Aufgrund zahlreicher Anfragen aus der Mitgliedschaft bieten wir Ihnen auf dieser Seite Informationen zur DSGVO (Datenschutz-Grundverordnung) an, die EU-weit am 25. Mai 2018 in Kraft tritt.

Bitte beachten Sie, dass diese nur Hilfestellungen zur Orientierung und keine rechtsverbindlichen Empfehlungen darstellen. Die nachfolgenden Informationen wurden von uns nach bestem Wissen für Sie zusammengestellt.

Klären Sie den Bedarf nach Lösungen für Ihre Website mit Ihren Dienstleistern - Webmaster und Webprovider. Bei Unsicherheiten bezüglich der Formulierung von Datenschutzerklärungen nehmen Sie gegebenenfalls die Dienste eines Rechtsanwaltes für IT-Recht in Anspruch.

Links auf dieser Seite zu Informationsageboten kommerzieller Anbieter sind als solche gekennzeichnet. Der BBK-Bundesverband unterhält keine direkten geschäftlichen Beziehungen zu den genannten Anbietern.

Links zu allgemeinen Informationen

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/DSGVO_Kurzpapiere1-3.html

Die DSGVO bei Wikipedia:
https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung

Die DSGVO im Volltext, bereitgestellt von von intersoft consulting (kommerzieller Anbieter):
https://dsgvo-gesetz.de/

Weitere Hintergrundinformationen von intersoft consulting (kommerzieller Anbieter):
https://www.datenschutzbeauftragter-info.de/

Informationen von vision connect (kommerzieller Anbieter):
https://blog.visionconnect.de/2017/dsgvo/

Ein Webinar als Youtube-Video zum Thema von Mittwald (kommerzieller Anbieter):
https://www.youtube.com/watch?v=lE-hW4_7su4
dazugehörige Slide-Präsentation:
https://www.mittwald.de/fileadmin/pdf/Webinar_DSGVO_24.04.18_PDF.pdf

Das Thema beim Kulturblog MUSERMEKU mit Fokus auf Museen:
https://musermeku.org/2018/04/04/dsgvo-fuer-museen/

Informationen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit von Baden-Württemberg zum Thema DSGVO für Vereine:
https://www.baden-wuerttemberg.datenschutz.de/datenschutz-im-verein/

Das Thema DSGVO in einem Artikel beim Spiegel:
http://www.spiegel.de/netzwelt/web/dsgvo-das-sollten-sie-zur-datenschutz-grundverordnung-der-eu-wissen-a-1205985.html

Kritische Betrachtungen des Themas im Blog binary-butterfly.de:
https://binary-butterfly.de/artikel/dsgvo-so-viel-panik-fuer-nichts-neues-und-warum-es-trotzdem-ein-grundlegendes-problem-gibt/

Datenschutzerklärung

Es muss für Ihre Website eine individuell an die eingesetzte Technik angepasste Datenschutzerklärung auf der Website vorliegen, die mit maximal 2 Klicks für die Besucher erreichbar ist. Diese sollte nicht nur eingehen auf z.B. die Verwendung von Statistiktools oder Cookies, sondern auch definieren, welche personenbezogenen Daten zu welchen Zwecken erhoben und verarbeitet werden. Diese Erklärung muss nach aktuellem Kenntnisstand nicht beinhalten, welche Dienstleister die Daten prozessieren. Dies wird in den AV-Verträgen geregelt, die Sie mit diesen abschließen.

Falls Sie sichergehen wollen, daß Ihre Datenschutzerklärung immer dem aktuellsten Stand entspricht, erwägen Sie die Nutzung des Services eines kommerziellen Anbieters (auf IT-Recht spezialisierte RA-Kanzleien).

Datenschutzerklärungs-Generator von activemind (kommerzieller Anbieter):
https://www.activemind.de/datenschutz/datenschutzhinweis-generator/

Datenschutzerklärungs-Generator von eRecht24 (kommerzieller Anbieter):
https://www.e-recht24.de/muster-datenschutzerklaerung.html

Eigentlich selbstverständlich, dennoch sei an dieser Stelle nochmal darauf hingewiesen: eine Datenschutzerklärung entbindet Sie nicht von der Verpflichtung, ebenfalls ein Impressum vorzuhalten, aus dem eindeutig die Gesellschaftsform, Adresse, ggfls. Vereinsregister und eine verantwortliche Person im Sinne des Presserechts benannt wird. Übrigens ist ein Hinweis und eine Verlinkung auf Ihr Impressum auch in Social Media Kanälen vonnöten, sofern Sie diese nutzen.

Impressumsgenarator von eRecht24 (kommerzieller Anbieter):
https://www.e-recht24.de/impressum-generator.html

Bitte beachten Sie auch, daß Formulare, über die Nutzer Ihrer Website Daten an Sie übertragen können, mit textlichen Hinweisen versehen sein müssen, die diese über den Schutz und die Verwendung Ihrer eingegebenen Daten informieren. S. hierzu auch den Abschnitt "SSL".

AV-Verträge

Mit einem AV-Vertrag stellen Sie mit Ihren Dienstleistern sicher, dass personenbezogene Daten gemäß
DSGVO sicher verarbeitet und geschützt bleiben. Dies ist erforderlich, wenn Sie als verantwortlicher Auftraggeber einem externen Dienstleister (Webmaster, Webentwickler, Agentur, Druckerei o.a.) personenbezogene Daten zur Verarbeitung zur Verfügung stellt. Die Situation der Verarbeitung gilt auch dann als gegeben, wenn der Dienstleister Zugriff auf das Backend Ihrer Website hat, falls Sie ein CMS einsetzen. Ebenso müssen Sie einen AV-Vertrag mit Ihrem Webhosting-Provider abschliessen, denn Ihre Daten werden auf seiner Infrastruktur gespeichert und verarbeitet. Die meisten Webhoster haben bereits fertige AV-Verträge parat.

SSL-Verschlüsselung

Die verschlüsselte Übertragung von personenbezogenen Daten, also die Verwendung des https-Protokolls zur Auslieferung der eigenen Website mit entsprechenden beim Webhoster hinterlegten SSL-Zertifikaten ist gemäß der DSGVO als verpflichtend zu interpretieren. Diese Pflicht greift auch bereits, wenn Sie auf Ihrer Website ein einfaches Kontaktformular anbieten. Erkundigen Sie sich bei Ihrem Webprovider nach verfügbaren Zertifikaten. Es muss kein teures Wildcard-Zertifikat sein oder eines mit der höchsten Trust-Level-Stufe. Zahlreiche Webprovider nehmen derzeit Ihre Verantwortung zur Durchsetzung eines sicheren Internets endlich wahr und bieten kostenfreie Zertifikate für Inklusivdomains oder jene der Initiative "Let's Encrypt" an.

Bei der Implementierung eines Zertifikates muss Sie Ihr Webadministrator unterstützen, denn die Umstellung auf die Verwendung von https als Übertragungsprotokoll Ihrer Website muss z.B. je nach verwendetem CMS individuell angepasst werden.

Im übrigen sind jedwede Formulare, mit denen Sie von Nutzern Daten erhalten mit entsprechenden Begleittexten zu versehen, die eindeutig informieren über den Zweck, die Verwendung und Löschung von Daten, die nicht mehr zur Erfüllung des Zwecks, z.B. der Kontaktaufnahme über ein Formular, vonnöten sind.

Artikel zu drohenden Bußgeldern bei fehlender SSL-Verschlüsselung von datenschutzbeauftragter-info.de (kommerzieller Anbieter):
https://www.datenschutzbeauftragter-info.de/bussgeld-fuer-kontaktformulare-ohne-verschluesselung/

Cookies

Beim Thema Cookies scheiden sich derzeit selbst unter Fachleuten noch die Geister. Propagiert wurde von einigen sogar bislang die Meinung, daß zwar derzeit wohl keine Verpflichtung zur Implementierung eines Hinweises auf die Verwendung von Cookies, beispielsweise in Form des allgemein bekannten Cookie-Banners vorliegt, jedoch eine Informationspflicht in der Datenschutzerklärung. Sollte sich die unklare, rigide Position nach der jüngsten Tagung der Datenschutzkonferenz erhärten, könnte die Verwendung von Cookies stärker reglementiert werden. Nutzer würden dann beim ersten Aufruf von Websites entscheiden müssen, ob Sie in die Verwendung von Cookies oder bestimmten Gruppen von Cookies (z.B. solchen zu Remarketing-Zwecken) einwilligen (Opt-In). Wie so etwas aussehen kann, lässt sich bereits hier erahnen (activemind, kommerzieller Anbieter - verwendet wird ein Cookie-Banner von Cookiebot, ebenfalls kommerziell): https://www.activemind.de/

Sofern für die technische Plattformen Ihrer Websites Cookie-Banner-Lösungen existieren, sollte vorsichtshalber eine Implementierung erfolgen - schliesslich kann dies bei einer Prüfung positiv ausgelegt werden und der Aufwand hält sich in Grenzen.

Es gibt im übrigen Cookies, die von der Verpflichtung zur möglichen Deaktivierung ausgenommen bleiben werden, da ihre Funktion auf die Dauer der Benutzung Ihrer Website beschränkt ist. Die sog. Session-Cookies regeln v.a. beim Einsatz von CMS wie Wordpress oder TYPO3 notwendige technische Aspekte, ohne die z.B. eine Loginfunktion nicht möglich wäre.

Wie zuvor angesprochen ist die Erwähnung der Nutzung von Cookies auf der Website in der Datenschutzerklärung verpflichtend. Hier ist v.a. auf Tracking Cookies einzugehen und es sind ggfls.  vorhandene Opt-Out-Möglichkeiten anzubieten (s.a. Google Analytics, Matomo).

Die Verwendung von Cookies auf Ihrer Website und ihre DSGVO-Konformität können Sie mit diesem Tool von Cookiebot (kommerzieller Anbieter) analysieren:
https://www.cookiebot.com/de/

Der Provider Mittwald (kommerzieller Anbieter) informiert in seinem Blog zum Thema:
https://www.mittwald.de/blog/update-zum-thema-tracking-cookies-nach-datenschutzkonferenz

Ebenfalls von Mittwald (kommerzieller Anbieter) wurde diese Übersicht verfügbarer Cookie-Banner mit Opt-In Funktionalitäten für verschiedene CMS zusammengestellt:
https://www.mittwald.de/services-fuer-agenturen/weitere-services/datenschutzkonforme-cookie-nutzung

Zur Position der Datenschutzkonferenz zum Thema befasst sich der Verband der Zeitschriftenverleger in diesem Artikel:
https://www.vdz.de/nachricht/artikel/position-der-datenschutzkonferenz-zu-tracking-offenbart-zweifelhaftes-anwendungsverstaendnis-der-auf/

Der diesbezügliche Artikel bei Härting Rechtanwälte (kommerzieller Anbieter) sieht deutlich mehr Spielräume für das Setzen z.B. von Tracking Cookies:
http://www.online-marketing-recht.de/tracking-nur-noch-mit-einwilligung-was-ist-dran-am-beschluss-der-datenschutzkonferenz/

Das Thema Cookie-Opt-In, eine kritische Betrachtung durch datenschutz-guru.de:
https://www.datenschutz-guru.de/aufsichtsbehorden-als-wegbereiter-fur-abmahner-von-internetseiten/

Webstatistik (z.B. Google Analytics)

Zur statistischen Erfassung und Auswertung der Zugriffe auf Ihre Website setzen Sie möglicherweise Dienste wie Piwik (jetzt Matomo), Google Analytics, etracker oder andere ein. Zu beachten ist beim Einsatz dieser Dienste, daß diese unter Umständen

  • die IP-Adressen Ihrer Webseiten-Besucher protokollieren
  • Cookies auf den Geräten der Besucher ablegen und
  • die Daten möglicherweise nicht bei Ihrem Webprovider, sondern in externen Rechenzentren ausserhalb der EU gespeichert und verarbeitet werden

Der rechtskonforme Einsatz, etwa von Google Analytics, erfordert bereits seit einiger Zeit

  • die Anonymisierung der IP-Adressen durch Pseudonymisierung (automatische Trunkierung des letzten Teils einer IP-Adresse)
  • einen Hinweis per Einblendung über den Einsatz von diesbezüglichen Cookies und Link auf Ihre Datenschutzerklärung (Cookie-Banner mit Opt-Out Möglichkeiten für Cookies*)
  • bei externen Diensten wie Google Analytics den Abschluss eines schriftlichen AV-Vertrages mit dem Dienstanbieter (z.B. Google); Anmerkung: sollten Sie in der Vergangenheit bereits einen "ADV-Vertrag" mit Google geschlossen haben, müssen Sie zwingend einen neuen, auf Basis der aktuellen Verordnungen fußenden Vertrag abschließen. Einen Link hierzu finden Sie in den Nutzungsverordnungen, s.u.

*sollte sich die harte Linie der Datenschutzkonferenz durchsetzen (s. Thema Cookies), hiesse das im Klartext, daß die Erfassung per Standard sogar nicht gleich beim Aufruf der Website aktiviert sein darf, sondern der Nutzer erst seine Einwilligung mittels z.B. Anhaken einer Checkbox o.ä. im Cookie-Banner oder anderen technischen Lösungen aktivieren muss (Opt-In, also "privacy by default").

Informationen zum rechtssicheren Einsatz von Google Analytics bei e-recht24.de (kommerzieller Anbieter):
https://www.e-recht24.de/artikel/datenschutz/6843-google-analytics-datenschutz-rechtskonform-nutzen.html

Nutzungsvereinbarung von Google zur Verwendung von Google Analytics inkl. Link zum AV-Vertrag:
https://www.google.de/analytics/terms/de.html

Thema Cookie-Opt-In, eine TYPO3-Lösung für Matomo im Blog von Wolfgang Wagner:
https://wwagner.net/typo3/opt-in-loesung-typo3-matomo/

Webfonts (z.B. Google Fonts)

Bei der Einbindung von Webfonts aus externen Quellen, wie etwa Google Webfonts werden beim Abruf Daten an den Anbieter übermittelt. Um dies zu unterbinden, können Webfonts auch lokal auf dem Server hinterlegt und per Stylesheets eingebunden werden. Hilfestellung dazu bietet der nachfolgend verlinkte Artikel.

Problematisch sind lizenzrechtlich erforderliche Nutzungstracker, wie z.B. der Javascript Counter von MyFonts, wenn keine Anonymisierungsfunktionen verfügbar sind und ggfls. IP-Adressen an die Dienstleister, womöglich im außereuropäischen Ausland, übertragen werden. Im konkreten Fall hat MyFonts auf Anfrage eine Nachbesserung Ihres Nutzungstrackers erst nach Inkrafttreten der DSGVO in Aussicht gestellt, was natürlich in der Übergangszeit keine legale Nutzung dieses Skripts zulässt.

Informationen zur Einbindung von Webfonts im Blog von Mittwald (kommerzieller Anbieter):
https://www.mittwald.de/blog/mittwald/howtos/dem-datenschutz-zuliebe-wie-ihr-google-fonts-lokal-in-eure-webseiten-einbindet

Social Media und Sharing-Funktionen

Die Einbindung von z.B. Facebook-Widgets und Sharing-Links ist problembehaftet. Denn Facebook etwa stellt bislang keine AV-Verträge zur Verfügung, die den entstehenden Datenverkehr abdecken. Daher ist im Moment von einer Einbindung abzuraten. Ebenso von Sharing-Funktionen, die von vornherein Daten an die Dienste übermitteln. Hier gibt es bereits seit einiger Zeit eine Lösung, die unter dem Stichwort "Shariff" bzw."2-Klick-Empfehlungsbutton" zu finden ist.

Informationen zum Thema von A Vista Studios (kommerzieller Anbieter):
https://a-vista-studios.de/blog/web-recht/datenschutzkonforme-social-media-buttons/

Newsletter

Sofern Sie einen Newsletter anbieten, müssen Sie die folgende Punkte beachten.

Grundsätzlich ist von den Abonnenten ihre Einwilligung zum Erhalt eines Newsletters abzufragen, was üblicherweise per Anmeldeformular auf der Website und die zusätzliche Bestätigung über einen Link in einer automatisch versendeten Mail geregelt wird. Dies ist das bekannte Opt-In-Verfahren.

Zahlreiche Institutionen fragen derzeit die Bereitschaft Ihrer Newsletter-Abonnenten ab, diesen weiterhin zu beziehen. Der Hintergrund ist: die Verteiler umfassen teils aus externen Quellen hinzugefügte Mailadressen und nicht jede verfügt über dokumentierte Anmeldungsnachweise (Opt-In-Mails) Ihrer Abonnenten. Dies wird jedoch Pflicht. Folglich werden sich die Verteiler zahlreicher Kulturinstitutionen merklich lichten, denn logischerweise wird sich nicht jeder Abonnent zurückmelden.

Derzeit besteht noch Unsicherheit darüber, ob einfache Benachrichtigungen über neue Anmeldungen an die Admins von Websites ausreicht oder ob auch die originale Opt-In-Mail, die an die potentiellen Abonnenten verschickt wurde, in BCC zu Dokumentationszwecken an ein Postfach verschickt werden muss.

Die Implementierung von Trackingfunktionen in Newslettern (sog. Zählpixel oder jumpurls), die bisher Aufschlüsse über die Reichweite und den Erfolg von Newsletterkampagnen geboten haben, sind wohl, solange sie pseudonymisiert erfolgen, statthaft.

Sollten Sie die Anmeldungen Ihrer Newsletterabonnenten lückenlos dokumentiert vorliegen haben, können Sie mit dem Datenbestand weiterarbeiten. Wichtig ist, daß von den Abonnenten eine Einverständniserklärung vorliegt - dies kann auch eine offline erfolgte Einwilligung z.B. als Bestandteil eines Mitgliedsvertrag sein.

Informationen zum Einsatz von Mailchimp (kommerzieller Anbieter) von der Kanzlei Dr. Schwenke (kommerzieller Anbieter), die auch allgemeine Anforderungen an Newsletter und Newsletteranmeldungen beinhalten:
https://drschwenke.de/mailchimp-newsletter-datenschutz-muster-checkliste/

Abschließender Hinweis

Die in der DSGVO geregelten und geforderten Maßnahmen zum Schutz von Personendaten sind tiefgreifend, aber in Teilaspekten selbst wenige Wochen vor Inkrafttreten noch immer nicht genau geregelt. Es empfiehlt sich also, die getroffenen Maßnahmen auch im Nachgang auf Konformität zu überprüfen und bereit zu bleiben für den potentiellen Einsatz notwendig werdender weiterer Lösungen.

Letzte Aktualisierung: 17.5.2018