Datenschutz-Grundverordnung (DSGVO)

Datenschutz-Grundverordnung (DSGVO)

Einleitung

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter, sowohl private wie öffentliche, EU-weit vereinheitlicht werden.

Wann ist eine Website - DSGVO Konform?

Das müssen Websiten-Betreiber jetzt ändern.

Die neue Datenschutz-Grundverordnung setzt fast jeden Website-Betreiber unter Zugzwang. Was Sie jetzt ändern müssen – unsere Checkliste für DSGVO-konforme Webseiten.

  • Die Website muss verschlüsselt sein – SSL Zertifikat 

Internetseiten, auf denen personenbezogene Daten erhoben werden, müssen grundsätzlich verschlüsselt sein. Verschlüsselte Seiten erkennt man daran, dass die URL mit https anfängt. Viele Browser zeigen dann ein Schloss vor der URL an oder das Wort „sicher“.

  • Überarbeiten der Datenschutzerklärung 
Eine Datenschutzerklärung mussten Internetseiten schon bisher haben, durch die DSGVO sind neue Informationspflichten dazugekommen: Alle Dienste und Plug-in´s, die Sie auf der Seite verwenden und die dafür sorgen, dass Daten einer dritten Partei zugänglich gemacht werden, müssen in der Datenschutzerklärung aufgeführt werden. Personenbezogene Daten werden beispielsweise vom Facebook-Like-Button weitergegeben. Auch wer das Google Captcha nutzt, um zu verhindern, dass Roboter Kommentare auf der Seite hinterlassen, oder Akismet nutzt, ein beliebtes Plug-in, das Spam-Kommentare herausfiltert, gibt personenbezogene Daten weiter, zum Teil an einen amerikanischen Server
 
 
  • Formulare und Anmeldungen

Kann man auf Ihrer Website einen Termin vereinbaren? Oder sich für einen Newsletter anmelden? Oder Ihnen über ein Formular eine Nachricht schreiben? Dann müssen Sie das Kontaktformular überarbeiten. Sie dürfen in ihren Formularen nämlich nur die personenbezogenen Daten erheben, die Sie tatsächlich brauchen, um eine Anfrage zu beantworten. Was am Ende tatsächlich als erforderlich gilt, hängt von der jeweiligen Situation ab. Für eine Newsletter-Anmeldung benötigt man beispielsweise grundsätzlich nur die E-Mail-Adresse, nicht aber den Vor- und Zunamen. Daher dürfen die Felder für den Vor- und den Nachnamen keine Pflichtfelder sein.

Pflichtfelder in Formularen – in diesem Fall nur das Feld für die E-Mail-Adresse – müssen gekennzeichnet sein. Wenn Sie noch weitere Daten erheben wollen, dann muss für den Nutzer klar sein, dass diese Angaben freiwillig sind.

Weisen Sie darauf hin, warum Sie die Daten benötigen, auf welcher Rechtsgrundlage Sie sie verarbeiten und was Sie damit machen. Das kann zum Beispiel so aussehen:

„Wir verarbeiten Ihre Vertragsdaten (z.B. in Anspruch genommene Leistungen, Namen von Kontaktpersonen, Zahlungsinformationen), um unsere vertraglichen Verpflichtungen und Serviceleistungen gemäß Art. 6 Abs. 1 lit b. DSGVO zu erfüllen. Die in Onlineformularen als verpflichtend gekennzeichneten Angaben sind für den Vertragsschluss erforderlich.“

Überprüfen Sie, ob Sie für jeden Zweck, für den Sie Daten benötigen, eine separate Einwilligung haben. Wenn Sie zum Beispiel einem Kunden, der mit Ihnen online einen Termin vereinbart hat, auch Ihren Newsletter schicken wollen, dann brauchen Sie dafür eine zusätzliche Einwilligung. Und vor dem Absenden des Formulars sollten Sie auf die Datenschutzerklärung verlinken.

  • Social-Media-Plugins und eingebettete Videos 

Die Social-Media-Plugins, die Facebook und Co. zur Verfügung stellen, sammeln vom Websitenutzer unbemerkt personenbezogene Daten und können so detaillierte Persönlichkeitsprofile erstellen. Dasselbe gilt, wenn Sie Videos, beispielsweise von Youtube oder Vimeo, auf Ihrer Seite einbetten. Das bedeutet: Haben Sie zum Beispiel Youtube-Videos auf Ihrer Seite eingebaut, dann übertragen Sie automatisch Daten Ihrer Websitebesucher an Youtube (und damit Google) – egal ob der Nutzer das Video anklickt oder nicht. Datenschützer kritisieren diese Plug-ins schon lange, ihre Verwendung war auch bisher rechtlich riskant. Mit der DSGVO wird die Verwendung noch kritischer.

  • Überprüfen der Statistik-Tool

Die meisten Website-Betreiber nutzen Dienste wie Google Analytics, um zu analysieren, wie viele Besucher auf ihre Seite kommen und was sich diese dort anschauen. Dabei werden IP-Adressen gesammelt. Diese müssen so gekürzt, das heißt anonymisiert werden, dass kein Personenbezug mehr möglich ist. Wenden Sie sich dafür an Ihren Webadministrator, er kann den „anonymizeIP“-Befehl in den Quellcode Ihrer Website einbauen.

  • Informieren Sie über Cookies 

Fast alle Webseiten verwenden Cookies. Das sind kleine Dateien, die Daten lokal auf dem Gerät speichern. Sie dienen dazu, den Nutzer wiederzuerkennen und ihm das Surfen auf der Website zu erleichtern. In Bezug auf Cookies ist die rechtliche Lage nach Inkrafttreten der Datenschutzgrundverordnung noch unklar. Um Abmahnungen zu vermeiden, sollte man von den Websitenutzern beim ersten Aufruf der Seite in der so genannten Cookie-Warnung die Einwilligung einholen. Der Text der Cookie-Warnung sollte so konkret wie möglich sagen, um welche Daten es geht, wofür diese genutzt werden und an wen sie gegebenenfalls weitergegeben werden. Er kann beispielsweise so formuliert werden:

„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.“

Auch in die Datenschutzerklärung gehört ein Abschnitt zu Cookies. Die DSGVO verlangt nämlich, dass dort die Rechtsgrundlagen für das Verwenden von Cookies genannt werden. Außerdem muss ein Hinweis für die Nutzer in die Datenschutzerklärung, wie sie das Setzen von Cookies verhindern können. Lesen Sie hier, was Sie noch über die Cookie-Hinweise wissen müssen.

Bitte haben Sie Verständnis, dass durch die zentrale Auskunft, keine rechtliche Würdigung von Sachverhalten, sowie keine Vertrags- oder Rechtsberatung durchgeführt werden darf.Die Überprüfung der Rechtmäßigkeit von Tatbeständen oder Verträgen kann z.B. durch einen Datenschutzbeauftragen Ihrer Wahl erfolgen.Daher kann ich Ihnen zu Ihrer Anfrage lediglich allgemeine Informationen übermitteln.Soweit die vorstehenden Informationen fachliche Ausführungen enthalten, begründen diese keine Rechtsansprüche

Teilen auf Social Media

Share on facebook
Share on linkedin
Share on twitter
Share on email

Weitere Beiträge