DSGVO Anleitung für Anfänger 2019| Mach deine WordPress Webseite und dein Newsletter DSGVO konform | Mit Checkliste als Download

Die Datenschutzgrundverordnung (kurz DSGVO) ist ein leidiges Thema und ist sehr komplex. Es gibt Rechtstexte, die sich über hunderte Seiten erstrecken.

Hier bekommst du die Anleitung um deine Webseite und deinen Newsletter DSGVO konform zu gestalten.

Dabei möchte ich dir die simpelste Erklärung aller Richtlinien geben. Also kein Fachchinesisch und Ausdrücke die niemand versteht.

Um meine Angaben zu belegen werde ich dir entweder einen kurzen Gesetzesauszug geben, oder dir ihn verlinken. Direkt danach gibt es dann eine leicht verständliche Zusammenfassung von mir.

Außerdem gibt es einen kostenlosen Maßnahmenkatalog, in Form einer PDF Checkliste als kostenloses Geschenk, mit dem du für dich und dein Unternehmen überprüfen kannst, ob du allen Richtlinien gerecht wirst.

Wenn du ganz wenig Zeit hast und die maximal komprimierte Version haben willst, lies dir die Kurzfassung aller Fragen und Antworten am Ende des Beitrags durch.

WICHTIG: Ich bin kein Anwalt 
und dies ist keine Rechtsberatung.
Ich gebe dir lediglich das Wissen weiter,
was ich mir zum Thema DSGVO angelesen
und angeeignet habe.

Also lass uns sofort loslegen und ein paar wichtige Fragen und Begriffe klären.

Solltest du lieber ein Video sehen, anstatt zu lesen habe ich hier ein Video dazu gemacht:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Für wen gilt die DSGVO?

Infografik - Für welche Unternehmen gilt die DSGVO?

Ok, da du diesen Beitrag liest, wirst du zu 99% auch personenbezogenen Daten von EU-Bürgern verarbeiten.

Da ich bisher Zwei Begriffe immer wieder genannt habe, sie aber noch nicht erklärt habe, kommt das jetzt 😉

Was sind personenbezogene Daten überhaupt?

Hier der Auszug aus Artikel 4 Nr.1 DSGVO

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Artikel 4 Nr.1 DSGVO – https://dsgvo-gesetz.de/art-4-dsgvo/

Also in normalem deutsch: Personenbezogene Daten sind alle Informationen, mit denen man Rückschlüsse auf eine Person treffen kann. Dazu zählen:

  • Name
  • Geburtsdatum
  • Email-Adresse
  • Anschrift
  • Telefonnummer
  • Zahlungsdaten (z.B Kreditkarteninformationen oder Bankverbindung)
  • IP- Adresse

Jetzt gibt es dazu allerdings noch weitere Einschränkungen und Kategorien. Das würde aber total den Rahmen sprengen und nur zu weiterer Verwirrung fürhen, die ich dir ersparen will.

Deswegen fasse ich alle Kategorien unter der Phrase „spezielle personenbezogene Daten“ zusammen.

Diese sind nämlich besonders schützenswert. Es geht hier z.B. um:

  • ethnische Herkunft
  • kulturelle Herkunft
  • religiöser Überzeugung
  • politische Überzeugung
  • philosophische Überzeugung
  • körperliche und geistige Gesundheit
  • Zugehörigkeit
  • Sexualität

Ich denke , dir ist klar, warum solch sensible Daten geschützt werden müssen.

Ok, die erste Hürde ist geschafft

Was zählt als verarbeiten von personenbezogenen Daten?

Hier die offizilee Formulierung:

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Artikel 4 Nr. 2 DSGVO https://dsgvo-gesetz.de/art-4-dsgvo/

In leicht verständlich:

Verarbeiten der Daten ist quasi alles, was du mit ihnen machen kannst.

Um das ein bisschen konkreter zu machen, nenne ich dir mal ein paar Beispiele, wie ich diese Daten verarbeite:

  • Nutzerstatistiken (Google Analytics und FaceBook Pixel)
  • Versendung eines personalisierten Newsletters
  • Speichern einer aktiven Kundenliste (z.B. mit Vertragsdaten und Rechnungen)
  • Terminreservierung auf meiner Kontaktseite
  • Werbung an Interessenten senden
  • Testimonials / Kundenrezensionen
  • austellen von Rechnungen
  • uvm.

Gerade der Bereich Nutzungsstatistiken ist für mich als Online Marketing Consultant natürlich besonders wichtig. Ich brauche alle Indikatoren um Kampagnen optimieren zu können.

Wie soll ich eine Werbeanzeige optimieren, wenn ich nicht weiß, wie oft User diese anklicken, aufrufen etc.?

Ohne zu testen und verschiene Versionen von Webseiten oder werbeanzeigen an meine Nutzer auszupielen (also Splittesten), kann ich nur raten.

Ok ich denke du hast verstanden, wie wichtig es gerade in dem Bereich Online Marketing ist, deswegen kommt jetzt der absolute Schocker.

Personenbezogene Daten dürfen nicht verarbeitet werden

Lass das mal einen Moment sacken. Wir haben jetzt die ganze Zeit darüber geredet, was alles zur Verarbeitung zählt und jetzt darf man das nicht?

Ich kann dich beruhigen, ganz so schlimm ist es nicht. Damit man nicht alle Fälle auflisten muss, bei denen man Daten nicht verarbeiten darf und dann eventuelle welche vergisst, wird es so gemacht, dass ersteinmal alles verboten wird und dann die Fälle erlaubt werden, welche man explizit wünscht.

Aktuell gibt es zwei Fälle, bei denen du es doch darfst.

Du darfst personenbezogene Daten verarbeiten, wenn

  • es zwingend notwendig ist um einen Vertrag zu erfüllen
  • du eine Einwilligung einholst.

So, jetzt gibt es natürlich für die Einwilligung auch wieder Einschränkungen ohne Ende.

Richtlinien für eine wirksame Einwilligung

Ich nenne dir jetzt gleich die allgemeinen Punkte, die du beachten musst, es gibt dann danach konkrete Beispiele, mit denen all diese Punkte hoffentlich leicht verständlich in der Praxis Anwendung finden.

1. Einwilligungsfähigkeit

Für eine Einwilligung muss man mindestens 16 Jahre alt sein. Mit einer Einwilligung der Eltern ist dies allerdings kein Problem und es geht auch früher.

2. Freiwilligkeit

Eine Einwilligung muss freiwillig sein, so z.B auch die Cookie Einwilligung für Webseiten.

Stimmst du hier nur den essenziellen Cookies zu, darf es keine Einschränkung beim Besuch der Webseite geben.

Es gibt nämlich ein Kopplungsverbot, eine Einwilligung darf z.B nicht notwendig sein, um ein Produkt kaufen zu können.

Wieso das gerade im Bereich Email-Marketing sehr heiß diskutiert wird, erkläre ich dir gleich in einem gesonderten Beispiel.

3. Informiertheit

Der Einwilligende muss den genauen Zweck und den Verantwortlichen der Datenverarbeitung kennen.

Also z.B eine explizite Kennzeichnung eines Newsletters oder Kontaktformulars

4. Bestimmtheit

Es ist nicht möglich eine pauschale Einwilligung zu erhalten, damit jegliche Daten der Person verarbeitet werden können. 

Es muss eine spezifischer Grund angegeben werden, wofür die Daten benutzt werden, welche Daten benutzt werden und von wem sie benutzt werden.

Mehr zur konkreten Umsetzung dann gleich in den Praxisbeispielen.

5. Unmissverständlichkeit

Der Interessent muss aktiv zustimmen. Ein Opt-Out Verfahren ist daher unzulässig. Ein DSGVO konformes Opt-In Verfahren, bi den Cookies genutzt bedeutet, dass bevor diese überhaupt gesetzt werden eine Einwilligung erfolgen muss.

6. Form

Hier gibt es soweit keine Vorgaben, allerdings ist es sehr empfehlenswert diese schriftlich zu erteilen. Sonst wird ein Nachweis halt sehr schwer, denn du musst ihn erbringen.

7. Wiederrufsbelehrung

Man muss eine Einwilligung jederzeit wiederrufen können. Genauere Informationen wie das klappt müssen ebenfalls angegeben werden.

Praxisbeispiel Kontaktformular

So, ich hoffe in der Theorie hast du soweit alles grundlegend verstanden, jetzt geht es darum das ganze auf einer Webseite aktiv anzuwenden.

Ein Kontaktformular ist generell freiwillig, dieser Punkt ist also schonmal erfüllt.

Wie sieht es jetzt aber mit den anderen Punkten aus?

Hier ein Beispiel, wie ich dies bei meinem Kontaktformular umgesetzt habe

DSGVO Kontaktformular

Die erste Checkbox deckt also die Informiertheit, die Bestimmtheit, und die Wiederrufsbelehrung mit ein.

Fehlen also noch Unmissverständlichkeit und Form.

Diese beiden Punkte sind durch den „ABSENDEN“ Button geklärt, es ist nämlich eine aktive Einwilligung und es ist eine Form, die nachweisbar ist.

Übrigens, die zweite Checkbox ist nur dafür da, damit ich die Kontaktdaten nicht wieder löschen muss, nachdem ich der Person geantwortet habe.

So, dieses Beispiel war ja jetzt relativ simpel, deswegen gehen wir jetzt zu einem kontroverseren Thema.

Praxisbeispiel Email Newsletter

  1. Freiwilligkeit

Hier ist womöglich der größte Streitpunkt, denn die meisten (mich eingeschlossen), habe um eine Emailliste aufzubauen immer eine Freebie genutzt, also irgendetwas, was den Nutzer interessiert und er kostenlos erhält, wenn er sich für deinen Newsletter einträgt.

Dieser Ansatz ist jetzt aber etwas problematisch, denn das sog. Kopplungsverbot besagt ja, dass man auch ohne aktive Einwilligung darauf Zugriff haben muss.

Die 100% sichere Methode ist es nun, das Freebie vorab kostenlos zum Download zur Verfügung zu stellen und dann danach um eine Eintragung im Newsletter zu bitten.

Das Probelm daran ist, dass dies vermutlich die Conversions senkt.

Es gibt jetzt viele weitere Strategien, welche dieses Problem umschiffen, da ich kein Anwalt bin, kann ich nicht konkret sagen, welche Methode jetzt strafbar ist, und welche nicht, ich möchte sie hier lediglich auflisten.

  • Man stellt eine Wahlmöglichkeit her, entweder der Kunde bezahlt für das Freebie, oder er kriegt es kostenlos und trägt sich dafür in den Newsletter ein.
  • Man erwähnt den Newsletter und bewirbt, dass im Newsletter exklusiv das Freebie enthalten ist.

Wie du siehst sind beide Methoden nicht ganz ideal. Da es hier auch noch kein Gerichturteil gibt, heißt es warten und einen Anwalt um rechtliche Beratung bitten.

Die Ansicht von Rechtsanwalt Dr. Schwenke besagt folgendes:

Dazu [Kopplungsverbot] muss man bedenken, dass ein Kaufanreiz mit Goldbarren bei Minderjährigen zumindest von deutschen Behörden für zulässig erachtet wurde. Sofern Ihr E-Book nicht mehr wert ist als ein Goldbarren, ist dessen Kopplung an ein Newsletterabonnement m.E. zulässig.

https://drschwenke.de/mailchimp-newsletter-datenschutz-muster-checkliste/#Kopplung_von_E-Book_oder_Gewinnspielen_an_ein_Newsletterabonnement

Abgesehen von der Freiwilligkeit gibt es aber noch viele weitere Akspekte, die auf jeden Fall beachtet werden müssen:

  1. Freiwillige Angaben
  2. Wiederrufsmöglichkeiten
  3. Verweis auf die Datenschutzerklärung und das Impressum
  4. keine Werbung in Anmelde- und Abmeldungsbestätigung
  5. ausdrückliche Einwilligung mit Double Opt-In
  6. Hinweis auf den Newsletter in der Datenschutzerklärung

Freiwillige Angabe

Nach dem Grundsatz der Datenminimierung, ist nur die Email-Adresse Pflicht. Felder wie Name und Nachname sind freiwillig.

Werden aber freiwillige Daten angegeben, sind diese auch von der Einwilligung mitumfasst.

Wiederrufsmöglichkeiten, Verweise auf Datenschutzerklärung und Impressum und Double Opt-In

Dem Newsletter Empfänger muss es jederzeit möglich sein, seine Einwilligung zu wiederrufen, die meisten Newsletter Provider haben ihren Teil zur DSGVO schon beigetragen.

Deswegen haben eigentlich alle einen Austragungslink, und Verweise zu Datenschutzerklärung und Impressum im Footer jeder einzelnen Email.

Zusaätzlich sollte jeder größere Newsletter Anbieter eine Double Opt-In Funktion bieten.

Es könnte ja schließlich jemand anderes deine Email in den Newsletter eintragen.

Deswegen muss de von mir jetzt schon öfters erwähnte Double Opt-In stattfinden.

Das beudetet konkret, dass der Nutzer seine Email mit einer Einwilligung im Kontaktformular einträgt und diese dann erneut bestätigt, indem er einen Link in einer Bestätigungsmail anklickt.

Keine Werbung

Wichtig ist ebenfalls, dass du weder in deiner Bestätigungsemail, noch in deiner Abmeldungsemail Werbung einbinden darfst.

Also sollte eine Bestätigungsemail nicht viel mehr als den Satz „Bitte bestätige deine Email, indem du hier auf den Link klickst enthalten“

Nach der Definition der DSGVO ist es übrigens möglich, nach erfolgreicher Austragung danach auf ein Werbeangebot hinzuweisen, dies muss dann aber jeder für sich selbst entscheiden.

Hinweis auf Newsletter in Datenschutzerklärung

Der vorletzte Schritt ist es, seine Datenschutzerklärung um eine Passage zum Thema Newsletter zu erweitern.

Hier muss deutlich gekennzeichnet sein, wer der Newsletter Anbieter ist, wofür die Daten verwendet werden und was von dem Newsletter zu erwarten ist.

Auftragsverarbeitungsvertrag mit dem Newsletter-Anbieter

Fast geschafft, jetzt „nur“ noch ein Auftragsverarbeitungsvertrag. Was ist das schon wieder?

Dieser Vertrag besagt einfach nur, dass dein Newsletter Anbieter bestätigt, dass er DSGVO konform handelt, also Daten deiner Kunden auch nur nach deiner Answeisung verarbeitet.

Puh, das war anstrengend, ich hoffe du konntest mir bis hierhin folgen.

Darauf erstmal ein Kaffee

Kaffeepause

WordPress Cookie Einwilligung

In diesem Bereich gibt es mittlerweile bereits Urteile, welche die umstrittenen Gesetzestexte auch in der Praxis zeigen.

Hier ein super ausführlicher Artikel zum EuGH-Urteil.

Eine schockierende Nachricht, FaceBook muss 5 Milliarden USD Strafe zahlen.

Es gibt also konkrete und ziemlich hohe Stragen, wenn man hier falsch handelt.

Vorab, wenn du eine Lösung haben willst, die zusammen mit einem Anwalt entwickelt wurde, kann ich Borlabs Cookie nur empfehlen. Einfach, also ohne technischen Know-How einzurichten.

Was muss ein gutes Cookie-Plugin überhaupt alles können?
  • Einwilligung für Nutzerstatistiken
  • Anpassung und Opt-Out von jeglichen Nutzerstatistiken
  • Inhalte basierend auf Cookies blockieren
  • keine Speicherung von Daten oder Anonymisierung von Daten
  • Cookies werden erst geladen, wenn der Nutzer einwilligt

Hier die konkrete Auflistung von Borlabs Cookie im Bezug auf die konformen Einwilligungs Richtlinien

Folgende Aspekte werden erfüllt:

Freiwilligkeit

Der Nutzer hat die Wahl, er kann alle Cookies aktivieren oder nicht (Borlabs Cookie gibt dem Nutzer die freie Auswahl).

Informiertheit

Der Einwilligende muss explizit informiert werden, wofür die Cookies verwendet werden und was sie konkret machen

Borlabs Cookie zeigt an welche Cookies zu welche Kategorie gehören, also z.B Marketing und sagt was diese machen.

Bestimmtheit

Auch wieder erfüllt, es geht um die konkrete Verarbeitung von z.B Nutzerstatistiken, ein konkreter Grund wird dafür ebenfalls angegeben. Der Nutzer ist also voll informiert.

Unmissverständlichkeit

Super wichtig, denn wie im EuGH-Urteil zu sehen, muss es sich um ein Opt-In, also aktive Zustimmung durch einen Klick auf den Button handeln.

Dies ist bei Borlabs Cookie ebenfalls so. Es werden keine Cookies platziert oder Skripte geladen, bis der Nutzer aktiv einwilligt.

Wiederrufsbelehrung

Der Nutzer kann jederzeit über ein Einstellungsrad seine Cookieeinstellungen anpassen und sich damit wieder aus den bereits aktivierten Marketing- und Nutzungsstatistiken austragen.

Form und Einwilligungsfähigkeit sind wie bisher auch erfüllt, da es nachweislich ist und der Nutzer nur zustimmen darf, wenn er 16 Jahre alt ist, oder eine Zustimmung seiner Eltern hat.

Verschlüsselung von personenbezogenen Daten

Ein weiterer wichtiger Punkt, ist es die Verschlüsselung der Daten.

Für Webseitenbetreiber ist das aber ziemlich simpel, du brauchst nur ein SSL-Zertifikat und dann ist dieser Punkt bereits gegessen.

Datenschutzerklärung

Ich könnte dir jetzt alle relevanten Punkte aufzählen, was alles mit reingehört und was relevant ist. Wenn du aber einfach eine DSGVO konfrome Datenschutzerklärung haben willst, solltest du deinen Datenschutz-Generator nutzen.

Es gibt hier einige auf dem Markt, manche sind mit eingeschränktem Funktionsumfang kostenlos, die meisten guten kosten allerdings Geld.

Dafür hast du dann ein Baukastensystem, du kannst dir also die Module, die auf dich und deine Webseite zutreffen nach deinem Wunsch zusammenstellen.

Impressum

Hier gilt das Gleiche wie auch bei der Datenschutzerklärung, nutze einfach einen Impressums-Generator, hier reichten für die meisten Personen auch die kostenlosen.

Zusammenfassung

Wenn du bis hierhin alles durchgelsen und verstanden hast, bist du soweit schon auf einem guten Weg, ich hoffe sehr, dass ich dir mit dieser konkreten Anleitung weiterhelfen konnte.

Wenn du jetzt noch die am Anfang erwähnten Checklisten haben willst, klick auf den Button hierdrunter

Die wichtigsten Fragen nocheinmal zusammengefasst

Für wen gilt die DSGVO?

Für Unternehmen, die in der EU operieren, oder Kunden in der EU haben.

Was sind personenbezogene Daten überhaupt?

Personenbezogene Daten sind alle Informationen, mit denen man Rückschlüsse auf eine Person treffen kann.

Was zählt als verarbeiten von personenbezogenen Daten?

Quasi alles, was du mit Daten anstellen kannst. Transferieren, speichern, nutzen um Personen zu kontaktieren, Statistiken erheben, Werbung senden uvm.

Was ist ein Auftragsverarbeitungsvertrag?

Der AVV ist ein Vertrag zwischen dir und einem Unternehmen, dem du Daten überträgst. Der Vertragspartner verpflichtet sich, personenbezogen Daten nur zu verarbeiten, wenn du (der Auftraggeber) das veranlasst.

Schreibe einen Kommentar

DSGVO Kurzfassung + Checklisten