DSGVO – 4 ein­fa­che Hand­lungs­an­wei­sun­gen für Webseitenbetreiber

Wir bie­ten hier für Sie eine kur­ze Check­lis­te mit den wich­tigs­ten 4 Punk­ten, die Web­sei­ten­in­ha­ber jetzt even­tu­ell beach­ten müssen.

Als aller­ers­tes soll­ten Sie aber tief durch­at­men und bei­na­he noch wich­ti­ger: Don’t Panic! Die DSGVO ist nur eines von vie­len Geset­zen, die Sie als Bür­ger und Unter­neh­mer beach­ten müs­sen. Das Inter­net wird auch den 25. Mai 2018 über­ste­hen. Bevor Sie völ­lig ver­zwei­feln, holen Sie sich pro­fes­sio­nel­le Hil­fe bei der Umset­zung der DSGVO. Wir bie­ten zum Bei­spiel in Koope­ra­ti­on mit einer Anwalts­kanz­lei an, Ihre Web­seite zu über­prü­fen und nöti­ge Ände­run­gen auch zu imple­men­tie­ren. Mehr dazu fin­den Sie hier:„Rechts­si­che­re Web­site – vom Anwalt geprüft“

4.8/5 – (40 votes) 

Check­lis­te für die DSGVO

1. Die Datenschutzerklärung

Icon "Klemmbrett" als Sinnbild für Test

Wir ken­nen bereits das Tele­me­di­en­ge­setz (TMG) wel­ches im §5 für jede Web­seite ein Impres­sum for­dert, aus dem die Anschrift des Web­sei­ten­in­ha­bers ersicht­lich sein soll. Auch das Tele­me­di­en­ge­setzt haben wir alle überlebt.

Die DSGVO for­dert nun zusätz­lich zum Impres­sum eine Datenschutzerklärung.

Soll­ten Sie auf Ihrer Web­seite bereits eine Daten­schutz­er­klä­rung haben, so ist es rat­sam, die­se zu über­prü­fen. Die DSGVO regelt eini­ge Punk­te for­mal und inhalt­lich neu, sodass bereits bestehen­de Doku­men­te sehr wahr­schein­lich ange­passt wer­den müssen.

Für die Erstel­lung der Daten­schutz­er­klä­rung muss berück­sich­tigt wer­den, wel­che per­so­nen­be­zo­ge­nen Daten auf Ihrer Web­seite über­haupt erho­ben wer­den. Außer­dem muss für jede Daten­ver­ar­bei­tung eine Rechts­grund­la­ge benannt werden.

Es gibt online meh­re­re so genann­te Datenschutzerklärungs-Generatoren.
Um die­se zu nut­zen, müs­sen Sie auf jeden Fall genau wis­sen, wel­che Tools, Coo­kies und Biblio­the­ken auf Ihrer Web­seite genutzt wer­den und wel­che per­so­nen­be­zo­ge­nen Daten die­se zu wel­chem Zweck erhe­ben. Außer­dem müs­sen Sie wis­sen, wel­che exter­nen Fir­men even­tu­ell Zugang zu den auf Ihrer Web­seite erho­be­nen per­so­nen­be­zo­ge­nen Daten haben.

Falls Sie sich in einem die­ser Punk­te unsi­cher sind, fra­gen Sie Ihren Web­de­si­gner oder Ihre Webagentur.

2. Ver­schlüs­sel­te Über­tra­gung per­so­nen­be­zo­ge­ner Daten: Das SSL-Zertifikat

Icon eines Vorhängeschlosses

Die DSGVO ver­langt von Web­sei­ten­in­ha­bern einen ange­mes­se­nen tech­ni­schen Schutz von per­so­nen­be­zo­ge­nen Daten bei der Über­tra­gung auf den Ser­ver. Fak­tisch bedeu­tet das, dass alle Web­seiten, auf denen per­so­nen­be­zo­ge­ne Daten ein­ge­ge­ben wer­den kön­nen, mit­tels eines SSL-Zer­ti­fi­kats ver­schlüs­selt wer­den müssen.

Dar­un­ter fal­len zum Beispiel

  • alle Sei­ten, die ein Kon­takt- oder Anfra­ge­for­mu­lar enthalten
  • alle Sei­ten, auf denen ein Log-In ver­füg­bar ist
  • alle Sei­ten, auf denen eine E‑Mail-Adres­se ein­ge­ge­ben wer­den kann (z.B. für einen Down­load oder zur Anmel­dung zu einem Newsletter)
  • alle Sei­ten, auf denen etwas bestellt wer­den kann
  • alle Sei­ten, über die Zah­lun­gen getä­tigt werden

Soll­ten Sie nur eine ein­fa­che Infor­ma­ti­ons­sei­te haben, auf der Ihre Besucher nicht mit ihnen inter­agie­ren kön­nen, so benö­ti­gen Sie nicht unbe­dingt eine SSL-Ver­schlüs­se­lung. Wir emp­feh­len es Ihnen trotz­dem, sich über eine Ver­schlüs­se­lung Gedan­ken zu machen. Google bevor­zugt beim Page-Ran­king Web­seiten mit SSL und Web­sei­ten­be­su­cher sind oft miss­trau­isch gegen­über einer Sei­te die vom Brow­ser als „unsi­cher“ gekenn­zeich­net wird.

Schau­en Sie sich ger­ne unse­re Web­hos­ting und Ser­ver Pake­te an! Wir tre­ten ein für ein siche­res Inter­net und bie­ten in allen Pake­ten kos­ten­lo­se Let’s Encrypt  SSL-Zer­ti­fi­ka­te mit an.

3. Die akti­ve Ein­wil­li­gung der Nut­zer zur Datenverarbeitung

In Arti­kel 6 der DSGVO wird grund­sätz­lich gefor­dert, dass die betrof­fe­ne Per­son ihre Ein­wil­li­gung zu der Ver­ar­bei­tung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten für einen oder meh­re­re bestimm­te Zwe­cke gege­ben haben muss.
Wer­den die per­so­nen­be­zo­ge­nen Daten für die Erfül­lung eines Ver­trags, des­sen Ver­trags­par­tei die betrof­fe­ne Per­son ist, oder zur Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men erfor­der­lich, die auf Anfra­ge der betrof­fe­nen Per­son erfol­gen, muss die­se Ein­wil­li­gung nicht unbe­dingt aus­drück­lich erteilt werden.

Zusätz­lich exis­tiert ein Urteil des Ober­lan­des­ge­richts Köln, wel­ches von Web­sei­ten­be­trei­bern for­dert, bei Kon­takt­for­mu­la­ren eine Ein­wil­li­gung der Nut­zer zur Ver­ar­bei­tung ihrer Daten einzuholen.
Dies geschieht im Nor­mal­fall über eine Check­box, die der Nut­zer „abha­ken“ muss, bevor das For­mu­lar gesen­det wer­den kann. Der Ein­wil­li­gungs­text neben der Check­box soll­te einen Link zu ihrer Daten­schutz­er­klä­rung enthalten.

Für Betrei­ber von Online­shops ergibt sich hier eine Grau­zo­ne: Der Waren­korb des zukünf­ti­gen Kun­den wird über einen Coo­kie gespei­chert. Dar­aus erge­ben sich noch kei­ne Pro­ble­me, denn der Waren­korb ent­hält kei­ne per­so­nen­be­zo­ge­nen Daten. Gibt der Kun­de jedoch bereits im ers­ten Schritt des Check­out-Pro­zes­ses sei­ne Daten ein, so tut er dies zwar mit der Absicht, einen (Kauf-)vertrag mit dem Web­sei­ten­be­trei­ber ein­zu­ge­hen, ist die­sen aber noch nicht ein­ge­gan­gen. Struk­tu­riert man den Check­out-Pro­zess so, dass der Kun­de zuerst auf „Zah­lungs­pflich­tig bestellen“ klickt und erst dann sei­ne Daten ein­gibt, so besteht zwar ein Kauf­ver­trag, Sie wis­sen jedoch noch nicht, mit wem.

Über die­ses The­ma wird momen­tan noch viel dis­ku­tiert und es wird uns nichts ande­res übrig blei­ben, als die ers­ten Gerichts­ur­tei­le abzuwarten.

4. Daten­ver­ar­bei­tung durch exter­ne Dienst­leis­ter: AV-Verträge

Sobald per­so­nen­be­zo­ge­ne Daten von Ihrer Web­seite an ande­re Dienst­leis­ter wei­ter­ge­lei­tet wer­den, for­dert die DSGVO, dass mit die­sen Dienst­leis­tern Auf­trags­ver­ar­bei­tungs-Ver­trä­ge (AV-Ver­trä­ge) geschlos­sen wer­den. Unter der alten Ter­mi­no­lo­gie des Bun­des­da­ten­schutz­ge­set­zes (BDSG) war das Doku­ment als Auf­trags­da­ten­ver­ar­bei­tungs-Ver­trag oder ADV-Ver­trag bekannt.

Per­so­nen­be­zo­ge­ne Daten dür­fen grund­sätz­lich nur mit Zustim­mung der jeweils betrof­fe­nen Per­so­nen an ande­re Unter­neh­men und Dienst­leis­ter über­tra­gen wer­den. Bei Daten, die auf Web­seiten ein­ge­ge­ben wer­den, ist dies prak­tisch nicht mög­lich, da zumin­dest der Web­hos­ter immer Zugriff auf die Daten haben kann. Hier hilft die Kon­struk­ti­on der Auftrags(daten)verarbeitung, um die Zustim­mung jedes ein­zel­nen Kun­den zur Wei­ter­ga­be sei­ner Daten zu umgehen.

Dienst­leis­ter, die Zugriff auf per­so­nen­be­zo­ge­ne Daten Ihrer Web­sei­ten­be­su­cher haben könn­ten sind zum Beispiel

• Anbie­ter exter­ner Newsletter
• Anbie­ter exter­ner Ticket-Systeme
• Agenturen
• Exter­ne Callcenter
• Exter­ne Buchhalter

Mit jedem die­ser Dienst­leis­ter muss ein AV-Ver­trag abge­schlos­sen wer­den, in dem gere­gelt wird, wie der ent­spre­chen­de Dienst­leis­ter mit den Kun­den­da­ten umzu­ge­hen hat. Dar­un­ter fal­len zum Bei­spiel die Sicher­heit der Daten­über­tra­gung, der Schutz vor unbe­fug­tem Zugriff und das Ver­bot der Wei­ter­ga­be von Daten an ande­re Unternehmen.

Auch Google Ana­ly­tics ver­ar­bei­tet Daten von Web­sei­ten­be­su­chern. Inwie­weit dies per­so­nen­be­zo­ge­ne Daten sind, ist nicht abschlie­ßend geklärt. Zumin­dest in dem Fall, das die Funk­ti­on „Anony­mi­zeIP“ in Google Ana­ly­tics akti­viert ist, muss vom tech­ni­schen Stand­punkt her davon aus­ge­gan­gen wer­den, dass kein Per­so­nen­be­zug der erho­be­nen Daten her­ge­stellt wer­den kann. Da jedoch noch kei­ne ent­spre­chen­den Gerichts­ur­tei­le gespro­chen sind, kann nicht sicher aus­ge­schlos­sen wer­den, ob die von Google Ana­ly­tics erho­be­nen Daten als per­so­nen­be­zo­ge­ne Daten gewer­tet werden.

Des­halb emp­feh­len wir jedem Web­sei­ten­be­trei­ber, der Google Ana­ly­tics ein­ge­bun­den hat, einen AV-Ver­trag mit Google abzuschließen.
Dafür bie­tet Google einen AV-Ver­trag zum Down­load an: http://www.google.com/analytics/terms/de.pdf

Google Pro­duk­te und die „Coo­kie Meldung“

Eine Grafik eines chocolate chip cookies.

Die Richt­li­nie zur Ein­wil­li­gung der Nut­zer in der EU von Google besagt, dass Web­sei­ten­be­trei­ber die Erlaub­nis von Ihren Nut­zern ein­ho­len müs­sen, bevor Sie die Pro­duk­te Google AdSen­se oder Google Dou­ble­Click ein­set­zen dürfen.

Sofern Sie aus­schließ­lich Google Ana­ly­tics ein­set­zen, ist es nicht expli­zit vor­ge­schrie­ben, dass Nut­zer die­sem Web­ana­ly­se-Tool aktiv zustim­men sollen.

Hier stellt sich auch die Fra­ge, ob die Daten, die über die Web­ana­ly­se gesam­melt wer­den, per­so­nen­be­zo­ge­ne Daten sind.  Mit der Ein­stel­lung anony­mi­zeIP für Google Ana­ly­tics wird Google ange­wie­sen, die IP Adres­se zu ver­schlei­ern, womit eine Rück­ver­fol­gung auch für Google unmög­lich wird. Damit kön­nen Google Ana­ly­tics Daten nicht zu einem bestimm­ten Web­sei­ten­be­such oder einem bestimm­ba­ren Nut­zer zurück­ge­führt werden.

Die Coo­kie-Mel­dung für Google-Pro­duk­te hat also nichts mit der DSGVO zu tun – vie­le Web­sei­ten­be­trei­ber rüs­ten aber, aus Angst vor einer all­ge­mei­nen Abmahn-wel­le, ihre Web­seiten jetzt mit die­sem Hin­weis nach.

 

Fazit

Mit die­sen Punk­ten sind Sie der DSGVO sehr gut auf der Spur.

Den­noch soll­ten Sie das The­ma wei­ter beob­ach­ten, denn die DSGVO ist ein neu­es Gesetz. Alle Betei­lig­ten, von Web­sei­ten­be­trei­bern und Unter­neh­men, über Anwäl­te bis hin zu Auf­sichts­be­hör­den und Gerich­ten wer­den noch eini­ge Zeit mit neu­en Pro­ble­men und Ent­wick­lun­gen kon­fron­tiert wer­den. Erst mit den ers­ten Urtei­len aus Gerichts­ver­fah­ren kann letzt­end­lich sicher gesagt wer­den, wel­che Maß­nah­men unbe­dingt ergrif­fen wer­den soll­ten, um allen Daten­schutz­richt­li­ni­en gerecht zu werden.

Wir sind eine Web­agen­tur, kei­ne Anwalts­kanz­lei. Die­ser Arti­kel kann kei­ne Rechts­be­ra­tung beim Anwalt ersetzen.

Wer kann mich über­haupt abmahnen? Was ist der „baye­ri­sche Weg“?

Mehr Infos zur DSGVO, zu den spe­zi­fi­schen Rah­men­be­din­gun­gen in Bay­ern und zu einem unse­rer belieb­tes­ten Ser­vices: Lassen Sie Ihre Web­site indi­vi­du­ell von einem spe­zia­li­sier­ten Anwalt überprüfen!