Netzum Sorglos

DSGVO für Website-Betreiber

Im Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung in Kraft (EU-DSGVO). Diese vereinheitlicht den Datenschutz europaweit. Das Thema Datenschutz betrifft Ihr gesamtes Unternehmen mit seinen Abläufen. Aber auch für Sie als Website-Betreiber gehen damit einige Änderungen einher. Was die Website betrifft, möchten wir Ihnen einen kurzen Überblick geben, welche Punkte Sie prüfen sollten.

Außen vor bleiben hierbei Dokumentationspflichten zu Abläufen und Verfahren in Ihrem Unternehmen – auch wenn Sie mit der Website zu tun haben (wie die Dokumentation eines Newsletter-Handlings).

Es handelt sich dabei um eigene Recherchen nach bestem Wissen und Gewissen. Wir können keine tatsächliche Rechtsberatung anbieten. Dafür wenden Sie sich bitte an einen entsprechenden Juristen oder Datenschutzberater.

Datenschutz-Grundverordnung (DSGVO)

Mit Einführung dieses Gesetzes sind Bußgelder bei Verstößen in empfindlichen Höhen möglich. Der gesetzlich festgelegte Strafrahmen soll "wirksam, verhältnismäßig und abschreckend" sein.

Wir raten Ihnen, Ihre Website auf die folgenden Punkte hin zu überprüfen – denn wie die Vergangenheit zeigt, führen Gesetzesänderungen häufig zu entsprechenden Abmahnwellen.

Datenschutzerklärung

Auf jeder Website ist eine Datenschutzerklärung Pflicht. Sie sollte als einzelne Seite angelegt werden (nicht nur ein Absatz im Impressum). Die Erklärung muss Angaben enthalten, wie und warum welche persönlichen Daten durch die Nutzung der Website erhoben und/oder verarbeitet werden.

Im Wesentlichen sollte sie folgende Angaben enthalten:

  • Kontaktdaten (ggf. die des Datenschutzbeauftragten)
  • Rechtsgrundlage für die Erhebung und Verarbeitung der Daten
  • Informationen, welche Daten erhoben werden. Übliche Punkte hierbei sind:
    • Protokolle und Logs des Webservers
    • Verwendung einer Webstatistik
    • Einsatz von Social-Plugins
    • Einsatz von Drittanbieterlösungen (wie Kartenanzeigen oder Videos)
    • Verwendung von Cookies
    • Newsletter
  • (Jeweils) mit Umfang, Rechtsgrundlage, Zweck, Dauer sowie Widerspruchsmöglichkeiten
  • Betroffenenrechte

Die Anforderungen an die Datenschutzerklärungen werden damit viel umfangreicher als bisher.

Es lassen sich momentan nur wenige Mustervorlagen finden – die Anpassungen der Generatoren sind im Laufe des Jahres zu erwarten.

Kontaktformulare

Durch ein Kontaktformular werden persönliche Daten übertragen.

Um eine "angemessene Sicherheit der personenbezogenen Daten zu gewährleisten", sollte die Eingabe der Daten verschlüsselt erfolgen. Wenn Sie Ihre Seite noch nicht auf https umgestellt haben, raten wir Ihnen dies nun vorzunehmen. Dafür benötigen Sie ein sogenanntes SSL-Zertifikat, das einige Hoster sogar kostenlos anbieten.

Es ist rechtlich nicht abschließend geklärt, aber wenn Sie alles so sicher wie möglich gestalten wollen, müssten Sie vor dem Absenden des Formulars einen Hinweis auf die Datenschutzhinweise geben und mit einer Checkbox die Einwilligung vor dem Absenden einholen.

Zudem sollte gekennzeichnet sein, welche Angaben Pflicht und welche freiwillig sind.

Social-Media-Plugins

Der Einsatz von Social-Media-Plugins war immer schon kritisch zu sehen, was den Datenschutz angeht. Denn durch das Einbinden – zum Beispiel eines Facebook-Like-Buttons – werden sofort beim Besuch der Website Nutzerdaten an die entsprechende Plattform übertragen.

Um den Datenschutz zu wahren, sollten solche Plugins auf eine Art eingebunden werden, die das verhindert. Konkret gibt es zum Beispiel die Shariff-Lösung der Computerzeitschrift c't. Durch diese Lösung klickt der Besucher einmal, um die Plugins zu aktivieren und ein weiteres mal um die Funktion zu nutzen ("Liken", "Sharen",...). Man spricht daher auch von einer Zwei-Klick-Lösung. Für Content-Management-Systeme stehen teilweise entsprechende Plugins zur Verfügung.

Wenn Sie gar kein Risiko eingehen wollen, deaktivieren Sie Social-Media-Plugins auf Ihrer Website.

Eine rechtskonforme Lösung für die Facebook-Wall (die Anzeige Ihrer letzten Meldungen auf der Facebook-Seite) ist uns derzeit nicht bekannt.

Ein reiner Link auf die Plattformen ist davon nicht betroffen. Wenn Sie also nur auf Ihre Social-Media-Profile linken besteht kein Handlungsbedarf!

YouTube-Videos

Auch bei der Einbindung von YouTube-Videos sollte idealerweise eine Art von "Zwei-Klick-Lösung" eingesetzt werden, da bei einer einfachen Einbindung Daten bereits beim Besuch der Seite an YouTube (und damit an Google) übertragen werden.

Google Analytics

Die Nutzung von Google Analytics wird auch unter der neuen Regelung gestattet sein, zu den gleichen Bedingungen wie zuvor:

  • Die gespeicherte IP sollte anonymisiert werden
  • Es muss ein Hinweis auf die Verwendung im Datenschutzhinweis geben
  • Dem Benutzer muss eine "Opt-Out"-Option geboten werden (die Möglichkeit, nicht getrackt zu werden)
  • Es muss eine Auftragsdatenvereinbarung mit Google geschlossen werden

Google ist bereits nach dem EU-US Privacy Shield-Verfahren zertifiziert.

Dieses Vorgehen gilt im Wesentlichen für alle Tracking-Tools.

Logfiles / Webstatistiken

Bei vielen Webhosting-Tarifen ist eine Webstatistik inklusive. Diese wird in der Regel aus Logfiles generiert. Da hierbei unter anderem die IP-Adresse gespeichert wird, handelt es sich um persönliche Daten im Sinne der DSGVO. Weitere Daten sind üblicherweise Betriebssystem, Browser, Uhrzeit, Referrer und dergleichen.

Auch wenn keine Webstatistik in Ihrem Tarif enthalten ist, wird der Hoster Logfiles schreiben. Ein Textabschnitt zu diesen Daten sollte daher in jeder Datenschutzerklärung aufgenommen werden.

Sonstige Funktionen

Gibt es auf Ihrer Website Dienste von Drittanbietern, die personenbezogene Daten weitergeben? Dann muss auch hierfür ein Hinweis in der Datenschutzerklärung aufgenommen werden.

Dies könnten sein: Bezahldienste, Einbinden von Kartenmaterial, Nutzen von Analyse-Diensten, Einbinden von Service-Angeboten anderer Seiten und dergleichen.

Newsletter

Wenn Sie eine Newsletter-Lösung mit Tracking verwenden, müssen Sie hierauf besonders hinweisen.

Grundsätzlich gilt bei Newslettern weiterhin, dass Kunden dem Erhalt des Newsletters zustimmen müssen. Alte Einwilligungen haben weiterhin Bestand.

Auftragsverarbeitung

Durch die Nutzung von Webspace bei einem Hoster werden personenbezogene Daten Ihrer Kunden auf Servern eines anderen Unternehmens gespeichert. Dafür sollte eine Vereinbarung in Form einer Auftragsverarbeitung abgeschlossen sein (Art 28 ff. DSGVO). Das gleiche gilt für Newsletteranbieter oder Tools für Webstatistiken. Ein besonderer Hinweis ist zu geben, wenn die Daten hierbei die EU verlassen.

Ausblick E-Privacy-Verordnung

Im Jahr 2019 wird die neue "E-Privacy-Verordnung" erwartet. Diese wird den Umgang mit Cookies beinhalten. Bei dem Thema Cookie-Hinweise herrscht bisher eine gewissen Unsicherheit – oder auch Unwissenheit – wie mit Cookies zu verfahren ist.

In aller Kürze: Es handelt sich dabei um kleine Textschnippsel, die die Website im Browser hinterlegt. Es gibt verschiedene Arten dieser Cookies, die auch zu verschiedenen Zwecken genutzt werden.

Fragliche Punkte bei dem Thema sind zum Beispiel: Muss der Besucher dem Setzen eines Cookies zustimmen? Muss er widersprechen können? In jedem Fall ist es auch heute schon sinnvoll, im Rahmen der Datenschutzerklärung zumindest einen Hinweis darauf zugeben, ob Ihre Website Cookies setzt.

Fragen? Dann melden Sie sich gerne!

Veröffentlicht: Tags: WebdesignOnline-MarketingJoomla! Permalink