So machen Sie Ihre Website fit für die Datenschutz-Grundverordnung (DSGVO)

Haben Sie eine Website? Dann müssen Sie sich über kurz oder lang auch mit dem Thema Datenschutz beschäftigen. Wir haben für Sie zusammengefasst, was Sie mindestens beachten müssen.

Egal, ob Sie auf Ihrer Website ein Kontaktformular oder eine Anmeldung für Freizeiten und Seminare haben oder ob Sie einen Newsletter verschicken – immer werden personenbezogene Daten erfasst und verarbeitet. Für diese gilt seit 25. Mai 2018 die Europäische Datenschutz-Grundverordnung (DSGVO).

Hinweis:  Am 24. Mai 2018 ist auch das neue Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) in Kraft getreten. Dieses gilt für die Verarbeitung von personenbezogenen Daten in allen Diensten, Einrichtungen und Werken innerhalb der EKD und ihrer Gliedkirchen. Auch die katholische Kirche hat ein eigenes Gesetz über den Datenschutz (KDG). Die beiden Gesetze unterscheiden sich aber nur in wenigen Punkten vom europäischen Recht, denn sie müssen „im Einklang mit der DSGVO“ stehen (Art. 91 DSGVO). Im nachfolgenden Text ist daher vereinfacht von der DSGVO die Rede, auch wenn für kirchliche Einrichtungen das kirchliche Gesetz gilt.

Die hier aufgeführten wesentlichen Punkte dienen einem Überblick über die Bedeutung der DSGVO für Websitebetreiber und gelten für alle Einrichtungen.

Was es mit der Verordnung überhaupt auf sich hat, erfahren Sie hier:
Die Europäische Datenschutz-Grundverordnung: Das Wichtigste auf einen Blick

Neben einem strengeren Schutz der Daten müssen Sie transparent aufzeigen können, wo Daten liegen und wofür sie verwendet werden (Transparenzgrundsatz und Informationspflicht). Außerdem müssen Sie jederzeit nachweisen können, dass Sie die Regeln der DSGVO einhalten (Rechenschaftspflicht). Bei Nichtbeachtung der Verordnung drohen hohe Geldstrafen.

Um was muss ich mich als Website-Betreiber mindestens kümmern?

1. Überarbeiten Sie Ihre Datenschutzerklärung.

Die gesetzliche Vorgabe, dass jede Website eine gut auffindbare Datenschutzerklärung haben muss, ist nicht neu. Aber durch die DSGVO müssen Sie Ihre Texte überprüfen und ggf. überarbeiten. Informieren Sie die Besucher Ihrer Seite, was mit ihren Daten passiert und wo diese liegen, zum Beispiel auf welchem Server. Wichtig ist auch, dass Sie einen verantwortlichen Datenschutzbeauftragten ausdrücklich aufführen. Im Internet finden Sie verschiedene Generatoren für eine rechtsgültige Datenschutzverordnung (siehe Linktipps).

2. Überprüfen Sie alle Formulare auf Ihrer Website.

Egal ob Kontaktformular, Online-Anmeldung oder Verteilerlisten – schauen Sie alle Formulare auf Ihrer Website aufmerksam durch:

• Erheben Sie nur die Daten, die Sie tatsächlich benötigen?
• Wird überall ersichtlich, warum Sie die Daten erheben und was genau mit ihnen passiert?
• Haben Sie für jeden Zweck, zu dem Sie die Daten benötigen, eine separate Einwilligung?
• Vor dem Absenden des Formulars sollte auf die Datenschutzerklärung verlinkt und bestätigt werden, dass diese gelesen wurde.

3. Sorgen Sie dafür, dass Ihre Website verschlüsselt ist.

Spätestens seit Mai 2018 muss jede Website verschlüsselt sein, über die persönliche Daten erhoben werden. Dies ist der Fall, sobald Sie zum Beispiel ein Kontaktformular auf Ihrer Seite haben. Dann benötigt Ihre Seite ein SSL-Zertifikat, über das der Aufruf der Seite verschlüsselt ist. Ob eine Seite SSL-verschlüsselt ist, erkennen Sie am „https“ und dem grünen Schloss-Symbol vor der Website-Adresse.

Als Website-Betreiber können Sie kostenfreie Zertifikate installieren, zum Beispiel von Let´s Encrypt.

Oder Sie kaufen ein für Sie persönlich ausgestelltes Zertifikat bei einem entsprechenden Anbieter (zum Beispiel PSW Group www.psw-group.de). Einige Provider bieten SSL-Zertifikate direkt zusammen mit der Domain oder dem Webspace an.

Alles was Sie zum Thema SSL-Zertifikate wissen müssen, erfahren Sie in unserem Artikel Sichere Website: Was ist eigentlich ein SSL-Zertifikat?

4. Überprüfen Sie Ihr Statistik-Tool.

Zu den personenbezogenen und damit schützenswerten Daten gehören auch IP-Adressen. Werden diese von einem Statistik-Tool gesammelt, um das Besucherverhalten auf einer Website zu analysieren, müssen die IP-Adressen so gekürzt werden, das kein Personenbezug mehr möglich ist. Außerdem müssen Sie den Besuchern Ihrer Website die Möglichkeit geben, der Erfassung der Daten zu widersprechen. Dies erfolgt in der Regel über eine sogenannte Opt-Out-Funktion, zum Beispiel auf der Datenschutzerklärungs-Seite.

5. Informieren Sie über Cookies.

Fast alle Websites verwenden Cookies. Diese kleinen Textdateien werden auf dem Computer des Website-Besuchers abgelegt und dienen dazu, ihn zu „erkennen“. So können Websites zum einen nutzerfreundlicher gestaltet werden. Außerdem können über Cookies auch statistische Auswertungen gemacht werden. Schon jetzt gibt es in der EU eine sogenannte Cookie-Richtlinie. Danach müssen die Nutzer der Verwendung von Cookies ausdrücklich zustimmen. Diese EU-Regelung ist bisher in Deutschland noch nicht umgesetzt. Viele Website-Betreiber haben aber dennoch schon jetzt eine Cookie-Warnung, die beim ersten Aufruf der Seite erscheint und vom Besucher bestätigt werden muss. Voraussichtlich wird diese Einwilligung spätestens 2019 auch in Deutschland Pflicht. Und seit Mai 2018 muss mindestens ein Hinweis zur Verwendung von Cookies in die Datenschutzerklärung.

6. Überprüfen Sie Ihre Newsletter-Anmeldung und -Verteiler.

Wenn Sie einen Newsletter versenden und dazu mit einem Versanddienstleister wie MailChimp, CleverReach oder Newsletter2Go zusammenarbeiten, müssen Sie mit ihm einen Vertrag zur Auftragsverarbeitung schließen. Fragen Sie hier bei Ihrem Versanddienstleister nach einer solchen Vereinbarung nach. Viele bieten Musterverträge, die Sie um Ihre Daten ergänzen können. Außerdem müssen Sie ggf. Ihr Newsletter-Anmeldeformular überarbeiten:
Welchem konkreten Zweck dient der Newsletter und welche Informationen erhält man, wenn man ihn abonniert? Arbeiten Sie mit einem Versanddienstleister zusammen und wenn ja mit welchem? Bauen Sie beim Newsletter-Anmeldeformular eine Verlinkung zu Ihrer Datenschutzerklärung ein. Dort müssen sich weitere Hinweise zur Datenverarbeitung des Newsletter-Versanddienstleisters finden. Die Nutzer müssen zudem deutlich auf die Möglichkeit des Widerrufs ihrer Einwilligung hingewiesen werden. Setzten Sie also auch auf der Seite mit dem Anmeldeformular einen Link auf das Abmeldeformular. Gerne können Sie sich an unserem Beispiel des Anmeldeformulars des Medienkompass-Newsletters orientieren.

7. Lassen Sie sich beraten.

Wenden Sie sich an Ihren Datenschutzbeauftragten oder holen Sie sich externe Beratung bei einem Spezialisten. So erfahren Sie, welche Maßnahmen für Ihre Einrichtung nötig und wichtig sind und sind rechtlich auf der sicheren Seite.

Bitte beachten Sie:
Diese Tipps zur Europäischen Datenschutzgrundverordnung sind sorgfältig recherchiert und entsprechen unserem Kenntnisstand. Sie stellen aber keine rechtsgültige Auskunft dar. Bitte wenden Sie sich dafür an den für Sie zuständigen Datenschutzbeauftragten. Das Evangelische Medienhaus kann hier leider keine Beratung anbieten.

Wenn Sie für Ihre Website einen Internet-Baukasten aus dem Medienhaus nutzen, müssen Sie sich um viele dieser Themen keine Sorgen machen: das Meiste erledigen wir zentral für Sie. Unsere Kundinnen und Kunden werden rechtzeitig informiert und die Baukästen entsprechend nachgerüstet. Alle Informationen rund um den Baukasten finden Sie unter www.gemeindebaukasten.de.

Linktipps

• Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
• Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg: Informationen und Vorlagen zur DSGVO
• EU-Datenschutz-Grundverordnung zum Nachlesen
• Informationen zur DSGVO auf eRecht24
• Informationen zur Cookie-Richtlinie auf eRecht24
• Datenschutzerklärungs-Generatoren
  • Muster der Deutschen Gesellschaft für Datenschutz
  • Generator von eRecht24
• Informationen zu Let´s Encryp von Wikipedia
• E-Mail-Marketing-Forum: Kriterien für eine rechtssichere Einwilligung (für Newsletter)
• Die Europäische Datenschutzgrundverordnung. Änderungen für Verbraucher und Unternehmen (Berufsverband der Rechtsjournalisten e.V.)
• Datenschutz im Online-Marketing (Berufsverband der Rechtsjournalisten e.V.)

Datenschutzbeauftragte und Datenschutzgesetz für die Evangelische Kirche in Deutschland (EKD):

• EKD-Datenschutzgesetz (DSG-EKD)
• Beauftragter für den Datenschutz der EKD
• Datenschutzbeauftragter der Evangelischen Landeskirche in Württemberg:
  Der Beauftragte für den Datenschutz der EKD Außenstelle Ulm
  Dr. Axel Gutenkunst
  Hirschstraße 4, 89073 Ulm
  E-Mail: sued@datenschutz.ekd.de, Telefon: 0731 140593-0
  https://datenschutz.ekd.de

Keine Tipps mehr verpassen und bequem per E-Mail zugeschickt bekommen:

⊗ 1 x pro Monat ⊗ jederzeit kündbar ⊗ Keine Datenweitergabe an Dritte

Der Newsletter wird über den Versanddienstleister CleverReach versendet, bei dem Ihre Daten nach Ihrer bestätigten Anmeldung gespeichert werden. Hinweise zum Anmeldeverfahren, Versanddienstleister, zur statistischen Auswertung und zum Widerruf finden Sie in unserer Datenschutzerklärung.

Die europäische Datenschutz-Grundverordnung im Überblick:

Die Europäische Datenschutz-Grundverordnung (DSGVO): Das Wichtigste auf einen Blick