Die seit Mai 2018 geltende Datenschutz-Grundverordnung stützt sich vor allem auf den rechtmäßigen Umgang mit personenbezogenen Daten der Nutzer von Websites und enthält einige Vorschriften, wie eine Website auszusehen hat, damit diese rechtssicher ist.
Die Datenschutz-Grundverordnung stützt sich insbesondere auf die Rechte von Einzelpersonen, um diese im Internet zu schützen.
Wir zeigen Ihnen in diesem Artikel, welche Vorschriften zu beachten sind und wie Sie in wenigen Schritten Ihre Website DSGVO konform machen können.
Wie macht man eine Website DSGVO konform?
Datenschutzerklärung und Impressum rechtssicher machen
Das Wichtigste, wenn Sie Ihre Website DSVO-konform gestalten wollen, ist eine vollständige Datenschutzerklärung und ein lückenloses Impressum zu haben. Betreiber einer Website müssen sicherstellen, dass Sie alle wichtigen und erforderlichen Informationen in beiden Dokumenten aufgeführt und die Nutzer über Ihre Rechte aufgeklärt haben.
Die in die Datenschutzerklärung und in das Impressum gehörende Auskünfte sind:
- Name und Kontaktdaten der Betreiber (Vorname, Nachname, Adresse, Telefonnummer, E-Mail-Adresse)
- Informationen über die Verarbeitung der Benutzerdaten
- Welche Daten, wie und auf welchem Weg erhoben werden, wozu (Marketing-Zwecke etc.) und wie lange sie gespeichert werden
- Rechte der Nutzer
- Angaben zu den verwendeten Cookies, Tracking-Tools und Social Plug-ins
Nicht nur die Datenschutzerklärung, sondern auch das Impressum müssen auf jeder Seite schnell und einfach zu finden sein. Die meisten Website-Betreiber platzieren ihre Datenschutzerklärung und das Impressum im Footer, der von jeder Seite der Website zugänglich sein muss.
Alle Informationen zu den personenbezogenen Daten sind in der DSGVO im Artikel 4, Nr. 1 niedergeschrieben.
Cookie-Banner einbauen
Cookie-Banner sind immer dann wichtig, wenn Sie auf Ihrer Website personenbezogene Daten oder Informationen anfordern - dies kann zum Beispiel beim Kontaktformular oder bei der Anmeldung zum Newsletter sein.
Ebenfalls müssen Sie beim Einsatz von Tracking-Tools wie Google Analytics und Co. auf Ihrer Website mithilfe eines Cookies die Einwilligung der Nutzer einholen. Egal, ob Sie diese Tools für Marketing- oder Analysezwecke nutzen, Sie müssen die Einwilligung der Nutzer einholen, dass sie damit einverstanden sind, dass Sie dieses Tracking-Tool einsetzen dürfen. Dies geschieht über den genannten Cookie-Banner.
Ähnlich sieht es bei Retargeting-Zwecken aus. Das Retargeting gehört zum Online-Marketing und dient dazu, durch das Tracking den Usern personalisierte Werbung auf anderen Websites zu schalten. Auch für diese Marketing-Strategie brauchen Sie die Einwilligung Ihrer Besucher. Wünschen sie dies nicht, muss es die Option geben, diesem Tracking im Cookie-Banner zu widersprechen. Gemäß den DSGVO-Anforderungen benötigt jede Website, die Social Plug-ins verwendet, ebenfalls das Einverständnis des Nutzers, seine Daten an die jeweiligen sozialen Netzwerke weiterzugeben. Wird dies nicht gewünscht, muss der User die Möglichkeit haben, dieses über den jeweiligen Cookie abzulehnen.
Abgelehnte Cookies, egal welcher Art, dürfen dem Besucher nicht das Weiterstöbern auf der Website verbieten. Sollte das gesamte Nutzererlebnis durch die Ablehnung eingeschränkt werden, muss der Besucher darauf hingewiesen werden.
Jegliche Verwendung von Cookies müssen Betreiber einer Website in der Datenschutzerklärung aufführen und ihre User detailliert darüber aufklären.
Website verschlüssen
Die eigene Website zu verschlüsseln gehört mittlerweile bereits zu den Rankingfaktoren von Google und sollte laut Artikel 32, Absatz 1 DSGVO immer geschehen, sobald eine Website personenbezogene Daten einfordert. Beginnt eine URL mit https:// oder hat sie ein Schloss in der URL-Leiste, dann ist diese sicher und verschlüsselt.
Für die Verschlüsselung der Website benötigen Sie ein SSL-Zertifikat, das den sicheren Datenaustausch zwischen Nutzer und Server auf dieser gewährleistet. Nur mit diesem SSL-Zertifikat kann auf Ihrer Website das HTTPS-Protokoll eingebunden werden. HTTP-Seiten sind demnach unverschlüsselte Seiten, die Hackern die Möglichkeit bieten, auf vertrauliche personenbezogene Daten zuzugreifen.
Einwilligung der User für Social Plug-ins einholen
Der bereits erwähnte Social Plug-in ist der berühmte Social-Media-Button, der den User mit einem Klick von der Website auf das soziale Netzwerk leitet, damit dieser dort den gerade gelesenen Inhalt teilen kann.
Dieser Button oder Social Plug-ins wie zum Beispiel der „Gefällt-mir-Button" oder der „Twitter-Button” dürfen jedoch nicht einfach so auf einer Website platziert werden. Egal, ob Besucher diesen Teilen-Button verwenden oder nicht, die personenbezogenen Daten und Informationen wie die IP-Adresse werden, ohne dass sie es wissen, an die jeweiligen sozialen Netzwerke weitergegeben.
Laut DSGVO-Anforderungen ist es daher notwendig, Nutzern im Cookie-Banner die Möglichkeit zu geben, diese Weitergabe der Daten abzulehnen oder eben ihre Einwilligung einzuholen. Alle genauen Angaben zu den Social Plug-ins müssen Betreiber der Websites in der Datenschutzerklärung festhalten.
Eine andere Möglichkeit ist es, auf der Website ein Bild des sozialen Netzwerkes, das erst einmal keine Funktion hat, statt einen Button zu platzieren. Erst beim aktiven Draufklicken muss der Benutzer auf einer zweiten Seite bestätigen, dass er sich einloggen und somit Daten an das Netzwerk weitergeben möchte. Vorher dürfen die Netzwerke, anders als beim Button, keine Informationen erheben.
Auf Tracking-Tools hinweisen
Wenn Sie Tracking-Tools wie Google Analytics, Google Tag Manager oder auch Google Search Console auf Ihrer Website verwenden wollen, ist das Ihr gutes Recht. So können Sie mithilfe von zum Beispiel Google Analytics herausfinden, wie das Verhalten Ihrer User im Internet aussieht. Wollen Sie solch ein Tool verwenden, gibt es jedoch Anforderungen, die Sie beachten müssen.
Sie sind zum Beispiel dazu verpflichtet, auf Tracking-Tools im Cookie-Banner hinzuweisen und Informationen hierzu in der Datenschutzerklärung Ihrer Website zu liefern. Nutzer müssen darüber aufgeklärt werden, welche Daten oder Informationen an Dritte weitergegeben werden und außerdem die Chance haben, diese Weitergabe über das sogenannte Opt-out abzulehnen.
Vor der Einführung der Datenschutz-Grundverordnung war es üblich, dass Google Analytics und andere Tracking-Tools die IP-Adresse der Nutzer abfragen. Seit 2018 ist es aber möglich, dies zu unterbinden, indem man die Nutzer-IP-Adresse anonymisiert. Das Anonymisieren der IP-Adresse geschieht, indem Sie den Google Analytics Code mit „anonymizeIP” erweitern.
Dieser Code sorgt dafür, dass das Ende der IP-Adresse gelöscht und somit anonymisiert wird.
Newsletter DSGVO konform gestalten
Möchten Sie einen regelmäßigen Newsletter oder eine Werbe-E-Mail von Ihrer Website an Ihre Kunden senden, müssen Sie diesen Newsletter DSGVO-konform machen. Es ist beispielsweise zwingend notwendig, die Einwilligung Ihrer Nutzer gemäß Artikel 7 DSGVO dafür einzuholen, dass Sie den Newsletter an sie schicken dürfen.
Dies muss zum einen über ein anklickbares Kästchen geschehen, womit sie der Datenschutzerklärung zustimmen. Haben Website-Betreiber diese Einwilligung nicht, ist es nicht erlaubt, den Newsletter zu versenden.
Zum anderen müssen Sie beim Newsletter das Double Opt-In-Verfahren (doppelte Einwilligung) verwenden, bei dem der Empfänger im ersten Schritt seine Zustimmung für den Newsletter-Erhalt per E-Mail gibt.
In einem zweiten Schritt wird diesem dann vom Unternehmen ein Link an seine E-Mail-Adresse zugesandt. Über diesen Link in der E-Mail muss er noch einmal bestätigen, dass er den Newsletter tatsächlich regelmäßig empfangen möchte und auch rechtmäßiger Inhaber der E-Mail-Adresse ist. Erst nach der zweiten Einwilligung per E-Mail darf er in den Newsletter-Verteiler aufgenommen werden.
Des Weiteren dürfen Sie Felder, wie Name, Adresse oder Alter des Benutzers nur optional lassen und es nicht als Pflichtfeld markieren. Das einzige Pflichtfeld sollte die E-Mail-Adresse sein.
Geben Sie Newsletter-Empfängern außerdem die Möglichkeit, den Newsletter jederzeit über einen Link wieder abzubestellen. Die E-Mail-Adresse des Nutzers muss dann unverzüglich aus Ihrem Adressbuch gelöscht werden.
Zustimmung für die im Kontaktformular erhobenen Daten einholen
Personenbezogene Daten in einem Kontaktformular zum Beispiel dürfen nur erhoben werden, wenn der Besucher auch zustimmt. Jegliche Informationen zur Verarbeitung personenbezogener Daten müssen detailliert DSGVO-konform in der Datenschutzerklärung aufgeführt sein - der Nutzer muss also der Datenschutzerklärung zustimmen.
Aus diesem Grund müssen Nutzer bei jeder Angabe von Daten ihre Einwilligung geben, dass sie damit einverstanden sind, dass die erhobenen Daten weiterverarbeitet werden dürfen oder der Nutzer sogar bei Bedarf kontaktiert werden darf. Genau wie beim Newsletter müssen Informationen zu erhobenen und verarbeiteten Daten in der Datenschutzerklärung aufgeführt sein.
Achtung: Informationen und persönliche Daten, die freiwillig über das Kontaktformular an die Website gegeben werden, dürfen nicht direkt in den Newsletter-Verteiler aufgenommen werden. Hier herrscht strengstes Kopplungsverbot. Das Versenden des Newsletters an die jeweilige E-Mail-Adresse erfordert eine ausdrückliche Einwilligung.
Ähnlich wie beim Newsletter muss sich auch beim Kontaktformular an das Konzept der Datensparsamkeit gehalten werden. Machen Sie keine Felder zur Pflicht, wenn Sie diese Daten nicht unbedingt benötigen. Eine E-Mail-Adresse zur eventuellen Rückantwort sollte hier reichen - jedoch ist dies situationsabhängig.
Auftragsverarbeitungsvertrag abschließen
Ein Vertrag zur Auftragsverarbeitung muss immer dann abgeschlossen werden, wenn Sie personenbezogene Daten und Informationen an Dritte weitergeben. Dritte können hierbei zum Beispiel Google (Analytics) oder E-Mail-Provider sein. Zwischen Ihnen und diesen Parteien muss ein Vertrag abgeschlossen werden, um die Menge der Verarbeitung der Daten vertraglich zu beschließen.
Gehen Sie sicher, dass alle Drittanbieter rechtssicher arbeiten und sich an die DSGVO halten. Die inhaltlichen Anforderungen eines solchen Vertrages hält der Artikel 28, Absatz 3 DSGVO fest.
Wann müssen Websites DSGVO konform gestaltet sein?
Websites müssen DSGVO konform gestaltet sein, sobald eine Website personenbezogene Daten erhebt. Dabei ist es wichtig, eine vollständige DSGVO-konforme Datenschutzerklärung zu verfassen, in der jegliche Informationen zu erhobenen Daten oder Benutzerrechten aufgeführt sein müssen.
Warum muss man eine Website gemäß der Datenschutz-Grundverordnung aufbauen?
Man muss eine Website gemäß der Datenschutz-Grundverordnung aufbauen, da bei falschen Informationen oder nicht ausreichender Auskunft über die Datenerhebung mit Bußgeldern oder Abmahnungen gerechnet werden muss. Ebenfalls kann eine unvollständige Datenschutzerklärung ähnliche Folgen haben.
Ein weiterer Verstoß gegen die DSGVO-Konformität ist die fehlende Einwilligung der Nutzer für Tracking-Tools wie Google Analytics, für Social Plug-ins, Weitergabe von Daten oder Cookie-Nutzungen. Jegliche erhobenen Daten, Abfragen oder Trackings über Google Analytics und Co. müssen in der Datenschutzerklärung genannt werden.
Alle Verstöße gegen die Datenschutz-Grundverordnung sind unter Artikel 83, Absatz 4-5 DSGVO aufgeführt.
Fazit
Eine Website rechtssicher und somit DSGVO-konform zu gestalten ist für Betreiber wichtig, um nicht in einen Rechtsstreit verwickelt zu werden. Holen Sie sich darüber hinaus lieber einmal mehr die Einwilligung Ihrer Nutzer für die Verarbeitung personenbezogener Daten und Informationen als eventuell einmal zu wenig. Stellen Sie in jedem Fall sicher, dass Sie auf Ihrer Website nicht gegen die Anforderungen verstoßen und folgen Sie den Vorgaben der DSGVO.
Sind Sie sich nicht sicher, ob Ihre Website rechtssicher ist, oder benötigen Sie Hilfe, um Ihre Website DSGVO konform machen zu können? Dann kontaktieren Sie uns gerne oder nutzen Sie unserere decareto Website-Prüfung. Wir stehen Ihnen jederzeit zur Seite!
Autor: Eckhard Schneider