DSGVO für Websites & Online Shops inkl. Checkliste

zuletzt aktualisiert am 22. August 2023
DSGVO

Seit Ende Mai 2018 gilt die DSGVO – die Datenschutzgrundverordnung. Trotz zwei Jahren „Übergangszeit“ wurden viele Unternehmen, Vereine und Webmaster vollkommen von den neuen Gesetzen überrascht. „Unwissenheit schützt vor Strafe nicht“, deshalb muss man sich mit der DSGVO auseinandersetzen und die entsprechenden Gesetze im eigenen Unternehmen und auf Websites umsetzen. 

Ich habe mich intensiv mit der Datenschutzgrundverordnung auseinander gesetzt und möchte dir an dieser Stelle nun Tipps geben und häufige Fragen beantworten.

Hinweis: Da ich kein Anwalt bin, handelt es sich hierbei um meine persönliche Meinung und meine eigenen Erfahrungen. Es ist keine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, solltest du dich an einen Anwalt wenden.

DSGVO – was ist das eigentlich?


Die Datenschutzgrundverordnung – kurz DSGVO – ist eine neue EU – Verordnung, die die Datenschutzstandards innerhalb der gesamten europäischen Union vereinheitlichen soll.

Diese neue Verordnung regelt hauptsächlich den Umgang mit personenbezogenen Daten und betrifft damit jedes Unternehmen in der EU, beziehungsweise Unternehmen, die Zugriff auf personenbezogene Daten (zum Beispiel Namen, E-Mail Adressen oder Telefonnummern) von EU – Bürgern haben. Hierbei gibt es keine Ausnahmen. Egal ob Einzelunternehmen, Verein oder Großunternehmen – die DSGVO betrifft jeden.

Die DSGVO bei Websites & Shops


Auch auf Websites und vor allem auch in Onlineshops werden personenbezogene Daten genutzt, weshalb auch hier Handlungsbedarf besteht.

Ich werde oft gefragt, ob auf jeder Website Handlungsbedarf besteht. Das kann ich klar mir „ja“ beantworten. Denn oftmals weiß man gar nicht so genau was in einem Shop oder auf einer Website eigentlich für Daten übertragen werden. Gerade eingesetzte Plugins oder Skripte, zum Beispiel von Facebook, greifen gerne „im Hintergrund“ Daten ab, ohne dass man selbst oder der Nutzer davon etwas merkt. Aber selbst wenn man solche Dienste nicht nutzt, muss zumindest die Datenschutzerklärung einer Website angepasst werden.

Datenschutzerklärung

Laut Art. 12 DSGVO wird gefordert, dass die notwendigen Informationen den Nutzern in „[…] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache […]“ übermittelt werden müssen. Kaum eine Datenschutzerklärung, die in den letzten Jahren erstellt wurde, kann dieser Forderung gerecht werden.

Des Weiteren müssen die User in der Datenschutz natürlich auch informiert werden, wie personenbezogene Daten wie zum Beispiel E-Mail Adressen oder die IP Adresse genutzt werden.

Cookies

Cookies sind seit langem ein Streitthema. Darf man Cookies nutzen? Muss man die User darauf hinweisen? Benötigt man sogar eine Einwilligung?

Zwei aktuelle Urteile zwingen jeden Website oder Shop Betreiber sich über Cookies gedanken zu machen. Konkret geht hier hierbei um Urteile die Europäischen Gerichtshofs vom 1.10.2019 und  29.07.2019.

Die Urteile brauchst du dir natürlich nicht durchlesen, deshalb hier das wichtigste zusammengefasst: Der User muss aktiv zustimmen bevor überhaupt ein Cookie gesetzt werden darf.

Deshalb musste natürlich auch für die Online Marketing Site eine Lösung her, die genau das ermöglicht. Hier bin ich wirklich froh dir sagen zu können, dass ich eine sichere und einfache Lösung gefunden habe:

Das Borlabs Cookie Plugin.

Dieses Plugin gibt dir die Möglichkeit Cookies, zum Beispiel von Google Analytics etc. wie vorgeschrieben zu integrieren. Erst wenn der User zugestimmt hat wird das jeweilige Script aktiviert und der Cookie gesetzt.

Das kann zum Beispiel so aussehen:

WordPress Cookie Plugin

Jeder User hat hier außerdem die Möglichkeit selbst festzulegen welche Cookies er akzeptieren möchte und welche nicht. Das geht in individuellen Datenschutzeinstellungen:

Cookieeinstellungen WordPress

In dieser Übersicht siehst du die „Externen Medien“. Denn auch diese können zum Problem werden. Bindest du zum Beispiel ein Youtube Video in deine Website ein, wird nämlich auch hier sofort ein Cookie gesetzt – ohne das der User das Video abgespielt hat. Auch das stellt ein Problem dar.

Deshalb blockiert Borlabs auch diese Inhalte automatisch und versieht diese mit einem Banner, sodass der User auch hier zunächst zustimmen muss bevor das Video angezeigt werden kann:

Youtube sperren mit Borlabs Cookie

Du musst mit Borlabs Cookie auch nicht jedes Video dafür neu in deine Website einbinden. Das Plugin findet die Quellen automatisch und blockiert diese bis der User zugestimmt hat. 

Übrigens: Das Aussehen vom Cookie Banner und auch dem „Sperrbanner“ für externe Medien kannst du individuell und ganz ohne CSS Kenntnisse bei Borlabs Cookie anpassen.

Neben Borlabs gibt es natürlich viele weitere Cookie Plugins für WordPress. Die 5 besten habe ich mir angesehen und für dich getestet.

Plugins & Skripte

Viele Websites und Shops verwenden Plugins um Funktionen hinzuzufügen. Das Problem: Bei vielen Plugins lässt sich nicht einfach nachzuvollziehen, ob nicht doch irgendwelche personenbezogenen Daten an Dritte weitergeleitet werden. In den meisten Fällen wäre das nicht zulässig.

Außerdem muss in solchen Fällen ein Auftragsdatenverarbeitungsvertrag (ADV – Vertrag) mit der dritten Person geschlossen werden, in dem zum Beispiel die folgenden Aspekte behandelt werden müssen:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten

Das gilt zum Beispiel auch für die „Share & Like“ Scripte, die Facebook und Co. für Websites anbieten. Auch hier werden Daten an Dritte weitergeleitet. Auch zu beachten sind hier Analyse Dienste, wie zum Beispiel Google Analytics, denn auch in diesem Fall greift das Tool personenbezogene Daten von deiner Website ab. Wie du Google Analytics weiterhin nutzen kannst, erfährst du übrigens in meiner kostenlosen, persönlichen DSGVO Checkliste.

Ein Punkt der sehr häufig vergessen wird, sind eingebettete Videos. Denn auch hier wird in den meisten Fällen eine Verbindung zu einem anderen Server aufgebaut, die dann ggf. auch auf personenbezogene Daten deiner User zugreifen können. Auch hierzu findest du weitere Informationen in meiner DSGVO Checkliste.

Formulare

Auf beinahe jeder Website befindet sich zumindest ein Kontaktformular. Über ein solches Formular können die User personenbezogene Daten an dich übermitteln. Damit die Übermittelung von E-Mail Adresse, Name, Telefonnummer und Co. auch wirklich sicher abläuft und keiner dazwischenfunken und Daten abgreifen kann, solltest du mit einem SSL Zertifikat für eine verschlüsselte Übertragung dieser Daten sorgen.

Ob eine Website ein SSL Zertifikat hat, erkennst du nicht nur an dem Beginn einer URL mit https://, sondern mittlerweile auch in der Browserzeile vieler Browser:

ein SSL Zertifikat erkennt man durch das grüne Schloss im Browser

Ein SSL Zertifikat kannst du übrigens in den meisten Fällen direkt bei deinem Hoster bestellen.

Bei Formularen stellt sich dann aber auch die Frage, ob meine eine explizite Einwilligung der User benötigt. Auch hier muss ich dir wieder sagen: Es gibt keine eindeutige Antwort. Ich persönlich verzichte bei einfachen Kontaktformularen auf eine besondere Einwilligung, denn jeder, der mit mir über ein Kontaktformular Kontakt aufnimmt, ist sich bewusst, dass ich die Daten verarbeiten muss um ihm antworten zu können. Im Zivilrecht spricht man hier von einer konkludenten Willenserklärung. Das ist eine Einwilligung, die durch schlüssiges Verhalten, ohne ausdrückliche Erklärung abgegeben wird. In diesem Fall dürfen die Daten aber wirklich nur für den offensichtlichen Zweck verarbeitet werden. Für eine Newslettereintragung oder ähnliches würde eine zusätzliche Einwilligung notwendig werden.

Worauf aber nicht verzichtet werden sollte, ist ein Hinweis auf Kontaktformulare in der Datenschutzerklärung.

Google Webfonts

Auch bei der korrekten Nutzung von Google Webfonts scheiden sich aktuell noch die Geister. Während die einen Google Fonts herunterladen und direkt auf der Website einbauen, sodass keine Verbindung zu einem Google Server hergestellt wird, argumentieren die anderen mit „berechtigtem Interesse“. Denn seien wir mal ehrlich, es kann nicht Sinn der DSGVO sein, dass wir uns im Web wieder um 10 Jahre zurückentwickeln.

Ich vertrete hier auch den Standpunkt des „berechtigten Interesses“. Natürlich sollte aber auch hier in der Datenschutzerklärung auf die Nutzung hingewiesen werden.

E-Mail Marketing

Auch beim E-Mail Marketing gibt es das ein oder andere bzgl. der DSGVO zu beachten. Zum einen solltest du immer mit dem Double – Opt – In Verfahren arbeiten. Das heißt, ein User trägt sich in deine E-Mail Liste ein und muss im Anschluss durch einen Link in einer Bestätigungsmail noch einmal seine E-Mail Adresse bestätigen. So wird sichergestellt, dass User nicht einfach irgendwelche E-Mail Adressen eintragen können, bei denen dir eigentlich die Erlaubnis zum Versenden eines Newsletters fehlt.

Ein weiterer Punkt ist auch hier wieder der ADV – Vertrag. Diesen musst du mit deinem E-Mail Marketing Anbieter (zum Beispiel Klick Tipp) schließen.

Seit dem 25. Mai herrscht außerdem ein s.g. Kopplungsverbot. Das heißt, es ist verboten Daten im Gegenzug für ein kostenfreies Produkt einzufordern. Auch das solltest du bei deinem E-Mail Marketing beachten.

Übrigens betrifft die DSGVO nicht nur alle Neueintragungen, sondern auch deine alten E-Mail Kontakte. Im Zweifel musst du nachweisen können, dass die User zugestimmt haben in deine E-Mail Liste aufgenommen zu werden und E-Mails von dir erhalten möchten. Kannst du das bei deiner E-Mail Liste nicht nachvollziehen, solltest du die User um erneute Einwilligung bitten.


Das waren einige wichtige Punkte, die du im Bezug der Datenschutzgrundverordnung online beachten solltest. Weitere wichtige Tipps und Hinweise findest du auch in meiner persönlichen kostenfreien DSGVO Checkliste.

Eure Fragen zur DSGVO


In meiner Facebook Gruppe habe ich in den letzten Wochen Fragen gesammelt, die ich hier gerne nach bestem Wissen beantworten möchte.

Du hast noch Fragen rund um die DSGVO? Gerne versuche ich auch diese zu beantworten. Hinterlasse mir dazu einfach einen Kommentar unter diesem Beitrag. 

Kann man noch mit Freebies eine E-Mail Liste aufbauen?

Bereits weiter oben hatte ich das s.g. Kopplungsverbot angesprochen. Hierbei geht es darum, dass für kostenlose Produkte oder zur Teilnahme von Gewinnspielen nicht mehr automatisch eine Einwilligung zur Eintragung in einen Newsletter oder ähnliches verlangt werden darf.

Auch bei diesem „Kopplungsverbot“ gibt es wieder einmal unterschiedlichen Auslegungen. Alles was du hier liest ist also nicht durch irgendwelche Urteile oder ähnliches bestätigt, sondern im Moment wirklich nur Auslegungssache.

Hier eine Ideen wie du trotzdem noch Freebies nutzen kannst, um deine E-Mail Liste auszubauen:

Sage den Usern klar und deutlich, dass sie sich für deinen Newsletter eintragen und als Dankeschön dafür ein Geschenk (dein Freebie) erhalten. Bei meiner aktuellen SEO Sommer Aktion sieht das zum Beispiel so aus:

Newslettereintragung mit Geschenk

Was müssen Onlineshops beachten?

Onlineshops hantieren natürlich mit weitaus mehr und auch sensibleren Daten als eine Website. Im Grunde müssen Onlineshop aber genau dasselbe beachten, was auch normale Websites beachten müssen.

Größere Abweichungen gibt es bei Shops vor allem in der Datenschutzerklärung. Hier müssen zum Beispiel auch entsprechende Zahlungsanbieter aufgeführt werden.

Was muss ich bei meinem E-Mail Marketing Anbieter beachten?

Egal wo dein E-Mail Marketing Anbieter sitzt, die DSGVO muss trotzdem beachtet werden. So musst du Beispielsweise mit ihm einen Auftragsdatenverarbeitungsvertrag abschließen. Außerdem muss die Eintragung immer über ein Double – Opt – In Verfahren erfolgen. Bietet dein Anbieter das nicht an, solltest du lieber zu einem anderen Anbieter wechseln.

Welche Plugins kann ich noch nutzen?

Theoretisch musst du bei allem Plugins prüfen ob und wie Daten weitergegeben werden. Für viele Plugins wurde dir die Arbeit aber bereits abgenommen. So findest du hier eine Liste mit über 170 Plugins im DSGVO – Check.

Darf man Google Analytics noch nutzen?

Ja, hier ist jedoch wichtig, dass du die Funktion „anonymizeIp“ nutzt und den ADV – Vertrag mit Google schließt. Weiteres dazu erfährst du auch in meiner DSGVO – Checkliste.

Brauche ich einen Datenschutzbeauftragten?

Pauschal lässt sich das nicht beantworten. Ob du einen Datenschutzbeauftragen benötigst, hängt von verschiedenen Faktoren ab. Unter anderem spielt hierbei zum Beispiel die Größe des Unternehmens sowie die zu verarbeitenden Daten eine Rolle. Mehr dazu kannst du hier nachlesen.

Was muss ich bei Blogkommentaren beachten?

Manche Blogsystem bedienen sich an vielen personenbezogenen Daten, wie zum Beispiel der E-Mail Adresse, dem Namen oder auch der IP Adresse.

Auch hier ist wieder die Frage in wie weit die Daten unter ein „berechtigtes Interesse“ fallen. Ich habe es hier so geregelt, dass ich keine Daten verpflichtend Abfrage und die User selbst entscheiden können ob sie einen Namen oder eine E-Mail Adresse angeben möchten. Auch die IP Adresse wir nicht mehr gespeichert.

DSGVO: Schwarz und Weiß gibt es (noch) nicht


 In vielen Dingen ist die DSGVO wirklich noch Auslegungssache, wo man nicht mit Sicherheit sagen kann, ob etwas richtig oder falsch gelöst wurde. Gerade bei dem „berechtigten Interesse“ wird es wohl immer Spielraum geben, bei dem dann im Zweifel Gerichte entscheiden müssen, ob ein berechtigtes Interesse besteht oder nicht.

Ich persönlich hoffe, dass es in den nächsten Wochen und Monaten erste Urteile gibt, die Klarheit in die DSGVO bringen, sodass auch klare Handlungsanweisungen möglich sind.

Detailliertere Infos und Handlungsempfehlungen zur Umsetzung der DSGVO auf Websites & Onlineshops findest du in meiner persönlichen DSGVO Checkliste.


Möchtest du mich unterstützen?

Gerne stelle ich dir diese Inhalte auf der Online Marketing Site kostenfrei zur Verfügung.
Ich verlange dafür kein Geld und erwarte auch keine Spenden. Aber ich freue mich sehr, wenn du mich dabei unterstützt, meine Inhalte zu verbreiten.

So kannst du mich unterstützen:

Verlinke diesen Beitrag auf deiner Website / deinem Blog

Teile diesen Beitrag auf deinen Social Media Profilen

Hinterlasse einen Kommentar:


  1. Hi,
    Vielen Dank für diesen total informativen Artikel!! Jetzt stellen sich mir aber noch zwei Fragen: 1. Ist die Nutzung von Diensten, welche Daten an Dritte vermitteln allgemein illegal, oder ist die Nutzung nur ohne AdV-Vertrag nicht legal? 2. Hast du dein Verzeichnis der Verarbeitungstätigkeiten selbst ausgefüllt, oder diese komplexe Aufgabe einem Anwalt überlassen?
    Danke im Voraus;)

    LG

    1. Moin,
      da ich kein Anwalt bin, handelt es sich hierbei um meine persönliche Meinung und meine eigenen Erfahrungen.
      Zu 1) Wenn du Daten an Dritte weitergibt ist es meist wichtig, dass du weißt was mit den Daten bei den Dritten passiert und dass der Nutzer dies auch erfährt (Stichwort: Datenschutzerklärung). Der ADV-Vertrag regelt das und ist damit meist auch Pflicht.
      Zu 2) Ein Verzeichnis der Verarbeitungstätigkeiten sollte jedes Unternehmen selbst erstellen und führen. Man kann durchaus einen freien Datenschutzbeauftragten zur Hilfe nehmen. Einen Anwalt würde ich dafür ersteinmal nicht nehmen.

      Alle Aussagen ohne Gewähr 😉

      LG Brian

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}