Als Unternehmen mit Sitz in Deutschland unterliegt man der Datenschutzgrundverordnung (DSGVO) und ist zu deren Umsetzung verpflichtet. Als versierte Internetspezialisten sind wir seit der Einführung der DSGVO mit dem Thema vertraut. Die Datenschutzgrundverordnung betrifft jede Webseite, die wir betreuen und realisieren. Erfahren Sie in diesem Beitrag, worauf geachtet werden muss.
Inhaltsverzeichnis
Für wen relevant?
Auf jeder öffentlich zugänglichen Webseite muss eine Datenschutzerklärung vorhanden sein. Diese muss neben den Standardinhalten (Pflichtangaben) auch Erklärungen zu allen verwendeten Software-Tools und allen Datenverarbeitungsvorgängen enthalten. Anhand einiger Fragen kann festgestellt werden, ob Ihre Webseite der DSGVO genügen muss:
- Finden sich auf der Website Werbebanner?
- Gibt es ein Kontaktformular?
- Setzt die Website Cookies ein?
- Werden auf der Website Analysetools genutzt?
- Werden auf der Website externe Programme, z.B. Google Maps oder YouTube-Videos eingesetzt?
- Werden auf, mit oder durch die Website personenbezogene Daten verarbeitet (auch IP-Adressen zählen bereits dazu)?
Wenn Sie eine oder mehrere Fragen mit „ja“ beantworten, braucht Ihre Webseite eine vollständige Datenschutzerklärung mit Benennung aller (externer) Software-Tools, Datenverarbeitungsvorgängen, Drittanbieter-Einbindungen, verwendeter Cookies sowie ein funktionierendes Cookie-Consent-Tool.
Cookie-Consent-Banner
In der Praxis sind uns zahlreiche Cookie-Banner begegnet, die leider nicht richtig funktionierten. Was gilt es zu überprüfen?
- Beim Wegklicken des Banners dürfen die Cookies nicht automatisch aktiviert werden.
- Die Grundeinstellung erfordert die Deaktivierung aller optionalen Cookies. Das Recht auf eine Vorauswahl besteht nicht!
- Cookies dürfen nicht erforderlich sein, um eine Website zu nutzen.
- Das bedeutet, dass jeder Nutzer trotz der Deaktivierung sämtlicher Cookies vollen Zugriff auf die Website erhalten muss. Sie haben aber die Möglichkeit dem Nutzer mitzuteilen, dass die Deaktivierung bestimmter Cookies bestimmte Funktionen einschränkt.
- Übrigens ist ein Cookie-Banner nicht auf jeder Website notwendig, auch wenn das viele Website-Betreiber glauben. Sie benötigen die Einwilligungs-Box nur für Cookies, die das Nutzerverhalten analysieren, Statistiken erstellen, Nutzerdaten an Drittanbieter weitergeben oder Nutzerprofile anlegen.
Datenschutzerklärung
Verwendete Ihre Webseite Drittanbieter-Software oder Fremdanbieter-Einbindungen, die nicht lokal auf Ihrem Server installiert sind, werden Cookies gesetzt, personenbezogene Daten erhoben oder Google-Dienste genutzt, ist eine Datenschutzerklärung zwingend notwendig. Diese muss ein eigener Menüpunkt im Header bzw. Footer sein und von jeder Seite zu erreichen sein. Wir kümmern uns um den Datenschutz Ihrer Webseite. Kontaktieren Sie uns!
Impressumspflicht
Hintergrund der Impressumspflicht ist, dass die Nutzer der Seite wissen sollen, mit wem sie es zu tun haben. Der Begriff „Impressum“ stammt ursprünglich aus dem Presserecht, hat sich aber auch für Webseiten eingebürgert, die nicht dem Bereich der Presse zuzuordnen sind, etwa für Online-Shops, Unternehmenswebseiten oder halbprivate Webseiten. Die Pflicht zur sogenannten „Anbieterkennzeichnung“ (Impressumspflicht) gab es schon vor der DSGVO. Alle vorgeschrieben Angaben finden Sie in § 5 Digitale-Dienste-Gesetz (DDG).
Website-Verschlüsselung
Als Webseiten-Betreiber trägt man die Pflicht, alle erhobenen Daten auf der Webseite zu schützen. Aktueller Stand der Technik ist hierbei das HTTPS-Protokoll, auch als SSL-Zertifikat bekannt. Die Verschlüsselung hindert Unbefugte daran, die auf Ihrer Website eingegebenen Daten auszulesen. Das macht sie zum wichtigen Sicherheitsfaktor. Eine sichere Verbindung erkennen Sie auf anderen Websites am Präfix https:// bzw. dem kleinen Schloss in der URL-Leiste. Fehlendes SSL-Zertifikat? Wir kümmern uns darum. Melden Sie sich gern.
Auftragsverarbeitungsvertrag (AVV)
Wenn ein externer Dienstleister in Ihrem Namen bzw. Auftrag personenbezogene Daten erhebt, wie z.B. Namen, E-Mail-Adresse und Telefonnummer Ihrer Kunden, darf laut DSGVO ein AVV nicht fehlen. Beispiele hierfür sind Newesletter-Dienstleister, Google Dienste, Kontaktformular-Anbieter und somit alles, was nicht lokal auf Ihrem Server installiert ist.
Datensparsamkeit
Gemäß § 3a Bundesdatenschutzgesetz (BDSG) sind Webseiten-Betreiber angehalten, nur solche Daten zu erheben, zu verarbeiten, zu nutzen und zu speichern, die für die Erfüllung des jeweils zugrunde liegenden Zwecks nötig sind. Mit der Umsetzung der DSGVO im Mai 2018 wird das Prinzip der Datensparsamkeit durch den Grundsatz der Datenminimierung ersetzt – ein nach Expertenmeinung nicht deckungsgleicher Begriff. Auch die Nutzer selbst sollten sich bei der Preisgabe ihrer personenbezogenen Daten das Prinzip der Datensparsamkeit beachten und nicht jedem alles mitteilen.
Kopplungsverbot
Hintergrund des Kopplungsverbotes ist es, das Ausnutzen der stärkeren Position einer Partei zu verhindern. Besteht ein starkes Machtgefälle zwischen zwei Parteien, könnte die eine Seite dies ausnutzen und weitreichende Befugnisse als unbedingt notwendig durchsetzen. Dies ist der Fall, wenn ein Nutzer zum Download eines kostenlosen E-Books zwingend der Verwendung seiner Daten zu Marketing- und Werbezwecke zustimmen und/oder einen Newsletter abonnieren muss. Der Tausch „Daten gegen Leistung“ bei unentgeltlicher Nutzung durch den Webseiten-Besucher ist hingegen zulässig.
- horizontale Kopplung: liegt vor, wenn mehrere Datenverarbeitungsvorgänge nebeneinander bestehen und erfordern eine Einwilligung für jeden einzelnen Vorgang. Eine Gesamteinwilligung ist unzulässig. Ausnahme: die Datenverarbeitungsvorgänge hängen inhaltlich zusammen und bauen aufeinander auf.
- vertikale Kopplung: unzulässig sind Kopplungen, durch die in einer Einwilligungserklärung nur die Datenverarbeitung zur Durchführung eines Vertrages legitimiert wird, sondern auch zusätzliche Datenverarbeitungen ermöglicht werden.
Einbindung externer Inhalte
Es gibt zwei Arten von Social Media Buttons: Diejenigen, die zu einem Social Media Profil führen und diejenigen, die es ermöglichen, Beiträge direkt in Ihrem eigenen Profil zu teilen. Diese sog. Social Media Share Buttons erheben Nutzerdaten häufig schon, sobald die Webseite aufgerufen wird. Videoportale wie YouTube sammeln Nutzerdaten, wenn Sie ein Video auf Ihrer Website integrieren, ähnlich wie Social-Share-Buttons.
