DSGVO – 4 ein­fa­che Hand­lungs­an­wei­sun­gen für Web­sei­ten­be­trei­ber

Grafik eines Klemmbrettes

Check­lis­te für die DSGVO

Wir bie­ten hier für Sie eine kur­ze Check­lis­te mit den wich­tigs­ten 4 Punk­ten, die Web­sei­ten­in­ha­ber jetzt even­tu­ell beach­ten müs­sen.

Als aller­ers­tes soll­ten Sie aber tief durch­at­men und bei­na­he noch wich­ti­ger: Don’t Panic! Die DSGVO ist eines von vie­len Geset­zen, und das Inter­net hat auch den 25. Mai 2018 über­stan­den.

1. Die Daten­schutz­er­klä­rung

Wir ken­nen bereits das Tele­me­di­en­ge­setz (TMG) wel­ches im §5 für jede Web­seite ein Impres­sum for­dert, aus dem die Anschrift des Web­sei­ten­in­ha­bers ersicht­lich sein soll. Auch das Tele­me­di­en­ge­setzt haben wir alle über­lebt.

Die DSGVO for­dert nun zusätz­lich zum Impres­sum eine Daten­schutz­er­klä­rung.

Soll­ten Sie auf Ihrer Web­seite bereits eine Daten­schutz­er­klä­rung haben, so ist es rat­sam, die­se zu über­prü­fen. Die DSGVO regelt eini­ge Punk­te for­mal und inhalt­lich neu, sodass bereits bestehen­de Doku­men­te sehr wahr­schein­lich ange­passt wer­den müs­sen.

Für die Erstel­lung der Daten­schutz­er­klä­rung muss berück­sich­tigt wer­den, wel­che per­so­nen­be­zo­ge­nen Daten auf Ihrer Web­seite über­haupt erho­ben wer­den. Außer­dem muss für jede Daten­ver­ar­bei­tung eine Rechts­grund­la­ge benannt wer­den.

Es gibt online meh­re­re so genann­te Daten­schutz­er­klä­rungs-Gene­ra­to­ren.
Um die­se zu nut­zen, müs­sen Sie auf jeden Fall genau wis­sen, wel­che Tools, Coo­kies und Biblio­the­ken auf Ihrer Web­seite genutzt wer­den und wel­che per­so­nen­be­zo­ge­nen Daten die­se zu wel­chem Zweck erhe­ben. Außer­dem müs­sen Sie wis­sen, wel­che exter­nen Fir­men even­tu­ell Zugang zu den auf Ihrer Web­seite erho­be­nen per­so­nen­be­zo­ge­nen Daten haben.

Falls Sie sich in einem die­ser Punk­te unsi­cher sind, fra­gen Sie Ihren Web­de­si­gner oder Ihre Web­agen­tur.

2. Ver­schlüs­sel­te Über­tra­gung per­so­nen­be­zo­ge­ner Daten: Das SSL-Zer­ti­fi­kat

Die DSGVO ver­langt von Web­sei­ten­in­ha­bern einen ange­mes­se­nen tech­ni­schen Schutz von per­so­nen­be­zo­ge­nen Daten bei der Über­tra­gung auf den Ser­ver. Fak­tisch bedeu­tet das, dass alle Web­seiten, auf denen per­so­nen­be­zo­ge­ne Daten ein­ge­ge­ben wer­den kön­nen, mit­tels eines SSL-Zer­ti­fi­kats ver­schlüs­selt wer­den müs­sen.

Dar­un­ter fal­len zum Bei­spiel

  • alle Sei­ten, die ein Kon­takt- oder Anfra­ge­for­mu­lar ent­hal­ten
  • alle Sei­ten, auf denen ein Log-In ver­füg­bar ist
  • alle Sei­ten, auf denen eine E-Mail-Adres­se ein­ge­ge­ben wer­den kann (z.B. für einen Down­load oder zur Anmel­dung zu einem News­let­ter)
  • alle Sei­ten, auf denen etwas bestellt wer­den kann
  • alle Sei­ten, über die Zah­lun­gen getä­tigt wer­den

Soll­ten Sie nur eine ein­fa­che Infor­ma­ti­ons­sei­te haben, auf der Ihre Besucher nicht mit ihnen inter­agie­ren kön­nen, so benö­ti­gen Sie nicht unbe­dingt eine SSL-Ver­schlüs­se­lung. Wir emp­feh­len es Ihnen trotz­dem, sich über eine Ver­schlüs­se­lung Gedan­ken zu machen. Goog­le bevor­zugt beim Page-Ran­king Web­seiten mit SSL und Web­sei­ten­be­su­cher sind oft miss­trau­isch gegen­über einer Sei­te die vom Brow­ser als „unsi­cher“ gekenn­zeich­net wird.

Schau­en Sie sich ger­ne unse­re Web­hos­ting und Ser­ver Pake­te an! Wir tre­ten ein für ein siche­res Inter­net und bie­ten in allen Pake­ten kos­ten­lo­se Let’s Encrypt  SSL-Zer­ti­fi­ka­te mit an.

Icon eines Vorhängeschlosses

3. Die akti­ve Ein­wil­li­gung der Nut­zer zur Daten­ver­ar­bei­tung

In Arti­kel 6 der DSGVO wird grund­sätz­lich gefor­dert, dass die betrof­fe­ne Per­son ihre Ein­wil­li­gung zu der Ver­ar­bei­tung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten für einen oder meh­re­re bestimm­te Zwe­cke gege­ben haben muss.
Wer­den die per­so­nen­be­zo­ge­nen Daten für die Erfül­lung eines Ver­trags, des­sen Ver­trags­par­tei die betrof­fe­ne Per­son ist, oder zur Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men erfor­der­lich, die auf Anfra­ge der betrof­fe­nen Per­son erfol­gen, muss die­se Ein­wil­li­gung nicht unbe­dingt aus­drück­lich erteilt wer­den.

Zusätz­lich exis­tiert ein Urteil des Ober­lan­des­ge­richts Köln, wel­ches von Web­sei­ten­be­trei­bern for­dert, bei Kon­takt­for­mu­la­ren eine Ein­wil­li­gung der Nut­zer zur Ver­ar­bei­tung ihrer Daten ein­zu­ho­len.
Dies geschieht im Nor­mal­fall über eine Check­box, die der Nut­zer „abha­ken“ muss, bevor das For­mu­lar gesen­det wer­den kann. Der Ein­wil­li­gungs­text neben der Check­box soll­te einen Link zu ihrer Daten­schutz­er­klä­rung ent­hal­ten.

Für Betrei­ber von Online­shops ergibt sich hier eine Grau­zo­ne: Der Waren­korb des zukünf­ti­gen Kun­den wird über einen Coo­kie gespei­chert. Dar­aus erge­ben sich noch kei­ne Pro­ble­me, denn der Waren­korb ent­hält kei­ne per­so­nen­be­zo­ge­nen Daten. Gibt der Kun­de jedoch bereits im ers­ten Schritt des Check­out-Pro­zes­ses sei­ne Daten ein, so tut er dies zwar mit der Absicht, einen (Kauf-)vertrag mit dem Web­sei­ten­be­trei­ber ein­zu­ge­hen, ist die­sen aber noch nicht ein­ge­gan­gen. Struk­tu­riert man den Check­out-Pro­zess so, dass der Kun­de zuerst auf „Zah­lungs­pflich­tig bestel­len“ klickt und erst dann sei­ne Daten ein­gibt, so besteht zwar ein Kauf­ver­trag, Sie wis­sen jedoch noch nicht, mit wem.

Über die­ses The­ma wird momen­tan noch viel dis­ku­tiert und es wird uns nichts ande­res übrig blei­ben, als die ers­ten Gerichts­ur­tei­le abzu­war­ten.

 4. Daten­ver­ar­bei­tung durch exter­ne Dienst­leis­ter: AV-Ver­trä­ge

Sobald per­so­nen­be­zo­ge­ne Daten von Ihrer Web­seite an ande­re Dienst­leis­ter wei­ter­ge­lei­tet wer­den, for­dert die DSGVO, dass mit die­sen Dienst­leis­tern Auf­trags­ver­ar­bei­tungs-Ver­trä­ge (AV-Ver­trä­ge) geschlos­sen wer­den. Unter der alten Ter­mi­no­lo­gie des Bun­des­da­ten­schutz­ge­set­zes (BDSG) war das Doku­ment als Auf­trags­da­ten­ver­ar­bei­tungs-Ver­trag oder ADV-Ver­trag bekannt.

Per­so­nen­be­zo­ge­ne Daten dür­fen grund­sätz­lich nur mit Zustim­mung der jeweils betrof­fe­nen Per­so­nen an ande­re Unter­neh­men und Dienst­leis­ter über­tra­gen wer­den. Bei Daten, die auf Web­seiten ein­ge­ge­ben wer­den, ist dies prak­tisch nicht mög­lich, da zumin­dest der Web­hos­ter immer Zugriff auf die Daten haben kann. Hier hilft die Kon­struk­ti­on der Auftrags(daten)verarbeitung, um die Zustim­mung jedes ein­zel­nen Kun­den zur Wei­ter­ga­be sei­ner Daten zu umge­hen.

Dienst­leis­ter, die Zugriff auf per­so­nen­be­zo­ge­ne Daten Ihrer Web­sei­ten­be­su­cher haben könn­ten sind zum Bei­spiel

• Anbie­ter exter­ner News­let­ter
• Anbie­ter exter­ner Ticket-Sys­te­me
• Agen­tu­ren
• Exter­ne Call­cen­ter
• Exter­ne Buch­hal­ter

Mit jedem die­ser Dienst­leis­ter muss ein AV-Ver­trag abge­schlos­sen wer­den, in dem gere­gelt wird, wie der ent­spre­chen­de Dienst­leis­ter mit den Kun­den­da­ten umzu­ge­hen hat. Dar­un­ter fal­len zum Bei­spiel die Sicher­heit der Daten­über­tra­gung, der Schutz vor unbe­fug­tem Zugriff und das Ver­bot der Wei­ter­ga­be von Daten an ande­re Unter­neh­men.

Auch Goog­le Ana­ly­tics ver­ar­bei­tet Daten von Web­sei­ten­be­su­chern. Inwie­weit dies per­so­nen­be­zo­ge­ne Daten sind, ist nicht abschlie­ßend geklärt. Zumin­dest in dem Fall, das die Funk­ti­on „Anony­mi­zeIP“ in Goog­le Ana­ly­tics akti­viert ist, muss vom tech­ni­schen Stand­punkt her davon aus­ge­gan­gen wer­den, dass kein Per­so­nen­be­zug der erho­be­nen Daten her­ge­stellt wer­den kann. Da jedoch noch kei­ne ent­spre­chen­den Gerichts­ur­tei­le gespro­chen sind, kann nicht sicher aus­ge­schlos­sen wer­den, ob die von Goog­le Ana­ly­tics erho­be­nen Daten als per­so­nen­be­zo­ge­ne Daten gewer­tet wer­den.

Des­halb emp­feh­len wir jedem Web­sei­ten­be­trei­ber, der Goog­le Ana­ly­tics ein­ge­bun­den hat, einen AV-Ver­trag mit Goog­le abzu­schlie­ßen.
Dafür bie­tet Goog­le einen AV-Ver­trag zum Down­load an: http://www.google.com/analytics/terms/de.pdf

Eine Grafik eines chocolate chip cookies.

Goog­le Pro­duk­te und die „Coo­kie Mel­dung“

Die Richt­li­nie zur Ein­wil­li­gung der Nut­zer in der EU von Goog­le besagt, dass Web­sei­ten­be­trei­ber die Erlaub­nis von Ihren Nut­zern ein­ho­len müs­sen, bevor Sie die Pro­duk­te Goog­le AdSen­se oder Goog­le Dou­ble­Click ein­set­zen dür­fen.

Sofern Sie aus­schließ­lich Goog­le Ana­ly­tics ein­set­zen, ist es nicht expli­zit vor­ge­schrie­ben, dass Nut­zer die­sem Web­ana­ly­se-Tool aktiv zustim­men sol­len.

Hier stellt sich auch die Fra­ge, ob die Daten, die über die Web­ana­ly­se gesam­melt wer­den, per­so­nen­be­zo­ge­ne Daten sind.  Mit der Ein­stel­lung anony­mi­zeIP für Goog­le Ana­ly­tics wird Goog­le ange­wie­sen, die IP Adres­se zu ver­schlei­ern, womit eine Rück­ver­fol­gung auch für Goog­le unmög­lich wird. Damit kön­nen Goog­le Ana­ly­tics Daten nicht zu einem bestimm­ten Web­sei­ten­be­such oder einem bestimm­ba­ren Nut­zer zurück­ge­führt wer­den.

Die Coo­kie-Mel­dung für Goog­le-Pro­duk­te hat also nichts mit der DSGVO zu tun – vie­le Web­sei­ten­be­trei­ber rüs­ten aber, aus Angst vor einer all­ge­mei­nen Abmahn-wel­le, ihre Web­seiten jetzt mit die­sem Hin­weis nach.

 

Fazit

Mit die­sen Punk­ten sind Sie der DSGVO sehr gut auf der Spur.

Den­noch soll­ten Sie das The­ma wei­ter beob­ach­ten, denn die DSGVO ist ein neu­es Gesetz. Alle Betei­lig­ten, von Web­sei­ten­be­trei­bern und Unter­neh­men, über Anwäl­te bis hin zu Auf­sichts­be­hör­den und Gerich­ten wer­den noch eini­ge Zeit mit neu­en Pro­ble­men und Ent­wick­lun­gen kon­fron­tiert wer­den. Erst mit den ers­ten Urtei­len aus Gerichts­ver­fah­ren kann letzt­end­lich sicher gesagt wer­den, wel­che Maß­nah­men unbe­dingt ergrif­fen wer­den soll­ten, um allen Daten­schutz­richt­li­ni­en gerecht zu wer­den.

 

Holen Sie sich einen star­ken Part­ner an Ihre Sei­te: zie­hen Sie jetzt mit Ihrer Home­page zu sixhop.net um!

Ihr Vor­teil als Kun­de von sixhop.net: Bestand­teil unse­rer umfang­rei­chen Leis­tun­gen im Bereich Webseiten­erstellung ist selbst­ver­ständ­lich auch die Unter­stüt­zung bei der Umset­zung einer DSGVO-kon­for­men Daten­schutz­er­klä­rung und prak­ti­scher, anwalt­lich geprüf­ter Inhal­te zur DSGVO.

Der Wech­sel zu uns ist super ein­fach, denn wir betreu­en Sie per­sön­lich beim Umzug Ihrer Web­seite, Ihrer Daten­ban­ken und E-Mail Kon­ten.

Wir sind eine Web­agen­tur, kei­ne Anwalts­kanz­lei. Die­ser Arti­kel kann kei­ne Rechts­be­ra­tung beim Anwalt erset­zen.

Grafik eines Klemmbrettes

Check­lis­te für die DSGVO

Wir bie­ten hier für Sie eine kur­ze Check­lis­te mit den wich­tigs­ten 4 Punk­ten, die Web­sei­ten­in­ha­ber jetzt even­tu­ell beach­ten müs­sen.

Als aller­ers­tes soll­ten Sie aber tief durch­at­men und bei­na­he noch wich­ti­ger: Don’t Panic! Die DSGVO ist eines von vie­len Geset­zen, und die Chan­cen ste­hen mehr als gut, dass das Inter­net auch den 25. Mai 2018 über­lebt.

1. Die Daten­schutz­er­klä­rung

Wir ken­nen bereits das Tele­me­di­en­ge­setz (TMG) wel­ches im §5 für jede Web­seite ein Impres­sum for­dert, aus dem die Anschrift des Web­sei­ten­in­ha­bers ersicht­lich sein soll. Auch das Tele­me­di­en­ge­setzt haben wir alle über­lebt.

Die DSGVO for­dert nun zusätz­lich zum Impres­sum eine Daten­schutz­er­klä­rung.

Soll­ten Sie auf Ihrer Web­seite bereits eine Daten­schutz­er­klä­rung haben, so ist es rat­sam, die­se zu über­prü­fen. Die DSGVO regelt eini­ge Punk­te for­mal und inhalt­lich neu, sodass bereits bestehen­de Doku­men­te sehr wahr­schein­lich ange­passt wer­den müs­sen.

Für die Erstel­lung der Daten­schutz­er­klä­rung muss berück­sich­tigt wer­den, wel­che per­so­nen­be­zo­ge­nen Daten auf Ihrer Web­seite über­haupt erho­ben wer­den. Außer­dem muss für jede Daten­ver­ar­bei­tung eine Rechts­grund­la­ge benannt wer­den.

Es gibt online meh­re­re so genann­te Daten­schutz­er­klä­rungs-Gene­ra­to­ren.
Um die­se zu nut­zen, müs­sen Sie auf jeden Fall genau wis­sen, wel­che Tools, Coo­kies und Biblio­the­ken auf Ihrer Web­seite genutzt wer­den und wel­che per­so­nen­be­zo­ge­nen Daten die­se zu wel­chem Zweck erhe­ben. Außer­dem müs­sen Sie wis­sen, wel­che exter­nen Fir­men even­tu­ell Zugang zu den auf Ihrer Web­seite erho­be­nen per­so­nen­be­zo­ge­nen Daten haben.

Falls Sie sich in einem die­ser Punk­te unsi­cher sind, fra­gen Sie Ihren Web­de­si­gner oder Ihre Web­agen­tur.

Icon eines Vorhängeschlosses

2. Ver­schlüs­sel­te Über­tra­gung per­so­nen­be­zo­ge­ner Daten: Das SSL-Zer­ti­fi­kat

Die DSGVO ver­langt von Web­sei­ten­in­ha­bern einen ange­mes­se­nen tech­ni­schen Schutz von per­so­nen­be­zo­ge­nen Daten bei der Über­tra­gung auf den Ser­ver. Fak­tisch bedeu­tet das, das alle Web­seiten, auf denen per­so­nen­be­zo­ge­ne Daten ein­ge­ge­ben wer­den kön­nen, mit­tels einem SSL-Zer­ti­fi­kat ver­schlüs­selt wer­den müs­sen.

Dar­un­ter fal­len zum Bei­spiel

  • alle Sei­ten, die ein Kon­takt- oder Anfra­ge­for­mu­lar ent­hal­ten
  • alle Sei­ten, auf denen ein Log-In ver­füg­bar ist
  • alle Sei­ten, auf denen eine E-Mail-Adres­se ein­ge­ge­ben wer­den kann (z.B. für einen Down­load oder zur Anmel­dung zu einem News­let­ter)
  • alle Sei­ten, auf denen etwas bestellt wer­den kann
  • alle Sei­ten, über die Zah­lun­gen getä­tigt wer­den

Soll­ten Sie nur eine ein­fa­che Infor­ma­ti­ons­sei­te haben, auf der Ihre Besucher nicht mit ihnen inter­agie­ren kön­nen, so benö­ti­gen Sie nicht unbe­dingt eine SSL-Ver­schlüs­se­lung. Wir emp­feh­len es Ihnen trotz­dem, sich über eine Ver­schlüs­se­lung Gedan­ken zu machen. Goog­le bevor­zugt beim Page-Ran­king Web­seiten mit SSL und Web­sei­ten­be­su­cher sind oft miss­trau­isch gegen­über einer Sei­te die vom Brow­ser als „unsi­cher“ gekenn­zeich­net wird.

Schau­en Sie sich ger­ne unse­re Web­hos­ting und Ser­ver Pake­te an! Wir tre­ten ein für ein siche­res Inter­net und bie­ten in allen Pake­ten kos­ten­lo­se Let’s Encrypt  SSL-Zer­ti­fi­ka­te mit an.

 

 

3. Die akti­ve Ein­wil­li­gung der Nut­zer zur Daten­ver­ar­bei­tung

In Arti­kel 6 der DSGVO wird grund­sätz­lich gefor­dert, dass die betrof­fe­ne Per­son ihre Ein­wil­li­gung zu der Ver­ar­bei­tung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten für einen oder meh­re­re bestimm­te Zwe­cke gege­ben haben muss.
Wer­den die per­so­nen­be­zo­ge­nen Daten für die Erfül­lung eines Ver­trags, des­sen Ver­trags­par­tei die betrof­fe­ne Per­son ist, oder zur Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men erfor­der­lich, die auf Anfra­ge der betrof­fe­nen Per­son erfol­gen, muss die­se Ein­wil­li­gung nicht unbe­dingt aus­drück­lich erteilt wer­den.

Zusätz­lich exis­tiert ein Urteil des Ober­lan­des­ge­richts Köln, wel­ches von Web­sei­ten­be­trei­bern for­dert, bei Kon­takt­for­mu­la­ren eine Ein­wil­li­gung der Nut­zer zur Ver­ar­bei­tung ihrer Daten ein­zu­ho­len.
Dies geschieht im Nor­mal­fall über eine Check­box, die der Nut­zer „abha­ken“ muss, bevor das For­mu­lar gesen­det wer­den kann. Der Ein­wil­li­gungs­text neben der Check­box soll­te einen Link zu ihrer Daten­schutz­er­klä­rung ent­hal­ten.

Für Betrei­ber von Online­shops ergibt sich hier eine Grau­zo­ne: Der Waren­korb des zukünf­ti­gen Kun­den wird über einen Coo­kie gespei­chert. Dar­aus erge­ben sich noch kei­ne Pro­ble­me, denn der Waren­korb ent­hält kei­ne per­so­nen­be­zo­ge­nen Daten. Gibt der Kun­de jedoch bereits im ers­ten Schritt des Check­out-Pro­zes­ses sei­ne Daten ein, so tut er dies zwar mit der Absicht, einen (Kauf-)vertrag mit dem Web­sei­ten­be­trei­ber ein­zu­ge­hen, ist die­sen aber noch nicht ein­ge­gan­gen. Struk­tu­riert man den Check­out-Pro­zess so, dass der Kun­de zuerst auf „Zah­lungs­pflich­tig bestel­len“ klickt und erst dann sei­ne Daten ein­gibt, so besteht zwar ein Kauf­ver­trag, Sie wis­sen jedoch noch nicht, mit wem.

Über die­ses The­ma wird momen­tan noch viel dis­ku­tiert und es wird uns nichts ande­res übrig blei­ben, als die ers­ten Gerichts­ur­tei­le abzu­war­ten.

4. Daten­ver­ar­bei­tung durch exter­ne Dienst­leis­ter: AV-Ver­trä­ge

Sobald per­so­nen­be­zo­ge­ne Daten von Ihrer Web­seite an ande­re Dienst­leis­ter wei­ter­ge­lei­tet wer­den, for­dert die DSGVO, dass mit die­sen Dienst­leis­tern Auf­trags­ver­ar­bei­tungs-Ver­trä­ge (AV-Ver­trä­ge) geschlos­sen wer­den. Unter der alten Ter­mi­no­lo­gie des Bun­des­da­ten­schutz­ge­set­zes (BDSG) war das Doku­ment als Auf­trags­da­ten­ver­ar­bei­tungs-Ver­trag oder ADV-Ver­trag bekannt.

Per­so­nen­be­zo­ge­ne Daten dür­fen grund­sätz­lich nur mit Zustim­mung der jeweils betrof­fe­nen Per­so­nen an ande­re Unter­neh­men und Dienst­leis­ter über­tra­gen wer­den. Bei Daten, die auf Web­seiten ein­ge­ge­ben wer­den, ist dies prak­tisch nicht mög­lich, da zumin­dest der Web­hos­ter immer Zugriff auf die Daten haben kann. Hier hilft die Kon­struk­ti­on der Auftrags(daten)verarbeitung, um die Zustim­mung jedes ein­zel­nen Kun­den zur Wei­ter­ga­be sei­ner Daten zu umge­hen.

Dienst­leis­ter, die Zugriff auf per­so­nen­be­zo­ge­ne Daten Ihrer Web­sei­ten­be­su­cher haben könn­ten sind zum Bei­spiel

• Anbie­ter exter­ner News­let­ter
• Anbie­ter exter­ner Ticket-Sys­te­me
• Agen­tu­ren
• Exter­ne Call­cen­ter
• Exter­ne Buch­hal­ter

Mit jedem die­ser Dienst­leis­ter muss ein AV-Ver­trag abge­schlos­sen wer­den, in dem gere­gelt wird, wie der ent­spre­chen­de Dienst­leis­ter mit den Kun­den­da­ten umzu­ge­hen hat. Dar­un­ter fal­len zum Bei­spiel die Sicher­heit der Daten­über­tra­gung, der Schutz vor unbe­fug­tem Zugriff und das Ver­bot der Wei­ter­ga­be von Daten an ande­re Unter­neh­men.

Auch Goog­le Ana­ly­tics ver­ar­bei­tet Daten von Web­sei­ten­be­su­chern. Inwie­weit dies per­so­nen­be­zo­ge­ne Daten sind, ist nicht abschlie­ßend geklärt. Zumin­dest in dem Fall, das die Funk­ti­on „Anony­mi­zeIP“ in Goog­le Ana­ly­tics akti­viert ist, muss vom tech­ni­schen Stand­punkt her davon aus­ge­gan­gen wer­den, dass kein Per­so­nen­be­zug der erho­be­nen Daten her­ge­stellt wer­den kann. Da jedoch noch kei­ne ent­spre­chen­den Gerichts­ur­tei­le gespro­chen sind, kann nicht sicher aus­ge­schlos­sen wer­den, ob die von Goog­le Ana­ly­tics erho­be­nen Daten als per­so­nen­be­zo­ge­ne Daten gewer­tet wer­den.

Des­halb emp­feh­len wir jedem Web­sei­ten­be­trei­ber, der Goog­le Ana­ly­tics ein­ge­bun­den hat, einen AV-Ver­trag mit Goog­le abzu­schlie­ßen.
Dafür bie­tet Goog­le einen AV-Ver­trag zum Down­load an: http://www.google.com/analytics/terms/de.pdf

Eine Grafik eines chocolate chip cookies.

Goog­le Pro­duk­te und die „Coo­kie Mel­dung“

Die Richt­li­nie zur Ein­wil­li­gung der Nut­zer in der EU von Goog­le besagt, dass Web­sei­ten­be­trei­ber die Erlaub­nis von Ihren Nut­zern ein­ho­len müs­sen, bevor Sie die Pro­duk­te Goog­le AdSen­se oder Goog­le Dou­ble­Click ein­set­zen dür­fen.

Sofern Sie aus­schließ­lich Goog­le Ana­ly­tics ein­set­zen, ist es nicht expli­zit vor­ge­schrie­ben, dass Nut­zer die­sem Web­ana­ly­se-Tool aktiv zustim­men sol­len.

Hier stellt sich auch die Fra­ge, ob die Daten, die über die Web­ana­ly­se gesam­melt wer­den, per­so­nen­be­zo­ge­ne Daten sind.  Mit der Ein­stel­lung anony­mi­zeIP für Goog­le Ana­ly­tics wird Goog­le ange­wie­sen, die IP Adres­se zu ver­schlei­ern, womit eine Rück­ver­fol­gung auch für Goog­le unmög­lich wird. Damit kön­nen Goog­le Ana­ly­tics Daten nicht zu einem bestimm­ten Web­sei­ten­be­such oder einem bestimm­ba­ren Nut­zer zurück­ge­führt wer­den.

Die Coo­kie-Mel­dung für Goog­le-Pro­duk­te hat also nichts mit der DSGVO zu tun – vie­le Web­sei­ten­be­trei­ber rüs­ten aber, aus Angst vor einer all­ge­mei­nen Abmahn-wel­le, ihre Web­seiten jetzt mit die­sem Hin­weis nach.

Fazit

Mit die­sen Punk­ten sind Sie der DSGVO sehr gut auf der Spur.

Den­noch soll­ten Sie das The­ma wei­ter beob­ach­ten, denn die DSGVO ist ein neu­es Gesetz. Alle Betei­lig­ten, von Web­sei­ten­be­trei­bern und Unter­neh­men, über Anwäl­te bis hin zu Auf­sichts­be­hör­den und Gerich­ten wer­den noch eini­ge Zeit mit neu­en Pro­ble­men und Ent­wick­lun­gen kon­fron­tiert wer­den. Erst mit den ers­ten Urtei­len aus Gerichts­ver­fah­ren kann letzt­end­lich sicher gesagt wer­den, wel­che Maß­nah­men unbe­dingt ergrif­fen wer­den soll­ten, um allen Daten­schutz­richt­li­ni­en gerecht zu wer­den.

Wir von sixhop.net arbei­ten mit einer Anwalts­kanz­lei zusam­men, um für jeden unse­rer Kun­den eine maß­ge­schnei­der­te Lösung zu erstel­len – von der Daten­schutz­er­klä­rung über die Zustim­mungs-Check­box bis hin zur Coo­kie-Mel­dung.

 

Holen sie sich einen star­ken Part­ner an Ihre Sei­te: zie­hen Sie jetzt mit Ihrer Home­page zu sixhop.net um!

Ihr Vor­teil als Kun­de von sixhop.net: Bestand­teil unse­rer umfang­rei­chen Leis­tun­gen im Bereich Webseiten­erstellung ist selbst­ver­ständ­lich auch die Unter­stüt­zung bei der Umset­zung einer DSGVO-kon­for­men Daten­schutz­er­klä­rung und prak­ti­scher, anwalt­lich geprüf­ter Inhal­te zur DSGVO.

Der Wech­sel zu uns ist super ein­fach, denn wir betreu­en Sie per­sön­lich beim Umzug Ihrer Web­seite, Ihrer Daten­ban­ken und E-Mail Kon­ten.

Wir sind eine Web­agen­tur, kei­ne Anwalts­kanz­lei. Die­ser Arti­kel kann kei­ne Rechts­be­ra­tung beim Anwalt erset­zen.

DSGVO – 4 ein­fa­che Hand­lungs­an­wei­sun­gen für Web­sei­ten­be­trei­ber
4.5 (90%) 2 Bewertung[en]