Worum geht es?
Zunächst ein wichtiger Hinweis: Hierbei handelt es sich nicht um eine Rechtsberatung, sondern lediglich um Tipps und Informationen nach bestem Wissen und Gewissen. Solltet Ihr Euch bei gewissen Themen oder Inhalten unsicher sein, wendet Euch bitte an eine entsprechende Rechtsberatung.
Seit Mai 2018 und damit nun mittlerweile über ein halbes Jahrzehnt, gilt für alle Personen die Daten gleich welcher Art innerhalb der EU erfassen und/oder verarbeiten, die Datenschutzgrundverordnung (DSGVO).
Darunter fallen auch grundsätzlich alle Webseiten da diese Daten verarbeiten, die personenbezogen sowie nicht-personenbezogen sein können. Im Rahmen dessen sollte natürlich penibel darauf geachtet werden, dass die Webseite datenschutzkonform betrieben wird.
Bisher ausgesprochene Bußgelder der EU
Bei Nichteinhaltung der DSGVO drohen Abmahnungen oder im schlimmsten Fall empfindlich hohe Bußgelder der Aufsichtsbehörden.
In Europa wurden in den vergangenen fünf Jahren Bußgelder in Höhe von insgesamt ca. 2,8 Mrd. € verteilt. Jüngst wurde Meta neuer „Rekordhalter“ in Sachen Bußgeldhöhe, mit einer Strafankündigung in Höhe von 1,2 Mrd. €! (Quelle: Netzpolitik)
Eine Übersicht aller Bußgelder die im Bezug auf die DSGVO ausgesprochen wurden, findet Ihr hier:
https://www.enforcementtracker.com/.
Die wichtigsten Tipps für eine datenschutzkonforme Webseite!
Auf diese Dinge solltet Ihr bei Eurer Website unbedingt achten…
Daten, die eine Webseite in der Regel verarbeitet und warum keine Seite mehr ohne Cookie Hinweis auskommt, ist, dass grundsätzlich ein Datenaustausch stattfinden muss, um eine Webseite zu erreichen. Dabei muss die Datenverarbeitung immer zweckgebunden sein.
Das ist auch der Ursprung von „technisch notwendigen“ Cookies und nicht notwendigen, in der Regel auch Werbe-, Tracking- oder Marketing Cookies genannt.
Personenbezogene Daten sind dabei natürlich alle, die sich auf eine (natürliche) Person beziehen.
Dazu gehört beim Betrieb einer Website natürlich immer die IP-Adresse!
Aber auch weitere Userdaten die ggf. gemeinsam Rückschlüsse ziehen lassen, wie z. B.:
– der Zeitpunkt des Zugriffs,
– der verwendete Browser,
– der Ort des Zugriffs,
– ggf. noch Informationen zum Betriebssystem
Eine Verarbeitung dieser Daten darf natürlich weiterhin erfolgen, wichtig ist nur, dass es dafür eine Rechtsgrundlage als auch Information gibt. Sind diese Daten erforderlich und beispielsweise ausschließlich dazu da, um die Sicherheit und Funktionsfähigkeit der Webseite zu gewährleisten, dann wäre es „technisch notwendig“. Dann dürfen diese Daten jedoch nicht ausgewertet und gegebenenfalls für zielgerichtetes Marketing zum Einsatz kommen, denn das würde einem anderen Zweck der Verarbeitung entsprechen.
Kontaktformulare – ein Servicetool welches Gefahrenpotential birgt
Häufig unterschätzt und immer gut gemeint sind die sehr verbreiteten Kontaktformulare auf Webseiten.
Nicht nur, dass man dort unkompliziert direkt Anfragen eintippen und so auch ohne Zwischenschritt platzieren kann, sind Kontaktformulare auch immer wieder Ziel für Spam Bots oder Hacks.
Somit ist hier nicht nur der Datenschutz in Gefahr, sondern die komplette IT Sicherheit bedroht. Grundsätzlich gibt es keine 100-prozentige Sicherheit im Netz, dennoch gibt es Merkmale auf die – insbesondere bei einem Kontaktformular – zu achten ist:
– Captcha Abfrage
– SSL Verschlüsselung
– Im Sinne des Grundsatzes der Datenminimierung nur notwendige Daten abfragen
– Den Hinweis zum Kontaktformular unbedingt in die Datenschutzerklärung aufnehmen.
– Eine Checkbox einzubauen, bei der die Einwilligung zur Kontaktaufnahme und Verarbeitung der Daten bestätigt wird.
Tipps für eine datenschutzkonforme Webseite – Die 7 wichtigsten Anforderungen an Eure Webseite im Bezug auf die DSGVO
1. Die Datenschutzerklärung – neben dem Impressum wichtigstes Element auf der Website
Die Datenschutzerklärung ist ein absolutes Must-have auf Deiner Webseite! Jede Verarbeitung von personenbezogenen Daten muss darin beschrieben werden. Hierbei gilt, dass der Text immer in der Sprache der Webseite verständlich und so transparent und ausführlich wie möglich verfasst werden sollte.
Dass das Verfassen einer rechtskonformen Datenschutzerklärung – gerade für Personen, die nichts falsch machen und etwaige Abmahnung von Rechtsanwaltskanzleien oder Strafen der Datenschutzbehörde fürchten – kein leichtes Unterfangen sein kann, können wir natürlich nachvollziehen.
Gerade aus diesem Grund empfehlen wir hier einen Datenschutzbeauftragten zu konsultieren oder zumindest die kostenpflichtigen „Premium-Dienste“ von seriösen Datenschutzdienstleistern wie u. a. erecht24.de zu verwenden. Einzig in den Premium-Versionen dieser Dienstleister erhältst Du vollwertige Texte für Deine Datenschutzerklärung, Garantien und hilfreichen Support bei offenen Fragen.
Der Vollständigkeit halber möchten wir auch die kostenlosen Datenschutzerklärung-Generatoren erwähnen, wie z. B. ebenfalls von erecht24.de. Diese sollten jedoch mit Vorsicht und unter Vorbehalt verwendet werden. In diesen kostenlosen Versionen kann es durchaus sein, dass eine entsprechende Erklärung eventuell nicht alles Nötige abdeckt bzw. nicht explizit auf Eure Anforderung(en) abgestimmt ist. Diese kostenlosen Alternativen sind höchstens als Übergangslösung sinnvoll und sollten alsbald ersetzt werden.
2. Das Impressum – Keine Webseite ohne Impressum
Die Anforderung, dass eine Webseite ein Impressum enthalten muss, gibt es nicht erst seit dem 25. Mai 2018, sondern schon viel länger. Genauer gesagt schon seit dem Telemediengesetz (TMG) aus dem Jahre 2007! Im §5 des TMG ist festgelegt, dass eine Anbieterkennzeichnung vorhanden sein muss.
Das Impressum muss dabei folgende Angaben enthalten:
Firmenname und Rechtsform (wenn vorhanden).
Namen (Vor- & Nachname bei natürlichen Personen. Bei juristischen Personen der gesetzliche Vertretungsberechtigte).
Vollständige Anschrift (Postfächer sind grundsätzlich nicht ausreichend und wären nur in Ausnahmefällen erlaubt).
Kontaktmöglichkeiten (In der Regel E-Mail Adresse & Telefonnummer).
Ggf. Umsatzsteuer- oder Wirtschaftssteuer-ID.
Ggf. Handelsregisternummer oder ähnliche Registernummern wie z. B. Vereinsregister, Genossenschaftsregister etc..
Ebenso wie etwaig zuständige Aufsichtsbehörden oder Kammern (wie z. B. Handwerkskammer, Steuerberaterkammer, Ärztekammer).
Bei Online-Shops ist ein (bereits seit 2016) Link auf die Online-Streitbeilegungsplattform erforderlich.
Auch eine Information, ob man an einem Verbraucherschlichtungsverfahren teilnehmen würde, ist eine notwendige Information. Zwar nicht zwingend im Impressum, jedoch eignet sich dieser Ort (oder alternativ in der AGB) auf der Webseite am besten dafür.
3. Das SSL-Zertifikat – Verschlüsselung mittels TLS 1.2 & HTTPS
Um Daten möglichst vor fremden Zugriffen zu schützen, ist es natürlich notwendig, bestmögliche Sicherheitsvorkehrungen zu treffen. Dazu gehört natürlich die allseits bekannte Verschlüsselungstechnik per SSL Zertifikat. Diese Verschlüsselung gewährleistet eine möglichst sichere Datenübertragung zwischen Client und Server (sog. Ende-zu-Ende Übertragung).
Mithilfe dessen werden diverse personenbezogene Angaben eines Kontakt-, Bestell- oder Anmeldeformulars geschützt.
Sobald eine Website, die Ihr besucht, ein gültiges SSL-Zertifikat verwendet, erscheint im Adressfeld Eures Browsers vor der Domain ein Schloss-Symbol. Außerdem beginnt die URL mit https://….
Bei webgo ist ein Let’s Encrypt SSL-Zertifikat bereits ab dem (SSD) Webhosting Starter Paket inklusive! Darüber hinaus limitieren wir – im Gegensatz zu anderen Hostinganbietern – das LE-Zertifikat nicht auf die Hauptdomain. Ihr könnt somit bei uns auch für Eure Subdomains das SSL-Zertifikat einrichten.
4. Tracking & Cookies – den Daten auf der Spur
Einer der entscheidenden Beweggründe der EU-weit geltenden DSGVO war das „finanzielle Ausschlachten“ von Userdaten auf Basis von Besuchertracking auf Webseiten. Diese Userdaten waren teilweise alleiniger Wert eines Unternehmens und diese Datenverarbeitung und der häufig darauf folgende Verkauf dieser Daten geschah in der Regel ohne Kenntnis und Einverständnis der „Datenquellen“.
Je nachdem, welche Technologien mit der Webseite verknüpft sind, greifen diverse Dienste sämtliche Daten für analytische oder andere Zwecke ungefragt ab und verarbeiten diese auf fremden Servern. Dazu gehört auch das allseits bekannte Analyse-Tool Google Analytics.
Dies ist mitunter der Grund, warum Google Analytics (auch bekannt als Universal Analytics – UA oder auch GA3) nun von „GA4“ ersetzt wird. Fachleute sind sich jedoch auch bei der neuen Version nicht einig, ob Google Analytics 100 % DSGVO konform ist. In jedem Fall muss der Einsatz dieses Tools wie alles, „Datenverarbeitende“ in der Datenschutzerklärung unbedingt angegeben werden.
Eine bekannte Alternative zu Google Analytics ist matomo.
Solche Dienste können natürlich weiterhin genutzt werden, jedoch müssen diverse Vorkehrungen getroffen werden wie z. B., dass die IP-Adressen nur anonymisiert abgespeichert werden. Auch sollte vor allem beim Einsatz von Google Analytics ein Auftragsdatenverarbeitungsvertrag abgeschlossen werden, was direkt in den Einstellungen innerhalb des Dashboards von Google Analytics möglich ist.
Wichtig ist es auch sogenannte Opt-in Einstellungen durchzuführen, wodurch beim Websitebesuch erst explizit dem Tracking zugestimmt werden muss. Dies erfolgt in Form von Cookie-Meldungen. Dabei erscheint bei Aufruf einer Webseite meist ein Pop-up Fenster oder ähnliches, bei dem erst eine Zustimmung erfolgen soll. Wichtig hierbei ist, dass diese Zustimmung jederzeit auch wieder Widerrufen werden kann (Opt-out).
Ein beliebtes Tool, um entweder seine eigene Reichweite zu demonstrieren, Kommentare zu erhalten, bekannte Accounts zu zitieren und den eigenen Inhalt „aufzulockern“ oder auch dadurch zu versuchen, mehr Likes oder Follows zu generieren. All diese Interaktionsmöglichkeiten sind natürlich spannend und – sogar recht simpel – einzubinden. Mit sogenannten Social Media Plugins der jeweiligen Netzwerke. Denn natürlich haben die als „Datenkraken“ bekannte Netzwerke noch mehr „Datenhunger“, warum dann nicht auch noch mehr Daten außerhalb des eigenen Netzwerkes generieren und zudem noch kostenlos?
Grundsätzlich kann man sich folgenden Leitsatz dazu gut merken:
„Ist ein Dienst kostenlos, bist Du in der Regel die Ware.“
Mit Verwendung eines Social Media Plugins werden bei jedem Aufruf der Webseite automatisch und bereits bei Laden Daten erfasst und an das Netzwerk weitergeleitet. Ungeachtet dessen, ob mit dem Plugin interagiert wird und geschweige denn, ob man in diesem Netzwerk auch selber registriert ist.
Es gibt nur 2 Wege wie man ein Social Media Plugin rechtssicher einbinden kann.
Option 1: Die Zwei-Klick-Lösung
Eine DSGVO-konforme Lösung wäre die zusätzliche Aktivierung des Plugins durch einen weiteren aktiven Klick und die bewusste Zustimmung. Erst dann werden die entsprechenden Daten an die jeweiligen Netzwerke weitergeleitet.
Option 2: Die Shariff-Lösung
Noch nie gehört? Wir ehrlicherweise auch nicht! Und nein, es ist kein Tippfehler. Diese Lösung ist eine Weiterentwicklung der ersten Option. Die Daten werden genauso gut geschützt wie bei der Zwei-Klick-Lösung, jedoch ist kein zweiter Klick notwendig. Die Daten werden jedoch erst an das Netzwerk weitergegeben, wenn das Plugin aktiv genutzt wird. Z. B. durch liken, kommentieren oder ähnlichen Interaktionen.
Unser Tipp und der einfachste Weg ist schlicht auf derartige Social Media Plugins zu verzichten. Natürlich scheinen die Marketingmöglichkeiten dadurch eingeschränkt zu sein, sind es aber nicht wirklich, da der Mehrwert häufig geringer ist als man glauben mag.
6. Abmahnwelle – durch Google Fonts
Der Einsatz externer Schriften, wie z. B. Google Fonts werden beim Laden der Webseite i. d. R. vom Google Server nachgeladen.
Somit findet ein Datentransfer statt, welcher aus Perspektive des Datenschutzes „bedenklich“ ist. Diese Unkenntnis wurde eine Zeit intensiv „ausgenutzt“ und begründete eine sogenannte „Abmahnwelle“.
Derartige Massenabmahnungen sind jedoch nicht rechtens und es lohnt sich grundsätzlich dagegen vorzugehen und sich im Zweifel anwaltliche Hilfe zu holen oder auch an den „Deutschen Schutzverband gegen Wirtschaftskriminalität“ (DSW) zu wenden.
Um derartigen Schreiben und damit verbundenem Aufwand direkt vorzubeugen, gibt es dann eine recht simple Lösung:
Die Schriften einfach lokal auf dem eigenen Server speichern und von dort „laden“.
7. Auftragsverarbeitungsverträge – Vereinbarung zur Verarbeitung von Daten
Auch dieser Punkt ist eine wichtige Anforderung an Eure Webseite im Rahmen der DSGVO.
Der sogenannte AV-Vertrag (häufig auch AVV oder ADV – Auftragsdatenverarbeitungsvertrag genannt) kann und sollte mit allen Dienstleistern geschlossen werden, welche in irgendeiner Form auf Eurer Webseite eingesetzt werden. Darin wird u. a. festgehalten, welcher Zweck der Verarbeitung dem Vertrag zugrunde liegt und wie lange Daten aufbewahrt werden dürfen sowie wo die Rechte und Pflichten liegen.
Neben klassischen Diensten wie das oben erwähnte Google Analytics, ist es auch beim Einsatz von Newsletter-Diensten oder auch dem Hosting-Anbieter zwingend erforderlich. Bei webgo kann man seit Anfang an und ganz bequem über das webgo Kundenportal ein AV-Vertrag abschließen.
Ihr habt noch Fragen zu Eurem AV-Vertrag mit webgo oder seid Euch unsicher?
Wendet Euch jederzeit gerne an datenschutz@webgo.de und wir helfen Euch bestmöglich weiter!
Das sind die sieben wichtigsten Anforderungen im Hinblick auf die DSGVO! Wir hoffen Euch helfen die Tipps für eine datenschutzkonforme Webseite!
Wir sind gespannt auf Eure Erfahrungen aus 5 Jahren DSGVO.