Die neue EU-DSGVO: Zusammenfassung für Webseitenbetreiber

Bedeutung des Datenschutzes

Erst kürzlich ging wieder folgende Thematik durch die nationale Presse: „Cyberattacke: Angriff auf Netz der Bundesregierung“. Dass selbst ein vermeintlich bestens gesichertes System, wie das der Bundesregierung, gehackt werden kann zeigt, dass alle übermittelten Daten im digitalen Glashaus des Internets nach bestem Wissen und Gewissen geschützt werden sollten. Umso sensibler sollten auch Sie mit dem Thema Datensicherheit im Hinblick auf Ihre eigene Webseite umgehen. Denn zu Zeiten der fortlaufenden Digitalisierung stellt sich auch immer häufiger die Frage nach hinreichender Datensicherheit und der digitalen Verschlüsselung von Online-Datenströmen. Und das Jahr 2018 liefert in diesem Zusammenhang gleich mehrere Neuerungen.

Im Zentrum steht dabei die neue Datenschutz-Grundverordnung, die ab dem 25. Mai 2018 übergangslos in ganz Europa gilt und bereits schon jetzt vielen Webseiten-Betreibern Kopfzerbrechen bereitet. Denn zu Lesen ist von Bußgeld-Zahlungen in Höhe von bis zu 20 Millionen Euro bei Nicht-Einhalten und drastischen Anpassungs-Maßnahmen. Doch wer sich früh genug vorbereitet und mit elfgenpick eine erfahrene und kompetente Agentur auf seiner Seite hat, kann sich im Mai ganz entspannt zurück lehnen. Hier kommt deshalb eine übersichtliche Zusammenfassung über alles, was Sie über die neue EU-DSGVO im Bezug auf Inhalte im Internet wissen müssen.

 

Die neue DSGVO im Kurzüberblick

Wann: Gültig ab dem 25. Mai 2018

Wo: In der gesamten Europäischen Union

Worum geht es: Schutz personenbezogener Daten = alle Angaben, die sich einer bestimmten natürlichen Person zuordnen lassen und sie dadurch identifizieren oder (auch indirekt) identifizierbar machen (z.B. durch Name, Geburtsdatum, Kontaktdaten, Online-Kennungen wie z.B. IP-Adressen); verschärfter Schutz von besonders sensiblen personenbezogenen Daten, wie Angaben zu: rassischer und ethnischer Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und Sexualität.

 

Was zu dem alten BDSG neu dazu kommt

Die Datenverarbeitung muss immer rechtmäßig, zweckgebunden und minimalistisch erfolgen. Das bedeutet:

a) Rechtmäßig: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, außer es liegt eine ausdrückliche Erlaubnis vor. Diese Erlaubnis kann entweder in Form einer gesetzlichen Regelung, eines berechtigten Interesses des Verantwortlichen (solange die schutzwürdigen Interessen des Betroffenen nicht überwogen werden), oder im Rahmen einer ausdrücklichen Einwilligung des Betroffenen gegeben sein.

b) Zweckgebunden: Das Sammeln von Daten muss einer validen Begründung zugrunde liegen. Grundsätzlich dürfen Daten nur zu dem Zweck verarbeitet werden, zu dem sie auch erhoben worden sind.

c) Minimalistisch: Es sollen nur so viele Daten gesammelt werden, wie für den eigentlichen Zweck auch tatsächlich notwendig sind.

Einwilligung des Betroffenen

Der Betroffene muss vorher ausreichend informiert werden und die Einwilligung ohne Zwang abgeben. Die Einwilligung muss dabei eindeutig und auf konkrete Fälle bezogen sein sowie in einer möglichst einfachen Sprache geschrieben sein. Überprüfen Sie also Ihre Datenschutzerklärung auf Verständlichkeit und falls Ihre Webseite in mehreren Sprachen verfügbar ist, achten Sie darauf, dass auch die Datenschutzerklärung entsprechend übersetzt ist. Denn eine einheitliche Datenschutzerklärung auf Deutsch reicht im Fall der gesetzlichen Neuerungen nicht mehr aus.

Bei Minderjährigen (unter 16 Jahre alt) muss die Einwilligung von ihren Erziehungsberechtigten abgegeben werden, bzw. dieser muss der Einwilligung des Minderjährigen zugestimmt haben. Falls Sie also eine Webseite betreiben, die sich an Jugendliche richtet und mit deren personenbezogenen Daten arbeitet, sollten Sie besondere Maßnahmen einsetzen, um auch die Erziehungsberechtigten hinreichend zu informieren und ihre Einwilligung einzuholen.

Obwohl das Gesetz keine bestimmte Form der Einwilligung vorgibt, muss diese im Zweifel eindeutig nachgewiesen werden. Mit der neuen DSGVO liegt die Beweispflicht auf Seiten des Unternehmens. So müssen alle erhobenen Daten auch danach archiviert werden, wie sie erhoben worden sind. Im Falle einer Anklage sollten schriftliche Dokumente oder auch Mitarbeiter als Zeugen angeführt werden. Da Zeugenaussagen als Beweis nicht absolut zuverlässig sind, wird die schriftliche Dokumentation aller Arbeitsprozessen, die personenbezogene Daten nutzen, empfohlen.

Recht auf Löschung

Des Weiteren haben Betroffene das Recht auf Löschung: Wenn die personenbezogenen Daten für den verfolgten Zweck nicht mehr notwendig sind, oder falls der Verdacht aufkommt, dass Daten unrechtmäßig behandelt werden, hat der Betroffene das Recht, dass diese gelöscht werden – samt allen Kopien oder Replikationen.

Recht auf Datenportabilität

Der Betroffene hat auch das Recht auf Datenportabilität: Es sollte somit dem Anbieter möglich sein, alle personenbezogenen Daten auf Verlangen in einem strukturierten, gängingen und computerlesbaren Format dem Betroffenen zur Verfügung zu stellen oder an Dritten weiterzugeben, falls der Betroffene dies verlangt.

Datenschutzbeauftragter

Unternehmen und Institutionen, die eine oder mehrere der folgenden Bedingungen erfüllen, sind verpflichtet einen internen oder externen Datenschutzbeauftragten zu ernennen:

  • Jede öffentliche Stelle, die personenbezogenen Daten verarbeitet
  • Wenn die zentralen Tätigkeiten des Verantwortlichen oder des Datenverarbeiters aus Handlungen bestehen, die aufgrund ihrer Art, ihres Umfangs oder Zwecks eine regelmäßige und systematische Überwachung von Betroffenen erfordert
  • Wenn im großen Umfang besondere Arten von Daten oder Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden

Der Datenschutzbeauftragter muss dabei unabhängig sein. Es gilt also bei einer internen Ernennung: Die Stelle dürfen keine Personen ausführen, die in der Geschäftsleitung sitzen bzw. in der Personal- oder IT-Abteilung führende Positionen inne haben. Bei einem Verstoß gegen Regelungen der DSGVO haftet weiterhin allein die verarbeitende Stelle und nicht der Datenschutzbeauftragte.

Was Sie als Webseiten-Betreiber beachten müssen

Die DSGVO bringt für Webseiten-Betreiber und Online-Marketer bestimmte Eingrenzungen mit sich. Doch das bedeutet nicht, dass Sie ganz auf Online Marketing verzichten müssen. Wir verraten Ihnen wie Sie auch weiterhin datenschutzkonform mit Google Analytics Daten sammeln, Newsletter verschicken oder YouTube Videos einbetten können.

Direktmarketing

Mit in Kraft treten der DSGVO ändert sich nichts am UMW (Gesetz gegen den unlauteren Wettbewerb). Es gibt demnach keine Änderungen im wettbewerblichen Direktmarketing.

Der Versand von E-Mail Newsletters ist auch weiterhin erlaubt, solange sich die Empfänger mit einem Double-Opt-In Verfahren für den Newsletter angemeldet haben. Das bedeutet, dass sie dem Empfangen eines Newsletters zugestimmt haben, wenn sie in einem ersten Schritt ihre E-Mail Adresse in das Anmeldeformular eingegeben haben und dann in einem zweiten Schritt diese Anmeldung über einen per E-Mail verschickten Link bestätigt haben. Allerdings ist wichtig zu schauen, über welchen Anbieter man sein E-Mail Newsletter verschickt. Mehr darüber können Sie im unteren Abschnitt "Übertragung von Daten an Server außerhalb der EU" lesen.

Cookies und Cookies-Consent

Als Webseiten-Betreiber will man natürlich wissen, wie viele Besucher die Webseite zählt und welche Inhalte am besten bei ihnen ankommen. Dafür werden sogenannte „Cookies“ eingesetzt. Cookies sind Dateien, die bestimmte Nutzer-Dateien lokal im Web-Browser speichern. So kann sich ein Cookie zum Beispiel merken, welche Sprache derjenige bevorzugt und berücksichtigt diese Information beim nächsten Besuch der Webseite.

Die Besucher müssen allerdings darüber informiert werden, dass auf der Webseite solche Cookies im Einsatz sind. Diese Information muss sowohl in der Datenschutzerklärung, wie auch im sogenannten Cookie-Consent – ein Fenster, in dem die Nutzung von Cookies bekanntgegeben wird und erst verschwindet, wenn der Besucher auf „Ich stimme zu“ oder ähnliches klickt – einsehbar sein. Damit hat der Nutzer seine Einwilligung gegeben, dass mittels Cookies seine Aktivitäten auf der Webseite verfolgt und gespeichert werden. Eine Ausnahme sind Cookies, die unbedingt gesammelt werden müssen – z.B. die Information, ob der Nutzer gerade mit seinem Konto angemeldet ist. Für den Einsatz aller anderen Cookies ist die explizite Einwilligung des Nutzers notwendig.

Neben dem Pop-Up Fenster müssen Webseitebetreiber eine Infoseite zu dem Thema Cookies zur Verfügung stellen. Diese soll folgende Infos beinhalten: 

  • welche Cookies die Seite auf den Browser des Besuchers setzt
  • wie lange sie im Browser gespeichert bleiben
  • welche Daten sie sammeln
  • welchen Zweck das Sammeln von diesen Daten hat (z.B. um die Funktionalität der Webseite zu verbessern, statistische Zwecke, Marketing, usw.)
  • wohin die Daten vermittelt werden und wer auf sie Zugriff hat
  • wie man Cookies verweigern kann und wie Besucher ihre Cookies-Einstellungen verwalten können. 
Beispiel Cookie Consent

Beispiel von einem Cookie Consent Pop-Up Fenster

Das Problem mit Cookie-Consent ist allerdings, dass Cookies schon ab der ersten Sekunde eines Webseiten-Besuches Daten sammeln. Selbst wenn der Besucher nicht einverstanden ist und die Seite sofort wieder verlässt, wurden bereits einige Daten gesammelt: z.B. auf welchem Gerät und mit welchem Web-Browser er die Seite aufgerufen hat. Die juristische Szene kann sich zum jetzigen Zeitpunkt noch nicht einigen, ob auf einer Webseite das Hausrecht des Webseiten-Betreibers gilt und ein Nutzer somit bereits beim Betreten der Seite automatisch diesen Regeln zustimmt. In diesem Fall würde es ausreichen, wenn die Besucher mit dem Cookie-Consent nachträglich über das Datensammeln informiert werden. In Hinsicht auf die neue DSGVO ist es jedoch noch unklar, ob der Besucher einer Webseite noch vor dem eigentlichen Öffnen einen Einwilligungs-Klick abgeben muss. Eine Regulation in eine solche Richtung könnte das dynamische Web, wie wir es bisher kennen, grundsätzlich verändern.

Update 30. April 2018: Die Datenschutzkonferenz (DSK) am 26. April hat beschlossen, dass Nutzer-Tracking mittels Cookies mit Geltung der DSGVO nur noch mit einer Opt-In Lösung zulässig ist (Quelle). Auf diese Position werden sich künftig Juristen und Richter berufen. Unsere Empfehlung ist also entweder sämtliche Cookies (außer die technisch unerlässlichen) aus Ihrer Webseite zu entfernen, oder ein datenschutzkonformes Opt-In Plugin zu installieren.

Übertragung von Daten an Server außerhalb der EU

Auch wenn es Ihnen vielleicht nicht bewusst ist, werden einige Daten Ihrer Webseite-Besucher auch an Dritt-Unternehmen weitergeleitet.

 

Google Analytics

So zum Beispiel bei dem Analyse-Tool Google Analytics. Wenn Sie Google Analytics benutzen wollen, müssen Sie einen Analytics Code auf Ihre Webseite setzen. Analytics nutzt dann Cookies um Besucher-Informationen an den Google Server in den USA zu schicken, wo sie verarbeitet und gespeichert werden. Sie können dann in Ihrem Analytics Account diese Nutzer-Daten analysieren und Ihre Marketingstrategie entsprechend optimieren. So lässt sich beispielsweise herausfinden, ob der Nutzer über Google Suchergebnisse, über einen direkten Link oder über soziale Netzwerke auf die Webseite gekommen ist, wie viel Zeit er dort verbracht hat, welche Seiten und in welcher Reihenfolge er sich angeschaut hat, wie weit er in seinem Kaufprozess tatsächlich gekommen ist, ob er sogar den Kauf abgeschlossen hat und vieles mehr.

All diese Informationen sind für Online-Marketer natürlich hochinteressant. Das Problem ist alledings, dass die Google Server nicht in der Europäischen Union liegen und sich somit grundsätzlich erst einmal nicht an das EU Recht halten müssen – was mit diesen gesammelten Daten passiert, weiß man also nicht. Zudem wird dabei die gesamte IP-Adresse der Besucher dokumentiert, was im Nachhinein sogar auf ein genaues Gerät zurück zuführen ist und letztlich sogar der Nutzer als Person identifiziert werden kann. Laut der DSGVO ist die Verarbeitung solcher personenbezogener Daten ohne die Einwilligung der Person verboten. Allerdings gibt es einige Grundlagen, auf denen die Erlaubnis einer solchen Erhebung gestattet werden kann. Dazu zählt vor allem das berechtigte Interesse, zu denen auch das Online-Marketing gehört.

Um Google Analytics (in der Grundversion) rechtskonform zu benutzen, müssen also folgende Bedingungen erfüllt werden:

  • Die IP-Adresse des Nutzers muss anonymisiert sein: Google bietet dazu ein Analytics-Plugin für Analytics, welches die letzten zwei Stellen der IP-Adresse löscht, bevor die Daten an Google weitergeleitet werden
  • Es muss ein Vertrag zur Auftragsdatenverarbeitung (ADV) durch Google abgeschlossen werden: Mit der Unterschrift dieses Vertrags verpflichtet sich Google, die EU Datenschutzregelungen anzuerkennen und sich an sie zu halten
  • Die Nutzer müssen über die Verwendung und Funktionsweise von Google Analytics in der Datenschutzerklärung informiert werden
  • Die Nutzer müssen eine Möglichkeit haben, dem Sammeln von ihren Daten zu widersprechen: Es muss eine sogenannte Opt-Out Möglichkeit angeboten werden. Auch für diesen Fall kommt uns Google entgegen und bietet eine Web-Browser-Erweiterung, die genau das ermöglicht. Der Link zum Download dieser Erweiterung muss in der Datenschutzerklärung zur Verfügung stehen

Falls Sie Google Analytics bisher auf Ihrer Webseite benutzt haben, ohne die IP-Adressen Ihrer Besucher zu anonymisieren, sind Sie verpflichtet dieses Analytics Konto und somit alle gesammelten Daten zu löschen und ein neues Konto mit der IP-Anonymisierung einzurichten. Des Weiteren gibt es für Nutzer von Google Analytics 360 Suite noch weitere Maßnahmen zu beachten.

 

Google Fonts

Auch im Hinblick auf die Verwendung von Google Fonts bringt die DSGVO Änderungen mit sich. Nachdem diese auf dem Google-Server und demnach im Nicht-EU-Ausland gespeichert sind, dürfen sie laut neuer Datenschutz-Verordnung nicht verwendet werden. Abhilfe schafft hier eine Einbindung der Google Fonts auf der eigenen Webseite. Dafür werden die Fonts heruntergeladen und auf dem eigenen Server gespeichert. So werden die Fonts beim Aufrufen der Seite nicht von Googles Servern, sondern von dem eigenem Server aus genutzt, der sich in der EU befindet. Dadurch wird die Nutzung von Google Fonts datenschutzkonform umgesetzt. 

 

E-Mail Newsletters

Auch hier müssen Sie aufpassen, welche Dienste Sie zum Newsletter-Versand benutzen, denn Namen, E-Mail Adressen und andere personenbezogenen Daten, die sie in Ihre Empfängerliste eintragen, werden möglicherweise auf Servern außerhalb der EU gespeichert. Um ganz auf der sicheren Seite zu sein, können Sie zu einem EU-Anbieter wechseln (z.B. das deutsche Unternehmen Newsletter2Go oder CleverReach). Oder Sie entscheiden sich für einen anderen Anbieter, der zwar nicht in der EU liegt, seinen Kunden aber einen ADV Vertrag anbietet, so wie bei Google Analytics. Damit können Sie sich absichern, dass Sie Ihren Teil dafür getan haben, Daten Ihrer Empfänger zu schützen.

 

Social Media

Social Media Plugins wie „Auf Facebook teilen“ „Gefällt mir“ „Twittern“ usw., die direkt auf der Webseite eingebettet werden, sammeln automatisch Cookies und schicken diese an die jeweiligen Servern der sozialen Medien in der USA. Das lässt sich leider nicht vermeiden, deswegen raten wir davon ab, Social Media Plugins in Zukunft auf Ihrer Webseite zu verwenden. Falls Sie Ihre Social Media Accounts wie eine Facebook Fanpage oder ein Twitter Profil nur mit einem einfachen Link auf Ihrer Webseite verlinkt haben, brauchen Sie sich keine Sorgen machen. In diesem Fall können die Plattformen nämlich keine Daten sammeln.

Beispiel Social Media Buttons

Beispiel von interaktiven Social Media Buttons

Auch beim Einbetten von externen Videos, die auf YouTube, Vimeo oder anderen Videoanbieter veröffentlicht sind, sollen Sie aufpassen. Denn wenn Sie ein solches Video in die Webseite einbetten, wird das Video nicht auf Ihrer Webseite gespeichert, sondern wird extern von dem Server des Anbieters aus abgespielt. Das eingebettete Element kann dann genau wie die vorhin erwähnten Social Media Plugins Cookies sammeln und diese an Server außerhalb der EU schicken. Vimeo bietet derzeit keine Lösungen zum datenschutzkonformen Einbetten an. Es wird empfohlen das Video mit einem Screenshot zu ersetzen, der den Besucher beim anklicken zu dem Video direkt auf der Vimeo Seite weiterführt. 

Bei YouTube lässt sich das vermeiden, indem Videos in dem erweiterten Datenschutzmodus aktiviert werden. So werden keine Daten übermittelt, bis der Besucher das Video startet. Darüber können die Nutzer auch vor jedem Video mittels eines kurzen Hinweises über die Nutzungsbestimmungen informieren werden. Alternativ können Videos auch direkt auf der Webseite hochgeladen werden – natürlich nur falls man die Urheberrechte für das Video besitzt.

erweiterter Datenschutzmodus

YouTube Videos richtig einbetten: den erweiterten Datenschutzmodus aktivieren

Falls Sie für Ihr Unternehmen eine Facebook Fanpage oder andere Seiten auf weiteren sozialen Netzwerken betreiben, sollten Sie beachten, dass Sie auch dort den Nutzer mittels eines Impressums und einer Datenschutzerklärung über das Sammeln und Speichern personenbezogener Daten informieren müssen.

SSL Zertifikate

Auch die Bedeutung von SSL Versschlüsselungen gewinnt ab Mai an Bedeutung. Denn sie wird durch die DSGVO zur Pflicht; zumindest auf Seiten, auf denen personenbezogene Daten verarbeitet werden: z.B. beim Eingeben von Zahlungsinformationen, Registrierungs- oder Login-Daten aber auch bei Anmeldung zum Newsletter, wenn eine persönliche E-Mail Adressen notwendig ist.

Am besten stellen Sie somit gleich Ihre ganze Webseite auf HTTPS um, denn ab Juli 2018 werden Webseiten ohne ein solches SSL Zertifikat von Google offensichtlich als „unsicher“ gekennzeichnet. Das schreckt Ihre Besucher ab und sie verlassen Ihre Seite. In dem Inkognito-Modus des Web-Browsers Google Chrome wird das bereits eingesetzt.

Beispiel sicher

Beispiel von einer SSL-verschlüsselten Seite

Beispiel nicht sicher

Beispiel von einer nicht SSL-verschlüsselten Seite

Bilderrechte

Mit der neuen DSGVO wird auch das Recht am eigenen Bild verschärft: Bilder dürfen grundsätzlich nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Das gilt auch für Ihre eigene Mitarbeiter – Sie dürfen auf Ihrer Unternehmensseite nur dann mit Foto präsentiert werden, wenn sie dazu ihre Einwilligung gegeben haben. Wieder gelten hier besondere Regeln für Minderjährigen.

Ausnahmen sind Bilder, auf denen die abgebildeten Personen nur als Beiwerke einer Landschaft oder Örtlichkeit erscheinen und Bilder auf denen Versammlungen, Aufzüge oder ähnliche Vorgänge darstellt sind, an denen der Abgebildete teilgenommen hat – solange das Event selbst und nicht die Einzelperson abgebildet ist. Sobald die Person besonders hervorgehoben oder im Vordergrund des Bildes steht, trifft diese Ausnahme nicht mehr zu.

Künftig sollen Sie sich also überlegen, wie Sie Einwilligungen einsammeln, falls Sie z.B. auf einem Event Fotos machen und diese auf Ihrer Webseite und sozialen Kanälen streuen wollen.

 

elfgenpick ist an Ihrer Seite

Falls Ihnen jetzt von all den Änderungen, Anpassungen und Neuheiten der Kopf schwirrt und Sie vor Kurzem noch nicht mal wussten, was Cookies überhaupt sind, einmal tief durchatmen und Ruhe bewahren! Denn im Rahmen unseres DSGVO Pakets überprüfen wir von elfgenpick Ihre Webseite auf DSGVO-Konformität und unterstützen Sie bei allen notwendigen Änderungen im technischen Bereich, sodass Ihre Webseite im Mai fit für die DSGVO ist. Wir stellen für Sie Google Analytics datenschutzkonform ein, richten Ihre Seite auf HTTPS um, programmieren Cookie-Consent Pop-Up Fenster, filtern verbotene Social Media Plugins und Google Fonts heraus und überprüfen Ihre Datenschutzerklärung auf Vollständigkeit und Gültigkeit. 

Da wir allerdings keine Anwaltskanzlei sind, können wir leider keine 100% Garantie geben, dass Ihre Webseite in Zukunft zu absoluter Sicherheit der DSGVO entspircht. Sie können aber gerne zusätzlich eine professionelle juristische Prüfung durch einen unserer Partner beantragen.

Kontaktieren Sie uns einfach per E-Mail auf welcome@elfgenpick.de oder telefonisch unter 0821 450 701 0, um mehr über das elfgenpick DSGVO-Paket zu erfahren.

 

Weiterführende Links

Wenn wir Ihre Panik vor der neuen Datenschutzverordnung noch nicht gänzlich lindern konnten, erhalten Sie auf der offiziellen DSGVO-Webseite nähere Informationen. Eine sehr verständlich formulierte Ressource ist die Webseite der Europäischen Kommission. Und denjenigen, die wirklich alles zum Thema Recht im Internet wissen wollen, empfehlen wir diesen Skript vom Prof. Dr. Thomas Hoeren der Universität Münster, den Sie sich als PDF umsonst herunterladen können.

Sie haben eine Frage, eine Antwort, sind neugierig, brauchen Informationen von uns oder wollen uns was vorsingen? Dann tun Sie’s doch. Hier.

elfgen pick gmbh & co. kg
Werner-Heisenberg-Straße 4
D-86156 Augsburg

Telefon: +49.821.450701-0
Telefax: +49.821.450701-19