Datenschutzgrundverordnung Hinweis

Als Webagentur informieren wir uns und Sie immer zu den neusten Herausforderungen in der Web-Branche. Gerne prüfen wir auf dieser Grundlage auch Ihre Website – insbesondere die Datenschutzerklärung. Eine Rechtsabteilung existiert in unserer Agentur aber nicht. Um eine lückenlose Absicherung zur neuen Datenschutzverordnung mit Gewähr zu haben, sollten Sie deshalb noch einmal einen Juristen kontaktieren. Nicht zuletzt können je nach Branche, in der Sie tätig sind, auch noch zusätzliche Vorschriften bestehen.

Zusätzlich empfehlen wir die Infrastruktur hinter der Website auf Ihre Konformität mit der neuen DSGVO zu prüfen. Denn die beste Datenschutzerklärung nützt nichts, wenn die erfassten Daten unsicher abgelegt werden oder über Server ins Ausland gelangen.

Was ändert sich? Was wird gefordert?

Die neue Datenschutzverordnung macht sich auf Ihrer Website hauptsächlich in Ihrer Datenschutzerklärung bemerkbar. Im Zusammenhang mit personenbezogenen Daten stehen in der Website-Branche vor allem Kontaktformulare, Cookies, Google Analytics & Co.

Die Verwendung dieser und vergleichbarer Dienste muss in der Datenschutzerklärung verzeichnet werden, da hierfür meistes IP-Adresse, Verweildauer und eventuell weitere Daten von Websitebesuchern gesammelt werden. Sie zählen genau wie Adresse oder Telefonnummer einer Person zu ihren persönlichen (personenbezogenen) Daten und genießen unter der neuen Datenschutzerklärung besonderen Schutz. Das gilt auch für private Betreiber einer Website, wenn diese personenbezogene Daten erheben. Ein kommerzielles Interesse muss nicht vorliegen. Im Gegenteil: ein gewerbliches Interesse rechtfertigt die Erhebung der Daten teilweise erst.

Bei der Erhebung, Verarbeitung und Speicherung der Daten ist die Zweckgebundenheit auf der Grundlage des „Verbotes mit Erlaubnisvorbehalt“ ein zentraler Faktor. Ergo ist grundsätzlicher jeder Umgang mit personenbezogenen Daten untersagt, aber kann durch entsprechende Begründungen oder explizite Einwilligungen der betroffenen Personen erlaubt werden.

Einige Einhaltungspflichten sind grundlegend gar nicht so „neu“, sollen jedoch laut Gesetzesänderung in Zukunft stärker geahndet werden.

Kann Ihre Website der neuen DSGVO genügen?

Man kann im Groben sagen, dass die Grundvoraussetzung für die Einhaltung der neuen Vorgaben eine Datenschutzerklärung ist, die angibt, dass Daten von Websitebesuchern verarbeitet werden. Die meisten bestehenden Erklärungen sind aber unzureichend, auch wenn dies auf den ersten Blick vielleicht nicht erkennbar ist. Deshalb muss vor allem der Inhalt dieser angepasst werden.

SSL-Zertifikat

Mit einem SSL-Zertifikat wird die Verbindung zwischen Website Besucher (Client) und der Website (Server) verschlüsselt. Der Dialog zwischen diesen beiden Akteuren kann daher nicht von dritten nicht ausgelesen werden, da die entsprechenden Informationen ausschließlich verschlüsselt übermittelt werden sind. Dies ist besonders wichtig hinsichtlich personenbezogener Eingaben, die via Formular (bspw. Kontaktformular, Newsletter, Shop-Bestellung o.ä.) an den Server weitergeleitet werden. Abgesehen von der DSGVO-Relevanz wirkt Ihre Seite seriöser (Browser heben die Sicherheit, die eine SSL-Verbindung mit sich bringt, symbolisch hervor), verbessert den Trust-Faktor bei Google und einhergehend das Suchmaschinenranking. Bei der Umsetzung ist darauf zu achten dass alle Ressourcen über die „sichere" Verbindung abgerufen werden und durch entsprechende Weiterleitungen sichergestellt wird, dass jene Formulare nicht weiterhin über das unsichere http-Protokoll nutzbar sind.

Formulare

Prüfen Sie nicht nur ob die Datenübertragung Ihrer Formulare sicher ist, sondern achten Sie besonders darauf in der Datenschutzerklärung die richtigen Auskünfte über die Datenerhebung zu liefern. Dazu gehört zu welchem Zweck, auf welcher Rechtsgrundlage und in welcher Art die Daten verarbeitet werden.

Ressourcen von fremden Domains

Je nach Content-Management-System ist aber auch die technische Umsetzung mehr oder weniger problematisch. Gerade bei WordPress müssen beispielsweise alle Plugins separat geprüft werden, ob Sie Cookies verwenden, auf Ressourcen fremder Domains zugreifen oder auf andere Weise personenbezogenen Daten erfassen. Das kann ziemlich kompliziert werden. Auch andere Content-Management-Systemen, wie unser Lieblingssystem ProcessWire, sind einer genaueren Prüfung zu unterziehen. Besonders dann wenn externe Bibliotheken, Scripte oder Schriftarten genutzt werden, welche nicht auf den eigenen Server liegen und über daher von Fremddomains abgerufen werden. Durch die individuelle Programmierbarkeit des Systems können aber alle erforderlichen Neuerungen problemlos umgesetzt werden.

In einigen Fällen, und das ist vielen nicht bewusst, werden personenbezogene Daten ins Ausland übertragen. Werden Daten in ein Nicht-EU-Ausland übermittelt, muss entsprechend erwähnt werden, ob ein Datenschutzabkommen vorliegt.

Social-Media

In die Website eingebettete Videos von Vimeo oder Youtube sowie Facebook Plugins zum Liken übertragen personenbezogene Daten an die entsprechenden Social-Media-Plattformen. Hier muss sichergestellt werden, dass die Nutzer vor der ersten Datenübertragung entscheiden können, ob diese mit der Übertragung einverstanden sind oder eben nicht.

Web-Analyse-Tools

Daten die für Statistikzwecke erhoben werden müssen so manipuliert werden, dass eine genaue Identifizierung des Nutzers nicht mehr möglich ist. Bei Google-Analytics ist dies durch die IP-Anonymisierung realisierbar. Neben den pflichtigen Hinweisen in der Datenschutzerklärung und einer Widerspruchsmöglichkeit muss ein Vertrag zur Auftragsdatenverarbeitung (ADV) vorliegen. Da bei der Nutzung von Google-Analytics Daten im nicht EU-Ausland (USA) verarbeitet werden ist es zu sicherzustellen, dass ein ADV auf derGrundlage des Privacy Shields vorliegt. Alte Verträge, die sich auf die Rechtsgrundlage von Safe Harbor berufen, sind schlichtweg ungültig und müssen entsprechend ersetzt werden.

Wie muss die neue Datenschutzerklärung aussehen?

Die Datenschutzerklärung musste natürlich auch schon bislang Informationen über die Erhebung der Daten bei einem Websitebesuch bereitstellen. Im Wesentlichen sind diese Angaben aber nach der neuen EU-DSGVO um einiges detailreicher bzw. expliziter zu machen. Eine verständliche Sprache ist dafür Grundvoraussetzung. Sie muss mindestens auf Deutsch, je nach Besucherstamm auf weiteren Sprachen verfasst werden.

Aber auch die optische Kennzeichnung der wichtigsten Bestandteile wie dem Widerrufsrecht ist verpflichtend. Wie genau diese auszusehen hat, ist unklar. Vermutlich reicht ein Paragraph in der Datenschutzerklärung hierzu mit entsprechender Überschrift oder fetter Schriftart.

Was muss also alles in der Datenschutzerklärung stehen?

In der Datenschutzerklärung muss zunächst ein Abschnitt mit der Anschrift des Verantwortlichen. Darin enthalten sein müssen jeweils:

  • Kontaktdaten der Firma (Anschrift, Telefonnummer, E-Mail)
  • E-Mailadresse des Datenschutzbeauftragten (bei Vorhandensein)

Web-Analyse, Social-Media, Cookies, Kontaktformulare & Newsletter

Grundsätzlich müssen Informationen über alle Daten, die erhoben werden bereitgestellt werden. Zu jedem Drittanbieter-Dienst, der über die Website in Anspruch genommen wird (z.B. Google Analytics oder Facebook-Pixel), muss eine Beschreibung über die Art der Erhebung der Daten vorhanden sein und eine Verlinkung zu diesem Dienst bzw. dessen Datenschutzerklärung. Es muss hierfür die Möglichkeit des Opt-Outs, also eines manuellen Aussschaltens gegeben sein. Außerdem muss über die Verwendung von Cookies und Server-Log-Files informiert werden. Sollten Sie Kontaktformulare oder Newsletter verwenden, muss der Umgang mit personenbezogenen Daten in diesen Zusammenhängen ebenfalls beschrieben werden.

Auch die Einbindung von Schriftarten (z.B. Google Fonts) oder anderen Scripts von Drittanbietern muss mit Vorsicht betrachtet und markiert werden. Teilweise sammeln diese nämlich ebenso personenbezogene Daten oder laufen sogar über Server, die im Ausland stehen. Bestenfalls wird dafür gesorgt, dass extern geladene Schriften und Scripte auf den eigenen Server abgelegt werden.

Zweckgebundenheit ist das A und O

Außerdem muss in der Datenschutzerklärung immer der Zweck der Erhebung von Daten mittgeteilt werden. Diese Zweckgebundenheit kann unterschiedlich begründet werden. Etwa mit der Erfüllung eines Vertrages im Sinne eines Kaufs über einen Onlineshop. Natürlich können auch gesetzliche Archivierungspflichten eine Begründung für die Speicherung von Daten sein.

Als letzter Grund wird im Gesetzestext ein sogenanntes „berechtigtes Interesse“ genannt. Hierunter könnte beispielsweise die Speicherung von Daten der Stammkunden, die benötigt werden um die Geschäftsbeziehung aufrecht zu halten, zählen. Klar abgesteckt, was unter diese Begründung fällt, ist es bisher aber noch nicht.

Eine explizite Einwilligung der Verwendung der Daten ist beispielsweise im Falle eines Newsletter-Versandes nötig. Diese erfolgt über den bekannten Bestätigungslink in der Anmeldungsmail. Am besten legt man hierfür eine Datenbank mit Zeitstempel an, um bei einer gerichtlichen Auseinandersetzung die getätigte Einwilligung nachweisen zu können.

Speicherung, Widerrufsrecht und Löschung von Daten

Außerdem muss in der Datenschutzerklärung die Speicherdauer der Daten genannt werden. Diese muss in Verbindung mit der Zweckmäßigkeit festgelegt werden. Wie schon erwähnt, kommt auch dem Widerrufsrecht gegen die Einwilligungen eine gesteigerte Bedeutung zu. Es muss hierfür einfach ersichtlich werden, wie dieses wahrgenommen werden kann und die Möglichkeit zum Widerruf muss genauso einfach, wie die Einwilligung sein. Es muss außerdem jederzeit möglich sein, eine Auskunft über seine eigenen Daten und zu erhalten - ebenso wie die sofortige Löschung seiner personenbezogenen Daten.

Was bleibt bislang unklar?

Die Formulierungen in der neuen Datenschutzverordnung machen klar, dass die Datenschutzerklärung um einige Formulierungen ergänzt werden muss und auch die technik der Website einer genauen Prüfung zu unterziehen ist. Über einige Angelegenheiten ist man denno nicht hundertprozentig einig. Bei der Verwendung von Kontaktformularen beispielsweise herrschen unterschiedliche Meinungen, ob eine Checkbox zur expliziten Einwilligung Datenschutzbedingungen nötig ist oder die aktive Eingabe der Daten in eine Kontaktzeile als Einwilligung ausreicht. Wer auf Nummer sicher gehen will, sollte diese aber wohl einbinden. Ebenso unklar ist noch wie die Regelungen um Cookies tatsächlich funktionieren wird. Ob ein Vermerk in der Datenschutzregelung mit Widerspruchsrecht reicht oder eine explizite Einwilligung über ein Popup-Fenster nötig ist, wird sich erst noch zeigen.

Warum sollte man die geforderten Änderungen beachten?

Bei diesen ganzen Rahmenbedingungen, deren Umsetzung viele Websitebesitzer vor große Herausforderungen stellt, kommt doch die Frage auf: muss ich das wirklich alles beachten?

Die Antwort ist ziemlich klar: Ja. Und dafür gibt es mehrere Gründe. Zum Ersten baut eine professionelle und datenschutzkonforme Website Vertrauen zu Ihren Kunden auf. Wer keine oder nur eine unzureichende Datenschutzerklärung hat, wirkt unseriös.

Außerdem kann es teuer werden, denn bei Nichteinhaltung der Vorschriften werden zukünftig höhere Strafen erteilt als bisher. Das kann in zweistellige Millionenbeträge gehen.

Mit den neuen Regelungen ist es auch möglich, dass man nicht nur von zuständigen Behörden, sondern auch von Verbänden oder Konkurrenten abgemahnt wird. Eine Nichteinhaltung gilt nämlich als unfairer Wettbewerbsvorteil.

Kurz und knapp: was gilt es durch die neue DSGVO zu beachten?

Teilweise mangelt es noch an Konkretisierungen. Erst wenn es die ersten Nicht-Einhaltungen gibt und damit Präzedenzfälle, können genauere Aussagen darüber getroffen werden, wie die Bestimmungen genau umzusetzen sind, beziehungsweise wie nicht.

Grundsätzlich gilt aber: es soll ein verstärkter Fokus auf eine sparsame Erhebung, Verwendung und Speicherung von Daten gelegt werden. Diese müssen immer zweckgebunden sein. Eine Erhebung von Daten „für alle Fälle“ ist damit ausgeschlossen. Insbesondere Mailmarketing könnte durch die neuen Regelungen eingeschränkt werden. Bedachtes Werben ist aber weiterhin erlaubt und die Website damit einer der wichtigsten Marketing-Werkzeuge. Wir können hoffen, dass unseriöse Unternehmen durch die neuen Regelungen entlarvt und abgemahnt werden und gewissenhafte Unternehmen hierdurch einen Vorteil daraus ziehen können.




Artikel aus dem FMA medien Blog