Plugins und nicht zuletzt WordPress (Automattic) selbst werden noch Anpassungen hinsichtlich der neuen Gesetzeslage vornehmen (müssen).

Haftungsausschluss: Dieser Beitrag stellt keine rechtliche Beratung dar oder ersetzt gar die Konsultation eines Rechtsanwaltes. Er basiert auf meiner eigenen Recherche und Fortbildungen der letzten Monate. Für die Richtigkeit kann ich keine Haftung übernehmen. Als umfassende Lektüre zum Thema DSGVO und WordPress empfehle ich darüber hinaus die unten angeführten Quellen.

* * *

Die DSGVO gilt grundsätzlich für jeden Webseitenbetreiber, ausgenommen sind lediglich rein private Webseiten, die nicht öffentlich zugänglich sind.

Personenbezogene Daten

Zu schützen sind alle personenbezogenen Daten, dazu zählen:

  • Name
  • Adresse
  • Email-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Kontodaten
  • Standortinformationen
  • IP-Adressen

Da schon mit Aufruf einer Webseite auch die IP-Adresse übermittelt wird, ist klar, dass die EU-Verordnung für jede Webseite zur Anwendung kommt.

Die in der DSGVO neu formulierten Grundsätze des Datenschutzes sind: Rechtmäßigkeit der Datenverarbeitung, Datensparsamkeit, Zweckbindung, Datensicherheit, Übermittlung in Drittländer, Betroffenenrechte, Unabhängige Aufsicht, Effektive Durchsetzung.

Persönliche Daten dürfen verarbeitet werden, wenn a) eine gesetztliche Grundlage besteht oder b) hierfür eine ausdrückliche Einwilligung vorliegt, sonst nicht. Es dürfen nur wirklich nötige Daten für den jeweiligen Zweck erhoben werden. Und entfällt dieser Zweck, müssen die Daten gelöscht werden (Bsp. Austragung aus dem Newsletter-Abonnement). Das hat Konsequenzen auch auf vorhandene Datenbestände.

 

Schritt für Schritt

WordPress Datenschutz 2018

Manches in der folgenden Liste ist selbstverständlich, es sei aber trotzdem noch einmal hier genannt. Beispielsweise sorgt man als Website-Betreiber nicht für die nach dem Stand der Technik bestmöglichen Datenschutz, wenn man nicht regelmäßig aktuelle Updates einspielt.

Quelle: Elbnetz (1), um einiges ergänzt und aktualisiert.

  1. WordPress, Dein Theme und alle Plugins immer auf dem aktuellen Stand halten (Update-Administration).
  2. Ebenso alle serverseitigen Techniken (PHP, MySQL, Linux, Apache, etc.). Einstellungen beim Hoster prüfen und ggfs. updaten.
  3. Verschlüssele die Datenübertragung Deiner Website (https / SSL).
  4. Für jeden WordPress-Login ein starkes Passwort wählen.
  5. Regelmäßige Datensicherungen (Backups). Am besten täglich. Informiere Dich auch über die Einspielmöglichkeit von Backups, das spart im Notfall Zeit und Nerven.
  6. Beauftragst Du Dritte die von Dir erhobenen persönlichen Daten zu verarbeiten, muss mit diesen ein Vertrag zur Auftragsverarbeitung geschlossen werden, der klassische Fälle sind Google Analytics oder Newsletterdienste.
  7. Verwendet Deine Seite Google-Fonts? Wahrscheinlich ja! Dann muss dies in der Datenschutzerklärung dokumentiert und beschrieben werden – nach anwaltlicher Auskunft genügt das wahrscheinlich aber nicht. Daher solltest Du alternativ die Google-Fonts lokal einbinden und den Zugriff auf den Google-Server unterbinden, womit sowohl ein Datensicherheitsgewinn wie auch Geschwindigkeitsvorteil verbunden sind.
  8. Prüfe alle eingesetzten Plugins daraufhin, ob sie personenbezogene Daten erheben und speichern, Beispiele sind WooCommerce, Newsletter-Plugins, Analyse-Plugins (s.u.), Download-Monitor-Plugins etc.
  9. Vermeide Plugins von Diensten, die personenbezogene Daten (meist IP-Adressen) auf Server außerhalb der EU weiterleiten. Beipiele sind MailChimp (Newsletter-Dienst), iThemes Security (Website-Schutz), Akismet (Anti-Spam) oder Jetpack (z.B. die WordPress Stats Funktion), s.u.
  10. Anonymisiere die IP-Adressen in jeder Analyse-Software (z.B. Google Analytics).
  11. Kontaktformular: Integriere eine Zustimmungs-Checkbox zur Datenverarbeitung als Pflichtfeld.
  12. Newsletter-Abo-Funktion: integriere eine Zustimmungs-Checkbox zur Datenverarbeitung als Pflichtfeld.
  13. Stelle sicher, dass Dein Webserver ausgehende Mails verschlüsselt sendet, z.B. mit einem SMTP Plugin (SMTP Server-Port 465).
  14. Anonnymisiere die IP-Übermittlung bei Blog-Kommentaren.
  15. Deaktiviere die Avatar-Anzeige über Gravatar.com.
  16. Aktualisiere Deine Datenschutzerkärung!
  17. Verzeichnis von Datenverarbeitungstätigkeiten: Noch ist nicht klar, ob dies wirklich auch für Einzelunternehmer gelten soll, da es noch keine Rechtssprechung hierzu gibt. Siehe hierzu den Text von eRecht24 weiter unten.
  18. Melde Dich im Falle einer Datenpanne (z.B. wenn Deine Seite gehackt wurde) innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde (Datenschutzbeauftragter des jeweiligen Bundeslandes, Link zum Landesbeauftragten für Datenschutz in Bayern).

Bei der Umsetzung des neuen Datenschutzrechtes auf Deiner Website berate und unterstütze ich Dich.

Kontakt

Verschlüsselte Übertragung der Website – https-Protokoll / SSL-Zertifikat

Websites sollten spätestens jetzt verschlüsselt übertragen werden. Das bringt nicht nur mehr Sicherheit ins Internet, sondern wird auch durch eine schnellere Übertragung sowie ein besseres Ranking bei Google belohnt. Sofern also noch nicht geschehen, solltest Du Deine Website auf das https-Protokoll umzustellen. Hierfür ist ein sog. SSL-Zertifikat notwendig und die WordPress-Installation muss auf die neuen Pfade umgestellt werden. Wichtig ist, dass wirklich sämtliche Pfadangaben umgestellt werden, ansonsten wird der Browser eine Fehlermeldung hinsicht unsicherer Elemente auf der Seite ausgeben und die Seite nicht anzeigen.

Die Verschlüsselte Übertragung ist zwingend notwendig, wenn Deine Website z.B. eine der folgenden Funktionen aufweist:

  • Kontaktformular
  • Newsletter-Abonnement-Funktion
  • Google Analytics, Piwik, eTracker, Google AdSense oder Amazon-Partnerprogramme
  • Log-in geschützter Kundenbereich
  • Blog mit Kommentarfunktion
  • Social-Media-Plugins
  • extern eingebundene Schriften, z.B. Google Fonts

Ich würde aber unabhängig davon die Website auf jeden Fall vollständig verschlüsseln. Es ist Stand der Technik.

Wenn Du Fragen zur Umstellung auf https hast, beantworte ich sie Dir gerne.

Noch kein https?

Cookies

Jede WordPress-Website verwendet Cookies. Sie sind heute für die vollständige Funktion komplexer Internetanwendungen unerlässlich. Das Bundesdatenschutzgesetzt BDSG sieht vor, dass der Nutzer darüber informiert werden muss, dass Cookies verwendet werden. Zum einen muss ein entsprechender Passus in die Datenschutzerklärung, zum anderen kann man eine explizite Cookie-Notice beim ersten Aufruf einer Website dazu verwenden, den Nutzer über den Einsatz von Cookies zu informieren. Dies kann unter WordPress mit Hilfe eines Plugins geschehen. Es wird – voraussichtlich Anfang – 2019 hier eine weitere Konkretisierung des Rechtes durch die EU e-Privacy Verordnung kommen.

Email-Newsletter

Natürlich ist die Email-Adresse eine personenbezogene Angabe und muss damit besonders geschützt werden. Vielfach werden für den Newsletter einer Website unterschiedliche Newsletter-Auftragsdienste verwendet, wie z.B. Mail-Chimp. Achtung: Dies sind externe Auftragsdienstleister und damit fallen sie unter die Regelung der Auftragsverarbeitung (AV, vormals ADV für Auftragsdatenverarbeitung) der DSGVO! (2)

Ein weitere Punkt ist, dass die Abonnentendaten üblicherweise in die USA transferiert, dort verarbeitet und die Newsletter vom dortigen Server versendet werden. Dies ist generell als kritisch anzusehen und ist auch keineswegs notwendig. Ich verwende für meine Seiten ein Newsletter-Plugin, dass allein auf dem eigenen Server ausgeführt wird und auch nur dort die Daten speichert. Natürlich sollte der Server selber auch in Deutschland, mindestens in der EU stehen. Letzteres ist eine Frage des Hostings.

Grundsätzlich gilt – wie bisher auch – dass nur das sog. Double-Opt-in Verfahren für die Anmeldung für den Newsletter zulässig ist. Bei Anmeldung bekommt der Abonnent zunächst eine Email mit einem Bestätigungslink. Erst wenn er diesen anklickt wird er als Abonnent eingetragen. Unterlässt er dies, gilt dies als Ablehnung und es darf kein Newsletter versendet werden. Du musst die Kundenzustimmung nachweisen können! Das Newsletter-Plugin muss diesen Vorgang protokollieren.

Checkbox mit Einverständniserklärung als Pflichtfeld

Bei der Newsletter Abo-Funktion sollte unbedingt ein Pflichtfeld mit der Zustimmung des Abonnenten eingesetzt werden. Schau Dir den Text an, den ich im Footer jeder Seite bei meinem Newsletter-Abo formuliert habe und verwende ihn gern. Die Checkbox ist ein Pflichtfeld.

Kontaktformular

Wie beim Newsletter-Abo gilt auch für das Kontaktformular, dass jetzt eine explizite Information des Benutzers notwendig wird. In meinem Kontaktformular habe ich ebenfalls eine Checkbox mit einem Zustimmungstext hinzugefügt. Auch hier ist die Checkbox ein Pflichtfeld. Verwende den Text gern. Zum Kontaktformular.

Teilen-Funktion für Soziale Netzwerke oder Plugins der Netzwerke

Nach eingehender Recherche stellt sich die Situation doch noch sehr viel unsicherer dar als vermutet. Klar ist schon lange: Der Einsatz der umfangreichen, netzwerkeigenen Plugins zum Teilen oder Liken ist rechtswidrig. Punkt. Aber auch die vielfältigen Share Plugins von Drittherstellern erfüllen – noch – nicht die hohen Anforderungen der DSGVO. Einzig die Tools Shariff-Wrapper / Shariff-Buttons (c’t) und darauf aufbauende Sharing-Plugins tun dies. Ich verwende daher seit kurzem das auf diesen Tools basierende Safe-Sharing-Plugin von e-recht24, das auch gut konfiguriert werden kann. Als Agentur-Partner kann ich dieses Plugin auch für meine Kunden einsetzen. Du siehst eine mögliche Konfiguration der Share-Buttons am Ende dieses Artikels.

Analyse- und Tracking-Plugins

Google Analytics

Wenn Du Google-Analytics einsetzt oder einsetzen möchtest, musst Du sicherstellen, dass (a) übertragene IP-Adressen anonymisiert werden. Weiter musst Du (b) einen Vertrag zur Auftragsverarbeitung mit Google abschließen. Downloadmöglichkeit von Google mit Anleitung in deutsch (5). Google bietet jetzt aber auch schon den Online-Vertragsabschluss nach DSGVO im Analytics Backend an. Es muss (c) ein funktionierender Opt-Out-Link in der Datenschutzerklärung enthalten sein, der einen Cookie im Browser des Nutzers setzt, der Google untersagt die Daten dieses Nutzers beim Besuch Deiner Website zu übertragen. Ebenso muss ein Link zum Google-Plugin gesetzt werden, womit der Nutzer Google generell anweisen kann, sein Nutzerverhalten nicht zu verwerten (übertragen, verarbeiten, speichern). Und (d) muss all dies in der Datenschutzerklärung umfassend und verständlich dargestellt werden. (2)

WordPress Stats (Jetpack) von Automattic

Dieser Dienst von Automattic unterliegt der amerikanischen Privacy Shield Verordnung und kann mit entsprechender Darstellung und Opt-Out Link in der Datenschutzerklärung wie Google Analytics behandelt und auch eingesetzt werden. Ob für Jetpack, respektive WordPress Stats ein Verarbeitungsvertrag notwendig ist, versuche ich gerade zu klären; wahrscheinlich ja, aber meines Wissens hat Automattic noch keine Möglichkeit des Online-Abschlusses integriert. (Dies wird an dieser Stelle also noch weiter ausgeführt werden).

Alternative: Statify

Als direkt DSGVO konforme Alternative kannst Du das Plugin Statify einsetzen. Dieses Plugin speichert und verarbeitet alle Daten lokal auf dem Server der Website. Es findet keine Verarbeitung von IP-Adressen statt. Es werden keine Cookies oder Benutzerprofile gespeichert. Es braucht hierfür also auch kein Opt-Out in der Datenschutzerklärung. Und die gespeicherten Daten werden nach einer einstellbaren Dauer automatisch wieder gelöscht. Für die häufigsten Analyseanforderungen, nämlich Zählung der Seitenaufrufe und Darstellung der meistbesuchten Seiten, reicht es völlig aus.

Urheberrechte (off-topic)

Etwas das zwar thematisch nicht zur DSGVO gehört, aber bei vielen Websites eine Gefahr für Abmahnungen darstellt, ist das deutsche Urheberrecht. Geschützt sind Bilder, Fotos, Videos, Lieder und Texte. Nur selbst erstellte Inhalte können problemlos genutzt werden. Werden fremde Inhalte genutzt, muss mit dem Urheber (z.B. Fotograf, Texter) oder dem Rechteverwerter (z.B. Bildagentur) ein passender Lizenzvertrag geschlossen werden. Der Urheber muss zudem am Werk genannt werden, nach deutschem Urheberrecht genügt die Nennung im Impressum nicht. Letzteres wird oft nicht beachtet und sollte ggfs. korrigiert werden.

UST-ID und Steuernummer (off-topic)

Ebenfalls manchmal falsch gemacht wird die Angabe der Steuernummer auf einer Website. Deshalb: Schon gewusst? – In das Impressum gehört – wenn vorhanden – die UST-ID. Für Kleinunternehmer nach §19 UStG gilt: es ist auf den Kleinunternehmerstatus zu verweisen. Aber: die Steuernummer gehört niemals auf die Website! Mit ihr könnte man möglicherweise Auskunft über steuerliche Belange von Dir bei Deinem Finanzamt erlangen.

 

* * *

 

Als eine sehr ergiebige Quelle an Informationen und Hilfestellung hat sich die Seite eRecht24 herausgestellt. So dass ich mich schnell entschieden hatte, dort Agentur-Partner zu sein. Neben ausgezeichneten Webinaren bietet dieses Berliner Anwalts-Team profunde Kenntnis des Online-Rechts und als Webentwickler habe ich die Gewissheit, ich übersehe nicht einen wesentlichen Punkt für meine Kunden.

Eben aus dem Grund der Vollständigkeit füge ich hier ungekürzt die neueste eRecht24-Publikation für Agenturen an, damit Du ebenfalls die Möglichkeit hast, Dich zu informieren.

eRecht24
Das müssen Sie als Webseitenbetreiber zur neuen DSGVO wirklich wissen

1. Einführung

Die DSGVO regelt ab dem 25. Mai 2018 den Umgang von Unternehmen mit personenbezogenen Daten – einheitlich europaweit. Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. das BDSG wird zeitgleich neu gefasst.

Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards gelten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt.

Die Verordnung gilt aber auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten. So soll sichergestellt werden, dass sich auch Cloud-Dienste oder soziale Netzwerke (etwa aus den USA) an die Regeln halten müssen.

Die DSGVO betrifft dabei wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen. Im Einzelnen:

2. Datenschutzerklärung und Impressum

Zunächst benötigt jede Webseite eine neue Datenschutzerklärung, die den Vorgaben der DSGVO entspricht. Grundsätze einer DSGVO-konformen Datenschutzerklärung:

• Einfache und verständliche Sprache
• ggf. eine vorgeschaltete, allgemein-zusammenfassende Erklärung
• Kontaktdaten des Seitenbetreibers
• Datenschutzbeauftragter, wenn vorhanden
• Die Rechtsgrundlage der jeweiligen Datenerhebung/Verarbeitung (gesetzliche Regelung oder Einwilligung) muss konkret benannt werden

Die folgenden Punkte muss eine Datenschutzerklärung nach DSGVO mindestens enthalten:

• Nennung aller Datenverarbeitungsvorgänge auf der Webseite
• Umgang Kunden- / Bestelldaten
• Tracking, Cookies, Social Media
• Newsletter, A(D)V
• Dauer der Speicherung, Löschungsfristen
• Auskunft, Berichtigung, Löschung, Widerspruch
• Recht auf Datenherausgabe und Übertragbarkeit

Eine Einwilligung darf nicht innerhalb der Datenschutzerklärung erklärt werden.

Achtung! Löschpflicht Art. 17 DSGVO:

Daten müssen gelöscht werden, wenn:

• der Erhebungszweck weggefallen ist,
• die Einwilligung widerrufen wurde (Newsletter-Abmeldung),
• ein Widerspruch des Nutzers erfolgt („Löschen Sie meine Daten“) und keine gesetzlichen Speicherpflichten entgegenstehen (Steuern und Buchhaltung)

Im Impressum sind keine Änderungen notwendig. Allerdings wird momentan diskutiert, dass für Auskunfts-, Berichtigungs- und Löschungsansprüche ein spezielles Kontaktformular geschaffen werden soll, das in die allgemeine Menüstruktur (bei Datenschutzerklärung und Impressum) integriert werden soll.

3. Verarbeitungsverzeichnis (bisher: Verfahrensverzeichnis)

Sie benötigen ein Verarbeitungsverzeichnis, wenn Sie mehr als 250 Mitarbeiter beschäftigen und wenn Sie besondere Datenkategorien verarbeiten.

Die Pflicht gilt auch für Unternehmen unter 250 Mitarbeitern, wenn die Verarbeitung „nicht nur gelegentlich“ erfolgt. Es ist aber noch nicht abschließend geklärt, was dies genau bedeutet. Bis die Voraussetzungen abschließend geklärt sind, sollten Sie im Zweifel ein solches Verzeichnis anlegen.

Welche Inhalte gehören hinein?

• Angaben des Verantwortlichen
• Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten
• Zwecke der Verarbeitung
• Kategorien betroffener Personen und personenbezogener Daten
• Kategorien von Empfängern
• Übermittlungen von personenbezogenen Daten an ein Drittland
• Fristen für Löschung
• Beschreibung der technischen und organisatorischen Maßnahmen
• Angaben des Auftragsverarbeiters
• Name und Kontaktdaten des Auftragverarbeiters und des Verantwortlichen, ihrer Vertreter und des Datenschutzbeauftragten
• Kategorien von Verarbeitungen
• Übermittlungen von personenbezogenen Daten an ein Drittland

Beispiele und Aufbau eines solchen Verarbeitungsverzeichnis finden Sie z.B. bei der Bitkom:

https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf

4. Cookies und Tracking

Im Hinblick auf Cookies und Tracking gibt es momentan keine Änderungen. Cookies werden spezifisch durch die ePrivacy-Verordnung (ePV) neu geregelt. Diese kommt allerdings wohl erst 2019.

Die gute Nachricht: Google Analytics bleibt auch nach der DSGVO wie bisher „erlaubt“, wenn folgende Voraussetzungen erfüllt sind:

• A(D)V Vertrag mit Google abgeschlossen
• IP Anonymisierung aktiviert
• Opt-out Möglichkeiten für Desktop und Mobil

Achten Sie darauf, dass Sie ab dem 25. Mai 2018 einen DSGVO-konformen AV-Vertrag mit Google abschließen. Google wird vermutlich demnächst einen solchen Vertrag bereitstellen.

Eine Anleitung plus Tools zur korrekten Umsetzung finden Sie bei eRecht24 Premium.

https://www.e-recht24.de/premium (*)

Bei anderen Tools wie z.B. dem Facebook Pixel kann man momentan leider keine genaue Aussage treffen. Allerdings wird die Rechtslage wahrscheinlich komplizierter.

5. Newsletter und Einwilligungen

Einwilligungen von Nutzern, z.B. zum Newsletter-Versand, die bereits nach altem Recht wirksam eingeholt wurden (double opt-in) gelten grundsätzlich weiter.

Ausnahmen:
• Koppelungsverbot bei alten Einwilligungen nicht beachtet
• Einwilligungen durch Minderjährige

Was ist mit neuen Newsletter-Aktionen oder Preisausschreiben?

Wenn keine gesetzliche Erlaubnis zum Speichern / Übertragen von Daten vorhanden ist, wird immer eine Einwilligung benötigt.

Auch unter der DSGVO sollte das double opt-in Prinzip beachtet werden, um die Einwilligung im Zweifel auch nachweisen zu können. Die Einwilligung muss in jedem Fall elektronisch dokumentiert werden.

Die Einwilligung muss dabei „freiwillig“ erfolgen: Echtes Koppelungsverbot in Art. 7 Abs.4 DSGVO.

In der Regel: Keine Daten gegen Inhalte (z.B. E-Books, Gewinnspiele, Checklisten) und keine Koppelung von Newsletter-Versand an Vertragsschluss.

6. Datenschutzbeauftragter

Unternehmen, die in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen oder zu einer Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO verpflichtet sind (Einzelheiten unten bei Ziff. 9.), müssen einen Datenschutzbeauftragten benennen.

Interessenskonflikte

Bei der Besetzung des Datenschutzbeauftragten dürfen keine Interessenkonflikte bestehen. Daher kann ein Vorstandsmitglied, ein Geschäftsführer oder der Unternehmensinhaber nicht Datenschutzbeauftragter sein. Diese Personen können im Fall von Konflikten zwischen den Unternehmensinteressen und den datenschutzrechtlichen Vorschriften nicht vermitteln.

Sie können auch einen externen Datenschutzbeauftragten bestellen, um Konflikte zu vermeiden.

Qualifikationen des Datenschutzbeauftragten

Der Datenschutzbeauftragte muss zuverlässig sein. Juristische sowie technische Fachkunde sind ebenfalls unumgänglich für die Position des Datenschutz- beauftragten. Schulungen/Seminare inkl. Prüfung werden bundesweit angeboten, um die entsprechenden Qualifikationen zu erwerben, z.B. beim TÜV.

7. Mitarbeiterdaten

Mit der DSGVO kommen auch Neuregelungen zum Mitarbeiterdatenschutz. Die neuen Vorschriften enthalten zahlreiche Pflichten und Obliegenheiten, die Arbeitgeber künftig einhalten müssen.

Es sollen nur die Daten erhoben werden, die „erforderlich“ sind.

Mitarbeiterdaten sollen nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist.

Erlaubt ist die Verarbeitung auch dann, wenn sie für die Erfüllung gesetzlicher Rechte und Pflichten, eines Tarifvertrags oder einer Betriebs- oder Dienstvereinbarung oder zum Zwecke der Strafverfolgung erforderlich ist. Ob und wann die Erhebung bestimmter Daten tatsächlich erforderlich ist, muss dabei immer anhand des konkreten Einzelfalls bestimmt werden.

Einwilligungen einholen

Wer sich den rechtlichen Unsicherheiten rund um die „Erforderlichkeit“ entziehen will, kann freiwillig abgegebene Einwilligungen von seinen Arbeitnehmern einholen. Im Streitfall muss eine behauptete Freiwilligkeit der Einwilligung vom Arbeitgeber allerdings nachgewiesen werden.

Eine wirksame Einwilligung muss bestimmte formale Kriterien erfüllen. So muss sie grundsätzlich in Schriftform erfolgen, d. h. eigenständig unterschrieben werden. Da das allerdings nicht immer praktikabel ist, kann unter besonderen Umständen auch eine elektronische Einwilligung eingeholt werden. Zudem muss der Beschäftigte in geeigneter Form darauf hingewiesen werden, dass die Einwilligung jederzeit widerruflich ist. Schlussendlich müssen durch den Arbeitgeber bestimmte Voraussetzungen für die Widerrufserklärung geschaffen werden.

Ein Arbeitgeber muss die Einhaltung der soeben genannten Pflichten im Zweifel nachweisen können (Dokumentationspflichten). Des Weiteren sind Arbeitgeber künftig mit strengeren Informationspflichten bei Datenschutzverstößen und zahlreichen weiteren Pflichten (z.B. Löschungspflichten) konfrontiert.

Arbeitgeber sollten im Hinblick auf diese Pflichten ihre unternehmensinternen Prozesse daher gründlich überprüfen und ggf. anpassen lassen (Stichwort: Compliance-Management).

8. Auftrags(daten)verarbeitung

Wenn das Erheben und Verarbeiten personenbezogener Daten durch ein „externes“ Unternehmen erfolgt, muss dies – wie auch im alten Recht – vertraglich geregelt werden.

Beispiele

• Agentur führt Werbemaßnahmen aus
• Externer Newsletter-Anbieter
• Webhoster
• Externe Wartungsverträge

Was ändert sich am Inhalt der A(D)V-Verträge?

Wenige inhaltliche Neuregelungen:

• Auftragsverarbeiter muss u.U. ein Verfahrensverzeichnis führen
• Auftragsverarbeiter muss die Weisungen des Verantwortlichen protokollieren
• keine Schriftform der Verträge mehr notwendig

Woher erhalte ich Muster für meine A(D)V-Verträge?

Einen DSGVO-konformen Mustervertrag finden Sie bei eRecht24 Premium:

https://www.e-recht24.de/premium (*)

9. Datenschutz bei Minderjährigen

Bei Jugendlichen unter 16 Jahren müssen die Eltern einwilligen. Dies gilt aber nur für Fälle, bei denen die DSGVO eine Einwilligung vorschreibt (z.B. für Werbung) und in der Praxis nur dann, wenn es sich um Angebote handelt, die sich direkt an Kinder und Jugendliche richten.

Bei gemischten Angeboten (für Erwachsene und Jugendliche) sind keine spezifischen Vorgaben umzusetzen.

10. Datenschutz-Folgenabschätzung

In bestimmten Fällen sind Sie verpflichtet, die Folgen der Datenverarbeitung zu bewerten und dies in einer sog. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO festzuhalten. Eine sog. DSFA ist grundsätzlich immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.

Dies ist z.B. bei den folgenden Konstellationen der Fall:

• Verarbeitung von Gesundheitsdaten, Religion, Sexualität
• Geschäftsgeheimisse
• Profiling/Scoring
• Strafbare Handlungen
• u.vm.

Wann und wie eine solche Datenschutz-Folgenabschätzung im Detail durchzuführen ist, können Sie im umfangreichen Whitepaper des Forum Privatfreiheit nachlesen:

https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_Paper_Datenschutz-Folgenabschaetzung_2016.pdf

11. Einsichtsrecht und Meldepflicht

Generell haben Betroffene Anspruch auf Auskunft zu ihren gespeicherten personenbezogenen Daten (Art. 15 DSGVO).

Form der Auskunft:
• schriftlich
• elektronisch (E-Mail)
• auf Verlangen mündlich

Frist der Auskunft: Unverzüglich, aber spätestens 1 Monat nach Eingang des Antrags

Wann müssen bei Datenpannen die Betroffenen und Aufsichtsbehörden informiert werden?

Hier gelten mittlerweile strengere Anforderungen als bisher. Nach Art 33 DSGVO müssen Datenpannen gegenüber Aufsichtsbehörden unverzüglich (möglichst binnen 72 Stunden) mittels umfassender Dokumentation vorgelegt werden.

Details zum Inhalt regelt Art. 33 Abs. 5 DSGVO

https://dejure.org/gesetze/DSGVO/33.html

12. Bußgelder und Abmahnungen

Datenschutzverstöße können abgemahnt werden!

Bei Verstößen drohen Abmahnungen und Gerichtsverfahren, denn:
• Datenschutzrecht hat wettbewerbsrechtliche Relevanz!
• Verstöße können auch nach der DSGVO abgemahnt werden!

Bußgelder

Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor.

Bisher haben Datenschutzbehörden den oberen Rahmen der Bußgelder nur sehr selten und bei dauerhaften Verstößen ausgereizt.

Das wird sich aber sehr wahrscheinlich ändern., der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO.

Wichtig: Anfragen/ Beschwerden von Nutzern ernst nehmen. Noch wichtiger: Anfragen/ Beschwerden von Datenschutzbehörden ernst nehmen.

Was sollten Sie jetzt konkret tun?

Sie wissen, dass Sie sich um Themen wie Datenschutz, Impressum, Bildrechte oder Facebook & Co. kümmern müssen? Sie haben keine Zeit, alle komplizierten rechtlichen Vorgaben aufwendig selbst zu recherchieren? Sie wollen oder können nicht für jede Webseitenprüfung einen teuren Anwalt bezahlen? Sie brauchen klare Antworten, verständliche Lösungen und praktische Tools statt noch mehr Fragen?

Jetzt ist die beste Zeit

Als Website-BetreiberIn solltest Du Deine Website bis zum Mai DSGVO-konform gestalten

Da ich es selbst nutze und die Informationen für Premium-Mitglieder hier für meine Nutzer und Kunden einstellen darf, weise ich natürlich darauf hin: eRecht24 kann auch für Dich eine gute Möglichkeit sein, Dich umfassend zu informieren und inhaltliche Änderungen an Deiner Website vorzunehmen. Über diesen Partnerlink kommst Du zu ihrem anwaltlichen Angebot: https://www.e-recht24.de/premium (*)

Wenn aber z.B. keine Zeit ist, Dich eingehend mit dem Thema auseinanderzusetzen, als eRecht24 Agentur-Partner kann ich meine Kunden bei der Umsetzung einer korrekten Datenschutzerklärung nach DSGVO und beim Thema Impressum unterstützen. Bestandteil meiner Leistungen im Bereich Website-Erstellung ist selbstverständlich auch die Unterstützung bei der Umsetzung einer DSGVOkonformen Datenschutzerklärung und praktischer, anwaltlich geprüfter Inhalte zur DSGVO.

Als Webentwickler biete ich Dir die programmtechnische Umsetzung und die Integration rechtskonformer Tools. Die meistbetroffenen Funktionsbereiche einer Website seien hier schon einmal genannt: Verschlüsselung, Cookie-Notice, Vermeidung externer Serverzugriffe, Formularanpassungen, Teilen-Funktion, lokale Einbindung von Google-Fonts und Symbolschriften, Newsletter-Verwaltung, Backup sowie Update-Administration.

Kontakt

_____

Quellen und Verweise:

Kurzer Einstiegstext:
(1) https://elbnetz.com/dsgvo-mit-wordpress/

Ausführlicher, E-Recht24.de:
(2) Vorstehende eRecht24-Publikation

Generator für eine Datenschutzerklärung (kostenlose + Premium Version DSGVO)
(3) https://www.e-recht24.de/premium (*)

(4) https://marketpress.de/2017/onlineshop-recht-2017/

Google Analytics, Vertrag zur Auftrags(daten)verarbeitung (A(D)V):
(5) https://www.google.de/analytics/terms/de.html

Gesetzesquelle:
(6) EU Datenschutzgrundverordnung als PDF (259 Seiten)

Wartungsarbeiten – ist das eine Auftragsverarbeitung nach DSGVO?
(7) https://www.datenschutzbeauftragter-info.de/wartungsarbeiten-ist-das-eine-auftragsverarbeitung-nach-der-dsgvo/

(8) Gesellschaft für Datenschutz und Datensicherheit e.V. – Praxishilfen

(9) Kostenloser DSGVO-Guide für Websitebetreiber von Raidboxes.

Jonas Tietgen von wp-ninjas.de recherchiert und schreibt regelmäßig über WordPress und die DSGVO. Verwiesen sei auch auf seine wachsende Liste von getesteten WordPress-Plugins hinsichtlich ihrer DSGVO-Konformität:
(10) https://wp-ninjas.de/wordpress-dsgvo.

Versch. Artikel zu Analysetools, die rechtliche Einschätzung ist noch nicht einheitlich:
(11) eRecht24: Google-Analytics, Google-Adsense, Google-Adwords

(12) Datenschutzbeauftragter-info.de: Cookies und Tracking

(13) it-recht-kanzlei.de: Cookies und DSGVO