DS-GVO: Dein Website Check

Was Du als Webseitenbetreiber ab 05/18 sicherstellen musst

von LocalBranding

Ab dem 25.05.2018 ist die neue Datenschutz-Grundverordnung (DS-GVO) der EU rechtswirksam. Sie regelt den Umgang von Institutionen und Unternehmen mit persönlichen Daten europaweit einheitlich. Persönliche Daten sind:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“ (Art. 4 lit. 1 DS-GVO)

Natürlich gibt es noch eine Reihe von Unwägbarkeiten und verschiedene Detailfragen sind aufgrund fehlender Anwendungspraxis noch nicht abschließend juristisch geklärt. Trotz oder gerade deswegen tun Betreiber jedoch gut daran, ihre Webseiten soweit es irgend geht „bulletproof“ zu machen.

Um die datenschutzrechtlichen Bestimmungen einzuhalten und sich so gut wie möglich gegen Abmahnungen und Bußgelder zu schützen, sind eine ganze Reihe von Maßnahmen auf Deiner Website zu treffen. Die folgende Checkliste sollen hierzu eine Hilfestellung geben.

Checkliste Website

Impressum

Ein aktuell gehaltenes Impressum ist unabdingbar für jede Website. Das Impressum muss sowohl von der Startseite, wie von allen Unterseiten aus erreichbar sein. Am besten platzierst Du es im Fuß der Website (dem sog. "Footer").

Das Impressum muss enthalten:

  • PLZ Ort
  • Adresse
  • Name / Firma (e.K., GbR, KG, UG, GmbH etc.)
  • Telefon
  • ggf. Fax
  • Email-Adresse
  • Geschäftsführer: Name (sofern juristische Person)
  • Handelsregistereintrag: Amtsgericht XYZ, HRB-Nr.: 12345 (sofern im z.B. Handelsregister oder Vereinsregister eingetragen)
  • Umsatzsteuer-ID: DE123456789 (sofern vorhanden)
  • Inhaltlich verantwortlich gemäß § 55 RStV: Name/Firma, Anschrift
  • Aufsichtsbehörde: XYZ (Angaben zur zuständigen Aufsichtsbehörde - nur soweit der Dienst im Rahmen einer Tätigkeit angeboten oder erbracht wird, die der behördlichen Zulassung bedarf)

Des Weiteren sollten die Themen Streitbeilegung und Streitschlichtung unbedingt im Impressum beschrieben sein.

Datenschutzerklärung

Jede Website muss ab dem 25.05.2018 auch über eine gesonderte Datenschutzerklärung verfügen. Die Datenschutzerklärung muss auf die eigene Website zugeschnitten sein und muss Informationen enthalten zu:

  • Verantwortlicher (Firma / Inhaber / Geschäftsführer)
  • Datenschutzbeauftragter (intern/extern, soweit vorgeschrieben)
  • Sicherheit und Schutz personenbezogener Daten
  • Begriffsbestimmungen
  • Rechtmäßigkeit der Verarbeitung
  • Erhebung personenbezogener Daten (wann welche Daten?)
  • Einsatz von Cookies
  • Erweiterte Erhebung personenbezogener Daten bei weiteren Diensten
  • Einbeziehung von Auftragsverarbeitern, z. B. bei Webshop die Nutzung von externen Zahlungsdienstleistern (z. B. PayPal, Klarna etc.)
  • Genaue Auflistung dieser Dienstleister und deren Datenschutzinformationen (Links)
  • Newsletter: Double-Optin-Verfahren, Datenerhebung, -speicherung und -verarbeitung 
  • Kinder (an wen richtet sich das Angebot?)
  • Rechte der betroffenen Person
  • Einsatz von Analysetools (Google Analytics, Piwik etc.)
  • Einsatz von SocialMedia Plugins (Links auf eigene SocialMedia Profile sind hier nicht betroffen, nur Plugins, die Daten senden.)
  • Einbindung von Google Maps
  • Alle weiteren auf der Website ggf. eingebundenen Dienste

Die Datenschutzerklärung muss jederzeit den aktuellen Status der Website wiederspiegeln. Mit "Copy and Paste" ist es also nicht getan - von urheberrechtlichen Risiken mal ganz abgesehen.

Auch die Datenschutzerklärung muss von allen Seiten aus einfach erreichbar sein.

Klärung Datenschutzbeauftragter

Prüfe, ob die Benennung eines externen oder internen Datenschutzbeauftragten vorgeschrieben ist. Sollte die Benennung eines Datenschutzbeauftragten erforderlich sein, muss dieser inkl. E-Mail-Adresse in der Datenschutzerklärung genannt werden.

Cookie Hinweis / Soft Optin

Beim Besuch Deiner Website muss der Nutzer als erstes deutlich und unübersehbar auf die Speicherung personenbezogener Daten hingewiesen werden. Dies geschieht auf jeder Website mithilfe sogenannter „Cookies“. Idealerweise sollte der Hinweis als "Soft-Optin" erfolgen - d. h. dass ohne Bestätigung des Hinweises keine weitere Bewegung auf der Website möglich ist.

Kontaktformular und andere Formulare

Auf jedem Formular muss darauf hingewiesen werden, dass personenbezogene Daten mit dem Formular übermittelt werden, dass dies dem Nutzer bekannt ist und die Datenschutzerklärung zur Kenntnis genommen wurde. Dieser Hinweis muss anklickbar sein und ein Pflichtfeld darstellen.

Newsletter

Sofern Du einen Newsletter versendest, sind auch hier einige Punkte einzuhalten:

  • Das Double-Optin-Verfahren bei der Anmeldung (beispielsweise fordert der Nutzer einen Newsletter auf der Website an und erhält darauf eine E-Mail mit Bestätigungslink, mit dem durch das anklicken des Links die zweite Bestätigung erfolgt) ist unablässig
  • Die Vorauswahl des Bestätigungshäkchens (z. B. bei einer Bestellung) ist nicht statthaft
  • Der Hinweis auf Übermittlung, Speicherung und Verarbeitung personenbezogener Daten ist zu erteilen
  • Die jederzeitige und einfache Abmeldemöglichkeit muss mit zwei bis drei Klicks möglich sein. Der Nutzer darf nicht zur Abmeldung erneut zur Abgabe von Daten gezwungen sein.
  • Der Hinweis auf diese Abmeldemöglichkeit muss auf jedem Newsletter vorliegen

Datenschutz-Vereinbarungen zur Auftragsverarbeitung

Wenn Du Deine Website bei einem anderen Unternehmen gehostet hast oder Dienste von Google oder von anderen Anbietern (z. B. Zahlungsdienstleistern) auf Deiner Website nutzt, ist der Abschluss von sogenannten Auftragsverarbeitung-Verträgen zwingend geboten. In einem AV-Vertrag wird geregelt, wie die beteiligten Unternehmen den Austausch von personenbezogenen Daten regeln und deren Schutz sicherstellen.

Erfolgt diese Vereinbarung nicht, würdest Du personenbezogene Daten an Dritte ohne Autorisierung weitergeben, was empfindliche rechtliche Konsequenzen haben kann.

AV-Vereinbarungen sind z. B. nötig zwischen Dir und

  • Deinem Hosting / Website Partner (LocalBranding GmbH für unsere Kunden)
  • Google, wenn Du Google Maps, Google Analytics o. a. Dienste von Google einsetzt
  • Zahlungsdienstleistern
  • ... und allen Unternehmen, an die Du personenbezogene Daten mittels Deiner Website sendest

Einbindung von SocialMedia Plugins

Solltest Du Plugins von SocialMedia-Portalen eingebunden haben (Like-Button etc.) muss die Integration auf Datenschutzkonformität überprüft werden.

Nutzung von Analyse Tools / Anonymisierung

Gespeicherte IP-Adressen müssen anonymisiert werden. Die IP-Adresse des Besuchers einer Website muss so verfremdet werden, dass z.B. Google Analytics, Piwik o. a. Analyse-Tools die erfassten Trackingdaten nicht mehr direkt zuweisen kann.

Google Fonts

Solltest Du Google Fonts auf Deiner Website eingebunden haben, ist es empfehlenswert, zu einer direkten Integration zu wechseln. Der Font würde dann auf dem Webserver gespeichert und per sog. CSS FontFace Regel eingebunden werden.

SSL

Nicht nur für die datenschutzrechtliche Kompetenz Deiner Website ist SSL-Verschlüsselung unbedingt zu empfehlen. Auch in den Suchmaschinen ist die Verschlüsselung ein Pluspunkt! (Google rankt Seiten ohne SSL schon seit einiger Zeit schlechter in den Suchergebnissen. Hier gibt es mit "Lets Encrypt" mittlerweile auch eine Lösung, die kostenlos ist (nur einmal Einrichtung)).
Im Übrigen sollten auch die ausgehenden Emails auf SSL/TLS umgestellt werden.

Haftungshinweis

Es wird keinerlei Haftung auf Richtigkeit und Vollständigkeit durch die Verfasser übernommen. Insbesondere wird darauf hingewiesen, dass jeder Fall gesondert zu prüfen ist und dass dieser Beitrag weder eine Rechtsberatung darstellt noch eine individuelle Rechtsberatung ersetzt.

Verfasst von Frank Jeroma

Frank Jeroma ist Gründer und Geschäftsführer der LocalBranding GmbH. Er hat über 20 Jahre Erfahrung im Bereich der integrierten Markenführung. Mit der Entwicklung von tragfähigen Geschäfts- und Markenkonzepten speziell für kleine und mittlere Unternehmen leistet er seinen Beitrag zum Erhalt der ökonomischen Vielfalt in Deutschland und Europa.

Bildquelle: Tumisu

Es geht weiter...

Wir halten Dich auf dem Laufenden. Abonniere unseren Newsletter, dann entgehen Dir keine Neuigkeiten mehr zu Themen wie z.B. Markenentwicklung und Kundengewinnung.