Nach einer zweijährigen Übergangsfrist trat am 25.5.2018 die EU Datenschutz-Grundverordnung in Kraft und ersetzt die nationalen Datenschutzbestimmungen. Konkret: der Datenschutz fällt unter eine einheitliche europäische Gesetzgebung.
Während Verbrauchern durch die neuen Regelungen mehr Rechte zugesprochen werden, stehen Unternehmen stärker in der Pflicht. Das gilt für alle großen und kleinen Firmen, für Blogger und sogar für die private Webseite. Die Folgen bei Nichteinhaltung der EU-Datenschutzverordnung sind heftige Geldstrafen und Abmahnungen.
Um Dich bei Deinen Webseiten vorbeugend darauf vorzubereiten, empfehlen wir daher, die folgenden Punkte zu beachten und umzusetzen.
Zunächst einmal kurz erklärt, worum es überhaupt geht:
Was ist passiert?
Am 25. Mai 2018 ging die bisherige Datenschutz-Grundverordnung einheitlich in europäisches Recht über. Somit müssen Datenschutz und Datenschutzerklärungen auf eigenen Webseiten anders als bisher, etwa durch das Telemediengesetz, umgesetzt werden.
Wer ist betroffen?
Grundsätzlich jede im Internet stehende Webseite. Selbst ein bloßer Lesezugriff auf eine Internetseite verrät dem Seitenbetreiber grundsätzlich die dynamische IP, die nach einer Rechtsprechung des Bundesgerichtshofs im Mai 2017 bereits als personenbezogener Datensatz gilt.
Ausgenommen sind lediglich familiäre oder persönliche Seiten, doch auch hier gilt es, Vorsicht zu wahren: jeder noch so kleine Affiliate-Link oder ein Werbebanner kann diese Sonderregelung nichtig machen.
Warum ist das so wichtig?
Den Datenschutzbehörden wurde eine verstärkte Kontrolle der neuen Bestimmungen aufgetragen. Sie können mit Inkrafttreten des Gesetzes Bußgelder von bis zu 20 Millionen Euro bzw. 4 Prozent des gesamten weltweiten Umsatzes des vorangegangenen Geschäftsjahres verhängen.
Aber auch andere Unternehmen dürfen ab dem 25. Mai Webseiten auf Grundlage des unlauteren Wettbewerbs abmahnen.
Das größte Problem der neuen Verordnungen wird anfangs eine gewisse rechtliche Unsicherheit sein, da Juristen nicht auf eine gefestigte Rechtsprechung zurückgreifen können. Wohl oder übel müssen sich dennoch alle Webseitenbetreiber auf diese neuen Regelungen einstellen und damit beginnen, ihre Webseite DSGVO-konform zu gestalten. Doch was gilt es zu tun?
Unsere Empfehlungen
Grundsätzlich ist es ratsam, für die eigenen Seiten einen Datenschutzbeauftragten bzw. juristischen Experten zu Rate zu ziehen. Wir haben für Dich aber einmal die wichtigsten Punkte zusammengefasst:
Datenverarbeitung im Auftrag
Wer nicht Web-Hoster seiner eigenen Seite (also keinen eigenen Server betreibt) ist, darf nicht ohne weiteres Daten speichern, da in diesem Fall der Webspace einem Dritten gehört. Dieser muss mittels einer Auftragsverarbeitung in den Prozess eingebunden werden.
Exemplarisch zur Veranschaulichung dient uns hier der Anbieter Strato, der seine Kunden hierzu in diesem Link informiert: https://www.strato.de/faq/article/2763/Fragen-zur-Auftragsdatenverarbeitung-ADV-und-der-neuen-EU-Datenschutzgrundverordnung-DSGVO.html
Wie auch bei vielen anderen Anbietern wird im Moment noch das Formular herausgearbeitet, in welchem nach Inkrafttreten der neuen DSGVO die Auftragsverarbeitung gewährleistet wird.
Vorsicht: Wer seine Webseite auf einem nichteuropäischen Server hosten lässt, muss genau prüfen, ob dieser nach der Gesetzesänderung dennoch diese Form der Datenverarbeitung einhält. In den USA gibt es dafür beispielsweise den Privacy Shield, ein Abkommen zwischen der EU und den USA, das dies gewährleistet. Jeder amerikanische Server mit diesem Zertifikat unterwirft sich damit der neuen DSGVO – allerdings ist die Langfristigkeit des Abkommens ungeklärt.
Datenschutzerklärungen
Die Datenschutzerklärungen sind schon lange auf jeder Website Pflicht, allerdings werden inhaltlich viele neue Anforderungen an sie gestellt, denn die DSGVO erweitert hier das Telemediengesetz. Die Datenschutzerklärung muss nun die Rechtsgrundlage (bei Online-Shops zum Abschluss des Kaufvertrages beispielsweise) und das konkret erfolgte Interesse für die Datenverarbeitung (kurzweilige IP-Adressenspeicherung, um sich gegen Angriffe zu sichern) beinhalten.
Auf üblichen Internetseiten bestehen beziehbare Daten (neben der IP) beispielsweise in Logfiles, Geolokalisierung, Registrierungen, Kontaktformularen, Newsletter-Anmeldungen, Kommentarfunktionen, Social-Sharing-Buttons und Analyse- und Trackingdiensten.
Hier müssen Webseitenbetreiber nun ausführlich erklären, zu welchem Zweck sie welche Daten erheben. Außerdem müssen nun noch deutlicher die Rechte des Nutzers gewahrt werden. Hierzu zählt das Recht auf Auskunft, Löschung und Berichtigung von Daten, sowie der Wiederruf. Darüber hinaus bedarf es nun der Aufklärung über Einschränkung der Verarbeitung, das Beschwerderecht bei einer Aufsichtsbehörde und das Recht der Datenübertragbarkeit. Vor allem das Widerspruchsrecht muss optisch (fett oder eingerahmt) hervorgehoben werden.
Die Datenschutzerklärung muss einfach zu finden sein (Link auf der Startseite, am besten in Navigation und somit universal zu erreichen) und „in präziser, transparenter und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zur Verfügung stehen.
Hierzu gibt es Online-Generatoren, die bei der Erstellung helfen.
Link: https://www.e-recht24.de/muster-datenschutzerklaerung.html
Datenminimierung
Doch nicht nur die Aufklärung zur Verarbeitung ist wichtig. Es gehört beispielsweise auch die Datenminimierung, etwa bei Newsletter-Anmeldungen nur Email und Namen, nicht aber Geburtsdatum oder postalische Adresse abzufragen, dazu. Zu Anmeldungen nicht unbedingt erforderliche Daten müssen gekennzeichnet werden und optional bleiben.
Bei Anmeldungen empfiehlt sich generell das Double-Opt-In-Verfahren. Mehr dazu hier:
https://www.onlinemarketing-praxis.de/glossar/double-opt-in
Verschlüsselte Daten/SSL-Zertifikat
Wer auf seiner Homepage beispielsweise ein Kontaktformular anbietet, muss dafür sorgen, dass die angegebenen Daten (Name, Email, Betreff, Nachricht) so gut wie möglich geschützt werden, wenn sie vom Server per Email überstellt werden. Dazu trägt eine gesicherte Verbindung durch ein sogenanntes SSL- oder TLS-Zertifikat bei, „da es die Kommunikation zwischen Ihrem Webseitenbesucher und dem Server, auf dem Ihre Webseite gehostet wird“, schützt. Diese Zertifikate, sowie alternativ „Let’s Encrypt“, erhältst Du bei Deinem Hoster / Server-Provider. Die Preise für solch eine Verschlüsselung variieren je nach Art des gebuchten Hosting-Pakets und Form der Zertifizierung von kostenlos bis zu knapp 100 Euro im Jahr. Wichtig: Auch nach der Freischaltung eines solchen Zertifikats sind die meisten Homepages noch lange nicht durch HTTPS geschützt! Gerade bei CMS-Systemen wie WordPress bedarf es einiger Anpassungen, die am besten durch einen professionellen Administrator durchzuführen sind.
Dazu: https://partnerundsoehne.de/fuenf-schritte-zur-ssl-verschluesselung-ihrer-webseite/
Cookies und die Möglichkeit zum Widerspruch
Zukünftig müssen Website-Betreiber dem Nutzer die Möglichkeit einer „informierten Einwilligung“ ermöglichen (was sind Cookies? https://de.wikipedia.org/wiki/Cookie ). Weil es nicht (mehr) ausreicht, einen einfachen Hinweis für die Verwendung von Cookies zu setzen, empfiehlt sich dafür ein Cookie-Banner.
Im Idealfall ist dies ein vor dem Interagieren mit der Website vorgeschaltetes PopUp (modales LayOver), das den Nutzer über die Verwendung aufklärt und dies mit einer detaillierten Beschreibung verlinkt. Zwar dürfen in vielen Fällen die Cookies weiterhin eingesetzt werden, hat etwa Google für ihre Tracking- und Analysetools sich für das Privacy Shield zertifiziert, allerdings müssen Besucher diesem per Opt-Out widersprechen können. Das bedeutet vor allem nach neuem Recht: die Besucher müssen mit der Seite auch arbeiten können, wenn sie der Datenerfassung widersprechen.
Social Media und Videos
Ein weiterer wichtiger Bestandteil ist die Einbindung von Social-Media-Sharing. Da die bloße Einbindung sogenannter Like- oder Share-Buttons bereits Informationen an die Social-Media-Plattformen überstellt, entschied das Landgericht Düsseldorf bereits 2016, dass Facebook-Tools ohne Zustimmung nicht auf der eigene Seite eingebunden werden dürfen.
Zwar gibt es bestimmte Verfahren, in denen soziale Netzwerke erst dann die Daten der Besucher abfragen dürfen, wenn der betreffende Button geklickt wurde. Aufgrund der unübersichtlichen Rechtslage und der Intransparenz, welche Daten wofür abgegriffen werden, ist davon allerdings erst einmal abzuraten.
Wer sich dennoch damit befassen will und muss, sollte sich das c’t-Sharrif-Programm genauer ansehen:
https://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html
Die bloße Verlinkung per Text- oder Logolink auf die eigene Facebook- oder Twitterpage etc. fällt zum Glück nicht unter diese Problematik: https://medienkompass.de/facebook-profil-in-website-einbinden-rechtslage/
Vorsicht gilt auch bei der Einbettung von YouTube-Videos, gerade über WordPress und den Visual Composer. Diese funktionieren zwar kinderleicht, doch „durch das Einbetten von YouTube-Videos werden diverse Verbindungen zu Google-Servern aufgebaut, durch welche mehrere Cookies im Browser Ihrer Leser gespeichert und Informationen über diese an YouTube und Googles-Werbedienst DoubleClick gesendet werden“. YouTube selbst stellt nun einen „No Cookie“-Einbettungslink zur Verfügung, der somit erst nach dem Abspielen des Videos Daten an YouTube sendet.
Mehr Information: https://www.it-recht-kanzlei.de/youtube-videos-online-shop.html
WordPress und PlugIns
Die meisten Seiten heutzutage werden mit dem CMS WordPress erstellt. Neben den vielen Vorteilen müssen wir hier aber bei der DSGVO im Gegensatz zu statischen HTML-Seiten genauer hinschauen. Zwar arbeitet der WordPress-Hersteller mit einem eigens eingerichteten Compliance-Team daran, eine gewisse DSGVO-Konformität zu wahren und PlugIn-Betreiber anzuhalten, diesem auch nachzukommen, allerdings müssen Webseitenbetreiber selbst sorgfältig prüfen, ob und welche Daten bei WordPress, Theme und PlugIns erhoben werden.
WP-Ninjas hat einen Maßnahmen-Katalog sehr gut zusammengefasst, in dem neben den Maßnahmen für WordPress auch alle anderen oben stehenden Punkte noch einmal zusammengefasst werden:
https://wp-ninjas.de/google-analytics-opt-out (Vor allem welche PlugIns wirklich geblacklisted sind)
Außerdem finden sich hier weitere PlugIn-Informationen (neben eigener und freier Recherche): https://www.blogmojo.de/wordpress-plugins-dsgvo/
Wichtige Maßnahmen für Deine WordPress-Seite:
1. ADV-Vertrag mit dem Hoster
2. ADV-Vertrag mit dem Webdesigner
3. ADV-Vertrag mit Google (Bei Verwendung von Google Analytics)
4. SSL-Zertifikat (oder Abschaltung des Kontaktformulars/Newsletters)
5. HTTPS Umstellung
6. Formulare Opt-Ins
7. Formulare Datenschutzhinweis
8. Newsletter ADV (Bei bspw. Mailchimp)
9. Newsletter Double Opt-In
10. Kommentare abschalten (da Speicherung von IP)
11. Cookie Notice und Google Analytics mit Opt-Out Lösung
12. Google-Fonts verknüpfen
13. IP anonymisieren (Google Analytics)
14. Social PlugIns/Funktionen deaktivieren
15. Datenschutzerklärung erneuern
Es ist klar, dass die neue Gesetzgebung, die für mehr Transparenz einstehen will, sich ironischerweise aber sehr unübersichtlich darstellt, erst einmal für alle eine große Herausforderung ist.
Bei weiteren Fragen zur neuen DSGVO sowie einer Ersteinschätzung, wie massiv Du von dieser Regelung betroffen bist, kannst Du uns gerne konsultieren.
Bildquelle: freepik