DSGVO: Das muss beachtet werden
Inhaltsverzeichnis
Plattformen wie Facebook, Instagram, Youtube und unzählige mehr drängen uns seit einiger Zeit ihre neuen Datenschutzerklärungen auf. Aber woran liegt das eigentlich? Seit Mai 2018 gibt es die neue Datenschutzgrundverordnung – kurz DSGVO – die einige neue Richtlinien eingeführt hat, weshalb man nun sehr viel genauer darauf achten sollte, seine Webseite DSGVO konform zu gestalten.
Aber was ist die DSGVO?
Die Datenschutzgrundverordnung ist eine Regelung der Europäischen Union, die vor allem den Datenschutz von personenbezogenen Daten der Verbraucher EU-weit sichern, einheitlich gestalten soll und gleichzeitig den Datenhandel innerhalb der EU reglementiert. Diese Regelungen gelten für so gut wie alle Webseiten, selbst die, die keine Personendaten abfragen oder analysieren, müssen DSGVO konform aufgebaut sein. Dabei ist aber nicht nur das Internet betroffen, selbst Behörden, Personalvermittler und Arbeitgeber im Allgemeinen sind dazu verpflichtet, die Änderungen der DSGVO zu beachten. Tut man dies nicht, muss man mit Bußgeldern und Abmahnungen rechnen, die von regelrechten Jägern der Abmahnindustrie kommen und darauf spezialisiert sind, DSGVO-Verstöße zu finden. Gerade weil die Bußgelder seit den neuen Änderungen um einiges erhöht wurden (bis zu 20 Millionen Euro im Jahr oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr), ist es vielen Webseiten-Betreibern ein Anliegen, diese DSGVO gerecht zu gestalten.
Was muss ich beim Erstellen einer DSGVO Webseite beachten?
Aktualisierung der eigenen Datenschutzerklärung
Zunächst einmal der logischste Schritt: da sich die DSGVO geändert hat, sollte auch die eigene Datenschutzerklärung aktualisiert und angepasst werden. Hier sollte über die neuen Regelungen informiert werden, aber vor allem müssen alle Vorgänge, die Personendaten an Dritte weitergeben, gekennzeichnet werden. Das passiert vielleicht schneller und unauffälliger als man denkt, beispielsweise gibt ein Facebook-Like Button Informationen an das soziale Netzwerk weiter. Deshalb sollten solche Buttons unbedingt überprüft werden und vielleicht sogar entfernt, falls sie nicht absolut notwendig sind. Tools, die Informationen der Nutzer speichern oder sogar weiterverarbeiten, kommen auf Webseiten öfter vor, ohne dass sie unbedingt als solche aufgefasst würden. Einige davon sind z.B. die Funktion der Standortangabe, Registrierungsmöglichkeiten, Kommentarfelder, und wie bereits erwähnt, Sharing-Tools von sozialen Netzwerken. Generell gilt hier also: um der Einfachheit halber nur die nötigsten Funktionen anbieten, um ein Versehen zu vermeiden.
Auch Homepages, die offiziell keine Daten verwalten oder weitergeben, sammeln durch die IP-Adresse automatisch diese Personenangabe und müssen sich deshalb genauso an die DSGVO Reglementierung für Webseiten halten. Solche Daten nennt man auch ‚Log-Files‘, sie dienen vor allem der Optimierung der entsprechenden Homepages und Virenangriffen vorzubeugen. Nur Webseiten, die ausschließlich privaten Zwecken (z.B. ein social media Profil) dienen, sind von den DSGVO Richtlinien ausgeschlossen. Richtet sich die Homepage außerdem an einen internationalen Pool, sollte die Datenschutzerklärung ebenfalls mehrsprachig zur Verfügung stehen. Da diese Einzelheiten nicht nur mannigfaltig sondern teils auch kompliziert sind, ist es sinnvoll dies einem Datenschutzbeauftragten anzuvertrauen, welcher dann ebenfalls in der Datenschutzerklärung zu nennen ist. Beim Platzieren der Datenschutzerklärung auf der Homepage ist es zu empfehlen, sie so einfach auffindbar wie möglich zu setzen, z.B. in der Fußzeile der Webseite, damit sie jederzeit angeklickt werden kann, denn eine versteckte Datenschutzerklärung wirkt so, als ob man etwas zu verbergen hätte.
Cookies & Co
Leider sind hier nicht die leckeren Knabbereien gemeint, bei Cookies handelt es sich um eine weitere Funktion, die Daten sammelt. Diese Daten dienen in erster Linie dem Nutzer und erleichtern ihm das Surfen im Web, da sie auf dem Gerät gespeichert werden und die einzelnen Webseiten den Nutzer so quasi wiedererkennen. Leider ist hier die rechtliche Lage nicht ganz so eindeutig wie in den anderen Aspekten, deshalb befinden sich Cookies in einer Art Grauzone. Deshalb sollte man den Nutzer unbedingt den Gebrauch von Cookies auf seiner Webseite aktiv bestätigen lassen, wenn der Webseitenbetreiber dementsprechend nach dem Prinzip der Transparenz verfährt, sollte er auf der sicheren Seite sein. In der eigenen Datenschutzerklärung sollte deshalb unbedingt eine Passage zu Cookies eingeflochten werden. Auch auf eine DSGVO gerechte Homepage selbst gehört ein klar markierter Hinweis zu Cookies, meist mit dem Passus, dass der Nutzer sich beim weiteren Surfen auf der Webseite mit den Cookies einverstanden erklärt.
Überprüfung von Newslettern, Analyse-Tools etc.
Gibt es die Möglichkeit sich auf der Homepage für einen Newsletter anzumelden? Dann muss dieses Tool auch DSGVO konform aktualisiert werden, denn hier dürfen nur die für den Newsletter absolut notwendigen Daten erfragt werden, wie z.B. die E-Mail Adresse; ein vollständiger Name ist nicht relevant und würde dementsprechend gegen die Datenschutzgrundverordnungen verstoßen. Kann der Nutzer seine Daten auf einer Webseite eintragen, wie zum Beispiel beim Online Shopping, muss dieser Vorgang verschlüsselt werden, um so den Datenschutz zu gewährleisten.
Eine generelle Verschlüsselung der Homepage sollte durchgeführt werden, dies erkennt man am ‚https‘ oder am Hängeschloss-Symbol vor der URL. Das gilt allerdings nicht nur für die Hauptseite, auch jede kleine Unterseite muss verschlüsselt werden, deshalb sollte man alle noch so kleinen Links darauf überprüfen.
Viele Webseiten arbeiten mit einem Analyse-Tool, dass die kommerzielle Erfassung der Daten erleichtert. Auch hier werden die IP-Adressen der Nutzer gesammelt, müssen aber unbedingt verkürzt werden. Allein das reicht allerdings nicht, in der Datenschutzerklärung muss dann noch auf den Gebrauch dieses Tools und seine Datenschutz – bzw. Nutzungsbedigungen verwiesen werden, damit die absolute Transparenz gewahrt werden kann. Außerdem sollte dem Nutzer in jedem Fall die Möglichkeit gegeben sein, die Verwendung eines solchen Analysesystems abzulehnen – mit einer sogenannten Opt-Out Möglichkeit kann der Verbraucher seine Einwilligung jederzeit zurücknehmen. Solche Widerrufsrechte müssen seit den Änderungen 2018 außerdem klar markiert und fett gedruckt sein, so hat der Nutzer die für ihn wichtigsten Passagen direkt vor Augen. Nach dieser Anonymisierung, dem Verweis auf jegliches Analyse System und der Opt-Out Funktion ist der Gebrauch solcher Hilfsmittel dann DSGVO konform.
DSGVO Webseite in Kompakt
Bei der Erstellung einer Webseite, die der DSGVO entspricht, gibt es also viele technische Details, die beachtet werden sollten. Nach dem ganzen Informationsüberfluss gibt es hier deshalb nochmal alle Aspekte in einer kurzen Checkliste zusammengefasst:
- Aktualisierung der eigenen Datenschutzerklärung
- Überprüfung der Plug-Ins, insbesondere soziale Netzwerke, Standortfunktionen etc.
- Cookie Hinweis mit Opt-In und Opt-Out Funktion
- Newsletter Anmeldungen u.a. auf die nötigsten Daten beschränken
- Verschlüsselung der URL, inklusive aller Unterseiten
- Aufklärung über etliche Analyse-Tools und hinzufügen einer Opt-Out Funktion
Ganz allgemein sollte man also bei allen Veränderungen der Datenschutzerklärung immer eine möglichst große Transparenz halten und auf unnötige Tools verzichten, denn Vorsicht ist besser als Nachsicht. Sofern alle oben genannten Gesichtspunkte berücksichtigt werden und der Nutzer eine einfach zugängliche Datenschutzerklärung vorfindet, steht der DSGVO-konformen Webseite dann nichts mehr im Weg.
Das Jansen & Jansen Kontor ist eine Partneragentur von E-Recht 24, führt jedoch keine offizielle Rechtsberatung durch.
