(Aktualisiert im Februar 2022)
Ich weiß: Die Datenschutzverordnung ist und bleibt für viele eher ein Muss und eine Qual … Aber für uns als Website- und Newsletter-Betreibende in der EU führt kein Weg so richtig dran vorbei, und ich versuche mit dieser Anleitung dir so viel Arbeit wie möglich abzunehmen. Und zwar ohne dabei Qualen und Panik zu verbreiten, denn Panik hilft selten wirklich weiter, weder fachlich noch motivatorisch.
Das Ganze heißt Kurzanleitung, weil ich versuche, alles so knapp wie möglich zu halten – so richtig kurz ist es trotzdem nicht geworden ;) Dafür hoffentlich verständlich und unaufgeregt, und wenn schon nicht lustmachend, dann wenigstens ein bisschen motivierend!
Zuerst mal ganz grundsätzlich:
Ab Mai 2018 sind europaweit neue Datenschutzrichtlinien in Kraft getreten – die sogenannte DSGVO (Datenschutzgrundverordnung).
Schön an der DSGVO ist, dass sie auch Facebook, Google und Co. zur Anpassung ihrer Datenschutzrichtlinien zwingt, was uns als eventuelle Nutzer:innen dieser Dienste hoffentlich zugute kommt. Nicht ganz so schön daran ist, dass viele der Richtlinien relativ komplex und eher praxisfern sind.
Ich habe mich intensiv durch die neuen Richtlinien und das dazu erschienene Material durchgearbeitet. (= Ich habe selten so lange an einem Artikel gesessen wie an diesem hier!)
Ich versuche hier, die für dich als selbständige Einzelperson mit Website und/oder Newsletter relevantesten Punkte aufzugreifen, damit du eine Vorstellung davon hast, wo auf deiner Seite Handlungsbedarf besteht und was du tun kannst, müsstest, solltest.
Aber! Ich bin keine Fachperson, und dieser Artikel ist keine Rechtsberatung und ersetzt natürlich keine. Damit das hochkomplexe Thema nicht den Rahmen sprengt, verkürze und vereinfache ich hier einige Punkte. Deshalb die ganz dringende Bitte: Solltest du an einigen Punkten weiterhin Unklarheit haben oder merken, dass die Themen bei dir komplexer sind, wende dich bitte, bitte an eine Person vom Fach, die dir hilft, diese Themen sauber für dich durchzuarbeiten.
Zwei Gruppen will ich besonders herausheben, die sich auf jeden Fall noch genauer informieren sollten:
Ich bin außerdem für detaillierte Umsetzungsfragen zur DSGVO die falsche Ansprechperson (da ich keine Rechtsberatung leisten kann, siehe oben), sondern will hier vor allem deine Aufmerksamkeit auf die typischerweise wichtigsten anstehenden Aufgaben lenken.
Und damit genug Vorrede: Springen wir rein!
Das Grundprinzip der Datenverarbeitung bleibt im Prinzip gleich, wird nur noch schärfer umgesetzt: Jede Datenverarbeitung muss rechtmäßig erfolgen, anhand vorab festgelegter Zwecke, transparent, in möglichst geringem Umfang und soll die Daten vor unberechtigter Veränderung sowie Verlust schützen.
Was grundsätzlich wunderbar ist, und womit wir aus Verbraucher:innensicht ja auch sehr einverstanden sind. Es ändern sich dabei für Unternehmen allerdings einige Details, in denen ja bekanntlich der Teufel steckt.
Ich liste hier die wichtigsten Punkte auf, und was du jeweils dafür tun kannst:
Das „Verzeichnis der Verarbeitungstätigkeiten“ anzulegen ist vermutlich der aufwändigste Punkt der DSGVO. Interessanterweise finde ich diesen Punkt allerdings nicht in vielen Übersichts-Blogartikeln zu diesem Thema erwähnt – dort wird oft einfach von einem Verzeichnis der Drittanbieter gesprochen, was aber aus meiner Sicht zwei verschiedene Dinge sind.
Dieses Verzeichnis soll so etwas wie das Herzstück deiner Datenschutz-Strategie sein, und muss auf Verlangen den Aufsichtsbehörden vorgelegt werden können. Hier wird detailliert aufgelistet, welche Daten auf welchen rechtlichen Grundlagen wie verarbeitet und wie geschützt werden. Bei einer großen Firma ist das natürlich ein riesiges Dokument, aber auch Einzelselbständige „verarbeiten“ oft erstaunlich viele Daten – zum Beispiel über deine Website, deinen Newsletter oder in deiner Kundenmanagement-Software.
Der Beitrag von dem Anwalt Thomas Schwenke in diesem kostenlosen E-Magazin enthält eine kleine Vorlage für ein solches Verzeichnis (das Magazin ist gegen eine E-Mail-Adresse abrufbar), weitere Erklärungen und Muster dafür findest du hier, hier und hier. Und der Rechtsanwalt Stephan Hansen-Oest hat hier eine solide Übersicht der verschiedenen gängigen Verarbeitungen angelegt.
Ein weiterer großer Bestandteil der DSGVO sind die sogenannten Auftragsverarbeitungsverträge, oder auch „Data Processing Agreements“.
Das sind Verträge, die du mit jeder Person und vor allem jeder Firma abschließen musst, die in deinem Auftrag Daten verwaltet. Typischerweise sind das Firmen wie MailChimp, über die du Newsletter verschickst, oder Squarespace, die in deinem Auftrag Statistiken auf deiner Seite messen und diese personenbezogenen Daten speichern. Diese Verträge sind besonders relevant bei Firmen, die ihren Sitz außerhalb der EU haben.
Die Verträge für Google findest du hier, für MailChimp hier, für ConvertKit hier und für Squarespace hier (bei Squarespace musst du nichts zusätzlich unterzeichnen, das ist bereits im Kaufvertrag mit eingeschlossen) – gehe aber auf jeden Fall nochmal alle weiteren Werkzeuge, die du verwendest, durch und überlege, ob da noch eine Person oder Firma dabei ist, die für dich Daten verwaltet, und mit der du einen solchen Vertrag abschließen müsstest.
Hier findest du einen detaillierten Leitfaden zu den Auftragsverarbeitungsverträgen zum Weiterlesen.
In meiner Sprechstunde zum Website erstellen Kurs tauchte kürzlich ein interessanter Fall auf: Eine Kundin hatte einen Videokurs zum Online-Marketing gemacht und dort wurde eine bestimmte Software empfohlen, eine Ergänzung zu MailChimp, und sie wollte von mir wissen, wie sie das Werkzeug in Squarespace einbinden kann. Ich habe die Software recherchiert, dabei festgestellt, dass sie nur Dinge tut, die in Squarespace ohnehin schon enthalten sind, und ihr deshalb geraten, das Werkzeug nicht einzusetzen.
Denn, und das ist der für uns hier relevante Aspekt: Diese Software hätte sie nicht nur Geld gekostet, sondern es wäre ein weiterer Fall gewesen, wo sie einen Auftragsdatenverarbeitungs-Vertrag hätte abschließen müssen. Was zwar an sich machbar ist, aber in diesem Fall völlig unnötig. Jeder Drittanbieter, der deine Daten mitverwaltet, ist aus datenrechtlicher Sicht immer eine potentielle Gefahrenquelle.
Meine ganz dringende Empfehlung deshalb: Verwende so wenige Werkzeuge wie möglich! Und wenn dir jemand ein neues anrät – egal wie hip oder erfolgreich diese Person ist – dann untersuche erstmal ganz genau, wofür das Werkzeug ist, und ob du diese Funktionalität nicht auch mit deinen vorhandenen Werkzeugen abdecken kannst.
Jetzt ist ein wunderbarer Zeitpunkt, deine Datenschutzerklärung zu überprüfen oder neu zu erstellen – vor allem, wenn du sie mit einem Datenschutzgenerator bereits vor einiger Zeit hast erstellen lassen. Am besten legst du dafür eine eigene Unterseite an, die (genau wie das Impressum) von jeder Unterseite deiner Website aus erreichbar ist.
Unter anderem der folgende Punkt ist neu und muss jetzt in der Datenschutzerklärung enthalten sein: Du musst auflisten, welche Kategorien von Daten für welche Zwecke verarbeitet werden, das heißt Angaben zu den einzelnen Verarbeitungstätigkeiten, von denen Kund:innen und Nutzer:innen betroffen sind (also zum Beispiel deine Newsletter-Software oder der Einsatz von Google Analytics).
Wenn die Daten auf Grundlage der berechtigten Interessen verarbeitet werden (das betrifft vor allem Marketingmaßnahmen, wie zum Beispiel Google Analytics, Facebook-Pixel etc.), dann müssen auch die Interessen benannt werden (etwa „wirtschaftliche Interessen“), und ergänzend dazu die jeweiligen Rechtsgrundlagen der Datenverarbeitung, also auf welchen Vorschriften die Datenverarbeitung geschieht. Hier gehört auch ein Hinweis auf den geschlossenen Auftragsdatenverarbeitungsvertrag hin.
Wenn du, wie oben beschrieben, ein Verzeichnis deiner Verarbeitungstätigkeiten angelegt hast, kannst du das in großen Teilen übernehmen – das erleichtert dir die Arbeit an deiner Datenschutzerklärung sehr!
Deine Datenschutzerklärung sollte außerdem auf jeden Fall folgende Punkte enthalten:
Hier findest du einen DSGVO-konformen Datenschutzerklärungs-Generator, hier die Erklärung dazu in Form einer Podcast-Folge, hier ein Beispiel für den MailChimp Abschnitt deiner Datenschutzerklärung, und hier ein Beispiel für den Google Analytics Abschnitt (falls du Google Analytics überhaupt noch nutzen willst, siehe nächster Punkt).
Achtung: Wenn du einen Generator nutzt, haftest du trotzdem selber für deinen Text! Achte also ganz genau darauf, dass auch wirklich alle Drittanbieter und Werkzeuge in deiner Erklärung enthalten sind, die du tatsächlich verwendest. Oder, siehe oben, hole dir professionelle Unterstützung dafür.
Eine Zeit lang konnte man Google Analytics noch halbwegs rechtssicher einsetzen mit anonymisierter IP-Adresse, inzwischen rate ich auch davon ab – unter anderem auch deshalb, weil in meiner Erfahrung die wenigsten Menschen, die „unbedingt“ Statistiken zu ihrer Seite abrufen wollen, diese Statistiken dann in der Praxis auch tatsächlich auswerten und nutzen. Was natürlich nicht zum Prinzip der Datensparsamkeit passt. Und auch deshalb, weil in Österreich und Frankreich bereits der Einsatz von Google Analytics aufgrund der US-Datentransfers für unzulässig erkärt wurde, und laut Fachpersonen damit zu rechnen ist, dass auch andere EU-Datenschutzbehörden bald ähnliche Entscheidungen treffen könnten.
Falls du tatsächlich detaillierte Statistiken benötigst und sie dann auch nutzt, empfehle ich dir ein Werkzeug wie Fathom – diese kanadische Alternative zu Google Analytics ist so sehr auf einen sicheren Umgang mit Daten getrimmt, dass du dafür (laut dem Anbieter selber) nicht mal einen Cookie-Banner benötigst. Fathom lässt sich sehr einfach mit einer Zeile Javascript in deine Squarespace-Seite einbetten. Falls du bei dieser Umsetzung Unterstützung brauchst, helfe ich dir gerne in den Sprechstunden für Kund:innen des Selbstlernkurses oder im Co-Working damit.
Die Einwilligung in deinen Newsletter bleibt ein super relevanter Punkt. Gleich bleibt, dass du das Double-Opt-In Verfahren verwenden musst (also das mit der Bestätigungsmail „Ja, ich möchte diesen Newsletter wirklich“ erhalten), und dass jeder einzelne Newsletter von dir deine Kontaktdaten und einen Abmeldelink enthalten müssen.
Neu ist, dass du noch genauer beschreiben musst, wozu deine Leser:innen ihre Einwilligung geben: Was für einen Newsletter verschickst du, mit was für Inhalten, und wie oft (etwa)? Wie werden dabei die Daten deiner Nutzer:innen gespeichert und verarbeitet?
Außerdem darfst du die Einwilligung zu deinem Newsletter nicht an etwas anderes koppeln, zum Beispiel einen Kauf. Das bedeutet, du darfst keine vorangekreuzten Häkchen „Ja, ich will den Newsletter“ oder „Ja, ich habe alles gelesen“ in deinen Formularen verwenden – die Einwilligung muss aktiv selber vom Nutzer ausgehen.
(Und nein: Du brauchst nicht und solltest nicht alle deine Abonnenten nochmal erneut um Einwilligung bitten!)
Zu diesem Thema hat Stephan Hansen-Oest eine tolle Ressource erstellt: Hier geht es zu seiner Podcast-Folge „Hilfe, wie mache ich meine E-Mail-Newsletter-Liste DSGVO-compliant?“. Auch Thomas Schwenke hat dazu eine super Übersicht erstellt: „MailChimp, Newsletter und die DSGVO – Anleitung für rechtssicheres E-Mail-Marketing“.
Ich zeige hier die Beispiele für MailChimp, da das eines der bekanntesten und am weitesten verbreitesten Newsletter-Systeme ist, und gleichzeitig ist MailChimp als US-Anbieter etwas herausfordernder, was den Datenschutz angeht.
Details zu MailChimp und der DSGVO findest du in diesem Artikel von MailChimp.
Falls du ConvertKit zum Versenden deiner Newsletter nutzt, kannst du hier den Vertrag über die Datenverarbeitung mit ConvertKit abschließen. Und in diesem Artikel findest du weitere Hinweise zu den neuen DSGVO-Features von ConvertKit!
Bevor du einen us-amerikanischen Dienstleister wie MailChimp oder ConvertKit überhaupt nutzt, solltest du ein paar Punkte beachten. Details dazu findest du in dieser Übersicht von mir.
In der DSGVO wird, wie eben schon angedeutet, von einem „Kopplungsverbot“ gesprochen. Das bedeutet, dass man nur die Daten sammeln darf, die der Erfüllung des eigentlichen Zwecks dienen, und niemanden dazu zwingen darf, zusätzliche Daten anzugeben. Offen bleibt, wie die Kombination mit einem „Freebie“ (also einem geschenkten PDF oder ähnlichem) für die Anmeldung zum Newsletter zukünftig ausgelegt wird – ob das bereits Zwang ist oder nicht. Streng genommen vermutlich ja, denn du könntest das E-Book ja auch einfach so zum Download anbieten.
Was hier helfen könnte, ist (wie meistens) mehr Transparenz – also ganz deutlich anzukündigen, dass es hier um eine Newsletter-Anmeldung geht, und dass deine Leser:innen als „Dankeschön“ dafür das besagte PDF erhalten. Oder du gehst weg vom PDF und bietest stattdessen einen kleinen E-Mail-Kurs an, denn dann ist die Abfrage der E-Mail-Adresse ja ein zwingend benötigter Bestandteil. Auch hier wirst du allerdings deutlich darauf hinweisen müssen, wofür du die E-Mail-Adresse außerdem nutzen möchtest, und dass der Erhalt eines Newsletter eine weitere (entkoppelte) Möglichkeit ist, die deine Leser:innen aktiv und zusätzlich bestätigen können.
Wie das allerdings wirklich in der Realität gehandhabt wird, werden wir erst noch sehen. Es geht hier, wie so oft bei den datenrechtlichen Themen, um eine Abwägung zwischen dem, was wir als Unternehmer:innen anbieten und was wir im Gegenzug von unseren Kund:innen haben wollen. Das muss in einem ausgewogenen Verhältnis stehen – und wie dieses „ausgewogen“ in Zukunft rechtlich im Detail definiert wird, können wir noch nicht wissen.
Mein Tipp: Je wertvoller und sinnvoller du deinen Newsletter schreibst und bewirbst, umso weniger Schwierigkeiten wirst du vermutlich an dieser Stelle haben. Wenn deine Leser:innen klar verstehen, was sie von deinen Mails haben, dann brauchst du auch keine Grauzonen-Taktiken, um sie davon zu überzeugen, dass sie dir deine E-Mail-Adresse geben sollen.
Das erfordert von uns als Online-Unternehmer:innen ein klein bisschen umdenken, weil viele von uns sich inzwischen schon dermaßen an „Freebies“ gewöhnt haben, und weil wir unseren Erfolg gelegentlich an der Größe unserer E-Mail-Liste messen. Wenn wir uns von beidem lösen, und uns darum kümmern, sinnvolle, wertige Inhalte für unsere Leser:innen zu erstellen, und unsere E-Mail-Liste an ihrer „Gesundheit“ messen (Wie viele Menschen öffnen meine Mails, leiten sie weiter, antworten mir darauf?), müssten wir auch in neuen DSGVO-Zeiten gut klarkommen.
Auch zu diesem Thema hat Stephan Hansen-Oest übrigens eine wertvolle Ressource erstellt: Hier geht es zu seiner Podcast-Folge „Ist ein Lead-Magnet nach der DSGVO unzulässig?“.
Die berüchtigten Cookies bleiben auch ein eigenes und eigens verwirrendes Thema.
Die DSGVO entzieht zwar die Rechtsgrundlage, auf der heute viele Cookies eingesetzt werden, bietet aber eine Alternative in Form einer „Zulässigkeit bei positiver Interessenabwägung“. Das bedeutet, dass du jedes Cookie, das auf deiner Seite eingesetzt wird, einzeln betrachten und sorgfältig prüfen musst, ob nach DSGVO-Grundlagen sein Einsatz zulässig ist.
In diesem Artikel von mir findest du Details zu dem Thema Umgang mit Cookies bei Squarespace.
Und noch ein kleines Sonderthema: Falls du auf deiner Website Videos von YouTube einsetzt, solltest du beim Einbetten auf der YouTube Seite das Häkchen setzen bei „Erweiterten Datenschutzmodus aktivieren“ – damit werden die YouTube Cookies erst bei der Wiedergabe des Videos gesetzt und nicht schon „vorsorglich“ vorher. (Und darauf musst du dann natürlich auch wiederum in der Datenschutzerklärung hinweisen!)
Falls diese Beschreibungen und Ansätze hier dir noch nicht ausreichen und du dich gerne weiter informieren möchtest, habe ich dir hier – ergänzend zu den oben bereits verlinkten Artikeln – eine Liste von sinnvollen Ressourcen zusammengestellt:
Uff! An die Arbeit …
Vielleicht motiviert dich der Gedanke, dass all das hier auch Vertrauens-Arbeit ist, und du hiermit für deine Leser:innen klare, transparente, sinnvolle Vorgänge und Räume schaffst, in denen sie sich ohne unerwartete Überraschungen auf dich und deine Arbeit einlassen können.
Melde dich hier an für weitere Artikel, Briefe und besondere Angebote im (etwa) 2-Wochen-Takt:
Ich nutze für den Versand dieser Mails den Anbieter ConvertKit, der deine Daten auf sicheren Servern in den USA verarbeitet. Weitere Details dazu, sowie Hinweise zu der von der Einwilligung mitumfassten Erfolgsmessung, der Protokollierung der Anmeldung und deinen Widerrufsrechten kannst du hier in meinen Datenschutz-Hinweisen lesen. Abmelden kannst du dich natürlich jederzeit mit einem Klick.