DSGVO – Wie vermeide ich Abmahnungen bei meiner Website?

 

Die neue Datenschutz-Grundverordnung (kurz DSGVO) – die ab dem 25. Mai 2018 endgültig europaweit in Kraft tritt – sorgt bei vielen Unternehmern und Selbstständigen für große Kopfschmerzen. Viele Schritte müssen unternommen werden, um personenbezogene Daten von Kunden, Mitarbeitern und Lieferanten vor eventuellem Missbrauch zu schützen. Jeder Unternehmer und Selbstständige sammelt personenbezogene Daten. Viele Daten werden dabei auf der Unternehmens-Website erhoben. Sie müssen nun sicherstellen, dass diese DSGV-konform geändert werden. Wenn das versäumt wird, drohen ab dem 25. Mai Abmahnungen, denn es lässt sich schnell feststellen, ob die Seite DSGVO-konform ist oder nicht.

DSGVO – Welche Websites sind betroffen?

Das ist relativ einfach zu beantworten: fast alle. Lediglich Webseiten, die ausschließlich persönlichen oder familiären Zwecken dienen, sind ausgeschlossen. Womöglich sammeln Sie auf Ihrer Unternehmensseite ebenfalls keine Daten ein: Sie haben keine Anmeldemöglichkeit zu einem Newsletter, es gibt noch nicht einmal ein Kontaktformular auf Ihrer Seite. Auch Analysetools wie Google Analytics setzen Sie nicht ein. Dann könnten Sie jetzt denken, das ist ja großartig, geht mich also nichts an. Das stimmt leider nicht. Denn ruft ein Besucher Ihre Website auf, wird dessen IP-Adresse übertragen. Und diese fallen unter den Begriff der personenbezogenen Daten.

Schauen wir uns an, was Sie nun erledigen sollten, um Ihre Webseite DSGVO-konform zu machen und auf diese Weise Abmahnungen und Bußgelder zu vermeiden.

Mit einem SSL-Zertifikat die Website verschlüsseln

Was viele nicht wissen: Die DSGVO gilt bereits seit zwei Jahren, am 25. Mai 2018 läuft nur die Übergangsfrist aus. Das bedeutet, dass alle Internetseiten, die personenbezogene Daten (Kontaktformular, Newsletteranmeldung, Analysetools …) auf ihrer Internetseite sammeln, verschlüsselt sein müssen. Diese Verschlüsselung erkennen Sie daran, das die URL einer Seite mit https:// anfängt. Die Browser kennzeichnen dazu diese Seiten in der Regel mit dem Symbol von einem Vorhängeschloss, dass vor der URL steht. Bei einigen Browsern wird dieses dazu grün angezeigt. Ein SSL-Zertifikat können Sie bei Ihrem Webmaster oder Provider bestellen. In vielen Fällen reicht ein kostenloses Let’s Encrypt- Zertifikat aus.

Wichtig: Sie sollten Ihre Seite auf jeden Fall mit einem SSL-Zertifikat versehen. Viele Browser wie beispielsweise Google Chrome oder der Internet Explorer warnen vor nicht verschlüsselten Seiten. Potenzielle Besucher können so vor dem Besuch Ihrer Seite abgeschreckt werden. Dazu ist es ziemlich umständlich, sich durch die ganzen Warnhinweise durchzuklicken, um doch noch auf die Seite zu kommen. Auch das kann dazu führen, dass Besucher lieber auf eine andere Webseite gehen, als sich bei Ihnen durchzukämpfen.

 Hinweis:Überprüfen Sie nach der Installation, ob eine Weiterleitung von der bisherigen http- zu der neuen https-Seite eingerichtet wurde. Das ist deshalb wichtig, da ansonsten gesetzte Lesezeichen oder Links, die auf Ihre Seite verweisen, immer noch auf die alte, nicht verschlüsselte http-Adresse verweisen, und damit nicht sicher sind. Es kann passieren, dass Bilder oder Unterseiten nicht weitergeleitet werden. Damit wird Ihre Website in vielen Browsern nur als teilweise sicher angezeigt und die Besucher müssen sich durch die gleichen Warnhinweise wie gerade beschrieben durchklicken. Ihr Administrator muss dann in der Datenbank dafür sorgen, dass alle Seiten und Bilder richtig weitergeleitet werden.

Kontakt- und Anmeldeformulare, Kommentarfunktion bei Blogs

Jedes Formular auf Ihrer Website, über das Sie personenbezogene Daten einsammeln (Name, Mailadresse …) müssen Sie sich genau anschauen. Wichtig ist hie die Frage, welche Daten von dem Nutzer Sie tatsächlich benötigen, um seine Anfrage zu beantworten. Denn nur die dürfen als Pflichtfeld gekennzeichnet sein, alles andere sind Daten, die der Nutzer freiwillig geben kann aber nicht geben muss.

Für eine Newsletter-Anmeldung benötigt man grundsätzlich nur die Mail-Adresse des Interessenten. Jetzt können Sie natürlich sagen, Sie möchten die Abonnenten persönlich im Newsletter ansprechen. Dann können Sie natürlich Vor- und Zuname abfragen, das darf aber nicht mehr ein Pflichtfeld sein, so wie bisher. Pflichtfelder müssen dazu klar gekennzeichnet sein. Das wäre im Falle einer Newsletter-Anmeldung die Mail-Adresse. Für alle anderen Daten, die Sie gerne hätten, gilt: Dem Nutzer muss klar sein, dass diese Angaben freiwillig sind und er sie nicht eintragen muss.

Auch beim klassischen Kontaktformular gilt das Gleiche: Was benötigen Sie, um die Anfrage des Nutzers schnell beantworten zu können. Es reicht in der Regel die Mailadresse. Wenn für die Beantwortung der Anfrage etwas per Post versendet werden muss, so müssen Sie dies entsprechend vermerken und klarstellen, was mit den Daten des Nutzers passiert (siehe dazu auch den Punkt Datenschutzerklärung).

Sie können jetzt auch nicht mehr die erhobenen Daten einfach weiterverwenden. Schickt Ihnen ein Nutzer zum Beispiel seine Mailadresse, um mit Ihnen einen Termin zu vereinbaren, dürfen Sie ihm nicht einfach danach in den Newsletterverteiler aufnehmen. Dafür benötigen Sie eine zusätzliche Einwilligung!

Unter den jeweiligen Formularen fügen Sie einen Text ein, der klarstellt, was mit den erhobenen Daten passiert und in dem auf die Datenschutzerklärung verlinkt wird. Das der Text von dem Nutzer gelesen wurde, lassen Sie sich durch eine Checkbox, die angeklickt werden muss, bestätigen. Erst wenn diese Checkbox angeklickt wird, kann der Nutzer auch seinen Anfrage senden!

Hier sind zwei Beispiele, wie entsprechende Texte aussehen können:
»Ich stimme zu, dass meine Angaben aus dem Kontaktformular zur Beantwortung meiner Anfrage erhoben und verarbeitet werden. Die Daten werden nach abgeschlossener Bearbeitung Ihrer Anfrage gelöscht. Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail an xxx@xxxxxx.xx widerrufen. Detaillierte Informationen zum Umgang mit Nutzerdaten finden Sie in unserer Datenschutzerklärung.

»Wir verarbeiten Ihre Vertragsdaten (z.B. in Anspruch genommene Leistungen, Namen von Kontaktpersonen, Zahlungsinformationen) um unsere vertraglichen Verpflichtungen und Serviceleistungen gemäß Art. 6 Abs. 1 lit b. DSGVO zu erfüllen. Die in Onlineformularen als verpflichtend gekennzeichneten Angaben sind für den Vertragsschluss erforderlich. Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail an xxx@xxxxxx.xx widerrufen. «

Datenschutzerklärung

Diese ist wie ein Impressum schon lange Pflicht, es kommen allerdings durch die DSGVO neue Informationspflichten hinzu. So müssen nun alle Dienste (z. B. Google Analytics oder andere Analysetools) und Plug-Ins, die auf der Website verwendet werden und mit denen Daten einem weiteren Dienstleister zugänglich gemacht werden, aufgeführt werden. Das gilt auch für den von Facebook zur Verfügung gestellten Like Button oder für Google Captcha. Ein beliebtes Plug-In ist Akismet, das Spam-Kommentare herausfiltert. Es gibt allerdings auch personenbezogene Daten weiter. Fragen Sie Ihren Administrator, welche Plug-Ins und Tools auf Ihrer Website eingesetzt werden, so dass Sie das in Ihre Datenschutzerklärung aufnehmen können.

Auf der Website der Uni Münster finden Sie eine seriöse Musterdatenschutzerklärung, die sie an Ihre Bedürfnisse anpassen können. Wenn Sie sich nicht sicher sind, sollten Sie auf jeden Fall die Erklärung durch einen spezialisierten Anwalt überprüfen lassen.

Einen sehr guten Artikel über das Thema Datenschutzerklärung finden Sie auf der Onlinepräsenz des Unternehmermagazins Impulse.

Analyse-Tools

Viele Websites nutzen Analyse-Tools, um zu schauen, wie viele Besucher auf die Seite kommen, wie lange sie auf welcher Seite geblieben sind und einiges mehr. Das bekannteste Tool ist mit Sicherheit Google Analytics. Bei diesen Tools werden immer die IP-Adressen der Besucher gesammelt und die gehören wie bereits erwähnt zu den personenbezogenen Daten. Diese IP-Adresse muss anonymisiert werden, so dass nicht mehr erkennbar ist, woher bzw. von wem sie kommt. Dafür gibt es einen speziellen Befehl, der in den Quellcode Ihrer Website eingebaut sein muss. Fragen Sie dazu Ihren Administrator. Informationen dazu finden Sie unter dieser Webadresse:

https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

Hinweis: Sie müssen mit den Anbietern dieser Tools einen Vertrag zur Auftragsverarbeitung schließen und selbstverständlich in Ihrer Datenschutzerklärung darauf hinweisen, dass Sie dieses Tool verwenden. Weiterhin gehört nun ein Link zu den Nutzungs- und Datenschutzbestimmungen des Anbieters mit rein und eine Widerspruchsmöglichkeit, die sogenannte Opt-Out-Funktion. Damit kann der Nutzer dafür sorgen, dass seine Daten nicht mehr an die Anbieter der Analyse-Tools weitergegeben werden.

Die meisten Website-Betreiber verwenden Google-Analytics. Sie können hier das entsprechende Auftragsverarbeitungsformular für einen Vertrag mit Google herunterladen:

http://www.google.com/analytics/terms/de.pdf

Sie können allerdings auch in Ihrem Google-Analytics-Konto elektronisch zustimmen. Sie finden den entsprechenden Punkt unter Verwaltung > Kontoeinstellung. Wie Sie die gerade beschriebene Opt-Out-Funktion integrieren, wird hier bei Google beschrieben:

https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable

Cookie-Warnungen

Cookies sind kleine Dateien bzw. Daten, die von den Besuchern Ihrer Website auf Ihrem Rechner gespeichert werden. In manchen Browsern hat jedes Cookie eine eigene Datei, in Firefox werden alle Cookies in einer Datei gespeichert, die im Benutzerprofil abgelegt ist. In Cookies werden Informationen über persönliche Seiteneinstellungen wie z. B. eine Spracheinstellung, aber auch einmal eingegebene Namen, Adressen etc., gespeichert. Kommt ein Benutzer nach einiger Zeit wieder auf Ihre Website, werden die gespeicherten Information automatisch und es werden die individuellen und angepassten Informationen des Besuchers angezeigt.

Bei vielen neuen Gesetzen und Verordnungen gibt es am Anfang (und später leider auch noch) viele Rechtsunsicherheiten. Das gilt im Rahmen der DSGVO zum Beispiel für die Verwendung von Cookies. Um aber Abmahnungen und damit unnötige Rechtsstreitigkeiten zu vermeiden, sollten Sie von den Besuchern Ihrer Website beim ersten Aufruf der Seite in einer sogenannten Cookie-Warnung deren Einwilligung einholen. Der Text sollte so konkret wie möglich gehalten werden.

Ein möglicher Text könnte so aussehen:
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

Wichtig:Achten Sie unbedingt darauf, dass die Cookie-Warnung nicht über dem Impressum steht und das Impressum erst dann zu sehen ist, wenn die Cookie-Warnung angeklickt wurde oder der Nutzer in der Seite scrollt. Das ist abmahnpflichtig, da nach § 5 Telemediengesetz (TMG) das Impressum stets unmittelbar erreichbar und ständig verfügbar auf der Webseite stehen muss. Wenn der Cookie-Banner aber über dem Impressum liegt, ist das nicht mehr der Fall! Das Gleiche gilt auch für die Datenschutzbestimmungen.

Hier finden Sie ein passendes PlugIn für WordPress, die Sie auf Ihrer Website einbinden können:

https://de.wordpress.org/plugins/cookie-notice/

Social-Media-PlugIns und eingebettete Videos

Verwenden Sie keine Social-Media-PlugIns, die Ihnen von Facebook und Co. angeboten werden. Mit diesen PlugIns können Nutzer Ihrer Seite diese direkt z. B. in Facebook liken. Allerdings werden dort vom Benutzer unbemerkt personenbezogene Daten gesammelt, um auf diese Weise detaillierte Persönlichkeitsprofile zu erstellen. Tatsächlich ist das einer der ursprünglichen Gründe, die DSGVO ins Leben zu rufen. Man wolle es den großen Internetkonzernen schwerer machen, an diese Daten so ohne weiteres heranzukommen. Am besten ist es, wenn Sie diese Button einfach entfernen und lediglich mit einem Link auf Ihre Social-Media-Profile verweisen. Eine Alternative bietet das von dem Computermagazin c’t entwickelte PlugIn »Shariff«. Damit lassen sich Datenschutzkonforme Teilen-Buttons auf der eigenen Website einbinden.

Wenn Sie auf Ihrer Webseite Videos beispielsweise von Youtube oder Vimeo eingebunden haben, müssen Sie auch diese überprüfen. Denn je nachdem, wie z. B. ein Youtube-Video eingebettet ist, überträgt es automatisch Daten an Youtube und damit an Google. Wie Sie Videos von Youtube datenschutzkonform einbetten, können Sie sich bei diesem Beitrag anschauen:

https://www.blogmojo.de/youtube-videos-datenschutzkonform-einbetten/

Für Vimeo ist mir zur Zeit noch keine Lösung bekannt, sobald ich da etwas gefunden habe, werde ich den Artikel aktualisieren.

Newsletter-Versand

Verwenden Sie für den Versand Ihrer Newsletter Dienst wie Newsletter2go, Mail Chimp, KlickTipp, CleverReach oder Evalanche, müssen Sie mit dem entsprechenden Dienstleister einen Vertrag zur Auftragsverarbeitung abschließen. Falls sich Ihr Dienstleister noch nicht bei Ihnen gemeldet hat, fragen Sie dort nach einer entsprechenden Vereinbarung. In der Datenschutzverordnung muss auf den Dienstleister hingewiesen werden und was dort mit den Daten geschieht.

Schauen Sie sich auch Ihr Anmeldeformular an. Da wie bereits oben erwähnt, für die Anmeldung zu einem Newsletter lediglich die Mailadresse benötigt wird, dürfen andere Felder im Anmeldeformular keine Pflichtfelder mehr sein. Dazu müssen Sie die Nutzer über die Verwendung der Daten aufklären und einen Link zu Ihrer Datenschutzerklärung mit einbauen.

Weisen Sie die Nutzer auf jeden Fall deutlich darauf hin, dass sie ihre Einwilligung für den Erhalt eines Newsletters jederzeit widerrufen können. Im Idealfall bauen Sie noch einen Link zu einem Abmeldeformular mit ein.

Wichtig ist auch, dass Sie für die Anmeldung zu Ihren Newslettern das Double-Opt-In-Verfahren nutzen. Das bedeutet, dass der Nutzer nach der Anmeldung auf Ihrer Seite erst noch eine Bestätigungsmeldung an seine Mailadresse, die er eingetragen hat, erhält, und dort einen Bestätigungslink anklicken muss. Damit wird gewährleistet, dass er auch tatsächlich der Inhaber des angegebenen Postfachs ist.

Provider und Auftragsdatenverarbeitung

Falls Ihr Provider personenbezogene Daten verarbeitet, was beispielsweise bei der E-Mail-Verwaltung der Fall ist, dann liegt eine Auftragsverarbeitung vor und Sie müssen mit ihm einen entsprechenden Vertrag abschließen. Wenn Sie sich hier nicht sicher sind, fragen Sie auf jeden Fall bei ihrem Provider nach. Auch hier finden Sie bei dem Unternehmermagazin »Impulse« einen umfangreichen Artikel, was es bei diesen Verträgen zu beachten gibt.

Blogs

Ein Blog ohne Kommentarfunktion lohnt sich nicht wirklich. Man möchte ja mit den Nutzern in den Dialog treten. Allerdings werden dann natürlich auch mal wieder personenbezogene Daten gespeichert. Sie müssen folglich auch hier dafür sorgen, dass dem Nutzer genau erklärt wird, was mit seinen Daten geschieht und auf die Datenschutzerklärung verweisen. Bei WordPress gibt es dafür gängige PlugIns wie beispielsweise WP GDPR Compliance.

Wird der Kommentator per Mail darüber informiert, wenn es weitere Kommentare zu dem von ihm kommentierten Beitrag gibt, werden wieder Informationen erfasst. Auch dafür wird ein explizites Einverständnis benötigt.

Eine Checklist für Blogger finden Sie hier:
https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/

Hinweis zum Schluss

Wenn Sie diese Hinweise umsetzen, sollte Ihre Website so aufbereitet sein, dass Sie keine Abmahnungen fürchten müssen. Doch nun folgt natürlich der obligatorische Hinweis: Dieser Beitrag ist keine Rechtsberatung, da ich kein Jurist bzw. Rechtsanwalt bin. Somit kann ich auch keine Haftung übernehmen. Denn ich weiß ja gar nicht, was Sie so alles auf Ihrer Website verwendet haben. Wenn Sie 100prozentig sicher gehen wollen, lassen Sie einen spezialisierten Anwalt über Ihre Website schauen.

Sie können mich aber auch gerne kontaktieren und noch Fragen zu diesem Artikel stellen. Schreiben Sie mir eine Nachricht oder rufen Sie mich einfach gerne an.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.
Sie müssen den Bedingungen zustimmen, um fortzufahren

Menü