Die DSGVO müsste eigentlich spätestens seit dem 25.05.2018, also seit 1,5 Jahren, von jedem Webseiten-Betreiber umgesetzt worden sein. Leider scheint dies aber immer noch nicht bei allen der Fall zu sein, wie jüngst die Fälle von z.B. Delivery Hero zeigen, die hohe Bußgelder für DSGVO-Verstöße zahlen mussten. Wir wollen daher erklären, welche Stolpersteine es bei der Umsetzung der DSGVO gibt und geben eine einfache Lösung mit an die Hand!eroHkasjb

Rechtliche Grundlagen

Die Datenschutzgrundverordnung (DSGVO) gilt bei der Verarbeitung personenbezogener Daten. Dies ist bei Webseiten (fast) immer der Fall: Cookies, Kontaktformulare, Chats, Login-Bereich, Newsletter,…

Immer also dann, wenn Daten verarbeitet werden, müssen die Vorgaben der DSGVO beachtet werden. Das fängt damit an, dass eine Datenverarbeitung nur im Rahmen des Art. 6 DSGVO zulässig ist, wenn also z.B. eine Einwilligung der betroffenen Person vorliegt oder ein Vertrag.

Außerdem haben Personen, von denen Daten verarbeitet werden, verschiedene Rechte. Dazu gehört z.B., dass die über die Erhebung von Daten informiert werden, dass sie ein Recht auf Löschung haben und auf Datenübertragbarkeit.

Was passiert bei einem Verstoß?

Die DSGVO enthält harte Sanktionen bei Verstößen gegen die Vorgaben. Sie sieht zum Beispiel Bußgelder bis zu 20 Millionen Euro bzw. 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, sofern dieser höher ist (Art. 83 DSGVO).

Außerdem werden immer wieder wettbewerbsrechtliche Abmahnungen wegen DSGVO-Verstößen ausgesprochen. Ob diese rechtlich einwandfrei sind, ist umstritten. Darüber berichteten wir schon mehrfach, unter anderem hier.

Erste Schritte einer DSGVO-konformen Webseite

Wer seine Webseite also DSGVO-konform einrichten möchte, sollte sich also unter anderem fragen:

-Wann erhebe ich welche Daten von den Nutzern meiner Webseite?

-Gibt es für die Verarbeitung eine Rechtsgrundlage?

-Halte ich die Informations- und Betroffenenrechte ein?

-Schütze ich die Daten meiner Nutzer ausreichend?

Man muss sich also erst mal klar werden, welche Pflichten man zu erfüllen hat und sich dann überlegen, wie man diese umsetzt.

Datenschutzerklärung auf der Webseite

Der perfekte Ort, um seinen Informationspflichten nachzukommen, ist eine Datenschutzerklärung. Sie erklärt den Nutzern unter anderem die Art, den Umfang und den Zweck der Nutzung personenbezogener Daten. Darin müssen aber auch die Kontaktdaten des Verantwortlichen angegeben werden, Hinweise auf die Betroffenenrechte und Infos zu Cookies, Analysesoftware, Social Plugins etc. Je nach den Inhalten der Webseite kann diese eine sehr lange Liste werden. Daraus erklärt sich auch, warum man keine vorgefertigte Datenschutzerklärung aus dem Netz verwenden sollte, sondern eine, die auf die eigene Webseite zugeschnitten ist.

Formulare auf der Webseite

Überall dort, wo Nutzer ihre Daten hinterlassen können – Chat, Kontaktformular, Terminvereinbarungen, Newsletteranmeldung und Co verursachen Datenverarbeitungen und müssen daher bestimmte Vorgaben erfüllen.

Zum Beispiel gilt das Prinzip der Datensparsamkeit, das heißt, dass Sie nur die Daten abfragen dürfen, die Sie auch wirklich zur Verarbeitung brauchen.

Außerdem müssen bestimmte Schutzmechanismen eingebaut werden. Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Dazu gehören auch Verschlüsselungen der personenbezogenen Daten. Zum aktuellen Stand der Technik gehren SSL und TSL, die also bei Kontaktformularen und Co eingerichtet sein müssen.

Social-Media-Plugins

Auch die Einbettung von Social-Media-Buttons und -Inhalten fällt unter die DSGVO, da durch diese Daten der Nutzer wie die IP-Adresse abgerufen werden, und zwar, ohne dass die Nutzer die Buttons betätigen oder von der Datenübermittlung etwas mitbekämen. Wir berichteten bereits über Lösungsmöglichkeiten wie die Zwei-Klick-Lösung und SHARIFF.

Analytics und Tracking

Ein weiterer Punkt, der bei der DSGVO-Umsetzung beachten werden muss, ist die Analyse der Nutzer.

Analytics meint dabei die statistische Auswertung der Reichweite. Hier werden unter anderem Verweildauer, Nutzeraktionen, Browser, Betriebssystem, Gerät und Auflösung ausgewertet.

Tracking hingegen meint die individuelle Auswertung eines konkreten Nutzers, um ein Profil desjenigen zu bilden.

Das Tracking ist also weitgehender als Analytics. Daher reicht dort nicht eine Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO, sondern es muss eine Einwilligung des Nutzers eingeholt werden. Diese Einwilligung sollte durch ein Opt-in-Verfahren eingeholt werden.

Wir helfen Ihnen!

Unsere Kanzlei hat sich auf das Datenschutzrecht spezialisiert und hilft Ihnen bei allen belangen rund um die DSGVO. Für die rechtssichere Umsetzung der DSGVO haben wir ein Rechtsprodukt für Sie entwickelt. Das heißt: anwaltliche Leistung zum Festpreis! Für eine einmalige Gebühr gestalten wir Ihre Webseite DSGVO-konform, sodass Sie keine Angst vor Bußgeldern oder Abmahnungen haben müssen. Hier können Sie sich unverbindlich informieren.