Die DSGVO bereitet Website-Betreibern Kopfschmerzen

Damit Ihnen die Datenschutzverordnung kein Kopfzerbrechen bereitet: Wir erklären, was für Website-Betreiber wichtig ist. Bild von ©Tijana – de.fotolia.com

Ihre Webseite kann in Design, Struktur und Content noch so gut sein – wenn auch nur kleine Details darin gegen die DSGVO verstoßen, drohen Ihnen Abmahnungen, Bußgelder und mehr. Doch diese können Sie umgehen. Dieser Beitrag wird Ihnen aufzeigen, wie!

Die DSGVO soll seit Mai 2018 für eine höhere IT-Sicherheit und den Schutz personenbezogener Daten sorgen. Die verschiedenen Paragraphen der Verordnung beziehen sich sowohl auf die Inhalte der Webseite als auch auf die Verarbeitung der technischen Aspekte. Sie gilt EU-weit, wobei einige EU-Mitgliedsstaaten sich in Unterpunkten unterscheiden, Ergänzungen über national bedingte Verordnungen haben oder die Strafverfolgung anders regeln.

Wir bieten Ihnen einen Überblick über die wichtigsten Dinge, die Sie wissen müssen, um Ihre Webseite DSGVO-konform zu gestalten. Dieser Beitrag ersetzt keine rechtliche Beratung.

E-Mail-Marketing

E-Mail-Marketing läuft größtenteils über den Versand von Newslettern und Ähnlichem. Dieser ist nach den neuen Vorschriften der DSGVO nur noch mit Einwilligung der betroffenen Person rechtmäßig. Außerdem kann die Nutzung von persönlichen Daten, zu denen auch die E-Mail-Adresse des Nutzers zählt, rechtens sein, wenn ein Rechtfertigungsgrund gegeben ist. Dieser Rechtfertigungsgrund ist beispielsweise ein berechtigtes Interesse des Verantwortlichen an der Fortführung des E-Mail-Verkehrs.

Darunter fällt die Nutzung der E-Mail-Adresse zur Eigenwerbung oder eine bestehende Beziehung zwischen Verantwortlichen und Betroffenen (z. B. Verkäufer – Kunde). Dazu kommt die Versendung von Newslettern an Bestandskunden und das E-Mail-Marketing an potenzielle Kunden zur Kaltakquise. Wichtig ist hierbei, dass das Widerspruchsrecht des Empfängers gegeben wird. Das heißt, dass ihm immer die Möglichkeit gegeben wird, gegen das Empfangen von Newslettern zu widersprechen.

Die Impressumspflicht

Schon seit August 1997 besteht mit der Impressumspflicht die Pflicht, Verantwortliche von Webseiten-Inhalten anzugeben. Damit soll Transparenz für die Nutzer geschaffen und gegebenenfalls Rechtsverfolgungen erleichtert werden. Die Impressumspflicht gilt laut § 5 des Telemediengesetzes für „geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien“.

Das umfasst Webseiten, die mit wirtschaftlichem Interesse betrieben werden, also Verkaufsplattformen, aber auch Seiten, die der Unternehmenspräsenz dienen. Einzig private Webseiten sind über § 55 des Rundfunkstaatsvertrags vor der Impressumspflicht sicher. Seiten, die „ausschließlich persönlichen oder familiären Zwecken dienen“ brauchen kein Impressum.

Das Problem bei der Auseinandersetzung mit der Impressumspflicht ist, dass die Rechtsprechung diesbezüglich nicht einheitlich ist. Während ein Gericht ein fehlerhaftes oder unvollständiges Impressum als einen Verstoß gegen die DSGVO sieht, tut ein anderes Gericht dies nicht. Bei einem Verstoß können hierbei hohe Strafen wie kostenpflichtige Abmahnungen und Ansprüche auf Unterlassung oder aber Bußgelder anfallen. Deswegen gilt: Lieber von Anfang an ein gut geführtes Impressum als Strafen zu riskieren.

Diese Checkliste zeigt Ihnen, welche Informationen das Impressum enthalten sollte:

  • Name und Anschrift des Webseitenbetreiber
  • Rechtsform des Unternehmens (AG, GmbH, eG, etc.)
  • Kontaktangaben (E-Mail, evtl. Telefonnummer. Der Nutzer sollte Sie innerhalb von 60 Minuten erreichen können)
  • Die zuständige Aufsichtsbehörde
  • Registernummer und wenn vorhanden Identifikationsnummer
  • Berufsspezifische Angaben
  • Link zur Streitbeilegungsplattform der EU
    • Erklärung, ob Sie bei Streitfällen mit Verbrauchern an einem Streitschlichtungsverfahren teilnehmen wollen

Auch auf Social-Media-Profilen und Werbe-Mails sollte zumindest über einen Link zu Ihrer Homepage ein Impressum gegeben sein. Dabei sollte es immer verfügbar, leicht zugänglich und stets aktuell sein! Als Richtlinie gilt: Ein Impressum, das zwei Klicks von der Hauptseite entfernt ist, ist für den Nutzer gut erreichbar.

Gute Tools, die beim Umgang mit der Impressumspflicht helfen können, sind Impressumsgeneratoren wie z. B. von eRecht24. Diese fragen die Daten ab, die benötigt werden, und erzeugen aus ihnen mit nur wenigen Klicks ein fertiges Impressum.

Kurz gesagt: Ein impressives Impressum kann Sie vor Abmahnungen schützen.

Die Datenschutzerklärung

Mit der Datenschutzerklärung verhält es sich ähnlich wie mit der Impressumspflicht: Webseitenbetreiber sind verpflichtet, Informationen über die sich selbst und ihre Inhalte bereitzustellen. Dabei sollte über

  • Art
  • Umfang
  • Zweck

der Erhebung der Daten sowie über die Verwendung der personenbezogenen Daten informiert werden. Dabei sollte die Rechtsgrundlage genannt und auf die Rechte der betroffenen Person hingewiesen werden.

Diese sind:

  • Das Widerspruchs- und Widerrufsrecht
  • Recht auf Auskunft
  • Recht auf Korrektur oder Löschung der Nutzerdaten
  • Beschwerderecht bei Aufsichtsbehörden
  • Recht auf Datenübertragbarkeit

Außerdem sollten die Nutzer darüber informiert werden, wie lange und wofür ihre Daten gespeichert werden. Dazu sollten – wenn vorhanden – die Kontaktdaten des Datenschutzbeauftragten aufgeführt werden. Die Datenschutzerklärung sollte dabei wieder leicht verständlich und zugänglich sein. Eine fehlerhafte oder unvollständige Datenschutzerklärung kann zu Abmahnungen oder Bußgeldern führen.

Die activeMindAG bietet zu diesem Zweck einen Generator, der ähnlich wie bei dem Impressumsgenerator mit Ihren Webseiten-Daten eine DSGVO konforme Datenschutzerklärung generiert.

Zusammenfassend sollten also die Rechte der Nutzer und Informationen über die Nutzung ihrer Daten in Ihrer Datenschutzerklärung aufgeführt sein!

Zum Technischen – Die SSL-Verschlüsselung

Vor allem in den letzten Jahren sind Hackerangriffe und Datendiebstähle deutlich angestiegen. Personenbezogene Daten Ihrer Nutzer können betroffen sein und rückwirkend könnten Sie zur Rechenschaft gezogen werden. Daher sollten Sie, wann immer Sie personenbezogene Daten anfordern, Ihre Webseite verschlüsseln. Dies funktioniert mit der Webseiten-Verschlüsselung TLS.

SSL (für „Secure Sockets Layer“) ist hierbei ein System, das bereits von TSL überholt wurde. Die alte Bezeichnung für die Verschlüsselung ist jedoch allgemein geläufiger und wird daher noch weiterhin gebraucht. Hierbei werden die Daten verschlüsselt, die zwischen Server und Computer verkehren. Ein SSL-Zertifikat ist erkennbar durch „https“ statt „http“ in der URL-Leiste. Die Verschlüsselung ist bei den meisten Providern schon in den Einstellungen möglich, alternativ kann aber auch eine Websiteagentur damit beauftragt werden.

Plugins

Zum Beispiel Facebook, Twitter oder andere Social-Media Dienste übertragen automatisch personenbezogene Daten des Nutzers auf Ihre Seiten. Dies geschieht auch, wenn der Nutzer nicht auf den Button klickt, oder nicht einmal auf der jeweiligen Plattform angemeldet ist. Laut der Datenschutzgrundverordnung ist dies nun nicht mehr zulässig, kann als Verstoß gegen diese angesehen werden und zu Abmahnungen und höheren Bußgeldern führen.

Um das zu verhindern, sollte man diese Plugins entweder ganz entfernen oder mit Tools regulieren.

Das Tool „Shariff“ von dem Computermagazin c’t kann hier Abhilfe schaffen. Das Programm sorgt hierbei dafür, dass Datenübertragungen erst stattfinden, wenn der Nutzer auf den Button des Social-Media Plugins klickt, wodurch zumindest die ungewollte Versendung von personenbezogenen Daten verhindert werden kann.

Über Cookies informieren

Die Daten, die auf einem Computer gespeichert werden, wenn ein Nutzer eine Webseite besucht, nennen sich Cookies. Sie sorgen dafür, dass zum Beispiel der Warenkorb eines Kunden nach dem Schließen der Seite gespeichert wird. Vor der DSGVO sind sie eine rechtliche Grauzone. Laut der europäischen „Cookie-Richtlinie“ soll die Nutzung von Cookies nur möglich sein, wenn dafür das Einverständnis des Nutzers gegeben ist. Dazu gibt es eine „Cookie-Hinweispflicht“, welche Google seit zwei Jahren vorschreibt.

Vor dem deutschen Recht ist die Erhebung von personenbezogenen Daten nur dann rechtmäßig, wenn sie entweder vor dem Datenschutzgesetz erlaubt sind oder in der Einwilligung des Nutzers geschehen. Bei Cookies ist nur Letzteres möglich.

Diese Einwilligung sollte nur über den aktiven Weg erfolgen, d. h. zum Beispiel über das Anklicken eines Kästchens möglich gemacht werden. Eine passive Handlung, wie der Disclaimer, dass man sich mit dem Besuchen dieser Seite mit der Nutzung von Cookies einverstanden erklärt, sollte nicht genutzt werden.

Zudem muss es möglich gemacht werden, dass der Nutzer sich darüber genau im Klaren ist, worin er einwilligt, also von wem die Daten gespeichert und genutzt werden, wofür dies gemacht wird und dass der Nutzer das Recht hat, diesem zu widersprechen. Um einen endlosen Text in jedem Cookie-Informationsbanner zu vermeiden, reicht oft auch der Link auf die Datenschutzerklärung.

Zusammenfassend sollte also auf jeder Webseite ein Cookie-Hinweis gegeben sein, der…

  • eine aktive Handlung fordert
  • klar und übersichtlich gestaltet ist
  • den Nutzer über Cookies und die damit verbundenen Rechte informiert

Cookie Consent von Insites ist ein Tool, welches kostenlose JavaScript Plugins bietet, um einen Cookie-Hinweis in seine Seite einzubauen. So kann es den Umgang mit der Cookie-Richtlinie für Sie deutlich einfacher machen!

Graphen und Zahlen – Statistik-Tools

Mit Statistik-Tools können Sie ihre Besucherzahlen immer im Blick haben. Die Gefahr durch die DSGVO ist jedoch, dass einige Tools zur Erfassung der Besucherzahlen die IP-Adresse des jeweiligen Nutzers speichern, was vor der DSGVO nicht zulässig ist. Eine Lösung wären bestimmte Tools wie z. B. Google Analytics, mit denen es möglich ist, bei der Erfassung von IP-Adressen diese zu anonymisieren.

Fazit

Die DSGVO ist eine Verordnung, die seit Mai 2018 die Daten der Internet-User zum größtmöglichen Teil schützen soll.

Webseitenbetreibern aber jagt sie Angst ein, da die Gefahr von Abmahnungen und Strafverfolgungen bei Fehlern groß ist. Strafen sind bei gravierenden Verstößen Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes des Unternehmens. Bei weniger schlimmen Datenschutz-Verstößen muss man mit Strafen von bis zu 10 Millionen Euro oder 2 % des Gesamt-Jahresumsatzes rechnen. Hierbei kann ein ganzer Konzern als Unternehmen behandelt werden und für die Verstöße eines damit verbundenen Tochterunternehmens belangt werden.

Wenn Sie die Hinweise bezüglich des Impressums, der Datenschutzerklärung, Plugins, Cookies und sonstigen Tools jedoch beachten, können Sie sich weitestgehend davor schützen! Dabei sollten Sie sich immer fragen, wie Sie die Daten der Nutzer am besten schützen können, um der DSGVO möglichst gerecht zu werden. Wichtig ist dabei die Transparenz für den Nutzer: Er soll genau über seine Rechte Bescheid wissen.

Sie sehen: Bei der DSGVO gibt es vieles zu beachten. Viele Dinge, die Sie falsch machen können und hohe Strafen, die Sie befürchten müssen. Die vorgefertigten Designs von WPscaling Ihnen diese Sorgen abnehmen. Unsere Designs sind schon im Vorfeld DSGVO-konform, sodass Sie keine rechtlichen Konsequenzen zu befürchten haben.

Lassen Sie sich von unserem Angebot überzeugen!