DS-GVO: Ihr Website Check

Was Sie als Webseitenbetreiber bis 25. Mai sicherstellen müssen

von Charlotte Jeroma

Ab 25.05.2018 ist die neue Datenschutz-Grundverordnung (DS-GVO) der EU rechtswirksam. Sie regelt den Umgang von Institutionen und Unternehmen mit persönlichen Daten europaweit einheitlich. Persönliche Daten sind

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“ (Art. 4 lit. 1 DS-GVO)

Natürlich gibt es noch eine Reihe von Unwägbarkeiten und verschiedene Detailfragen sind aufgrund fehlender Anwendungspraxis noch nicht abschließend juristisch geklärt. Trotz oder gerade deswegen tun Betreiberjedoch gut daran, ihre Webseiten soweit es irgend geht „bulletproof“ zu machen.

Um die datenschutzrechtlichen Bestimmungen einzuhalten und sich so gut wie möglich gegen Abmahnungen und Bußgelder zu schützen, sind eine ganze Reihe von Maßnahmen auf Ihrer Website zu treffen. Die folgende Checkliste sollen Ihnen hierzu eine Hilfestellung geben.

Checkliste Website

Impressum

Ein aktuell gehaltenes Impressum ist unabdingbar für jede Website. Das Impressum muß sowohl von der Startseite, wie von allen Unterseiten aus erreichbar sein. Am besten platzieren Sie es im Fuß der Website (dem sog. "Footer").

Das Impressum muß enthalten:

  • PLZ Ort
  • Adresse
  • Name / Firma (e.K., GbR, KG, UG, GmbH etc.)
  • Telefon
  • ggf. Fax
  • Email-Adresse
  • Geschäftsführer: Name (sofern juristische Person)
  • Handelsregistereintrag: Amtsgericht XYZ, HRB-Nr.: 12345 (sofern im z.B. Handelsregister oder Vereinsregister eingetragen) 
  • Umsatzsteuer-ID: DE123456789 (sofern vorhanden)
  • Inhaltlich verantwortlich gemäß § 55 RStV: Name/Firma, Anschrift
  • Aufsichtsbehörde: XYZ (Angaben zur zuständigen Aufsichtsbehörde - nur soweit der Dienst im Rahmen einer Tätigkeit angeboten oder erbracht wird, die der behördlichen Zulassung bedarf)

Des Weiteren sollten die Themen Streitbeilegung und Streitschlichtung unbedingt im Impressum beschrieben sein.

Datenschutzerklärung

Jede Website muß ab 25.05.2018 auch über eine gesonderte Datenschutzerklärung verfügen. Die Datenschutzerklärung muß auf die eigene Website zugeschnitten sein und muß Informationen enthalten zu:

  • Verantwortlicher (Firma / Inhaber / Geschäftsführer)
  • Datenschutzbeauftragter (intern/extern, soweit vorgeschrieben)
  • Sicherheit und Schutz personenbezogener Daten
  • Begriffsbestimmungen
  • Rechtmäßigkeit der Verarbeitung
  • Erhebung personenbezogener Daten (wann welche Daten?)
  • Einsatz von Cookies
  • Erweiterte Erhebung personenbezogener Daten bei weiteren Diensten
  • Einbeziehung von Auftragsverarbeitern, z. B. bei Webshop die Nutzung von externen Zahlungsdienstleistern (z. B. PayPal, Klarna etc.)
  • Genaue Auflistung dieser Dienstleister und deren Datenschutzinformationen (Links)
  • Newsletter: Double-Optin-Verfahren, Datenerhebung, -speicherung und -verarbeitung 
  • Kinder (an wen richtet sich das Angebot?)
  • Rechte der betroffenen Person
  • Einsatz von Analysetools (Google Analytics, Piwik etc.)
  • Einsatz von SocialMedia Plugins (Links auf eigene SocialMedia Profile sind hier nicht betroffen, nur Plugins, die Daten senden.)
  • Einbindung von Google Maps
  • Alle weiteren auf der Website ggf. eingebundenen Dienste

Die Datenschutzerklärung muß jederzeit den aktuellen Status der Website wiederspiegeln. Mit "Copy and Paste" ist es also nicht getan - von urheberrechtlichen Risiken mal ganz abgesehen.

Auch die Datenschutzerklärung muß von allen Seiten aus einfach erreichbar sein.

Klärung Datenschutzbeauftragter

Prüfen Sie, ob die Benennung eines externen oder internen Datenschutzbeauftragten vorgeschrieben ist. Sollte die Benennung eines Datenschutzbeauftragten erforderlich sein, muss dieser inkl. E-Mail-Adresse in der Datenschutzerklärung genannt werden. 

Cookie Hinweis / Soft Optin

Beim Besuch Ihrer Website muss der Nutzer als erstes deutlich und unübersehbar auf die Speicherung personenbezogener Daten hingewiesen werden. Dies geschieht auf jeder Website mithilfe sogenannter „Cookies“. Idealerweise sollte der Hinweis als "Soft-Optin" erfolgen - d. h. dass ohne Bestätigung des Hinweises keine weitere Bewegung auf der Website möglich ist.

Kontaktformular und andere Formulare

Auf jedem Formular muss darauf hingewiesen werden, dass personenbezogene Daten mit dem Formular übermittelt werden, dass dies dem Nutzer bekannt ist und die Datenschutzerklärung zur Kenntnis genommen wurde. Dieser Hinweises muss anklickbar sein und ein Pflichtfeld darstellen.

Newsletter

Sofern Sie einen Newsletter versenden, sind auch hier einige Punkte einzuhalten:

  • Das Double-Optin-Verfahren bei der Anmeldung (beispielsweise fordert der Nutzer einen Newsletter auf der Website an und erhält darauf eine E-Mail mit Bestätigungslink, mit dem durch das anklicken des Links die zweite Bestätigung erfolgt) ist unablässig
  • Die Vorauswahl des Bestätigungshäkchens (z. B. bei einer Bestellung) ist nicht statthaft
  • Der Hinweis auf Übermittlung, Speicherung und Verarbeitung personenbezogener Daten ist zu erteilen
  • Die jederzeitige und einfache Abmeldemöglichkeit muss mit zwei bis drei Klicks möglich sein. Der Nutzer darf nicht zur Abmeldung erneut zur Abgabe von Daten gezwungen sein.
  • Der Hinweis auf diese Abmeldemöglichkeit muss auf jedem Newsletter vorliegen

Datenschutz-Vereinbarungen zur Auftragsverarbeitung

Wenn Sie Ihre Website bei einem anderen Unternehmen gehostet haben oder Dienste von Google oder von anderen Anbietern (z. B. Zahlungsdienstleistern) auf Ihrer Website nutzen, ist der Abschluss von sogenannten Auftragsverarbeitung-Verträgen zwingend geboten. In einem AV-Vertrag wird geregelt, wie die beteiligten Unternehmen den Austausch von personenbezogenen Daten regeln und deren Schutz sicherstellen.

Erfolgt diese Vereinbarung nicht, würden Sie personenbezogene Daten an Dritte ohne Autorisierung weitergeben, was empfindliche rechtliche Konsequenzen haben kann.

AV-Vereinbarungen sind z. B. nötig zwischen Ihnen und

  • Ihrem Hosting / Website Partner (LocalBranding GmbH für unsere Kunden)
  • Google, wenn Sie Google Maps, Google Analytics o. a. Dienste von Google einsetzen
  • Zahlungsdienstleistern
  • ...und allen Unternehmen, an die Sie personenbezogene Daten mittels Ihrer Website senden

Einbindung von SocialMedia Plugins

Sollten Sie Plugins von SocialMedia-Portalen eingebunden haben (Like-Button etc.) muss die Integration auf Datenschutzkonformität überprüft werden.

Nutzung von Analyse Tools / Anonymisierung

Gespeicherte IP-Adressen müssen anonymisiert werden. Die IP-Adresse des Besuchers einer Website müssen so verfremdet werden, dass z.B. Google Analytics, Piwik o. a. Analyse-Tools die erfassten Trackingdaten nicht mehr direkt zuweisen kann. 

Google Fonts

Sollten Sie Google Fonts auf Ihrer Website eingebunden haben, ist es empfehlenswert, zu einer direkten Integration zu wechseln. Der Font würde dann auf dem Webserver gespeichert und per sog. CSS FontFace Regel eingebunden werden.

SSL

Nicht nur für die datenschutzrechtliche Kompetenz Ihrer Website ist SSL-Verschlüsselung unbedingt zu empfehlen. Auch in den Suchmaschinen ist die Verschlüsselung ein Pluspunkt! (Google rankt Seiten ohne SSL schon seit einiger Zeit schlechter in den Suchergebnissen. Hier gibt es mit "Lets Encrypt" mittlerweile auch eine Lösung, die kostenlos ist (nur einmal Einrichtung)).
Im Übrigen sollten auch die ausgehenden Emails auf SSL/TLS umgestellt werden.

Haftungshinweis

Es wird keinerlei Haftung auf Richtigkeit und Vollständigkeit durch die Verfasser übernommen. Insbesondere wird darauf hingewiesen, dass jeder Fall gesondert zu prüfen ist und dass dieser Beitrag weder eine Rechtsberatung darstellt noch eine individuelle Rechtsberatung ersetzt.