Datenschutzkonforme Website und Angebote

Erfahrungsberichte, etwa vom Versuch eine WordPress-Seite DSGO-konform zu gestalten, gibt es zurzeit viele. Sie zeigen die Mühen der Ebene und bieten in der Regel viele Anregungen und Tipps - wenn man sich um alle Details selbst kümmern muss oder will. Solche Berichte beginnen oft mit einem Seufzer wie "Gleich vorweg: ich hasse es, diesen Artikel zu schreiben." Und daher Gleich vorweg: Wem das Folgende viel zu viel ist, wer seine Website ohnehin nicht geschäftlich nutzt, wer letztlich lediglich eine personalisierte E-Mail-Adresse oder einen Domain-Namen sichern will, kann sich viel Stress sparen: Die öffentliche Seite der Site (vorübergehend) vom Netz zu nehmen, ist auch ein realistischer Umgang mit dem Thema und ein effektiver Beitrag zur Datensparsamkeit.

Wird die eigene Website geschäftlich, also zur eigenen Darstellung und Kundenwerbung benutzt, ist es auch jenseits des Datenschutzthemas eine gute Idee, den Aufbau und die Betreuung Profis zu überlassen. Aber egal, ob selbst gestrickt oder vom Webdesigner betreut: Ihr müsst wissen, was auf der eigenen Seite passiert, weil ihr genau dafür verantwortlich seid und nach der DSGVO erklären müsst was dort mit personenbezogenen Daten passiert. - Auch deshalb kann es schlau sein, jetzt mal mit jemandem zu reden, der sich mit Webdesign auskennt und damit, was die einzelnen Programme, Module, Datenbanken und Plug-Ins eigentlich mit den Daten der Website-Besucher veranstalten. Ein Zeit-Artikel vom 18. Mai 2018 umreißt kurz die wichtigsten Schritte, auf die wir im Folgenden detaillierter eingehen: Datenschutzerklärung erstellen, Plugins prüfen, gegebenenfalls Auftragsdatenverarbeitungsvertrag schließen, (mindestens) bei Formularen eine Verschlüsselung aktivieren. Die entsprechenden Basis-Informationen verbreiten auch Webhoster (Beispiel: 1&1-Checkliste).

Die neuen Informationspflichten

Die Datenschutz-Grundverordnung bringt neue Anforderungen bei allen Webauftritten mit sich. Zu dem gehört erst einmal eine erweiterte Datenschutzerklärung, die per Mausklick von jeder einzelnen Webseite eines Internetauftrittes aus erreichbar sein muss. Es reicht, wenn auf jeder Webseite unten ein Link zu dieser Erklärung eingefügt wird. Damit sie von allen Lesenden verstanden wird, muss sie übersichtlich gestaltet und verständlich geschrieben sein.

Die Erklärung selber muss unter anderem darauf hinweisen, dass und welche personenbezogenen Daten erhoben werden. Also beispielsweise der Hinweis auf: Server-Logfiles, IP-Adressen, Datum und Dauer des Besuchs der Homepage, besuchte Seiten, Cookies, Google Analytics, Social-Media-Plug-Ins, Newsletteradressen, Daten aus Kontaktformularen, nicht anonyme Kommentar-/Bewertungsbereiche, geschützte Mitgliederbereiche etc. Für alle personenbezogenen Daten ist der Umgang mit ihnen zu beschreiben. Nochmal: Es geht nicht um jede Funktion der Seite, es geht um alle Bereich der Website, auf denen personenbezogene Daten verarbeitet werden.

Die Datenschutzerklärung bezieht sich auf alle Datenverarbeitungsvorgänge, die auf der Webseite stattfinden. Sie braucht aber kein juristisches oder technisches Kauderwelsch enthalten. Im Gegenteil: Sie muss allgemein verständlich, übersichtlich und ansprechend gestaltet sein. Alle darin enthaltenen Links müssen stimmen und nicht ins Leere führen.

Informationen auf gewerblichen Seiten

Wer gewerblich Webseiten wie Online-Shops oder Online-Beratungen betreibt, hat umfassende Informationspflichten gegenüber den Nutzern. In diesem Fall muss die Datenschutzerklärung thematisieren und beantworten:

  • welche Art von Daten erhoben wird,
  • den Umfang der Daten,
  • den Zweck der Erhebung,
  • die konkrete Verarbeitung oder Nutzung der Daten,
  • die Rechtsgrundlage der Verarbeitung,
  • die Speicherdauer,
  • das Recht auf Auskunft, Berichtigung oder Löschung,
  • etwaige Widerrufsrechte,
  • Namen und die Kontaktdaten eines in der Firma für Datenschutz Verantwortlichen,
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten.

Muster-Datenschutzerklärungen

Es gibt verschiedene Muster und Vorlagen, die in der Regel auch deren größten Haken hinweisen: Die Datenschutzerklärung muss immer auf die eigenen Gegebenheiten angepasst werden. Das bedeutet konkret, dass der Umgang mit den Zugriffsdaten, Cookies etc. vor dem Erstellen der Datenschutzerklärung eigentlich mit dem Websitebetreiber oder Seitenprovider zu klären ist. Wir wissen, dass Viele jetzt auf die Schnelle irgendeine mehr oder weniger passende Erklärung zusammenschustern, um ein Abmahnrisiko zu mindern. Wer das macht, sollte sich aber wirklich zügig daranmachen, das Problem zu heilen und eine korrekte Erklärung auf die Seite zu zaubern.

Eine Vorlage – insbesondere eine mit Erläuterungen – ist auf jeden Fall geeignet, sich mit dem Thema Datenschutz zu beschäftigen. Ein relativ kurzes, verständliches Muster gibt es beispielsweise bei datenschutz.org, ein ausführlicheres Muster bei der Uni Münster. Wiederum eine Basic-Erklärung s gibt's als Standard-Erklärung von Lexware. - Wer auf die Schnelle etwas basteln will, kann es auch mit Internet-Tools versuchen, beispielsweise mit dem datenschutz-generator.de versuchen. Dieses Tool ist für Kleinunternehmen und Privatpersonen kostenlos.) Nochmal: Es bleibt eure Pflicht dafür so sorgen, dass die Erklärung auch auf die Realität der eigenen Seite passt und die abbildet. Es reicht nicht zu wissen, was auf der Website nicht passiert. Wer kein Analysetool wie Google Analytics einsetzt kann entsprechende Texte natürlich einfach aus einem Muster streichen. Aber bei Lücken in den oben genannten Informationspflichten gibt es keine Möglichkeit die eigenen Pflichten ganz oder teilweise durch (vermeintliche) Willenserklärungen der Nutzer auszuschließen.

Verschlüsselung von Kontakt- und Bestelldaten

Auf einer Website sind Kontakt- und Bestelldaten die dort eingegeben werden besonders gefährdete personenbezogene Daten. Um sie zu schützen, ist eine SSL/TSL-Verschlüsselung (siehe Wikipedia-Erläuterungen) zumindest für die Kontakt- und Bestelldatenformulare erforderlich. Diese externe Hintergrundinformation erläutert das Thema.

Web-Hosting und Analysetools

Für den eigenen Webauftritt werden zumeist die Angebote von externen Dienstleister genutzt, die sowohl den Webauftritt technisch betreuen wie auch die Speicherkapazität zur Verfügung stellen. In einem solchen Fall liegt eine Auftragsverarbeitung vor und es muss beim Verarbeiten personenbezogener Daten unbedingt ein entsprechender Vertrag geschlossen werden. Größere Provider haben hier eigene Muster, die lediglich unterschrieben werden müssen. Allerdings heißt das nicht, dass nun der Provider die Verantwortung für alle Datenpannen übernimmt: Datenschutzrechtlich bleibt der Auftraggeber der Verarbeitung verantwortlich. - Der Frage "Brauche ich einen Vertrag über Auftragsverarbeitung?" widmet die Seite Onlinehändler-News.

Auch die Weitergabe von Nutzungsdaten bei der Verwendung von Google Analytics sehen Datenschützer als eine Auftraggeber- und Auftragnehmerbeziehung beim Datentransfer. Auf dieses Thema stürzen sich auch Abmahnanwälte - siehe bspw. hier - und es macht absolut Sinn, Analytics nicht mehr zu verwenden, wenn es nicht gebraucht wird oder aber mit Google einen Vertrag zur Auftragsverarbeitung abzuschließen sowie ein paar Anpassungen bei Analytics und bei der eigenen Datenschutzerklärung vorzunehmen. - Eine leicht lesbare umfassende Anleitung hierzu findet sich bei datenschutzbeauftragter-info.de. Eine weitere gute Quelle zum gleichen Thema ist datenschutz.org.

Erste Informationen, wie wettbewerbsrechtliche Abmahnungen eingeschätzt werden können finden sich hier bei WBS-law und hier bei e-recht24 und natürlich auch bei vielen anderen auf IT-Recht spezialisierten Kanzleien. Letztlich wird man - solange die Gemengelage nicht ansatzweise geklärt ist - zur Abwehrung von Abmahnungen auch anwaltliche Hilfe brauchen. Zurzeit raten die meisten Juristen, im Fall einer Abmahnung auf keinen Fall eine Unterlassungserklärung zu unterzeichnen, jedoch die abgemahnten Mängel umgehend zu beheben und zu überlegen, ob sich eine Zahlungsverweigerung zur Anwaltsgebühr lohnt.

Blogs und Newsletter

Ein Blog benötigt wie jede Website eine Datenschutzerklärung, die von jeder Webseite des Blogs direkt erreichbar ist. Ein Newsletter muss datenschutzrechtlich drei Dinge erfüllen:

  • Ein Newsletter darf nur verschickt werden, wenn der Empfänger ausdrücklich zu gestimmt hat. Die Mehrheitsmeinung zu den bereits vor der DSGVO erfassten Newsletter-Abos lautet: Die dürfen fortgeführt werden, wenn die Erhebung datenschutzrechtlich korrekt erfolgte und die damalige Zustimmung nachweisbar ist.
  • Eine Online-Anmeldung muss bei neuen Abonnements auf jeden Fall bestätigt werden – etwa durch eine Mail an den Besteller, in der dieser die Anmeldung ausdrücklich bestätigen muss.
  • Empfänger müssen sich jederzeit und einfach vom Newsletter abmelden können.

Weitere Infomationen

Zusätzliche, teilweise ausführliche und abstraktere Beschreibungen der datenschutzrechtlichen Anforderungen bei eigenen Website, Blogs, Newsletter usw. finden sich unter folgenden Links:



Weitere Detailinformationen
Datenschutz - Sonderregeln für Medien, Probleme bei Fotos



© 2018 mediafon
Quelle: www.mediafon.net//ratgeber_detailtext.php3?id=5b07219bb002f&ref=h_40e190af64867&view=print&si=5b479ff7ebb2b&lang=1
Druckdatum: 22.07.2018, 03:22:15