Seite auswählen

In den nächsten Wochen kommen auf Unternehmen weitreichende Neuerungen zu: Denn ab dem 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, die in vielen Teilen das bekannte Bundesdatenschutzgesetz (BDSG) ablösen wird. Die DSGVO regelt den Umgang von Unternehmen mit personenbezogenen Daten nun europaweit einheitlich.

Die Grundverordnung betrifft alle, die personenbezogene Daten wie Name, Telefonnummer, E-Mail-Adresse, Bankverbindung etc. Ihrer Kunden erfassen. Sie gilt für jedes Unternehmen – gleich, ob es von einer Einzelperson oder in einer Gesellschaftsform betrieben wird. Ziel ist es, den Umgang mit personenbezogenen Daten transparent zu machen und damit die Rechte von Verbrauchern zu stärken.

Was bedeutet die DSGVO für Website-Betreiber?

Die umfangreiche Neuregelungen, die die DSGVO mit sich bringt, betreffen über die Gestaltung von internen Abläufe hinweg auch jedes Unternehmen, das im Internet aktiv ist – vom Einzelunternehmer, der sich werblich darstellt, bis zum Shop-Anbieter mit komplexen Bestell- bzw. Bezahlabläufen.

Die Grundverordnung betrifft dabei so vielfältige Themen wie die Erstellung einer DSGVO-konformen Datenschutzerklärung, aber auch die abgesicherte Einbindung von Formularen, Social Media-Plugins und Tools zum Nutzer-Tracking wie z.B. Google Analytics. Darüber hinaus muss auch die datenschutzkonforme Zusammenarbeit mit Drittanbietern, wie z.B. dem Webhosting-Anbieter, geregelt werden.

Zu beachten ist, dass die Verordnung bei Verstößen die Möglichkeit zur Verhängung von empfindlichen Bußgeldern eröffnet. Zu erwarten ist, dass sich dadurch für spezialisierte Kanzleien ein neues Geschäftsfeld eröffnet. Das betrifft insbesondere die Datenschutzerklärung auf der Website, die auf einfache Weise von automatisierten Skripten geprüft werden kann, um nach unzulässigen Formulierungen zu suchen und Abmahnlisten zu generieren.

Es lohnt sich daher, sich rechtzeitig auf diese Änderungen vorzubereiten: Sie positionieren sich als Unternehmen, das den Umgang mit den personenbezogenen Daten Ihrer Nutzer ernst nimmt – und vermeiden Auseinandersetzungen mit den Datenschutzbehörden.

Im Folgenden möchte ich Ihnen einen Überblick geben, was die DSGVO für Sie als Website-Betreiber für Anforderungen stellt.

Hinweis

Ich habe mich in den letzten Wochen intensiv in die Thematik eingelesen, an Webinaren teilgenommen, ausführlich mit Kollegen diskutiert und technische Details mit Experten verifiziert. Bitte beachten Sie jedoch, dass ich als Grafikdesignerin keine Rechtsberatung geben kann und darf. Daher kann ich auch keine Haftung für die Richtigkeit und/oder Vollständigkeit der hier behandelten Themen übernehmen.

Datenschutzerklärung, rechtliche Hinweise und Impressum

Einer der wichtigsten Punkte für eine DSGVO-konforme Website ist die grundlegende Überarbeitung von Datenschutzerklärung, rechtlichen Hinweisen und Impressum. Essentiell ist, dass alle drei Seiten über separate Links abrufbar und von jeder Unterseite Ihrer Website aus mit einem Klick zugänglich sein müssen.

Nachtrag 23.5.2018: Die rechtlichen Hinweise können auch im Impressum aufgeführt werden, benötigen also keinen separaten Link.

Der umfangreichste Punkt ist sicherlich die Erstellung der DSGVO-konformen Datenschutzerklärung, die je nach technischer Installation und Funktionalität der Website Auskunft über die relevanten Vorgänge der Erhebung, Speicherung und Nutzung personenbezogener Daten gibt. Dies muss in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erfolgen. Genannt werden muss darüberhinaus, warum und wie lange Daten gespeichert werden und ob diese für weitere Zwecke genutzt werden sollen. Auch die Rechtsgrundlage der jeweiligen Datenerhebung/Verarbeitung (gesetzliche Regelung oder Einwilligung) muss konkret benannt werden.

Eine Datenschutzerklärung nach DSGVO muss mindestens folgende Informationen berücksichtigen:

  • allgemeine Hinweise und Pflichtinformationen über grundlegende datenschutzrechtliche Vorgaben und die verantwortliche Stelle
  • Datenschutzbeauftragter, soweit bestellt
  • Datenerfassung auf der Webseite (z.B. über Cookies, Server-Log-Files, Kontaktformular)
  • Social Media-Plugins und -Tools (z.B. Facebook)
  • Analyse-Tools und Werbung (z.B. Google Analytics, Google AdWords)
  • Versand eines Newsletters und Informationen zum Anbieter
  • Sonstige Plugins und Tools, die auf der Website eingebunden sind (z.B. YouTube, Google Web Fonts, Google Maps)
  • Online Marketing- und Partnerprogramme (z.B. Amazon-Partnerprogramm)
  • Zahlungsanbieter, die auf der Website bzw. im Webshop integriert sind

 

Tipp

Um zu verhindern, dass die Datenschutzerklärung, rechtliche Hinweise und Impressum von Skripten zum Zweck der Auffindung von abmahnbaren Inhalten erfasst werden, können diese Seiten von der Indexierung ausgeschlossen werden.

Einbindung eines Kontaktformulars

Voraussetzung für den Versand von personenbezogenen Daten über das Internet ist immer eine sicheres Datenübertragungsprotokoll, was über die Einbindung eines SSL-Zertifikats für die Website sichergestellt werden kann. Diesen Standard kann man anhand der Webadresse (https:// statt http://) und dem kleinen grünen Schloss, das man in den meisten Browsern neben der Adresszeile erkennen. Die Einbindung eines SSL-Zertifikats ist auch im Hinblick auf die Suchmaschinenoptimierung (SEO) empfehlenswert.

Wenn Sie auf Ihrer Website ein Kontaktformular anbieten, beachten Sie bitte, dass der Nutzer vor dem Absenden des Formulars über eine Checkbox aktiv ein Häkchen setzen muss, dass er die (verlinkten) Datenschutzbedingungen akzeptiert.

Newsletter-Abonnement

Beim Formular zur Anmeldung für einen Newsletter gelten erstmal die gleichen Punkte wie bei der Einbindung eines Kontaktformulars.

Die gesetzliche Vorgabe zur Newsletter-Abonnement ist darüberhinaus das sogenannte Double-Opt-in-Verfahren: Der Benutzer bekommt nach der Anmeldung auf der Website nochmal per E-Mail einen Bestätigungslink zugeschickt. Erst nachdem er seine Registrierung über diesen Bestätigungslink abgeschlossen hat, wird er in die Verteilerliste aufgenommen.

Wichtig ist, dass der Newsletter-Versand eine ausdrückliche Einwilligung des Empfängers voraussetzt – im Zweifel muss der Anbieter des Newsletters in der Lage sein, diese nachzuweisen (was durch die Bestätigungs-E-Mail aus dem Double-Optin-Verfahren möglich ist).

Beachten Sie bitte auch, dass die Einwilligung immer freiwillig erfolgen muss: d.h. die Herausgabe der E-Mail-Adresse für den Newsletter-Verand darf nicht im Tausch gegen den Download von Inhalten wie ePapers, Checklisten etc. stattfinden (Koppelungsverbot).

Trägt sich ein Nutzer aus dem Verteiler aus, müssen dessen Daten tatsächlich gelöscht werden – eine Deaktivierung ist nicht ausreichend.

Nutzung von Social Media-Plugins

Das Einbinden von Social Media-Plugins auf Websites ist momentan nicht ohne rechtliches Risiko möglich, da hier unter Umständen ungefragt Nutzerdaten an den Anbieter des Dienstes übertragen werden. Nach Ansicht einiger Gerichte und Datenschutzbehörden genügt dafür ein Hinweis in der Datenschutzerklärung nicht. Empfohlen wird hier eine ausdrückliche Einwilligung der Nutzer.

Tipp

Lediglich durch die Einbindung eines Plugins wie Shariff kann die Übertragung personenbezogener Daten umgangen werden.

Dienste von Drittanbietern

Als Website-Betreiber müssen Sie sicherstellen, dass alle Drittanbieter, mit denen Sie zusammenarbeiten, selbst DSGVO-konform mit den personenbezogenen Daten Ihrer Nutzer umgehen. Es empfiehlt sich daher, mit externen Anbietern, die Zugriff auf Ihre Kundendaten haben, einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) abzuschließen.

Unter diese Regelung können z.B. folgende Dienstleister fallen:

  • Ihr Webhosting-Anbieter
  • Anbieter für Newsletter-Versand
  • Anbieter von Plugins, die Ihr Content Management System erweitern
  • Tracking-Dienste wie Google Analytics
  • Cloud-Dienste, deren Server möglicherweise für die Sicherung von Backups Ihrer Website genutzt werden
  • externe Dienstleister wie z.B. Ihre Webagentur

Informationen über geschlossene AV-Verträge sollten übrigens auch an den entsprechenden Stellen Eingang in die Datenschutzerklärung Ihrer Website finden.

Cookies und Tracking

Cookies sind dazu da, Nutzer wiederzuerkennen und ihnen das Surfen auf einer Website zu erleichtern: Sie werden auf dem Rechner des Nutzers gespeichert und enthalten z.B. die Zugangsdaten für besuchte Websites oder Informationen über getätigte Einkäufe. Cookies können aber auch das Nutzerverhalten nachverfolgen und somit Nutzerdaten nach außen weitergeben, wie z.B. beim Einsatz bei Google Analytics.

Im Rahmen der DSGVO gibt es vorerst keine Änderungen im Hinblick auf die Verwendung von Cookies: Diese wird voraussichtlich erst 2019 in der ePrivacy-Verordnung (ePV) neu geregelt.

Aktuell nicht ganz eindeutig ist weiterhin, ob beim ersten Aufruf einer Website ein sogenannter Cookie-Hinweis in Form eines kleinen Popup-Fensters erscheinen muss. Da es heute kaum noch Websites gibt, die keine Cookies verwenden, wird die Anzeige des Popup-Fensters von Nutzern oft eher als nervig wahrgenommen.

In Bezug auf den Cookie-Hinweis können Sie die folgenden Möglichkeiten abwägen:

  • Die rechtlich sichere Variante ist, sich vom Nutzer in einem Popup-Fenster sein Einverständnis zur Verwendung von Cookies bestätigen zu lassen.
  • Alternativ können Sie den Nutzer in einem Popup-Fenster lediglich über die Verwendung von Cookies informieren, ohne dass der Nutzer aktiv einwilligen muss.
  • Werden keine Cookies verwendet, die Nutzerdaten weitergeben, könnten Sie vorerst auch abwarten und es bei den entsprechenden Hinweisen in der Datenschutzerklärung belassen. Hier empfiehlt es sich natürlich, sich in den nächsten Monaten über den aktuellen Stand der Rechtsprechung zu informieren.

Ausführliche Informationen zum Cookie-Hinweis finden Sie bei eRecht24.

Neben der Verwendung von Cookies sollte auch die Nutzung von Tracking-Diensten überprüft werden.

Die Nutzung von Google Analytics ist nach der DSGVO beispielweise nur erlaubt, wenn folgende Voraussetzungen erfüllt sind:

  • Abschluss eines AV-Vertrags mit Google
  • Aktivierung der IP-Anonymisierung
  • Opt-out-Möglichkeit für Desktop-Version und mobile Website

 

Nach diesem Überblick hoffe ich, dass das Thema der DSGVO-konformen Website für Sie transparenter geworden ist und Ihre Website bis zum 25. Mai den Anforderungen der neuen DSGVO gerecht wird. Die Aufgabenbereiche sind in der Tat vielfältig und es bleiben nur wenige Wochen Zeit für die Umsetzung.

Noch gibt es in vielen Punkten diverse Meinungen, wie die DSGVO im Detail umzusetzen ist. Manches befindet sich aktuell in der Grauzone und es bleibt abzuwarten, wie Gerichte die neue DSGVO in den folgenden Monaten auslegen werden.

Mein Service

Gerne unterstütze ich meine Bestandskunden bei der Umsetzung von DSGVO-Maßnahmen auf ihrer Website. Basis für Datenschutzerklärung, rechtliche Hinweise und Impressum ist meine Premium-Mitgliedschaft beim Anbieter eRecht24, der über einen ausführlichen Datenschutzgenerator Mustertexte zur Verfügung stellt.