Die neue Datenschutzgrundverordnung bringt für die meisten Webseitenbetreiber Veränderungen mit sich. Nur sehr wenige Internetseiten, die ausschließlich persönlichen Zwecken dienen, sind von der DSGVO ausgenommen. Werden auf einer Webseite nur private Bilder die Urlaubsfotos geteilt und sind weder Werbebanner noch Analysetools eingebunden, brauchen an ihr keine datenschutzkonformen Änderungen vorgenommen werden.
Alle anderen Webseitenbetreiber müssen sich, selbst wenn sie keinerlei Nutzerdaten abfragen, mit den neuen Anforderungen nach EU-Recht auseinandersetzen. Denn bereits die beim Aufrufen einer Website übertragene IP-Adresse ist ein persönlicher Datensatz, der unter die Datenschutzgrundverordnung fällt. Folgende Punkte sollten Sie überprüfen und gegebenenfalls ändern:
1. Verschlüsselung
Alle Internetseiten, die personenbezogene Daten erheben, müssen verschlüsselt sein. Das gilt vor allem für Seiten, die zum Ausfüllen eines Kontaktformulars oder zur Bestellung eines Newsletters auffordern. Die Verschlüsselung hat zudem den Vorteil, dass sichere Webseiten in den Suchergebnissen von Google bevorzugt auftauchen.
SSL-verschlüsselte Webseiten werden durch ein grünes Symbol in der Adresszeile des Browsers gekennzeichnet.
Eine fehlende SSL-Verschlüsselung kann schnell eine Abmahnung nach sich ziehen.
2. Datenschutzerklärung aktualisieren
Schon immer war eine Datenschutzerklärung verpflichtender Bestandteil von Webseiten, die neue EU-konforme Variante ist jedoch umfangreicher. So müssen Sie alle Plugins und Dienste, die Sie auf Ihrer Webseite verwenden und die persönliche Daten einer dritten Partei zugänglich machen, namentlich nennen. Ein Beispiel für die Weitergabe persönlicher Daten sind Like-Buttons in sozialen Netzwerken. Das Google Captcha Plug-in, welches Spam herausfiltert, gehört ebenfalls in diese Gruppe.
Auch Informationen über die Rechte Ihrer Nutzer laut DSGVO müssen nun deutlich umfangreicher sein. Nur wenn Sie Ihre Leser ausführlich informieren, können Sie vor einer Abmahnung sicher sein.
Wer sich nicht sicher ist, ob seine Webseite gesetzeskonform gestaltet ist, kann Like-Buttons vorsichtshalber komplett entfernen. Alternativ können Sie auf Lösungen zurückgreifen, die bei ihren Nutzern noch einmal nachfragen, ob sie den Inhalt tatsächlich teilen möchten oder nicht. Die Übertragung muss von Nutzerseite ausdrücklich bestätigt werden.
Eine Datenschutzerklärung sollte immer in Abstimmung mit einem Experten oder Rechtsanwalt geschehen. Sie können aber auch auf kostenfreie Online-Generatoren zurückgreifen.
- Datenschutz-Generator der activeMind AG
- Datenschutz-Generator von Dr. Schwenke (kostenlos für Privatpersonen & Kleinunternehmen)
- Datenschutz-Generator von WBS-Law
Beachten Sie jedoch, dass diese keine vollständige Sicherheit bieten.
3. Formulare prüfen und überarbeiten
Wer Formulare, Newsletter oder andere Möglichkeiten zum Eintragen persönlicher Daten anbietet, muss diese vermutlich überarbeiten. Ab sofort dürfen Sie ausschließlich nur personenbezogene Daten erheben, die zur Beantwortung einer Anfrage erforderlich sind. Welche Daten hiervon genau betroffen sind, hängt von der Situation ab. Zur Anmeldung eines Newsletters braucht man zum Beispiel nur die E-Mail-Adresse. Namen und Anschriften dürfen gar nicht abgefragt werden. Befinden sich derartige Pflichtfelder im Formular, sind diese für eine DSGV-konforme Webseite zu entfernen. YouTube-Videos werden über das Dialogfeld „Erweiterter Datenschutzmodus“ auf der eigenen Webseite eingebettet. Für das Portal Vimeo ist aktuell noch keine DSGVO-konforme Lösung verfügbar.
4. Statistiken
Wer die Besucherströme auf seiner Webseite analysiert und hierfür beispielsweise Google Analytics verwendet, muss die gesammelten IP-Adressen anonymisieren. Ein Personenbezug darf hieraus nicht mehr ersichtlich werden. Die Korrektur erfolgt in der Regel über den Webmaster, der den entsprechenden Befehl (anonymizeIP) im Quellcode einträgt.
Ferner ist es notwendig, mit Google einen Vertrag zur Auftragsverarbeitung abzuschließen. Außerdem müssen Sie in Ihrer Datenschutzerklärung darauf hinweisen, dass Sie Google Analytics (oder andere Statistiktools) verwenden und einen Link zu den Google Analytics Nutzungs- und Datenschutzbestimmungen auf der Webseite integrieren. Infos von Google finden Sie hier.
Zusätzlich muss eine Widerspruchsmöglichkeit angeboten werden. Der Nutzer kann nun mit einem Klick verweigern, dass seine Daten an Google weitergegeben werden (Opt-out-Funktion). Wie Sie diese Funktion integrieren, beschreibt Google genau auf seinen Info-Seiten.
5. Informationspflicht zu Cookies
Cookies werden beim Surfen auf nahezu jedem Rechner lokal gespeichert und dienen der Wiedererkennung des Nutzers. Seitdem die Datenschutzgrundverordnung in Kraft ist, sind die rechtlichen Bestimmungen zu Cookies noch etwas schwammig. Es empfiehlt sich daher, stets eine Cookie-Warnung mit integrierter Einverständniserklärung einzubauen. Hier sollten Sie möglichst genau erklären, welche Daten für welchen Zweck genutzt werden. Nach der DSGVO müssen auch die Rechtsgrundlagen für die Verwendung von Cookies erwähnt werden. Zusätzlich ist ein Hinweis, mit dem das Setzen von Cookies verhindert werden kann, erforderlich.
Beispiel: Cookie-Notice der Webseite cookiebot.com/de/ mit Opt-In und Opt-Out Funktion nach DSGVO.
6. Newsletterdienste
Wer Newsletterdienste wie beispielsweise CleverReach verwendet, ist zum Abschließen eines Vertrages mit dem Anbieter verpflichtet. Gegebenenfalls müssen Sie die Einwilligung zur Newsletterbestellung rechtssicher nachweisen können. Hierfür ist das Double-Opt-in-Verfahren vorgeschrieben. Bevor eine E-Mail-Adresse zum Versenden von Newslettern aktiviert werden kann, muss der Nutzer einen persönlichen Bestätigungslink angeklickt haben. Dieser legitimiert ihn als tatsächlichen Inhaber des Postfaches.
Das Ausfüllen eines Bestellformulars alleine reicht nicht aus. Integrieren Sie außerdem einen klaren Hinweis auf die Widerrufsmöglichkeit zur Newsletterbestellung. Auf der Seite mit Anmeldeformular ist ein Link zum Abmeldeformular verpflichtend. Eventuell müssen Sie mit Ihrem Hosting-Dienst einen Vertrag zur Auftragsverarbeitung (zum Beispiel bei E-Mail Verwaltung/Archivierung durch den Dienstleister) abschließen.
Hilfreiche Links
- DSGVO-Gesetz (PDF – Amtsblatt der Europäischen Union in Deutsch)
- Checkliste der Wirtschaftskammer Österreich
- Serviceangebot zur Unterstützung bei DSGVO-Maßnahmen