Wir bieten hier für Sie eine kurze Checkliste mit den wichtigsten 4 Punkten, die Webseiteninhaber jetzt eventuell beachten müssen.
Als allererstes sollten Sie aber tief durchatmen und beinahe noch wichtiger: Don't Panic! Die DSGVO ist nur eines von vielen Gesetzen, die Sie als Bürger und Unternehmer beachten müssen. Das Internet wird auch den 25. Mai 2018 überstehen. Bevor Sie völlig verzweifeln, holen Sie sich professionelle Hilfe bei der Umsetzung der DSGVO. Wir bieten zum Beispiel in Kooperation mit einer Anwaltskanzlei an, Ihre Webseite zu überprüfen und nötige Änderungen auch zu implementieren. Mehr dazu finden Sie hier:"Rechtssichere Website - vom Anwalt geprüft"
Inhaltsverzeichnis
Checkliste für die DSGVO
1. Die Datenschutzerklärung
Wir kennen bereits das Telemediengesetz (TMG) welches im §5 für jede Webseite ein Impressum fordert, aus dem die Anschrift des Webseiteninhabers ersichtlich sein soll. Auch das Telemediengesetzt haben wir alle überlebt.
Die DSGVO fordert nun zusätzlich zum Impressum eine Datenschutzerklärung.
Sollten Sie auf Ihrer Webseite bereits eine Datenschutzerklärung haben, so ist es ratsam, diese zu überprüfen. Die DSGVO regelt einige Punkte formal und inhaltlich neu, sodass bereits bestehende Dokumente sehr wahrscheinlich angepasst werden müssen.
Für die Erstellung der Datenschutzerklärung muss berücksichtigt werden, welche personenbezogenen Daten auf Ihrer Webseite überhaupt erhoben werden. Außerdem muss für jede Datenverarbeitung eine Rechtsgrundlage benannt werden.
Es gibt online mehrere so genannte Datenschutzerklärungs-Generatoren.
Um diese zu nutzen, müssen Sie auf jeden Fall genau wissen, welche Tools, Cookies und Bibliotheken auf Ihrer Webseite genutzt werden und welche personenbezogenen Daten diese zu welchem Zweck erheben. Außerdem müssen Sie wissen, welche externen Firmen eventuell Zugang zu den auf Ihrer Webseite erhobenen personenbezogenen Daten haben.
Falls Sie sich in einem dieser Punkte unsicher sind, fragen Sie Ihren Webdesigner oder Ihre Webagentur.
2. Verschlüsselte Übertragung personenbezogener Daten: Das SSL-Zertifikat
Die DSGVO verlangt von Webseiteninhabern einen angemessenen technischen Schutz von personenbezogenen Daten bei der Übertragung auf den Server. Faktisch bedeutet das, dass alle Webseiten, auf denen personenbezogene Daten eingegeben werden können, mittels eines SSL-Zertifikats verschlüsselt werden müssen.
Darunter fallen zum Beispiel
- alle Seiten, die ein Kontakt- oder Anfrageformular enthalten
- alle Seiten, auf denen ein Log-In verfügbar ist
- alle Seiten, auf denen eine E-Mail-Adresse eingegeben werden kann (z.B. für einen Download oder zur Anmeldung zu einem Newsletter)
- alle Seiten, auf denen etwas bestellt werden kann
- alle Seiten, über die Zahlungen getätigt werden
Sollten Sie nur eine einfache Informationsseite haben, auf der Ihre Besucher nicht mit ihnen interagieren können, so benötigen Sie nicht unbedingt eine SSL-Verschlüsselung. Wir empfehlen es Ihnen trotzdem, sich über eine Verschlüsselung Gedanken zu machen. Google bevorzugt beim Page-Ranking Webseiten mit SSL und Webseitenbesucher sind oft misstrauisch gegenüber einer Seite die vom Browser als "unsicher" gekennzeichnet wird.
Schauen Sie sich gerne unsere Webhosting und Server Pakete an! Wir treten ein für ein sicheres Internet und bieten in allen Paketen kostenlose Let's Encrypt SSL-Zertifikate mit an.
3. Die aktive Einwilligung der Nutzer zur Datenverarbeitung
In Artikel 6 der DSGVO wird grundsätzlich gefordert, dass die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben haben muss.
Werden die personenbezogenen Daten für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen, muss diese Einwilligung nicht unbedingt ausdrücklich erteilt werden.
Zusätzlich existiert ein Urteil des Oberlandesgerichts Köln, welches von Webseitenbetreibern fordert, bei Kontaktformularen eine Einwilligung der Nutzer zur Verarbeitung ihrer Daten einzuholen.
Dies geschieht im Normalfall über eine Checkbox, die der Nutzer "abhaken" muss, bevor das Formular gesendet werden kann. Der Einwilligungstext neben der Checkbox sollte einen Link zu ihrer Datenschutzerklärung enthalten.
Für Betreiber von Onlineshops ergibt sich hier eine Grauzone: Der Warenkorb des zukünftigen Kunden wird über einen Cookie gespeichert. Daraus ergeben sich noch keine Probleme, denn der Warenkorb enthält keine personenbezogenen Daten. Gibt der Kunde jedoch bereits im ersten Schritt des Checkout-Prozesses seine Daten ein, so tut er dies zwar mit der Absicht, einen (Kauf-)vertrag mit dem Webseitenbetreiber einzugehen, ist diesen aber noch nicht eingegangen. Strukturiert man den Checkout-Prozess so, dass der Kunde zuerst auf "Zahlungspflichtig bestellen" klickt und erst dann seine Daten eingibt, so besteht zwar ein Kaufvertrag, Sie wissen jedoch noch nicht, mit wem.
Über dieses Thema wird momentan noch viel diskutiert und es wird uns nichts anderes übrig bleiben, als die ersten Gerichtsurteile abzuwarten.
4. Datenverarbeitung durch externe Dienstleister: AV-Verträge
Sobald personenbezogene Daten von Ihrer Webseite an andere Dienstleister weitergeleitet werden, fordert die DSGVO, dass mit diesen Dienstleistern Auftragsverarbeitungs-Verträge (AV-Verträge) geschlossen werden. Unter der alten Terminologie des Bundesdatenschutzgesetzes (BDSG) war das Dokument als Auftragsdatenverarbeitungs-Vertrag oder ADV-Vertrag bekannt.
Personenbezogene Daten dürfen grundsätzlich nur mit Zustimmung der jeweils betroffenen Personen an andere Unternehmen und Dienstleister übertragen werden. Bei Daten, die auf Webseiten eingegeben werden, ist dies praktisch nicht möglich, da zumindest der Webhoster immer Zugriff auf die Daten haben kann. Hier hilft die Konstruktion der Auftrags(daten)verarbeitung, um die Zustimmung jedes einzelnen Kunden zur Weitergabe seiner Daten zu umgehen.
Dienstleister, die Zugriff auf personenbezogene Daten Ihrer Webseitenbesucher haben könnten sind zum Beispiel
• Anbieter externer Newsletter
• Anbieter externer Ticket-Systeme
• Agenturen
• Externe Callcenter
• Externe Buchhalter
Mit jedem dieser Dienstleister muss ein AV-Vertrag abgeschlossen werden, in dem geregelt wird, wie der entsprechende Dienstleister mit den Kundendaten umzugehen hat. Darunter fallen zum Beispiel die Sicherheit der Datenübertragung, der Schutz vor unbefugtem Zugriff und das Verbot der Weitergabe von Daten an andere Unternehmen.
Auch Google Analytics verarbeitet Daten von Webseitenbesuchern. Inwieweit dies personenbezogene Daten sind, ist nicht abschließend geklärt. Zumindest in dem Fall, das die Funktion "AnonymizeIP" in Google Analytics aktiviert ist, muss vom technischen Standpunkt her davon ausgegangen werden, dass kein Personenbezug der erhobenen Daten hergestellt werden kann. Da jedoch noch keine entsprechenden Gerichtsurteile gesprochen sind, kann nicht sicher ausgeschlossen werden, ob die von Google Analytics erhobenen Daten als personenbezogene Daten gewertet werden.
Deshalb empfehlen wir jedem Webseitenbetreiber, der Google Analytics eingebunden hat, einen AV-Vertrag mit Google abzuschließen.
Dafür bietet Google einen AV-Vertrag zum Download an: http://www.google.com/analytics/terms/de.pdf
Google Produkte und die "Cookie Meldung"
Die Richtlinie zur Einwilligung der Nutzer in der EU von Google besagt, dass Webseitenbetreiber die Erlaubnis von Ihren Nutzern einholen müssen, bevor Sie die Produkte Google AdSense oder Google DoubleClick einsetzen dürfen.
Sofern Sie ausschließlich Google Analytics einsetzen, ist es nicht explizit vorgeschrieben, dass Nutzer diesem Webanalyse-Tool aktiv zustimmen sollen.
Hier stellt sich auch die Frage, ob die Daten, die über die Webanalyse gesammelt werden, personenbezogene Daten sind. Mit der Einstellung anonymizeIP für Google Analytics wird Google angewiesen, die IP Adresse zu verschleiern, womit eine Rückverfolgung auch für Google unmöglich wird. Damit können Google Analytics Daten nicht zu einem bestimmten Webseitenbesuch oder einem bestimmbaren Nutzer zurückgeführt werden.
Die Cookie-Meldung für Google-Produkte hat also nichts mit der DSGVO zu tun - viele Webseitenbetreiber rüsten aber, aus Angst vor einer allgemeinen Abmahn-welle, ihre Webseiten jetzt mit diesem Hinweis nach.
Fazit
Mit diesen Punkten sind Sie der DSGVO sehr gut auf der Spur.
Dennoch sollten Sie das Thema weiter beobachten, denn die DSGVO ist ein neues Gesetz. Alle Beteiligten, von Webseitenbetreibern und Unternehmen, über Anwälte bis hin zu Aufsichtsbehörden und Gerichten werden noch einige Zeit mit neuen Problemen und Entwicklungen konfrontiert werden. Erst mit den ersten Urteilen aus Gerichtsverfahren kann letztendlich sicher gesagt werden, welche Maßnahmen unbedingt ergriffen werden sollten, um allen Datenschutzrichtlinien gerecht zu werden.
Wir sind eine Webagentur, keine Anwaltskanzlei. Dieser Artikel kann keine Rechtsberatung beim Anwalt ersetzen.
Wer kann mich überhaupt abmahnen? Was ist der "bayerische Weg"?
Mehr Infos zur DSGVO, zu den spezifischen Rahmenbedingungen in Bayern und zu einem unserer beliebtesten Services: Lassen Sie Ihre Website individuell von einem spezialisierten Anwalt überprüfen!