Die neue DSGVO – Checkliste für Freiberufler, Einzelunternehmer und Privatpersonen

Disclaimer: Ich bin weder Juristin noch Datenschutzexpertin. Dieser Artikel stellt weder eine professionelle Rechtsberatung dar, noch ist er rechtsverbindlich.

aktualisiert: 11.05.

Beim Thema neue DSGVO sträuben sich so manchem vor Stress die Nackenhaare und die Angst vor Abmahnungen geht umher. Gerade Freiberufler, Einzelunternehmer oder Betreiber von privaten Blogs haben nicht die Möglichkeit, für viel Geld einen Juristen oder Datenschutzexperten damit zu beauftragen, ihre Website gemäß den neuen Regelungen der DSGVO anzupassen.

Aus Angst haben viele ihre Seiten und Blogs bereits gelöscht – das muss nicht sein! Auch ohne Jura-Studium und Programmierkenntnisse könnt ihr eure Seite DSGVO-sicher machen.

Inzwischen gibt es unglaublich viele nützliche und hilfreiche Artikel, Tools und Plugins, mit denen auch Laien ihre Website DSGVO-konform ändern und gestalten können. Natürlich ist es etwas mühselig und zeitraubend – aber dennoch machbar!

Ich habe mich inzwischen in das Thema eingelesen und eine Übersicht erstellt: Hier erfahrt ihr step-by-step, was ihr alles tun müsst und ich gebe euch hilfreiche Links, Tools und Tipps dazu, wie ihr alles umsetzen könnt.

Einen Anspruch auf Vollständigkeit erhebe ich natürlich nicht. Ich habe mich auf die wichtigsten und für mich relevanten Punkte konzentriert. Da ich beispielsweise keinen Newsletter oder Online-Shop betreibe, konnte ich das hier nicht berücksichtigen. Unter den zahlreichen Links findet ihr aber entsprechende Hinweise.

Auch ich habe diese Liste noch nicht bis zum Ende abgearbeitet, da der 25. Mai aber sehr bald an die Tür klopft, möchte ich sie jetzt schon mit euch teilen und euch damit eine Hilfestellung geben. Die Liste muss nicht zwangsläufig in genau der Reihenfolge abgearbeitet werden, ich habe mich jedoch in der Darstellung um eine möglichst logische Abfolge bemüht.

Also legen wir mal los:

SSL-Verschlüsselung

Zunächst solltet ihr eure Seite mit einem SSL-Zertifikat verschlüsseln. Eure Seite wird dann nicht mehr über https:// sondern https:// aufgerufen. Ihr erkennt das auch an dem grünen Schloss-Symbol in der Browser-Leiste. Für viele Seiten ist die Verschlüsselung bereits Pflicht. Warum eine SSL-Verschlüsselung sinnvoll ist und wie ihr sie einrichtet, könnt ihr hier nachlesen:

https://www.content-iq.com/2018/03/20/endlich-ssl-verschluesselt-word-press-https-4-schritte/
https://de.godaddy.com/blog/wordpress-seite-auf-https-umstellen/
https://www.blogmojo.de/wordpress-auf-https-umstellen/

Es ist möglich, kostenlose Zertifikate zu erhalten, z.B. bei https://letsencrypt.org/; alternativ bieten die meisten Webhoster für wenig Geld Zertifikate an – hier gelingt dann auch das Einrichten kinderleicht bzw. fast automatisch.

Habt ihr das Zertifikat installiert, könnt ihr es testen, indem ihr prüft, ob das grüne Schloss-Symbol auf allen Unterseiten erscheint. Falls nicht, liegt das oft daran, dass sich sogenannter Mixed Content auf eurer Seite befindet. Oft handelt es sich dabei z.B. um Bilder oder Links, die noch über http laufen. Um das zu überprüfen, wählt ihr in einem leeren Bereich Rechtsklick –> Untersuchen. Hier wird euch (neben vielen anderen Informationen) evtl. vorhandener Mixed Content angezeigt.

Das löst ihr folgendermaßen: Mit dem Plugin Better Search Replace könnt ihr zunächst alles ausfindig machen, was noch über http läuft und es anschließend durch https ersetzen.
Vorsicht: Vorher ein Backup erstellen!

Verträge zur Auftragsdatenverarbeitung (ADV) abschließen

Ihr müsst mit allen Anbietern und Dienstleistern einen sogenannten Vertrag zur Auftragsdatenverarbeitung abschließen.

Aufgepasst: Auch wenn ihr denkt, ihr sendet keine Daten an andere – das lässt sich nahezu nicht ausschließen, denn bereits euer Webhoster oder euer Email-Anbieter gehören dazu!
Aber kein Grund zur Panik: Viele dieser Anbieter bieten bereits solche Verträge zum Download an. Unglaublich hilfreich ist dabei diese – regelmäßig aktualisierte – Liste von Blogmojo:

https://www.blogmojo.de/adv-vertraege/

Hier findet ihr Informationen dazu, bei welchen Anbietern ein solcher Vertrag nötig ist und dieser ist – sofern vorhanden – auch direkt verlinkt.

Verfahrensverzeichnis bzw. Verzeichnis von Verarbeitungstätigkeiten

In diesem Verzeichnis wird festgehalten, welche Daten von wem und zu welchem Zweck erhoben werden. Hier findet ihr Muster und Erklärungen dazu:

https://regina-stoiber.com/2018/03/11/datenschutz-verfahrensverzeichnis-nach-artikel-30-dsgvo-mit-muster/
https://regina-stoiber.com/2018/04/22/vorschlaege-fuer-ein-verfahrensverzeichnis-dsgvo/
https://regina-stoiber.com/wp-content/uploads/2018/03/verfahrensverzeichnis-datenschutz-dsgvo-regina-stoiber.pdf

Es gibt dazu noch viele weitere Muster und Vorlagen, ich fand jedoch die Erklärungen von Regina Stoiber am hilfreichsten.

Cookie-Notice

Der Hinweis „Wir verwenden Cookies…“ ist inzwischen beinahe Standard auf den allermeisten Websites. Auch wenn du denkst, du speicherst keine Cookies: Dein Webhoster, WordPress, installierte Plugins etc. tun es mit Sicherheit.

Wenn du auf das Info-Symbol in der Browser-Leiste klickst, kannst du sehen, ob und welche Cookies auf einer Seite verwendet werden. In den Browser-Einstellungen kann die Speicherung von Cookies generell deaktiviert werden.

In der neuen DSGVO wird die Verwendung von Cookies nicht eindeutig geregelt; dies geschieht voraussichtlich in der neuen ePrivacy-Verordnung 2019. Die allgemeine Empfehlung lautet, auf Nummer sicher zu gehen und einen entsprechenden Cookie-Hinweis via Plugin einzubinden und in der Datenschutzerklärung einen entsprechenden Punkt unterzubringen. Siehe z.B. hier: https://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html. Dafür gibt es zahlreiche Plugins, ich nutze z.B. dieses: https://de.wordpress.org/plugins/cookie-notice/.

Plugins überprüfen

Nicht alle Plugins sind mit der neuen DSGVO rechtssicher vereinbar. Einige sollten durch Alternativen ersetzt werden oder müssen in ihren Einstellungen entsprechend angepasst werden.

Hier findet ihr – nochmals ein Dank an die umfangreiche Arbeit von Blogmojo – eine sehr umfangreiche Liste mit allen gängigen Plugins mit Infos zur DSGVO-Kompatibilität sowie eventuellen Alternativen:

https://www.blogmojo.de/wordpress-plugins-dsgvo/

Blogmojo hat ebenfalls eine Liste nützlicher Plugins zur Datensicherheit bei WordPress erstellt: https://www.blogmojo.de/wordpress-datenschutz-plugins/

Da diese Liste so umfangreich ist, möchte ich hier nicht im Detail auf einzelne Plugins eingehen. Arbeitet sie am besten ab und schaut, was für euch relevant ist. Einige Punkte sind jedoch besonders wichtig:

  • IP-Adressen dürfen nicht ohne Grund auf unbestimmte Zeit gespeichert werden. Um das zu verhindern, gibt es beispielsweise die Plugins Remove IP oder Remove Commend IPs.
  • Beim Nutzen des Kontaktformulars auf eurer Website oder beim Absenden von Kommentaren auf eurem Blog werden zwangsläufig auch Daten des Absenders übertragen und gespeichert. Zur Sicherheit ist es empfehlenswert, vor dem Absenden eine Checkbox zur Zustimmung einzubinden. Ich nutze diese: wp gdpr compliance.

Mit dem Browser-Plugin Ghostery schützt ihr euch nicht nur vor dem Tracking auf anderen Seiten – es ist außerdem sehr praktisch, um zu überprüfen, was / ob eure Seite im Hintergrund Informationen trackt.

Ich habe außerdem dieses Plugin entdeckt, aber noch nicht getestet: WP DSGVO Tools. Wenn jemand Erfahrungen damit hat und es empfehlen kann oder auch nicht, darf er oder sie dies gerne in die Kommentare schreiben. Es bietet Lösungen für diverse DSGVO-Anforderungen auf einmal, darunter eine Datenschutzerklärung, Cookie-Notice, DSGVO-konforme Nutzung von Google Analytics und FB-Pixel, Löschung von Nutzerdaten, Verarbeitungsverzeichnis, Checkboxen etc. Für mich hat es sich nicht als nützlich erwiesen, da ich die Funktionen, die die kostenlose Variante bietet, bereits anderweitig umgesetzt habe.

Google Analytics

Zuallererst: Ja, Google Analytics darf weiterhin genutzt werden! Ihr müsst dabei lediglich ein paar Dinge beachten.

Zwingend notwendig ist:

  • die Anonymisierung der IP-Adressen
  • eine Möglichkeit zum Opt-out (Widerspruch zur Analyse und Speicherung personenbezogener Daten) einrichten

Nutzt du das Plugin Google Analytics Dashboard for WP (GADWP) kannst du die IP-Adresse ganz einfach mit einem Haken in den Einstellungen anonymisieren. Ansonsten findest du hier Anleitungen:

https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/
https://wp-bibel.de/tutorial/google-analytics-ip-adresse-der-besucher-anonymisieren/
https://de.ryte.com/wiki/Google_Analytics_anonymisieren

Der Hinweis und der Link zum Opt-out müssen in deiner Datenschutzerklärung vorhanden sein. Mit dem Plugin Google Analytics Opt-Out kannst du ein entsprechendes Opt-out einrichten. Hier erfährst du, wie das funktioniert: https://wp-ninjas.de/google-analytics-opt-out.

Google Fonts

Kleine Info vorweg: Wenn du denkst, du nutzt keine Google Fonts, weil du diese nie selbst installiert hast, muss ich dich leider enttäuschen. Das dachte ich bis gestern auch. Tatsächlich verhält es sich aber so, dass sehr, sehr viele WordPress-Themes automatisch Google Fonts nutzen und somit stetig Nutzerdaten an Google übermitteln.

Ob das bei deiner Seite der Fall ist, kannst du wieder mit Rechtsklick –> Untersuchen herausfinden. Wenn unter Sources „fonts.googleapis.com“ und/oder „fonts.gstatic.com“ auftaucht, nutzt deine Seite Google Fonts.

Nun gibt es zwei Möglichkeiten:

1. Du kannst Google Fonts deaktivieren. Dazu gibt es die Plugins Remove Google Fonts References oder Autoptimize (das kann auch noch viele andere tolle Sachen). Anschließend kannst du dir die gewünschten Schriftarten runterladen und selbst installieren. So umgehst du das Tracking durch Google. Hier findest du Anleitungen dazu:

https://wp-ninjas.de/wordpress-google-fonts
https://www.miss-webdesign.at/google-fonts-in-wordpress-einbinden/

Dazu musst du allerdings in der php-admin-Datei arbeiten, was ich persönlich mir nicht zutraue.

Alternativ habe ich das Plugin Use Any Font entdeckt und überlege, es zu nutzen. Wenn jemand Informationen zu dessen DSGVO-Kompatibilität hat, bin ich darüber sehr dankbar.

2. Du behältst Google Fonts und baust einen entsprechenden Abschnitt in deine Datenschutzerklärung mit Berufung auf berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO ein. Ich bin mir noch nicht ganz schlüssig, ob das wirklich rechtens ist. Auch hier freue ich mich sehr über Meinungen.

Hier noch ein hilfreicher Artikel zur Nutzung der verschiedenen Google-Dienste: Google & DSGVO.

Datenschutzerklärung

Nicht zuletzt gibt es veränderte Anforderungen an eure Datenschutzerklärung und ihr müsst diese natürlich anpassen und aktualisieren (bzw. eine solche erstellen, falls ihr tatsächlich noch keine habt). Der Rechtsanwalt Dr. Schwenke bietet für Privatpersonen und Kleinunternehmer einen kostenlosen, an die neue DSGVO angepassten Datenschutz-Generator. Alternativ ist eRecht24 empfehlenswert, da ist meines Wissens aber nur die kostenpflichtige Version mit der neuen DSGVO kompatibel.

Zusammenfassung

Hier gibt es die einzelnen Punkte noch einmal als Checkliste zum Abhaken:

DSGVO-Checkliste

SSL-Verschlüsselung einrichten

Verträge zur Auftragsdatenverarbeitung (ADV) abschließen

Verzeichnis von Verarbeitungstätigkeiten erstellen

Cookie-Hinweis einbinden

Plugins überprüfen bzw. DSGVO-konform konfigurieren

IP-Anonymisierung und Opt-out einrichten

Datenschutzerklärung anpassen

Weitere hilfreiche Links

Hier kann die neue DSGVO im Original nachgelesen werden: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679.

Hier findet ihr weitere Artikel und Checklisten, die auch mir sehr geholfen haben. Vielen Dank an dieser Stelle!

https://www.blogmojo.de/dsgvo-linksammlung/
https://www.blogmojo.de/dsgvo-checkliste/
https://www.reisen-fotografie.de/dsgvo-als-blogger/
https://www.blogyourthing.com/dsgvo/
https://www.df.eu/blog/der-8-schritte-plan-wie-sie-die-neue-dsgvo-umsetzen/
https://www.socialmedia-betreuung.de/dsgvo/

Außerdem gibt es eine tolle Facebook-Gruppe zu dem Thema, in der ihr wirklich alle Fragen stellen könnt: https://www.facebook.com/groups/1474659022643174/.

Ich hoffe, mit dieser Sammlung etwas Licht ins Dunkle zu bringen und der einen oder anderen Person damit weiterhelfen zu können.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.