Am 25. Mai 2018 endet die Übergangsfrist der neuen EU-Datenschutzgrundverordnung (EU-DSGVO). Die EU-DSGVO betrifft jede Firma jeder Größe, die personenbezogene Daten sammelt, speichert und verarbeitet – und damit auch Websitebetreiber. Wer seine Website bis zum 25. Mai 2018 noch nicht aktualisiert hat, muss damit rechnen vom Mitbewerber auf Basis des Gesetzes gegen den unlauteren Wettbewerb (UWG) abgemahnt zu werden.
Aufklärung
Als Websitebetreiber müssen Sie Ihre Besuchern u.a. mit einer leicht zugänglichen und verständlichen Datenschutzerklärung über alle Vorgänge aufklären, bei denen Sie personenbezogene Daten sammeln, speichern und verarbeiten.
Sicherheit
Bei der Erhebung und Verwendung persönlicher Daten sind jedoch nicht nur Hinweise notwendig, sondern technisch mögliche und wirtschaftlich zumutbare Maßnahmen zum Schutz der Daten verpflichtend. Dazu gehört mittlerweile die verschlüsselte Übertragung von Daten zwischen Benutzer und Website mittels SSL-Verschlüsselung – zu erkennen an einem Schloss-Symbol vor dem „https://“ der Internetadresse:
SSL-Verschlüsselung einer Website
Dienstleister
Da auch Ihr Webhoster bspw. mit den IP-Adressen Ihrer Besucher personenbezogene Daten nach der EU-DSGVO speichert, ist es zudem erforderlich, dass Sie den Hoster Ihrer Website mit einer sogenannten Auftragsverarbeitung (vormals Auftagsdatenverarbeitung) nach Artikel 28 DSGVO mit einbinden und einen Vertrag zur Auftragsverarbeitung (ADV-Vertrag) schließen. Das Gleiche gilt für alle anderen Auftragsdatenverarbeiter, die in Ihrem Auftrag personenbezogene Daten Ihrer Besucher/Nutzer verarbeiten, so z.B. Google, wenn Sie das Analyse Tool „Google Analytics“ einsetzen oder bei der Nutzung eines Newsletter-Dienstleisters wie bspw. MailChimp.
Übersicht deutscher Webhoster – Auftragsdatenverarbeitung und Webhosting:
https://www.audatis.de/ratgeber/business/uebersicht-zur-auftragsdatenverarbeitung-adv-beim-webhosting/
Google – Vorformulierter Vertragstext zur Auftragsdatenverarbeitung nach deutschem Datenschutzrecht:
www.google.com/analytics/terms/de.pdf
MailChimp – Vertrag zur Auftragsverarbeitung (Data Processing Addendum):
https://mailchimp.com/legal/forms/data-processing-agreement/
Mobile Endgeräte
Nutzen Sie für Ihre Website-Analyse „Google Analytics“ ist zu beachten, dass auch die Benutzer mobiler Endgeräte in der Datenschutzerklärung berücksichtigt werden und die Möglichkeit erhalten, die Erfassung durch Google Analytics innerhalb dieser Website zukünftig zu verhindern. Dazu ist eine Anpassung im HTML-Code Ihrer Website durch Ihren Webmaster erforderlich, da das Browser-Add-on zur Deaktivierung von Google Analytics nicht innerhalb von mobilen Browsern funktioniert.
Social Media
Social Media-Buttons (-Plugins) auf der Website sind datenschutzrechtlich problematisch und umstritten. Sie verstoßen gegen das strenge (deutsche) Datenschutzrecht, weil sie ungefragt und unbemerkt persönliche Daten wie die IP-Adresse des Webseitennutzers übermitteln und das Surfverhalten analysieren. Beispielsweise überträgt der Like-Button von Facebook ungefragt und unbemerkt persönliche Daten des Webseitennutzers an Facebook – auch ohne Anklicken des Buttons! Daher sollte auf den Einsatz der Share-Buttons auf der Website verzichtet und die sogenannte „Shariff-Lösung“ (siehe Beitrag „Social-Media-Buttons vs. Datenschutz„) eingesetzt werden.
Einwilligungserklärung
In der Regel enthält jede Website ein Kontaktformular für die Kontaktaufnahme. Wenn Sie auf Ihrer Website Formulare anbieten, mit denen personenbezogene Daten erhoben werden, ist zwingend die Einwilligung für die Verarbeitung personenbezogener Daten einzuholen. Hierfür muss jedes Formular einen Hinweis auf die Datenerhebung mit Link zur Datenschutzerklärung enthalten. Der Absender sollte das Formular ohne Bestätigung der Kenntnisnahme bzw. Datenschutzrechtliche Einwilligungserklärung (per Checkbox-Häkchen) nicht abschicken können:
Datenschutzrechtliche Einwilligungserklärung
Fazit: Diese Aufgaben für eine DSGVO-konforme Website sind zu erledigen
- DSGVO-konforme Datenschutzerklärung
- Datenschutzrechtliche Einwilligungserklärung bei Formularen
- Website mit SSL-Verschlüsselung (SSL-Zertifikat)
- Vertrag zur Auftragsverarbeitung (ADV-Vertrag) mit Dienstleister (Webhoster, Google etc.)
- Website für mobile Endgeräte anpassen (bei Verwenung von Google Analytics)
- Social Media-Buttons durch Shariff-Buttons ersetzen
Als eRecht24 Agentur-Partner kann ich meinen Kunden bei der Umsetzung einer korrekten Datenschutzerklärung nach DSGVO und beim Thema Impressum unterstützen.