Startseite > Service > Die häufigsten DSGVO Verstöße, die Sie einfach vermeiden können!

So machen Sie jede Seite DSGVO sicher​

Seit Mai 2018 gilt europaweit die neue Datenschutzgrundverordnung (DSGVO) sowie seit Dezember 2021 das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Viele Grundsätze des bisherigen Bundesdatenschutzgesetzes werden in Deutschland neu geregelt.

Die größten Veränderungen finden sich in der Umkehr der Beweislast und den Gebühren die Behörden erlassen können. Ab sofort müssen Website-Betreiber und Unternehmen jederzeit nachweisen können, dass sie die Regelungen der DSGVO einhalten, um empfindliche Strafen zu vermeiden.

DSGVO Scan verhindert Abmahnungen

Mit dem DSGVO-Scan schützen Sie sich vor teuren Abmahnungen und behördlichen Bußgeldern. Meist verlangen Anwaltskanzleien von Wettbewerbern schon bei geringen Verstößen eine Unterlassungserklärung, die schnell zwei- bis dreitausend Euro kosten kann. Aufsichtsbehörden stehen schon im Falle von weniger gewichtigen Verstößen Geldbußen von bis zu 2 % des Unternehmensumsatzes zur Verfügung. Meist kommt es zu Beschwerden durch unzufriedene Mitarbeiter, durch Kunden oder werden durch Investigativ-Journalismus zu Tage gefördert. Hier finden Sie eine Übersicht, der von europäischen Behörden medienwirksam verhängten Bußgeldern.

Der DSGVO-Scan wird ständig weiterentwickelt und berücksichtigt die aktuelle Rechtsprechung als auch wegweisende Einschätzungen von Datenschutzexperten, wie dem Düsseldorfer Kreis.

Im folgenden erhalten Sie einige grundlegende Informationen zur Vermeidung einfacher Fehler.

Die fortlaufende Analyse des Besucherverhaltens hilft Ihnen Ihre Website oder Ihren Shop zu optimieren. Ein Verzicht führt oftmals zu einer schlechteren Usability und sinkendem Umsatz. Kein Wunder, das viele Website-Betreiber auf mächtige Werkzeuge wie Google Analytics setzen.

Die Einbindung dieser Software ist jedoch nicht unproblematisch: Zum einen müssen Sie jederzeit sicherstellen, dass Sie Trackingdienste in Ihrer Datenschutzerklärung auflisten und geeignete Links zur Abmeldung bereitstellen. Ferner sollte aus der Datenschutzerklärung hervorgehen, ob sie ein berechtigtes Interesse an der Nutzung des Dienstes haben. Andernfalls, sollten Sie auf der Website eine Möglichkeit bieten, eine Einwilligung zu erteilen.

Dienste wie Google benötigen darüber hinaus ein wenig technisches Geschick, um sicherzustellen, dass keine Profilbildung möglich ist. Hierzu ist es wichtig eine Standardimplementierung ohne Wiedererkennung der User sowie die Möglichkeit der anonymisierten Installation zu nutzen. Zu Google Analytics, gibt es auch weniger datenhungrige, weiterhin kostenfreie Alternativen, wie z.B. Matomo oder Piwik.

Beachten Sie, dass Sie für jeden eingebundenen Messdienst eine Rechtsgrundlage in Form einer Einwilligung (z.B. per Cookie-Bar) benötigen oder eine nachhaltige Begründung zum berechtigten Interesse erforderlich ist. Seit Einführung der DSGVO sind Sie als Website-Betreiber jederzeit in der Nachweispflicht datenschutzkonform zu handeln.

Plugins richtig einbinden

Oft mangelt es an einer expliziten Einwilligung bevor, die Like- und Share-Buttons von Facebook, Twitter & Co personenbezogene Daten, wie Name, IP Adresse o.ä. erheben. Schon das einfache Einbinden von Youtube Videos oder Google Fonts ist rechtlich problematisch.

Oft werden personenbezogene Daten auf amerikanischen Servern ohne Beachtung der lokalen Datenschutzauflagen weiterverarbeitet.                   Das ist gemäß Datenschutz-Grundverordnung (DSGVO) unzulässig.

Die datenschutzkonforme Einbindung diese hilfreichen Buttons und Services ist dennoch möglich. Hierzu greifen Sie besser nicht auf die fertigen Lösungen der Anbieter zurück, sondern hinterlegen eine einfache Weiterleitung als Klick-Out und umschiffen so die Gefahr einer Abmahnung.

 

Pflicht zur Verschlüsselung

Die Pflicht zur Verschlüsselung ergibt sich aus der Art der Daten, die Sie auf Ihrer Website erheben und verarbeiten. Das Urteil des BGH vom 16.05.2017 – VI ZR 135/13 war hier wegweisend, da nun auch sogenannte dynamische IP-Adressen, die im Rahmen der Auslieferung von funktionalen Cookies enthalten sein können, als personenbeziehbar angesehen werden.

Ferner sind offensichtlich persönliche Daten, wie sie beispielsweise in einem Kontakt- oder Registrierungsformular oder im Warenkorb beim Online-Shop erfasst werden, immer zu verschlüsseln.

Seit einiger Zeit bewertet auch Google unverschlüsselte Websites im Suchergebnis schlechter. Aus wirtschaftlichen Gründen sollten Sie deshalb die gesamte Website mindestens nach TLS 1.2 verschlüsseln.

Aktuelles Impressum

Das Impressum kann hinter einem weiterführenden Link oder direkt auf der Website dargestellt werden. Beachten Sie, dass der Link zum Impressum dabei nicht von anderen Funktionen Ihrer Website überdeckt wird (z.B. einer Cookie-Bar) und auch auf mobilen Geräten sichtbar bleibt. Folgende Angaben sind in der Regel für alle Website-Betreiber relevant:

  • vollständiger Name und Anschrift
  • Angaben zur Kontaktaufnahme
  • Umsatzsteueridentifikationsnummer
  • Verantwortlicher im Sinne des Rundfunkstaatsvertrages

Die Impressumspflicht ergibt sich aus dem TTDSG. Ein Verstoß kann zu Abmahnungen Ihrer Mitbewerber führen, die sich auf eine Wettbewerbsverletzung des Gesetzes gegen den Unlauteren Wettbewerb (UWG) berufen. Behörden können darüber hinaus ein empfindliches Bußgeld von bis zu 50.000 Euro verhängen. Besondere ärgerlich ist es, wenn Sie zwar ein Impressum haben, die Angaben aber veraltet sind.

Datenschutzerklärung ist Pflicht

Damit Ihre Besucher jederzeit einen Überblick über die auf Ihrer Seite erhobenen Daten haben, benötigen Sie einen gut sichtbaren Datenschutzhinweis. Kopieren Sie niemals blind eine Vorlage ähnlicher Angebote oder nutzen eine generierte Datenschutzerklärung ohne individuelle Anpassungen für Ihre Website vorzunehmen. Die Datenschutzerklärung muss spezfisch auf Ihr Angebot zugeschnitten sein und mindestens Fragen beantworten:

  • Zweck der Datenerhebung für Besucher und Kunden? (z.B. Abrechnung)
  • Rechtsgrundlagen der Verarbeitung? (z.B. Einwilligung)
  • Auflistung der Empfänger der Daten, ggfs. Angaben zu Drittländern? (z.B. Google, USA)
  • Form und Dauer der Speicherung (z.B. Server-Logfiles für 365 Tage)
  • Aufklärung über Rechte der Betroffenen und Beschwerdemöglichkeiten
  • Schlussbestimmungen: Recht auf Auskunft, Richtigstellung und Löschung

Besonders viel Wert sollten Sie auf die Angabe aller auf Ihrer Website verwendeten Dienste legen, wie z.B. Google Analytics, Google Maps, Google Optimize, Google Re-Recaptcha, Google Fonts, Social Media Plugins, Werbe-Tracking. Meist unterliegen diese Technologien einer ständigen Aktualisierung und sollten entsprechend in ihren Datenschutzhinweisen gepflegt werden. Bei einer behördlichen Überprüfung sollten Sie für jeden der Anbieter auf Ihrer Website einen Auftrags­daten­ver­arbeitungs­vertrag vorweisen können.

Kontinuierliche Überwachung

Sind alle DSGVO-Anforderungen umgesetzt muss kontinuierlich überwacht werden, ob sich an den Website-Inhalten etwas geändert hat. So sollten Website-Betreiber bei Einsatz aktueller Versionen von genutzten Plugins oder Content Management Libraries testen, ob die DSGVO immer noch eingehalten wird.

Mitarbeiter der Marketing- oder IT-Abteilung übersehen schnell einmal, ob verwendete Dienste oder Services der aktuellen Rechtsprechung entsprechen. Jede Änderung muss dem Datenschutzbeauftragten mitgeteilt werden, damit die Datenschutzerklärung aktuell bleibt.

DSGVO Scan kann Sie genau bei dieser Aufgabe unterstützen und durch automatisierte Scans Änderungen überwachen. Sie werden bequem durch einen Report informiert, sobald Mängel festgestellt werden. Egal ob nur eine einzige Website oder hundert Domains überwacht werden sollen.