Ihre Homepage und die DSGVO

Was ändert sich, was ist zu tun? Die wichtigsten Handlungsempfehlungen zusammengefasst für eine DSGVO konforme Website.

Am 25. Mai 2018 trat die neue Datenschutzverordnung, kurz DSGVO in Kraft. Hier habe ich Ihnen die wichtigsten Punkte und Handlungsempfehlungen zusammengefasst für eine DSGVO konforme Website.

Vorab weise ich allerdings darauf hin, dass ich zu rechtlichen Beratungen weder in der Lage noch dazu befugt bin. Die folgenden Texte stellen keine Rechtsberatung dar und erheben keinen Anspruch auf Richtigkeit oder Vollständigkeit. Vielmehr habe ich verschiedene Aussagen öffentlich zugänglicher Quellen zusammengefasst. Wenn Sie 100% auf Nummer Sicher gehen wollen, empfehle ich Ihnen einen Anwalt oder z.B. die Dienstleistung eines Portals wie z.B. www.e-recht24.de zu beauftragen.

Meine Recherche ergab, dass folgende Punkte zu beachten sind und je nach Nutzung zu notwendigen Änderungsmaßnahmen führen:

 

1. Rubrik „Datenschutzerklärung"

Ab 25. Mai 2018 wird eine eigene Rubrik „Datenschutzerklärung" zwingend notwendig. Hier wird der Besucher informiert, wie Sie mit personenbezogenen Daten umgehen und welche technischen Möglichkeiten ihre Homepage nutzt, z.B. Cookies, Google Services, etc. Hier gibt es vorgefertigte Formulierungen, die individuell auf Ihre Bedürfnisse zugeschnitten genutzt werden können.

 

2. Übertragung von Kundendaten nur noch verschlüsselt

Das Kontaktformular auf Ihrer Website muss TLS-verschlüsselt werden. Falls Ihre Website noch nicht verschlüsselt ist, können Sie ein dazu notwendiges Zertifikat erwerben und installieren lassen.
Kontaktformulare senden i.d.R. den Inhalt an den Betreiber der Website. Falls das bei Ihnen der Fall ist, müssen Sie auf dem Formular die Mailadresse angeben, an die das Kontaktformular gesendet wird.
Auf dem Formular sollte ein Link auf Ihre Datenschutzerklärung vorhanden sein.

D.h. wenn Sie weiter ein Kontaktformular verwenden wollen, ist zwingend ein SSL-Zertifikat notwendig. Dies ist mit zusätzlichen Kosten verbunden. Die Alternative ist natürlich auf das Formular zu verzichten und zum Beispiel nur Kontaktdaten und eine verlinkte Email-Adresse anzugeben

Für Onlineshops ist zukünftig eine SSL-Verschlüsselung zwingend notwendig, da natürlich bei jedem Kauf personenbezogene Daten übertragen werden.

Ein SSL-Zertifikat (https://) kostet je nach Provider unterschiedlich. Bei meinen Provider sind dies aktuell 36 € im 3-Jahresvertrag.

 

3. Cookies

Falls Ihre Website Cookies verwendet (fast alle Websites tun das), dann müssen Sie Ihre Besucher darüber informieren. Dies erfolgt durch einen Hinweis, den der Besucher einmalig angezeigt bekommt und dessen Kenntnisnahme er bestätigen muss.
Die Frage, ob allein das hier gemeinte, sog. "Session-Cookie" bereits zustimmungspflichtig ist, ist juristisch noch nicht abschließend geklärt. Ich empfehle jedoch, diese Maßnahme vorsorglich einzusetzen.

 

4. Google Analytics

Falls She Google Analytics benutzen und weiterhin verwenden wollen (es gibt auch Alternativen) ist hier einiges zu tun. Zum einen muss der Trackingcode geändert werden. Google Analytics lässt es zu, die IP-Adresse Ihrer Besucher zu anonymisieren. Zum anderen muss der Verwendung ein eigener recht ausführlicher Punkt in der Datenschutzerklärung gewidmet werden und Sie müssen mit Google einen Vertrag zur Auftragsverarbeitung abschließen... siehe Punkt 7.

 

5. Google Services

Die Verwendung von Google Services wie z.b: Google Maps und Google Fonts scheint weniger problematisch zu sein. Die Verwendung dieser Services sollte aber unbedingt in der Datenschutzerklärung erwähnt sein.

 

6. Social-Media-Links

Aktuell sieht es so aus, dass Google gut auf die DSGVO reagiert hat, Facebook, Instagram & co leider nicht. Dass heißt, wenn Sie von Ihrer Homepage aus auf ihren Social-Media Account verlinken, muss dies unbedingt in der Datenschutzerklärung erwähnt werden. Von einem direkten Einbinden von SocialMedia-Inhalten, z.B. per iFrame ist dringend abzuraten. Wenn Sie Likebutton verwenden, gibt es hierzu Scripte, die einen Zwischenschritt über ein zu bestätigendes Infofenster aufrufen. 

 

7. Verträge zur Auftragsverarbeitung

Falls Sie Google AdWords, AdSense, DoubleClick oder Analytics verwenden, müssen Sie mit Google einen Vertrag zur Auftragsverarbeitung abschließen. Diesen gibt es hier zum Download:
https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf
Füllen Sie diesen Vertrag aus und senden Sie ihn an Google Irland. Die Adresse steht im Kopfbereich des Vertrags. Sie werden dann von Google den unterschriebenen Vertrag erhalten.
Verträge zur Auftragsverarbeitung werden NICHT veröffentlicht, sind ausschließlich den Vertragsparteien zugänglich und somit ist ihr Vorhandensein nur durch staatliche Stellen überprüfbar. Es ist davon auszugehen, dass die ohnehin bereits überlasteten staatlichen Stellen mit der DSGVO über längere Zeit keine Überprüfung durchführen werden.

 

8. Ausblick

Die ebenfalls zu Mai '18 geplante E-Privacy-Verordnung konnte vom Gesetzgeber nicht rechtzeitig fertiggestellt werden und ist derzeit zum Jahresende geplant.
Sobald uns Informationen vorliegen, werden wir Sie wieder informieren

 

Fazit:

Bis 25. Mai sollten die oben genannten Punkte zwingend angegangen werden. Natürlich ganz individuell nach Ihren Bedürfnissen. Das klingt alles nach sehr viel Arbeit, ist aber gar nicht sooo dramatisch.

Mein Angebot:

- Analyse Ihrer Homepage
- Erstellung Maßnahmenkatalog
- Umsetzung der Maßnahmen auf der Website (inkl. Datenschutzerklärung und Cookie-Bestätigungs-Script)
-> pauschal 150,- €


Autor: Michael Hartig
Bildquelle: Ready Elements von www.pixabay.com