DSGVO | Datenschutz-Grundverordnung

Hier erfahren Sie grundlegende Dinge über die DSGVO im Bezug auf das betreiben einer Webseite und/oder Newslettersystem.

Inhaltsübersicht

• Einleitung
• Wer muss die DSGVO berücksichtigen?
• Was muss ich jetzt mindestens tun?
• Analyse der eingesetzten Tools
• Tools entfernen
• Sicherheit erhöhen (SSL-Zertifikat)
• Datenminimierung
• Datenschutzerkärung
• Vertrag zur Auftragsverarbeitung
• Cookie Einwilligung einholen
• Sonstige Einwilligungen einholen
• Kontakformular
• Newsletter
• Bilder und Daten von Mitarbeitern
• Kommentarfunktion
• Wer kann mir helfen?

 

Einleitung

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union gilt seit dem 25. Mai 2018 und regelt die Verarbeitung personenbezogener Daten durch private Unternehmen sowie öffentliche Stellen. Sie soll sicherstellen, dass personenbezogene Daten innerhalb der Europäischen Union geschützt sind, gleichzeitig aber den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten.

Verstöße gegen das Datenschutzrecht sind auf einer Website besonders leicht erkennbar. Daher sollten Sie Ihre Online-Präsenz auf Vordermann gebracht haben. Wir von red pepper Services versuchen Ihnen mit dieser Informationsseite dabei zu helfen.

Wer muss die DSGVO berücksichtigen?

Jeder! Zumindest jeder der auf seinem Webauftritt personenbezogene Daten verarbeitet. Da mittlerweile auch die IP Adresse eines Users ein personenbezogenes Merkmal darstellt (Erwägungsgrund 30 der DSGVO) und in der Regel jeder Server auf dem eine Webseite betrieben wird diese IP in ein Logfile speichert, verarbeiten Sie somit personenbezogene Daten.

Was muss ich jetzt mindestens tun?

Wir versuchen Ihnen einmal die Punkte aufzulisten, die auf die meisten Seitenbetreiber zutrifft.
Im Optimalfall lassen Sie sich von einem Experten aber beraten. Wir versuchen ja schließlich auch nicht Kleidung zu verkaufen nur weil wir einen Onlineshop erstellen könnten. Wir raten hier Ihnen also dringend sich persönlich beraten zu lassen!

 

Analyse der eingesetzten Tools

Bevor Sie mit irgendetwas anderem Starten, müssen Sie zuerst wissen welche Tools bzw. Inhalt Sie von anderen Anbieter einsetzen. Das machen Sie am besten manuell. 
Sie können z.b. mit dem integrierten Entwicklertool in Ihrem Browser jede Ihrer Seiten scannen und schauen, welche externen Medien von welchen Domains aufgerufen wird. Dies schreiben Sie in eine Liste.
Ebenso schreiben Sie sich alle Cookies auf die gesetzt werden. Vergessen Sie nicht die Cookies vor der Prüfung zu löschen, damit sie keine alten Cookies notieren.

Alternativ können Sie auch diverse Tools einsetzen, z.b. mit dem Browserplugin Ghostery. Aber nichts ist so gut wie die manuelle Prüfung.

Das sollten Sie sich dabei notieren:

• Anbietername
• Anbieterland (Wichtig!)
• Name des Tools/Script

Nun prüfen Sie noch, welche eigenen Funktionen Sie haben, die personenbezogene Daten verarbeiten könnte.
Ein paar Ideen dazu:

• Kontaktformular
• Kommentarfunktion
• Bewertungsfunktion
• Chatfunktion
  
  

Tools entfernen

Sie haben nun eine Liste mit Tools und Funktionen die Sie auf Ihrer Webseite implementiert haben.
Da jedes externes Tool auch zumindest die IP des User's verarbeitet, müssen Sie für dieses Tool die Datenschutzerklärung erweitern. Wollen Sie das?
Wir empfehlen Ihnen strengstens, verabschieden Sie sich von Tools die Sie nicht wirklich benötigen. 
Dadurch ersparen Sie sich nicht nur den Datenschutz, sondern erhöhen zugleich eventuell die Geschwindigkeit Ihrer Webseite, da dadurch weniger extern geladen werden muss.
Ebenfalls müssen Sie sich für viele Tools vorab eine Einwilligung vom User einholen. Da Ihnen viele User diese wahrscheinlich nicht geben wird, sind manche Tools sowieso nutzlos.

Sicherheit erhöhen (SSL-Zertifikat)

Sie sollten sich mindestens ein Let's Encrypt SSL Zertifikat installieren. Das ist so gut wie immer Pflicht.
Denn es ist Ihre Aufgabe als Webseitenbetreiben dafür zu sorgen, dass personenbezogene Daten nicht in Hände von unbefugten gelangt. Durch ein SSL Zertifikat ist die Kommunikation zwischen dem User und dem Server verschlüsselt. Dies ist nötig wenn Sie z.b. ein Kontaktformular auf Ihrer Webseite eingebunden haben.
Das folgt aus dem in der DSGVO geregelten Grundsatz der Integrität und Vertraulichkeit, wonach personenbezogene Daten in einer Weise verarbeitet werden müssen, "die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet".

Datenminimierung

Betreiber einer Website dürfen nach dem Grundsatz der Datenminimierung nur die Daten anfordern, die sie für die jeweilige Aufgabe benötigen. Bei Newsletter-Anmeldungen sollten Sie beispielsweise nicht das Geburtsdatum oder die postalische Adresse abfragen. Entfernen Sie daher aus allen Formularen die Felder, die für den Zweck nicht benötigt werden.

Datenschutzerkärung

Sie benötigen eine Datenschutzerklärung - ohne wenn und aber.
Im Idealfall lassen Sie diese von einem Anwalt oder Profi erstellen. Alternativ kann ich Ihnen den Online Generator von Dr. Thomas Schwenke dafür empfehlen. https://datenschutz-generator.de/ 
Mit diesem Generator können Sie sich Ihre Datenschutzerklärung einfach erstellen lassen und diese Online in Ihre Webseite einbinden. Der Generator hat sehr viele vorgerfertigte Snippets für externe Tools - das erspart Ihnen das mühsame zusammensuchen bei den jeweiligen Anbietern.
Alternativ bietet die WKO noch ein Muster für eine Datenschutzerklärung an: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html

Der Website-Besucher muss die Datenschutzerklärung einfach finden können, Sie sollten sie daher nicht irgendwo auf der Site verstecken. Der Link zur Erklärung gehört direkt auf die Startseite. Idealerweise platziert man ihn im Footer, sodass die Informationen auch von jeder Unterseite aus mit einem Klick erreichbar sind. Der Linktext sollte aussagekräftig sein, zu empfehlen sind Formulierungen wie "Datenschutz", "Datenschutzhinweis" oder am besten "Datenschutzerklärung"

Vertrag zur Auftragsverarbeitung

Ein Website-Betreiber darf nicht ohne Weiteres personenbezogene Daten auf einem von Dritten bereitgestellten Webspace speichern. Beauftragt er einen Dienstleister mit dem Hosting seiner Seiten, muss er dafür die Einwilligung der Besucher einholen oder eine andere Rechtsgrundlage schaffen. 
Dies ist absolut unrealistisch! Deshalb gibt es die Möglichkeit mit Ihrem Hoster eine Auftragsverarbeitung (vormals Auftragsdatenverarbeitung) nach Artikel 28 DSGVO einzubinden. Nehmen Sie hieführ Kontakt mit Ihrem Webhoster auf. 

Cookie Einwilligung einholen

Sie müssen bevor Sie Cookies einsetzen oder div. externe Dienste laden, die Einwilligung des Users einholen. Dafür empfehlen wir Ihnen die Cookies zu kategorisieren (Notwendig, Analyse, Marketing, Personalisierung). Dann holen Sie sich über einen Cookie-Banner die Einwilligung für jede Kategorie einzeln. Einzig die technisch notwendigen Cookies benötigen keine Einwilligung.
Denken Sie daran, dass eine Einwilligung immer freiwillig und aktiv vom User gegeben werden muss.
Wichtig ist auch, dass Sie erst nach der Einwilligung die Cookies speichern und die externen Dienste laden. Andernfalls ist die Einwilligung unwirksam.

Sonstige Einwilligungen einholen

Sie benötigen für alles mögliche eine Einwilligung vom User. Dieser Punkt ist ebenfalls sehr individuell, deshalb listen wir hier nur ein paar Beispiele auf. 

Kontakformular

Wenn auf der Webseite Formulare verwendet und diese Daten irgendwie gespeichert werden, zum Beispiel in einer Datenbank zur Kontaktaufnahme, dann muss der Nutzer aktiv sein Einverständnis abgeben. Am besten bietet man hierfür eine Checkbox mit entsprechendem Hinweis der Datenspeicherung an, die der Nutzer anhaken muss. Sie darf jedoch nicht schon vorausgewählt sein.

Newsletter, insbesonders Drittanbieter wie Mailchimp

Der Versand von regelmäßigen Newslettern erfordert natürlich die Speicherung von Nutzerdaten wie Namen und Email-Adresse. Vor allem bei Nutzung eines Drittanbieters gibt es mehrere Punkte zu beachten. Wir gehen hier besonders auf den beliebten Service von Mailchimp ein. Dieser hat sich dem Privacy Shield Abkommen verpflichtet. Das Abkommen regelt den Datenschutz beim Austauschen der Daten zwischen Amerika und Europa. Daher muss man einen Datenverarbeitungsvertrag abschließen und einen deutlichen Hinweis bei der Anmeldung zum Newsletter anbringen.

Noch bevor sich ein Besucher für den Newsletter anmelden kann, sollte ein Hinweis unmittelbar in der Nähe des Formulars angezeigt werden. Dieser Hinweistext muss folgende Kriterien erfüllen:

- Ausdrückliche (= aktive und wissentliche) Einwilligung
- Informativ - über was informiert der Newsletter
- freiwillig und Möglichkeit zum Widerruf
- Protokollierung und Double-Opt-In

Sie müssen zwingend eine Double-Opt-In bestätigung von jedem User einholen!

Bilder und Daten von Mitarbeitern auf der Webseite

Hat Ihre Webseite einen Bereich, in dem Mitarbeiter vorgestellt werden? Eventuell mit Bildern? Dann sollten Sie sich explizit die Erlaubnis bzw. Zustimmung zur Bildverarbeitung und Nutzung dieser Daten von den Betroffenen einholen, sofern dies nicht schon z.b. im Arbeitsvertrag geregelt ist.

Kommentarfunktion

Hierbei muss – nach unserem aktuellen Verständnis – keine zusätzliche Checkbox eingebunden werden, da das Senden und Veröffentlichen eines Kommentares bereits einen aktiven und freiwilligen Akt darstellt. Ein kurzer Hinweistext zur Datenspeicherung mit Link zum Datenschutz ist dennoch zu empfehlen.

 

Wer kann mir helfen?

Wir stehen Ihnen gerne in allen belangen zur Verfügung. Zudem besitzen wir die nötigen Kontakte zu Rechtsanwälte mit denen wir auch die schwierigen Angelegenheit zusammen mit Ihnen lösen können.
Nehmen Sie mit uns Kontakt auf und bringen Sie Ihre Webseite auf die rechtlichen Mindestanforderungen.