Was Du als Websitebetreiber über Datenschutz auf Webseiten wissen musst…


Sicherlich hast Du schon von der Datenschutzgrundverordnung gehört, die seit langem in aller Munde ist.

Ich habe lange nach einer übersichtlichen  Zusammenfassung der DSGVO gesucht, bin aber leider nicht fündig geworden.

Mein Blogbeitrag ist nunmehr eine kleine Zusammenstellung der Themen geworden, die sich mit dem Thema Datenschutz auf Webseiten auseinandersetzt.

Viel Spaß beim Lesen dieses doch eher trockenen Themas:

Seit dem 25.05.2018 gilt die DSGVO. Dieses einheitliche Datenschutzgesetz gilt für alle EU-Mitgliedstaaten und löst das bisherige Bundesdatenschutzgesetz ab.

Als Websitebetreiber hast Du die Pflicht, eine Datenschutzerklärung und ein Impressum auf Deiner Seite zu integrieren, die von jeder Deiner Unterseiten erreichbar sein muss.
Fehlt eins der Elemente, drohen Abmahnungen und Bußgelder, die bis zu 20 Mio. Euro oder 4% des Jahresumsatzes betragen können.
Grundsätzlich ist die Verarbeitung von personenbezogenen Daten verboten. Da eine Nicht-Verarbeitung unmöglich ist, dürfen weiterhin Daten verarbeitet werden, allerdings nur mit einer Einwilligung oder gesetzlichen Erlaubnis.

 

Eine der folgenden Bedingungen muss dabei erfüllt werden (Art.6 Absatz1 DSGVO):
• Der Nutzer hat die Einwilligung zur Verarbeitung seiner personenbezogenen Daten für einen oder mehrere Zwecke gegeben
• Die Verarbeitung der personenbezogenen Daten ist für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich (zB. Kaufvertrag)
• Die Verarbeitung der Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
• Die Verarbeitung der personenbezogenen Daten ist erforderlich, um lebenswichtige Interessen des Nutzers oder einer anderen natürlichen Person zu schützen
• Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
• Die Verarbeitung der personenbezogenen Daten ist zur Wahrung eines berechtigten Interesses erforderlich. Dieses Interesse darf die Interessen, Grundfreiheiten und Grundrechte der betroffenen Person nicht überwiegen, besonders wenn es sich um Kinder handelt.

 

Doch was genau ist ein berechtigtes Interesse?
Um die Verarbeitung der personenbezogenen Daten auf ein berechtigtes Interesse zu stützen, müssen folgende Voraussetzungen erfüllt sein:
• Die Verantwortlichen oder ein Dritter hat ein berechtigtes Interesse, die personenbezogenen Daten zu verarbeiten
• Die Verarbeitung ist zur Wahrung des berechtigten Interesses erforderlich
• Die Interessen, Grundfreiheiten oder Grundrechte der betroffenen Person, die den Schutz der Daten erfordern, überwiegen nicht
Unter den Begriff „berechtigtes Interesse“ fallen nicht nur rechtliche, sondern auch tatsächliche, wirtschaftliche oder ideelle Interessen, die von der Rechtsordnung anerkannt werden.
Eine Beschränkung des „berechtigten Interesses“ besteht dahin gehend, dass die Datenverarbeitung erforderlich und nicht nur zweckmäßig sein muss und das schutzwürdige Interesse des Betroffenen nicht das Interesse des Verantwortlichen übersteigen darf. Hierzu müssten zunächst die Ziele identifiziert werden, die der Verantwortliche mit der Datenverarbeitung verfolgt.
Es könnte zB. ein berechtigtes Interesse bestehen, wenn eine angemessene und maßgebliche Beziehung zwischen beiden Parteien besteht. Die betroffene Person ist zB. ein Kunde des Verantwortlichen oder steht in seinen Diensten.
Besteht ein berechtigtes Interesse, muss zudem ein Widerspruchsrecht eingeräumt werden.
Als berechtigtes Interesse werden u.a. auch Marketingmaßnahmen angesehen. Fraglich ist jedoch, ob hier nicht die Schutzinteressen des Nutzers überwiegen.
Grundsätzlich ist jedoch zu sagen, dass die Auslegung des Art. 6 der DSGVO weit zu verstehen und im Einzelfall zu prüfen ist.

 

Du als Websitebetreiber solltest das Thema Datenschutz auf Webseiten also erst nehmen. Du bist dazu verpflichtet, die Seitennutzer darüber zu informieren, welche personenbezogenen Daten erhoben, gespeichert und verwertet werden. Personenbezogene Daten sind Informationen, die sich konkret auf eine Person beziehen, wie zB. Name, Anschrift, E-Mailadresse, Bankverbindung, IP-Adresse, Cookies oder andere digitale Fingerprints.

 

Was sind personenbezogene Daten und wie werden personenbezogene Daten verarbeitet?
Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen und so Rückschlüsse auf deren Persönlichkeit zulassen.
• Personenbezogene Daten dürfen nur rechtmäßig erhoben und verarbeitet werden
• Die Daten dürfen nur für den erhobenen Zweck verwendet werden
• Es sollen nur die Daten erhoben werden, die auch tatsächlich benötigt werden
• Eine Speicherung der Daten sollte nur so lange erfolgen, wie sie auch benötigt werden
• Die Sicherung der Daten muss gewährleistet sein
• Die Verarbeitung personenbezogener Daten muss dokumentiert werden
• Der Nutzer muss die Einwilligung für eine Datenspeicherung geben
• Der Nutzer muss genau darüber informiert werden, was mit seinen Daten passiert
• Der Nutzer muss seine Daten einsehen, berichtigen und löschen können.

 

 

Die Umsetzung des Datenschutzes auf Deiner Webseite:

 

 

DSGVO und Google Analytics

Besonders die Einbindung von Analysetools wie zB. Google Analytics stellt eine Herausforderung dar. Diese Tools müssen zum einen richtig konfiguriert werden, und der Nutzer muss über dessen Einsatz in der Datenschutzerklärung informiert werden.
Zusätzlich solltest Du noch den Analytics-Code prüfen und ggf. folgende Zeile integrieren:
ga (‘set’,’anonymizeIp’, true)
Mit dem WordPress Plugin Google Analytics Opt-Out kannst Du dem Nutzer zusätzlich eine Opt-Out Möglichkeit anbieten, damit sein Besuch auf Deiner Website nicht erfasst wird.
Damit Du Google Analytics rechtssicher verwenden darfst, musst Du mit Google einen Vertrag zur Auftragsverarbeitung abschließen.

Datenverarbeitungsbedindungen von Google Analytics: https://support.google.com/analytics/answer/3379636

 

Einbindung von Social Media Plugins (DSGVO konform)

Durch die Einbindung von Social Media Plugins, die zum Liken und Teilen animieren, haben die Betreiber der Social Media Netzwerke die Möglichkeit, über die direkte Verbindung zu den Seitenbesuchern Daten zu erheben. Leider hat der Websitebetreiber keinen Einfluss auf diese Vorgehensweise.
Sicherlich ein Thema, mit dem sich Facebook und Co. noch auseinanderzusetzen hat, denn auch Facebook unterliegt der Datenschutzgrundverordnung.
Das „Shariff Wrapper“ Plugin sorgt dafür, das soziale Netzwerke erst dann Daten von Nutzern abfragen können, wenn sie auf den entsprechenden Button klicken.
Ein Hinweis über den Einsatz solcher Plugins sowie dem Zweck darf in Deiner Datenschutzerklärung nicht fehlen.

 

Nutzung des Facebook Pixels (DSGVO konform)

Wer das Facebook Pixel datenschutzkonform nutzen möchte, müsste eine Opt-Out Funktion integrieren und zwar, bevor die Daten von Facebook gespeichert werden. Facebook bietet hier allerdings noch keine Lösung an. Diese Funktion müssen Websitebetreiber selber programmieren, welches einige Risiken birgt. Ein Hinweis in der Datenschutzerklärung reicht nicht aus.
Zudem sind Custom Audiences, die auf E-Mailadressen beruhen, nicht datenschutzkonform. Auch hier müsste vorab eine Einwilligung in Form eines Opt-Ins eingeholt werden.

 

Chat Bots im Messenger und die DSGVO

Der Einsatz von Chat Bots für den Facebook Messenger wird inzwischen immer beliebter.
Bei der Versendung von newslettern ist ein Opt-In mit Widerrufshinweis notwendig. Des Weiteren müssen eine Datenschutzerklärung und das Impressum sichtbar sein.
Die Einbindung des Facebook Customer Plugin muss per 2-Klick Lösung erfolgen. Dann werden die Daten erst verarbeitet, wenn der Benutzer der Kommunikation auch zustimmt. Außerdem sollte es ein Opt-Out geben (Widerrufsmöglichkeit). Das gilt auch für andere Social Plugins wie zB. den „Like“ Button bei Facebook. Die Nutzung solcher Plugins sollte auf jeden Fall in der Datenschutzerklärung erwähnt werden.

 

DSGVO und Cookies

Daten werden auch über Cookies erfasst. Hier gilt es, Cookie-Richtlinien zu beachten und einen ergänzenden Hinweis über die Verwendung von Cookies zu integrieren. Dies wird meist über den Einsatz eines Cookie-Banners auf der Website umgesetzt.
Dieser Hinweis sollte ebenfalls in Deiner Datenschutzerklärung ihren Platz finden.

 

Blog-Kommentare

Sobald ein Nutzer Dein Blog kommentiert, werden in der Regel IP-und Emailadresse gespeichert.
Um die IP-Adresse nicht automatisch zu speichern, fügst Du in Deine Theme-Functions.php oder custom-function.php folgenden Codeschnipsel ein:

function wpb_remove_commentsip( $comment_author_ip ) {
return ”;
}
add_filter( ‘pre_comment_user_ip’, ‘wpb_remove_commentsip’ );

Das Plugin Remove Comment IP löscht IP-Adressen übrigens nach 60 Tagen vollständig. Das Anzeigen von Gravataren kann ganz einfach in den Einstellungen/Diskussion/Avatare deaktiviert werden.

 

Newsletter

Beim Verschicken von Newslettern muss schon seit langem das Double Opt-in Verfahren angewendet werden. In Pflichtfeldern dürfen nur noch wirklich erforderliche Daten abgefragt werden.
Der Nutzer muss informiert werden, zu welchem Zweck die Daten gespeichert werden. Falls die Daten über den Newsletter hinaus genutzt werden, muss ausdrücklich darauf hingewiesen werden.
Falls Du Newsletter über einen externen Anbieter verschickst, musst Du einen AV-Vertrag abschließen.

 

Kontaktformulare

Mit Umsetzung der DSGVO müssen die Kontaktformulare angepasst werden. Die Formulare müssen SSL-verschlüsselt sein und der Nutzer muss über die Verwendung seiner Daten informiert werden.
Hierzu kannst Du im Kontaktformular eine Checkbox mit einer Erklärung als Pflichtfeld integrieren. Diese muss dann vom Nutzer abgehakt werden.
Eine detaillierte Auflistung ALLER Speicher- und Abrufautomatismen ist erforderlich. Welche Inhalte nun genau Gegenstand der Datenschutzerklärung sind, hängt vom Umfang und Zweck der Datenerhebung ab.

 

DSGVO und die Dokumentationspflicht

Wenn andere Anbieter wie zB. Dein Hosting-Anbieter, Dein Newsletter-Versender und auch Google Daten in Deinem Auftrag verarbeiten, musst Du mit den Anbietern AV-Verträge abschließen.
1. Datenschutz Verfahrensverzeichnis
In einem Verzeichnis über Verarbeitungstätigkeiten (so heißt es im Gesetz) muss genau aufgelistet werden, was Du mit den persönlichen Daten machst. Es beinhaltet Grundangaben zu Deinem Unternehmen sowie Details zu den jeweiligen Verarbeitungstätigkeiten. Verantwortlich für dieses Verfahrensverzeichnis ist der Unternehmer und nicht der Datenschutzbeauftragte. Es muss der Datenschutzbehörde auf Verlangen ausgehändigt werden.
2. Bestellung eines Datenschutzbeauftragten
Die DSGVO regelt die Bestellpflicht eines Datenschutzbeauftragten. Dieses ergibt sich im Wesentlichen aus drei Bereichen:
• Verarbeitung von Daten besonderer Kategorien (Artikel 9 DSGVO)
• Deine „Kerntätigkeit“ betrifft eine „umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen“
• Wenn sich mehr als neun Personen mit der automatisierten Verarbeitung der personenbezogenen Daten befasst
Wenn nur er dieser Punkte bei Dir zutrifft, musst Du einen Datenschutzbeauftragten bestellen.

 

DSGVO und die SSL-Verschlüsselung Deiner Website

Mit Umsetzung der DSGVO wird die SSL-Verschlüsselung Deiner Website Pflicht.
Datenschutzerklärung Onlineshop
Die Datenschutzerklärung eines Onlineshops muss in der Datenschutzerklärung zudem spezifisch auf die Erhebung personenbezogener Daten bei Bestellungen eingehen.
Besonders wenn Benutzerkonten angelegt, Werbeemails oder Newsletter versandt werden, muss die Speicherung, der Umfang und die Verwendung personenbezogener Daten detailliert behandelt werden.
Führst Du eine Bonitätsabfrage durch, integrierst Du auch hier einen entsprechenden Passus in Deiner Datenschutzbestimmung.

 

DSGVO Umsetzung auf Deiner Website

Die DSGVO gilt als wichtiger Schritt im digitalen Zeitalter und soll Nutzern einen besseren Schutz ihrer persönlichen Daten garantieren.
Die Umsetzung der DSGVO bereitet jedoch vielen Unternehmen enorme Schwierigkeiten.
Zu unterschiedlich sind die Websites, die Angebote und die daraus resultierenden Pflichten.
Falls Du Dir unsicher im Bezug auf die Umsetzung der DSGVO für Dein Unternehmen bist, solltest Du Dir einen rechtlichen Beistand suchen, der Dir dabei behilflich ist.

Diese kurze Zusammenfassung der doch sehr komplexen DSGVO und ihrer Umsetzung erhebt keinen Anspruch auf Vollständigkeit, sondern dient an dieser Stelle lediglich als Orientierungshilfe im Datenschutzdschungel. (Stand: 02.2019)

 

Bitte seht mir nach, dass dieser Beitrag keinen Anspruch auf Vollständigkeit und Aktualität bietet. Dafür ändert sich täglich zuviel und das Thema ist zudem recht komplex.

Aber vielleicht gibt sie Dir als Website-Betreiber einen kurzen Einblick, worauf Du achten musst.

Falls Du Probleme mit der Umsetzung der DSGVO auf Deiner Website hast, sind wir Dir gern behilflich. Unter folgendem Link findest Du nähere Informationen zu unserem Leistungsangebot.

Datenschutz auf Webseiten