Die Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und beendet damit die zweijährige Übergangsfrist, in der Unternehmen Zeit hatten die DSGVO umzusetzen. Höchste Zeit auch Internetseiten zu überprüfen, ob sie den Voraussetzungen entsprechen oder ggf. angepasst werden müssen. Diese Punkte sollten auf der Homepage geprüft und datenschutzkonform umgesetzt werden:
Dreh- und Angelpunkt einer datenschutzkonformen Webseite nach der DSGVO (Datenschutzgrundverordnung) ist die Seite „Datenschutz“. Sie muss als separate Seite vorhanden sein, die Datenschutzerklärung darf sich nicht im Impressum verstecken. Am besten setzt man einen separaten Link neben den Impressum-Link, denn genau wie das Impressum muss die Seite „Datenschutz“ von der Startseite und von jeder Unterseite aus erreichbar sein.
Eine Datenschutzerklärung muss eine Vielzahl an grundsätzlichen Informationspflichten erfüllen. Als Grundlage eignen sich Muster-Datenschutzerklärungen, die kostenfrei oder kostenpflichtig im Internet erhältlich sind. Auch Datenschutz-Generatoren von Anwalts-Kanzleien können helfen – nicht alle sind aber für gewerbliche Internetseiten erlaubt.
In jedem Fall aber muss die Datenschutzerklärung auf die eigene Webseite zugeschnitten werden, denn alle auf der Webseite integrierten Dienste, die persönliche Daten (direkt oder indirekt) erheben, müssen in der Datenschutzerklärung beschrieben werden. Dazu gehören beispielsweise Webanalyse-Tools wie Google Analytics, Social Media Plugins, Kontaktformulare, Newsletter-Anmeldung, Google Maps usw. Bei der Datenschutzerklärung sollte nicht gespart werden – lieber rechtzeitig einen Fachanwalt für Internetrecht und/ oder einen Datenschutzbeauftragten einschalten.
Apropos Datenschutzbeauftragter: Ist ein Unternehmen verpflichtet einen Datenschutzbeauftragten zu benennen, muss dieser mit Namen und E-Mail-Adresse in der Datenschutzerklärung der Internetseite benannt werden. Ein Datenschutzbeauftragter muss dann benannt werden, wenn 10 oder mehr Mitarbeiter in einem Unternehmen regelmäßig personenbezogene Daten verarbeiten.
Bitte keine Datenschutzerklärungen von anderen Webseiten kopieren. Auch hier gelten selbstverständlich Urheberrechte, die verletzt werden können und es fehlt die Anpassung der Inhalte an die eigene Internetseite.
Ein alter Hut? Leider nein – im Agentur-Alltag begegnen uns häufig Webseiten, in denen das Impressum fehlerhaft, unvollständig oder veraltet ist. Folgende Daten müssen im Impressum einer Unternehmens-Internetseite vorhanden sein:
Falls die Internetseite journalistisch-redaktionell gestaltete Inhalte anbietet muss ein Verantwortlicher benannt werden:
Falls die Inhalte der Internetseite im Rahmen einer Tätigkeit angeboten werden, die einer behördlichen Zulassung bedarf muss die zuständige Aufsichtsbehörde benannt werden (Ärzte, Rechtsanwälte, etc.)
Diese aufgeführten Daten sind ausreichend gemäß § 5 TMG (Telemediengesetz). Nicht mehr und nicht weniger. Das Impressum ist auch ein guter Ort um z.B. Bildquellen zu benennen, falls erforderlich oder ein Hinweis auf Urheberrechte – verpflichtende Bestandteile eines Impressums sind das aber nicht.
Wie die Umsetzung eines Hinweises auf die Verwendung von Cookies aussehen soll, wirft auch im Rahmen der DSGVO noch Fragen auf. Die für 2019 geplante ePrivacy-Richtlinie wird der Einsatz von Cookies sicher noch einmal verschärft – hier heißt es, sich regelmäßig informieren und auf dem Laufenden bleiben.
Betreiber einer Website sollten sich von Ihren Besuchern das Einverständnis für die Verwendung von Cookies und die damit verbundene Speicherung von Daten einholen. Das geht am besten mit einem Cookie-Hinweis (siehe auch auf dieser Internetseite). Der Cookie-Hinweis muss beim Aufruf der ersten Seite sichtbar sein und durch einen Klick des Webseitenbesuchers bestätigt werden.
Ein Link sollte auf die Seite „Datenschutz“ verweisen, damit die Besucher sich über die Cookies vorab informieren können.
Cookies sind kleine Textdateien, die der Webbrowser auf dem System (z.B. Ihrem PC) speichert, um Daten über besuchte Webseiten festzuhalten. Sie werden eingesetzt um z.B. Besucher auf einer Webseite zu zählen, die Webseite benutzerfreundlicher zu gestalten (z.B. um Daten in Onlineshops beim Einkauf durch den Bestellprozess zu transportieren) oder um Sprachversionen zu steuern. Sie sind also nicht nur dazu da unser Nutzerverhalten auszuspionieren sondern verbessern auch die Usability einer Webseite.
Cookies können vom Webseiten-Besucher im Browser gesperrt oder gelöscht werden. Cookies ermöglichen keine Hackerangriffe, da sie vom Browser zwar ausgelesen werden aber nicht beschreibbar sind.
Wenn Sie einen Onlineshop betreiben oder ein Tool zum Zählen der Besucher (z.B. Google Analytics) nutzen, verwendet die Webseite garantiert Cookies. Aber auch integrierte Dienste Dritter (Google Maps, Youtube, Facebook, etc.) oder das Statistik-Tool Ihres Providers können Cookies setzen. Auch wenn Ihre Internetseite auf einem Content Management System (CMS) wie WordPress oder Typo3 basiert, werden Cookies gesetzt um z.B. Besucher von angemeldeten Administratoren unterscheiden zu können. Und damit ist es eher unwahrscheinlich, dass eine Website keine Cookies verwendet.
TIPP: Lassen Sie sich Cookie-Informationen einer Webseite in Ihrem Browser anzeigen. Z.B. in Firefox unter Extras > Seiteninformationen > Sicherheit.
Wir sind gespannt, was uns die DSGVO noch alles bringt, die Verwendung von Analyse-Tools bleibt jedoch erst mal zulässig, es müssen aber folgende Bedingungen erfüllt sein:
Gibt es die Möglichkeit sich für einen Newsletter anzumelden? Dann gelten folgende Bedingungen:
Der Einsatz von Plugins zum Teilen von Inhalten bei Facebook, Twitter & Co ist grundsätzlich erlaubt, wenn der Besucher der Nutzung zugestimmt hat. Das ist in soweit problematisch, da Social Media Plugins bereits Nutzerdaten erfassen und übertragen, wenn die Seite geladen wird – nicht erst wenn der Nutzer darauf klickt. Es gibt technische Möglichkeiten das zu verhindern, wie z.B. den Shariff-Button vom heise Verlag. Einfacher ist es auf die Plugins zu verzichten und durch einfache Links auf die eigenen Social-Media-Seiten zu verweisen. In dem Fall werden auch keine Daten übertragen.
Auch für den Einsatz von Formularen gelten besondere Bedingungen. So dürfen nur Daten erfasst werden, die für die weitere Bearbeitung zwingend erforderlich ist. Das heißt, ein Kontaktformular benötigt nur die Abfrage von Name, E-Mail-Adresse und vielleicht Telefonnummer. Dann darf die Telefonnummer aber kein Pflichtfeld sein. Weitere Informationen sind für eine Kontaktaufnahme nicht notwendig – es gilt der Grundsatz der Datensparsamkeit.
Pflichtfelder müssen klar gekennzeichnet sein.
Vor dem Klick auf „Senden“ muss der Nutzer explizit darüber belehrt werden, was mit den übermittelten Daten passiert und wie diese gespeichert und verarbeitet werden. Die Übermittlung des Kontaktformulars muss verschlüsselt erfolgen. In diesem Zusammenhang verweisen wir noch einmal auf unseren Blogbeitrag über die Notwendigkeit einer verschlüsselten Datenübertragung via SSL.
TIPP: Auf einfache Kontaktformulare ohne weiteren Nutzen kann man getrost verzichten. Vor allem im B2B-Geschäft werden diese eher als lästig empfunden. Wenn Ihre Webseiten-Inhalte überzeugen, wird der Nutzer den Kontakt zu Ihnen auch ohne Formular finden…
Wichtiger Hinweis: Wir haben diese Übersicht in bester Absicht erstellt, um ein bisschen Licht ins Dunkel der Umsetzung der DSGVO auf Webseiten zu bringen. Dieser Beitrag erhebt keinen Anspruch darauf vollständig oder in jedem Detail richtig zu sein. Das letzte Wort sollte immer ein Fachanwalt oder Ihr Datenschutzbeauftragter haben.
Und hier noch ein paar hilfreiche Links:
IHK München Fallbeispiel: Datenschutz für kleine Unternehmen nach der Datenschutz-Grundverordnung – was ändert sich?
C. H. Beck-Verlag kostenpflichtige (€ 5,50), aber sehr hilfreiche Broschüre Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine
Wicker | Agentur für Werbung
Susanne Wicker