Website fit machen für die DSGVO

Die DSGVO auf Internetseiten erfolgreich umsetzen

Die Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und beendet damit die zweijährige Übergangsfrist, in der Unternehmen Zeit hatten die DSGVO umzusetzen. Höchste Zeit auch Internetseiten zu überprüfen, ob sie den Voraussetzungen entsprechen oder ggf. angepasst werden müssen. Diese Punkte sollten auf der Homepage geprüft und datenschutzkonform umgesetzt werden:

Die Datenschutzerklärung

Dreh- und Angelpunkt einer datenschutzkonformen Webseite nach der DSGVO (Datenschutzgrundverordnung) ist die Seite „Datenschutz“. Sie muss als separate Seite vorhanden sein, die Datenschutzerklärung darf sich nicht im Impressum verstecken. Am besten setzt man einen separaten Link neben den Impressum-Link, denn genau wie das Impressum muss die Seite „Datenschutz“ von der Startseite und von jeder Unterseite aus erreichbar sein.

Was muss nun drin stehen in der Datenschutzerklärung?

Eine Datenschutzerklärung muss eine Vielzahl an grundsätzlichen Informationspflichten erfüllen. Als Grundlage eignen sich Muster-Datenschutzerklärungen, die kostenfrei oder kostenpflichtig im Internet erhältlich sind. Auch Datenschutz-Generatoren von Anwalts-Kanzleien können helfen – nicht alle sind aber für gewerbliche Internetseiten erlaubt.

In jedem Fall aber muss die Datenschutzerklärung auf die eigene Webseite zugeschnitten werden, denn alle auf der Webseite integrierten Dienste, die persönliche Daten (direkt oder indirekt) erheben, müssen in der Datenschutzerklärung beschrieben werden. Dazu gehören beispielsweise Webanalyse-Tools wie Google Analytics, Social Media Plugins, Kontaktformulare, Newsletter-Anmeldung, Google Maps usw. Bei der Datenschutzerklärung sollte nicht gespart werden – lieber rechtzeitig einen Fachanwalt für Internetrecht und/ oder einen Datenschutzbeauftragten einschalten.

Apropos Datenschutzbeauftragter: Ist ein Unternehmen verpflichtet einen Datenschutzbeauftragten zu benennen, muss dieser mit Namen und E-Mail-Adresse in der Datenschutzerklärung der Internetseite benannt werden. Ein Datenschutzbeauftragter muss dann benannt werden, wenn 10 oder mehr Mitarbeiter in einem Unternehmen regelmäßig personenbezogene Daten verarbeiten.

Bitte keine Datenschutzerklärungen von anderen Webseiten kopieren. Auch hier gelten selbstverständlich Urheberrechte, die verletzt werden können und es fehlt die Anpassung der Inhalte an die eigene Internetseite.

Das Impressum

Ein alter Hut? Leider nein – im Agentur-Alltag begegnen uns häufig Webseiten, in denen das Impressum fehlerhaft, unvollständig oder veraltet ist. Folgende Daten müssen im Impressum einer Unternehmens-Internetseite vorhanden sein:

  • Firmenname mit Gesellschaftsform (GmbH, UG, GbR, AG, etc) oder Name/ Inhaber bei Einzelunternehmen
  • Adresse, PLZ und Ort
  • Telefon, Fax (falls vorhanden) und E-Mail-Adresse
  • Geschäftsführer Vorname Name (falls juristische Person)
  • Handelsregistereintrag: Amtsgericht XY, HRB-Nr. 12345 (Registereintragung, falls vorhanden, z.B. Handels- oder Vereinsregister)
  • Online-Streitbeilegung (Hinweistexte, die oft vergessen werden)
    Die Europäische Kommission stellt unter https://ec.europa.eu/consumers/odr/ eine Plattform zur Online-Streitbeilegung bereit, die Verbraucher für die Beilegung einer Streitigkeit nutzen können und auf der weitere Informationen zum Thema Streitschlichtung zu finden sind.
    Außergerichtliche Streitbeilegung
    Wir sind weder verpflichtet noch dazu bereit, im Falle einer Streitigkeit mit einem Verbraucher an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.

Falls die Internetseite journalistisch-redaktionell gestaltete Inhalte anbietet muss ein Verantwortlicher benannt werden:

  • Inhaltlich verantwortlich gemäß § 55 RStV: Name/ Firma, Anschrift

Falls die Inhalte der Internetseite im Rahmen einer Tätigkeit angeboten werden, die einer behördlichen Zulassung bedarf muss die zuständige Aufsichtsbehörde benannt werden (Ärzte, Rechtsanwälte, etc.)

Diese aufgeführten Daten sind ausreichend gemäß § 5 TMG (Telemediengesetz). Nicht mehr und nicht weniger. Das Impressum ist auch ein guter Ort um z.B. Bildquellen zu benennen, falls erforderlich oder ein Hinweis auf Urheberrechte – verpflichtende Bestandteile eines Impressums sind das aber nicht.

Cookie-Richtlinie

Wie die Umsetzung eines Hinweises auf die Verwendung von Cookies aussehen soll, wirft auch im Rahmen der DSGVO noch Fragen auf. Die für 2019 geplante ePrivacy-Richtlinie wird der Einsatz von Cookies sicher noch einmal verschärft – hier heißt es, sich regelmäßig informieren und auf dem Laufenden bleiben.
Betreiber einer Website sollten sich von Ihren Besuchern das Einverständnis für die Verwendung von Cookies und die damit verbundene Speicherung von Daten einholen. Das geht am besten mit einem Cookie-Hinweis (siehe auch auf dieser Internetseite). Der Cookie-Hinweis muss beim Aufruf der ersten Seite sichtbar sein und durch einen Klick des Webseitenbesuchers bestätigt werden.

Beispiel: Cookie-Hinweise auf einer Internetseite DSGVO -konform einsetzen

Ein Link sollte auf die Seite „Datenschutz“ verweisen, damit die Besucher sich über die Cookies vorab informieren können.

Was ist ein Cookie und woher weiß ich ob Cookies auf meiner Webseite eingesetzt werden?

Cookies sind kleine Textdateien, die der Webbrowser auf dem System (z.B. Ihrem PC) speichert, um Daten über besuchte Webseiten festzuhalten. Sie werden eingesetzt um z.B. Besucher auf einer Webseite zu zählen, die Webseite benutzerfreundlicher zu gestalten (z.B. um Daten in Onlineshops beim Einkauf durch den Bestellprozess zu transportieren) oder um Sprachversionen zu steuern. Sie sind also nicht nur dazu da unser Nutzerverhalten auszuspionieren sondern verbessern auch die Usability einer Webseite.
Cookies können vom Webseiten-Besucher im Browser gesperrt oder gelöscht werden. Cookies ermöglichen keine Hackerangriffe, da sie vom Browser zwar ausgelesen werden aber nicht beschreibbar sind.

Wenn Sie einen Onlineshop betreiben oder ein Tool zum Zählen der Besucher (z.B. Google Analytics) nutzen, verwendet die Webseite garantiert Cookies. Aber auch integrierte Dienste Dritter (Google Maps, Youtube, Facebook, etc.) oder das Statistik-Tool Ihres Providers können Cookies setzen. Auch wenn Ihre Internetseite auf einem Content Management System (CMS) wie WordPress oder Typo3 basiert, werden Cookies gesetzt um z.B. Besucher von angemeldeten Administratoren unterscheiden zu können. Und damit ist es eher unwahrscheinlich, dass eine Website keine Cookies verwendet.
TIPP: Lassen Sie sich Cookie-Informationen einer Webseite in Ihrem Browser anzeigen. Z.B. in Firefox unter Extras > Seiteninformationen > Sicherheit.

Google Analytics und die DSGVO

Wir sind gespannt, was uns die DSGVO noch alles bringt, die Verwendung von Analyse-Tools bleibt jedoch erst mal zulässig, es müssen aber folgende Bedingungen erfüllt sein:

  • Der Webseitenbetreiber muss mit Google einen Auftragsverarbeitungsvertrag (AV-Vertrag) abgeschlossen haben. Hier geht’s zum Google AV-Vertrag »
  • Auf die Nutzung von Google Analytics wird in der Datenschutzerklärung explizit hingewiesen.
  • Da Google Analytics auch die IP-Adresse eines Webseitenbesuchers erfasst, muss diese anonymisiert werden, bevor Google diese speichert. Das geht mit Hilfe der Funktion „_anonymizelp“ im Tracking-Code. Google erklärt die Funktion »

Newsletter-Anmeldungen

Gibt es die Möglichkeit sich für einen Newsletter anzumelden? Dann gelten folgende Bedingungen:

  • Unterhalb des „Anmelde-Button“ sollte es einen Hinweistext geben, wie die Daten aus der Anmeldung verarbeiten werden sowie einen Link zur Datenschutzerklärung. Nutzen Sie für den Newsletterversand einen externen Dienstleister wie z.B. „Mailchimp“, muss dieser benannt werden.
  • Für den Versand eines Newsletters benötigen Sie das Einverständnis des Empfängers. Dieses muss bei der Anmeldung über eine Webseite mittels Double-Opt-In-Verfahren geschehen. Der Nutzer erhält eine E-Mail mit einem Bestätigungslink. Erst nach Aufruf dieses Bestätigungslinks wird der Nutzer in die Newsletter-Empfängerliste übernommen. Dadurch stellen Sie auch die Nachweispflicht zur Newsletter-Anmeldung sicher: E-Mail-Adresse, Datum und Uhrzeit der Anmeldung sollten gespeichert werden.
  • Eine Abmeldung vom Newsletter muss immer möglich sein. Schon bei der Anmeldung muss der Nutzer über die Möglichkeit zum Widerruf informiert werden. Ein Abmeldelink muss in jedem Newsletter, der versendet wird, enthalten sein.
  • In Online-Shops darf die Einwilligung zum Empfang eines Newsletters nicht automatisch eingeholt werden, z.B. in dem ein Häkchen zur Einwilligung standardmäßig gesetzt ist. Und schon gar nicht darf die Anmeldung zum Newsletter Voraussetzung für eine Bestellung oder andere Handlung, z.B. die Teilnahme an einem Gewinnspiel sein. Hier greift das Kopplungsverbot, welches
    besagt, dass die Erfüllung eines Vertrages nicht von der Erteilung einer Einwilligung, die für die Vertragserfüllung nicht notwendig ist, abhängig sein darf.

Social Media Plugins im Rahmen der DSGVO erlaubt?

Der Einsatz von Plugins zum Teilen von Inhalten bei Facebook, Twitter & Co ist grundsätzlich erlaubt, wenn der Besucher der Nutzung zugestimmt hat. Das ist in soweit problematisch, da Social Media Plugins bereits Nutzerdaten erfassen und übertragen, wenn die Seite geladen wird – nicht erst wenn der Nutzer darauf klickt. Es gibt technische Möglichkeiten das zu verhindern, wie z.B. den Shariff-Button vom heise Verlag. Einfacher ist es auf die Plugins zu verzichten und durch einfache Links auf die eigenen Social-Media-Seiten zu verweisen. In dem Fall werden auch keine Daten übertragen.

Kontaktformulare

Auch für den Einsatz von Formularen gelten besondere Bedingungen. So dürfen nur Daten erfasst werden, die für die weitere Bearbeitung zwingend erforderlich ist. Das heißt, ein Kontaktformular benötigt nur die Abfrage von Name, E-Mail-Adresse und vielleicht Telefonnummer. Dann darf die Telefonnummer aber kein Pflichtfeld sein. Weitere Informationen sind für eine Kontaktaufnahme nicht notwendig – es gilt der Grundsatz der Datensparsamkeit.
Pflichtfelder müssen klar gekennzeichnet sein.

Vor dem Klick auf „Senden“ muss der Nutzer explizit darüber belehrt werden, was mit den übermittelten Daten passiert und wie diese gespeichert und verarbeitet werden. Die Übermittlung des Kontaktformulars muss verschlüsselt erfolgen. In diesem Zusammenhang verweisen wir noch einmal auf unseren Blogbeitrag über die Notwendigkeit einer verschlüsselten Datenübertragung via SSL.
TIPP: Auf einfache Kontaktformulare ohne weiteren Nutzen kann man getrost verzichten. Vor allem im B2B-Geschäft werden diese eher als lästig empfunden. Wenn Ihre Webseiten-Inhalte überzeugen, wird der Nutzer den Kontakt zu Ihnen auch ohne Formular finden…

Wichtiger Hinweis: Wir haben diese Übersicht in bester Absicht erstellt, um ein bisschen Licht ins Dunkel der Umsetzung der DSGVO auf Webseiten zu bringen. Dieser Beitrag erhebt keinen Anspruch darauf vollständig oder in jedem Detail richtig zu sein. Das letzte Wort sollte immer ein Fachanwalt oder Ihr Datenschutzbeauftragter haben.

Und hier noch ein paar hilfreiche Links:

IHK München Fallbeispiel: Datenschutz für kleine Unternehmen nach der Datenschutz-Grundverordnung – was ändert sich?‎

C. H. Beck-Verlag kostenpflichtige (€ 5,50), aber sehr hilfreiche Broschüre Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine