Die DSGVO müsste eigentlich
spätestens seit dem 25.05.2018, also seit 1,5 Jahren, von jedem
Webseiten-Betreiber umgesetzt worden sein. Leider scheint dies aber immer noch
nicht bei allen der Fall zu sein, wie jüngst die Fälle von z.B. Delivery
Hero zeigen, die hohe Bußgelder für DSGVO-Verstöße zahlen mussten. Wir
wollen daher erklären, welche Stolpersteine es bei der Umsetzung der DSGVO gibt
und geben eine einfache Lösung mit an die Hand!eroHkasjb
Rechtliche Grundlagen
Die Datenschutzgrundverordnung
(DSGVO) gilt bei der Verarbeitung personenbezogener Daten. Dies ist bei
Webseiten (fast) immer der Fall: Cookies, Kontaktformulare, Chats,
Login-Bereich, Newsletter,…
Immer also dann, wenn Daten
verarbeitet werden, müssen die Vorgaben der DSGVO beachtet werden. Das fängt
damit an, dass eine Datenverarbeitung nur im Rahmen des Art. 6 DSGVO zulässig
ist, wenn also z.B. eine Einwilligung der betroffenen Person vorliegt oder ein
Vertrag.
Außerdem haben Personen, von
denen Daten verarbeitet werden, verschiedene Rechte. Dazu gehört z.B., dass die
über die Erhebung von Daten informiert werden, dass sie ein Recht auf Löschung
haben und auf Datenübertragbarkeit.
Was passiert bei einem
Verstoß?
Die DSGVO enthält harte
Sanktionen bei Verstößen gegen die Vorgaben. Sie sieht zum Beispiel Bußgelder
bis zu 20 Millionen Euro bzw. 4 % des weltweit erzielten Jahresumsatzes des
vorangegangenen Geschäftsjahrs, sofern dieser höher ist (Art. 83 DSGVO).
Außerdem werden immer wieder
wettbewerbsrechtliche Abmahnungen wegen DSGVO-Verstößen ausgesprochen. Ob diese
rechtlich einwandfrei sind, ist umstritten. Darüber berichteten wir schon mehrfach,
unter anderem hier.
Erste Schritte einer
DSGVO-konformen Webseite
Wer seine Webseite also
DSGVO-konform einrichten möchte, sollte sich also unter anderem fragen:
-Wann erhebe ich welche Daten von
den Nutzern meiner Webseite?
-Gibt es für die Verarbeitung
eine Rechtsgrundlage?
-Halte ich die Informations- und
Betroffenenrechte ein?
-Schütze ich die Daten meiner
Nutzer ausreichend?
Man muss sich also erst mal klar
werden, welche Pflichten man zu erfüllen hat und sich dann überlegen, wie man
diese umsetzt.
Datenschutzerklärung auf der Webseite
Der perfekte Ort, um seinen
Informationspflichten nachzukommen, ist eine Datenschutzerklärung. Sie erklärt
den Nutzern unter anderem die Art, den Umfang und den Zweck der Nutzung
personenbezogener Daten. Darin müssen aber auch die Kontaktdaten des
Verantwortlichen angegeben werden, Hinweise auf die Betroffenenrechte und Infos
zu Cookies, Analysesoftware, Social Plugins etc. Je nach den Inhalten der
Webseite kann diese eine sehr lange Liste werden. Daraus erklärt sich auch,
warum man keine vorgefertigte Datenschutzerklärung aus dem Netz verwenden
sollte, sondern eine, die auf die eigene Webseite zugeschnitten ist.
Formulare auf der Webseite
Überall dort, wo Nutzer ihre
Daten hinterlassen können – Chat, Kontaktformular, Terminvereinbarungen,
Newsletteranmeldung und Co verursachen Datenverarbeitungen und müssen daher
bestimmte Vorgaben erfüllen.
Zum Beispiel gilt das Prinzip der
Datensparsamkeit, das heißt, dass Sie nur die Daten abfragen dürfen, die Sie
auch wirklich zur Verarbeitung brauchen.
Außerdem müssen bestimmte Schutzmechanismen
eingebaut werden. Art. 32 DSGVO verlangt „geeignete technische und
organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu
gewährleisten“. Dazu gehören auch Verschlüsselungen der personenbezogenen
Daten. Zum aktuellen Stand der Technik gehren SSL
und TSL, die also bei Kontaktformularen und Co eingerichtet sein müssen.
Social-Media-Plugins
Auch die Einbettung von Social-Media-Buttons
und -Inhalten fällt unter die DSGVO, da durch diese Daten der Nutzer wie die
IP-Adresse abgerufen werden, und zwar, ohne dass die Nutzer die Buttons
betätigen oder von der Datenübermittlung etwas mitbekämen. Wir
berichteten bereits über Lösungsmöglichkeiten wie die Zwei-Klick-Lösung und SHARIFF.
Analytics und Tracking
Ein weiterer Punkt, der bei der
DSGVO-Umsetzung beachten werden muss, ist die Analyse der Nutzer.
Analytics meint dabei die statistische
Auswertung der Reichweite. Hier werden unter anderem Verweildauer, Nutzeraktionen,
Browser, Betriebssystem, Gerät und Auflösung ausgewertet.
Tracking hingegen meint die individuelle
Auswertung eines konkreten Nutzers, um ein Profil desjenigen zu bilden.
Das Tracking ist also
weitgehender als Analytics. Daher reicht dort nicht eine Interessenabwägung
nach Art. 6 Abs. 1 f) DSGVO, sondern es muss eine Einwilligung des Nutzers
eingeholt werden. Diese Einwilligung sollte durch ein Opt-in-Verfahren
eingeholt werden.
Wir helfen Ihnen!
Unsere Kanzlei hat sich auf das Datenschutzrecht spezialisiert und hilft Ihnen bei allen belangen rund um die DSGVO. Für die rechtssichere Umsetzung der DSGVO haben wir ein Rechtsprodukt für Sie entwickelt. Das heißt: anwaltliche Leistung zum Festpreis! Für eine einmalige Gebühr gestalten wir Ihre Webseite DSGVO-konform, sodass Sie keine Angst vor Bußgeldern oder Abmahnungen haben müssen. Hier können Sie sich unverbindlich informieren.