DSGVO Homepage Was muss ich tun? Eine Hilfestellung

von Torben Müller

Wer sich heute auch noch diese Frage stellt, ist auf unserem BLOG richtig gelandet. Seit dem 25. Mai 2018 gilt ja die neue Datenschutzgrundverordnung (DSGVO) und darauf kommt es an.

DSGVO: Was muss auf die Homepage?

Das hängt ganz davon ab was für eine Art Internetseite Sie haben. Generell kann man in folgende bekannte Bereiche aufteilen:

  • Private Homepage (nicht öffentlich)
  • Private Website (öffentlich)
  • Geschäftliche Internetseite ohne Shop
  • Vereinswebseiten
  • Städte und Gemeinden
  • Online-Shop, Portale wie ab-in-den-urlaub.de und ähnliches

Natürlich gibt es noch weitere Arten von Homepages, aber die genannten decken weit möglichst alle Arten ab auf die wir heutzutage im Internet stoßen.

Verschiedene Webseiten

Private Homepage (nicht öffentlich)

Wenn Sie eine ausschließlich privat genutzte Internetseite haben die nicht für die Öffentlichkeit zugänglich ist, müssen Sie keine Gedanken machen, Sie müssen hier keinerlei Pflichten einhalten. Wichtig ist, dass Ihre Internetseite wirklich nicht ohne einen Passwortschutz oder ähnlichem für andere Menschen erreichbar ist.

Private Website (öffentlich)

Bei einer privaten Internetseite die für die Öffentlich erreichbar ist sieht das ganze schon ein bisschen anders aus. Sie müssen hier zwar kein Impressum angegeben, da dieses nur nötig ist, wenn Sie geschäftliche Interessen mit Ihrer Internetseite vertreten, aber: Sollten Sie auf Ihrer Internetseite Google-Analytics verwenden oder Google Fonts nutzen, müssen Sie eine Datenschutzerklärung haben. Auch wenn Sie ein Kontaktformular oder Gästebuch haben.

DSGVO und Google Analytics richtig einbinden

Bei Google-Analytics ist es durch die europäische Union so geregelt, dass Sie erstmal einen Auftragsdatenverarbeitungsvertrag mit Google benötigen. Diesen können Sie hier erhalten:
https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf

Bei der technischen Einbindung des Google Analytics Codes müssen Sie auch die IP-Anonymisierung beachten. Das heißt, jeder Nutzer im Internet hat seine eigene Adresse in der Form: 12.214.31.144 oder ähnlich. Durch die Anonymisierung dieser IP (Internet Adresse) wird dann daraus: 12.214.31.0! Somit ist eine eindeutige Erkennung nicht mehr gegeben. Hier können Sie nachlesen wie es geht: https://drschwenke.de/google-analytics-datenschutz-muster-faq/

Des Weiteren müssen Sie Ihren Besucher darüber in Kenntnis setzten, dass Sie die Homepage Besuche auswerten. Sie müssen Ihrem Besucher die Möglichkeit geben diesem zu widersprechen. Hier finden Sie eine gute Erklärung wie Sie dieses gezielt umsetzten können: https://www.metrika.de

DSGVO und Google Fonts abmahnsicher nutzen

Ja auch die Schriftarten welche von Google kommen können eine Rechtsverletzung darstellen. Weil hier ohne Kenntnis des Besuchers eine Verbindung zu Google hergestellt wird und dadurch die IP des Besuchers übertragen werden kann.

Um nun trotzdem nicht auf die Schriftarten von Google zu verzichten, können Sie diese direkt auf Ihrer Homepage einbinden. Hierfür gibt es ein schönes Tool. Den Google Webfonts Helper. Mit diesem können Sie ganz bequem Ihre Schriftart auswählen und herunterladen und haben gleichzeitig auch ein Beispiel dabei wie diese technisch einzubinden ist. http://google-webfonts-helper.herokuapp.com/fonts

Kontaktformular und Gästebuch darauf ist zu achten

Nutzen Sie ein Kontaktformular oder Gästebuch auf Ihrer Internetseite, dann gilt folgendes. Sie benötigen zunächst ein SSL-Zertifikat (Secure Socket Layer). Dieses Zertifikat ist eine technische Lösung, mit welcher Daten im Internet verschlüsselt übertragen werden können.

Beim Formular selbst, sollte ein Hinweis angebracht sein, dem der Besucher explizit zustimmen muss. Hier muss deutlich hervorgehen das die eingegebenen Daten des Besuchers übertragen werden und eventuell gespeichert werden.

So ein Datenschutz Hinweis könnte so formuliert sein:

Ich gebe hiermit die Einverständnis zur Verarbeitung meiner Daten gemäß Datenschutzerklärung.
Sie können die Speicherung Ihrer Daten jederzeit widerrufen indem Sie uns eine E-Mail an ihre@mail.de zukommen lassen.

Geschäftliche Internetseite kein Online Shop

Bein einer Firmenwebseite verhält es sich ganz anders und deckt sich zum Teil mit einer privaten öffentlichen Internetseite. Aber hier gelten nicht nur die DS-GVO, sondern auch das TMG (Telemediengesetz) und der RSTV (Rahmenstaatsvertrag). Hierzu kommen wir weiter unten beim Impressum.

Also kurz um, Sie nutzen Analyse-Tools? Sie haben ein Kontaktformular? Dann benötigen Sie neben dem Impressum bzw. der Anbieterkennzeichnung auch eine Datenschutzerklärung. Zur Umsetzung der Pflichten und Regelungen können Sie die gleichen Möglichkeiten nutzen wie auch bei einer öffentlichen privaten Homepage.

Zusätzlich benötigen Sie einen Cookie-Hinweis, aber nur wenn diese zu Analysezwecken und der gleichen genutzt werden. Cookies die rein zum technischen nutzen vorhanden sind, müssen nicht unbedingt genannt werden – hier gibt es noch keine direkte Richtlinie.

Google-Maps im Einsatz?

Nutzen Sie Google Maps auf Ihrer Internetseite um dem Besucher Ihren Standort zu zeigen? Hier müssen Sie auch daran denken, dass diese Daten von einem Dienst in den USA kommen.

Am besten binden Sie Google Maps auch in einem sogenannten Zwei-Klick Verfahren auf Ihrer Internetseite ein. Also zuerst muss der Nutzer zustimmen bevor er die Karte sehen kann. Oder Sie leiten Ihn über einen externen Link direkt auf die Seite https://maps.google.com mit Ihrem hinterlegten Standort.

DSGVO Newsletter? Aber richtig

Sie geben Ihren Besuchern die Möglichkeit einen Newsletter zu abonnieren? Dann sollten Sie hier auch einen Hinweis zum Datenschutz verwenden, welchem der Besucher zustimmen muss. Und das sogenannte Double-OptIn Verfahren muss verwendet werden.

Das bedeutet, wenn der Besucher seine Daten in die Newsletter Anmeldung einträgt und auf senden klickt, werden diese nur Temporär gespeichert. Der User bekommt dann eine E-Mail in der er auf die Anmeldung hingewiesen wird und diese E-Mail muss der Nutzer noch einmal explizit bestätigen. Erst dann wird die E-Mail-Adresse oder welchen Daten Sie abfragen fest gespeichert.

DSGVO Website ohne Kontaktformular

Wenn Ihre Homepage über kein Kontaktformular verfügt, heißt das nicht gleichzeitig das Sie sich nicht an die DS-GVO halten müssen. Hier zählen dann andere Punkte und Richtlinien.

Verwenden Sie Analyse-Tools? Binden Sie Software von Drittanbietern ein? Also Google-Dienste, Amazon-Dienste oder ähnliches? Binden Sie ein Buchungssystem ein? All diese Fragen sollten im Vorfeld geklärt sein da Sie dazu verpflichten sich an die DSGVO zu halten.

DSGVO Website ohne Cookies

Ihre Internetseite nutzt keine Cookies? Das ist ok, entbindet aber eben auch nicht von der Pflicht das andere technische Umsetzungen schon DSGVO-konform umgesetzt werden müssen.

Lassen Sie sich hier ausgiebig von Ihrer IT oder einem fachkundigen Dienstleister beraten. Sollten Fehler unterlaufen oder sollte es gar zu einer Abmahnung kommen, haften immer Sie als Unternehmer.

Vereinswebseiten

Die DSGVO gilt auch für Vereine. Neben den internen Regelungen gibt es auch die gleichen Bedingungen für den Internetauftritt des Vereins. Je nachdem was technisch genutzt wird oder über Formulare abgefragt wird. Vereine können sich also bei Ihrer Internetseite an den Vorgaben für eine geschäftliche Webseite orientieren auch wenn der Verein Gemeinnützig ist.

Städtewebseiten und Gemeindewebseiten

Bei den Internetseiten von Städten und Gemeinden kommt es darauf an welches Angebot auf deren Homepages zu finden ist. Im Allgemeinen kann man sagen, das hier ähnliche Pflichten vorliegen wie auch für Unternehmenswebseiten.

Jedoch kann es hier auch mehr ins Detail gehen bei den Angaben in der Datenschutzerklärung. Bieten die jeweiligen Webseiten die Möglichkeit zur Kontaktvermittlung – dann müssen Sie dieses auch nennen. Und zwar genau welche Daten, für welchen Zweck!

Online-Shop, Portale wie ab-in-den-urlaub.de und ähnliches

Bei dieser Gruppe von Anbietern nimmt es die Datenschutzgrundverordnung doch sehr genau. Hier werden mit unter Zahlungsinformationen wie Kontodaten, Kreditkarten und der gleichen abgefragt und gespeichert.

Nicht nur das Sie ebenfalls über eine gesicherte Verbindung (SSL) verfügen müssen. Nein, Sie benötigen auch ein Sicherungsverfahren sowie Schutztechniken damit diese Daten nicht einfach mal eben so geklaut werden können. Speziell bei der Webseite sollten hier also verschieden Sicherheits-Tools im Hintergrund laufen, die das abfangen dieser Daten erschwert.

Was Muss Ins Impressum

DSGVO: Was muss ins Impressum?

Aus Sicht der DS-GVO hat sich hier nicht wirklich etwas verändert. Welche Daten im Impressum genannt werden müssen hängt von der Art Ihres Unternehmens ab. Also sind die ein Einzelunternehmer müssen Sie weniger nennen als wenn Sie eine GmbH oder dergleichen führen.

Im Folgenden gehen wir hier auf die wesentlichsten Faktoren ein, welche im Impressum stehen müssen. Bei der Anbieterkennzeichnung verhält es sich so, dass diese Adresse / Person auch die gleiche sein muss, welche in der Datenschutzerklärung genannt wird.

  • Klare Kennzeichnung einer kommerziellen Nutzung
  • Name und Anschrift der Niederlassung sowie rechtliche Vertretung
  • Bei juristischen Personen die entsprechende Rechtsform
  • zuständige Aufsichtsbehörde
  • Entsprechende Registereinträge (Handelsregister, Vereinsregister, und weitere)
  • sofern der Online-Dienst zur Ausübung eines Berufes gehört: die gesetzliche Berufsbezeichnung, die jeweilige Berufskammer, Name der „berufsrechtlichen Regeln“ und wo diese eingesehen werden können
  • die Umsatzsteueridentifikationsnummer die Wirtschafts-Identifikationsnummer
  • Angaben über mögliche Aktiengesellschaften
  • Kontaktdaten – postalisch als auch elektronisch
  • Verantwortlichkeit für redaktionellen Inhalt nach §55 Abs. 2 RSTV mit Namen und Anschrift

Wie Sie sehen kann bereits ein falsches oder fehlendes Impressum zu einer Rechtsverletzung führen. Dies kann abgemahnt werden und zu unangenehmen Kosten führen.

DSGVO wo einbinden?

Die DSGVO muss nicht separrat zusätzlich zum Impressum und der Datenschutzerklärung eingebunden werden. Vielmehr müssen Sie Ihre Datenschutzerklärung entsprechend der DS-GVO überarbeiten und anpassen.

Hier gilt zum Beispiel die Speicherdauer von Newsletter-Abonnenten, oder Kundendaten bei einem Online-Shop. Sie müssen klar aussagen welche Daten, weshalb wie lange gespeichert werden.

Des Weiteren müssen Sie der betroffenen Person die Möglichkeit bieten, seine Daten ohne zusatzkosten Löschen zu können. Das so genannte Recht „vergessen zu werden“. Auch eine Auskunftsmöglichkeit müssen betroffene Personen jederzeit haben. Diese Auskunft ist unentgeltlich uns in schriftform zuzustellen.

DSGVO Wer Kann Helfen

DSGVO: Wer kann helfen?

Hier mach ich jetzt gern ein wenig Eigenwerbung. Wir, also das Team der CCS-Consulting sind fachkundige Datenschutzbeauftragte und können Ihnen bei der Umsetzung helfen. Nicht nur um die Rechte und Richtlinien auf Ihrer Internetseite richtig umzusetzen, sondern auch wenn Sie aus Sicht der DSGVO einen Datenschutzbeauftragten in Ihrem Unternehmen benötigen.

Wenn Sie nicht wissen ob Sie einen DSB benötigen, gilt hier die Regel: Wenn mindestens 9 Mitarbeiter (inklusive externe und Partner) kontinuierlich mit personenbezogenen Daten zu tun haben, dann brauchen Sie einen internen oder externen Datenschutzbeauftragten.

Aber auch hier gibt es eine Ausnahme: Wenn Sie mit sensiblen Daten zu tun haben wie zum Beispiel Religion, Politische Einstellung, Krankendaten und ähnlichem, dann benötigen Sie ohnehin einen Datenschutzbeauftragten, egal wie viel Mitarbeiter Sie beschäftigen.

Natürlich können Sie auch Anwälte oder andere Sachkundige Personen um Unterstützung fragen. Das liegt bei Ihnen.

Möchten Sie unsere Beratung in Anspruch nehmen? Scheuen Sie sich nicht uns direkt anzurufen unter +49 9497 941 585 oder nehmen Sie mit uns Kontakt auf: zum Kontaktformular

DSGVO Generator oder die DSGVO wie einbinden?

Um die Datenschutzgrundverordnung richtig auf der Webseite einzubinden gelten folgende Punkte:

  • Impressum muss von jeder Seite aus erreichbar sein
  • Datenschutzerklärung muss von jeder Seite aus erreichbar sein
  • Das Tracking über Analyse-Tools muss von jeder Seite aus abschaltbar sein

Hier haben wir noch eine kleine Auswahl von Datenschutzgeneratoren, allerdings können wir hier keine Haftung übernehmen.

 

Datenschutzgenerator von Dr. jur. Thomas Schwenke (Rechtsanwalt)

https://datenschutz-generator.de/

 

Generator von der deutschen Gesellschaft für Datenschutz

https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/

 

Der DSGVO Generator von erecht24

https://www.e-recht24.de/muster-datenschutzerklaerung.html

 

 

Torben
Autor: Torben MüllerE-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Chef-Entwickler
Torben Müller ist Social Media Manager und Entwickler.