Hinweis: diese Zusammenstellung kann keine Rechtsberatung ersetzen! Es handelt sich lediglich um eine Liste mit typischen Maßnahmen, die man auf Webseiten durchführen kann. Die Umsetzung der Maßnahmen geschieht auf eigene Verantwortung und führt nicht zwangsläufig dazu, dass die Webseite datenschutzkonform ist.
Ich stelle hier eine Liste zur Verfügung, an der ich mich entlang hangele, wenn ich Webseiten auf Datenschutz prüfe. Ich will sie nach und nach erweitern und vielleicht hilft sie dem ein oder anderen weiter 🙂
Allgemeine Maßnahmen
- Webseite mit SSL Zertifikat schützen
jede Webseite, die z.B. ein Kontaktformular hat, muss die Daten verschlüsselt übertragen. Das kann über ein SSL-Zertifikat umgesetzt werden, das man bei seinem Hoster bekommt. - Vertrag zur Auftragsverarbeitung mit dem Webhoster oder anderen Dienstleistern
jeder Webseitenbetreiber sollte einen sog. AV-Vertrag mit seinem Hoster oder anderen Dienstleistern (wenn diese im Auftrag personenbezogene Daten verarbeiten) schließen. Einfach den Hoster anschreiben oder hier in der Liste schauen: https://www.blogmojo.de/av-vertraege
Maßnahmen auf der Webseite selbst
- Datenschutzerklärung einbinden
jede Webseite braucht eine Datenschutzerklärung. Dafür gibt es aber zum Glück kostenlose Generatoren, die alle wichtigen Punkte abdecken. Zwei gute Generatoren findet man hier:
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de
https://www.activemind.de/datenschutz/datenschutzhinweis-generator/ - Einwilligung bei Kontaktformularen
vor dem Absenden-Button jedes Kontaktformulars, sollte ein Kästchen als Pflichtfeld gesetzt werden, über das der bestätigen muss, dass er die Datenschutzerklärung gelesen und akzeptiert hat - Cookiehinweis
wenn die Webseite Cookies nutzt, müssen die Webseitenbesucher darauf hingewiesen werden. Alle Cookies, die nicht unerlässlich für den Betrieb der Seite sind, dürfen zudem erst gesetzt werden, nachdem der Webseitenbesucher explizit zugestimmt hat (ein einfacher Hinweis mit einer „Ok-„Schaltfläche ist nicht ausreichend, weil das Prinzip der Datensparsamkeit gilt!) die meisten CMS bieten dafür Plugins an, alternativ kann man auch folgende Tools nutzen:
https://www.ccm19.de
https://www.civicuk.com/cookie-control
https://cookieconsent.insites.com
Achtung: in beiden Fällen sollte geprüft werden, dass keine externe Daten geladen werden, wenn der Cookie-Hinweis eingeblendet wird. Werden doch welche geladen, muss in der Datenschutzerklärung darauf hingewiesen werden. - Einbetten von fremdem Quellcode
auf das Einbetten von fremden Quellcode (z.B. jquery Bibliotheken, Google Fonts etc.) sollte wenn möglich verzichtet werden, weil der Aufruf dieser Daten auch immer die IP Adresse des Webseitenebsuchers an den jeweiligen Anbieter sendet. Bindet man trotzdem solche Quellen ein, muss in der Datenschutzerklärung darauf hingewiesen werden. (kleiner Tipp hierzu: sind die externen Quellen nicht über https eingebunden, kann das einen Warnhinweis auf der eigenen Webseite provozieren oder die externen Inhalte werden direkt geblockt!) - Einbetten von Youtubevideos
Videos von Youtube können neuerdings im „Erweiterten Datenschutzmodus“ eingebunden werden, dadurch ändert sich die Video-URL zu https://www.youtube-nocookie.com/embed/… - Google Analytics
Bei der Nutzung der Webseitestatistiken von Google müssen enige Punte beachtet werden, damit diese den Datenschutzrichtlinien entsprechen. Google hat da an verschiedenen nachgebessert und bietet z.B. einen AV-Vertrag, Einstellungsmöglichkeiten zur Aufbewahrunsdauer und eine Codeerweiterung zur Anonymisierung der Daten („anonymizeIP“) an. Ausführliche Infos zur datenschutzkonformen Einsatz von Google Analytics gibt es hier: https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen