DSGVO: Der 11-Punkte Plan für Webseiten

Partner & Söhne Webseiten

Image
© tbtb | depositphotos.com
Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Diese fordert neben dem weitreichenderen Schutz von personenbezogenen Daten auch diverse Anpassungen von Unternehmen und Webseitenbetreibern. Durch den Einsatz einer EU-weiten Gesetzesgrundlage sollen die Richtlinien zur Verarbeitung von Daten innerhalb des europäischen Raums vereinheitlicht und modernisiert werden.

Dieser Artikel richtet sich im Speziellen an Webseitenbetreiber, die ihre Homepage auf die kommende Verordnung vorbereiten möchten. Dabei ist es unerheblich, ob es sich um eine Unternehmensseite oder einfach nur einen Blog handelt. Die DSGVO betrifft alle.

Bei Nicht-Einhalten der Bestimmungen drohen Bußgelder in Höhe von 20 Mio. EUR oder 4% des Vorjahresumsatzes.

DSGVO

Datenschutzerklärung

Die Datenschutzerklärung ist schon lange ein notwendiger Bestandteil jeder Webseite, doch für Laien ist sie oftmals schwer verständlich. Häufig ist nicht klar erkennbar, wann welche Daten zu welchem Zweck und auf welcher Grundlage erhoben werden.

Wir empfehlen die Aktualisierung mithilfe eines DSGVO-Datenschutzgenerators vorzunehmen.

Folgende Punkte sollte die neue Datenschutzerklärung beinhalten:
  • Alle Prozesse bei den personenbezogene Daten verarbeitet werden
  • Eine Art Mini-Impressum mit Nennung des Webseitenbetreibers und ggf. Datenschutzbeauftragten
  • Die Rechtsgrundlage für die Verarbeitung der Daten
  • Fristen zur Speicherung der Daten
  • Wer erhält Zugang zu den Daten und wer verarbeitet sie. Ggf. Hinweis auf bestehenden AV-Vertrag
  • Recht auf Auskunft, Berichtigung und Löschung der Daten
  • Die Möglichkeit der Beschwerde bei der zuständigen Datenschutzbehörde

AV-Verträge

AV-Verträge oder auch Auftragsverarbeitungsverträge müssen mit allen Dienstleistern und Unternehmen geschlossen werden, die Sie mit der Verarbeitung von Daten beauftragen. Durch diesen Vertrag soll sichergestellt werden, dass sich der Datenverarbeiter ebenfalls an die EU-Richtlinien hält. Dies ist vor allem bei Unternehmen außerhalb der EU ein wichtiger Aspekt. Die sogenannte Privacy Shield zertifiziert US-amerikanische Firmen, die sich an das geltende Recht der EU halten. Auf deren Webseite können Sie kostenfrei prüfen, ob Ihre Partner dort ebenfalls gelistet werden.
Beispiel: Google Analytics

Nutzen Sie auf Ihrer Seite das Tracking-Tool Google Analytics, müssen Sie mit Google einen Zusatz zur Auftragdatenverarbeitung schließen. Dies war bisher über den von Google bereitgestellten AV-Vertrag möglich, welchen man ausgedruckt und unterschrieben an Google in Irland senden musste. Seit ein paar Wochen gibt es auch die Möglichkeit diesen Zusatz digital unter den Kontoeinstellungen zuzustimmen und dort Kontaktpersonen bzw. Datenschutzbeauftragte zu hinterlegen. Alternativ kann die Variante des postalischen Wegs weiterhin beibehalten werden.

Einwilligung bei Formularen

Im Internet finden sich unterschiedliche Meinungen zum Thema "Zustimmung zur Datenverarbeitung bei Formularen". Einig sind sich dabei alle, dass es einen Passus in der Datenschutzerklärung geben muss. Ob als rechtliche Grundlage ein „berechtigtes Interesse“ ausreichend ist, bleibt jedoch unklar. Um auf Nummer sicher zu gehen, empfehlen wir deshalb die Einwilligung vor der Verarbeitung von personenbezogenen Daten einzuholen. Das heißt, dass Sie bei sämtlichen Formulare, die Sie auf Ihrer Webseite verwenden, vor dem Absenden den Nutzer über den Verarbeitungsprozess informieren müssen. Ein Versenden des Formulars ohne vorherige Zustimmung sollte dabei nicht möglich sein.
Ein Beispiel wie das Ganze aussehen kann, finden Sie bei unserem Kontaktformular.
Ergänzung - 18. April 2018

Die Rechtsanwaltskanzlei »Bartsch Rechtsanwälte« aus Frankfurt hält die Verarbeitung der Daten im Rahmen eines Vertragsabschlusses oder vorvertraglichen Verhandlungen ebenfalls für eine Legitimation für die Verarbeitung von personenbezogenen Daten bei Kontaktformularen. Dabei beziehen sie sich auf Art. 6 Abs. 1(b) DSGVO:

»1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
[...] (b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; [...]«


Wer sich nicht sicher ist, kann sich zusätzlich die Einwilligung wie bereits beschrieben einholen.

Verarbeitungsverzeichnis

Jede Firma ist mit Inkrafttreten der DSGVO dazu verplichtet, sämtliche Verarbeitungsprozesse in einem Verarbeitungsverzeichnis aufzuführen und zu dokumentieren. Ausgenommen davon sind Unternehmen mit weniger als 250 Mitarbeitern, die nur unregelmäßig nichtsensible Daten verarbeiten. Hierbei ist zu bedenken, dass bereits Serverlogs, die beinahe jede Webseite automatisch speichert, den "sensiblen Daten" zugeordnet sind.

Ein Beispiel für die Aufstellung eines solchen Verzeichnisses stellt die Bitkom in dieser kostenfreien PDF bereit.

Privacy by Default / Privacy by Design

Diese beiden Grundsätze sind ebenfalls Teil der gesetzlichen Regelung.

Privacy by default bedeutet, dass vorab die höchste Stufe des Datenschutzes standardmäßig eingestellt sein muss. Dies bedeutet für Webseitenbetreiber, dass Sie darauf achten müssen, so wenig personenbezogene Daten wie möglich zu verarbeiten. Nach konkreter Zustimmung des Nutzers lässt sich die Datenschutzstufe weiter senken.

Privacy by design schreibt eine Berücksichtigung von Maßnahmen des Datenschutzes schon bei der Entwicklung und konzeptionellen Arbeit von neuen Produkten vor. Damit soll sichergestellt werden, dass das gesetzlich geforderte Datenschutzniveau schon vor der Veröffentlichung Ihrer Webseite erreicht wird und entsprechende Maßnahmen umgesetzt sind.

Weitere rechtliche Vorgaben

Neben der umfangreichen Anpassungen im Rahmen der neuen DSGVO gibt es einige rechtliche Voraussetzungen, die Webseiten bereits seit längerer Zeit erfüllen müssen – und leider häufig noch nicht tun. Die wichtigsten Maßnahmen und häufigsten Abmahngründe führen wir deshalb folgend auf:

SSL-Verschlüsselung

Dem Thema SSL-Verschlüsselung haben wir bereits im vergangenen Jahr einen eigenen Blogartikel gewidmet. Grundsätzlich ist die Nutzung von Formularen (Kontaktformularen, Newsletteranmeldungen, Bestellprozessen etc.) nur mit einer entsprechenden SSL-Verschlüsselung erlaubt. Diese verschlüsselt die Daten des Nutzers und macht es Hackern schwierig, diese während der Übertragung abzugreifen. Ganz nebenbei ermöglicht das HTTPS-Protokoll ausserdem eine bessere Bewertung von Suchmaschinen wie Google.
Image

Google Analytics

Das kostenlose Analysetool von Google ist auf Millionen von Webseiten im Einsatz – ermöglicht es doch eine einfache Dokumentation von Besuchern, Zielgruppen und deren Verhalten. Was viele deutsche Nutzer allerdings nicht wissen: Der von Google zur Verfügung gestellte Code ist ohne eine entsprechende Anpassung in Deutschland nicht erlaubt, da dem Nutzer keine Wahl über die Anonymisierung der IP gelassen wird. Die Funktion “AnonymizeIP” ermöglicht dies und ist für den weiteren rechtmäßigen Gebrauch erforderlich. Eine genaue Beschreibung der Funktion und deren Einbindung liefert Google hier. Desweiteren muss bei der Nutzung von Google Analytics auf den Einbau eines Opt-Out Cookies geachtet werden, der es dem Nutzer ermöglicht, das Tracking zu unterbinden. Dazu muss ein Code auf allen Seiten integriert werden, auf denen auch das Google Tool zum Einsatz kommt. Zur Deaktivierung ist in der Regel ein entsprechender Link innerhalb der Datenschutzerklärung ausreichend.

Newsletter Double-Opt-In

Noch immer ist das E-Mail Marketing eine der verbreitetsten und erfolgreichsten digitalen Marketing-Maßnahmen. Dabei ist zu beachten, dass sich Nutzer bzw. Abonnenten immer durch ein Double-Opt-In-Verfahren authentifizieren müssen. Das heißt: Der Abonnent muss mit Hilfe eines Links per Mail bestätigen, dass er sich für den Verteiler tatsächlich angemeldet hat. Ohne eine solche Zustimmung ist die Zusendung von Newslettern nicht erlaubt. Dieses Vorgehen soll verhindern, dass fremde E-Mail-Adressen in Listen eingetragen und deren Besitzer mit unliebsamen Mails (Spam) bombardiert werden.

Social Media Plugins

Bereits vor einigen Jahren musste das soziale Netzwerk Facebook zur Kenntnis nehmen, dass die eigenen sozialen Plugins wie Like-Button, Share-Button oder auch der Facebook-Pixel für Werbeanzeigen nicht dem deutschen Datenschutzrecht entsprechen. Das Problem dabei ist, dass die Plugins auch Daten von Nicht-Facebook-Nutzern sammeln und dem nicht widersprochen werden kann. Aus diesem Grund gibt es Plugins, die eine Zwei-Klick-Methode ermöglichen – so kann der Webseitenbetreiber klarstellen, dass der Nutzer der Funktion zustimmt.
Ohne die ausdrückliche Zustimmung des Webseitenbesuchers ist auch der Einsatz des Facebook Pixels nicht erlaubt – was allerdings viele Unternehmen nicht von seiner Nutzung abhält.

Impressumspflicht

Dieses Thema wurde bereits vor Jahren öffentlich wirksam geklärt und dennoch taucht immer wieder die Frage auf: “Muss ich ein Impressum auf meiner Seite einbinden und kann ich irgendwie auf die Angabe meiner Adresse verzichten?”. Die klare Antwort lautet “Nein”. In Deutschland besteht für alle Seiten, die nicht rein privat sind, eine Impressumspflicht. Allerdings ist uns bis heute keine Seite bekannt, die tatsächlich “rein privat” genutzt wird. Das Impressum muss neben einer vollständigen ladungsfähigen Anschrift auch eine Telefonnummer sowie eine E-Mail Adresse enthalten. Für Unternehmen kommen weitere Pflichtangaben hinzu.

Ergänzung - 06. September 2018: Google Webfonts

Um eine optimale Darstellung und Kompatibilität der Schriftarten (Fonts) auf der eigenen Webseite zu gewährleisten, werden diese oftmals von externen Anbietern wie dem kostenfreien »Google Fonts« bezogen. Derzeit kursieren allerdings die ersten Abmahnungen im Rahmen der DSGVO, da hierbei auch ohne Zustimmung der Nutzer Daten an diese Dienste übermittelt werden.
Eine einfache Lösung hierfür ist die lokale Einbindung der Schriftarten auf dem eigenen Webhosting. Google Fonts gibt hierzu die Möglichkeit, alle verfügbaren Fonts gratis herunterzuladen und selbst auf einem Server zu hosten.

Dieser Artikel des t3n-Magazins erklärt Ihnen wie es geht  

Ausblick

Neben der EU-DSGVO wartet bereits ein nächstes Schreckgespenst auf uns: Im Jahr 2019 tritt zusätzlich die “ePrivacy” Verordnung in Kraft und widmet sich vor allem der Nutzung von Cookies. Genaue Details hierzu sind noch nicht bekannt – durchgedrungen ist jedoch, dass zukünftig jedem einzelnen Cookie vor seiner Nutzung zugestimmt werden muss. Da Cookies in der Regel jedoch schon bereits beim ersten Aufruf einer Webseite ihre Arbeit aufnehmen, ist noch nicht ganz klar, wie sich dieses Problem praktisch angehen lässt. Einen detaillierten (und stetig aktualisierten) Artikel über die kommende “ePrivacy” Verordnung finden Sie hier.

Ergänzung - 06. September 2018

Wie der Verband der Selbstständigen und Gründer e.V. mitteilt liegt aktuell ein Gesetzesentwurf vor, welcher die Zahl die Abmahnung und vor allem den Missbrauch von diesen reduzieren soll. Das Handelsblatt geht von einer Eindämmung von etwa zu 50 Prozent der Abmahnung aus.
„Abmahnungen sollen im Interesse eines rechtsneutralen Wettbewerbs beziehungsweise der Durchsetzung von Verbraucherrecht erfolgen und nicht zur Generierung von Aufwendungsersatz und Vertragsstrafen genutzt werden.“

Fazit

Ob das Internet mit der neuen DSGVO tatsächlich sicherer für den Nutzer wird, ist fraglich. Tatsache ist jedoch, dass sich Webseitenbetreiber auf die kommende Verordnung vorbereiten müssen, um nicht in eine Abmahnfalle zu geraten. Sollten Sie nicht sicher sein, ob Sie abmahngefährdet sind oder Hilfe bei der Umsetzung von oben beschriebenen Maßnahmen benötigen, freuen wir uns auf Ihre Anfrage!
Als zertifizierte Datenschutzbeauftragte unterstützen wir Sie gerne.

Wichtiger rechtlicher Hinweis

Unser Artikel gibt Ihnen einen Überblick über die wichtigsten Punkte der DSGVO, ist allerdings kein Ersatz für eine Rechtsberatung. Für eine vollständige und korrekte Umsetzung aller datenschutzrechtlichen Anforderungen, konsultieren Sie bitte am besten zusätzlich einen Anwalt oder Ihren Datenschutzbeauftragten.

Wir verweisen an dieser Stelle gerne auf die Anwaltskanzlei eRecht24, von der wir als Partneragentur ebenfalls unsere Informationen beziehen.
Image
About the Author
Partner & Söhne

Partner & Söhne

Partner & Söhne ist eine junge Agentur mit Sitz in Mannheim. Die Schwerpunkte liegen auf Digitalem Marketing & Design sowie der Erstellung und Umsetzung von Social Media Strategien.