\nhttps:\/\/dsgvo-gesetz.de\/<\/a>
\nhttps:\/\/dejure.org\/gesetze\/DSGVO<\/a>
\nauf Franz\u00f6sisch z.B. hier:
\nhttps:\/\/eur-lex.europa.eu\/<\/a>
\nauf Englisch:
\nhttps:\/\/gdpr-info.eu\/<\/a><\/p>\n
Disclaimer<\/h2>\n
Da das Thema DSGVO sehr juristisch behaftet ist, muss man dazu nat\u00fcrlich sagen, dass ich in keinster Weise tieferes juristisches Fachwissen besitze und dazu auch nicht beraten kann\/darf. Ich kann f\u00fcr die folgenden Inhalte keine Haftung \u00fcbernehmen und empfehle jedem, f\u00fcr sein Business Fachanw\u00e4lte aufzusuchen mit Spezialisierung IT\/Datenschutz um gut aufgestellt zu sein und seine Prozesse zu optimieren. Ich gebe in diesem Blogartikel nur nach bestem Gewissen Infos weiter die ich aufgeschnappt, gelesen und gesammelt habe, in der Hoffnung, dass es dem einen oder anderen hilfreich sein kann.<\/strong><\/p>\n Es gibt einige Tools mit denen man seine Webseite \u00fcberpr\u00fcfen kann um so die Stellen die datenschutzrechtlich bedenklich sind zu korrigieren.<\/p>\n Webbkoll<\/strong> analysiert per Weboberfl\u00e4che eine spezifische Domain. Das Resultat wird 48 Stunden gespeichert. D.h. \u00c4nderungen werden danach erst sichtbar. Ghostery<\/strong> ist ein Privacy Tool (Add-on) f\u00fcr den Browser mit dem sicheres Surfen m\u00f6glich werden soll. Man kann das Tools aber sehr gut zweckentfremden um die Webseite hinsichtlich Tracker usw. zu analysieren. Beispiel weiter unten. Brave Browser<\/strong> ist ein Browser der auf der Chromium Engine von Google basiert. Er ist spezialisiert auf das Thema Datenschutz und hat \u00bbPrivacy Shields\u00ab eingebaut die vor Tracker und Ads usw. sch\u00fctzen. Wenn da alles auf 0 steht, braucht man keine Bedenken hinsichtlich Cookies zu haben. Wie man im Screenshot sieht, gibt es einige bekannte Webseiten die da nicht so gut aufgestellt sind … Cliqz Browser<\/strong> ist ein Browser vom Anbieter \u00bbCliqz GmbH\u00ab, eine Mehrheitsbeteiligung von Hubert Burda Media mit strategischer Minderheitsbeteiligung von Mozilla. Der Browser ist ebenfalls auf Datenschutz spezialisiert und zeigt alle Tracker und Ads an die dann blockiert werden k\u00f6nnen. Es gibt in den meisten Browsern mittlerweile auch die Developertools (im Brave Browser z.B. unter View \/ Developer \/ Developer Tools). Unter dem Tab \u00bbSources\u00ab kann man sch\u00f6n sehen welche externe Dienste geladen werden.<\/p>\n Hier einmal der Vergleich von der Webseite des Bayerischen Landesamts f\u00fcr Datenschutzaufsicht. Gar keine externe Dienste werden geladen. Das ist der Idealfall.<\/p>\n Wikipedia: \u00bbAls Privacy Shield wird eine Absprache im Datenschutzrecht bezeichnet die zwischen der EU und den Vereinigten Staaten ausgehandelt wurde. Diese Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedstaat der EU in die USA \u00fcbetragen werden. Die von 2000 bis bis 2015 angewandte Safe-Harbor Entscheidung wurde von der EU f\u00fcr ung\u00fcltig erkl\u00e4rt.\u00ab<\/p>\n Unter privacyshield.gov<\/a> kann man sich unter \u00bbPrivacy Shield List\u00ab anschauen, ob ein bestimmter Plugin-Hersteller oder Dienstleister mit dem man arbeitet an dem Programm teilnimmt. Ist das der Fall, stehen die Karten schon mal gut. Ist das nicht der Fall, ist man gut beraten, sich nach Alternativen umzuschauen; am besten L\u00f6sungen von Unternehmen die in der EU sitzen. Man mu\u00df au\u00dferdem in der Privacy Shield Liste nachschauen ob die Kategorie von Daten die man verarbeitet dort aufgelistet ist (Besch\u00e4ftigtendaten (HR) oder sonstige personenbezogene Daten, Non-HR). Auf jeden Fall muss man einen AV(= Auftragsdatenverarbeitungs)-Vertrag abschlie\u00dfen.<\/p>\n FAQ der EU zum Privacy Shield: https:\/\/ec.europa.eu\/newsroom\/document.cfm?doc_id=40933<\/a><\/p>\n Privacy Shield Eintrag des beliebten Newsletter Systems \u00bbMailchimp\u00ab aus den USA.<\/p><\/div>\n Mit jedem Anbieter mit dem man zusammenarbeitet wo personenbezogene Daten \u00fcbertragen und verarbeitet werden mu\u00df ein sog. Auftragsdatenverarbeitungsvertrag abgeschlossen werden, z.B. mit Google, Facebook, Mailchimp, Hosting-Provider usw. Alle gro\u00dfen Player haben mittlerweile so einen Vertrag ausgearbeitet und bieten diesen Online an, zum Ausdrucken oder man kann h\u00e4ufig sofort online zustimmen. Hier sollte man sich eine Liste erstellen mit allen Dienstleistern die personenbezogene Daten verarbeiten und entsprechend dann den Vertrag ausfindig machen auf deren Webseite. Man findet ihn meist unter dem englischen Begriff \u00bbData Processing Agreement\u00ab<\/strong>.<\/p>\n Einige Beispiele: In der DSGVO ist vorgesehen, ein sog. Verarbeitungsverzeichnis zu f\u00fchren. Das geh\u00f6rt zu den neuen Dokumentationspflichten. Hier mu\u00df ganz genau beschrieben werden welche Daten erhoben und wie verarbeitet werden, welche Software und welche Sicherheitsvorkehrungen getroffen werden. Es gilt die Nachweispflicht. Es muss alles protokolliert und niedergeschrieben werden. Die Einwilligung f\u00fcr die Verarbeitung der Daten mu\u00df eindr\u00fccklich erfolgen. Minderj\u00e4hrige sind ausgeschlossen. Erst ab 16 Jahren darf man eine Einwilligung selbst erteilen. Ansonsten braucht es die Einwilligung des Erziehungsberechtigten.<\/p>\n Steuerdaten m\u00fcssen 10 Jahre behalten werden. Hier darf man die Daten dann nicht l\u00f6schen. Ebenso Daten die das Gesetz zur Bearbeitung frei gibt. Krankenh\u00e4user, Notf\u00e4lle fallen auch da drunter. Personenbezogene Daten k\u00f6nnen dann verarbeitet werden wenn berechtigte Interessen bestehen. Z.B. wenn Daten gebraucht werden um einen Vertrag zu erf\u00fcllen. Online Marketing kann in weitem Sinne auch ein berechtigtes Interesse sein. Man muss dann das Schutzinteresse der Nutzer gegen ein berechtigtes Interesse abw\u00e4gen.<\/p>\n Muster Verarbeitungsverzeichnis der luxemburgischen Datenschutzbeh\u00f6rde: Hier gibt es ein weiteres gutes Muster zum Herunterladen: Das Bayerische Landesamt f\u00fcr Datenschutzaufsicht stellt auch einige Muster zur Verf\u00fcgung: Ausf\u00fchrliches PDF der Bitkom zum Thema: OpenSource Tool zur Unterst\u00fctzung des aktiven Datenschutzmanagements: Bei der Portabilit\u00e4t geht es darum dass die Daten die verarbeitet werden maschinenlesbar sein sollen, so dass ich sie zu jeder Zeit zur einem anderen Anbieter \u00fcbertragen k\u00f6nnte. Beispiel: Ich benutze jetzt f\u00fcr meine Fitness jetzt eine andere Fitness-Tracker-App. Es mu\u00df f\u00fcr den neuen Anbieter m\u00f6glich sein aus den Daten eine Schnittstelle zu basteln um die Daten zu \u00fcbernehmen.<\/p>\n Ver\u00f6ffentlichte Informationen sollen gel\u00f6scht werden k\u00f6nnen und man kann sein Recht auf Vergessen werden einfordern. Die Daten m\u00fcssen dann gel\u00f6scht werden wenn die Zwecke f\u00fcr die sie erhoben wurden nicht mehr notwendig sind. Es kann auch sein dass personenbezogene Daten unrechtm\u00e4\u00dfig verarbeitet worden sind oder es an der Rechtsgrundlage f\u00fcr die Verarbeitung fehlt. <\/p>\n Jede Webseite ist verpflichtet, ein vollst\u00e4ndiges Impressum aufzuf\u00fchren und eine Datenschutzerkl\u00e4rung (siehe n\u00e4chster Abschnitt). Die beiden sollten am besten getrennt aber direkt ohne Umwege erreichbar sein (nicht mehr als 2 Klicks). Was geh\u00f6rt hier rein? Zusammenfassend: Name und Anschrift des Website-Anbieters, komplette Anschrift\/Adresse, Angabe der Rechtsform, Kontakt (Mailadresse), Telefonnummer, Handelsregisternummer, Umsatzsteuer-ID, bei verschiedenen Unternehmen die beh\u00f6rdliche Zulassung (Makler, Spielhallenbetreiber, Finanzunternehmen u.a.)<\/p>\n Es gibt einige Impressumgeneratoren die bei der Erstellung helfen:<\/p>\n https:\/\/www.activemind.de\/datenschutz\/impressums-generator\/<\/a> Auch eine Facebookseite braucht eigentlich ein Impressum. Das Gesetz macht keinen Unterschied ob es sich um einen Blog, oder Profil auf Facebook handelt. Inhaltlich geht es um die gleichen Angaben wie auf der Webseite. Die Angaben k\u00f6nnen dann im Infotab z.B. des Profils untergebracht werden.<\/p>\n Hier gibt es ein Beispiel von RA Sabrina Keese-Haufs das angepasst werden kann: Facebook Impressum Generator: Erst mal ist es wichtig \u00fcberhaupt eine Datenschutzerkl\u00e4rung haben. Die richtigen Paragraphen m\u00fcssen drin stehen. Es mu\u00df alles rein kommen, alle Tools, alle Plugins die benutzt werden mit Firmenadresse und Beschreibung, was diese Tools machen. F\u00fcr normale Blogs k\u00f6nnen Datenschutzerkl\u00e4rung-Generatoren ausreichen (Links hier drunter), sobald es komplizierter wird mit Shops u.s.w., reicht das nicht mehr da man hier auch noch im Offlinebereich agiert. F\u00fcr 70% w\u00e4re es aber sicher ausreichend. 100% rechtssicher \u2013 wenn es das \u00fcberhaupt gibt \u2013 geht es nur mit Anwalt. Dazu kommt noch, dass ein deutscher Generator nicht unbedingt f\u00fcr Luxemburg (oder ein anderes Land) gilt da zus\u00e4tzlich zur DSGVO noch das Landesrecht hinzukommt.<\/p>\n Die Datenschutz-Generatoren fragen erst mal einige Punkte zur Webseite ab und spucken dann entsprechend den Text aus. 100% rechtssicher ist dieser Text aber nat\u00fcrlich nicht. Man muss auch alles pr\u00e4zis und gewissenhaft ausf\u00fcllen. In einigen Benutzungsbedingungen drin, dass der Anbieter des Generators dich kontaktieren kann um zu beraten oder zu verkaufen (was man aber danach widerrufen kann). Nat\u00fcrlich versuchen so, einige Rechtsanw\u00e4lte auch Eigenwerbung zu machen um ihre Dienste zu vermarkten, was deren gutes Recht ist, wenn sie so einen Generator kostenlos anbieten.<\/p>\n Generator von RA Dr. Schwenke: Generator der deutschen Gesellschaft f\u00fcr Datenschutz: Generator von Rechtsanwalt Christian Solmecke: Generator von e-recht24: Keine preiswerte L\u00f6sung, aber gut durchdacht, die sog. Meffert-L\u00f6sung: Janolaw, der einzige den ich jetzt entdeckt habe wo auch eine DSE auf franz\u00f6sisch m\u00f6glich zu sein scheint. Kostet zwar, aber nicht viel: Datenschutzerkl\u00e4rung als dynamisches Plugin, kostet allerdings 96 \u20ac pro Domain und ist nur f\u00fcr Unternehmen konzipiert: WordPress 4.9.6 hat einige kleine hilfreiche DSGVO Funktionen eingef\u00fchrt: In Artikel 32 der DSGVO geht es um die Sicherheit der Verarbeitung. Da steht ausdr\u00fccklich dass eine Pseudonymisierung und Verschl\u00fcsselung notwendig ist. Eine Verschl\u00fcsselung mittels SSL oder TLS entpricht auch 2018 dem Stand der Technik und sollte daher bei jeder Webseite aktiviert werden. Das gilt vor allem wenn man Kontaktformulare drauf hat oder ein Newsletterformular oder auch etwa eine Kommentarfunktion. Aber auch durch Plugins oder Tracking-Tools usw. werden Daten an externe Server \u00fcbertragen und SSL ist somit ein Mu\u00df.<\/p>\n Die Einrichtung einer sicheren Verbindung ist bei jedem Hostingprovider etwas anders. Die meisten bieten das jedoch von Haus aus an, man mu\u00df es nur meistens extra konfigurieren und anpassen. Wie erkennt man eine SSL verschl\u00fcsselte Seite? Beim Internetbrowser wird es meistens oben in der Adressleiste angezeigt: ein gr\u00fcnes oder geschlossenes Schloss bedeutet verschl\u00fcsselt, rot bedeutet unverschl\u00fcsselt. Man erkennt es auch oft an der Webadresse: Achte hier auf das S im https<\/strong>:\/\/<\/p>\n Mit dem SSL Zertifikat alleine ist es noch nicht getan. Hat man bereits eine Webseite mit vielen internen URLs, dann m\u00fcssen diese alle umgeschrieben werden. HTTP Links m\u00fcssen auf HTTPS umgeleitet werden und alte Pfade m\u00fcssen aktualisiert werden. Eine gute Anleitung f\u00fcr WordPress gibt es z.B. hier auf WordPress Ninjas: Cookies werden mittlerweile oft als \u00bbb\u00f6se\u00ab dargestellt weil sie die Leute tracken. Cookies selbst k\u00f6nnen aber nicht tracken denn ein Cookie ist eigentlich nur eine Textdatei, die beim Nutzer gespeichert wird. Der Rest geschieht dann durch Skripte, die auf dieses Cookie zugreifen. Solange also diese Skripte blockiert werden, sind die Cookies harmlos. Sicherheitsbrowser wie der oben vorgestellte Brave, Cliqz oder Firefox Klar sowie Add-Ons \u00e0 la Ghostery k\u00f6nnen Cookies blockieren.<\/p>\n Cookies sind auch nicht Bestandteil der DSGVO, sondern werden eigentlich erst mit der EU-ePrivacy Verordnung geregelt werden. Die Richtung die es gehen wird ist aber bekannt: Cookies sind auch nur dann problematisch wenn sie personenbezogene Daten enthalten. Das ist nicht bei allen Cookies der Fall. Am besten ist es immer, transparent zu handeln, den Benutzer aufzukl\u00e4ren \u00fcber die Cookies und via Opt-Out die M\u00f6glichkeit des Widerrufs anzubieten bei solchen die f\u00fcrs Tracking genutzt werden. Dazu mu\u00df man den Nutzer beim Erstbesuch auf die Nutzung von Tracking hinweisen und seine Zustimmung holen via Opt-In. Bei einem Opt-In (= explizite Einwilligung \/ engl.: consent) m\u00fcsste der Nutzer ansich auch jedem Cookie einzeln zustimmen. Bei Webseiten die viele Cookies setzen wird das in der Praxis nervig \u2026<\/p>\n Die meisten Webseiten bieten zur Zeit nur ein Opt-Out und blenden einen Banner ein mit den Worten: \u00bb \u2026 Wenn Sie auf dieser Webseite weitersurfen, akzeptieren Sie unsere Cookie-Richtlinie (diese sollte verlinkt werden)\u00ab, o.\u00e4. Das wird bald nicht mehr zul\u00e4ssig sein und ist auch logisch. Man mu\u00df Ja oder Nein w\u00e4hlen k\u00f6nnen, anders hat man theoretisch nur die Wahl, die Webseite zu verlassen (falls es dann nicht schon zu sp\u00e4t ist und man getrackt wude). Die Nutzerdaten sollten pseudonymisiert werden (siehe AnonymizeIP<\/a>).<\/p>\n Auch wenn der Nutzer einverstanden ist getrackt zu werden, mu\u00df man dennoch die M\u00f6glichkeit bieten, dem Tracking nachtr\u00e4glich zu widersprechen. Z.B. durch einen Link in der Datenschutzerkl\u00e4rung um Google Analytics zu deaktivieren (siehe weiter unten).<\/p>\n Man ist sich in der Realit\u00e4t nicht bewusst, wieviele Cookies so vin den verschiedenen Diensten gesetzt werden. Bei Online-Shops z.B. m\u00fcssen Cookies notwendigerweise gesetzt werden, sonst funktioniert der Shopprozess nicht wie er soll. Es geht beim Cookie-Consent auch eher um die 3rd Party Cookies die von extern eingebunden werden. Das ist z.B. der Fall wenn Inhalte eingebunden werden von anderen Seiten: Google Maps Karten, Facebook Videos oder Page Boxes, YouTube oder Vimeo Videos, Webfonts, Twitter usw.<\/p>\n Borlabs Cookie<\/strong> ist ein WordPress Plugin das einem erlaubt Cookies nur via Opt-In zu setzen. Erst wenn der Besucher seine Zustimmung gibt wird das JavaScript aktiviert und der Cookie gesetzt. Kostet leider 19 \u20ac pro Webseite oder 199 \u20ac f\u00fcr Agenturen und beliebig viele Projekte. DSGVO Pixelmate<\/strong> stellt auch eine elegante M\u00f6glichkeit zur Verf\u00fcgung, ein Optin einzubinden. 29 \u20ac f\u00fcr eine Webseite, 49 \u20ac f\u00fcr 3 Seiten. F\u00fcr andere CMS-Systeme gibt es noch weitere L\u00f6sungen. Hier ist eine Auflistung von Mittwald: Es gibt in einigen Browsern (Firefox, Chrome, Opera, Safari …) die \u00bbDo not track\u00ab Funktion. Diese \u00fcbermittelt dann den besuchten Webseiten, dass man nicht getrackt werden m\u00f6chte. Das wirkt aber nicht zu 100%. Effektiver ist es, Tracking Blocker zu nutzen wie \u00bbGhostery<\/a>\u00ab oder \u00bbPrivacy Badger<\/a>\u00ab odereinen von den oben vorgestellten Sicherheits-Browsern.<\/p>\n Was ist das sog. Kopplungsverbot? Ein Freebie darf nicht mehr durch Tausch von Mailadresse angeboten werden. D.h. an die Herausgabe von pers\u00f6nlichen Daten gekoppelt werden. Es war\/ist g\u00e4ngige Praxis im Online-Marketing, einem potentiell interessierten Kunden ein Freebie anzubieten (E-Book, PDF, Lernvideo o.\u00e4.) um ihn in die E-Mail-Liste zu locken damit er sp\u00e4ter dann vielleicht mal was kauft. Wenn man Daten nicht braucht darf man sie jedoch nun auch nicht mehr erheben. F\u00fcr den Download eines PDFs braucht man ja keine Mailadresse, man kann das PDF einfach verlinken zum Sofortdownload. Es braucht dann z.B. ein K\u00e4stchen zum Anklicken dass man weitere (Werbe)Mails erhalten m\u00f6chte. Oder man kann den User vor die Wahl stellen: Entweder das Freebie gegen Tausch der Mailadresse, oder ohne Mailadresse, aber dann gegen Bezahlung von etwa 2 \u20ac (Freiwilligkeit der Einwilligung). Oder das Freebie einfach so vergeben und Newsletterfeld drunter: \u00bbIch w\u00fcrde mich freuen, wenn du mich unterst\u00fctzt und den Newsletter abonnierst\u00ab. Das w\u00e4re eine elegante L\u00f6sung und wenn du sonst gute Inhalte ver\u00f6ffentlichst und Mehrwert bietest, ist die Wahrscheinlichkeit auch gro\u00df, dass der Besucher sich hier freiwillig einschreiben m\u00f6chte.<\/p>\n Anbieter von Newslettersystemen befinden sich oft in den USA wie beim allseits beliebten (auch von mir gerne genutzten) Mailchimp. Es handelt sich bei den USA jedoch um ein sog. unsicheres Drittland welches nicht unseren Datenschutzstandards entspricht. Mitglied im ePrivacy-Shield Programm ist ein Mu\u00df (siehe weiter oben). Dann kann man den Vertrag mit dem Dienstleister schlie\u00dfen (Data Processing Agreement). Er arbeitet somit in deinem Auftrag.<\/p>\n Bei Newsletter-Systemen muss eine Nachweisbarkeit der Einwilligung vorhanden sein! Man darf Personen nicht manuell eintragen au\u00dfer man hat eine nachweisbare schriftliche Einwilligung. Das mu\u00df dann dokumentiert werden.<\/p>\n Newsletter-Formulare m\u00fcssen immer per \u00bbDouble Optin\u00ab gestaltet werden, d.h. der User mu\u00df separat per Link seine Anmeldung noch einmal best\u00e4tigen so dass eine Anmeldung nicht aus Versehen passieren kann.. In jedem Newsletter mu\u00df es dann auch eine Abbestellm\u00f6glichkeit geben, meist am Schluss des Newsletters. Man sollte auch auf seiner Webseite klar informieren um was es im Newsletter geht und hinzuschreiben was mit den Daten geschieht und wohin sie gehen (das kann auch in die Datenschutzerkl\u00e4rung).<\/p>\n Der Newsletter Anbieter Newsletter2Go<\/a> empfiehlt, zum Anmeldeformular etwa folgenden Satz hinzuschreiben (mu\u00df dann je nach Newsletter-System angepasst werden): \u00bbIhre E-Mail Adresse wird an die datenschutz-zertifizierte Newsletter Software Newsletter2Go zum technischen Versand weitergegeben. Weitere Informationen finden Sie in unserer Datenschutzerkl\u00e4rung [Link zur Datenschutzerkl\u00e4rung].\u00ab<\/p>\n Gute Hinweise f\u00fcr Mailchimp Anwender: Newsletter auf der eigenen WordPress-Installation: Man mu\u00df aufpassen was man auf seiner Webseite ver\u00f6ffentlicht. Das ist zwar nicht ganz neu, aber seit dem Inkrafttreten der DSGVO noch einmal verst\u00e4rkt aufgetaucht. Wenn ich Fotos ver\u00f6ffentliche mit Personen drauf, so mu\u00df ich daf\u00fcr eine schriftliche Einwilligung haben. Ist dies nicht der Fall, mu\u00df die Person unkenntlich gemacht werden oder es darf nicht ver\u00f6ffentlicht werden. Auch wenn ich eine von hinten fotografierte Person ver\u00f6ffentliche oder deren Kopf\/Gesicht unkenntlich mache, kann die Person trotzdem identifizierbar sein anhand von der Kleidung oder einem bestimmten Accessoire usw. Auch Autokennzeichen d\u00fcrfen nicht erkennbar sein und geh\u00f6ren zu den personenbezogenen Daten.<\/p>\n Wie schon oben kurz erl\u00e4utert, ist das Einbetten von YouTube Videos oder allgemein von das Einbetten von Medien in die Webseite von externen Diensten datenschutzrechtlich problematisch. Es werden hier Daten zwischen den Servern ausgetauscht. Sehr g\u00e4ngig ist ja das Einbetten von YouTube Videos. Welche M\u00f6glichkeiten gibt es hier?<\/p>\n Es gibt eine etwas versteckte Funktion bei YouTube um Videos einzubetten ohne Cookies zu setzen: \u00bbEnable privacy-enhanced mode\u00ab Hiermit werden weniger Daten an Google-Server gesendet \u2013 aber nicht gar keine. Man mu\u00df die Option aber explizit ausw\u00e4hlen bevor man den Einbetten-Code kopiert.<\/p>\n Datenschutzeinstellungen beim Einbetten von YouTube Videos<\/p><\/div>\n Das WordPress Plugin WP YouTube Lyte<\/a> geht einen Schritt weiter und l\u00e4dt nur das Vorschaubild von YouTube und alles sonstige erst beim Klicken auf den Play-Button.<\/p>\n Bei dem Plugin \u00bbEmbed Video and respect Privacy<\/a>\u00ab wird gar nichts mehr von Google Servern geladen bis eine Aktion stattfindet.<\/p>\n WordPress plugin for making ebedding videos GDPR compliant: Viele Cookie Optin-L\u00f6sungen wie das oben erw\u00e4hnte Borlabs Cookies<\/a> bieten solche L\u00f6sungen auch Out-of-the-Box an. Da werden dann externe Inhalte nicht geladen bis man sein OK dazu gegeben hat, entweder generell oder bei jedem Video einzeln. Allerdings sieht man hier dann meist auch kein Vorschaubild sondern nur ein schwarzes Rechteck mit einem Optin-Text.<\/p>\n Manchmal werden IP-Adressen gespeichert, z.B. beim Hosting Provider zur Statistik (einfach mal nachfragen) oder auch zur Spambek\u00e4mpfung oder bei Kommentaren im Blog. Das ist manchmal notwendig und zul\u00e4ssig, machmal aber auch unn\u00f6tig. Wenn man in einem Blog einen Kommentar schreibt, werden in WordPress neben dem Namen und der eingegebenen Mail-Adresse auch die IP-Adresse gespeichert. Da das Speichern der IP-Adresse nicht f\u00fcr die Funktion des Kommentierens notwendig ist, darf sie auch nicht gespeichert werden. Bestehende IP Adressen von Kommentatoren kann man via PHPMyAdmin l\u00f6schen. Der folgende verlinkte Artikel beschreibt wie das geht. Die zuk\u00fcnftige Speicherung der IP-Adressen von Kommentatoren kann verhindert werden durch Erweiterung der functions.php-Datei oder durch Installieren des kleinen Plugins \u00bbRemove IP<\/a>\u00ab wie im verlinkten Artikel erkl\u00e4rt:<\/p>\n Anleitung zur Entfernung der IP Adressen: Dieses WordPress Plugin l\u00f6scht die IP-Adresse nach 60 Tagen (kann man aber im Code anpassen): Subscribe to Double Opt-in Comments: Bei WordPress ist das Plugin \u00bbAkismet\u00ab vorinstalliert mit dem man wirkungsvoll Spamkommentare bek\u00e4mpfen kann. Das Problem bei dem Plugin ist allerdings, dass dabei der Kommentartext und die IP-Adresse an einen externen Server \u00fcbermittelt wird. Als Alternative zu Akismet wird deswegen meistens zu Antispam Bee<\/a> geraten das ich auch nutze. Allerdings sollte man sich hier die Voreinstellungen einmal genau ansehen und 3 wichtige K\u00e4stchen deaktivieren und zwar: \u00bb\u00d6ffentliche Spamdatenbank ber\u00fccksichtigen\u00ab, \u00bbKommentare aus bestimmten L\u00e4ndern blockieren\u00ab, \u00bbKommentare nur in einer bestimmten Sprache zulassen\u00ab. Bei diesen Optionen werden n\u00e4mlich wieder Daten an externe Server gesendet.<\/p>\n Anleitung Antispam Bee: Eine weitere Alternative: Spam Destroyer: Social Media Plugins sind datenschutzrechtlich mit der DSGVO grunds\u00e4tzlich zu vermeiden da hier meist sofort ohne zu fragen Daten zu Facebook, Twitter usw. gesendet werden. Die Alternative ist eine simple Verlinkung \u00fcber ein Icon beispielsweise. Jede Verlinkung zu externen Seiten sollten erw\u00e4hnt werden. Man sollte erkennen wo ein Link hinf\u00fchrt wenn man drauf klickt.<\/p>\n Die beliebte \u00bbFacebook Like Box\u00ab sollte aus datenschutzrechtlichen Gr\u00fcnden nicht mehr in die Webseite eingebunden werden.<\/p><\/div>\n Bei einem Kontaktformular werden ebenfalls pers\u00f6nliche Daten \u00fcbertragen. Voraussetzung ist eine gesicherte SSL oder TLS Verschl\u00fcsselung. Hier sind wir ja in dem Fall dass jemand aktiv eine Leistung anfragt, es macht jemand ein Angebot (vorvertraglicher Bereich). Ich brauche diese Daten, mindestens die Mailadresse weil sonst kein Vertrag abgeschlossen werden kann und ich nicht antworten kann. Die IP-Adressen sollten auch hier anonymisiert werden (siehe weiter oben), obwohl die IP-Adresse allein kein Problem ansich ist. Nur in Verbindung mit anderen Daten ist die IP streng genommen identifizierbar.<\/p>\n Zu welchem Zweck? Gehen die Daten an einen Dritten? Werden die Daten verschl\u00fcsselt? Wie lange werden die Daten behalten? Diese Infos sollten gegeben werden. Der Text k\u00f6nnte so lauten: \u00bbIhre Anfrage wird verschl\u00fcsselt per https an unseren Server geschickt. Sie erkl\u00e4ren sich damit einverstanden, dass wir die Angaben zur Beantwortung Ihrer Anfrage verwenden d\u00fcrfen. Hier finden Sie unsere Datenschutzerkl\u00e4rung und Widerrufhinweise\u00ab<\/em>.<\/p>\n Entgegen vieler Diskussionen im Internet braucht es nicht extra eine Checkbox zur Einwilligung der Datenverarbeitung durch Ausf\u00fcllen des Formulars. Jemand der ein Formular abschickt, will ja, dass seine Anfrage bearbeitet wird und gibt damit automatisch seine Einwilligung. Die Datenerhebung und -verarbeitung darf nat\u00fcrlich nur zum Zweck der Bearbeitung der Nutzeranfrage dienen. Ausnahme w\u00e4re h\u00f6chstens eine Erhebung von abstrusen Daten. Da m\u00fcsste man eventuell eine Teileinwilligung verlangen. Weitere Infos bei Stefan Hansen-Oest hier<\/a>.<\/p>\n Datenvermeidung und Sparsamkeit: Pflichtfelder m\u00fcssen gekennzeichnet werden und aufs Notwendigste beschr\u00e4nkt.<\/p>\n Das Retargeting ist eine Marketing Praxis die in Zukunft immer schwieriger umzusetzen ist mit den strengen Datenschutzregeln. Durch das Online-Targeting hat man im Marketing die M\u00f6glichkeit, gezielte Werbung auszuliefern, d.h. nur an relevante Zielgruppen. Das ist aber nur mit Hilfe von Nutzerdaten m\u00f6glich die durch Tracking erfasst werden. Dies wird durch Cookies m\u00f6glich, z.B. den unsichtbaren sog. \u00bbFacebook Pixel\u00ab und auch \u00bbGoogle Analytics\u00ab aber auch durch Technologien wie \u00bbBrowser-Fingerprinting\u00ab oder \u00bbCanvas-Fingerprinting\u00ab. Diese Tracking-Methoden funktionieren nat\u00fcrlich am Besten wenn der Nutzer nichts davon wei\u00df. Der Sinn der ganzen neuen Datenschutzregeln ist es, genau dies zu vermeiden.<\/p>\n Da das Cookie-Thema Teil der ePivacy-Verordnung ist und nicht der DSGVO, kann man zur Zeit nur absch\u00e4tzen welche Richtung es gehen wird. Man kann man diese Techniken zwar wahrscheinlich auch weiterhin einsetzen \u2013 jedoch mit der gro\u00dfen Einschr\u00e4nkung dass der User dem Setzen der Cookies \/ des Trackings explizit zustimmt. Die Einwilligung mu\u00df da sein. Wenn ich das als User nicht will, mu\u00df ich die M\u00f6glichkeit dazu haben, es nicht zuzulassen. Aber auch wenn man zustimmt, mu\u00df man nachtr\u00e4glich die M\u00f6glichkeit haben, die Entscheidung zu widerrufen. In der Datenschutzerkl\u00e4rung m\u00fcssen die Retargeting-Ma\u00dfnahmen auch erl\u00e4utert werden. Siehe auch den Abschnitt \u00bbCookies\u00ab<\/a> weiter oben.<\/p>\n Wenn bei einer Webseite Webfonts eingesetzt werden, z.B. die beliebten Google Fonts, dann wird bei jedem Aufruf der Webseite Google Server kontaktiert. Das mu\u00df in der DSE (Datenschutzerkl\u00e4rung) aufgef\u00fchrt werden. Durch diesen externen Aufruf werden Daten \u00fcbertragen, deshalb wird im Rahmen der DSGVO dr\u00fcber diskutiert, diese Schriften auf den eigenen Server hochzuladen. Beim Einsetzen von Webfonts wird allerdings kein Cookie gesetzt weshalb man das eigentlich nicht vergleichen kann mit dem Setzen von Google Analytics Code wo der Nutzer mittels IP zugeordnet und getrackt werden kann. Bei Google Fonts besteht die M\u00f6glichkeit, sie auf dem eigenen Webserver zu laden und so einzubetten, obwohl dies einige Nachteile mit sich bringt (schlechtere Ladezeiten, administrativer Aufwand, ev. keine einheitliche Darstellung auf anderen Ger\u00e4ten …). Bei anderen Webfont Anbietern wird es jedoch problematisch weil es nicht immer erlaubt ist, die Schriften herunter zu laden und auf den eigenen Server zu packen. Somit bleibt zur Zeit dann nur die M\u00f6glichkeit auf das berechtigte Interesse zu verweisen (Art. 6 Abs. 1 lit. f DSGVO), was allerdings Risiken birgt, oder man nutzt keine Webfonts was aus Designersicht nat\u00fcrlich ein gro\u00dfer R\u00fcckschritt ist.<\/p>\n Anleitung zum Einbinden der Google Fonts auf dem eigenen Webserver: Bei Blogs kann es oft interessant sein, Benachrichtigungen zu erhalten wenn ein neuer Beitrag ver\u00f6ffentlicht wird. Es gibt einige Plugins die sowas erm\u00f6glichen. Die Regeln sind in etwa gleich wie beim Newsletter. Wichtig ist auch hier wieder einen Double Opt-in zu bieten und auf die Datenschutzerkl\u00e4rung hinzuweisen in der man erkl\u00e4rt was passiert wenn man den Blog abonniert.<\/p>\n Mailpoet: Subscribe2 Plugin: E-Mail Subscribers and Newsletters: Google Analytics ist noch immer das beste Tool wenn man Online Marketing betreiben m\u00f6chte. Leider ist gerade Google Analytics auch datenschutzrechtlich am Schwierigsten (zusammen mit dem Facebook Pixel). Ein Vertrag zur Auftragsverarbeitung muss abgeschlossen werden (GA Einstellungen > Vertrag elektronisch best\u00e4tigen > \u00bbVerwaltung\u00ab > \u00bbKontoeinstellungen\u00ab, Rubrik \u00bbZusatz zur Datenverarbeitung\u00ab). Der Tracking-Code muss angepasst werden sowie die Datenschutzerkl\u00e4rung. Ggf. L\u00f6schung von Altdaten (alles was ohne IP-Anonymisierung passiert ist)<\/p>\n Das Hauptproblem an Google Analytics ist die Daten\u00fcbertragung in die USA und ein instabiles Privacy Shield. Analytics ist aber im Gegensatz zu Facebook Pixel und Co einer der wenigen Dienste, die seit Jahren sauber IP-Anonymisierung und ein AV anbieten.<\/p>\n Anonymize IP: https:\/\/developers.google.com\/analytics\/devguides\/collection\/analyticsjs\/ip-anonymization<\/a> Es braucht eine Opt-Out-M\u00f6glichkeit, z.B. per Pop-Up wenn man nicht getrackt werden m\u00f6chte.<\/p>\n Google Analytics Opt-Out Anleitung: WordPress Opt-Out Plugin: Von Schweizer Solutions<\/a> gibt es das WordPress Plugin Google Analytics Opt-Out<\/strong>: Matomo<\/a> hie\u00df fr\u00fcher: Piwik und ist DIE Google Analytics Alternative. Alle Daten werden hier auf dem eigenen Server gespeichert und man hat die Kontrolle \u00fcber Cookies und Art der Daten. Eventuell erh\u00e4lt man mehr PageSpeed durch das Vermeiden von externen Datenquellen und weniger Abh\u00e4ngigkeit von Google. Nicht vergessen Updates regelm\u00e4\u00dfig einzuspielen. <\/p>\n Google Analytics auf WordPress datenschutzkonform einsetzen mit Borlabs Cookie: Weitere Tools: WP Statistics<\/a> oder Statify<\/a>.<\/p>\n Google stellt ein Browser Add-On<\/a> zur Verf\u00fcgung mit dem man Analytics deaktivieren kann. Dadurch mu\u00df aber auch ein Cookie gesetzt werden der dann in Zukunft die Datenerfassung verhindert.<\/p>\n Wenn der Facebook Pixel eingebunden wird, dann braucht es daf\u00fcr auch einen Hinweis in Form von PopUp bzw. eine explizite Einwilligung. Siehe oben Abschnitt Cookies.<\/p>\n Vor allem bei Blogs werden gerne Sharing Plugins eingesetzt, die Buttons die durch Klick animieren sollen einen Beitrag in den sozialen Netzwerken zu teilen. Datenschutzrechtlich bietet sich hier \u00bbShariff<\/a>\u00ab. Die Plugins machen erst was wenn der User selbst aktiv wird.<\/p>\n Der Artikel hier ist sicher nicht komplett und man mu\u00df am Thema dran bleiben. Wenn man jedoch die hier beschriebenen Ma\u00dfnahmen umgesetzt hat, ist man schon sehr weit gekommen. Hier noch einige weitere Links:<\/p>\n WordPress DSGVO Plugin: Gute Checkliste von Gerald Rusche: Rechtsanw\u00e4ltin Sabrina Keese-Haufs hat eine EU-DSGVO Checkliste ver\u00f6ffentlicht unter: Fragebogen zur Umsetzung der DS-GVO zum 25. Mai 2018: Brosch\u00fcren, Mustervordrucke und Orientierungshilfen: Die WordPress Ninjas f\u00fchren eine umfassende Liste mit WordPress Plugins in Bezug auf die DSGVO: Guter Leitfaden: Guter Blogbeitrag von Webtimiser: https:\/\/www.donneespersonnelles.fr\/mentions-legales-site-internet<\/a><\/p>\nWie datenschutzfreundlich ist meine Webseite?<\/h1>\n
\nhttps:\/\/webbkoll.dataskydd.net\/en<\/a><\/p>\n
\nhttps:\/\/www.ghostery.com\/de\/<\/a><\/p>\nDatenschutz Browser<\/h2>\n
\nhttps:\/\/brave.com\/<\/a><\/p>\n![\"Brave](\"https:\/\/www.sachaheck.net\/blog\/wp-content\/uploads\/2019\/05\/spiegel-shield-brave.png\")
<\/p>\n
\nhttps:\/\/cliqz.com<\/a><\/p>\n![\"Cliqz](\"https:\/\/www.sachaheck.net\/blog\/wp-content\/uploads\/2019\/05\/cliqz-shield.png\")
<\/p>\nDeveloper Tools<\/h2>\n
![\"Developer](\"https:\/\/www.sachaheck.net\/blog\/wp-content\/uploads\/2019\/05\/developer-tools-brave.png\")
<\/p>\n![\"Developer](\"https:\/\/www.sachaheck.net\/blog\/wp-content\/uploads\/2019\/05\/developer-tools-lda.png\")
<\/p>\nPrivacy Shield<\/h1>\n
![\"Privacy](\"https:\/\/www.sachaheck.net\/blog\/wp-content\/uploads\/2019\/05\/mailchimp-privacy-shield.png\")
AV-Vertr\u00e4ge mit Dienstleistern schlie\u00dfen<\/h1>\n
\nAdobe: https:\/\/www.adobe.com\/de\/privacy\/eu-dpa.html<\/a>
\nGoogle Analytics: https:\/\/support.google.com\/analytics\/answer\/3379636?hl=de <\/a>
\nMailchimp: https:\/\/admin.mailchimp.com\/account\/legal\/forms\/data-processing-agreement<\/a><\/p>\nVerzeichnis der Verarbeitungst\u00e4tigkeiten erstellen<\/h1>\n
\nhttps:\/\/cnpd.public.lu\/de\/dossiers-thematiques\/guide-monde-associatif\/etablissement-registre.html<\/a><\/p>\n
\nhttps:\/\/www.activemind.de\/datenschutz\/dokumente\/verfahrensverzeichnis\/<\/a><\/p>\n
\nhttps:\/\/www.lda.bayern.de\/de\/kleine-unternehmen.html<\/a><\/p>\n
\nhttps:\/\/www.bitkom.org\/sites\/default\/files\/file\/import\/180529-LF-Verarbeitungsverzeichnis-online.pdf<\/a><\/p>\n
\nhttp:\/\/www.datencockpit.at<\/a><\/p>\nDaten\u00fcbertragbarkeit \/ Portabilit\u00e4t<\/h1>\n
Recht auf Vergessen werden<\/h1>\n
Impressum<\/h1>\n
\nhttps:\/\/www.e-recht24.de\/impressum-generator.html<\/a>
\nhttps:\/\/www.it-recht-kanzlei.de\/Tools\/Impressum\/generator.php<\/a><\/p>\n
\nhttps:\/\/lawlikes.de\/fbdse\/<\/a><\/p>\n
\nhttps:\/\/www.e-recht24.de\/facebook-impressum-generator.html<\/a><\/p>\nDatenschutzerkl\u00e4rung<\/h1>\n
\nhttps:\/\/datenschutz-generator.de\/<\/a><\/p>\n
\nhttps:\/\/dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de\/<\/a><\/p>\n
\nhttps:\/\/www.wbs-law.de\/it-recht\/datenschutzrecht\/datenschutzerklaerung-generator\/<\/a>
\n(Hinweis: ich hab gelesen, man verpflichtet sich bei diesem Generator wohl, Werbelinks einzubinden in der Datenschutzerkl\u00e4rung, also ohne Gew\u00e4hr)<\/p>\n
\nhttps:\/\/www.e-recht24.de\/<\/a><\/p>\n
\nhttps:\/\/meine-datenschutzerklaerung.de\/<\/a><\/p>\n
\nhttps:\/\/www.janolaw.de<\/a><\/p>\n
\nhttps:\/\/avalex.de\/<\/a><\/p>\n
\nhttps:\/\/wp-ninjas.de\/wordpress-update-dsgvo<\/a><\/p>\nSSL-Verschl\u00fcsselung<\/h1>\n
![\"SSL](\"https:\/\/www.sachaheck.net\/blog\/wp-content\/uploads\/2019\/05\/ssl-verschluesselung.jpg\")
<\/p>\n
\nhttps:\/\/wp-ninjas.de\/wordpress-https<\/a><\/p>\nCookies<\/h1>\n
\nhttps:\/\/de.borlabs.io\/borlabs-cookie\/<\/a><\/p>\n
\nhttps:\/\/wp-dsgvo-plugin.com\/<\/a><\/p>\n
\nhttps:\/\/www.mittwald.de\/services-fuer-agenturen\/weitere-services\/datenschutzkonforme-cookie-nutzung<\/a><\/p>\nDo not track Funktion<\/h2>\n
Kopplungsverbot<\/h1>\n
Newsletter: Hinweis auf Datenschutz<\/h1>\n
\nhttps:\/\/drschwenke.de\/mailchimp-newsletter-datenschutz-muster-checkliste<\/a><\/p>\n
\nhttps:\/\/www.thenewsletterplugin.com<\/a><\/p>\nBilder: Pers\u00f6nlichkeitsrecht<\/h1>\n
YouTube Videos einbetten<\/h1>\n
Einbetten mit erweitertem Datenschutzmodus<\/h2>\n
![\"YouTube](\"https:\/\/www.sachaheck.net\/blog\/wp-content\/uploads\/2019\/05\/YouTube-Privacy-Enhanced.png\")
Einbetten mit WP YouTube Lyte<\/h2>\n
Embed video and respect privacy<\/h2>\n
\nhttps:\/\/github.com\/michaelzangl\/wp-video-embed-privacy<\/a><\/p>\nIP-Adressen speichern\/l\u00f6schen<\/h1>\n
\nhttps:\/\/wp-ninjas.de\/wordpress-kommentare-ip-entfernen<\/a>
\nhttps:\/\/www.internetkurse-koeln.de\/wordpress-kommentar-ip-adressen-nicht-speichern-warum-und-wie\/<\/a><\/p>\n
\nhttps:\/\/wordpress.org\/plugins\/remove-comment-ips\/<\/a><\/p>\n
\nhttps:\/\/de.wordpress.org\/plugins\/subscribe-to-double-opt-in-comments\/<\/a><\/p>\nAnti-Spam Kommentare<\/h1>\n
\nhttps:\/\/wp-ninjas.de\/spam-kommentare-dsgvo<\/a><\/p>\n
\nhttps:\/\/de.wordpress.org\/plugins\/spam-destroyer\/<\/a><\/p>\nSocial Media Plugins<\/h1>\n
![\"Die](\"https:\/\/www.sachaheck.net\/blog\/wp-content\/uploads\/2019\/05\/facebook-like-box.png\")
Kontaktformular<\/h1>\n
Datenschutzhinweise f\u00fcr das Kontaktformular<\/h2>\n
Retargeting Marketing<\/h1>\n
Web Fonts<\/h1>\n
\nhttps:\/\/wp-ninjas.de\/wordpress-google-fonts<\/a><\/p>\nBlog Abo<\/h1>\n
\nhttps:\/\/www.mailpoet.com<\/a><\/p>\n
\nhttps:\/\/de.wordpress.org\/plugins\/subscribe2\/<\/a><\/p>\n
\nhttps:\/\/de.wordpress.org\/plugins\/email-subscribers\/<\/a><\/p>\nStatistik Tools<\/h1>\n
Google Analytics<\/h2>\n
\nDisable Tracking: https:\/\/developers.google.com\/analytics\/devguides\/collection\/gajs\/?hl=de#disable<\/a><\/p>\n
\nhttps:\/\/wp-ninjas.de\/google-analytics-opt-out<\/a><\/p>\n
\nhttps:\/\/de.wordpress.org\/plugins\/google-analytics-opt-out\/<\/a><\/p>\n
\nhttps:\/\/wordpress.org\/plugins\/opt-out-for-google-analytics\/<\/a><\/p>\nMatomo<\/h2>\n
\nhttps:\/\/sandmann.co\/google-analytics-datenschutzkonform\/<\/a><\/p>\nGoogle Analytics deaktivieren<\/h2>\n
Facebook Pixel<\/h2>\n
Sharing Plugins<\/h1>\n
Tools und Linkssammlung<\/h1>\n
\nhttps:\/\/wordpress.org\/plugins\/shapepress-dsgvo\/<\/a><\/p>\n
\nhttps:\/\/geruweb.de\/dswebcheck<\/a> (\u00f6ffnet direkt PDF Download)<\/p>\n
\nhttps:\/\/lawlikes.de\/dsgvo-kompakt\/<\/a><\/p>\n
\nhttps:\/\/www.lda.bayern.de\/media\/dsgvo_fragebogen.pdf<\/a><\/p>\n
\nhttps:\/\/www.datenschutz-bayern.de\/nav\/0901.html<\/a><\/p>\n
\nhttps:\/\/wp-ninjas.de\/wordpress-plugins-dsgvo<\/a><\/p>\n
\nhttps:\/\/www.reisen-fotografie.de\/dsgvo-als-blogger<\/a><\/p>\n
\nhttps:\/\/www.webtimiser.de\/so-bereitest-du-wordpress-auf-die-dsgvo-vor<\/a><\/p>\nFranz\u00f6sische Tools:<\/h2>\n