Inhaltsverzeichnis:

Insidertipps zur Datenschutz-Grundverordnung – Datenschutzkonforme Webseiten erstellen

Insidertipps zur Datenschutz-Grundverordnung – Datenschutzkonforme Webseiten erstellen

Lesezeit: 20 Min | Autor: Mark Münch & Niklas Plutte

Am 25. Mai 2018 ist die Datenschutz-Grundverordnung in Kraft getreten. Das Thema Datenschutz hat schon in den Vorjahren eine große Rolle gespielt, aber spätestens seit der Einführung der DSGVO betrifft es auch all diejenigen, die sich vorher nicht so intensiv damit beschäftigt haben.

Größere Firmen stellen plötzlich Datenschutzbeauftragte ein, obwohl die schon nach dem BDSG von 1990 Pflicht waren, es wird auf die SSL-Verschlüsselung für Webseiten geachtet, welche ebenfalls vorher schon für viele verpflichtend war und die Speicherung von Kundendaten, beispielsweise bei Kontaktformularen, erfährt größtmögliche Transparenz und wird genauestens dokumentiert, dabei gilt die Dokumentationspflicht auch schon seit Jahren.

Es gibt zahlreiche Content Management Systeme auf dem Markt. Zu den bekanntesten gehören Joomla, Drupal, TYPO3 und das meistgenutzte CMS WordPress, welches auch wir vorwiegend für Kundenprojekte verwenden. Mehr als 50.000 sowohl kostenlose als auch kostenpflichtige Zusatzmodule ermöglichen individuelle Anpassungen. So schön das auch klingt: Leider entsprechen nicht alle angebotenen PlugIns den Vorgaben der DSGVO.

Eine umfangreiche Liste mit 240+ WordPress-Plugins im DSGVO-Check gibt es hier: https://www.blogmojo.de/wordpress-plugins-dsgvo/

Wir haben nachgefragt.

Interviewpartner Niklas Plutte

Wir haben ein Interview mit Niklas Plutte geführt, um zu sehen, was die DSGVO für Webseitenbetreiber bedeutet und was wir noch verbessern können. Niklas Plutte ist Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz mit Sitz in Mainz. Er berät seit über zehn Jahren Unternehmen zum Onlinerecht einschließlich Datenschutz.

To begin with the beginning …

omt logo
Hinweis: Dieser Artikel dient nur zur Information und stellt keine Rechtsberatung dar

Sämtliche Informationen in unserem Artikel dienen lediglich zu Informationszwecken. Sie stellen keine Rechtsberatung dar. Sie können insbesondere keine individuelle rechtliche Beratung ersetzen, welche die Besonderheiten des Einzelfalles berücksichtigt.

Für Richtigkeit, Aktualität und Vollständigkeit der Informationen in unserem Artikel können wir keine Gewähr übernehmen. Dies gilt insbesondere bei Änderungen von Rechtsvorschriften oder Rechtsprechung.

Soweit wir über Fälle, insbesondere Gerichtsentscheidungen berichten, darf aus deren Ergebnissen nicht auf einen notwendigerweise ähnlichen Ausgang in anderen Fällen geschlossen werden.

Wir bemühen uns, alle in unserem Artikel bereitgestellten Informationen mit Sorgfalt auszuwählen und bei Bedarf zu ergänzen oder zu aktualisieren.

Wir behalten uns vor, ohne vorherige Ankündigung und nach freiem Ermessen Informationen in unserem Artikel ganz oder teilweise zu ändern, zu aktualisieren, zu ergänzen oder zu löschen.Im folgenden möchten wir näher erläutern, wo genau Probleme bestehen und inwieweit die zahlreichen Informationen helfen, die im Buchhandel und Internet zu finden sind. Außerdem geben wir Insidertipps (keine Rechtsberatung), die auf unseren Erfahrungen mit der Berücksichtigung der Datenschutzkonformität beruhen.

1. Das Wichtigste vorweg: Die Verschlüsselung der Webseite

Bedeutend für DSGVO-Konformität ist die Verschlüsselung der Daten, die zwischen dem Computer des Nutzers und dem Server transportiert werden. Bei jeder Webseite, auf der eine Abfrage persönlicher Daten erfolgt, sollte der Datenverkehr verschlüsselt sein. Ob von den Nutzern nun die vollständige Adresse im Rahmen einer Bestellung abgefragt wird oder lediglich die E-Mail-Adresse für eine Newsletter-Anmeldung, spielt keine Rolle.

HTTP gehört der Vergangenheit an – HTTPS wird nicht nur vom Datenschutz gefordert, sondern kann auch zu einem besseren Ranking der Webseite in den SERPs führen.

Ein SSL-Zertifikat ermöglicht die sichere Verbindung von einem Webserver zu einem Browser.

Tipps (keine Rechtsberatung)

I. Oft nicht beachtet: Sub-Domains, z.B. für Landing-Page Projekte

SSL-Verschlüsselung sollte nicht nur auf der Startseite vorhanden sein, sondern auch auf allen Unterseiten und Sub-Domains. Es empfiehlt sich, eine Umleitung (301) aller Dokumente von http:// auf https:// einzurichten. Nur so ist sichergestellt, dass auch Besucher, die über alte Verlinkungen kommen, verschlüsselte Auslieferungen erhalten.

omt logo

Beispiel via .htaccess

RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteRule ^(.*) https://www.%{SERVER_NAME}%{REQUEST_URI} [L,R=301]
RewriteCond %{HTTPS} off
RewriteRule ^(.*) https://%{SERVER_NAME}%{REQUEST_URI} [L,R=301]

Was ist eine .htaccess?
https://www.askapache.com/htaccess/#What_Is_htaccess

Prüfen Sie, ob jede Webseite ein SSL-Zertifikat besitzt. Es gibt unterschiedliche SSL-Zertifikate. Achten Sie auf die Zertifikatsart. Single, Wildcard (Hauptdomain + Subdomains) oder Multidomain.  Bei einigen Webhostern können Sie ein kostenloses Zertifikat von “Let’s Encrypt” (https://letsencrypt.org/) beziehen.

II. Content-Inhalte z.B. Grafikelemente / Bilder per HTTP im Quellcode.

Sind Inhalte manuell über absolute URL-Pfade (http://www.) im Quellcode eingebunden, wird die betroffene Webseite als unsicher eingestuft. Unsichere Elemente sind oftmals Bilder oder Grafiken sowie gelegentlich ohne HTTPS eingebundene JavaScript-Codes.

Leicht zu übersehen sind Elemente, die nachträglich von Skripten hinzugefügt werden. Auch wenn das Ausgangsskript eines externen Anbieters per https:// eingebunden wird, können Folgeelemente die Einstufung als “sicher” wieder verhindern.

Sie können eine HTTPS-Verbindung auf Ihrer Website erzwingen, indem Sie Regeln in der .htaccess-Datei Ihrer Website hinzufügen lassen:

omt logo

Ein weiteres Beispiel:
RewriteEngine On
RewriteCond %{HTTP_HOST} ^example\.com [NC]
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Ein weiteres Beispiel:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE]

Ein weiteres Beispiel:

RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L]

Was ist Apache mod_ssl?
https://httpd.apache.org/docs/2.4/mod/mod_ssl.html

Wir haben nachgefragt.Interviewpartner Niklas Plutte
Fragen zur SSL-Verschlüsselung von Webseiten

Was ist TLS und SSL?

Das TLS-Protokoll (Transport Layer Security) ist ein Sicherheitsprotokoll auf Basis von SSL. Das SSL-Protokoll (Secure Sockets Layer) ist ein Verschlüsselungsprotokoll zur sicheren Datenübermittlung.

Ist ein SSL-Schutz nach der DSGVO nun Pflicht?

Zunächst muss man unterscheiden, ob über eine Internetseite personenbezogene Daten verarbeitet werden oder nicht. Mit “Internetseite” meine ich nicht die Website bzw. Internetpräsenz als Ganzes, sondern jede einzelne Webseite der Internetpräsenz. Werden über die Internetseite keine personenbezogenen Daten verarbeitet, besteht aus meiner Sicht keine Pflicht, den Datenverkehr zu verschlüsseln. Findet eine solche Verarbeitung statt, bin ich der Auffassung, dass zwingend verschlüsselt werden muss.

In der Datenschutzgrundverordnung regelt Art. 25 DSGVO, dass der Websitebetreiber zur Vermeidung von Datenschutzverletzungen bei der Verarbeitung von personenbezogenen Daten technische und organisatorische Maßnahmen treffen muss unter

„[…] Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen […]“

Aktuell gibt es keine explizite Regelung im Gesetz in Bezug auf den “Stand der Technik”, die eine SSL-Verschlüsselung bei der Verarbeitung personenbezogener Daten auf geschäftlichen Websites vorschreibt. Ich meine aber, dass sich dies im Ergebnis aus § 13 Abs. 7 Satz 1 Nr. 2 a) TMG, § 13 Abs. 7 Satz 2 und 3 TMG ergibt.

Ähnlich wie in Art. 25 DSGVO regelt auch § 13 Abs. 7 TMG, dass bei geschäftsmäßig betriebenen Internetseiten (soweit zumutbar) durch technische und organisatorische Vorkehrungen sichergestellt werden muss, dass sie nach dem Stand der Technik gegen Datenschutzverletzungen gesichert sind.

  • 13 Abs. 7 Satz 3 TMG geht sogar noch einen Schritt weiter und hält fest, dass „insbesondere“ die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens eine solche Schutzmaßnahme darstellt. Dies ist bei SSL-Verschlüsselung (bzw. der weniger gängigen Nachfolgebezeichnung „TLS“) der Fall.

Spätestens seit kostenfreie SSL-Zertifikate erhältlich sind (vgl. “Lets Encrypt”), ist die Einbindung von SSL-Verschlüsselung auch zumutbar für den Betreiber der Website.

Der Vollständigkeit weise ich darauf hin, dass zu diesem Themenkomplex auch andere fraglich ist, a) ob § 13 TMG durch die DSGVO verdrängt wird, was die sog. Datenschutzkonferenz in einem Positionspapier vertritt und b) jedenfalls Art. 32 DSGVO bei Kontaktformularen nicht zwingend eine Datenverschlüsselung fordert.

Sehr umstritten ist, ob DSGVO-Verstöße wie eine fehlende SSL-Verschlüsselung von Konkurrenten bzw. Abmahnvereinen unter Geltung der DSGVO abgemahnt werden kann (bejaht vom Landgericht Würzburg).

2. Cookies

Nahezu jede Webseite nutzt Cookies, um dem Nutzer das Surfen zu erleichtern. Seit der Einführung der DSGVO sieht man das Cookie-Banner auf nahezu jeder Seite direkt beim ersten Aufruf. Einige dieser Banner lassen sich einfach wegklicken, bei anderen muss man auf „okay“ klicken und in wenigen Fällen kann man der Nutzung von Cookies widersprechen. Nun stellen Cookies aber Online-Kennungen im Sinne der DSGVO und damit personenbezogene Daten dar. Um sie verarbeiten zu dürfen, bedarf es einer Erlaubnisgrundlage. Dafür kommt nur eine Einwilligung des Besuchers oder das neu in die DSGVO integrierte “berechtigte Interesse” des Websitebetreibers in Betracht. Inwieweit die ePrivacy-Verordnung die Rechtslage noch einmal auf den Kopf stellen wird, ist gegenwärtig offen.

Wir haben nachgefragt. – Interviewpartner Niklas Plutte

Entscheidend ist bei Cookies m.E., zu welchem Zweck sie eingesetzt werden. Während temporäre Cookies (z.B. Session-Cookies) oft zwingend gebraucht werden, um ein technisches Ergebnis erzielen zu können (ohne Session-Cookies funktionieren viele Shopsysteme nicht), gilt das nicht für Cookies, die das Surfverhalten des Besuchers tracken (ggf. sogar Cross-Device) oder personalisierte Werbung ausspielen.

Für temporäre, technisch zwingend benötigte Cookies braucht man keine Einwilligung des Nutzers, da deren Nutzung über das berechtigte Interesse des Websitebetreibers legitimiert wird. Bei “nicht nötigen” Cookies (siehe oben) sieht es anders aus. Hier besteht der sicherste Weg m.E. darin, dem Besucher bei erstmaligem Besuch der Website ein Popup mit Erläuterungen zu den Cookies anzuzeigen und seine Einwilligung einzuholen. Die Nutzung der Website muss auch dann möglich sein, wenn der Besucher keine Einwilligung erteilt. Im Detail ist hier vieles noch ungeklärt, z.B. die Frage, ob man im Popup vorangeklickte Häkchen verwenden darf. Nach bisheriger Ansicht zu E-Mailwerbung erteilt der User durch eine voraktivierte Checkbox keine wirksame Einwilligung.

Eine weitere Kernfrage ist, ob es sich um First-Party-Cookies oder Third-Party-Cookies handelt. Als Faustregel gilt, dass First-Party-Cookies weniger kritisch behandelt werden als Third-Party-Cookies.

Tipps (keine Rechtsberatung)

III. Vorsicht bei der Verwendung (Cookie-Banner)

Sie sollten bei der Verwendung von Cookie-Banner Lösungen darauf achten, dass sie nicht die Links zur Datenschutzerklärung und Impressum verdecken.

IV. Cookie-Banner Lösung Opt-out-Funktion

Eine Opt-out-Meldung informiert die Besucher darüber, dass Cookies verwendet werden, und lässt ihnen die Wahl, ob sie die Cookies deaktivieren möchten oder nicht. Wenn sie sich entscheiden, können sie ihre Meinung auf einem kleinen Reiter (siehe Link) nachträglich ändern.

Link zur Demo: https://cookieconsent.insites.com/app/themes/insites-cookie-consent/examples/example-4-opt-out.html

V. Cookie-Banner Lösung Opt-in-Funktion

In einer Opt-in-Meldung werden die Benutzer um die Erlaubnis zur Verwendung von Cookies gebeten. Sofern nicht anders angegeben, werden keine Cookies eingesetzt. Ein kleiner Tab erlaubt es ihnen, ihre Meinung nachträglich zu ändern.

Wir haben nachgefragt. – Interviewpartner Niklas Plutte
Fragen zur Verwendung von Cookies

Die Rechtsgrundlagen für das Verwenden von Cookies müssen laut DSGVO in der eigenen Datenschutzerklärung stehen. Ebenso muss der Nutzer in dieser darauf hingewiesen werden, wie er das Setzen von Cookies verhindern kann. Außerdem muss eine Möglichkeit zum nachträglichen Widerspruch bestehen.

Benötigen Betreiber von Webseiten und Online-Händler ein Cookie-Banner?

Diese Frage ist sehr umstritten. Ein Beitrag der Kollegen der IT Recht Kanzlei stellt die Thematik anschaulich dar und gibt praktische Tipps zu Lösungsmöglichkeiten.

3. Statistik-Tool

Nutzen Sie auch Google Analytics? Das PlugIn ist schnell in WordPress eingebunden, für die DSGVO-Konformität muss aber einiges beachtet werden. Beim Analysieren von Besucherzahlen und dem Nutzungsverhalten werden IP-Adressen gespeichert und an Google übermittelt. Daher ist das Aktivieren der IP-Anonymisierung Pflicht.

Neben dem Abschluss eines Vertrags zur Auftragsverarbeitung mit Google muss in der Datenschutzerklärung der Webseite auf den Einsatz des Dienstes hingewiesen werden. Außerdem ist eine Opt-out-Funktion notwendig, mit der Websitebesucher widersprechen können, weiterhin getrackt zu werden.

Google stellt hierfür eine fertige Lösung bereit. https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable

Damit die Daten nicht länger als nötig in Google Analytics gespeichert werden, kann direkt in dem Tool die Speicherdauer eingeschränkt werden.

Tipps (keine Rechtsberatung)

VI. IP-Adresse anonymisieren (Google Analytics / Google Tag Manager)

Um Google Analytics datenschutzkonform zu verwenden, sollten Sie dafür sorgen, dass die IP-Adresse der Nutzer nicht mit übergeben wird. Alternativ kann der Tracking Code auch über den Google Tag Manager als ein Festzulegendes Feld “anonymizep” mit dem Wert “true” eingebunden werden.

omt logo
gtag(‚config‘, ‚UA-xxxxxxxx-x‘, { ‚anonymize_ip‘: true } );

VII. Pflicht zum Abschluss des Vertrags über die Auftragsverarbeitung

omt logo

Die Zustimmung für den Zusatz zur Datenverarbeitung bei Google Analytics finden Sie im Account unter:

Verwaltung >> Kontoeinstellungen >> Zusatz zur Datenverarbeitung

Wir haben nachgefragt. – Interviewpartner Niklas Plutte
Fragen zur Verwendung von Analyse-Tools und Tools von Drittanbietern

(Erklärung, zu anonymize-IP, außerdem wie man die Widerspruchsmöglichkeit (Opt-out) integriert und wie man die Speicherdauer von Daten einschränkt)

Einwilligung oder berechtigtes Interesse bei Cookies & Tracking?

Diese Frage lässt sich nicht pauschal, sondern nur anhand des jeweiligen Trackingtools (und der gewählten Konfiguration) bzw. dem jeweiligen Cookie beantworten. Die Wahrheit ist, dass es im Moment niemand genau weiß. Verschiedene Juristen als auch Gremien wie die Datenschutzkonferenz haben sich positioniert. Es handelt sich im Ergebnis aber nur um Meinungen, keine verbindlichen Regelungen.

Meiner Ansicht nach (und auch das ist nur eine Meinung) wird es bei der Frage, ob ein Cookie bzw. Trackingtool erlaubterweise eingesetzt werden darf entscheidend darauf ankommen, ob Betroffene die jeweilige Verarbeitung ihrer personenbezogenen Daten erwarten bzw. als üblich empfinden. Wenn das der Fall ist, kann die Verarbeitung über das berechtigte Interesse legitimiert werden, ohne dass es einer Einwilligung des Betroffenen bedarf.

Beispiel: Die Einbindung von Google Analytics, bei der nur pseudonyme IP-Adressen gespeichert und an Google übermittelt werden, ist m.E. klar vom berechtigten Interesse des Websitebetreibers gedeckt. Ohne Pseudonymisierung wäre eine Erfassung und Weitergabe der IP-Adressen dagegen nur mit vorheriger Einwilligung jedes einzelnen Websitebesuchers erlaubt.

Was bedeutet das Widerspruchsrecht von Betroffenen?

Im Kern bedeutet das Widerspruchsrecht, dass ein Betroffener die Verarbeitung seiner personenbezogenen Daten unter den in Art. 21 DSGVO geregelten Voraussetzungen untersagen kann, allerdings nur mit Wirkung für die Zukunft, nicht rückwirkend.

Faktisch relevant ist das Widerspruchsrecht im hiesigen Kontext bei Datenverarbeitungen, die auf Basis des berechtigten Interesses erfolgen (Art. 21 Abs. 1 DSGVO, Art. 6 Abs. 1 f) DSGVO). Hatte der Betroffene stattdessen seine Einwilligung erteilt, kann er diese jederzeit widerrufen.

4. Vorsicht bei Kontaktformularen: Das sollte beachtet werden

Es kommt nicht nur darauf an, dass die Daten der Nutzer verschlüsselt werden. Es ist auch wichtig, nur die jeweils benötigten Daten abzufragen. Es gibt Eingabefelder und Formulare für zahlreiche Zwecke, zum Beispiel:

Kommentarfunktion, Newsletter-Anmeldung, Anfordern von Info-Material per E-Mail oder per Post, Terminvereinbarungen oder Shop-Bestellungen.

Möchte der Nutzer Ware nach Hause geschickt bekommen, ist die Abfrage des vollen Namens sowie der Adresse legitim. Auch die Abfrage der E-Mail-Adresse ist hier rechtens, wenn darauf hingewiesen wird, dass Bestellbestätigung und Rechnung auf dem elektronischen Weg versandt werden. Will der Nutzer aber lediglich einen Newsletter bestellen, darf bei der Anmeldung auch nur die E-Mail-Adresse abgefragt werden, denn mehr wird für die Zusendung nicht benötigt. Für Daten – wie den Vornamen oder Nachnamen – können dann zwar ebenfalls Eingabefelder vorhanden sein. Hier sollte jedoch erkennbar sein, dass die Eingabe freiwillig ist, während Pflichtfelder zu kennzeichnen sind. Der Nutzer hat außerdem das Recht zu erfahren, warum er diese Daten eingibt und wofür diese verwendet werden. Hierfür kann das Formular mit einem Hinweis versehen werden.

Beispiel:

…Wir erheben Ihre Daten zum Zweck der Durchführung Ihrer Kontaktanfrage. Die Datenverarbeitung beruht auf Artikel 6 Abs. 1 f) DSGVO. Unser berechtigtes Interesse ist, Ihre Anfrage zu beantworten. Eine Weitergabe der Daten an Dritte findet nicht statt. Die Daten werden gelöscht, sobald sie für den Zweck ihrer Verarbeitung nicht mehr erforderlich sind. Sie haben das Recht, der Verwendung Ihrer Daten zum Zweck der Kontaktaufnahme jederzeit zu widersprechen...

Tipp (keine Rechtsberatung)

VIII. Hinweise zur Erhebung von Daten

Stimmt der Nutzer beispielsweise der Speicherung seiner Daten für die Zusendung einer Bestellung zu, gilt diese Einwilligung auch nur für genau diesen Zweck. Selbst wenn er seine E-Mail-Adresse für den Empfang der Rechnung angegeben hat, darf man diese nicht für den Newsletter-Versand nutzen. Dafür benötigt man eine separate Einwilligung.

5. Der korrekte Newsletterversand

Ein Nutzer besucht Ihre Webseite und trägt seine E-Mail-Adresse für das Abonnieren Ihres Newsletters ein. Woher wissen Sie, dass es sich dabei wirklich um seine Adresse handelt? Der Nutzer könnte schließlich die Adresse eines Freundes oder Kollegen eingegeben haben. Dann hätten Sie keine korrekte Einwilligung. Auf der sicheren Seite sind Sie nur mittels Double-Opt-in: An die angegebene Adresse wird automatisiert eine Mail mit einem personalisierten Link zur Bestätigung der Newsletteranmeldung versandt. Erst wenn der Inhaber des Postfachs diesen personalisierten Link anklickt, wird die E-Mail-Adresse dem Newsletterverteiler hinzugefügt.

Wie bereits oben erwähnt, muss der Nutzer darüber aufgeklärt werden, warum und wofür er seine Daten preisgibt. Speziell für Newsletter bedeutet das, im Anmeldeformular genaue Angaben darüber zu machen, welche Inhalte der Newsletter hat, beispielsweise Informationen über neue Produkte, Gewinnspiele oder Hinweise auf Rabattaktionen. Außerdem muss unbedingt auf das Widerrufsrecht hingewiesen werden. (https://dsgvo-gesetz.de/art-21-dsgvo/)

Es gibt WordPress-PlugIns für die Newsletter-Generierung, beispielsweise Mailchimp. Diese sind aber nur eingeschränkt DSGVO-konform. Neben dem Double-Opt-in Verfahren ist außerdem ein Passus in der Datenschutzerklärung sowie ein Vertrag zur Auftragsdatenverarbeitung mit dem jeweiligen Dienstleister notwendig.

Wenn Sie Ihren Newsletter auswerten wollen, also zum Beispiel die Öffnungsrate ermitteln und analysieren, die Klickrate verfolgen oder die Bouncerate beobachten möchten, müssen Sie dies in der Datenschutzerklärung erwähnen und auch begründen.

Ausführliche Informationen zu rechtskonformer E-Mailwerbung finden Sie im Blog der Kanzlei Plutte.

6. Das Problem mit Social-Media-PlugIns und Videos

Like-Buttons, eingebundene YouTube-Videos und die Möglichkeit, Inhalte in einem sozialen Netzwerk zu teilen, sind datenschutzrechtlich problematisch. Social Media Buttons sammeln nahezu unbemerkt Nutzerdaten und senden diese an das jeweilige soziale Netzwerk, was aus den Daten Persönlichkeitsprofile erstellt. Bei der Einbettung von YouTube-Videos werden sogar schon Daten übermittelt, ohne dass der Nutzer das Video angeklickt hat.

Tipp (keine Rechtsberatung)

IX. Einbettung von YouTube-Videos

Um diese Funktionen auf der eigenen Webseite nutzen zu können, ist bei YouTube die Möglichkeit gegeben, den „erweiterten Datenschutzmodus“ zu verwenden.

X. Hinweise zu Social Media Plugins

Für Facebook und Co. geht das nicht so einfach. Hier kann aber beispielsweise die Open Source Komponente „Shariff“ in den Quelltext eingebunden werden.

7. Verträge zur Auftragsverarbeitung auch mit dem Webhoster

Verträge zur Auftragsverarbeitung sollten nicht nur für Google Analytics und Programme wie Mailchimp geschlossen werden, sondern auch direkt mit dem Webhoster, zumindest wenn dieser beispielsweise durch E-Mail-Verwaltung personenbezogene Daten erhebt.

Wir haben nachgefragt. – Interviewpartner Niklas Plutte
Fragen zur Auftragsdatenverarbeitung

Was bedeutet Auftragsverarbeitung?

Mit Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages gemeint (sog. Auftragsverarbeitungsvertrag oder kurz “ADV”).

Die inhaltlichen Mindestanforderungen von Auftragsverarbeitungsverträgen finden sich in Art. 28 Abs. 3 DSGVO. Dazu gehört unter anderem die Angabe, welche Art von personenbezogenen Daten verarbeitet werden, was Gegenstand und Zweck der Verarbeitung sind usw.

Beispiele für Auftragsverarbeiter: Externes Rechenzentrum, Cloud-Dienstleister, externe Webagentur, die u.a. auch mit Webanalyse betraut wurde.

XI. IP-Speicherung durch Webhoster

Aus Datenschutzgründen sollten IP-Adressen in Logfiles von Beginn an nur anonymisiert gespeichert werden. Die Einstellungen können Sie oft direkt beim Webhoster einsehen und prüfen. Auch dort empfiehlt es sich, mindestens Teilanonymisierung zu aktivieren.

8. Datenschutzerklärung

Mit Wirksamwerden der DSGVO entstand die Pflicht für jeden Betreiber einer Business-Website, eine vollständig überarbeitete, neue Datenschutzerklärung in seine Internetpräsenzen einzubinden. Alte Datenschutzerklärungen, die unter Geltung des BDSG erstellt wurden, waren von einem auf den anderen Tag veraltet.

Wie in diesem Artikel schon an vielen Stellen erwähnt, sollten sämtliche auf der Webseite eingesetzten Webdienste in der Datenschutzerklärung aufgeführt werden, wenn diese personenbezogene Daten verarbeiten. Je nach Art des Webdienstes kann es nötig sein, zusätzlich eine technisch funktionierende Opt-Out Lösung einzubauen (vgl. Google Analytics).

Für WordPress gibt es eine Vielzahl an PlugIns. Ein großer Teil dieser PlugIns verarbeitet personenbezogene Daten und sollte daher geprüft und bei Verwendung explizit in der Datenschutzerklärung genannt werden.

Wir haben nachgefragt. – Interviewpartner Niklas Plutte
Fragen zur Datenschutzerklärung

Was empfehlen Sie für eine DSGVO-konforme Datenschutzerklärung?

Viele Fragen im Zusammenhang mit der genauen inhaltlichen Fassung von Datenschutzerklärungen sind mangels Urteilen noch offen. Wahrscheinlich ist, dass die einzelnen Formulierungen noch häufig angepasst werden müssen.

Um Websitebetreiber die Last abzunehmen, sich stetig datenschutzrechtlich auf dem Laufenden halten zu müssen, habe ich mit einem weiteren Rechtsanwalt avalex gegründet. Wir bieten sich automatisch an die aktuelle Rechtslage anpassende rechtssichere Datenschutzerklärungen an – sogar mit Abmahnkostenschutz. Von uns erhalten Sie keine E-Mails mit aktualisierten Texten. Anpassungen jeder ganz individuellen avalex Datenschutzerklärung erfolgen automatisch, da sie per PlugIn installiert werden (z.B. für WordPress oder TYPO3). Nach der Installation halten wir den Datenschutzerklärungen via Internet aktuell.

Wie finde ich heraus, welche Webdienste auf meiner Internetseite aktiv sind?

Auch hier helfen wir mit avalex weiter. Nutzen Sie den kostenlosen URL-Scanner auf unserer Startseite. Nach wenigen Sekunden erfahren Sie, welche Webdienste wir auf der gescannten Webseite ermitteln konnten. Eine vollständige Liste der von uns unterstützten Webdienste können Sie hier einsehen. Antworten auf häufige Fragen finden Sie in unseren FAQ.

9. Consent Management

Wer auf seinen Seiten Werbung Dritter ausliefert oder personenbezogene Daten erhebt, die zum Ausspielen von Onlinewerbung (bspw. Retargeting) verwendet werden sollen, wird dazu – je nach Auslegung der aktuellen Rechtslage – die Zustimmung des Nutzers benötigen. Die Einwilligung des Nutzers muss für spätere Besuche gespeichert und dokumentiert werden. Diese Aufgabe übernehmen Consent Management Systeme.

IAB Europe Transparency & Consent Framework

Das Interactive Advertising Bureau (IAB) ist eine Dachorganisation der Onlinewerbebranche – mit prominenten Mitgliedern wie Google, Amazon, Facebook und Twitter – und definiert Standards für Onlinewerbung.

Das IAB hat in Vorbereitung auf die DSGVO das „IAB Europe Transparency & Consent Framework“ entwickelt, das einen Standard für die Realisierung des Einholens, Speicherns, und der Verwaltung von Benutzereinwilligungen setzt. Insbesondere wird die Kommunikation zwischen Nutzern, Publishern, Werbetreibenden und Technologieanbietern definiert.

Consent Management Systeme

Es gibt diverse Anbieter, die einsatzfähige Consent Management System auf Basis des IAB Frameworks entwickelt haben:

Cookiebot – https://www.cookiebot.com/de

Quantcast – https://www.quantcast.com/de/dsgvo/consent-management-loesung/

Consen Management Provider – https://www.consentmanager.de/

OIL (Axel Springer) – https://www.oiljs.org/

Traffective – https://traffective.com/cmp/

Usercentrics – https://usercentrics.com/

Eine vollständige Liste der Consent Management Plattformen (CMP) gibt es direkt beim IAB. https://advertisingconsent.eu/cmp-list/

10. Haftungsausschluss

Die Inhalte dieses Artikels haben wir sorgfältig recherchiert und formuliert. Er dient als Übersicht und zur grundlegenden Information. Wir übernehmen jedoch keine Haftung für die Richtigkeit und die Vollständigkeit. Insbesondere kann dieser Artikel keine Rechtsberatung im Einzelfall ersetzen und will dies auch nicht. In Zweifelsfällen und zu konkreten Einzelfragen bitten wir Sie daher, sich an einen Rechtsanwalt Ihres Vertrauens zu wenden.

Mehr zum Online Marketing ist auf unserer Themenwelt zu finden!