Die Top-10-Anforderungen an eine DSGVO-konforme Website (Checkliste):

Seit Mai 2018 ist es Realität: Die DSGVO ist in Kraft, was eine weitere Verantwortung für Webseiten-Betreiber verursacht. Die große Frage ist und war, welche Auswirkungen die Datenschutz-Grundverordnung für die eigene Website schafft.

Waren die Anforderungen an die Verordnung 2018 noch recht schwammig, ist es nun deutlich klarer geworden, welche Erfordernisse die DSGVO für Websites mit sich bringt. Mehr noch, mit der E-Privacy-Verordnung, die praktisch ante portas steht, kommt ein zusätzliches Problemfeld für Webseiten-Betreiber hinzu.

Doch keine Panik! Wir haben uns intensiv damit beschäftigt und bringen Licht ins Dunkel, damit Ihre Webseite DSGVO-konform wird und es auch bleibt: Denn auch wenn die genauen Bestimmungen und Reglements zur Datenschutz-Grundverordnung (DSGVO) sehr umfangreich sind, erklärt dieser Beitrag die

10 Top-Anforderungen des Datenschutzes an die eigene Website!

Eines vorne weg: DataReporter bietet Ihnen eine unverbindliche und kostenlose Beratungsmöglichkeit, die DSGVO-Fitness Ihrer Website zu prüfen.

Wenn Sie nach Durchsicht dieses Artikels also noch immer zweifeln, lassen Sie es uns wissen. Dabei ist es unerheblich, ob Sie eine Website für Österreich, Deutschland oder eine andere europäische Nation betreiben. Unsere juristischen Experten kümmern sich um Ihre Anliegen.

Wer ist von der DSGVO betroffen?

Die Datenschutz-Grundverordnung betrifft jeden, der eine Website betreibt.

Wenn Ihre Website folgende Funktionalitäten aufweist, müssen Sie Maßnahmen zur Einhaltung der DSGVO ergreifen:

  • Automatisches Speichern von Cookies
  • Vorhandenes Kontaktformulars
  • Verwendung von Diensten (Plug-Ins) wie jene von Google, Facebook etc
  • Vorhandener Login-Bereich
  • Newsletter-Anmeldefunktion & Versand
  • Mitarbeiter-Informationen (wie Bilder, Namen, etc.) auf der Website
  • Alle weiteren Funktionalitäten, die in irgendeiner Weise personenbezogene Daten speichern, mit denen eine Identifizierung einer Person möglich wäre (Name, IP-Adressen, Cookies, Kontodaten etc.)

Data Privacy with DataReporter according to GDPR

Wie bereits unschwer zu erkennen ist, verwendet fast jede Website zumindest eine der genannten Features.

Umso wichtiger ist es, sich hier umfassend abzusichern und die Bestimmungen der DSGVO zu befolgen!

Welche Maßnahmen zur Einhaltung der DSGVO muss ich befolgen?

Führen Sie zunächst eine Analyse Ihrer Website sowie Ihres Geschäftsmodells durch. Folgende Fragen sind hierbei relevant:

  • Ist die Verarbeitung von Personendaten auf der Website eine Kerntätigkeit bzw. werden Daten von Besuchern oder anderen Betroffenen in irgendeiner Weise verarbeitet?
  • Betreiben Sie einen Blog auf der Website bzw. handelt es sich hierbei um eine gewinnorientierte Seite, die mit Bannern, Affiliate-Links oder Ähnlichem versehen ist?
  • Betreiben Sie einen Web-Shop oder Mitglieder-Bereich (mit Login)?
  • Werden in irgendeiner Weise Daten, IP-Adressen oder Cookies von Besuchern auf Ihrer Website gespeichert?

Je nachdem, wieviele der oben genannten Fragen Sie mit einem Ja beantworten, desto umfangreicher werden Ihre DSGVO-relevanten Vorkehrungen für eine datenschutzkonforme Webseite ausfallen.

Im Folgenden finden Sie Ihre persönliche DSGVO-Checkliste jener Elemente, auf die Sie bei der Herstellung umfangreicher Datenschutz-Konformität achten müssen.

1. Rechtskonformes Impressum & Datenschutzbestimmungen

Jede Webseite, und ist sie noch so klein, muss über ein zu jeder Zeit korrektes und aktuelles Impressum inklusive umfangreicher Datenschutzbestimmungen verfügen.

Das Impressum muss laut DSGVO folgende Informationspflichten erfüllen:

  • laut §5 E-Commerce Gesetz
  • 14 Unternehmensgesetzbuch
  • 63 Gewerbeordnung und
  • Offenlegungspflicht laut §25 Mediengesetz

Hinsichtlich Auffindbarkeit ist es erforderlich, dass das Impressum – genau wie der Datenschutzhinweis – von jeder Unter-Seite aus direkt angesteuert werden kann. Daher ist ein Link im Footer hierfür am besten geeignet. Die Datenschutzerklärung und das Impressum sollten dabei voneinander getrennte Seiten sein.

Datenschutzbestimmungen müssen für jede Seite individuell angepasst werden, wobei auf den Einsatz von Drittanbietern für die Erhebung von personenbezogenen Daten hingewiesen werden muss. Darüber hinaus müssen auf die Art, Herkunft und Verwendung der gespeicherten Daten ausdrücklich hingewiesen werden.

Ein bereits recht veraltetes Musterbeispiel bietet hier die WKO an, wenngleich die Inhalte nach wie vor verwendet werden können.

2. Verwendung von Google-Diensten (wie z.B. Google Tag Manager, Analytics etc)

Es gehört mittlerweile schon fast zum guten Ton, dass Webseiten-Betreiber das Besucherverhalten auf ihren Sites durch Google-Dienste analysieren, um so Rückschlüsse auf ihr eigenes Online-Business zu ziehen. Zugriffszahlen, Verweildauer, Beliebtheit einzelner Seiten und Einträge sowie demographische Daten sind nur einige der Werte, die Google Analytics auf Websites erhebt. Dies schließt naturgemäß nicht aus, dass durch die Nutzung diesbezüglicher Dienste auch Personendaten verwendet und gespeichert werden.

Dies bedingt, dass verstärkte Maßnahmen zur Einhaltung der DSGVO erforderlich sind:

3. Auftragsverarbeiter-Vertrag (mit allen AVs) abschließen

Eine aufwändige, aber notwendige Aufgabe ist es, einen Vertrag mit all Ihren Auftragsverarbeitern abzuschließen. Am Beispiel von Google ist es einfach erklärt: Füllen Sie das von Google bereit gestellte Google Data Processing Agreement aus und senden Sie zwei Exemplare zu Google Dublin (Vorsicht: für Google-Dienste in der EU ist seit 01/2019 nicht mehr Google Inc., USA zuständig). Ein Exemplar wird von Google gegengezeichnet und an Sie zurückgeschickt. Diesen Vertrag sollten Sie anschließend zentral archivieren. Hier finden Sie die Adresse von Google Dublin: 9 Barrow Street Dublin, Ireland Dublin 4.

Es geht aber gottseidank auch einfacher als per Post, denn die DSGVO erlaubt neuerdings auch die elektronische Zustimmung. Diese Zustimmung kann z.B. im eigenen Analytics-Konto unter Kontoeinstellungen im Abschnitt „Zusatz zur Datenverarbeitung“ erteilt werden. Dazu klickt man im Abschnitt „Zusatz zur Datenverarbeitung“ auf „Zusatz anzeigen“, stimmt zu und speichert dann ab – als Bestätigung erscheint in grün das Datum der Zustimmung und damit ist man auf der sicheren Seite.

4. Reale Opt-In Funktion für Website-Besucher – keine Placebos!

Jeder Besucher muss die Möglichkeit haben, der Datenerhebung von Plug-Ins und Cookies für statische und marketingtechnische Zwecke (wie Google Analytics) aktiv und informiert zu stimmen zu können. Auf der Website muss diese Möglichkeit sofort ersichtlich sein, andernfalls drohen herbe Abmahnstrafen von findigen Rechtsanwälten, die die Abmahnindustrie schon seit geraumer Zeit befeuern. Hierfür bietet sich der Einsatz eines rechtskonformen Cookie Banners an. Wichtig ist, dass bis zur tatsächlichen Einwilligung des Nutzers keinerlei statistische und marketingtechnische Cookies gesetzt werden. So hat dies auch die österreichische Datenschutzbehörde im Fall der standard.at entschieden. Technisch notwendige Cookies, welche zum Betrieb und für die Funktion der Webseite unbedingt erforderlich sind, müssen nicht erst per opt-in aktiviert werden. Hier kann man sich von Besuch der Website an, auf das berechtigte Interesse des Website-Betreibers stützen.

Wichtig ist hierbei zu beachten, dass ein Cookie Banner (bzw. Cookie-Hinweis), der lediglich über die Nutzung von Cookies informiert, diese jedoch NICHT nach technischen, marketing-relevanten und statistischen Cookies filtert und notwendige Einwilligungen einholt bzw. nur als Placebo fungiert, bereits jetzt, spätestens jedoch nach Inkrafttreten der E-Privacy-Verordnung der EU ausgetauscht werden muss. Besucher einer Website MÜSSEN laut DSGVO die Wahl haben, Aufzeichnungen ihres Nutzerverhaltens einer Website zu unterbinden. Ein Großteil der derzeit angebotenen Cookie Banner tut dies jedoch nicht. Achten Sie besonders genau hierauf.

Meist sieht man solche Cookie-Hinweise am unteren Bildschirmrand mit ein oder mehreren Buttons.  Es ist ratsam, hier den Link zu den Datenschutzbestimmungen einzubauen, da die Cookie-Hinweise (die den Cookie Consent, also die Zustimmung einfordern) oftmals diese Links im Footer überdecken und sie daher nicht sichtbar sind.

Beispiel für den Einsatz des Cookie Consent Banners: Am unteren Bildschirmrand wird der Hinweis dezent dargestellt, mit einem Link zur Datenschutzerklärung. Des Weiteren muss in der Datenschutzerklärung die Art, Verwendung und Speicherung der Cookies erklärt werden.

5.AGB inkl. Widerrufsbelehrung (für Webshop-Anbieter)

 Es ist ratsam, gerade wenn Sie einen Webshop an Ihre Website angefügt haben, die Allgemeinen Geschäftsbedingungen klar ersichtlich auf der Startseite Ihrer Website angefügt zu haben. Verweisen Sie bei jedem Kauf eines Kunden darauf, dass dieser Vorgang unter Akzeptierung der AGB, ersichtlich auf Ihrer Website unter www.IhreFirma.com sowie der gültigen Versionsnummer und dem Veröffentlichungsdatum erfolgt.

Beachten Sie dabei: Veränderungen an Ihren AGB ermöglichen Ihren Kunden, den Vertrag einseitig aufzukündigen. Seien Sie also sehr vorsichtig mit jedweder Veränderung an diesen Bedingungen.

Überdies ist bei AGB zu beachten, dass diese besonderen Wert auf eine juristisch korrekte Widerrufsbelehrung (unter denen der Käufer berechtigt ist, seine Kaufentscheidung zu widerrufen) zu legen ist. Konsultieren Sie hier Ihren Rechtsbeistand und machen Sie keine Kompromisse, Ihr Geschäft wird es Ihnen danken.

6. Newsletter, insbesondere bei der Nutzung von Drittanbietern wie Mailworx

Der Versand regelmäßiger Inhalte per E-Mail in Form von Newslettern sieht naturgemäß die Speicherung von Nutzerdaten wie Namen oder der E-Mail-Adresse vor. Kommen hierbei Drittanbieter ins Spiel sind einige wichtige Regeln zu beachten: So verpflichtet sich beispielsweise der Newsletter-Toolanbieter MailChimp der Beachtung des Privacy Shield Abkommens. Diese Vereinbarung regelt den Datenaustausch (sowie deren Schutz) zwischen den USA und Europa. Aus diesem Grund ist auch mit diesem Anbieter ein Auftragsverarbeiter-Vertrag abzuschließen und in den datenschutzrechtlichen Informationen auf der Website deutlich auf die Nutzung dieses Diensts hinzuweisen.

Bei Anmeldungen zum Newsletter über die Website ist ein Double-Opt-In Verfahren vorzusehen, indem die eingegebene E–Mail-Adresse nochmals per Bestätigungslink verifiziert wird.

Senden Sie bitte keine Newsletter über derartige Tools an eine willkürliche Gruppe an Empfängern. Auch hier kann eine Klagewelle an Sie die Folge sein, da ohne die ausdrückliche Einwilligung dieser Personen keine Kontaktaufnahme erfolgen darf.

Weisen Sie im Newsletter immer stets explizit auf eine einfache Möglichkeit zur Abbestellung dieses Newsletters hin, da auch hier andernfalls sehr leicht mit Abmahnungen gerechnet werden kann.

7. Login-Funktionalitäten (Double-Opt-in)

Beachten Sie bitte, dass das bei Login-Funktionalitäten auf Ihrer Website ebenfalls das so genannte Double-Opt-In, das doppelte Bestätigen eines Accounts mittels E-Mail-Link, laut DSGVO ein absolutes Pflichtprogramm darstellt. Daher sollte bei bestehenden und neuen Konten sofort Double-Opt-in aktiviert werden. Ansonsten bekommen User keine Bestätigungs-Nachricht nach der Anmeldung.

Verweisen Sie bitte auch in Ihrer Bestätigungs-Mail per Hinweis auf die Datenerhebung, -sammlung und -verwendung und fügen Sie einen direkten Link zur Datenschutzerklärung auf Ihrer Website hinzu.

Beachten Sie überdies, dass im Falle eines Login-Bereichs lediglich die für diesen Zweck notwendigen Daten gespeichert werden dürfen. Es muss dabei immer das Einverständnis des Nutzers und der entsprechende Hinweis in der Datenschutzerklärung hinterlegt sein.

8. Kontaktformulare

Werden auf Ihrer Website darüber hinaus Formulare (wie z.B. ein Kontaktformular) verwendet und diese Daten in irgendeiner Form durch Sie oder Ihren Website-Provider gespeichert (bspw. in einer Datenbank), so muss dieser Besucher ausdrücklich über die Verarbeitung der angegebenen Daten informiert werden. Bieten Sie hierzu eine eigene kurze Information über die Datenverarbeitung unter dem Kontaktformular an und/oder verweisen Sie auf die Datenschutzerklärung, indem die Verwendung des Kontaktformulars beschrieben wird. Stellen Sie sicher, dass Ihr Kontaktformular SSL-verschlüsselt ist. In Deutschland hat es diesbezüglich bereits zahlreiche Verwarnungen sowie Strafen an Website-Betreiber durch die lokalen Aufsichtsbehörden gegeben.

Beachten Sie hierzu auch, dass selbst bei Speicherung dieser Daten ein entsprechendes Löschkonzept dieser Kontakt- und Anfragedaten hinterlegt sein muss, da die auf der Website gespeicherten Kundendaten spätestens nach Ablauf gesetzlicher Aufbewahrungsfristen (am besten automatisch) gelöscht werden müssen.

9. Share-Buttons

Viele Websites haben bereits jetzt eine starke interne Verlinkung und sind überdies mit zahlreichen Social-Media-Kanälen vernetzt, von denen Besucher einfach und per Mausklick auf soziale Medien „abspringen“ können. Hieraus kann rasch ein Problem entstehen, da die meisten Einbettungen von Social-Media-Feldern auf der Website bereits eine aktive Verbindung zu dem jeweiligen sozialen Netz herstellen und Daten dahin senden:

Facebook, Google & Co können so unbemerkt Daten der Besucher erheben und deren Nutzerverhalten aufnehmen.

Es gibt aktuell jedoch 3 Möglichkeiten, dieses Problem zu umgehen:

  • Ein gänzlicher Verzicht auf Social Sharing Plugins auf der Website (auch wenn hier wichtige Kundendaten für Ihr Geschäft verloren gehen)
  • 2-Klick-Lösung: Durch zwischenschalten eines Plugins, bei dem erst durch erneutes Klicken die Zustimmung der Sammlung von Nutzerdaten erfolgt
  • Mit dem Plugin Shariff lassen sich datenschutzkonforme Teilen-Buttons erstellen. Es ist leicht zu bedienen und sehr flexibel – aktuell sicher die beste Lösung, wenn man nicht auf die Social Sharing Funktionalität verzichten möchte

Fazit und offene Fragen

Wie man sieht, ist die Umstellung bzw. Einhaltung der Richtlinien für die DSGVO zeitaufwändig und umfangreich. Viele Punkte sind noch ungeklärt oder lassen Raum für Fragen offen, wie zum Beispiel:

  • Werbung, Counter von Drittseiten und Ähnliches
  • Tracking Pixel und andere Social Media Funktionen
  • Einbinden von Youtube-Videos oder Facebook Postings
  • Login über soziale Netzwerke wie Facebook oder Google+

Hierzu wird die Europäische Union mit der Veröffentlichung der E-Privacy-Verordnung spätestens zu Beginn 2020 näher eingehen.

Wir von DataReporter haben uns in den vergangenen Jahren intensiv mit dem Thema DSGVO beschäftigt und unser Produkt WebCare genau darauf ausgerichtet, Ihre Probleme im Datenschutz zu erkennen und einen Großteil der oben ausformulierten Herausforderungen für Sie und Ihre Website gänzlich und ohne Aufwand zu automatisieren.

 Sollten Sie diese Aufgabe in unsere Hände geben wollen oder Interesse an einer kostenlosen
und unverbindlichen Rechtsberatung
zu Ihrer Website im Datenschutz benötigen, sind wir gerne für Sie da!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.