Die Datenschutzgrundverordnung (DSGVO) trat in Kraft und brachte: Verunsicherung. Dabei gab es bereits davor digitale Verwirrungen, wie ein aktueller Fall beweist. So soll ein Makler wegen fehlender Datenschutzerklärung und einer fehlenden SSL-Verschlüsselung auf seiner Webseite stolze 3.500 Euro zahlen. Dabei sind die Risiken einer standardisierten Datenschutzerklärungen bekannt. Auch auf der Unternehmer-Webseite lauern etliche Stolpersteine. Diese juristischen Expertenratschläge und Tipps helfen.
Datenschutzgrundverordnung: Sichere Unsicherheit
Der Bundesverband Digitale Wirtschaft hat das Ergebnis einer aktuellen Umfrage zum Stimmungsbild unter seinen Mitgliedern veröffentlicht. Und diese bestätigen ihre Unsicherheit. So gaben 43 Prozent der Befragten an, ihre digitalen Aktivitäten eingeschränkt zu haben. Das große Problem: Unklare Formulierungen der Verordnung und sich widersprechende Vorgaben. DSGVO-bezogene Abmahnungen bekamen bereits fünf Prozent der Digitalfirmen. 28 Prozent rechnen fest mit damit. 56 Prozent der befragten Unternehmen sind sich sicher, dass sich die Datenschutzreform negativ oder sogar sehr negativ auf die Umsatzentwicklung auswirken wird. Hingegen sehen 34 Prozent der Befragten keine Auswirkungen auf den Umsatz.
Angeben erwünscht
Laut Bartlomiej Zornik, Justiziar Jur., RWM-Group, sind unvollständige Datenschutzerklärungen die häufigsten Fehler auf gewerblichen Websites. Meistens fehlen: Aufführung über Auskunfts-, Löschungs- und Widerrufsrechte oder die Hinweise zu Google Maps, YouTube oder sonstigen verwendeten Diensten.
„Weiter nutzen viele Versicherungsvermittler Kontaktformulare, auch hier werden Daten verarbeitet und es bedarf entsprechender Einwilligungen und Datenschutzbestimmungen. Eine Klickbox mit einem Standardtext und Link zur Datenschutzerklärung reicht nicht. Auch die Datenschutzerklärung muss mit den entsprechenden Formulierungen gefüllt werden. abhängig von den erhobenen Daten und den Verarbeitungstätigkeiten, welche im Rahmen eines Kontaktformulars durchgeführt werden.“, so der Jurist weiter.
Der Inhalt macht die Musik
Zornik empfiehlt weiterhin, sich statt mit der Form, mit dem Inhalt aller Disclaimer und Erklärungen zum Datenschutz gründlich auseinander zu setzten. Denn hier lauert die Gefahr, rechtlich belang zu werden.
“Der falsche Inhalt der Disclaimer kann zu Abmahnungen führen. Denn ein Disclaimer ist im Regelfall keine „Enthaftung“. Letztlich findet man kaum Erstinformationen gemÄSS VersVermV oder FinVermV auf gewerblichen Websites. Es sollte ein Downloadbares PDF auf der Website zur Verfügung gestellt werden, um auch hier die Anforderungen neben der DSGVO zu erfüllen.”
DSGVO konforme Webseite in acht Schritten
Diese acht Punkte für DSGVO-konforme Webseiten sollten erfüllt sein, um Abmahnungen und Strafen zu vermeiden:
1.) Verschlüsselung
Webseiten, die personenbezogene Daten erheben müssen grundsätzlich verschlüsselt sein. Dies gilt vor allem bei: Kontaktformulare oder Newsletteranmeldungen. Verschlüsselte Seiten sind leicht zu erkennen. Denn hier fängt die URL mit https an. Und die meisten Browser zeigen ein Schloss-Symbol vor der URL an. Sollte dies nicht der Fall sein, so hilft eine Anfrage beim Administrator, der mit der Hilfe eines SSL-Zertifikats ohne große Probleme eine Webseite umstellen kann. Solche Zertifikate gibt es (kostenlos) auch bei Let’s Encrypt.
2.) Datenschutzerklärung
Eine Datenschutzerklärung war und ist immer Pflicht. Doch durch die DSGVO sind neue Informationspflichten dazugekommen. So müssen nun alle Dienste, Plug-ins und Analysetools aufgeführt werden, die auf der eigenen Webseite installiert sind oder Zugriff haben und Daten an Dritte weitergeben. Zum Beispiel: Social Media Buttons wie der Facebook-Like-Button. Zudem muss die Datenschutzerklärung nun deutlich mehr Informationen darüber enthalten, welche Rechte die Nutzer laut DSGVO haben. Haufe.de gib die Möglichkeit die Datenschutzerklärung anzupassen.
3.) Formulare
Terminvereinbarung, Newsletter und Anmeldungen. Egal, um welches Formular es geht, es muss DSGVO-konform sein. Denn laut der Verordnung dürfen solche Formulare nur noch die personenbezogenen Daten abfragen, die Sie tatsächlich brauchen, um eine Anfrage zu beantworten. Zusätzlich müssen Pflichtfelder als solche gekennzeichnet sein. Ebenfalls ein Muss: Hinweispflicht. Weshalb Daten benötigt, auf welcher Rechtsgrundlage und wie diese verarbeitet und gespeichert werden.
4.) Social-Media-Plugins und Videos
Die Social-Media-Plugins, von Facebook, Google+ und Co. Sammeln personenbezogene Daten. Dasselbe gilt für eingebettete Videos von YouTube oder Vimeo. Wer auf seine Plug-ins und Buttons nicht verzichten will, kann auf Online-Lösungen wie Shariff zurückgreifen. Bei denen können Besucher erst nach Aufruf der Webseite frei entscheiden, ob ihre Daten durch die Plug-ins an die Sozialen Netzwerke übertragen werden sollen oder nicht. Wer YouTube-Videos einbettet, sollte den „erweiterten Datenschutzmodus“ aktivieren. Diesen finden Sie unter „Teilen“, „Einbetten“ unter „Optionen zum Einbetten“. Für Vimeo gibt es noch keine DSGVO-konforme Lösung.
5.) Statistik-Tools
Analysesoftware wie Google Analytics, das Besucherzahlen, Verweildauer und andere Daten analysiert, sammelt ebenfalls IP-Adressen Ihrer Besucher. Diese müssen nun gekürzt bzw. anonymisiert werden. Damit jeglicher Personenbezug ausgeschlossen wird. Dies gelingt, indem der Webverantwortliche oder der Administrator den „anonymizeIP“-Befehl in den Quellcode der Website einbaut. Ebenfalls sinnvoll: Einen Vertrag zur Auftragsverarbeitung mit Google schließen. Und in der Datenschutzerklärung darauf hinweisen, dass Statistik-Tools verwenden werden. Zusätzlich muss dort ein Link zu den Google Analytics Nutzungs- und Datenschutzbestimmungen rein, und es muss eine Widerspruchsmöglichkeit integriert sein, die so genannte Opt-out-Funktion. Wie man diese Funktion integriert, ist hier bei Google beschrieben.
6.) Cookies-Verwendung
Cookies dienen dazu, den Nutzer beim wiederholten Aufruf der Webseite wiederzuerkennen. Zwar ist sich die DSGVO bezüglich der Cookies unsicher, doch wer Abmahnungen vermeiden will, sollte von den Websitenutzern beim ersten Aufruf der Seite eine sogenannten Cookie-Warnung die Einwilligung einholen. Diese sollte so verständliche wie möglich aussagen, um welche Daten es geht, wofür diese genutzt und an wen sie gegebenenfalls weitergegeben werden. Weiter verlangt die DSGVO, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt wird. Außerdem muss ein Hinweis für die Nutzer in dieser genannt werden, wie sie das Setzen von Cookies verhindern können.
7.) Newsletter-Dienste
Wer Newsletter-Dienste wie MailChimp, CleverReach und Newsletter2Go verwendet, sollte, wie mit Google, einen Vertrag zur Auftragsverarbeitung schließen. Beim Anmeldeformular der Newsletters sollte nach der DSGVO eine Verlinkung zur Datenschutzerklärung eingebaut sein. Dort muss der Nutzer weitere Hinweise finden können, wie und warum der Versanddienstleister die personenbezogenen Daten verarbeitet. Dem Nutzer muss klar gemacht werden, dass er seine Einwilligung wiederrufen kann. Damit niemand gegen seinen Willen als Abonnent eingetragen wird empfiehlt es sich zusätzlich, auch wegen der Rechtssicherheit, das Double-Opt-in-Verfahren zu nutzen. Hier muss jeder Nutzer über einen personalisierten Bestätigungslink (sogenannte Check-Mail) nochmals bestätigen, dass er tatsächlich Inhaber dieses Postfachs und seiner Identität ist.
8.) Vertrag zur Auftragsverarbeitung mit dem Provider (Webhoster)
Der Provider stellt in Normalfall nur die Webseiten bereit und übernimmt den Betrieb von Webservern und die Netzwerkanbindung. Sobald der Webhoster allerdings Aufgaben übernimmt, wie E-Mail-Verwaltung oder Archivierung, so muss ein Vertrag zur Auftragsverarbeitung geschlossen werden. Denn auch hier würden personenbezogene Daten an Dritte weitergereicht. Auch darüber sollte in der Datenschutzerklärung informiert werden.
[…] Wie diese Tools funktionieren, erfahrt Ihr auf unserem Blog. Weiterhin haben wir einige rechtliche Tipps zusammengestellt, die Euch dabei helfen, Eure Website DSGVO-sicher zu […]
[…] Wie diese Tools funktionieren, erfahrt Ihr auf unserem Blog. Weiterhin haben wir einige rechtliche Tipps zusammengestellt, die Euch dabei helfen, Eure Website DSGVO-sicher zu […]