25. Mai 2018 müssen sich ALLE Seitenbetreiber, Agenturen, Shops und Dienstleister mit weitreichenden Änderungen auseinandersetzen: Seit diesem Tag gilt die EU-Datenschutzgrundverordnung (DSGVO). Diese stellt viele Grundsätze des Datenschutzrechts auf den Kopf. Vor allem die immensen Bußgelder bereiten vielen Unternehmen Kopfschmerzen.
Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor.
Die DSGVO regelt den Umgang von Unternehmen mit personenbezogenen Daten und vereinheitlicht das Datenschutzrecht innerhalb der EU. Unternehmer können so darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt. Die DSGVO betrifft dabei jedes Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen, weswegen man spätestens jetzt handeln sollte, sofern man es vor dem 25.05.2018 noch nicht getan hat.
Als eRecht24 Agentur-Partner gehört - neben unseren Leistungen im Bereich der Website-Erstellung und Website-Pflege - selbstverständlich auch die Unterstützung bei der Umsetzung einer DSGVOkonformen Datenschutzerklärung und praktischer, anwaltlich geprüfter Inhalte zur DSGVO dazu. Dieser Service ersetzt jedoch keine Rechtsberatung durch einen Juristen. Sollten konkrete Fragen oder Probleme auftauchen, wenden Sie sich bitte an einen Anwalt.
Vorab: Was sind personenbezogene Daten?
Bei personenbezogenen Daten denkt man z.B. an den Namen, die Anschrift oder die Bankverbindung. Also Daten, die der Nutzer einer Website in einem Kontaktformular oder bei einer Online-Bestellung angibt. Es gehören aber auch Dinge dazu, die man auf Anhieb nicht unbedingt mit "personenbezogen" in Verbindung bringt.
So zählen auch IP-Adressen und Cookies zu den Daten, die man einzelnen Personen zuordnen kann.
Laut § 3 Abs. 1 BDSG handelt es sich bei personenbezogenen Daten um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Personenbezogene Daten sind z.B.:
- Name
- Adresse
- Geschlecht
- Hautfarbe
- Familienstand
- E-Mail-Adresse
- Telefonnummer
- Geburtstag
- Geburtsort
- Standortdaten
- IP-Adressen
- Cookies
- Kfz-Kennzeichen
- Kontodaten
- Kreditinformationen
- Steuernummer
Was muss auf Ihrer Website getan werden?
Die DSGVO ist verbindlich und ausnahmslos seit dem 25. Mai 2018 anzuwenden. Um Abmahnungen und Bußgelder zu vermeiden, mussten bis zu diesem Stichtag Anpassungen an Ihrer Website vorgenommen werden. Sollte das noch nicht passiert sein, sollte das umgehend nachgeholt werden. Die DSGVO betrifft auch andere Bereiche Ihres Unternehmens zu denen Sie auf dieser Seite ausführlichere Informationen finden.
Wir möchten uns hier allerdings nur auf die Punkte beziehen, die Ihre Website betreffen und bei denen wir Sie unterstützen können.
- Die Datenschutzerklärung muss an die Vorgaben der DSGVO angepasst werden.
- Kontaktformulare müssen angepasst werden (Pflichtfelder / Einwilligung zur Datenverarbeitung).
- Für die verschlüsselte Übermittlung von Daten (z.B. Kontaktformular) muss ein SSL-Zertifikat eingerichtet werden.
- Google Analytics muss datenschutzkonform eingebunden werden (sofern verwendet).
- Social Sharing Tools müssen datenschutzkonform eingebunden werden (sofern verwendet).
- Ein Hinweis auf die Verwendung von Cookies "sollte" eingebunden werden.
Da die DSGVO nicht speziell für Telemedien konzipiert ist, wird es zukünftig mit der neuen ePrivacy-Verordnung wohl noch eine speziellere Verordnung geben.
1. Neue Datenschutzerklärung nach Vorgaben der DSGVO
Jede Webseite benötigt seit dem 25.05.2018 eine neue Datenschutzerklärung, die den Vorgaben der DSGVO entspricht. Diese muss in einer einfachen und verständlichen Sprache verfasst sein und ggf. eine vorgeschaltete, zusammenfassende Erklärung, sowie die Kontaktdaten des Seitenbetreibers enthalten. Die Datenschutzerklärung nach den Vorgaben der DSGVO muss zudem aber auch noch weitere Informationen / Hinweise enthalten.
Dazu gehört die Nennung aller Datenverarbeitungsvorgänge auf der Webseite, Hinweise zum Umgang mit Kunden- / Bestelldaten und Informationen zum Tracking (z.B. Google Analytics), zu Cookies und zu Social Media. Auch Hinweise zu einem verwendeten Newsletter, zur Auftrags(daten)verarbeitung und zum Recht auf Datenherausgabe und Übertragbarkeit von Daten gehören dazu. Ebenso muss der Besucher darüber informiert werden, dass er jederzeit das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch seiner Daten hat. Informationen zur Speicherung und Löschfristen sind ebenfalls Bestandteil der Datenschutzerklärung nach den Vorgaben der DSGVO.
Als eRecht24 Agentur-Partner können wir wir Sie bei der Umsetzung einer korrekten Datenschutzerklärung nach der DSGVO unterstützen. Sollten Sie bisher noch keine Datenschutzerklärung auf Ihrer Seite eingebunden haben, wird es spätestens jetzt Zeit, dies nachzuholen.
2. Kontaktformulare anpassen
Bei einem Kontaktformular müssen gleich mehrere Dinge beachtet und angepasst werden. So darf man nach dem Datensparsamkeitsprinzip nur die personenbezogenen Daten erheben, die zur Bearbeitung der Anfrage unbedingt notwendig sind. Diese personenbezogenen Daten dürfen nur für den angegebenen Zweck verwendet werden und sind im Anschluss zu löschen, sofern dem keine gesetzlichen Fristen zur Aufbewahrung entgegen stehen.
In der Praxis bedeutet das, dass nur noch die Felder als Pflichtfelder gekennzeichnet werden dürfen, die zwingend zur Bearbeitung der Anfrage notwendig sind. Wahlweise kann man natürlich auch komplett auf alle nicht zwingend erforderlichen Felder verzichten.
Um auf der rechtlich sicheren Seite zu sein, sollte zudem eine Checkbox mit einem Einwilligungs- / Hinweistext eingebunden werden, welchen der Besucher vor dem Absenden seiner Daten akzeptieren muss. Somit willigt er ein, dass seine Daten zur Bearbeitung der Anfrage verwendet werden dürfen. Zudem sollte auf die Datenschutzerklärung hingewiesen werden, in der es zwingend einen Abschnitt zur Verwendung der Daten eines Kontaktformulars geben muss. Hier wird auch auf die Widerrufsmöglichkeit des Besuchers hingewiesen. Eine Möglichkeit der Einbindung könnte z.B. wie folgt aussehen:
Sie erklären sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihres Anliegens verwendet werden. Weitere Informationen und Widerrufshinweise finden Sie in unserer Datenschutzerklärung.
Welche personenbezogenen Daten für die Bearbeitung von Anfragen notwendig sind, ist von Fall zu Fall unterschiedlich. Sprechen Sie uns an, sodass wir Ihre Formulare dementsprechend anpassen können.
3. Verschlüsselung für die Datenübertragung einrichten (SSL-Zertifikat)
In 13 Abs. 7 TMG wird von Seitenbetreibern „die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens“ zum Schutz personenbezogener Daten auf Webseiten verlangt. Dies betrifft nicht nur Bestellprozesse auf Webseiten und Shops, sondern auch die Übermittlung von personenbezogenen Daten über Kontaktformulare. Um diese Verschlüsselung sicherzustellen, sollte für Ihre Website ein SSL-Zertifikat eingerichtet werden.
Sobald das SSL-Zertifikat eingerichtet ist, sehen Sie in der Browserzeile, dass Ihre Seite über https erreichbar ist und daneben ein grünes Schloss erscheint. Das Zertifikat bietet dabei neben der geforderten Verschlüsselung aber auch noch andere Vorteile für Ihre Website. So ist nicht nur das Vertrauen von Besuchern in Ihre Seite höher, Sie profitieren auch in Bezug auf das Ranking Ihrer Website bei Google (Beitrag von Google auf Englisch) von der Erreichbarkeit über https.
Gerne richten wir unseren Kunden ein SSL-Zertifikat für ihre Domain/s ein und nehmen die notwendigen Anpassungen an der Website vor. Sollten Sie sich selbst um das Webhosting kümmern, helfen wir Ihnen ebenfalls gerne weiter.
4. Datenschutzkonforme Einbindung von Google Analytics
Sollten Sie auf Ihrer Seite Google Analytics einsetzen, müssen Anpassungen am Tracking-Code vorgenommen werden, da die Einbindung des Standard-Tracking-Codes nicht ausreicht, um den gesetzlichen Anforderungen gerecht zu werden. U.a muss hierbei die Funktion "anonymize IP" eingebunden werden, durch die die IP des Besuchers anonymisiert wird. Zusätzlich muss ein Vertrag zur Auftragsverarbeitung mit Google abgeschlossen werden.
Dazu sollte der „Zusatz zur Datenverarbeitung“ online bestätigt werden. Diesen Zusatz finden Sie in Ihrem Google Analytics Account unter "Verwaltung - Kontoeinstellungen - Zusatz zur Datenverarbeitung".
Ein Hinweis zur Verwendung von Google Analytics in der Datenschutzerklärung ist ebenfalls notwendig. In dieser muss technisch korrekt die Möglichkeit gegeben werden, das Tracking zu deaktivieren. Zum einen mit dem Hinweis/Link zu diesem Browser-Add-on, zum anderen muss für Nutzer von mobilen Endgeräten aber auch die Möglichkeit vorhanden sein, per Java Script ein Opt-Out-Cookie zu setzen. Ein Beispiel für einen rechtssicheren Google Analytics Tracking Code sehen Sie hier. Abschließend sollte im Google Analytics-Account noch die Dauer der Aufbewahrung von Daten angepasst werden (von 26 auf 14 Monate) und Altdaten sollten gelöscht werden, sofern diese ohne die Anonymisierung der IP erhoben wurden.
Sofern Sie Google Analytics weiterhin und rechtssicher verwenden möchten, kümmern wir uns gerne um die korrekte Einbindung des Tracking-Codes, sowie die entsprechenden Voraussetzungen in Ihrer Datenschutzerklärung.
5. Datenschutzkonforme Einbindung von Social Sharing Tools
Sofern Sie auf Ihrer Seite Plugins wie den Facebook Like- oder Share-Button verwenden, besteht eine Abmahngefahr. Diese Plugins übermitteln bei jedem Seitenaufruf ungefragt personenbezogene Daten Ihrer Besucher an Facebook, ohne, dass diese dem zugestimmt haben. Laut LG Düsseldorf ist dies verboten.
Solche Plugins sollten daher umgehend von Ihrer Seite entfernt werden. Wenn man nicht ganz darauf verzichten möchte, setzt man eine Lösung wie Shariff ein.
Bei dieser von Heise entwickelten Lösung werden Daten nicht direkt an Facebook etc. übertragen, sondern erst dann übermittelt, wenn der Besucher den Button anklickt. Wahlweise kann man natürlich auch völlig auf derartige Plugins verzichten und lediglich auf die eigene Facebook-Seite verlinken.
Sollte bei Ihnen diesbezüglich Handlungsbedarf bestehen, melden Sie sich bei uns, sodass wir eine datenschutzkonforme Lösung für Ihre Seite umsetzen können.
6. Cookie-Banner
Die Frage nach einem Cookie-Banner wird von der DSGVO nicht ausdrücklich geklärt. Das wird wohl erst durch die noch ausstehende ePrivacy-Verordnung passieren. Zwar mussten alle Webseitenbetreiber, die Cookies nutzen, seit dem 25.05.2018 Ihre Datenschutzerklärung neu formulieren und auf die Verwendung von Cookies hinweisen, allerdings besteht keine wirkliche Verpflichtung für ein Cookie-Banner, wie man es mittlerweile auf vielen Seiten sieht.
Nutzer der Dienste Google AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange sind seitens Google bereits seit dem 30.09.2015 verpflichtet, über ein solches Banner die Zustimmung des Besuchers für die Verwendung von Cookies einzuholen. Die Notwendigkeit eines Cookie-Banners besteht nach deutschem Recht allerdings (noch) nicht. Möchte man dennoch bereits jetzt auf Nummer sicher gehen, sollte man einen solchen Hinweis auf die Verwendung von Cookies bereits einblenden.
Hierbei ist darauf zu achten, dass Pflichtangaben wie die Links zum Impressum und zur Datenschutzerklärung nicht überdeckt werden. Diese Links müssen stets unmittelbar erreichbar und ständig verfügbar sein. Werden Sie von einem Cookie-Banner überlagert, riskiert man eine Abmahnung. Auch muss darauf geachtet werden, dass diese Links nicht nur auf großen Bildschirmen jederzeit verfügbar sind, sondern auch auf Smartphones und Tablets nicht verdeckt werden.
Möchten Sie bereits jetzt einen solchen Hinweis auf Ihrer Seite verwenden, setzen wir für Sie gerne eine technisch korrekte Lösung für ein Cookie-Banner um.
Weitere Anforderungen der DSGVO
Abhängig von individuellen Faktoren, wie der Größe Ihres Unternehmens oder dem Verarbeiten von besonderen Daten (z.B. Gesundheitsdaten) ist es notwendig, dass Sie einen Datenschutzbeauftragten stellen. Auch andere Vorgaben müssen in bestimmten Fällen umgesetzt werden. Eine ausführlichere Übersicht dazu, haben wir Ihnen auf dieser Seite zusammengestellt.
Sprechen Sie uns zur DSGVO an
Als eRecht24 Agentur-Partner unterstützen wir unsere Kunden gerne bei den Vorgaben, die auf Ihrer Website im Zuge der DSGVO umgesetzt werden müssen.
Nehmen Sie dafür einfach Kontakt zu uns auf und wir schauen uns an, was auf Ihrer Website zu tun ist.