Die neue EU-Datenschutz-Grundverordnung ist am 25. Mai 2018 in Kraft getreten und hat vielen von uns Selbstständigen und Unternehmern seit dem enorm viel Arbeit gebracht und Nerven gekostet (und kostet bei manchen noch immer).

Nachdem ich alleine die drei von mir betreuten Webseiten DS-GVO-sicher machen musste, dachte ich mir, dieses Wissen Interessierten zur Verfügung zu stellen. Es sollte sich nicht jeder so wie ich ca. 2 Wochen mit diesen Dingen herumplagen müssen.

Eines jedoch möchte ich hier unmissverständlich klarstellen:

ICH ÜBERNEHME KEINERLEI GEWÄHR ODER HAFTUNG FÜR DIE HIER VORGESCHLAGENE MAßNAHMEN. INSBESONDERE BEHAUPTE ICH NICHT, DASS MIT DER UMSETZUNG DER VORGESCHLAGENEN MASSNAHMEN DIE BETROFFENE WEBSEITE UND / ODER DAS BETROFFENE UNTERNEHMEN DS-GVO-KONFORM WIRD. DIE UMSETZUNG DER VORGESCHLAGENEN MASSNAHMEN ERFOLGT AUF EIGENES RISIKO UND EIGENE GEFAHR.

Meine Maßnahmen, die ich bei PlusB Consulting, der EnergieAgentur Oberbayern eG und bei IASA e.V. gemacht habe unterscheiden sich nur unwesentlich. Daher denke ich, für kleine Unternehmen und für Vereine könnte die nachfolgende Vorgehensweise sinnvoll sein:

Checklisten und Dokumente

Als erstes wollte ich natürlich schnell herausfinden, was ich denn für mein kleines Beratungsbüro und für den von mir betreuten Verein mit Privat- und Firmenmitgliedern denn alles machen muss. Dabei wollte ich mich nicht in die komplette DS-GVO-Richtlinie einlesen. Wie hätte ich auch die Zeit dafür herhaben sollen?

Nach einiger Suche habe ich dann auf der Webseite des BayLDA eine sogenannte „Handreichung für kleine Unternehmen und Vereine“ gefunden, die die wesentlichen Anforderungen der DS-GVO kompakt und verständlich darlegen soll. Dort sind für verschiedene Branchen Muster zum Download bereitgestellt. Ich habe natürlich die Version für Vereine genommen und verwende die entsprechende Muster als Beispiel in den folgenden Links. Sie können sich natürlich das Muster heraussuchen, das am Besten für Sie passt.

Die Handreichungen haben i.d.R. immer 2 Teile: 1. Anforderungen und 2. Musterverzeichnis der Verarbeitungstätigkeiten

Hinter den Anforderungen steckt eine Checkliste, in der die wesentlichen, für die jeweilige Branche zutreffenden DS-GVO-Anforderungen angekreuzt sind. Für mich war dann sehr schnell klar, was ich machen muss und was nicht (so müssen wir im Verein keinen Datenschutzbeauftragten benennen, weil weniger als 10 Personen Umgang mit personenbezogenen Daten hat). Danach kommen noch weitere hilfreiche Erläuterungen zu den Anforderungen.

Das Musterverzeichnis der Verarbeitungstätigkeiten ist eine übersichtliche Tabelle, die ich mit Excel leicht nachgebaut und verwendet habe. Dieses Dokument sollten Sie nach der Erstellung als pdf-konvertiert an einem Platz abspeichern, wo Sie es jederzeit wiederfinden, denn dieses Verzeichnis von Verarbeitungstätigkeiten ist den Aufsichtsbehörden auf Verlangen auszuhändigen.

Eine überarbeitete Datenschutzerklärung auf Ihrer Webseite ist wahrscheinlich auch für Sie alternativlos. Doch wie eine DS-GVO-konforme Version bekommen? Einen (teueren) Rechtsanwalt beauftragen ist ein Lösung. Ich habe mich für den kostenlosen DSGVO-Datenschutzerklärlungs-Generator der Kanzlei Wilde Beuger Solmecke entschieden, der in Zusammenarbeit mit der Deutschen Gesellschaft für Datenschutz erstellt worden ist. Vergessen Sie nicht alle Checkpunkte von 1 bis 9 durchzugehen, was mir beim ersten Mal entgangen ist. Die neue Datenschutzerklärung kann auch als html-Version kopiert und in Ihre Webseite eingefügt werden. Damit bleibt die Formatierung erhalten! Allerdings sollten Sie den ganzen Text aufmerksam durchlesen und verschiedene notwendige grammatikalischen Anpassungen für speziell Ihr Unternehmen vornehmen.

Webseite anpassen

Ich verwende WordPress für meine Webseiten; daher sind die von mir eingesetzten PlugIns natürlich auch nur für WordPress geeignet. Ich denke aber, dass es bei anderen Systemen ähnlich funktioniert.

Auf Ihrer Webseite werden Sie einiges anpassen, umbauen und ergänzen müssen. Wieviel hängt davon ab, mit welchen personenbezogenen Daten Sie umgehen. Für mein Beratungsbüro und für den Verein IASA bin ich folgendermaßen vorgegangen:

  1. Die Webseite muss vom Provider auf SSL umgestellt werden und ein entsprechendes Zertifikat ausgegeben werden. Solange dies nicht geschehen ist wird der Browser die Seite als „unsicher“ bewerten. Da ich alle von mir betreuten Webseiten bei STRATO habe, war das relativ einfach und noch dazu kostenlos. Bei STRATO gehen Sie nach dem Login einfach auf Sicherheit – STRATO SSL. Dort weisen Sie das Zertifikat zu und aktivieren die Option „SSL erzwingen“. Wie dies bei Ihnen aussieht wenn Sie einen anderen Provider haben kann ich natürlich nicht sagen, das müssen Sie selbst herausfinden.
  2. Nach der Server-seitigen Umstellung auf SSL gilt die Seite immer noch als unsicher, da der sogenannte mixed-Content vorhanden ist. Mit dem PlugIn Really Simple SSL lief bei mir die Bereinigung des mixed-Content wirklich „really simple“. Vergessen Sie nicht zuvor ein Backup Ihrer Seite zu machen! Doch auch das macht Ihre Webseite wahrscheinlich immer noch nicht ganz sicher. Bei Google-Chrome kam bei mir zu diesem Zeit immer noch „teilweise unsicher“. Es waren die Bilder und Fotos die durch den „gemischten Inhalt fixer“ des PlugIns nicht gefixt wurden. Hier hilft ein anderes Plugin.
  3. Mit dem Plugin Better Search Replace das nach der Installation unter „Werkzeuge“ auftaucht, kann das Problem gelöst werden. Ich bin nach dieser Anleitung vorgegangen und es hat auf Anhieb geklappt. Vorher wieder eine Sicherung der Webseite durchführen! Nun leuchtete bei Google-Chrome in schönem Grün das Wort Sicher auf. Puuuh, das war geschafft!
  4. So, nun noch das PlugIn WP GDPR Compliance installiert. Es ergänzt die Kontaktformulare von Contact-Form-7 um DS-GVO-konforme Einverständniserklärungen zur Datenspeicherung und -Verarbeitung, schaltet ggf. vorhandene Like-Buttons ab und hat noch verschieden Optionen, die Sie sich anschauen und wählen sollten, wenn es für Sie passt.
  5. Als (vorerst) Letztes habe ich das PlugIn Cookie Notice installiert, das einen nach EU-Recht vorgeschriebenen Cookie-Hinweis aufpoppen lässt, wenn Ihre Seite aufgerufen wird. Leider habe ich es nicht geschafft, das PlugIn so zu konfigurieren, dass es für meinen Verein automatisch eine deutsche oder englische Version wählt. Wenn Sie es wissen, sagen Sie mir doch bitte Bescheid!

So, nun habe ich Ihnen in komprimierter Form gesagt, was mich die letzten Wochen rumgetrieben hat. Ich hoffe, ich komme jetzt auch wieder zu inhaltlichen Arbeiten.

Wenn Sie einen DS-GVO-Tipp für mich haben, schreiben Sie mir gerne an mw@plusb-consulting.de 

Ich wünsche Ihnen viel Erfolg auch jenseits der DS-GVO!

Sollte Ihnen meine Tipps geholfen haben, würde es mich sehr freuen. Geben Sie mir doch in diesem Fall ein kurzes Feddback über mein DS-GVO-konformes Kontaktformular, das wäre sehr nett!

Und wenn Sie oder Ihr Unternehmen mal Bedarf an einer kostenreduzierenden Energieberatung und Fördermittel für hocheffiziente Querschnittstechnologien hat, sich nachhaltig ausrichten wollen, oder einen Workshop / Seminar im Themenbereich Nachhaltigkeit brauchen, dann denken Sie doch an mich. Meine nachhaltigen Leistungen finden Sie umfänglicher hier: https://www.nachhaltigkeit-management.de
Oder Sie rufen mich einfach unter 08124 / 528378 an und wir unterhalten uns.

Beste und nachhaltige Grüße, Michael Wühle