Die eigene Website und die DSGVO: Was für Sie wichtig ist

Im Zusammenhang mit der Datenschutzgrundverordnung (DSGVO) lassen sich zahlreiche Informationen im Netz finden. Das ist gut, das ist wichtig, wenngleich man nicht alle dieser Informationen ungeprüft übernehmen sollte.

Wir fassen hier weitere Punkte zusammen, die von Bedeutung sind.

Inhalt:

  • Was ist eigentlich das Ziel der DSGVO?
  • Vorbereitung auf die DSGVO: Was Sie für Ihre Website beachten müssen
  • Wie macht man seine Website DSGVO-konform?
  • Was kann ich konkret tun, um die Vorgaben der DSGVO zu erfüllen?
  • DSGVO: Impressum und Datenschutzerklärung
  • Ein wichtiger Hinweis zum Schluss

Was ist eigentlich das Ziel der DSGVO?

Das eigentliche Ziel der Datenschutzgrundverordnung gerät häufig in den Hintergrund. Das ist zwar verständlich, da Betreiber von Websites im Wesentlichen wissen wollen, worauf sie achten müssen. Doch wenn man den Zweck der DSGVO versteht, begreift man auch leichter, worin die Ziele bestehen.

Wenngleich schon der Begriff der „Verordnung“ vermuten lassen könnte, dass wir es eher mit einer strengeren Empfehlung zu tun haben, sieht die Realität doch anders aus. Das vornehmliche Ziel der von der Europäischen Union (EU) initiierten DSGVO ist die Vereinheitlichung des Datenschutzrechts innerhalb der EU. Soll für die Praxis heißen: Grundrechte und Grundfreiheiten betroffener Personen werden innerhalb der EU auf demselben Niveau gewahrt.

Es geht um natürliche Personen und den Schutz ihrer personenbezogenen Daten sowie um den freien Verkehr eben dieser Daten. Geregelt wird das im Art. 1 DSGVO. Artikel 5 DSGVO schreibt darüber hinaus fest, wie personenbezogene Daten verarbeitet werden: Hier sind die Grundsätze fürs Verarbeiten personenbezogener Daten genannt, die da wären: Treu und Glauben (Rechtmäßigkeit bzw. Transparenz), Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Mit der Rechenschaftspflicht soll der Verantwortliche die Einhaltung dieser Grundsätze nachweisen.

Wir werden uns in diesem Text auf diese kurze Zusammenfassung der Ziele der DSGVO beschränken, auch wenn man ganze Bücher dazu schreiben könnte.

Darüber hinaus verzichten wir weitgehend auf umfassende Zitate der einzelnen Artikel der DSGVO. Sie sind einfach zu sperrig, wir favorisieren verständlichere Formulierungen.

Zielführender ist ohnehin die Betrachtung einzelner Aspekte, die sich auf den Betrieb einer Website auswirken.

Vorbereitung auf die DSGVO: Was Sie für Ihre Website beachten müssen

Vorbereitung ist ein gutes Stichwort, denn die DSGVO gibt es bereits seit dem 24.05.2016, verbindlich in Kraft getreten ist sie mit dem 25.05.2018. Doch viele Website-Betreiber haben das Thema zur Seite geschoben, bis es nicht mehr anders ging. Andere waren der Meinung, dass ihre Seite gar nicht betroffen ist. Das ist allerdings in nahezu allen Fällen ein Trugschluss.

Tatsächlich greift die DSGVO für jede Seite, die personenbezogene Daten verarbeitet – und dieser Fall ist bereits gegeben, wenn die Website IP-Adressen erfasst, speichert und/ oder weiterführend verarbeitet. Damit sind sogar private Sites betroffen.

Wie macht man seine Website DSGVO-konform?

Nun, da kommt einiges zusammen, man kann es nicht anders sagen. Es würde den Rahmen hier sprengen, auf alle Faktoren bis ins Detail einzugehen. Wenn Sie weiterführende Informationen oder konkrete Hilfe brauchen, wenden sie sich am besten direkt an uns.

Hier also ein kleiner Überblick:

  1. Ihre Website muss SSL/TLS-verschlüsselt sein: Sobald Sie personenbezogene Daten erheben, kommen Sie um die Verschlüsselung Ihrer Seite nicht herum. Eindeutig sind Newsletter-Anmeldungen und Kontaktformulare gemeint, doch auch Seiten und Unterseiten, die Sie betreiben, können betroffen sein. Wenn Sie Ihre Seite verschlüsselt haben, erkennen Sie das am Eingabefeld, das mit „https“ beginnt.
  2. Ihre Datenschutzerklärung muss einwandfrei sein: Die Datenschutzerklärung war zwar auch vor der DSGVO schon Vorschrift, jetzt muss sie aber umfassender sein. Zugänglich gemacht werden müssen alle Plug-ins und Dienste der Seite, darüber hinaus muss deutlich werden, dass über den Facebook-Like-Button (sofern vorhanden) personenbezogene Daten weitergegeben werden können. Gleiches gilt für Google Fonts, Captchas oder Plug-ins wie beispielsweise solche gegen Spam-Kommentare.
  3. Checken Sie die Formulare Ihrer Website: Bekanntlich leben wir alle in einer Welt von Bürokratie und Formularen. Das ist durch die DSGVO nicht besser geworden. Unabhängig davon, ob Sie einen Newsletter verschicken oder die Kontaktaufnahme durch ein entsprechendes Formular ermöglichen, immer gilt: Sie dürfen nur die personenbezogenen Daten erheben, die Sie wirklich brauchen (s. Grundsätze der Verarbeitung gemäß Art. 5 DSGVO). Für alle Daten, die Sie erheben, gilt: Nutzer müssen darauf hingewiesen werden, bevor die Verarbeitung stattfindet.
  4. Auch Videos sind relevant für die DSGVO: Sie wissen es natürlich längst selbst! Nicht nur soziale Medien sind fleißige Datensammler, auch YouTube, Vimeo & Co. zeigen sich datenhungrig. Was hier geht und was nicht, ist in vielen Bereichen noch nicht abschließend geklärt, Sie sollten es also auf dem Schirm haben.

Was kann ich konkret tun, um die Vorgaben der DSGVO zu erfüllen?

Sie können natürlich alles von Ihrer Website entfernen, was der DSGVO zuwiderläuft. Aber das kann keine Lösung sein, weil Ihre Seite dann womöglich unattraktiv und nutzlos wird. Statt also etwa den Facebook-Button zu entfernen, können Sie über spezielle Tools Ihren Besuchern ermöglichen, nach dem Betreten Ihrer Seite zu entscheiden, ob Daten an soziale Netzwerke übertragen werden dürfen.

Was Videos betrifft, können Sie – zumindest bei YouTube – den sogenannten „erweiterten Datenschutzmodus“ verwenden.

In Augenschein nehmen sollten Sie auch Statistik-Tools wie etwa Google Analytics. Denn dort werden IP-Adressen gesammelt (weiter oben hatten wir das bereits angemerkt). Diese Daten müssen Sie anonymisieren, so dass kein Bezug mehr zu Personen hergestellt werden kann. Helfen kann Ihnen Ihr Webadministrator oder ein Dienstleister, der eine „anonymizeIP“ mittels Einfügens in den Quellcode Ihrer Website einbaut. Einfacher ist es aber, auf Alternativen wie Matomo (ehemals Piwik) zu setzen, die von vornherein DSGVO-konform arbeiten können.

Was Sie brauchen, ist zudem ein AV-Vertrag (Vertrag zur Auftragsverarbeitung, AVV), den Sie mit Google bzw. mit anderen Dienstleistern wie Ihrem Webhoster abschließen. Ein Link zu den Nutzungs- und Datenschutzbestimmungen von Google und anderen Dienstleistern benötigen Sie ebenfalls, und die Besucher Ihrer Seite müssen die Möglichkeit erhalten, Widerspruch einzulegen. Das klingt nach viel, ist jedoch per Opt-in verhältnismäßig simpel umzusetzen.

Klar, auch Cookies sind wichtig, um die Vorgaben der DSGVO zu erfüllen. Lesen Sie dazu am besten unseren Artikel „Cookies, Tracking und die DSGVO: Was ist erlaubt und was nicht?“
(zum Thema Cookies)

DSGVO: Impressum und Datenschutzerklärung

Das Impressum und die Datenschutzerklärung sind gewissermaßen „Verwandte“. Daher versuchen viele Website-Betreiber, diese miteinander zu verbinden. Und – es tut uns leid, das sagen zu müssen – da geht s auch schon los.

Sie können zwar einen gemeinsamen Link für Impressum und Datenschutzerklärung verwenden, müssen dann allerdings eindeutig und sichtbar darauf hinweisen, dass beides gemeint ist. Ein Link, der „Impressum“ heißt und dann quasi nebenbei noch die Datenschutzerklärung beinhaltet, ist also nicht zulässig.

Eine gute Nachricht sollte aber hier auch Platz finden: Das Impressum muss nicht mit nur einem Klick erreichbar sein, wie der Bundesgerichtshof entschieden hat. Die Richter haben klargestellt, dass bis zu zwei Klicks zumutbar sind. Sie können also auch beispielsweise über die Unterseite „Kontakt“ auf das Impressum verlinken.

Die Datenschutzerklärung könnte man als „über den Dingen stehend“ bezeichnen, und zwar insofern, als dass dort alles geregelt sein muss, was die Verarbeitung personenbezogener Daten betrifft.

Das bedeutet auch, dass die Datenschutzerklärung der Rechtsgrundlage des Artikel 6 DSGVO entsprechen muss (wir hatten zwar gesagt, Sie nicht mit DSGVO-Artikeln „bombardieren“ zu wollen, aber dieser hier ist so wichtig, dass wir ihn explizit nennen). Rechtsgründe, die die Datenverarbeitung rechtfertigen, sind zum Beispiel die Erfüllung von Kaufverträgen oder berechtigte Interessen des Betreibers der Website.

Ein solches berechtigtes Interesse liegt vor, wenn Website-Betreiber ihre Produkte oder Dienstleistungen bewerben möchten. Im Wortlaut erklärt der Gesetzgeber, dass eine Verarbeitung erlaubt ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person […] überwiegen […].“

Zusammenfassend lässt sich festhalten, dass die Datenschutzerklärung alles abdecken muss, was die DSGVO vorgibt. Und das ist, wie Sie jetzt wissen, eine ganze Menge.

Ein wichtiger Hinweis zum Schluss

Sie haben sich erfolgreich bis an den Schluss dieses Artikels „gekämpft“. Das verdient Anerkennung, denn die DSGVO ist nicht gerade leichte Kost, und gut unterhalten lassen kann man sich mit ihr auch nur, wenn der Vortragende ein hohes Maß an Humor mitbringt.

Wir müssen aber darauf hinweisen, dass all das, was Sie hier lesen konnten, nicht die gesamte Bandbreite der DSGVO abdeckt. Es gibt unzählige Details, die wir hier aus Platzgründen nicht einbauen konnten.

Wenn Sie also sicher sein wollen, bei Ihrer Website nichts zu vergessen, was für die DSGVO relevant ist, sollten Sie sich entweder eingehend mit der Materie beschäftigen. Planen Sie dafür ausreichend Zeit ein, denn die werden Sie brauchen.

Oder Sie wenden sich an uns, und wir besprechen gemeinsam, was genau für Sie wichtig ist und was Sie womöglich vernachlässigen können.

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
*
*