Checkliste: DSGVO & Datenschutzerklärung vernünftig umsetzen als kleines Unternehmen in der Schweiz

Eines direkt vorab:

Wie ich in diesem Artikel zur DSGVO (und in den Kommentaren) schon ziemlich deutlich gemacht habe, halte ich von der DSGVO (auf Englisch als General Data Protection Regulation (GDPR) bekannt) nicht viel. Der ursprüngliche Gedanke den Datenschutz zu fördern ist ja löblich und wichtig, die Umsetzung mit der DSGVO ist aber realitätsfremder Schwachsinn (wenn man sich anschaut, was für ein Aufwand und Panik damit verursacht wird, geht der wirtschaftliche Schaden wahrscheinlich in die Milliarden).

Tipp: Auch die Schweiz hat seit dem 1.9.2023 ein neues Datenschutzgesetz, dass sich grundsätzlich nahe an der DSGVO orientiert. Für eine kurze und knackige Erklärung: Neues Datenschutzgesetz Schweiz in 151 Worten zusammengefasst (revDSG 2023)

In diesem Artikel geht es jetzt aber rein um die praktische Umsetzung der DSGVO auf Ihrer Website und mit Drittanbieter Tools wie z.B. Google Analytics oder MailChimp.

UPDATE 17.3.2021: Es hat sich einiges getan zum Thema. Meine aktuellste Erklärung, Empfehlung und Lösungsvorschläge habe ich in diesem Artikel veröffentlicht: Google Analytics & Marketing / Tracking Pixel in Zeiten von Datenschutz, DSGVO & e-Privacy Verordnung

Fakt ist:

Im Moment gibt es keine Rechtssicherheit, weil es für die praktische Umsetzung schlicht noch keine Gerichtsurteile gibt.

Empfehlungen zur praktischen Umsetzung sind daher Meinungen und Einschätzungen (und wenn Du weiter recherchierst, wirst Du unzählige gegenteilige Meinungen finden).

In diesem Artikel dokumentiere ich, wie ich persönlich die DSGVO praktisch und vor allem zurückhaltend und mit gesundem Menschenverstand umsetze.

Ausserdem ändert sich durch die DSGVO gar nicht so viel. Es ist nur plötzlich ins Bewusstsein der Unternehmer getreten und wird jetzt in wilder Panik übereifrig umgesetzt.

Das ist übrigens nicht nur meine, sondern auch Meinung vieler anderer (siehe z.B. hier, hier oder hier).

Aber:

Ich werde dabei nach bestem Wissen und Gewissen auch zeigen, wie eine „pedantische“ Umsetzung aussehen könnte.

Auch wenn die DSGVO mittlerweile scharf ist, bleibt dieser Artikel „Work in Progress“ und wird von mir ergänzt, wenn es neue Erkenntnisse und Best Practices aus der Praxis gibt.
Auch viele grosse Anbieter wie Google oder MailChimp waren sehr kurzfristig vor dem 25. Mai 2018 gewisse Punkte am umsetzen und ihre Nutzer am informieren (obwohl die DSGVO ja eigentlich schon seit 2016 in Kraft ist, und wir uns nur noch in der „Übergangsphase“ befanden).
Und natürlich gilt: Dieser Artikel und meine Meinung ersetzen keine Rechtsberatung durch einen Anwalt 😉

„Big Picture“ Übersicht: Was wir gemäss DSGVO alles umsetzen müssen

Es müssen diese 7 Vorgaben eingehalten werden (siehe z.B. hier):

Punkt #1: Informieren und die Einwilligung der betroffenen Person einholen

Das ist das, worum es dann in diesem Artikel im Detail primär geht. Welche personenbezogenen Daten dürfen erfasst und wie an welche Drittanbieter weitergegeben werden.

Punkt #2: „Privacy by design“ und „Privacy by default“ gewährleisten

Das ist meiner Meinung nach ziemlich abstrakt und nichtssagend.

Grob gesagt: Wer mit gesundem Menschenverstand an die Sache geht, hält dies ein. Sprich keine Daten sammeln, die Du nicht benötigst, und verantwortungsvoll mit den Daten umgehen (diese z.B. nicht verkaufen und angemessen schützen).

Ein konkreter Hinweis: Dazu gehört zum Beispiel auch die Nutzung eines SSL-Zertifikates (HTTPS-Verschlüsselung) auf Ihrer Website.

Punkt #3: Einen Datenschutzbeauftragten / Vertreter in der EU ernennen

Kurz gesagt:

„Wenn weniger als 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss kein Datenschutzbeauftragter benannt werden.“

Die genauen Regeln findest Du hier in der Quelle, aber die meisten Kleinunternehmen brauchen glücklicherweise wohl keinen Datenschutzbeauftragten in der EU.

Punkt #4: Ein Verzeichnis der Verarbeitungstätigkeiten erstellen

Das ist wohl einer der mühsamsten Punkte.

Da habe ich ehrlich gesagt noch keine Ahnung, wie das sinnvoll umgesetzt werden soll.

Denn die bisher im Netz verfügbaren Vorlagen (wie z.B. hier oder hier) sind ziemlich aufwändig zum Ausfüllen. Und da man das ja nur für sich selbst macht (ausser es wird tatsächlich einmal angefragt), kommt es mir wie eine echte Alibi-Übung vor.

Denn wie soll man als Nicht-Experte einschätzen, ob man das dann tatsächlich korrekt ausgefüllt hat, sodass es im Ernstfall wasserdicht wäre?

Update 23. Mai 2018: Eine gute Erklärung (speziell für Einzel-/Kleinunternehmer) inklusive Vorlage für Excel findest Du hier.

Punkt #5: Verstösse gegen den Datenschutz an die Aufsichtsbehörde melden

Eigentlich selbsterklärend: Wenn Du merkst, dass personenbezogene Daten gestohlen wurden (weil Du z.B. gehackt wurdest), musst Du das innert 72h melden.

Punkt #6: Eine Datenschutz-Folgenabschätzung durchführen

Das gilt bei:

„Datenverarbeitung, die ein hohes Risiko mit sich bringt, dass Rechte und Freiheiten verletzt werden könnten.“

Das betrifft z.B. Unternehmen, die medizinische Daten von Kunden verarbeiten. Die meisten Kleinunternehmen dürfte das somit nicht betreffen.

Mehr zu den Vorgaben, ab wann eine Datenschutz-Folgenabschätzung durchzuführen ist, findet sich z.B. hier.

Punkt #7: Bei Verstössen gegen die DSGVO Geldbussen zahlen

Selbsterklärend. Das versuchen wir ja zu verhindern.

Legen wir also los:

Ein paar wichtige, grundlegende Punkte & Missverständnisse zu Cookies und der „Einwilligung“ bei der DSGVO

Cookies sind in der DSGVO nicht ausdrücklich erwähnt.

Trotzdem sind Cookies eines der Hauptthemem bei der DSGVO bzw. im Datenschutz allgemein, weil diese für das Sammeln und die Nutzung von personenbezogenen Daten (z.B. mit Google Analytics) verwendet werden und gleichzeitig diese Daten an Dritt-Unternehmen ins Ausland weitergegeben werden.

Und das ist grundsätzlich heikel:

„Für Cookies gilt deshalb – wie für jede Datenverarbeitung gemäss DSGVO – ein Verbot mit Erlaubnisvorbehalt“ (Quelle)

Aber:

Das heisst nicht, dass Cookies ausschliesslich mit Einwilligung des Nutzers verwendet werden dürfen (diese Fehleinschätzung ist sehr weit verbreitet):

Es gibt eine DSGVO-Klausel, die uns die Verarbeitung von persönlichen Daten für die Werbung (sprich z.B. das Setzen von Cookies für Google Analytics) explizit erlaubt bzw. uns „berechtigtes Interesse“ zugesteht:

„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

Das ist natürlich kein Freifahrtsschein. Selbst wenn wir ein berechtigtes Interesse haben und keine Einwilligung benötigt wird, müssen wir:

  1. Den Besucher über den Einsatz der Cookies (und vor allem welche Daten erfasst und wohin übertragen werden) in der Datenschutzerklärung informieren.
  2. Den Besucher über seine Möglichkeiten zum Widerspruch/Deaktivierung der Erfassung informieren.
  3. Mit dem Drittanbieter, an den die Daten gesendet werden, einen Auftragsverarbeitungs-Vertrag (AVV) abschliessen.

Diese 3 Punkte sind die Hauptarbeit zur Umsetzung.

Ist der Cookie-Banner tatsächlich Pflicht?

Wenn wir also keine Einwilligung benötigen, heisst das ja auch, dass der Cookie-Banner gar nicht unbedingt nötig wäre.

Das ist nicht nur Wunschdenken von mir. Der Cookie-Banner ist alles andere als eine bombensichere Umsetzung:

Sich nur auf die Einwilligung zu verlassen, ist gemäss Anwalt nämlich eine heikle Angelegenheit:

„Je nach Datenverarbeitung erreicht man mehr Rechtssicherheit, wenn man sich nicht auf eine Einwilligung mit ihren hohen Anforderungen an die Gültigkeit verlässt, sondern die Rechtmässigkeit mit einer anderen Bedingungen wie insbesondere den berechtigten Interessen oder der Vertragserfüllung begründet.“

Siehe z.B. auch diesen Artikel vom bekannten Anwalt Martin Steiger:

„Hingegen kann man meines Erachtens auf ein Cookie-Banner verzichten.“

Oder aus dieser Quelle:

„Ein Cookie-Banner (etwa über ein Popup) war bislang und wird auch künftig nicht notwendig sein. Nach den neuen Regeln gilt der erstmalige Besuch der Website ohnehin nicht als Einwilligung in die Verarbeitung von Besucherdaten, auch wenn Sie Ihren Besuchern Informationen wie “Durch die Nutzung dieser Website akzeptieren Sie Cookies“ zur Verfügung stellen.“

Das beste kommt aus dieser Quelle:

Die sogenannte „Cookie-Richtlinie“ der EU (welche die ausdrückliche Einwilligung des Nutzers vorsieht) wurde in Deutschland gar nicht umgesetzt und ist somit gar nicht gültig. Laut EU-Kommission erfüllen die heutigen Regelungen in Deutschland aber die Vorgaben der Cookie-Richtlinie bereits. Also alles sehr seltsam und widersprüchlich…

Wichtig: Eine Ausnahme ist der Einsatz von Google AdSense und DoubleClick: Dort verlangt Google selbst seit 2015, dass eine Einwilligung zu den Cookies eingeholt werden muss.

Sprich:

Der häufig verwendete Cookie Banner ist auch nur eine Umsetzung mit trügerischer Sicherheit.

Nochmals zusammengefasst:

Die Anforderungen an eine Einwilligung ist gemäss DSGVO sehr hoch. Ob ein Cookie-Banner diesen Anforderungen standhält, ist mehr als fraglich.

Das „berechtigte Interesse“ als Website-Betreiber kann die bessere Argumentation für den Einsatz der Cookies darstellen (Quelle).

Hier als spontanes Beispiel FitBit (ein Fitness-Armband Hersteller), da ich von FitBit vor wenigen Tagen eine Mail bezüglich der Aktualisierung ihrer Datenschutz-Richtlinien erhalten habe.

FitBit bezieht sich in ihrer Datenschutzerklärung gleich auf 3 rechtliche Grundlagen, inklusive dem berechtigten Interesse:

„Für personenbezogene Daten, die unter die DSGVO fallen, stützen wir uns bei der Datenverarbeitung auf mehrere rechtliche Grundlagen. Diese umfassen: Ihre gegebene Einwilligung, die Sie jederzeit zurückziehen können über Ihre Kontoeinstellungen und andere Tools; wenn die Verarbeitung notwendig ist zur Erfüllung eines Vertrags mit Ihnen, wie die Nutzungsbedingungen; und unsere berechtigten Geschäftsinteressen, wie die Verbesserung, Personalisierung und Entwicklung der Dienste, das Vermarkten neuer Funktionen oder Produkte, die interessant sein könnten, und zur Förderung von Sicherheit, wie oben beschrieben.“

Wer den Cookie-Banner trotzdem einsetzen möchte, dem stehen für WordPress mit „Cookie Consent“ oder „EU Cookie Law“ gleich 2 beliebte Plugins zur Verfügung.

Aber Achtung:

Wenn der Cookie-Banner die Links zum Impressum und Datenschutz verdeckt, kann das Ganze sogar nach hinten losgehen und erst Recht eine Abmahnung provozieren (Quelle).

Entscheidend ist aber auf jeden Fall, dass Ihre Datenschutzerklärung von jeder Seite auf Ihrer Website aus mit einem Klick erreichbar ist und vollständig über Ihre Datenerfassung informiert (siehe Punkt #6 in diesem Artikel).

Die E-Privacy-Verordnung, die 2019 kommt

Die für 2019 geplante E-Privacy-Verordnung soll die praktische Umsetzung (die jetzt ja bei der DSGVO ziemlich unklar ist) zum Einsatz von Cookies und Verfolgungs-Techniken (Tracking) sowie zum E-Mail-Marketing genauer regeln.

Diese E-Privacy-Verordnung ist aber heiss umstritten, weil sie im Gegensatz zur DSGVO dann tatsächlich Cookies nur noch mit ausdrücklicher Einwilligung erlauben will (Quelle).

Da würde der aktuelle Cookie-Banner dann aber auch nicht mehr helfen (viel Spass beim Nachweisen, dass ein Cookie-Banner tatsächlich vor Gericht als „Einwilligung“ angesehen wird).

Update: Ich habe einen separaten Artikel zur E-Privacy-Verordnung und den verschiedenen Methoden zur Umsetzung der Cookie Richtlinie geschrieben.

Nach der DSGVO folgt dann also umgehend der nächste Akt zum spannenden Thema Datenschutz.

Soviel einmal vorab.

Jetzt wird es aber endlich (etwas) konkreter:

#1: Google Analytics DSGVO konform einsetzen

1. IP-Adresse Anonymisieren (bzw. „Pseudonymisieren“)

Diese Anonymisierung der IP-Adresse kann relativ einfach gemacht werden, indem der Google Analytics Tracking Code um diese Zeile ergänzt wird:

ga('set', 'anonymizeIp', true);

Der komplette Google Analytics Tracking Code sieht dann so aus (Du musst natürlich Deine eigene Tracking ID verwenden):

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
 (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
 m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
 })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

2. Nutzer in der Datenschutzerklärung auf den Einsatz von Analytics und ihr Widerspruchsrecht hinweisen („Opt-out“)

Das wird am einfachsten via Standardtext erledigt.

Wie und wo Du diese Standardtexte findest, ist unter Punkt #6 in diesem Artikel beschrieben.

3. Auftragsverarbeitungs-Vertrag (AVV) mit Google abschliessen

Das kann glücklicherweise ganz simpel mit einem Klick selber im Google Analytics Konto (unter „Kontoeinstellungen“) abgeschlossen werden:

Google Auftragsverarbeitungs-Vertrag

4. Möglichkeit zur Löschung der Daten auf Anfrage

In einem Mail am 19. April hat Google informiert:

„Noch vor dem 25. Mai führen wir außerdem ein neues Tool zum Löschen von Nutzern ein.“

Das wird dann also ebenfalls in Analytics möglich sein, sollte jemand bei Ihnen die Löschung seiner persönlichen Daten fordern.

Google Tag Manager & Search Console

Der Google Tag Manager macht vereinfacht gesagt nichts anderes, als den Google Analytics Code auf der Website einzubinden.

Ich bin zwar nicht ganz sicher warum, aber im Google Tag Manager Konto kann man ebenfalls einen Auftragsverarbeitungs-Vertrag (den „Zusatz zur Datenverarbeitung“) ähnlich wie im Google Analytics Konto abschliessen. Würde ich machen.

Die Google Search Console hingegen überträgt keine personenbezogenen Daten über Ihre Website (die Daten werden ausschliesslich von Google direkt gesammelt). Für dessen Einsatz muss deshalb nichts gemacht werden.

Facebook Pixel & Co

Vom Prinzip her gilt dieses Vorgehen nicht nur für Google Analytics, sondern auch für andere Cookies, die für Werbung oder das Sammeln von Nutzerdaten verwendet werden.

Typisches Beispiel das Facebook Pixel, mit dem Website-Besuchern später auf Facebook Werbung gezeigt werden kann.

Das ist also ebenfalls grundsätzlich weiterhin erlaubt (Quelle), es muss aber in der Datenschutzerklärung darauf hingewiesen werden.

Ob dafür ein Auftragsverarbeitungs-Vertrag nötig ist oder nicht, scheint noch nicht ganz klar (hier die Informationen von Facebook selbst zur DSGVO).

Aber Achtung: 

Insbesondere die Facebook Custom Audience Funktion ist sehr umstritten, sprich wahrscheinlich weder mit dem aktuellen Datenschutzgesetz noch mit der DSGVO vereinbar (Quelle).

Die Facebook Custom Audience Funktion ermöglicht es Dir, eine Liste von E-Mail-Adressen auf Facebook hochzuladen (z.B. von Deinen Kunden).

Facebook matcht diese E-Mail-Adressen mit den dazugehörigen Facebook Konten und sucht dann nach ähnlichen Profilen, die Du dann gezielt mit Werbung ansprechen kannst.

Für die Custom Audience Funktion wäre wahrscheinlich ein Auftragsverarbeitungs-Vertrag nötig, was aber aktuell von Facebook meines Wissens nach noch nicht angeboten wird.

Zu dem Thema werden in nächster Zeit sicher noch einige neue Informationen rauskommen, da Facebook ja aktuell sowieso als schwarzes Schaf im Datenschutz unter Beschuss steht.

Google Fonts DSGVO konform einsetzen

Angeblich dürfen die Google Fonts nicht mehr via Google direkt geladen werden, weil da angeblich irgendwelche persönlichen Daten übertragen werden.

Das ist etwas, was ich für komplett falsch halte. Keine Ahnung woher das kommt.

Hier was Google selbst dazu sagt:

„Use of Google Fonts is unauthenticated. No cookies are sent by website visitors to the Google Fonts API.“

Also einfach in der Datenschutzerklärung darauf hinweisen, Fall (für mich) erledigt.

#2: Newsletter/E-Mail-Marketing Tool (am Beispiel MailChimp) DSGVO konform einsetzen

Beim Thema Newsletter/E-Mail-Marketing wird (Überraschung) ebenfalls Panik gemacht.

Einerseits finden sich Artikel, deren pedantische Auslegung der DSGVO das E-Mail-Marketing praktisch verunmöglichen, weil es technisch schlicht unmöglich realistisch umzusetzen ist (z.B. hier).

Oder aber es wird alles nicht so schlimm bzw. bleibt praktisch gleich wie bisher (wie z.B. in diesem Artikel).

1. Einwilligungs-Checkbox bei den Opt-in Formularen

Die pedantische Umsetzung fordert beispielsweise eine zusätzliche (nicht aktivierte) Checkbox beim Newsletter Opt-in Formular, welche auf die Datenschutzerklärung hinweist und um Einwilligung bittet.

Wenn das Eintragen der eigenen E-Mail-Adresse in ein „Newsletter abonnieren“ Feld nicht als „aktive Einwilligung“ ausreicht, wie soll dann bitteschön eine zusätzliche Checkbox das sicherstellen?

Wir können mit dieser Checkbox auch gar nicht feststellen (oder verhindern), ob jemand Drittes unerlaubt eine fremde E-Mail-Adresse einträgt.

Meiner Meinung nach ist diese zusätzliche Checkbox eine übermotivierte Fehlauslegung.

Aber wer es umsetzen möchte:

Die meisten Newsletter-Anbieter haben reagiert und bieten eine Möglichkeit für die Umsetzung an, hier z.B. die Infos zur Einwilligungs-Checkbox bei MailChimp.

Die „richtige“ aktive Einwilligung in den Versand (und die Datenschutzerklärung) wird aber sowieso erst bei der Bestätigungsmail eingeholt (und hier wird auch sichergestellt, dass sich der Empfänger wirklich selbst eingetragen hat):

2. „Double Opt-in“ Verfahren bei der Newsletter-Anmeldung

Die Bestätigungsmail, also das sogenannte „Double Opt-in“ Verfahren, ist auf jeden Fall empfohlen zu verwenden.

Sprich, wenn ein Nutzer einen Newsletter abonniert, erhält er zuerst ein Bestätigungsmail, in der er mit einem Klick seine Anmeldung (und damit Einwilligung) bestätigen muss.

In diesem Bestätigungsmail würde ich schlicht noch einmal auf die eigene Datenschutzerklärung hinweisen, und dass diese mit einem Klick akzeptiert wird.

Das ist viel sinnvoller, benutzerfreundlicher, einfacher umzusetzen und vor allem später auch nachzuweisen, als die zusätzliche Checkbox bei der Opt-in Box.

Übrigens, nur um nocheinmal zu verdeutlichen, dass das ganze Datenschutz-Thema wirklich idiotisch ist und man sich auf rein gar nichts verlassen kann (und das nicht nur meine persönliche Meinung ist):

Im 2012 gab es ein Gerichtsurteil, bei dem bereits das Bestätigungsmail als Spam und damit für rechtswidrig befunden wurde (Streitwert für dieses „Spam“-Mail: 13’500 €).

Und 2016 gab es dann von einem anderen Gericht den genau entgegengesetzten Entscheid (mehr Infos zum Fall hierhier und hier).

3. Nutzer in der Datenschutzerklärung über den Einsatz und Umfang des Newsletters aufklären

In diesem ausführlichen Artikel speziell für MailChimp geht Rechtsanwalt Dr. Thomas Schwenke auf die Anforderungen des Newsletter-Einsatz ein und gibt auch gleich ein Musterbeispiel, das für die eigene Datenschutzerklärung genutzt werden kann.

Update 21. Mai 2018: Der Artikel wird von Dr. Thomas Schwenke gerade überarbeitet, und er empfiehlt seinen Datenschutz-Generator zu verwenden. Mehr Infos zur Datenschutzerklärung und der Link dazu unter Punkt #6 in diesem Artikel.

4. Auftragsverarbeitungs-Vertrag mit dem Newsletter/E-Mail-Marketing Anbieter

Genau wie bei Google Analytics muss auch mit dem Newsletter/E-Mail-Marketing Anbieter ein Auftragsverarbeitungs-Vertrag abgeschlossen werden.

Bei MailChimp z.B. kann das relativ bequem hier gemacht werden. Im Gegensatz zu Google müssen einfach noch ein paar Angaben wie z.B. der Benutzer- und Firmenname angegeben werden.

Stichwort „Kopplungsverbot“: Ist der „Lead Magnet“ tot?

Ein Lead Magnet oder „Freebie“ wird z.B. ein Gratis E-Book, Checkliste oder Report genannt, der im Austausch gegen eine E-Mail-Adresse heruntergeladen werden kann (bzw. per Mail versendet wird).

Unter dem Stichwort „Kopplungsverbot“ sehen jetzt viele das Aus für den Lead Magnet.

Meine Meinung:

Natürlich darf man weiterhin einen Lead Magnet verwenden. Wer soll mich denn bitteschön dazu zwingen, dass ich meine E-Books gratis zur Verfügung stellen muss?

Und natürlich darf ich nach dem E-Book auch weiterführende Infos zum Thema senden, wenn der Empfänger per Double Opt-in eingewilligt hat.

Was meiner Meinung nach mit diesem Kopplungsverbot erreicht werden soll (was ich z.B. hier oder hier herauslese und was auch völlig sinnvoll ist), ist dass man sich nicht mit einer Datenschutz-Checkbox den Freifahrtsschein für alle zukünftigen Werbeaktionen einholen kann.

Also zum Beispiel, dass ich nicht mehr massenweise E-Mail-Adressen per „Gratis“ Gewinnspiel sammeln darf, und diese dann ungestraft mit völlig irrelevanten Spam-Mails zumüllen oder gar weiterverkaufen kann.

Oder dass man beim Kauf in einem Online Shop nicht automatisch den Newsletter aufgebrummt bekommt, sondern diesen selber aktiv auswählen kann (aber eben nicht muss!).

Dieses konkrete Beispiel wird übrigens am häufigsten erwähnt: Die Entkoppelung vom Einkauf und der gleichzeitigen automatischen Pflicht-Newsletter-Anmeldung ohne aktive Einwilligung.

#3: WordPress & Plugins DSGVO konform einsetzen

Bei WordPress und den ganzen Plugins gibt es ein Problem:

Es gibt einige WordPress Plugins, welche die IP-Adresse und allenfalls weitere personenbezogene Daten irgendwohin weitergeben.

Das muss nicht einmal böswillig geschehen, ist aber genau gleich wie z.B. bei Google Analytics heikel.

Hinweis: Hier muss unterschieden werden, ob die personenbezogenen Daten wie z.B. die IP-Adresse auf der eigenen Website gespeichert werden (was bereits aus technischen Gründen fast nicht sinnvoll komplett vermieden werden kann) oder ob diese an Drittanbieter weitergeleitet werden (das ist der heiklere Teil).

2 typische Beispiele sind:

  • Antispam-Plugins, welche die IP-Adresse des Kommentar-Schreibers ins Ausland schicken um diese mit Listen von bekannten Spammer-IPs zu vergleichen (Tipp für ein DSGVO konformeres Plugin: Antispam Bee)
  • Statistik-Plugins, wie z.B. das beliebte Jetpack Plugin, welches die Daten auf eigenen Servern speichert (Alternative: Google Analytics wie in diesem Artikel beschrieben nutzen)

Wer es genauer wissen will, welche Plugins problematisch sind und welche nicht, findet hier 2 ausführliche Artikel (auch wenn ich sonstige Empfehlungen, die dort in anderen Artikeln gemacht werden, für übertrieben halte):

Ansonsten kann man da keine allgemeingültigen Aussagen machen.

Ein Hinweis in eigener Sache: Die Websites gemäss meinem WordPress Online Kurs sind so aufgebaut, dass sie grundsätzlich keine Cookies speichert (und entsprechend keinen Cookie-Banner brauchen). Aber ich zeige zusätzlich auch:
1. Wie bei Bedarf Google Analytics DSGVO-konform erst nach Akzeptierung über den Cookie-Banner geladen werden kann.
2. Wie YouTube Videos automatisch sicher und Cookie-frei eingebunden werden können.

Wie WordPress selbst darauf reagiert (Update 28. April 2018)

WordPress arbeitet an „DSGVO-Konformitätswerkzeugen„, die Website-Betreibern die Einhaltung der DSGVO erleichtern soll.

Soweit ich das sehe, ist die primäre Funktion dieser für den 15. Mai geplanten „Datenschutz-Schaltzentrale“:

  • Eine Art Verzeichnis, in dem installierte Plugins dokumentieren können, welche Benutzerdaten gesammelt werden (damit man diese Informationen auf seiner Datenschutzerklärung veröffentlichen kann).
  • Ein Tool, damit Auskunft- und Löschanfragen von Besuchern zu Ihren persönlichen Daten verwaltet und durchgeführt werden können.

Die Hauptfrage wird sein, ob und wie schnell die Plugin-Entwickler da mitziehen.

Das bestätigt vor allem meine Einschätzung, dass die Speicherung von personenbezogenen Daten (wie der IP-Adresse), auch von WordPress selbst nicht grundsätzlich als verboten eingeschätzt wird – siehe nächster Punkt:

Kontaktformular & Kommentarfunktion

Hier wird es wieder richtig absurd:

Angeblich muss man da explizit darauf hinweisen, dass der Kommentar bzw. die gesendete Nachricht gespeichert wird. Und der Benutzer muss nochmals explizit durch Anklicken einer Checkbox in diese Speicherung einwilligen.

Dieser Logik folgend wäre es bereits illegal, wenn mir jemand eine ganz normale E-Mail schreibt. Denn auch dann werden die ganzen E-Mail-Daten automatisch irgendwo gespeichert (auf dem Mailserver, im Mailprogramm, etc.).

Ein weiterer Punkt ist, dass man die IP-Adresse vom Kommentar nicht speichern darf (bzw. allgemein die Phobie, die IP-Adresse eines Besuchers auf irgendeine Art zu speichern).

Meiner Meinung nach geht das ebenfalls auf das grundlegende Missverständnis mit der Einwilligung zurück, das ich ganz am Anfang dokumentiert habe.

Denn:

Als Website-Betreiber habe ich ein berechtigtes Interesse, um bei strafbaren Kommentaren (z.B. bei Beleidigungen oder rassistischen Kommentaren) gegen den Urheber vorgehen zu können (wofür ich die IP-Adresse brauche).

Also: In der Datenschutzerklärung darauf hinweisen, damit sollte das erledigt sein.

#4: Social Media Profile & Share Buttons DSGVO konform einsetzen

Mal ganz abgesehen davon, dass ich den Unterschied zwischen dem Facebook Pixel (der ja wie oben erklärt erlaubt sein soll) und der Einbindung des Profils oder Share Buttons (was hingegen plötzlich problematisch sein soll) nicht verstehe:

Es wird weitherum empfohlen, dass die Standard Share Buttons und z.B. das Facebook Profil Widget nicht verwendet werden dürfen, weil diese ohne Klick nur schon beim Laden der Seite Daten zu Facebook & Co. senden.

Ein für WordPress beliebtes Plugin, um Share Buttons so einzubinden, dass diese nicht automatisch nach Hause telefonieren (also DSGVO konform sein sollten), ist das Plugin Shariff Wrapper.

Der Standard Teilen Link ist ebenfalls kein Problem (so wie ich es z.B. auch auf dieser Website am Ende eines Artikels umgesetzt habe):

http://www.facebook.com/sharer.php?u=https%3A%2F%2F8020webdesign.ch%2Fdsgvo-vernuenftig-umsetzen%2F&t=Praxis+Guide%3A+DSGVO+vern%C3%BCnftig+umsetzen+als+kleines+Unternehmen+in+der+Schweiz

Auslöser für das Ganze war dieses Gerichtsurteil.

#5: Webhoster & Server Log Files

Wie wir gesehen haben, muss für einige externe Dienste wie z.B. Google Analytics oder MailChimp ein Auftragsverarbeitungs-Vertrag abgeschlossen werden.

Update 3. Mai 2018: Die genannte Quelle hat ihre Meinung geändert und haltet den Auftragsverarbeitungs-Vertrag mit dem Hoster nun ebenfalls für Pflicht.

Auch Schweizer Webhoster sind da noch dran, z.B.:

Metanet.ch:

Hostpoint.ch:

Cyon.ch:

Server Log Files, in denen IP-Adressen etc. gespeichert werden, sind grundsätzlich kein Problem, sofern man in der Datenschutzerklärung darauf hinweist (Quelle).

#6: Das Ganze in der Datenschutzerklärung festhalten

Erinnerst Du Dich an den allerersten Punkt der DSGVO: „Informieren und die Einwilligung der betroffenen Person einholen“?

Genau das machen wir, indem wir auf unserer Website eine Seite „Datenschutzerklärung“ erstellen und den Besucher darüber informieren, welche Daten gesammelt und welche Drittanbieter-Tools eingesetzt werden, und wie der Besucher allenfalls die Datenerfassung verhindern kann („Opt-out“).

Wie bereits erwähnt, die Umsetzung mit dem Cookie-Banner ist zwar weit verbreitet, es ist aber umstritten, ob dieser rechtlich verpflichtend und wasserdicht ist.

Eine Datenschutzerklärung ist aber Pflicht und das Herzstück all Ihrer Datenschutz-Massnahmen.

Die einzige realistische Umsetzungsmöglichkeit für Kleinunternehmen (sprich: ohne selbst einen Anwalt zu beauftragen) ist die Erstellung mit einem Generator oder Vorlage.

Wie z.B. Google hier selbst sagt:

„Da in jedem Land oder jeder Region andere Gesetze gelten und Google Analytics auf viele Arten verwendet werden kann, ist es Google nicht möglich, einen genauen Wortlaut für Ihre Datenschutzerklärung bereitzustellen.“

Entscheidend ist: Du selbst musst wissen, welche Daten Du sammelst und an welche Drittanbieter Du diese sendest. Und vollständig in der Datenschutzerklärung darauf hinweisen.

Das heisst:

Beim Datenschutz-Generator musst Du einerseits korrekt angeben, welche Dienste Du einsetzt. Andererseits heisst das aber natürlich nicht, dass Du einen Dienst nicht angeben musst, nur weil er im Generator nicht abgedeckt ist.

Hier findest Du einige Datenschutz-Generatoren und Vorlagen, welche die gängigsten Tools wie z.B. Google Analytics, Facebook und MailChimp abdecken:

  • Datenschutzerklärung Generator von eRecht24.de: Leider sind nicht alle Drittanbieter-Tools in der Gratis-Version abgedeckt. Für MailChimp z.B. wäre die kostenpflichtige Version (ab ca. 180.- Euro pro Jahr) nötig.
  • Datenschutz-Generator.de: Dieser Generator scheint noch ausführlicher zu sein, kostet jedoch pro Generierung (die dann zeitlich unbeschränkt eingesetzt werden darf) 99.- Euro (aber für Privatpersonen und Vereine gratis).
  • Avalex.de: Bietet zwar keinen Gratis-Generator, aber für 96.- Euro pro Jahr die Datenschutzerklärung inklusive Abmahnschutz (wobei ich persönlich diese Garantie trügerisch finde: Natürlich erwarte ich, dass die Datenschutzerklärung vom Anwalt mich schützt. Kritisch ist aber, wenn ich später etwas an der Website ändere oder einen neuen Drittanbieter-Dienst verwende, dass ich dann sofort auch an die DSGVO denke und wieder alles komplett durchdenke und aktualisiere…).
  • Vorlage von der Wirtschaftskammer Österreich: Gratis Vorlage, aber leider nicht sehr ausführlich und praxistauglich…

Wer möchte, darf gerne in meine Demo Datenschutzerklärung schauen und sich die benötigten Bausteine kopieren bzw. schauen, ob noch etwas fehlt (ohne Gewähr natürlich 😉 ). Eine Quellenangabe auf diesen Artikel ist zwar nicht Pflicht, wäre aber schön, damit möglichst viele Betroffene von den Infos hier profitieren können.

Übrigens: Der bisher in der Schweiz beliebte Impressum-Generator der Brunner Medien AG ist durch die DSGVO leider unbrauchbar geworden. Die Impressum-Seite in der Schweiz ist im Vergleich zur Datenschutzerklärung trivial zu erstellen und benötigt keinen Generator.

Die „vernünftige“ DSGVO-Umsetzung Checkliste noch einmal kurz zusammengefasst

  1. Den Google Analytics Einsatz DSGVO konform umsetzen (inkl. Auftragsverarbeitungs-Vertrag).
  2. Beim Newsletter/E-Mail-Marketing mindestens das „Double Opt-in“ umsetzen (inkl. Auftragsverarbeitungs-Vertrag).
  3. Weder WordPress Plugins noch Social Media Profile & Buttons einbinden, die im Hintergrund Daten an Dritte weitergeben (bzw. den Einsatz in der Datenschutzerklärung offenlegen und begründen).
  4. In der Datenschutzerklärung auf die Sammlung der Daten und verwendeten Drittanbieter-Dienste hinweisen (und dafür sorgen, dass diese von jeder Seite aus mit einem Klick erreichbar ist, also z.B. per Link im Footer).
  5. Ein SSL-Zertifikat/HTTPS-Verschlüsselung für Ihre Website ist Pflicht.

Wie setzt Du das alles um?

Wenn Du komplett anderer Meinung sind oder einen offensichtlichen Fehler sehen, bin ich sehr gespannt auf Ihren Kommentar und stehe für Diskussionen in den Kommentaren gerne zur Verfügung 🙂

Auch wenn ich nach unzähligen Recherche-Stunden und diesem gut 3’900 Wörter Artikel eigentlich schlicht keinen Bock mehr auf die DSGVO habe… 😉

PS: Mehr ausführliche und praktische Artikel & Anleitungen für die Erstellung von WordPress Websites habe ich hier zusammengestellt.

Michael Brütsch

Webdesigner & WordPress Experte: Ich kreiere WordPress Websites, die Google liebt (aka Suchmaschinenoptimierung / SEO).

33 Gedanken zu „Checkliste: DSGVO & Datenschutzerklärung vernünftig umsetzen als kleines Unternehmen in der Schweiz“

  1. Hallo Michael,
    ich beschäftige mich mit einer Frage, auf die ich immer kontroverse Antworten erhalte. Ich bin Pensionär, betreibe aber eine Webseite, über die ich eine Dienstleistung anbiete. Ich habe aber keine eingetragene Firma. Die Dienstleistung muss über ein Buchungsformular gebucht werden, ist kostenpflichtig und ich erhebe dazu die notwendigen Daten, wie Name, Adresse, Telefon etc.
    Unterliege ich damit den neuen DSGVO-Richtlinien und muss ein korrektes Impressum, eine Datenschutzerklärung und sogar ein Cookie-Programm installieren. Ich bin der Meinung, die DSGVO gilt nur für Unternehmen, nicht aber für Private, obwohl ich im Prinzip eine Unternehmung führe.
    Wenn ich dazu eine kurze knackige Antwort erhalten könnte, wäre ich dankbar.
    Danke im Voraus und Gruss
    Ulrich

    Antworten
  2. Lieber Michael Brütsch

    Ich bin sehr neu tätig im Bereich Web Design und Development und arbeite momentan an meinen ersten Projekten und habe eine Frage an dich.

    Ich habe mich jetzt schon einige Stunden durch dein Artikel durchgewälzt und bin dir sehr dankbar, dass du dieses komplexe Thema aus deiner Sicht und mit gesundem Menschenverstand erklärst und auseinandernimmst.

    Ich habe eine Frage an dich. Ich arbeite mit Jekyll und html, css und javascript und einigen Plugins wie Gridlex, Pop-Up Gallery, Slick-Slider und solche technischen Dinge. Auf meiner Webseite kann nichts kaufen und ich schalte keine Werbung. Das einzige, was Leute aktiv machen können, ist das Kontaktformular ausfüllen. Ich verwende kein Newsletteranmeldungsfeld eines E-Mail Marketing Programms und verzichte auch auf Google Analytics.

    Brauche ich dann trotzdem eine Datenschutzerklärung und wenn ja, was kommt da in etwa rein? Ich habe natürlich ein Kontaktformular eingerichtet, muss da etwas bezüglich dem rein? Und in einem Artikel hast du geschrieben, dass sogar eine uralte statische HTML-Seite eine IP-Adresse trackt…Wie finde ich denn genau heraus, was ich tracke…?

    Vielen herzlichen Dank schon im Voraus, für deine Antwort.

    Antworten
    • Hallo Pascal,

      Das kann ich Dir schlicht nicht abschliessend sagen. Ich persönlich würde aber immer eine Datenschutzerklärung erstellen und die üblichen Textbausteine einfügen, welche Deine Website tatsächlich betreffen (eben bezüglich Cookies, Formular, etc.). Sofern Du kein Google Analytics oder Werbe Tracking Pixel einsetzt, solltest Du ganz grundsätzlich ziemlich risikoarm unterwegs sein.

      Bezüglich statische HTML-Seite: Das macht in diesem Fall nicht die Website, sondern die Hoster haben oftmals im Hintergrund Log-Files, welche eben die IP-Adresse speichern. Sprich beim Hosting nachschauen.

      Beste Grüsse,
      Michael

      Antworten
  3. Hallo Michael

    Wenn ich als Firma eine Facebook Seite und Instagram Profil betreue, muss ich dann einen Vertrag (Auftragsverarbeitungs-Vertrag) mit Facebook abschliessen?

    Gruss
    Sabrina

    Antworten
  4. Hallo Matthias

    Wie kann man die Daten löschen lassen wenn ein Besucher bereits auf der Website war und Spuren (IP, etc.) hinterlassen hat? Also wie ist das machbar den Besuch/die Daten Rückgängig zu machen?

    Danke und Lg
    Javi

    Antworten
  5. Guten Tag,
    vielen Dank für die wertvollen Informationen auf dieser Seite.

    Zum Thema „1. IP-Adresse Anonymisieren (bzw. „Pseudonymisieren“)“
    Beim Google Analytics Tracking Code hat sich etwas geändert. Google arbeitet jetzt mit dem Global Site Tag (gtag.js)
    Dieser muss folgendermassen angepasst werden:

    window.dataLayer = window.dataLayer || [];
    function gtag(){dataLayer.push(arguments);}
    gtag(‚js‘, new Date());
    gtag(‚config‘, ‚UA-xxx-1‘, { ‚anonymize_ip‘: true });

    In der zweitletzten Zeile wird
    { ‚anonymize_ip‘: true }
    eingesetzt.

    https://developers.google.com/analytics/devguides/collection/gtagjs/ip-anonymization

    Antworten
    • Guten Tag Herr Zimmermann,

      Vielen Dank für den Kommentar und Ergänzung.

      Ja, wer bereits mit dem Global Site Tag (gtag.js) arbeitet, muss sich an diesen Link halten. Wer noch das alte Google Analytics JavaScript (analytics.js) nutzt, kann sich an die Anleitung im Artikel halten.

      Ich bin mit dem Thema Global Site Tag sowieso noch nicht so up to date. Ich weiss nur, dass der Umstieg alles andere als dringend ist. Und wenn man Google Analytics via Google Tag Manager verwendet, man die zusätzlichen Funktionen (Stichwort Data Layer, womit ich mich ebenfalls nicht gross auskenne, da ich es schlicht nicht brauche) sowieso bereits nutzen kann.

      Beste Grüsse,
      Michael Brütsch

      Antworten
  6. Hallo Michael,
    Sorry für die Frage, aber ich war der Meinung es sei Pflicht in der Datenschutzerklärung einen Datenschutzbeauftragten zu nennen.

    Somit am besten eine Erklärung schreiben und wenn ich keinen brauche diesen Absatz weglassen und gut ist. 🙂

    Antworten
    • Hallo Patrick,

      Kein Problem 🙂

      Genau, so würde ich das auch sehen.

      Verantwortlich ist schlussendlich sowieso der Geschäftsführer, selbst wenn ein Datenschutzbeauftragter ernannt werden muss.

      Beste Grüsse,
      Michael

      Antworten
  7. Vielen Dank für diesen Artikel. Es bringt etwas Licht ins Dunkel.
    Eine Frage die mich beschäftigt.

    Mache ich besser eine Datenschutzerklärung auf jede Website? oder lass ich es wenn ich nicht Betroffen bin.
    Und wenn ich das mache muss ich dann einen Datenschutzbeauftragten in diese Erklärung schreiben obwohl ich keinen brauche?

    Vielen Dank und beste Grüsse Patrick

    Antworten
    • Hallo Patrick,

      Für den eher unwahrscheinlichen Fall, dass eine Website tatsächlich nicht betroffen ist, dann muss natürlich auch keine Datenschutzerklärung veröffentlicht werden.

      Einfach als Hinweis: Das neue Datenschutzgesetz der Schweiz sollte auch bald kommen. Ev. gibt es dann von dieser Seite neue Anforderungen (ich werde dann wohl diesen Artikel ergänzen).

      Und nein, wenn kein Datenschutzbeauftragter verlangt ist, dann muss/kann man natürlich auch keinen angeben… die Frage scheint etwas unlogisch. Habe ich das falsch verstanden? 🙂

      Beste Grüsse und viel Erfolg,
      Michael

      Antworten
  8. Hallo Michael

    Zuerst einmal ein riesen grosses Dankeschön für deine Erklärungen – im DSGVO Dschungel schwer den Überblick zu behalten!
    Nun habe ich eine Frage, die du mir vielleicht beantworten kannst.. Du hast in deiner Datenschutzerklärung die Abschnitte mit Facebook, Twitter u.s.w. Braucht man diese Abschnitte sofort, sobald man irgendwo auf der Webseite die Icons platziert (also nur verlinkt auf die jeweilige Plattform und dessen Profil – wie bei dir in der Fusszeile), oder braucht man diese Abschnitte nur wenn man einen Teilen-Button auf der Website hat, wo man z.B. einen bestimmten Inhalt gleich auf Social Media teilen kann?

    Danke für deine Hilfe!
    Sandra

    Antworten
    • Hallo Sandra,

      Vielen Dank für Deinen Kommentar.

      Nein, wenn es nur Icons oder wie im Artikel erklärt Teilen-Buttons in reiner Link Form sind, dann nicht. Ich habe diese aber trotzdem drin, weil ich z.B. wie ebenfalls in diesem Artikel Tweets von Twitter eingebunden habe. Und mir damit grundsätzlich auch die Option offenhalte, um z.B. Facebook Posts einzubinden. Besser einmal zu viel gewarnt 😉

      Beste Grüsse und viel Erfolg beim Umsetzen,
      Michael

      Antworten
  9. Hallo Michael

    Vielen Dank für den Kommentar. Endlich ist das mal einer, den ich auch verstehe. Eine Antwort habe ich bisher aber nirgends gefunden. Als Autorin verkaufe ich meine Bücher über Amazon. Meine HP ist also mehr eine Visitenkarte ohne Verkauf, Kommentar etc. blabla. Ich habe keinen Kundenkontakt und sammle keine Kundendaten. Damit ist das Ganze eher einfach einzurichten. Aber… Im Impressum habe ich meine Outlook-Mail (Office 365) angegeben. Geht das oder ist das nicht DSGVO konform? Muss ich mir da eine neue konforme E-Mail Adresse dazu mieten? Die Beantwortung dieser Frage würde mir sehr helfen.

    Ganz herzlichen Dank im voraus
    Herzliche Grüsse
    Alex

    Antworten
    • Hallo Alex,

      Ja, natürlich darfst Du Deine E-Mail-Adresse angeben. Egal wo Du die E-Mail-Adresse hast: Office 365, Google Suite, oder bei sonst einem der Tausenden (Gratis oder kostenpflichtigen) E-Mail-Anbietern: Die Daten werden immer bei einem Drittanbieter gespeichert.

      Was je nach Auslegungsart unter die DSGVO fällt… auch wenn es logisch betrachtet Schwachsinn ist (alà: Ich schicke Dir ein Mail, und gleich danach mahne ich Dich ab, weil Du ja damit meine persönlichen Daten ohne Einverständnis gespeichert hast…?! Damit kommt ja hoffentlich niemand durch… 😉 ).

      Ich kann es natürlich nicht verbindlich garantieren: Wenn Du es ganz penibel umsetzen willst, könntest Du das in der Datenschutzerklärung einfach erwähnen (also dass Dir gesendete E-Mails bei Microsoft gespeichert werden etc.) und dann schauen, ob Microsoft für Office 365 einen Auftragsverarbeitungsvertrag anbietet, den Du abschliessen kannst.

      Beste Grüsse und viel Erfolg beim Umsetzen,
      Michael

      Antworten
      • Hallo Michael

        Herzlichen Dank für die Antwort. Natürlich wird sich der Dschungel, den Brüssel da angerichtet hat, nicht so schnell lichten. Zum Thema E-Mails ist auch tatsächlich noch nicht viel bekannt. Was Outlook betrifft so hat eine deutsche Kollegin vom MS Support die Antwort erhalten, dass es keinen AV gibt, weil MS DSGVO konform sei. Ich bekomme am Montag einen Anruf vom MS Support. Ich werde dann die Erkenntnisse oder auch das Fehlen jeglicher Informationen gerne hier teilen. Zumindest kommt dann die Antwort von MS. Bis dahin wünsche ich Dir ein schönes Wochenende.

        Herzliche Grüsse
        Alex

        Antworten
        • Hallo Alex,

          Das Argument vom MS Support ist zwar völlig unlogisch (Google und die meisten Newsletter-Anbieter sind auch DSGVO konform, darum geht es aber gar nicht), aber ja, dass ein Auftragsverarbeitungsvertrag in diesem Fall wirklich nötig ist, glaube ich persönlich auch nicht.

          Es war ja auch lange so, dass man angeblich keinen AVV für den Webhoster braucht. Was ebenfalls Sinn macht. Aber eben… die Panik und Rechtsunsicherheit nimmt überhand.

          Sehr gerne, poste dann wieder hier, was Du erfahren hast!

          Vielen Dank und herzliche Grüsse,
          Michael

          Antworten
          • Hallo Michael

            Ich habe gerade versucht, einer Schweizer Behörde (AHV) eine E-Mail zu schreiben. Dies wurde von der AHV abgelehnt, respektive die Mail nicht angenommen. Also entweder sind die gerade in der Umstellung, oder Outlook wird neu generell abgelehnt. Da hat heute Microsoft einiges zu erklären, falls das so ist. Ich melde mich wieder.

            Herzliche Grüsse
            Alex

          • Hallo Michael

            Hier also die Antworten:

            1. Thema Behörde: Ich habe bei Outlook 2 Profile eingerichtet. Das funktioniert allerdings nur privat. Die Behörden erkennen so die Mail nicht mehr und lehnen die E-Mail ab. So viel zum Thema Outlook in privat und geschäftlich aufteilen.

            2. DAV mit Microsoft: Ja, es braucht einen Vertrag. Microsoft hat diesen aber bereits 2016 in die Verträge integriert. Trotzdem kann und muss man diesen herunter laden, um ihn gegebenen Falls ausweisen zu können. Das Ganze findet sich unter:
            Licensing Terms/Online Services Terms (OST). Hier die Sprache einstellen und herunter laden, fertig.
            Hier der Link:
            https://www.microsoft.com/en-us/licensing/product-licensing/products.aspx

            Ich hoffe, ich konnte damit helfen. Lustig ist nämlich auch, dass meine Kollegin nicht diese Antwort von MS erhalten hat. Es kommt wohl auch darauf an, wo man nachfragt.

            Dann wünsche ich allen noch viel „Spass“ mit der DSGVO.

            Liebe Grüsse

            Alex

          • Hallo Alex,

            Vielen Dank, dass Du die Antworten von Microsoft hier mit allen geteilt hast!

            Und natürlich ebenfalls noch viel Spass und vor allem Erfolg beim Umsetzen 🙂

            Liebe Grüsse,
            Michael

  10. Hallo Michael

    Vielen Dank für Deine wichtige und hilfreiche Arbeit!

    Ich bin auf deine Informationen zwar erst vorhin, nach stundenlangen Recherchen ;-), gestossen,
    profitiere aber trotzdem noch viel von deinen Informationen.

    Nun werde ich den Datenschutzseiten-Text zusammen bauen und bis spätenstens zum 25.5.2018 veröffentlichen.

    Viele Grüsse
    Sylvia

    Antworten
    • Hallo Sylvia,

      Vielen Dank für Deinen Kommentar!

      Schön zu hören, dass der Artikel auch nach stundenlanger Recherche noch eine nützliche Ergänzung ist 🙂

      Beste Grüsse und viel Erfolg beim Umsetzen,
      Michael

      Antworten
  11. Danke für diesen erfrischend unkomplizierten Beitrag, der das leidige Thema mit Augenmass und ohne Scheu vor praktischen Tipps (die nicht jedes Mal mit einem Dutzend Einschränkungen und wenn-abers verwässert werden) erklärt. Damit können Betreiber kleiner Webseiten, die nicht 20000 Franken für Rechtsberatung und Umsetzung übrig haben, etwas anfangen.

    Antworten
    • Hallo Matthias,

      Vielen Dank für Deinen Kommentar!

      Die einzige Verwässerung die ich machen muss: Ich kann natürlich keine Garantie zum Ganzen geben (aber wer kann das schon) 😉

      Beste Grüsse und viel Erfolg beim Umsetzen,
      Michael

      Antworten

Schreibe einen Kommentar

Benachrichtigung bei neuen Kommentaren (wenn Du eine E-Mail erhalten willst, sobald ich Dir geantwortet habe):