Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-weite Datenschutzverordnung, die am 25. Mai 2018 in Kraft getreten ist. Sie regelt den Schutz personenbezogener Daten und betrifft somit auch Webseitenbetreiber.
Für Webseitenbetreiber bedeutet dies, dass sie sicherstellen müssen, dass personenbezogene Daten die auf ihrer Webseite verarbeitet werden, im Einklang mit der DSGVO stehen. Hierzu zählen beispielsweise Namen, E-Mail-Adressen, Telefonnummern und IP-Adressen. Auch das Setzen von Cookies und die Verwendung von Tracking-Tools unterliegen den Regelungen der DSGVO.
Was bedeutet die DSGVO für Sie?
Wer sich mit den 99 Artikeln der DSGVO auseinandersetzt, stellt fest, dass es in erster Linie um einen verantwortungsvollen Umgang mit persönlichen Daten und den Datenschutz geht. Wer also nur die Daten sammelt, die er auch wirklich braucht, diese Daten gegen unbefugten Gebrauch sichert und das Ganze auch noch ordentlich protokolliert, hat auch nicht allzu viel zu befürchten. Geht es um besonders „schützenswerte“ Daten, wie gesundheitliche Daten, politische oder sexuelle Ausrichtung, dann gelten etwas strengere Regeln. Doch mal im Ernst. Möchten Sie Daten über Ihre sexuellen Vorlieben, ohne Ihre Einwilligung im Internet wiederfinden? Sicher nicht.
Download des Gesetzes
So, wie das Gesetz fordert, „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ die Gründe für eine Datenspeicherung darzulegen, ist das Gesetz selbst leider nicht verfasst. Es obliegt natürlich Ihrem eigenen Anspruch, an der Sicherung Ihrer Informationen, ob Sie die Gesetzestexte im Original lesen möchten. Falls ja, können Sie den Text des Gesetzes, gerne als PDF downloaden, bzw. auf der offiziellen Seite der EU nach der aktuellsten Variante suchen. Wir haben übrigens bereits alle 99 Artikel für Sie (mehrmals) gelesen. Eine rechtliche Beratung können und möchten wir aber trotzdem nicht anbieten. Das ist einzig die Aufgabe von niedergelassenen Anwälten!
Checkliste DSGVO
Ist Ihre Datenschutzerklärung DSGVO-konform?
Ist Ihre Webseite verschlüsselt?
Einsatz eines Kontaktfomulars auf Ihrer Webseite
Versand von Newslettern
Einbindung von Social-Media
Einsatz von Analysetools
Einsatz von Cookies
Geben Sie keine personenbezogenen Daten per E-Mail weiter
Haben Sie einen Vertrag zur Auftragsverarbeitung mit Ihrem Webhoster?
Die Führung einer Datenschutzerklärung ist für Sie in der Regel Pflicht. Da es aber immer wieder neue Urteile über die Auslegung der DSGVO gibt, sollten Sie auf keinen Fall eine alte Datenschutzerklärung kopieren. Denn diese würde zum Einen vermutlich nicht alle aktuellen Erfordernisse abdecken, zum Anderen wäre dies aber vermutlich eine Verletzung von Urheberrechten. Dafür würden Sie auf alle Fälle eine Abmahnung riskieren!
Die DSGVO legt „zur Aufrechterhaltung der Sicherheit und zur Vorbeugung“ eine Verschlüsselung nahe, die „der Art der zu schützenden personenbezogenen Daten angemessen ist“. Diese Verschlüsselung geschieht zur Zeit (2024) durch ein SSL-Zertifikat. Eine verschlüsselte Seite erkennen Sie einfach am einleitenden „https://“ in der Adresszeile. Für die Verschlüsselung sprechen aber auch noch andere gewichtige Gründe. Denn die führenden Browser, Google Chrome und Firefox kennzeichnen seit Herbst 2018, Seiten ohne SSL als „unsicher“. Meist liefern die genannten Browser solche Seiten gar nicht mehr an den User aus. In Bezug auf Suchmaschinenoptimierung (SEO), haben Sie ohne Verschlüsselung allerdings schon seit längerer Zeit schlechte Karten bei Google.
Häufig sieht man den Einsatz von Formularen, die über eine Vielzahl von Feldern verfügen. Hier werden E-Mail-Adresse, Name, Adresse, Telefonnummer und vieles mehr abgefragt, das in dem jeweiligen Zusammenhang gar nicht nötig wäre. Hier sieht die neue Rechtsprechung ganz klar vor, dass die nötigen Felder als „Pflichtfelder“ gekennzeichnet sind. Die anderen Daten dürfen Sie in der Regel überhaupt nicht sammeln. Es sei denn, die Verarbeitung ist nach Artikel 6 der DSGVO zulässig. Wir informieren Sie auch gerne über Wissenswertes in Bezug auf Kontaktfomulare.
Möchten Sie Ihre Kunden mit Newslettern über neue Produkte oder Termine informieren, so müssen Sie speziell hierfür die Einwilligung einholen. Dafür ist ein sogenanntes „opt-in“ erforderlich, ein „double-opt-in“ jedoch anzuraten. Das bedeutet, dass sich Kunden auf Ihrer Seite für den Newsletter eintragen können, dabei aber ein Häckchen setzen müssen (opt-in). Nun senden Sie eine (automatisierte) E-Mail an den Kunden und fordern ihn dazu auf, mit einer Beantwortung der Mail, dem Newsletter zuzustimmen (double-opt-in). Dadurch soll verhindert werden, dass bestimmte E-Mail-Adressen bewusst bespamt, also ohne Einwilligung beschickt werden. Für Sie bietet dies den Vorteil zu wissen, dass es sich um eine existierende E-Mail-Adresse handelt und sich Ihr Kunde wirklich für Ihre Produkte interessiert.
Gerade im Bereich der SEO, aber auch der allgemeinen Kundenbindung, betreiben viele Firmen Seiten in den sozialen Netzwerken. Hierfür werden häufig „Like-Buttons“ auf der Webseite eingesetzt. Durch den direkten Einsatz solcher Like-Buttons, werden allerdings personenbezogene Daten an das jeweilige soziale Netzwerk übertragen, ohne dass der Besucher den Button geklickt hat und ohne dass der Besucher sich dagegen wehren kann. Dies ist übrigens einer Hauptgründe für die Einführung der DSGVO. Durch den Einsatz spezieller Techniken kann man allerdings verhindern, dass personenbezogene Daten an Facebook, "X" (Twitter), YouTube oder andere Netzwerke übermittelt werden.
Durch den Einsatz von Analysetools, senden Sie personenbezogene Daten an ein anderes Unternehmen. In diesem Fall müssen Sie auf alle Fälle einen Vertrag zur Auftragsdatenverarbeitung mit dem jeweiligen Unternehmen abschließen. Zusätzlich sollten Sie darauf achten, dass die Daten die EU nicht verlassen! Außerdem muss die IP-Adresse des Besuchers anonymisiert werden. Auf diese Analysetools müssen Sie hinweisen und dem Besucher die Möglichkeit des Widerspruchs einräumen bevor (!) er Ihre Seite besucht (siehe auch: Einsatz von Cookies).
Setzen Sie Cookies auf Ihrer Seite ein, um das Besucherverhalten Ihrer Besucher aufzuzeichnen, gelten hierfür spezielle Regeln. Zum Einen müssen Sie diese Datenerhebung vom Besucher genehmigen lassen, bevor (!) er Ihre Seite besucht. Der „Cookie-Balken“ darf also nicht nur auf den Einsatz von Cookies hinweisen, sondern muss die explizite Legitimation (opt-in) beinhalten. Zum Anderen herrscht hier das Kopplungsverbot. Will heißen: Der Besucher muss die Seite auch vollumfänglich betrachten können, wenn er dem Einsatz von Cookies widerspricht.
Sie werden jetzt sagen, dass Sie das sowieso nicht vorhaben. Doch wie lautet Ihre E-Mail-Adresse? Name@Mail-Dienst.com ist nicht erlaubt, da Sie hier die an Sie gesendeten Informationen, an den Betreiber von "Mail-Dienst.com" weitergeben. Handelt es sich dabei um einen Anbieter außerhalb der EU, ist dies besonders kritisch zu sehen. Name@meine-Seite.de ist zulässig, da Sie hier die Mail zusammen mit Ihrem Hostinganbieter verarbeiten. Im Übrigen sollten Sie, schon alleine in Bezug auf Ihre Außenwirkung, stets eine E-Mail-Adresse haben, die an Ihre Webseite gebunden ist.
Spätestens wenn Sie, wie unter Punkt 8 empfohlen, Ihre E-Mail-Adressen an Ihre eigene Webseite binden, sind Sie verpflichtet ein Vertrag zur Auftragsverarbeitung abzuschließen. Dies dürfte allerdings bei einem vertrauenswürdigen Hostinganbieter in der EU kein Problem darstellen. Wir bieten dies, im Rahmen unserer Tätigkeit als Hostinganbieter automatisch an.
Löschung von Daten
Nach Artikel 17 der DSGVO hat jeder das Recht auf Löschung seiner personenbezogenen Daten, sobald er die Einwilligung zur Speicherung widerruft. Sie sollten also darauf achten, sowohl das Auskunftsrecht, als auch das Löschrecht erfüllen zu können. Hierfür sollten Sie unbedingt ein Verarbeitungsverzeichnis führen (wozu Sie unter bestimmten Voraussetzungen auch verpflichtet sind). Das klingt erst einmal aufwändiger als es ist, denn einfach erklärt handelt es sich nur um eine Liste – die auch automatisch generiert werden kann – in der Sie auflisten, welche Daten zu welchem Zweck, wo gespeichert wurden. Dies kann Ihnen aber auch helfen, die gesammelten Daten besser zu strukturieren und damit effektiver auszuwerten. Wenn Sie sich von vornherein ein entsprechendes Löschkonzept für personenbezogene Daten erarbeiten, wird Ihnen ein späterer Auftrag auf Löschung, nur noch ein mildes Lächeln entlocken.
Bestellung eines Datenschutzbeauftragten
Normalerweise sind Sie verpflichtet, einen Datenschutzbeauftragten zu bestellen, sobald mehr als zehn Mitarbeiter mit der Verarbeitung personenbezogener Daten betraut sind. Sobald Sie aber Daten verarbeiten, die nach Artikel 9 der DSGVO zu den „besonderen Kategorien“ zählen, sind Sie auch mit weniger Mitarbeitern, zur Nennung eines Datenschutzbeauftragten verpflichtet. Ansonsten ist der Firmeninhaber, Verantwortlicher im Sinne des Datenschutzes.
Zusammenfassung der DSGVO für Ihre Webseite
Ganz egal, ob es sich um eine private Homepage (mit Einschränkungen), die Webseite
eines Vereins, oder einen professionellen Webauftritt handelt, trifft die DSGVO auf Sie zu. Die meisten
Vorschriften galten aber so oder so ähnlich bereits vor Inkrafttreten der DSGVO. Ebenso betreffen Sie
viele Vorschriften auch ohne dass Sie eine Webseite betreiben, denn die Speicherung von personenbezogenen
Daten, entsteht auch schon beim Führen eines Karteikastens!
Ebenso sehen Sie an diesem Leitfaden, dass es nur in manchen Randbereichen entscheidend ist, ob Sie
einen Handwerksbetrieb oder ein großes Unternehmen führen.
Sollten Sie jetzt aber denken, die Einhaltung der Datenschutzgrundverordnung sei kaum zu bewältigen,
kann ich Sie beruhigen. Wenden Sie sich mit Ihren Fragen und Bedenken an uns und wir werden sicher eine
praktikable Lösung finden. Dann werden Sie auch wieder sicher sein, vor ungerechtfertigten
Abmahnungen. Wir schützen Sie vor Abmahnungen, weil wir es können. Sicher!