So machen Sie ihre Seite DSGVO sicher​

Seit Mai 2018 gilt europaweit die neue Datenschutzgrundverordnung (DSGVO). Viele Grundsätze des bisherigen Bundesdatenschutzgesetzes werden in Deutschland neu geregelt.

Die größten Veränderungen finden sich in der Umkehr der Beweislast und den Gebühren die Behörden erlassen können: Ab sofort müssen Website-Betreiber und Unternehmen jederzeit nachweisen können, dass sie die Regelungen der DSGVO einhalten, um empfindliche Strafen zu vermeiden.

DSGVO-Scan verhindert Abmahnungen

Mit dem DSGVO-Scan schützen Sie sich vor teuren Abmahnungen und behördlichen Bußgeldern **. Meist verlangen Anwaltskanzleien ihrer Wettbewerber schon bei geringen Verstößen eine Unterlassungserklärung, die schnell zwei- bis dreitausend Euro kosten kann. Aufsichtsbehörden stehen schon im Falle von weniger gewichtigen Verstößen Geldbußen von bis zu 2 % des Unternehmensumsatzes zur Verfügung. Meist kommt es zu Beschwerden durch unzufriedenen Mitarbeiter, durch Kunden oder werden durch Investigativ-Journalismus zu Tage gefördert. Hier finden Sie eine Übersicht, der von europäischen Behörden medienwirksam verhängten Bußgeldern.

Der DSGVO-Scan wird ständig weiterentwickelt und berücksichtigt die aktuelle Rechtsprechung als auch wegweisende Einschätzungen von Datenschutzexperten, wie dem Düsseldorfer Kreis.

Im folgende erhalten Sie einige grundlegende Informationen zur Vermeidung einfacher Fehler.

Die fortlaufende Analyse des Besucherverhaltens hilft Ihnen Ihre Website oder Ihren Shop zu optimieren. Ein Verzicht führt oftmals zu einer schlechteren Usability und sinkendem Umsatz. Kein Wunder, das viele Website-Betreiber auf mächtige Werkzeuge wie Google Analytics setzen.

Die Einbindung dieser Software ist jedoch nicht unproblematisch: Zum einen müssen Sie jederzeit sicherstellen, dass Sie Trackingdienste in Ihrer Datenschutzerklärung auflisten und geeignete Links zur Abmeldung bereitstellen. Ferner sollte aus der Datenschutzerklärung hervorgehen, ob sie ein berechtigtes Interesse an der Nutzung des Dienstes haben. Andernfalls, sollten Sie auf der Website eine Möglichkeit bieten, eine Einwilligung zu erteilen.

Dienste wie Google benötigen darüber hinaus ein wenig technisches Geschick, um sicherzustellen, dass keine Profilbildung möglich ist. Hierzu ist es wichtig eine Standardimplementierung ohne Wiedererkennung der User sowie die Möglichkeit der anonymisierten Installation zu nutzen. Zu Google Analytics, gibt es auch weniger datenhungrige, weiterhin kostenfreie Alternativen, wie z.B. Matomo oder Piwik.

Beachten Sie, dass Sie für jeden eingebundenen Messdienst eine Rechtsgrundlage in Form einer Einwilligung (z.B. per Cookie-Bar) oder eine nachhaltige Begründung zum berechtigten Interesse erforderlich ist. Seit Einführung der DSGVO sind Sie als Website-Betreiber jederzeit in der Nachweispflicht datenschutzkonform zu handeln.

Plugins richtig einbinden

Oft mangelt es an einer expliziten Einwilligung bevor, die Like- und Share-Buttons von Facebook, Twitter & Co personenbezogene Daten, wie Name, IP Adresse, Browserinformationen, E-Mail erheben. Schon das einfache Einbinden von Youtube Videos oder Google Fonts ist rechtlich problematisch.

Oft werden diese Daten auf amerikanischen Servern ohne Beachtung der lokalen Datenschutzauflagen weiterverarbeitet. Das ist gemäß Datenschutz-Grundverordnung (DSGVO) unzulässig.

Die datenschutzkonforme Einbindung diese hilfreichen Buttons und Services ist dennoch möglich. Hierzu greifen Sie besser nicht auf die fertigen Lösungen der Anbieter zurück, sondern hinterlegen eine einfache Weiterleitung als Klick-Out und umschiffen so die Gefahr einer Abmahnung.

Pflicht zur Verschlüsselung

Die Pflicht zur Verschlüsselung ergibt sich aus der Art der Daten, die Sie auf Ihrer Website erheben und verarbeiten. Das Urteil des BGH vom 16.05.2017 – VI ZR 135/13 war hier wegweisend, da nun auch sogenannte dynamische IP-Adressen, die im Rahmen der Auslieferung von funktionalen Cookies enthalten sein können, als personenbeziehbar angesehen werden.

Ferner sind offensichtlich persönliche Daten, wie sie beispielsweise in einem Kontakt- oder Registrierungsformular oder im Warenkorb beim Online-Shop erfasst werden, immer zu verschlüsseln.

Seit einiger Zeit bewertet auch Google unverschlüsselte Websites im Suchergebnis schlechter. Aus wirtschaftlichen Gründen sollten Sie deshalb die gesamte Website mindestens nach TLS 1.2 verschlüsseln.

Aktuelles Impressum

Das Impressum kann hinter einem weiterführenden Link oder direkt auf der Website dargestellt werden. Beachten Sie, dass der Link zum Impressum dabei nicht von anderen Funktionen Ihrer Website überdeckt wird (z.B. einer Cookie-Bar) und auch auf mobilen Geräten sichtbar bleibt. Folgende Angaben sind in der Regel für alle Website-Betreiber relevant:

  • vollständiger Name, Vorname und Anschrift
  • Angaben zur Kontaktaufnahme
  • Umsatzsteueridentifikationsnummer
  • Verantwortlicher im Sinne des Rundfunkstaatsvertrages

Die Impressumspflicht ergibt sich aus dem Telemediengesetz. Ein Verstoß kann zu Abmahnungen Ihrer Mitbewerber führen, die sich auf eine Wettbewerbsverletzung des Gesetzes gegen den Unlauteren Wettbewerb (UWG) berufen. Behörden können darüber hinaus ein empfindliches Bußgeld von bis zu 50.000 Euro verhängen. Besondere ärgerlich ist es, wenn Sie zwar ein Impressum haben, die Angaben aber veraltet sind.

Datenschutzerklärung ist Pflicht

Damit Ihre Besucher jederzeit einen Überblick über die auf Ihrer Seite erhobenen Daten haben, benötigen Sie einen gut sichtbaren Datenschutzhinweis. Kopieren Sie niemals blind eine Vorlage ähnlicher Angebote oder nutzen eine generierte Datenschutzerklärung ohne individuelle Anpassungen für Ihre Website vorzunehmen. Die Datenschutzerklärung muss spezfisch auf Ihr Angebot zugeschnitten sein und mindestens Fragen beantworten:

  • Zweck der Datenerhebung für Besucher und Kunden? (z.B. Abrechnung)
  • Rechtsgrundlagen der Verarbeitung? (z.B. Einwilligung)
  • Auflistung der Empfänger der Daten, ggfs. Angaben zu Drittländern? (z.B. Google, USA)
  • Form und Dauer der Speicherung (z.B. Server-Logfiles für 365 Tage)
  • Aufklärung über Rechte der Betroffenen und Beschwerdemöglichkeiten
  • Schlussbestimmungen: Recht auf Auskunft, Richtigstellung und Löschung

Besonders viel Wert sollten Sie auf die Angabe aller auf Ihrer Website verwendeten Dienste legen, wie z.B. Google Analytics, Google Maps, Google Optimize, Google Re-Recaptcha, Google Fonts, Social Media Plugins, Werbe-Tracking. Meist unterliegen diese Technologien einer ständigen Aktualisierung und sollten entsprechend in ihren Datenschutzhinweisen gepflegt werden. Bei einer behördlichen Überprüfung sollten Sie für jeden der Anbieter auf Ihrer Website einen Auftrags­daten­ver­arbeitungs­vertrag vorweisen können.

Kontinuierlich überprüfen

Sind alle DSGVO-Anforderungen umgesetzt muss kontinuierlich sichergestellt werden, ob sich an den Anforderungen geändert hat. Auch bei neuen Versionen von genutzten Plugins sollte getestet werden ob Sie noch den Anforderungen entsprechen.

DSGVOSCAN kann Sie genau bei dieser Aufgabe unterstützen und Mängel aufzeigen. Wir scannen automatisiert und informieren Sie sobald es ein Problem bei der Umsetzung der DSGVO auf Ihrer Website gibt.

Egal ob für eine oder hundert Seiten – egal ob Privatanwender, Freelancer, Agentur oder Unternehmenskonglomerat. Wir kümmern uns darum, dass Sie wissen, sobald es rechtliche Risiken auf einer Ihrer Seiten gibt.

* Rechtlicher Hinweis: Der DSGVO Scan bietet keine Rechtssicherheit und verhindert auch nicht, dass Ihre Seite außerhalb unserer Prüfungen Rechtsverstöße aufweist. Unsere Hinweise und Handlungsempfehlungen sind eine erste Fehlerindikation, und keine Rechtsberatung. Der DSGVO Scan unterstützt Sie dabei, den Überblick zu behalten und weitere Schritte mit Ihrem Rechtsbeistand umzusetzen. DSGVO Scan nimmt von jeder missbräuchlichen Nutzung zum Zwecke zur Gewinnmaximierung Abstand.

Das automatisierte Verfahren kann darüber hinaus auch zu Fehleinschätzungen Ihrer Seite führen, so dass wir keinerlei Haftung für das Prüfergebnis übernehmen können. Wir arbeiten selbstverständlich daran, den DSGVO Scan noch sicherer zu machen, um auch die Vielzahl von technischen Systemen zur Darstellung einer Internetseite abbilden und berücksichtigen zu können.