Letzte Änderung: Uhr

Stolpersteine bei der DSGVO-Umsetzung

Ist Ihre Webseite DSGVO-konform?

Weshalb Ihre Webseite vielleicht doch nicht datenschutzkonform ist und wie Sie eventuelle Stolpersteine bei der DSGVO-Umsetzung vermeiden.

Die größten Fallen & Stolpersteine bei der Umsetzung der DSGVO.

Stolpersteine bei DSGVO Umsetzung

Ist Ihre Webseite tatsächlich DSGVO-konform?

Die größte Aufregung rund um die DSGVO hat sich gelegt. Im besten Fall gehören Sie zu den Unternehmen, welche sich intensiv bis zum 25. Mai 2018 mit der Datenschutzgrundverordnung auseinandergesetzt haben. Nun geht es darum die DSGVO-Umsetzung voranzutreiben. Im Zuge dessen, haben Sie die gesamten Prozesse erhoben, die mit einer Datenerhebung in Zusammenhang stehen. Rollen wurden verteilt, Google Analytics wurde adaptiert, ein Cookie-Hinweis gesetzt, Auftragsverarbeitungs-Verträge  geschlossen und auch die Datenschutzerklärung auf der Webseite angepasst. Wenn Sie diese Punkte abhacken können, sind Sie bestimmt gut aufgestellt.

Dennoch kann es Ihnen passieren, dass eine Abmahnung ins Haus flattert. Es gibt gewisse Punkte, die nicht so intensiv kommuniziert wurden, wie die oben genannten. Weshalb vor allem Webseitenbetreiber, die sich nicht so gut mit der Erstellung einer Webseite auskennen, Gefahr laufen, nicht DSGVO-konform zu sein.

Wir wollen die häufigsten „Webseiten-Fallen“ im Bezug auf die DSGVO aufdecken!

Wordpress PlugIns: Lebensretter oder Übeltäter?

Wer eine Webseite über WordPress betreibt, verwendet meist auch Plugins. Jedoch sind nicht alle Plugins DSGVO-konform. Das kann bei vorinstallierten Plugins wie beispielsweise bei dem Spam-Filter Akismet der Fall sein als allen weiteren. Daher ist es anzuraten, alle Plugins auf ihre DSGVO-Compliance hin zu prüfen.

Vor allem jedoch ist es empfehlenswert die Plugins aus verschiedenen Perspektiven hinsichtlich der DSGVO zu prüfen. So sollten Sie einerseits checken, ob über das Plugin automatisch oder generell Daten erhoben werden. Wo diese Daten gespeichert werden. Wer einen Zugang auf die Daten hat und ob es Einstellungen bezüglich der DSGVO innerhalb der Plugin-Einstellungen gibt. In vielen Fällen ist es möglich ein Plugin einfach DSGVO-konform zu nutzen, wenn die dafür vorgesehenen Einstellungen aktiviert werden. Oftmals gibt es auch ein Zusätzliches Plugin, womit der Datenschutz gegeben ist. Bei anderen Fällen ist es besser, das Plugin zu löschen, da es nicht der Datenschutzgrundverordnung entspricht und es auch keine Einstellungen bzw. Zusätze gibt.

Die beliebtesten Plugins, die jedoch nicht DSGVO-konform sind:

  • Social Sharing Plugins wie Monarch, Share This, AddThis, JetPack, Social Media Sharing, Social Locer, WpDevArt Facebook comments, Instagram Feed, Die Facebook Like-Box
  • Sicherheits Plugins wie Google Captcha by BestWebSoft, WordFence
  • Anti-Spam-Plugins wie Akismet, Antispam Bee
  • Kommentar-Plugins wie Disqus Comment System, wpDiscuz

Versteckte Anwendungen

Wenn Sie Plugins verwenden, prüfen Sie auch alle Anwendungen. Ansonsten kann es passieren, dass weitere Dienste eines Plugins, welche jedoch Daten sammeln, unerkannt bleiben. Trotzdem ist die Datensammlung natürlich nicht DSGVO-konform und deshalb strafbar. Ein Beispiel dafür ist das Retargeting-Tool Criteo.

Vorsicht bei YouTube Videos auf der Webseite

Beliebt ist es, ein YouTube Video direkt auf der eigenen Webseite einzubetten. Mit dem Einbetten werden jedoch auch automatisch Cookies gespeichert und Daten der Nutzer an YouTube und Googles DoubleClick übermittelt. Das Problem dabei ist, dass dies passiert, noch bevor der Nutzer ein Video ansieht. Damit das Einbinden von Youtoube Videos datenschutzkonform erfolgt, müssen vor dem Upload gewisse Einstellungen getroffen werden.

Wenn es sich bei den YouTube Videos um fremde Videos handelt, sollten generell Plugins eingesetzt werden, damit der Datentransfer unterbunden wird.

YouTube Videos datenschutz-konform einbinden:

1.) Direkt über YouTube

  • Einfach auf das gewünschte YouTube Video klicken und den Teilen-Button verwenden.
  • Anschließend den Code auf der Website einbetten und das Häkchen „erweiterten Datenschutzmodus aktivieren“ setzen.

2.) Nutzung von YouTube Lyte

Ein WordPress-Plugin hilft bei der Einbindung und zeigt vorerst nur das Vorschaufenster des YouTube Videos an. Das Video wird erst auf der Seite geladen, wenn der Nutzer auf Play klickt. Zusätzlich haben Sie die Möglichkeit, unter den Videos einen Hinweis zur Datenschutzerklärung einblenden zu lassen. Ein Vorteil dieser Einbindung ist, dass die Seitenladezeit der Webseite wesentlich weniger beansprucht wird.

Partner-Siegel auf der Webseite

Siegel werden verwendet, um den Kunden das eigene Leistungsangebot zu präsentieren und vor allem als vertrauenswürdiger Anbieter zu gelten. In der Regel sind diese Siegel (bspw. Tripadvisor, Proven Expert) auch nicht billig, weshalb diese voller Stolz gerne auf einen Platz auf der Webseite eingebunden werden, wo sie immer gesehen werden. Grundsätzlich ist das gut, jedoch kann es vorkommen, dass innerhalb dieser Siegel ebenso Daten erhoben werden. Daher empfiehlt es sich, die Siegel zu prüfen und im Fall einer Datenerhebung, diese innerhalb der Datenschutzerklärung zu beschreiben.

Embeds – Eingebundene Daten

Ähnlich wie bei YouTube, sollten Sie generell darauf achten, wenn Sie Tools verwenden, die es ermöglichen Daten auf der eigenen Webseite einzubinden. Dabei sprechen wir von bekannten Anbietern wie Vimeo, Soundcloud, Libsyn und dergleichen. Die Nutzung der Tools muss in der Datenschutzerklärung angeführt werden und wenn dabei Daten gesammelt werden, benötigen Sie auch die Einwilligung der Nutzer. Ein Beispiel dafür ist Pingdom, wo Sie für den Nutzer ein Opt-Out anbieten müssten, um es DSGVO-konform einzusetzen.

Google Maps

Vor allem unter dem Punkt Kontakt, wird Google Maps gerne in die eigene Webseite eingebunden. Dies ist nicht nur hilfreich für den Kunden, zudem wirkt es sehr professionell auf der Webseite. Jedoch muss Ihnen dabei im Klaren sein, dass auch das Einbinden von Google Maps nicht DSGVO-konform ist.

Das Problem dabei ist, dass auch Google Maps beim Öffnen der Seite automatisch geladen wird, ohne vorherige Einwilligung des Webseiten-Besuchers einzuholen. Zusätzlich wird zumindest die IP-Adresse des Nutzers an den Google Server gesendet,  bei Aufruf der Webseite. Laut Google wird bereits an einer DSGVO-konformen Lösung gearbeitet, jedoch ist aktuell noch keine zugänglich.

Wenn Sie kein Risiko eingehen möchten, sollten Sie die Google Maps Einbindung auf Ihrer Webseite entfernen und durch einen Link ersetzen. WordPress-Webseitenbetreiber haben noch die Möglichkeit, ein Plugin zu installieren, um eine 2-Klick-Lösung zu integrieren.

Mögliche WordPress Plugins hierfür sind

In jedem Fall sollten Sie in Ihrer Datenschutzerklärung auf Google Maps als Drittanbieter hinweisen.

Unsere Zusammenfassung zur DSGVO-Umsetzung

Und Vermeidung von Stolpersteine

Mit der DSGVO wird einem richtig bewusst, wie komplex eine Webseite eigentlich ist. Im Zuge dessen wird das „Messbare-Internet“, das bis vor Kurzem noch als DER Vorteil beschrieben wurde, irgendwie zum Fluch. Damit die Freude nicht verloren geht und die DSGVO nicht wie ein Irrgarten des Gesetzes wirkt, empfehlen wir folgendes:

  • Erstellen Sie Ihre Webseite betreffend eine Liste, am besten mit Ihrem Programmierer zusammen. Diese Liste soll alle Plugins, Einbindungen, Formularen und verwendeten Tools enthalten. Wenn nötig, gehen Sie Ihre Webseite dafür Seite für Seite durch.
  • Diesen Inhalt bzw. die Tools können Sie mithilfe folgender Fragen prüfen:
    • Werden Daten erhoben?
    • Wenn das der Fall ist, handelt es sich um personenbezogene Daten?
    • Wie werden personenbezogene Daten verarbeitet?
    • Werden personenbezogene Daten an Dritte weitergegeben?
    • In welcher Form passiert die Weitergabe an Dritte?
    • Besteht bereits ein Auftragsdatenverarbeitungs-Vertrag?
    • Gibt es ein Widerrufsrecht bzw. ein Opt-Out für Nutzer?
    • Ist der Datengebrauch bereits in der Datenschutzerklärung aufgegriffen?
    • Gibt es einen Ansprechpartner für Fragen?

Natürlich, es ist aufwändig und keine lustige Arbeit. Doch sind wir, obwohl die DSGVO bereits in Kraft getreten ist, noch am Anfang. Das heißt, an vielen Tools bzw. Plugins wird derzeit gearbeitet, damit diese automatisch auch DSGVO-konform sind. Bereits jetzt ist oftmals nur ein Update bzw. die Installation einer Erweiterung nötig, um die Anwendung nach der aktuellen Datenschutzverordnung zu nutzen. Wichtig ist jedoch, dass Sie wissen, welche Anwendungen auf Ihrer Webseite ein Risiko darstellen. Zusätzlich können Sie diesen Vorgang mit der Kontrolle über den Fragenkatalog einsetzen, bevor Sie ein neues Tool, Plugin oder eine Erweiterung installieren.

Sie haben Fragen zum Artikel oder zur DSGVO-Umsetzung? Dann zögern Sie nicht und fragen uns. Wir beißen nicht, versprochen!