Zur Übersicht

Datenschutz neu! Das sind die wichtigsten Änderungen für Ihre Website laut DSGVO

Anna Schoch
Anna Schoch Aktualisiert am 17. Aug. 2020
Blog DSGVO Titelbild

Der Countdown läuft - nur noch wenige Tage bis die DSGVO in Kraft tritt. Stichtag ist der 25. Mai 2018. Wir möchten heute einen kurzen Überblick über die wichtigsten, für Websites relevanten, Themen geben, welche Sie genauer unter die Lupe nehmen sollten. 

Der Ansatz der DSGVO ist grundsätzlich sehr positiv: Sie will eine einheitliche Regelung im Umgang mit personenbezogenen Daten (dazu zählen E-Mail Adresse, Foto, Anschrift, IP-Adresse und Sozialversicherungsnummer) in Europa und damit mehr Sicherheit und Transparenz beim Datenschutz erzielen. Im Detail sind die Bestimmungen sehr umfangreich und teilweise noch unpräzise. Deshalb handelt es sich hier um Empfehlungen unsererseits, wie Sie zu einer DSGVO-konformen Website kommen. Wir übernehmen keinerlei Gewähr hinsichtlich Richtigkeit, Aktualität und Vollständigkeit der nachfolgenden Informationen. Die einzelnen Bereiche sollten Sie im Detail mit einem DSGVO-Experten oder Rechtsbeistand besprechen, da jede Website individuell betrachtet werden muss. 

Grundsätzlich fordert die DSVGO alle Datenverarbeitungsprozesse, Datenbestände und Datenflüsse zu dokumentieren und entsprechend anzupassen. Das betrifft in vielen Fällen auch die Website. Nämlich dann, wenn auf dieser personenbezogene Daten verarbeitet werden. Um diese DSGVO-konform zu machen, empfehlen wir als ersten Schritt Ihre Website zu analysieren, um festzustellen an welchen Stellen personenbezogene Daten erhoben werden. Auf diese Weise wird ersichtlich wo Handlungsbedarf besteht. 

Rechtsmäßig ist die Datenverarbeitung, wenn:

  • sie zur Erfüllung des Vertrags unmittelbar notwendig ist (z.B. Abwicklung eines Online-Kaufes).
  • berechtigtes Interesse des Datenverarbeiters vorliegt, sofern nicht die Interessen des Betroffenen überwiegen (z.B. Kundenbeziehung).
  • eine Einwilligung des Betroffenen für einen oder mehrere genau bezeichnete Zwecke vorliegt (z.B. Newsletterversand).
  • der Datenverarbeiter damit eine rechtliche Pflicht erfüllt (z.B. Gesetzliche Aufbewahrungspflicht).

Die wichtigsten Punkte im Überblick

1. Datenschutzerklärung

Für jede Website und jeden Webshop braucht es in Zukunft eine Datenschutzerklärung – das Impressum allein reicht nicht mehr aus. Darin muss nachvollziehbar sein, welche Daten ein Unternehmen von Besuchern erhebt, wie diese verwendet oder an Dritte weitergegeben werden und wie (bzw. ob) die Besucher dagegen Widerspruch einlegen können. 
Die formalen Anforderungen der Datenschutzerklärung lauten:

  • Präzise
  • Transparent
  • Verständlich
  • Leicht zugänglich
  • In klarer und einfacher Sprache verfasst
  • Die Rechtsgrundlage für die Datenverarbeitung benennen

Die Datenschutzerklärung muss klar ersichtlich und leicht auffindbar sein. Wir empfehlen einen Link im Footer.

2. SSL Verschlüsselung

Eine Verschlüsselung und Pseudonymisierung der Daten wird mittlerweile zwingend vorgeschrieben. Die sichere Datenübertragung ist ein wichtiges Thema der DSGVO – was ohne SSL Verschlüsselung kaum zu realisieren ist. Deshalb empfehlen wir, ein SSL Zertifikat einzusetzen. 

3. Cookies

Beim Einsatz von Cookies sind einerseits die Vorgaben der DSGVO (Datenschutzfreundliche Voreinstellungen  – auch bekannt als „Privacy by Default“) sowie das Telekommunikationsgesetz (TKG) zu beachten. Darüber hinaus werden die Anforderungen an den Einsatz von Cookies durch die voraussichtlich 2019 in Kraft tretende E-Privacy-Verordnung verschärft. Die gesetzlichen Vorgaben verlangen ein ein klares Opt-in. Dieser Grundsatz wird durch die E-Privacy-Verordnung noch strenger und der Nutzer muss jedem Cookie einzeln und nachweisbar zustimmen. Ein Beispiel hierzu wären die Cookie-Einstellungen auf www.onetrust.com . Der Besucher hat hier die Möglichkeit die Cookies einzeln zu aktivieren bzw. zu deaktivieren. 

Fest steht, dass der Website Besucher vorab darüber informiert werden muss, wenn die Website Cookies speichert. Es dürfen keine Informationen von Nutzern verarbeitet werden ohne seine explizite Einwilligung. Eine Website bzw. ein Webshop muss jedoch auch ohne Zustimmung des Besuchers uneingeschränkt funktionsfähig sein. Wir empfehlen bei der Cookie-Meldung einen Link zur Datenschutzerklärung einzubauen, um darin Art, Verwendung und Speicherung der Cookies konkret zu erläutern. 

4. Newsletter

Ein weiteres wichtiges Thema ist der Newsletter. Grundsätzlich dürfen Newsletter jeglicher Art nur nach ausdrücklicher Einwilligung durch den Empfänger versendet werden – ausgenommen bestehende Kunden. 
Wir empfehlen, unmittelbar in der Nähe des Anmeldeformulars einen Hinweis anzuzeigen. Ein mögliches Beispiel hierzu wäre:

„Der Newsletter informiert Sie über aktuelle Angebote und unsere Firma. Nähere Informationen zu Inhalten, Ihrer Anmeldung und Daten, dem Versand und der Auswertung sowie Abbestellmöglichkeiten erhalten Sie in der Datenschutzerklärung.“ + Link zur Datenschutzerklärung

Um die Einwilligung des Empfängers nachweisen zu können (hier gilt die Beweispflicht für den Absender) empfehlen wir Double-Opt-In für die Anmeldung einzusetzen. Das heißt, der Besucher erhält ein Bestätigungsmail mit einem Aktivierungslink und erst nach Klick auf den Link darf seine E-Mail-Adresse in den Newsletter-Verteiler aufgenommen werden.  

Der Besucher muss jederzeit, auf der Website & im Newsletter leicht auffindbar, die Möglichkeit haben sich vom Newsletter abzumelden. Haben Sie Mailchimp im Einsatz? Dann empfehlen wir eine Auftragsverarbeitungsvereinbarung (Data Processing Addendum) mit Mailchimp abzuschliessen. Auch mit anderen Dienstleistern (z.B. Google), die in Ihrem Auftrag personenbezogene Daten verarbeiten, sollten Sie eine solche Aufstragsverarbeitungsvereinbarung abschliessen. 

5. Kontaktformular

Verwenden Sie auf Ihrer Website Formulare, die personenbezogene Daten erheben, muss vom Nutzer aktiv sein Einverständnis eingeholt werden. Wir empfehlen, eine Checkbox mit entsprechendem Hinweis der Datenspeicherung und -verwendung. Wichtig: Die Checkbox darf standardmäßig nicht vorausgewählt sein. Ein mögliches Beispiel hierzu wäre:

„Ich bin mit der Erhebung / Speicherung meiner eingegebenen Daten und IP zur Kontaktaufnahme einverstanden.“ + Link zur Datenschutzerklärung

6. Bilder & Daten von Mitarbeitern auf Ihrer Website

Verwenden Sie auf Ihrer Website Bilder und Daten von Mitarbeitern? Dann müssen diese explizit die Erlaubnis dazu geben, sofern dies nicht bereits im Arbeitsvertrag geregelt ist.

7. Social Share-Buttons

Die meisten Einbindungen von Social Media und folglich auch Social Share Buttons stellen bereits beim Aufrufen der Website eine Verbindung zu sozialen Netzwerken (Facebook, Twitter, Google+ etc.) her. Auf diese Weise werden automatisch Nutzerdaten übertragen, noch bevor der Besucher einen dieser Buttons überhaupt geklickt hat. Auch hier gilt, dass ohne Zustimmung des Besuchers keine Daten an Social Media-Kanäle übertragen werden dürfen. 
Es gibt bereits eine 2-Klick-Lösung, bei der der Besucher durch einen Klick den Dienst zuerst aktiviert und somit zustimmt, dass die Daten an die jeweilige Social Media Plattform übertragen werden dürfen.  

Wenn Sie auf Ihrer Website Social Media Buttons im Einsatz haben, überprüfen Sie ob eine technische Implementierung gewählt wurde, bei der erst dann Daten übertragen werden, wenn der Besucher die Share-Funktion auch tatsächlich nutzt.

8. User- Login bzw. Registrierung

Gibt es auf der Website eine User-Registrierung für einen Login-Bereich, dürfen nur für diesen Zweck notwendige Daten gespeichert werden. Auch hier muss immer das Einverständnis des Nutzers und der entsprechende Hinweis in der Datenschutzerklärung gegeben sein.

Lassen Sie sich nicht verunsichern

Je genauer man hinschaut, desto komplexer und komplizierter wird das ganze DSGVO Thema! Es gibt noch viele ungeklärte Punkte und offene Fragen - selbst bei Experten. Wenn Sie sich bis jetzt noch nicht mit dem Thema befasst haben, beginnen Sie spätestens jetzt damit - jedoch müssen Sie nicht in Panik verfallen. Kurzfristig sind keine heftigen Strafen zu erwarten. Was ihre Website oder ihren Webshop betrifft reichen oft schon schon kleine Anpassungen, um erste Schritte Richtung DSGVO-Konformität zu machen. Generell können Sie davon ausgehen, dass die Dokumentations- und Informationspflicht umfassender wird und das Thema „Einwilligungen“ komplexer und unabdingbar wird. Machen Sie sich Gedanken über Fragen wie:

  • Welche Daten benötige ich wirklich? (Datenminimierung)
  • Wie und wo werden diese verarbeitet?
  • Habe ich eine Zustimmung die Daten zu verwenden?
  • Informiere ich den Besucher ausreichend darüber was mit seinen Daten passiert?
  • Wie sicher verwalte ich die Daten?
  • Kann ich einem Besucher Einsicht in seine Daten geben, wenn er das fordert?
  • Habe ich die Möglichkeit, die Daten, die ich über den Besucher sammle, zu löschen?

Erstellen Sie sich eine Agenda über die Punkte, die Sie in Angriff nehmen wollen und dokumentieren Sie das Ganze ordentlich. Sind Sie unsicher in gewissen Themen, ziehen Sie einen DSGVO Experten oder Rechtsbeistand zu Rate.

Im Zuge dessen möchten wir Sie nun noch auf unsere neue Datenschutzerklärung hinweisen, sowie einen weiteren Blogbeitrag zum Thema: „Neue Datenschutzgrundverordnung – to do's für Unternehmer“  von Dr. Christine Knecht-Kleber LLM.

Anna Schoch
Anna Schoch
Consultant
Anna arbeitet im Consulting-Team von MASSIVE ART. Sie entwickelt individuelle Konzepte für Webapplikationen und Onlineshops. Woher Sie die Power nimmt? Ihr tägliches "Vitamin-See" tankt sie zuhause in Hard mit Blick aufs Wasser.