Datenschutzerklärung / DSGVO

Datenschutzerklärung auf Ihrer Website

Wer eine Website betreibt, die nicht rein privater Natur ist, muss bestimmte Datenschutzbestimmungen beachten und eine passende Datenschutzerklärung anbieten. Wir haben auf dieser Seite Hinweise und Links für Sie bereit gestellt, die Ihnen bei den nötigen Arbeiten weiter helfen könnten.

Unsere Empfehlungen sind unverbindlich und stellen keine Rechtsberatung dar. Wenn Sie ihnen folgen, tun Sie das auf eigenes Risiko. Wir raten Ihnen dringend, Ihre Datenschutzerklärung und -Verfahren mit Ihrer oder Ihrem internen oder externen Datenschutzbeauftragten abzustimmen und sich im Zweifelsfall juristischen Rat zu holen.

Update-Hinweise

18.5.2018

  • Link zur Muster-Datenschutzerklärung von Prof. Hoeren
  • Hinweis zu neuer Wordpress-Version 4.9.6
  • Hinweise zum Inhalt der bei uns gespeicherten Protokolldaten

Was ist die DSGVO und was ist ab 25.5.2018 neu?

Für eine schnelle Einführung in die Datenschutz-Grundverordnung (DSGVO) und die wesentlichen Änderungen für Firmen, Webmaster/innen und Verbraucherinnen und Verbraucher zum 25. Mai 2018 empfehlen wir das kostenlos verfügbare Heft "Kompac't: Fit für die DSGVO" aus dem Heise Verlag. Sie können es hier als PDF-Datei herunterladen:

Kompac't: Fit für die DSGVO (Heise Verlag)

Wer sich zum ersten Mal mit der DSGVO beschäftigt und als Einzelunternehmer/in oder KMU unterwegs ist, findet in diesem Artikel einen guten Fahrplan für die nötigen Schritte bis zum 25.5.2018 und darüber hinaus:

DSGVO: Ihr Fahrplan für den Endspurt (Monika Birkner)

Ihre Datenschutzerklärung

Ihre Datenschutzerklärung muss ab 25.5.2018 der Datenschutz-Grundverordnung (DSGVO) genügen. Wer bereits eine Erklärung nach dem bisherigen Bundesdatenschutzgesetz bereit hält, muss diese für die DSGVO anpassen.

Wir empfehlen Ihnen, dazu Mustererklärungen zu benutzen und dabei besonders darauf zu achten, ob Ihre Website neben den Standardfunktionen auch Angebote enthält, die für die Datenschutzerklärung wichtig sind. Dazu gehören z.B. Newsletter, Kontaktformulare, eine Statistik wie Piwik/Matomo oder Google Analytics und die Einbindung von Social Media Elementen oder anderen externen Anbietern wie Facebook, Twitter oder YouTube.

Achten Sie darauf, daß Ihre Datenschutzerklärung von jeder Ihrer Seiten aus erreichbar ist. Sie sollten sie also entweder im Hauptmenü oder im Fuß einbinden. Es genügt nicht mehr, sie unter "Impressum" oder "Kontakt" anzubieten.

Halb private Websites, Vereine und Kleinunternehmen

Für halb private Websites, Vereine und Kleinunternehmen gibt es ein unter vielen anderen ein kostenloses Angebot einer Berliner Kanzlei, das die wichtigsten Punkte abfragt und Ihnen eine passende Erklärung generiert:

Datenschutz-Generator.de (RA Dr. Schwenke)

Für die Websites größerer Betriebe oder Organisationen bietet der Anbieter kommerzielle Lizenzen an.

Unternehmen

Für Unternehmen gibt es viele weitere kommerzielle Angebote anderer Kanzleien. Eines davon wollen wir Ihnen vorstellen: avalex bietet zunächst einen Online-Fragebogen an, den Sie ausfüllen. Sie erhalten dann eine Liste der erkannten Dienste und eine Übersicht, welche datenschutzkonform eingesetzt werden können und welche nicht. Bis dahin ist die Nutzung kostenlos.

Automatisch rechtssichere Datenschutzerklärung (avalex) 

Sie können sich dann für das kostenpflichtige Angebot entscheiden, eine passende Datenschutzerklärung automatisch generieren und stets aktuell zu halten. Wenn Sie sich dafür entscheiden wird diese nach einigen weiteren Fragen automatisch generiert und über Plugins für Ihr Content Management Systeme (Wordpress, TYPO3, Drupal, Joomla und contao) eingebunden. Sie können dieses Angebot nur nutzen, wenn Sie eines der genannten CMS benutzen, für TYPO3 benötigen Sie mindestens Version 7.6 LTS. Varianten für TYPO3 6.2 und 4.5 sind nach Angaben der entwickelnden Agentur in Vorbereitung. Das Angebot von avalex enthält einen "Abmahnkostenschutz".

Muster-Erklärung

Ein Jura-Professor aus der Schweiz stellt auf seiner Website eine kommentierte Muster-Erklärung zum Download zur Verfügung:

Muster-Datenschutzerklärung für Betreiber von Webseiten (Prof. Thomas Hoeren)

Informationen zu den Löschfristen von IP-Adressen bei uns finden Sie weiter unten auf dieser Seite.

Hinweise zu TYPO3

Weitere nützliche Hinweise zur DSGVO und insbesondere zu einigen Funktionen und Tabellen im CMS TYPO3 können Sie beispielsweise auf der Site des Hostinganbieters jweiland lesen. Die Informationen gelten analog auch für das Hosting bei uns.

Informationen zur DSGVO (jweiland)

Für TYPO3 ab Version 8.7 gibt es eine kommerzielle Extension, die das Speichern von IP-Adressen in Powermail, bei Logins oder anderen Vorgängen verhindert bzw. diese anonymisiert:

georgringer/gdpr (GitHub)

Auch wir können die nötigen Anpassungen für Sie machen, jedoch geht das in der Regel über unseren Inklusiv-Support hinaus und wir werden unsere Arbeit nach Aufwand abrechnen.

Hinweise zu Wordpress

Auch für Wordpress gibt es eine Reihe von Plugins, die personenbezogene Daten speichern oder gar mit externen Anbietern austauschen. Wir empfehlen allen Kundinnen und Kunden mit einer Website auf Wordpress-Basis, ihre Plugins daraufhin zu prüfen, ob sie DSGVO-konform sind. Hier sind einige nützliche Artikel dazu, teilweise mit sehr konkreten und praktischen Hinweisen:

140+ WordPress-Plugins im DSGVO-Check (Finn Hillebrandt)

DSGVO: Checkliste für Website und Blog (Kerstin Paar)

Die umfassende Wordpress Plugins DSGVO Liste (Jonas Tietgen)

Für eine DSGVO-konforme Kommentarfunktion empfehlen wir ein Update auf Wordpress 4.9.6 oder höher. Weitere Informationen dazu bietet dieser Artikel:

DSGVO: WordPress mit neuen Datenschutzfunktionen (heise online)

Formulare nur noch verschlüsselt, "Stand der Technik"

Formulare aller Art - auch einfache Kontakt- und Anmeldeformulare - müssen laut Telemediengesetz verschlüsselt angeboten werden. Bereits seit Anfang 2016 bieten wir kostenlose SSL-Zertifikate von Let´s Encrypt in allen Hostingpaketen an und können auch Ihres auf HTTPS umstellen.

Sie müssen dafür jedoch möglicherweise Anpassungen in Ihrer Website machen. Wenn Sie dafür Unterstützung benötigen, können Sie uns gern anfragen.

Das Telemediengesetz verpflichtet Betreiber von Websites übrigens auch, die genutzte Software auf dem "Stand der Technik" zu halten. Insbesondere wenn Sie veraltete Versionen eines Content Management Systems wie Wordpress, TYPO3 oder Drupal einsetzen empfehlen wir Ihnen dringend ein Update. Meist werden mit einem Update auf eine aktuelle Version auch Lösungen für Verschlüsselung und Datenschutz einfacher.

Weitere Hinweise dazu finden Sie unter anderem beim Bundesamt für Sicherheit in der Informationstechnik (BSI):

Fragen und Antworten zum Inkrafttreten des IT-Sicherheitsgesetzes (BSI)

Löschfristen bei minuskel screen partner

Bei minuskel screen partner gelten für Webhosting- und Mail-Pakete folgende Speicher- und Löschfristen für Protokolle, sofern mit Ihnen im Einzelfall nichts abweichendes vereinbart ist.

Webserver-Protokolle (access.log, error.log, PHP, MySQL) halten wir drei Monate vor. Nach sieben Tagen entfernen wir die IP-Adressen aus den gespeicherten Protokollen. 

Mailserver-Protokolle (IMAP, POP3, SMTP) halten wir vier Wochen vor. Dieser Zeitraum ist nicht individuell konfigurierbar.

Wenn Sie bei uns einen virtuellen oder dezidierten Server betreiben können wir die Speicher- und Löschfristen Ihren individuellen Bedürfnissen anpassen. Es liegt in Ihrer Verantwortung, die entsprechenden Vorgaben in der Vereinbarung zur Auftragsverarbeitung zu definieren und uns darauf zu verpflichten.

Welche Informationen speichern wir in den Webserver-Protokollen?

In den Webhosting-Paketen bei uns werden folgende Informationen gespeichert:

  • IP-Adresse
  • Datum und Uhrzeit der Anfrage
  • Zeitzonendifferenz zu GMT
  • Inhalt der Webseite
  • Zugriffsstatus (HTTP-Status)
  • übertragene Datenmenge
  • Website, von der Sie auf unsere Website gelangt sind
  • Webbrowser
  • Betriebssystem
  • Sprache und Version des Browsers

Auf Ihren Wunsch hin können wir IP-Adressen bereits direkt bei der Speicherung um zwei Bytes kürzen, so dass die Protokolle zu keinem Zeitpunkt personenbezogenen Daten enthalten. Zu den Löschfristen lesen Sie bitte den vorigen Abschnitt.

Wenn Sie einen virtuellen oder dezidierten Server bei uns gemietet haben können wir Art und Umfang der gespeicherten Informationen nach Ihren Bedürfnissen anpassen.

Bitte beachten Sie, dass Ihre Anwendungen (CMS, Blog u.a.) wahrscheinlich ebenfalls IP-Adressen oder andere personenbezogenen Daten speichern. Diese sollten Sie  entweder anonymisieren oder sie müssen nach einer definierten, sehr knappen Frist gelöscht werden (z.B. eine Woche). Dafür sind Sie als Beitreiber/in der Website selbst verantwortlich.

Vereinbarung zur Auftragsverarbeitung

Nach gängiger Rechtauffassung sind Betreiberinnen und Betreiber von Websites verpflichtet, mit dem jeweiligen Hostinganbieter einen "Vereinbarung zur Auftragsverarbeitung" abzuschliessen. Bitte schreiben Sie uns an datenschutz@minuskel.de und nennen Sie uns Ihre Kundennummer, dann senden wir Ihnen eine für Sie passende Vereinbarung zu.

Leider können wir diese Prozeß nicht elektronisch anbieten, da es dafür kein einfaches und gleichzeitifg rechtssicheres Verfahren gibt. So oder so ist die AV-Vereinbarung nur ein Angebot von uns an unsere Kundinnen und Kunden, ohne Anerkennung einer juristischen Verantwortlichkeit. Bitte prüfen Sie ggf. mit Hilfe Ihrer/Ihres Datenschutzbeauftragten, ob sie Ihren Ansprüchen genügt.

Teile der Vereinbarung müssen Sie selbst ausfüllen. Unter anderem müssen Sie angeben, welche Arten von personenbezogenen Daten auf Ihrer Website anfallen und welche Personengruppen davon betroffen sind. Sollten Sie darüber derzeit keinen Überblick haben empfehlen wir Ihnen, sich diesen bereits vorab zu verschaffen.

Wenn Sie eine eigene Vereinbarung zur Auftragsverarbeitung benutzen wollen senden Sie uns diese gern zu. Wir werden prüfen, ob ein Abschluss auf dieser Basis möglich ist. Sollten dazu Änderungen an unserer Technik oder an Arbeitsweise notwendig werden können daraus jedoch zusätzliche Kosten entstehen.

  • English
  • Dansk