180 Grad Datenschutz Logo180 Grad Datenschutz Logo weiß
Kontakt

DSGVO-konforme Webseite: Das müssen Betreiber beachten

Allgemein

Seit dem 25. Mai 2018 gilt in der gesamten EU die Datenschutzgrundverordnung (DSGVO). Diese regelt und schützt den Umgang und die Verarbeitung mit und von personenbezogenen Daten und das in jedem EU Land gleichermaßen. Aufgrund dessen heißt es aber auch für jeden, der innerhalb der Europäischen Union eine wirtschaftliche Tätigkeit ausübt, dass er sich an diese Verordnung halten muss. Also auch jeder, der eine Website betreibt, die nicht ausnahmslos privat ist. Dieser Beitrag befasst sich mit allen Punkten, die Website-Betreiber jetzt beachten und umsetzen müssen, um nicht gegen die DSGVO zu verstoßen.

Welche Websites sind betroffen?

Im Prinzip ist die Antwort auf diese Frage einfach: Alle Webseiten müssen der DSGVO entsprechen, die nicht gänzlich persönlichen Zwecken dienen. Ob das so ist, lässt sich anhand einiger kurzer Fragen beantworten:

  • Icon Pfeil rund
    Finden sich auf der Website Werbebanner?
  • Icon Pfeil rund
    Gibt es ein Kontaktformular?
  • Icon Pfeil rund
    Setzt die Website Cookies ein?
  • Icon Pfeil rund
    Werden auf der Website Analysetools genutzt?
  • Icon Pfeil rund
    Werden auf der Website externe Programme, wie beispielsweise Google Maps oder YouTube-Videos eingesetzt?
  • Icon Pfeil rund
    Und ganz generell: werden auf, mit oder durch die Website personenbezogene Daten verarbeitet (auch IP-Adressen zählen bereits dazu)?

Können alle diese Fragen verneint werden, handelt es sich wahrscheinlich um eine ausschließlich private Website. In diesem Fall müsste die DSGVO nicht befolgt werden. Wenn jedoch eine oder mehrere Fragen mit „ja“ beantwortet werden können, ist es sinnvoll, die nachfolgende Checkliste für Websites in Bezug auf die DSGVO umzusetzen.

Das müssen Websitebetreiber beachten

Datenschutz bei Bewerbungen

So machen Sie Ihre Webseite fit für die DSGVO

1.) Verschlüsseln Sie Ihre Website

Für eine verschlüsselte Website braucht es ein SSL-Zertifikat. Dieses ermöglicht eine sichere Verbindung zwischen einem Internetbrowser und dem Webserver. Ob eine Seite SSL-verschlüsselt ist, erkennt man daran, dass die Webadresse mit „https“ und nicht mit „http“ beginnt. In diesem Fall erscheint außerdem ein meist grünes Schloss ganz links in der Browseradressleiste. Der Vorteil einer solchen SSL-Verschlüsselung ist, dass die Seite dadurch einerseits besser bei Google rankt und andererseits, dass Benutzer viel sicherer auf der Website surfen. Gerade bei Websites, die Kreditkartentransaktionen, Logins oder auch Datentransfers anbieten, ist eine SSL-Verschlüsselung sehr wichtig. Die Aktivierung einer solchen ist darüber hinaus sehr einfach. Sie kann einfach beim Websitehost aktiviert werden.

2.) Aktivieren Sie Ihre Cookie-Banner

Vielen Internetnutzern ist es wahrscheinlich schon längst aufgefallen: man öffnet eine Website und eines der ersten Dinge, die einem entgegenspringen, ist der Cookie-Banner. Cookies sind kleine Dateien, die gespeichert werden, wenn ein Nutzer eine Website besucht. Nutzt dieser beispielsweise immer wieder einen bestimmten Online-Shop und gibt dort seine Login-Daten ein, werden meist die E-Mail-Adresse und das Passwort vorausgefüllt. Das liegt an einem Cookie, der diese Daten bereits gespeichert hat. Cookies setzt jeder Betreiber ein, der für seine Internetseite u. a. Google Analytics, Facebook Plug-Ins, Social Media Sharing Buttons, eingebettete (YouTube-) Videos oder auch WordPress verwendet. Laut DSGVO brauch mittlerweile jeder Website-Betreiber von jedem Nutzer seiner Website zuerst eine Einwilligungserklärung, ob er die Cookies des Nutzers auch wirklich speichern darf. Deshalb fragen entsprechende Banner mittlerweile von vornherein ab, ob Daten gespeichert werden dürfen, oder nicht. Auch, wenn der Nutzer hier ablehnt, muss er weiterhin auf der Website surfen dürfen.

3.) Überprüfen Sie Social Media Plug-Ins und eingebettete Videos

Viele Website-Betreiber nutzen auf ihren Seiten Social Media Plug-Ins und eingebettete Videos. Was bedeutet das genau? Entsprechende Plug-Ins werden von Social Media Seiten wie Facebook, YouTube etc. zur Verfügung gestellt. Diese sammeln dann auf einer Website die personenbezogenen Daten, ohne dass die Nutzer davon etwas mitbekommen oder davon wissen. Damit können anschließend Persönlichkeitsprofile der Nutzer erstellt werden um beispielsweise zugeschnittene Werbung einzuspielen. Bisher sind nur sogenannte Facebook Pixel gesetzlich verboten, Social Media Plug Ins aber nicht. Wenn ein Website-Betreiber diese auf seiner Homepage einsetzt, muss er in seiner Datenschutzerklärung darauf hinweisen, dass Nutzerdaten an Dritte weitergegeben werden.

4.) Überprüfen Sie die Kontaktformulare auf Ihrer Website

Viele Websites verfügen über Kontaktformulare. Auf diese Weise sammeln sie Daten von z. B. Interessenten und möglichen neuen Kunden. Aber hier steckt auch das Problem, nämlich das Einholen der personenbezogenen Daten. Deshalb muss jeder, der das Kontaktformular nutzt, der Datenschutzerklärung der Seite zustimmen. Dies gelingt am besten mit einer kleinen Box, in der der Nutzer anklickt, ob er mit der Datenschutzerklärung einverstanden ist. Vorsicht: Diese Box darf nicht vorausgefüllt sein! Zusätzlich darf ein Betreiber nur jene Daten abfragen, die wirklich benötigt werden. Außerdem müssen Pflichtfelder, die auszufüllen sind, gekennzeichnet sein. Wenn zusätzlich dann auch das unter Punkt eins beschriebene SSL-Zertifikat aktiviert ist, können die personenbezogenen Daten des Nutzers sicher übertragen werden. Ein weiterer Punkt in Bezug auf das Kontaktformular ist, dass dieses in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden muss. Der Grund ist simpel. Durch das Kontaktformular werden personenbezogene Daten eines Nutzers weiter verarbeitet.

5.) Legen Sie ein Verzeichnis der Verarbeitungstätigkeiten an

Laut DSGVO muss jeder Verantwortliche ein Verzeichnis der Verarbeitungstätigkeiten führen. Das sollte nicht auf die leichte Schulter genommen werden, denn dieses kann die zuständige Aufsichtsbehörde jederzeit anfordern. Hat ein Website-Betreiber dann nichts vorzuweisen, drohen hohe Bußgelder. Der Sinn hinter einem solchen Verzeichnis ist es, transparent aufzuzeigen, wie man mit personenbezogenen Daten umgeht. Hier wird also angegeben, wo man welche Daten wie lange speichert und auch zu welchem Zweck man dies macht. Auch eine zuständige verantwortliche Person wird hier angegeben. Bei dem Ausfüllen des Verarbeitungsverzeichnisses ist also höchste Aufmerksamkeit gefordert.

6.) Überarbeiten Sie die Datenschutzerklärung

Über eine Datenschutzerklärung muss laut DSGVO jede Website verfügen, die personenbezogene Daten verarbeitet. Wichtig hieran ist, dass diese von jeder Unterseite einer Website zugänglich sein muss. Daher bietet es sich an, die Datenschutzerklärung in den Footer einer Website einzupflegen. Dieser wird normalerweise für jede Unterseite übernommen.

7.) Überprüfen Sie Ihren Newsletter

Wer als Website-Betreiber die Möglichkeit bietet, sich als Nutzer für Newsletter anzumelden, verwendet dafür meistens einen Newsletter-Dienstleister. Daher muss mit einem solchen Dienstleister auch ein Verarbeitungsvertrag geschlossen werden. Außerdem sollte im Anmeldeformular des Newsletters genau beschrieben sein, welcher Zweck verfolgt wird. Das Pflichtfeld für die Anmeldung darf nur die E-Mail-Adresse des interessierten Nutzers abfragen. Auch sollte im Anmeldeformular eine Verlinkung zur Datenschutzerklärung eingebaut sein. Auf diese Weise kann der Nutzer noch einmal nachlesen, wozu der Dienstleister die Daten braucht und verwendet. Außerdem muss laut DSGVO für die Anmeldung eines Newsletters ein Double-Opt-In Verfahren genutzt werden. Das bedeutet, dass dem Nutzer nach Registrierung ein personalisierter Link an seine E-Mail-Adresse gesendet wird. Diesen Erhalt muss er bestätigen. Somit macht er deutlich, dass er tatsächlich der Inhaber dieser E-Mail-Adresse ist.

8.) Überprüfen Sie Google Analytics und Statistik Tools

Verwendet man als Betreiber einer Website ein Statistik Tool wie beispielsweise Google Analytics, dann muss dieses auch in der Datenschutzerklärung aufgelistet sein. Jeder Nutzer sollte nun die Möglichkeit erhalten, ein sogenanntes Opt-out vorzunehmen. Das bedeutet, dass er selber entscheiden kann, ob Google Analytics seine Daten weiterhin erfasst, oder nicht. Darüber hinaus war es bis zur Einführung der DSGVO üblich, dass Google Analytics die IP-Adressen der Seitennutzer erfasst. Auch die zählen nun zu personenbezogenen Daten und sind daher zu schützen. Dies ist erreichbar, indem man die IP-Adressen der Website-Nutzer anonymisiert, beispielsweise durch einen „anonymizeIP“-Befehl, den der Webadministrator einbaut. Schließlich muss auch mit Google ein Zusatz zur Datenverarbeitung geschlossen werden.

Tätig werden, Webseite optimieren

Diese Checkliste mit acht wichtigen Vorgaben hilft Website-Betreibern dabei, ihre Internetseite DSGVO-konform zu gestalten und auf diese Weise nicht gegen die Verordnung zu verstoßen. Dennoch ist es oftmals sinnvoll, bei spezifischen Fragen oder Unsicherheiten den unternehmensinternen Datenschutzbeauftragen mit dem Überprüfen der umgesetzten Punkte zu beauftragen oder einen externen Datenschutzbeauftragten zu konsultieren. Auf diese Weise stellen Website-Betreiber sicher, dass sie einer Abmahnung durch die Behörden oder gar eine Bußgeldforderung vermeiden.

Icon Info

Kurz und knapp

Seit einem Jahr gilt die EU-weite Datenschutzgrundverordnung (DSGVO). Seither gibt es für Website-Betreiber bestimmte Vorgaben, die umgesetzt und eingehalten werden müssen, wenn eine Website datenschutzkonform sein soll. Andernfalls droht dem Betreiber eine Bußgeldzahlung. In diesem Beitrag wurde eine Checkliste mit den acht wichtigsten Punkten zusammengestellt.

Dabei ging es darum, die Website zu verschlüsseln, einen Cookie Banner zu aktivieren, Social Media Plug-Ins und eingebettete Videos zu überprüfen, Kontaktformulare auf der Website zu überarbeiten, ein Verzeichnis der Verarbeitungstätigkeiten anzulegen, die Datenschutzerklärung zu aktualisieren, anzupassen und einfach zugänglich zu machen, die Anmeldung für Newsletter zu überprüfen sowie die IP-Adressen der Nutzer in Bezug auf Google Analytics und weitere Statistik Tools anonymisiert.

Datenschutz-Schulung

Tauschen Sie sich mit uns aus!

Haben wir Ihr Interesse an Themen rund um Datenschutz und DSGVO geweckt? Können wir Ihnen bei offenen Fragen weiterhelfen? Dann melden Sie sich bei uns – Wir freuen uns auf den Austausch mit Ihnen!

Vorheriger Beitrag
Cookie-Consent-Banner DSGVO-konform gestalten
Nächster Beitrag
Sicheres Whistleblowing mit der 180° Datenschutz

Ähnliche Beiträge