Warenkorb

Der Warenkorb ist leer

Leitfaden zur DSGVO konformen Website

 

Vorweg genommen, können wir als Dienstleister für digitale Dienstleistungen keine Rechtsberatung leisten. Gleichzeitig sind wir dazu verpflichtet uns intensiv mit der Datenschutzgrundverordnung (DSGVO) zu beschäftigen. Der nachfolgende Text gibt unseren aktuellen Wissensstand aus der täglichen Praxis wieder. Zu beachten ist, dass bezüglich der DSGVO noch eine große Rechtsunsicherheit besteht. Gerichtsverfahren, die in vielen Fragen Klarheit schaffen werden, stehen aus. Bei rechtlichen Fragen wenden Sie sich bitte an Ihren Rechtsbeistand.

 
 

Die Datenschutzgrundverordnung (DSGVO) der Europäischen Union verfolgt das Ziel den Schutz personenbezogene Daten in der Europäischen Union sicherzustellen. Ebenfalls soll der Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Seit dem 25. Mai 2018 ist die DSGVO anzuwenden.

 
Die DSGVO enthält eine Vielzahl an Regelungen zum Schutz personenbezogener Daten und eine erhebliche Anzahl an Informationspflichten. Teilweise sind die Regelungen nur mit erheblichem Aufwand umsetzbar. Generell verbietet die DSGVO die Verarbeitung personenbezogener Daten aller Art. Erlaubt ist eine Datenverarbeitung seit dem 25. Mai 2018 nur noch dann, wenn dafür eine gesetzliche Grundlage besteht.

 
Die DSGVO stellt nicht nur für viele Unternehmen, Vereine, Verbände, Kommunen und öffentliche Einrichtungen eine Herausforderung dar. Auch viele private Webseitenbetreiber sind betroffen. Erschwerend kommt hinzu, dass IP-Adressen als personenbezogene Daten gelten. Daraus ergeben sich in der Praxis teils erhebliche Probleme.

 

 

 

Was regelt die DSGVO?

Die DSGVO gilt nach Artikel 2 Absatz 1 DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

 
Die DSGVO gilt damit grundsätzlich für alle Arten der modernen digitalen Datenverarbeitung. Sie gilt, zum Beispiel, sobald Sie einen Computer, Laptop, ein Smartphone oder auch nur eine Digitalkamera nutzen - auch eine Smartwatch oder eine Datenbrille. Die DSGVO gilt auch, wenn Sie personenbezogene Daten auf ein Blatt Papier schreiben und geordnet ablegen. Dies gilt auch für Visitenkarten.

 

 

Für wen gilt die DSGVO?

Die DSGVO gilt in der Europäischen Union und grundsätzlich auch für alle Dienste und Leistungen, die natürliche Personen (Menschen) in der Europäischen Union angeboten werden - auch wenn der Anbieter außerhalb der Europäischen Union sitzt. Dabei spielt es keine Rolle, ob das Angebot kostenpflichtig oder kostenfrei ist. Da Webseiten in der Regel weltweit aufrufbar sind, gilt die DSGVO für Webseiten weltweit. Der räumliche Anwendungsbereich ist in Artikel 3 DSGVO geregelt.

 
In Artikel 2 Absatz 2 DSGVO sind die Fälle aufgeführt, in denen die DSGVO nicht gilt. Darunter fallen unter anderem alle Tätigkeiten, die durch eine natürliche Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgen.

 
Die DSGVO gilt damit nicht für rein private persönliche Zwecke. Bezogen auf Webseiten bedeutet das, dass die DSGVO nicht für reine private Websites gilt, die sich ausschließlich mit einem privaten Thema befasst. Beispielsweise eine Webseite mit Katzenbildern oder Katzenvideos, über ein Hobby im privaten Bereich, ein privater Blog usw. Allerdings ist der "private Bereich" stark begrenzt. Thematisiert eine private Website ein Thema außerhalb des privaten oder familiären Bereichs, wie ein öffentliches Thema, dürfte sie nicht mehr als privat gelten. Enthält eine Webseite Werbung, kann eine Gewinnerzielungsabsicht unterstellt werden. Auch dann gilt eine private Website - unabhängig von ihrem Inhalt - nicht mehr als privat und die DSGVO ist anzuwenden.

 

 

Wie wird meine Website DSGVO konform?

  • Datenschutzerklärung
    Ist die DSGVO anzuwenden, benötigt jede Webseite zumindest eine Datenschutzerklärung. Die Datenschutzerklärung hat alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34 der DSGVO zu enthalten, die sich auf die Verarbeitung personenbezogener Daten beziehen. Zudem muss die Information in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Geregelt ist dies in Artikel 12 Absatz 1 DSGVO. Insgesamt ist im ungünstigsten Fall über mehr als 100 Rechte, Informationen und Mitteilungen zu informieren.
     
    Bezogen auf Webseiten ist vor allem darüber zu informieren, welche Plugins, Module, Tools etc. von Dritten eingesetzt werden. Jedes einzelne Plugin, Modul, Tool etc. ist zu beschreiben, sofern personenbezogene Daten verarbeitet werden oder auch nur die IP-Adresse verarbeitet oder übermittelt wird. Welche Daten diese Tools zu welchem Zweck erfassen ist ebenfalls zu beschreiben, wie Anbieter des Tools, die Angabe dessen Datenschutzerklärung, wie auch die Rechtsgrundlage, auf der die Datenverarbeitung beruht. Werden Daten in ein Land außerhalb der Europäischen Union übertragen, ist außerdem anzugeben, ob das Land von der Europäischen Kommission als Staat mit einem angemessenen Datenschutzniveau anerkannt ist (Angemessenheitsbeschluss nach Artikel 45 Absatz 3 DSGVO), ob ein Datenschutzabkommen mit diesem Staat besteht und wenn nicht, welche geeignete Garantien übernommen werden, um den Schutz personenbezogener Daten zu gewährleisten.
     
    Die rechtlichen Grundlagen für die Zulässigkeit der Datenverarbeitung sind in Artikel 6 und Artikel 49 DSGVO aufgeführt und sind für jeden Verarbeitungsvorgang personenbezogener Daten als Rechtsgrundlage im Detail zu benennen. Lässt sich die Datenverarbeitung auf dieser Grundlage nicht begründen, ist sie rechtswidrig.
     
    Die Deutsche Gesellschaft für Datenschutz bietet für die Erstellung einer Datenschutzerklärung ein Tool an unter: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/.
     
    Die so erstellte Datenschutzerklärung ist jedoch alles andere als vollständig. Die generierte Datenschutzerklärung ist zusätzlich auf die jeweilige Website abzustimmen, zu erweitern und anzupassen. In der Praxis bedeutet das, dass es in der Regel unerlässlich ist, dass jede Website ihre eigene individuelle Datenschutzerklärung erhält. Vom Kopieren einer Datenschutzerklärung von einer anderen Webseite ist deshalb dringend abzuraten.
     
    Durch die bloße Einbindung einer Datenschutzerklärung ist eine Website nach der DSGVO allerdings noch lange nicht rechtskonform.
     
     
  • Cookies
    Praktisch jede Webseite verwendet heute Cookies. Neben einer Erläuterung in der Datenschutzerklärung sollten Sie Ihre Webseitenbesucher mit einem Banner auf die Verwendung hinweisen.
     
    Dieser Hinweis ist aber bald nicht mehr ausreichend. Mit der geplanten ePrivacy-Verordnung werden die Regeln für Cookies voraussichtlich erheblich verschärft. Dann müssen Webseitenbetreiber ihre Besucher vor dem setzen des ersten Cookies über den Einsatz von Cookies aufklären und zudem die Möglichkeit geben diese einzeln zuzulassen. Dies wird viele Webseitenbetreiber vor technische - teilweise fast unlösbare - Herausforderungen stellen. Die ePrivacy-Verordnung wird nach aktuellem Stand für 2019 erwartet. Ein Verstoß gegen die ePrivacy-Verordnung kommt dann praktisch einem Verstoß gegen die DSGVO gleich.
     
      
  • Tools, Module, Plugins
    Es ist zu prüfen, welche Tools auf einer Website unbedingt notwendig sind. Alle nicht benötigten Tools sollten entfernt werden. Die meisten Anwender im privaten Bereich benötigen beispielsweise kein Google Analytics.
     
     
  • Social-Media-Plugins
    Sie haben Plugins wie Facebook, Twitter, Google+ usw. auf Ihrer Website? Entfernen Sie diese und ersetzen Sie durch einen einfachen Link auf die jeweilige Seite im sozialen Netzwerk. Diese Links können Sie auch mit einem Bild gestalten. Bereits nach alter Rechtslage waren Social-Media-Plugins umstritten. Spätestens mit der DSGVO dürften sie ohne vorherige Einwilligung des Webseitenbesuchers illegal sein.
     
     
  • Google Analytics
    Um sicher zu gehen, entfernen Sie Google Analytics, wenn Sie das Analyse-Tool nicht unbedingt benötigen. Google Analytics war schon in der Vergangenheit im Visier der Datenschützer und Abmahner.
     
    Theoretisch lässt sich Google Analytics über einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO mit Google verbunden mit einer IP-Anonymisierung und Opt-Out-Funktion weiterhin datenschutzkonform einsetzen. Darüber scheiden sich jedoch die Geister: Während die einen meinen, dass dies ausreicht, bezweifeln andere, dass sich Google Analytics je rechtskonform einsetzen lässt.
     
    Google Analytics ist eines der besten Tools zur Auswertung von Nutzeraktivitäten auf Webseiten, aber ebenso aus Sicht des Datenschutzes umstritten. Wenn Sie Google Analytics einsetzen, müssen Sie damit rechnen, dass personenbezogene Daten an Server in die USA übertragen und dort verarbeitet und ausgewertet werden. Wenn Sie auf eine detaillierte Auswertung nicht verzichten wollen, können Sie etwa auf Matomo ausweichen, das zumindest weniger umstritten ist.
     
     
  • YouTube Videos auf einer Website
    Betten Sie alle YouTube Videos zumindest über den YouTube-Datenschutzmodus neu ein.
     
     
  • Werbung auf einer Website
    Verwenden Sie nach Möglichkeit keine personalisierte Werbung. Nutzen Sie den Datenschutzmodus Ihrer Affiliate oder Ihres Werbenetzwerks. Schließen Sie nach Möglichkeit einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO oder richten Sie ein Opt-In ein, bevor Werbeinhalte angezeigt werden. Innerhalb des Opt-In müssen Sie Ihre Websitebesucher darüber informieren, zu welchem Zweck personenbezogene Daten verarbeitet werden, dass Sie zustimmen, dass Werbung angezeigt wird und wie sie die Einwilligung widerrufen können.
     
     
  • Forum oder Gästebuch
    Haben Sie auf Ihrer Website noch ein Gästebuch oder ein Forum? Meist speichern Gästebücher und Foren IP-Adressen der Nutzer unbegrenzt. Das ist nach der DSGVO grundsätzlich nicht zulässig. Aktualisieren Sie Ihre Gästebuch- und Forensoftware. Lässt sich die Speicherung von IP-Adressen nicht unterbinden, prüfen Sie ob ein Gästebuch oder Forum noch notwendig ist und entfernen Sie es gegebenenfalls. Wollen Sie Ihr Gästebuch oder Forum behalten, ändern Sie die Nutzungsbedingungen. Von jedem Webseitenbesucher ist vor der Nutzung die Einwilligung einzuholen, dass seine IP-Adresse gespeichert werden darf. Diese Einwilligung muss jederzeit widerrufbar sein. In der Einwilligung ist zu erläutern, zu welchem Zweck die IP-Adresse gespeichert wird.
     
     
  • Nutzereinwilligung durch Opt-In
    Wenn Sie Tools oder Inhalte auf Ihrer Website verwenden, die für Ihre Seite notwendig, aber nach der DSGVO nicht ohne Einwilligung des Nutzers zulässig sind, richten Sie ein Opt-In ein. Über ein Opt-In können Ihre Webseitenbesucher entscheiden, ob sie diese Inhalte sehen wollen. Das Opt-In muss so gestaltet sein, dass die Einwilligung ausdrücklich erfolgt - eine unbeabsichtigte oder zufällige Einwilligung ist nicht zulässig und sollte ausgeschlossen werden. Die Einwilligung muss über Art und konkreten Zweck der Datenverarbeitung informieren. Die eingeholte Einwilligung muss jederzeit widerrufbar sein. Der Widerruf muss zudem genauso einfach, wie die Einwilligung sein. Die DSGVO sieht außerdem einen besonderen Schutz von Kindern vor. Ist eine Einwilligung erforderlich, ist der Schutz von Kindern zu berücksichtigen.
     
     
  • Newsletter
    Newsletter dürfen nur noch dann versandt werden, wenn der Empfänger vorher eindeutig zugestimmt hat. Er muss auch darüber aufgeklärt werden, zu welchem Zweck seine Daten erhoben, verarbeitet und gespeichert werden sowie die Möglichkeit des Widerrufs. Grundsätzlich ist für die Newsletteranmeldung ein Double-Opt-In-Verfahren anzuwenden. Um einen Newsletter zu versenden ist technisch nur eine E-Mail-Adresse notwendig. Weitere Daten sollten bei der Newsletteranmeldung nicht erhoben werden: Nach Artikel 5 Absatz 1 Buchstabe c DSGVO sind erhobene Daten auf das notwendige Maß zu beschränken. Die DSGVO sieht zudem einen besonderen Schutz von Kindern vor. Auch dies ist zu berücksichtigen.
     
     
  • Verschlüsselung
    Wenn Sie auf Ihrer Website ein Formular oder auch nur ein Eingabefeld haben, könnten darin personenbezogene Daten eingegeben werden. Nach Artikel 32 DSGVO ist die Sicherheit der Verarbeitung zu gewährleisten. Dies geschieht bei Webseiten durch abgesicherte Verbindungen über HTTPS. Damit Ihre Webseite über HTTPS aufrufbar ist, benötigen Sie ein auf die Domain Ihrer Website ausgestelltes SSL/TLS-Zertifikat, das zudem auf Ihrem Webserver installiert sein muss. Webseiten die unter die DSGVO fallen und Eingabefelder oder Formulare enthalten sind seit dem 25. Mai 2018 über eine sichere Verbindung über HTTPS anzubieten - ein Aufruf über HTTP ist nicht mehr ausreichend.
     
    Zunehmend ist ein Trend hin zu selbstsignierte SSL/TLS-Zertifikate zu erkennen. Davon raten wir dringend ab. Einerseits kommt es dadurch in vielen modernen Webbrowsern zu unschönen Warnmeldungen. Erfolgt zudem ein Abgleich des selbstsignierten Zertifikats mit einem OCSP-Server, kommt es vor, dass Webseiten überhaupt nicht mehr aufrufbar sind. Andererseits ist es fraglich, ob selbstsignierte Zertifikate den Anforderungen der DSGVO genügen.
     
     
  • Formulare
    Wenn Sie auf Ihrer Website Formulare anbieten, ist nicht nur eine sichere Verbindung Ihrer Website über HTTPS zu gewährleisten, Sie sollten auch dafür Sorge tragen, dass der Nutzer des Formulars darüber informiert wird, was mit seinen eingegebenen Daten geschieht, zu welchem Zweck sie erhoben, gespeichert, verarbeitet und wie lange gespeichert werden. Der Nutzer sollte zudem sein Einverständnis geben. Dies kann durch eine Checkbox vor dem Versenden des Formulars erfolgen.
     
     
  • Datenschutzfreundliche Voreinstellungen
    Wenn ein Websitebesucher eine Einwilligung zur Datenverarbeitung geben soll - egal welcher Art und zu welchem Zweck - müssen Voreinstellungen datenschutzfreundlich sein. In der Praxis wird dies auf Webseiten vor allem durch nicht angekreuzte Checkboxen erreicht.
     
     
  • Auftragsverarbeitung
    Prüfen Sie, ob Sie für eingesetzte Tools Auftragsverarbeitungsverträge schließen können. Beispielsweise können Sie für den Einsatz von Google Analytics mit Google einen Auftragsverarbeitungsvertrag schließen.
     
    Wenn Ihre Website unter die DSGVO fällt, sollten Sie einen Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO mit Ihrem Webhoster, E-Mail-Hoster und Domain-Provider schließen. Die Schließung eines Auftragsverarbeitungsvertrages ist zwar nicht vorgeschrieben, jedoch ist es praktisch unmöglich eine Website ohne Auftragsverarbeitungsvertrag nach der DSGVO noch rechtskonform zu betreiben.
     
    Dies liegt vor allem daran, dass IP-Adressen als personenbezogene Daten gelten. Egal, ob Ihr Webseitenbesucher nur Ihre Domain-Adresse im Webbrowser eingibt, Ihre Webseite besucht oder Ihnen auch nur eine E-Mail schreibt, in jedem Fall erhält Ihr Domain-Provider, Webhoster oder E-Mail-Hoster die IP-Adresse und unter Umständen weitere personenbezogene Daten. Eine solche Weitergabe von personenbezogener Daten an Dritte ist nach der DSGVO nicht mehr möglich. Mit dem Abschluss von Auftragsverarbeitungsverträgen wird das illegale Handeln in einen rechtskonformen Rahmen gebracht.
     
    Auftragsverarbeitungsverträge haben jedoch den "Pferdefuss", dass sich die Vertragspartner regelmäßig kontrollieren müssen, ob sie die vertraglich vereinbarten Datenschutzvorkehrungen einhalten. Wie diese Kontrolle in der Praxis aussieht oder auszusehen hat ist aktuell nicht endgültig geklärt. Die einen meinen, dass eine schriftliche Auskunft ausreicht. Andere sind der Meinung, dass ein Vor-Ort-Besuch notwendig ist. Die Kontrolle muss zu Nachweispflichten dokumentiert werden. Sicher scheint: Erfolgt keine Kontrolle und es kommt zu entsprechenden datenschutzrechtlichen Vorfällen, können beide Vertragspartner bestraft werden. Zudem haften die Vertragspartner gemeinsam. Geregelt ist dies in Artikel 82 DSGVO.
     
     
  • Gewerbliche Nutzung einer privaten E-Mail-Adresse
    Komplizierter wird es, wenn Sie eine private E-Mail-Adresse gewerblich nutzen oder auf einer Webseite, die unter die DSGVO fällt, als Kontaktadresse nutzen. Für gewöhnlich bieten t-online, web.de, gmx, freenet, yahoo etc. für private E-Mail-Postfächer keine Auftragsverarbeitungsverträge an. In der Praxis liegt dann nach der DSGVO eine unrechtmäßige Weitergabe von personenbezogene Daten an Dritte vor. Sie sollten Ihre private E-Mail-Adresse deshalb möglichst zeitnah durch eine gewerbliche oder geschäftliche E-Mail-Adresse ersetzen, die auf den Domainnamen Ihrer Website lautet z.B. manfred.mustermann@meineseite.de. Haben Sie noch keine eigene Website, benötigen Sie ein Webhostingpaket mit eigener Domain und Auftragsverarbeitungsvertrag. Sie können dabei auch nur die E-Mail-Adresse nutzen, die Website aber "leer" lassen.

 

Haben Sie alle Punkte umgesetzt, dürfte Ihre Webseite nach der DSGVO weitgehend rechtskonform sein. Weitgehend deshalb, da im Moment noch Rechtsunsicherheit in vielen Punkten besteht und nicht ausgeschlossen ist, dass die Auflistung noch fortzusetzen ist.

 

 

Grundsätzlich gilt:

  • eine Verarbeitung personenbezogener Daten ist nur noch auf Grundlage einer gesetzlichen Regelung zulässig
  • unter personenbezogene Daten fallen auch IP-Adressen
  • personenbezogene Daten dürfen nur zu einem bestimmten Zweck erhoben und verarbeitet werden
     
  • es dürfen nur so viele Daten erhoben werden, wie für einen bestimmten Zweck unbedingt notwendig sind
  • erhobene Daten müssen sachlich richtig sein
  • personenbezogene Daten müssen so sicher wie möglich verarbeitet werden
     
  • grundsätzlich benötigt jede Website eine Datenschutzerklärung
  • Tools, Module und Plugins auf Websites sind auf das notwendige Maß zu beschränken
  • Tools, Module und Plugins mit unbekannter Herkunft oder auffälliger Verhaltensweise sind zu ersetzen oder zu entfernen
     
  • Werbung auf Websites ist so datenschutzfreundlich wie möglich zu gestalten
  • Opt-In und Double-Opt-In-Verfahren sind zu prüfen und wirksam einzusetzen
  • Voreinstellungen müssen datenschutzfreundlich sein
     
  • die meisten Websites müssen über HTTPS erreichbar sein
  • Formulare und E-Mails sind verschlüsselt zu übertragen
  • bei den meisten Websites ist der Abschluss von Auftragsverarbeitungsverträge mit Webhoster, E-Mail-Hoster und Domain-Provider notwendig
     
  • Auftragsverarbeitungsverträge sollten auch für eingesetzte Tools geprüft werden
  • private E-Mail-Adressen sollten nicht gewerblich genutzt werden
  • private E-Mail-Adressen sollten nicht auf Websites genutzt werden, die unter die DSGVO fallen

 

Eine rechtskonforme Umsetzung der DSGVO ist damit noch nicht abgeschlossen. Sie müssen darüber hinaus prüfen, ob Sie einen Datenschutzbeauftragten bestellen müssen, nach Artikel 37 DSGVO und § 38 Bundesdatenschutzgesetz (BDSG). Außerdem ist nach Artikel 30 DSGVO ein Verzeichnis mit Verarbeitungstätigkeiten zu führen. Unter Umständen müssen Sie eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO durchführen. Es sind außerdem technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes zu ergreifen. Insgesamt obliegen Ihnen nach der DSGVO diverse, teils umfangreiche Dokumentationspflichten.

 

 

Welche Strafen drohen?
Nach unserem Kenntnisstand drohen jedem, der gegen die DSGVO verstößt, Geldstrafen von bis zu 20 Mio. Euro oder vier Prozent des weltweiten Umsatzes - je nach dem welcher Betrag höher ist. Außerdem können Haftstrafen von bis zu drei Jahre verhängt werden. Die Strafe muss jedoch in einem angemessenen Verhältnis zum Verstoß stehen.
 
Was jedoch noch schwerer wiegt: Die Datenschutzaufsichtsbehörden können Ihnen komplett oder teilweise die Datenverarbeitung verbieten. Bezogen auf Webseiten bedeutet das praktisch das Aus. In manchen Quellen ist deshalb bei der DSGVO auch von einem Zensurgesetz die Rede, um unliebsame Webseiten los zu werden.
 
Insgesamt lohnt sich zumindest der Versuch die DSGVO einzuhalten. Dies dürfte jedoch vor allem privaten Webseitenbetreibern aufgrund der hohen Komplexität und des teils sehr hohen Aufwandes schwer fallen. Hier zeigt sich ein großer Mangel der DSGVO: Es gibt keine Verhältnismäßigkeit.

 


 

Wir würden uns freuen, wenn dieser kleine Ratgeber Ihnen eine Hilfe war. Aktualisierungs-, Ergänzungs- und Korrekturvorschläge nehmen wir gerne entgegen.

 


 
Leistungen, die wir im Zusammenhang mit der DSGVO erbringen
 

Benutzer:
Kennwort:
Kennwort vergessen?