Möglicherweise haben Sie schon davon gehört: Am 25. Mai 2018 tritt die DSGVO in Kraft. Da die Informationen zu der neuen Datenschutz-Grundverordnung äußerst umfangreich und für Nicht-Juristen kaum verständlich sind, haben wir uns in die Recherche gestürzt und bringen an dieser Stelle Licht ins Dunkel, was die DSGVO für Webseitenbetreiber bedeutet.

Was ist die DSGVO?

Bei der Datenschutz-Grundverordnung (DSGVO) handelt es sich um ein EU-Gesetz, dessen Umsetzung ab dem 25. Mai 2018 verpflichtend wird und darauf abzielt, personenbezogene Daten stärker zu schützen.

Wer muss jetzt aktiv werden?

Generell: Jedes Unternehmen, das Daten seiner Kunden erhebt und verarbeitet, unabhängig von Größe und Branche. Die neuen Regelungen betreffen also auch kleine und mittelständische Unternehmen sowie Freelancer. Selbst Unternehmer ohne Website müssen die neuen Anforderungen erfüllen, denn auch sie müssen ein Verzeichnis der Verarbeitungstätigkeiten anlegen (siehe unten).

Unternehmen mit Website sind erst recht gefordert, da nahezu jede Website personenbezogene Daten erhebt. Sie verarbeiten Kundendaten auf Ihrer Internetpräsenz, sobald Sie folgendes nutzen:

  • Kontaktformular
  • Kommentarfunktion
  • Kundenbewertungen
  • Social-Share-Buttons
  • Trackingtools wie z.B. Google Analytics oder Matomo/Piwik
  • Newsletterversand
  • Cookies

Nichtstun könnte teuer werden: Es werden Strafen von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes genannt.

Schritt für Schritt: Diese Änderungen müssen umgesetzt werden

Nach der DSGVO ist die Vearbeitung von personenbezogenen Daten nicht erlaubt, sofern die betroffene Person nicht ausdrücklich ihre Einwilligung erteilt hat. D.h., der Nutzer kann selbst aktiv entscheiden, welche Daten er herausgibt und was mit diesen geschieht. Er hat das Recht auf die Auskunft über seine Daten (z.B. Zwecke, Dauer der Speicherung) sowie auf deren Löschung. Außerdem kann er seine Einwilligung zur Datenverarbeitung jederzeit widerrufen und sich ggf. bei der Aufsichtsbehörde beschweren. Auf Anfrage hin müssen Sie dem Betroffenen alle personenbezogenen Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ zur Verfügung stellen können.

  1. Stellen Sie fest, an welchen Stellen auf Ihrer Website Sie personenbezogene Daten erheben, und legen Sie entsprechend ein Verzeichnis der Verarbeitungstätigkeiten an (Die Vorlagen wie z.B. diese dürften für die meisten kleinen Unternehmen überdimensioniert sein, eignen sich aber zur Orientierung)
  2. Bei der Nutzung von Drittanbietern (mehr dazu unten) wie z.B. Google Analytics: Schließen Sie Auftragsdatenverarbeitungsverträge ab!
  3. Überarbeiten Sie Ihre Datenschutzerklärung
  4. Überarbeiten Sie Ihre Formulare zur Kontaktaufnahme, Kommentarerstellung, Bewertung, Newsletterbestellung…
  5. Beantragen Sie eine SSL-Verschlüsselung für Ihre Website
  6. Falls Sie Mitarbeiter beschäftigen: Schließen Sie eine Verschwiegenheitsvereinbarung ab

Auftragsdatenverarbeitungsverträge mit Drittanbietern abschließen

Jedes Unternehmen, das Zugriff auf Ihre Kundendaten hat, gilt als Drittanbieter. Sie werden überrascht sein, wie viele das sind – hier nur die wichtigsten Beispiele:

  • Tracking-Tools wie Google Analytics, Matomo/Piwik, der Facebook Pixel…
  • Newsletterversand-Tools wie Mailchimp
  • Zahlungsanbieter wie Paypal, Stripe…
  • Webhoster wie Strato, 1und1, all-inkl, Domainfactory…
  • Cloud Hoster wie Dropbox
  • Social-Media-Widgets

Die meisten Anbieter stellen entsprechende Verträge zu Verfügung.
TIPP: Ab dem 01. Mai soll es möglich sein, die Auftragsdatenverarbeitungsverträge (engl.: order privacy agreement) per Mail abzuschließen. Derzeit muss es noch schriftlich erfolgen.

Anpassung der Datenschutzerklärung

Ihre Datenschutzerklärung muss beinhalten:

  • die Information, welche Daten erhoben werden und zu welchem Zweck,
  • die Information, ob und in welcher Form Daten an Drittanbieter (siehe oben) weitergegeben werden,
  • einen Ansprechpartner für Fragen,
  • ein Widerrufsrecht / „Opt-Out“ für den Nutzer,
  • einen eigenen Textabschnitt je Drittanbieter inkl. Name und Anschrift, Hinweis auf die Art und Verwendung der Daten und auf den Auftragsdatenverarbeitungsvertrag.

Für die Anpassung können Sie einen Datenschutzgenerator nutzen. Hier ist es jedoch schwierig, eine DSGVO-konforme Variante zu finden, die kostenlos ist (eine solche finden Sie hier). Bei komplexeren Projekten können die Datenschutzgeneratoren generell unzureichend sein. Um auf Nummer Sicher zu gehen, ist es immer empfehlenswert, einen Rechtsanwalt zu kontaktieren.
Wenn Ihre Datenschutzerklärung durch einen Generator zur Verfügung gestellt wird, überprüfen Sie, ob eine Anpassung entsprechend der DSGVO erfolgt.

Alle textlichen Anpassungen müssen in einer möglichst einfachen und verständlichen Formulierung gehalten werden, da die DSGVO dies vorschreibt.

Überarbeitung von Formularen

Für Formulare gilt grundsätzlich: Fragen Sie nur die Informationen ab, die Sie wirklich brauchen. Sollten Sie z.B. einen Newsletter anbieten, benötigen Sie außer der E-Mail-Adresse des Besuchers keine weiteren Angaben.

Sie sollten außerdem vor dem Abschicken von Formularen die Bestätigung Ihres Besuchers einholen, die das Speichern und Verarbeiten seiner Daten erlaubt. Idealerweise geschieht dies über eine Checkbox, bei der der Besucher explizit ein Häkchen setzen muss. Eine solche Regelung ist dann notwendig, wenn Ihr Unternehmen kein „berechtigtes Interesse“ an den Kundendaten hat. Wenn Sie beispielsweise einen Onlineshop betreiben und die Adresse des Kunden für die Warenlieferung benötigen, ist dieses berechtigte Interesse gegeben und Sie brauchen nicht die ausdrückliche Einwilligung einholen.

Wenn Sie einen Newsletter versenden, sollten Sie einen Informationstext über dem Anmeldeformular einbinden. Hier sollten Sie erläutern, welche Inhalte den Newsletterempfänger erwarten und ihn darüber informieren, dass er das Abonnement jederzeit beenden kann („Opt-Out“). Um nachweisen zu können, dass Sie die Einwilligung durch den Nutzer erhalten haben, achten Sie bitte auf das „Double-Opt-In“ bei der Anmeldung. Dies ist auch bei Newsletterversandsystemen wie Mailchimp nicht unbedingt automatisch voreingestellt. Weiterführende Informationen zum Thema Datenschutz und Newsletter, insbesondere mit Mailchimp, erhalten Sie in dem lesenswerten Artikel von Rechtsanwalt Dr. Thomas Schwenke.

Umstellung der Website auf SSL

Die Nutzung einer SSL-Verschlüsselung ist zwar keine Pflicht, jedoch ist ohne sie keine sichere Datenübertragung möglich. Auch die Suchmaschinen bevorzugen SSL-verschlüsselte Webseiten. Bei vielen Webhostern gibt es inzwischen die Möglichkeit, ein kostenloses SSL-Zertifikat zu erhalten.

Was passiert mit Social-Media-Widgets?

Die Original-Widgets und -Buttons von Facebook, Twitter und Co. sind immer noch weit verbreitet. Doch diese senden schon während des Ladens der Webseite Nutzerdaten wie z.B. die IP-Adresse an die sozialen Netzwerke. Im letzten Jahr hat der Bundesgerichtshof IP-Adressen ausdrücklich zu personenbezogenen Daten erklärt. Unsere Empfehlung: Verwenden Sie statt der Original-Widgets besser eine Lösung, die die Datenübertragung zu den sozialen Diensten erst zulässt, wenn der Nutzer aktiv auf einen Button geklickt hat.

Wo gibt es noch mehr Informationen zur DSGVO?

Wir freuen uns über Kommentare mit Verbesserungen, Ergänzungen und Erfahrungen!

Bitte beachten Sie: Dieser Artikel stellt in keinster Weise eine Rechtsberatung dar. Wir haben uns zwar im Rahmen unserer Tätigkeit intensiv mit dem Thema befasst, sind aber keine Datenschutz-Experten oder Juristen. Daher übernehmen wir auch keinerlei Haftung oder Garantie auf Vollständigkeit und Richtigkeit dieses Artikels. Für alle Fragen und Probleme rund um die DSGVO kontaktieren Sie bitte einen Rechtsanwalt.