DSGVO-Checkliste – die 10 wichtigsten To-Do’s für Ihre Website
Sie betreiben eine Website? Dann müssen auch Sie sich an die Vorschriften der seit dem 25. Mai 2018 anwendbaren Datenschutzgrundverordnung (DSGVO) halten. Denn fast alle Seiten sammeln sog. personenbezogene Daten. Bereits wenn ein Besucher die Website aufsucht, wird grundsätzlich schon seine IP-Adresse übertragen. Wenn Sie hier das Datenschutzrecht nicht beachten, drohen im schlimmsten Fall Bußgelder der Aufsichtsbehörden oder Abmahnungen Ihrer Konkurrenten.
DSGVO-Checkliste zum Download
Doch auf was müssen Sie eigentlich achten? Wie können diese Vorschriften praktisch umgesetzt werden? In dieser DSGVO 10-Punkte-Checkliste erhalten Sie einen ersten Überblick darüber, wie Sie Ihre Website fit für die DSGVO machen.
Datenschutzerklärung
Der erste Aspekt, den Sie auf Ihrer Website angehen sollten, ist die Datenschutzerklärung. Dieses Dokument ist öffentlich verfügbar und kann leicht von Wettbewerbern oder Aufsichtsbehörden eingesehen werden. Daher bietet es eine große Angriffsfläche.
Aufklärung zur Datenverarbeitung
Mit Ihrer Datenschutzerklärung informieren Sie die Besucher Ihrer Seite über den Umfang und die Zwecke, zu denen ihre personenbezogenen Daten verarbeiten werden. Datenschutzerklärungen sollen die Datenverarbeitung für Betroffene transparent machen und ihnen so die Möglichkeit geben, im Rahmen ihrer rechtlichen Möglichkeiten über die Verarbeitung ihrer Daten zu entscheiden. Gleichzeitig ist es ein Instrument für Sie, Ihren gesetzlichen Informationspflichten nachzukommen, indem Sie dort den Betroffenen zum Beispiel über seine Rechte informieren können.
In Art. 13 DSGVO findet sich eine Liste der Informationen, die nach der DSGVO zwingend in einer Datenschutzerklärung stehen müssen und an der Sie sich orientieren können. Lesen Sie sich diesen Artikel aufmerksam durch!
Durch die DSGVO sind neue Informationspflichten im Vergleich zur alten Rechtslage dazugekommen. Neu ist vor allem, dass nun auch die Rechtsgrundlage der Datenverarbeitung anzugeben ist. Zudem muss die Datenschutzerklärung nun deutlich mehr Informationen darüber enthalten, welche Rechte die Betroffenen nach der DSGVO haben.
Passen Sie die Datenschutzerklärung an
Daher gilt: Auch wenn Sie bereits eine Datenschutzerklärung auf Ihrer Webseite haben, müssen Sie diese dringend an die DSGVO anpassen. Generell muss in der Datenschutzerklärung über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufgeklärt werden – etwa über die Verarbeitung der IP-Adresse, von Browser-Daten, Cookies, Webanalyse-Tools wie Google Analytics sowie Social Media Plugins. Die geforderten Informationen müssen Sie leicht und verständlich formulieren und übersichtlich gliedern.
Datenschutzerklärungen müssen natürlich einzelfallgerecht und umfassend formuliert werden. Dies kostet aber Zeit. Eine Möglichkeit, um erst einmal eine Datenschutzerklärung auf Ihrer Website zu haben, ist es, eine solche Erklärung über den Datenschutz-Generator der Rechtsanwaltskanzlei »Wilde Beuger Solmecke« zu generieren.
Allerdings kann die Kanzlei keine Haftung für die Korrektheit der Datenschutzerklärung geben oder dafür garantieren, dass sie in Ihrem konkreten Einzelfall völlig passend ist. Jedenfalls minimieren Sie aber das Risiko negativer Konsequenzen.
Datenschutzerklärung neben Impressum
Sie müssen die Informationen für den Besucher der Website jederzeit verfügbar halten. Die Datenschutzerklärung muss von jeder Seite und auch von mobilen Endgeräten aus erreichbar sein. In der Praxis hat es sich etabliert, den Link auf die Datenschutzerklärung neben den Link auf das Impressum zu platzieren, weshalb der durchschnittliche Internetnutzer in der Fußzeile der Website mittlerweile diese Links zu den allgemeineren Informationen erwartet. Nicht zulässig ist es, die Datenschutzerklärung innerhalb des Impressums oder der AGB zu verstecken.
SSL-Verschlüsselte Website
Websites, auf denen personenbezogene Daten erhoben werden, müssen grundsätzlich verschlüsselt sein, um den Datenschutzgrundsätzen der Integrität und Vertraulichkeit der Daten nach Art. 25 Abs. 1 DSGVO gerecht zu werden. Das Ziel einer solchen Verschlüsselung ist zu verhindern, dass Unbefugte Zugriff zu den übermittelten Daten Ihrer Besucher erhalten.
Ob eine Seite verschlüsselt ist, können Sie leicht erkennen: Die URL muss mit https anfangen. In vielen Browsern wird dann auch ein Schloss davor angezeigt oder das Wort „sicher“.
Sollte die von Ihnen verwendete Seite nicht sicher sein, müssen Sie dies unbedingt ändern und ihre Seite auf https umstellen. Diese sollte mithilfe eines sog. SSL-Zertifikats Ihre Seite umstellen. SSL steht für „Secure-Sockets-Layer“. Mit dieser Technologie wird die Datenkommunikation von einem Computer zu einem Server Ende-zu-Ende-verschlüsselt. Eine HTTPS-Verschlüsselung, also das SSL-Zertifikat ist Stand der Technik und zwingend umzusetzen.
Eine Pflicht für eine SSL-Verbindung besteht insbesondere bei Websites mit Kontaktformularen. Dies ergibt sich darüber hinaus aus § 13 Abs. 7 Telemediengesetz. Dies betrifft insbesondere alle Formulare wie Kontakt-, Bestell-, Widerrufsformulare sowie Newsletteranmeldungen.
Kontaktformulare überprüfen
Bieten Sie für Anfragen Kontaktformulare auf Ihrer Website an, benötigen für die Verarbeitung der Daten, die ein Nutzer preisgibt, eine Erlaubnisnorm. Dies dürfte jedoch kein Problem sein. Denn angesichts der Tatsache, dass der Nutzer selbst aktiv den Kontakt aufnimmt und entscheidet, welche Daten er angibt, werden Ihre berechtigten Interessen an der Verarbeitung dieser Daten regelmäßig überwiegen, Art. 6 Abs. 1 f) DSGVO.
Sie müssen in der Regel also keine Einwilligung des Nutzers einholen. Anders verhält es sich natürlich, wenn Sie Ihrem Kunden zusätzlich einen Newsletter zusenden möchten. Hierfür benötigen Sie meist eine separate eine Einwilligung (dazu später mehr).
Sparsamkeit mit den abgefragten Daten
Zudem müssen Sie das Prinzip der Datensparsamkeit beachten: So dürfen Sie vom Nutzer keine Informationen als Pflichtangaben verlangen, die Sie nicht benötigen, um seine Anfrage zu bearbeiten. Was am Ende tatsächlich als erforderlich gilt, hängt von der jeweiligen Situation ab.
Für eine Newsletter-Anmeldung benötigt man beispielsweise grundsätzlich nur die E-Mail-Adresse, nicht aber den Vor- und Zunamen.
Pflichtfelder müssen als solche gekennzeichnet werden. Wenn Sie noch weitere Daten erheben wollen, dann muss für den Nutzer klar sein, dass diese Angaben freiwillig sind. Auch hier müssen Sie auf die bereits erwähnte Verschlüsselung der Daten achten (s.o.).
Zudem muss eine Erläuterung der Datenverarbeitung über Kontaktformulare in Ihrer Datenschutzerklärung enthalten sein. Vor dem Absenden des Formulars sollten Sie auf Ihre Datenschutzerklärung verlinken.
Schließlich sollten Sie, falls Sie mit einem Hoster oder einem anderen externen Dienstleister zusammenarbeiten, auf den Abschluss eines Datenverarbeitungsvertrags achten (dazu später mehr).
Einwilligung DSGVO-konform einholen
In vielen Fällen müssen Sie von den Nutzern eine Einwilligung nach der DSGVO einholen. Bei der Ausgestaltung einer Einwilligung müssen Sie folgende Punkte unbedingt beachten:
- Die Einwilligung muss sich auf einen bestimmten Fall und auf einen bestimmten Verarbeitungszweck beziehen.
- Die Einwilligung muss freiwillig erteilt werden – hier muss u.a. das Kopplungsverbot beachtet werden (dazu später mehr).
- Der Betroffene muss ausreichend über die Reichweite der Einwilligung informiert gewesen sein, insbesondere auch über die Zwecke der Datenverarbeitung.
- Der Verantwortliche muss das Vorliegen einer Einwilligungserklärung nachweisen können.
- Der Einwilligungstext muss klar formuliert sein.
- Der Text muss gut zugänglich sein.
- Sie müssen deutlich auf die Widerrufsmöglichkeit hingewiesen haben.
- Kinder müssen mindestens 16 Jahre alt sein, um einwilligen zu können. Bei jüngeren Kindern müssen die Eltern zustimmen.
Da jede Einwilligung vom Nutzer bewusst und eindeutig zu erfolgen hat, empfehlen wir Ihnen eine Ausgestaltung als Opt-In mit einer nicht vorangekreuzten Checkbox. Immer, wenn Sie die Einwilligung eines Nutzers einholen müssen, sollten Sie bereits im Vorfeld auf die Datenschutzerklärung hinweisen und auf diese verlinken.
Auch Einwilligungen, die Sie sich in der Vergangenheit eingeholt haben, müssen den Grundsätzen der neuen DSGVO entsprechen. Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der DSGVO entsprechen. Dies gilt aber nicht für Einwilligungen, die das neue Kopplungsverbot (Art. 7 Abs. 4 DSGVO) nicht beachten (dazu gleich mehr). Auch muss nun darauf geachtet werden, dass eine Altersgrenze von 16 Jahren im Datenschutzrecht gilt.
Cookie-Banner
Ein weiteres großes Thema auf Websites sind die berühmt-berüchtigten „Cookie-Banner“. Hier lässt sich eine Vielzahl von Varianten finden, wie auf solche Cookies hingewiesen wird. Von einem bloßen Cookie-Hinweis, den man mit einem „ok“ bestätigen soll, bis hin zur Möglichkeit, aus drei Varianten von Cookies auszuwählen, findet sich im Netz derzeit einiges an Zwischenstufen. Wie macht man es denn nun richtig?
Fakt ist: Hier besteht tatsächlich Rechtssicherheit. Die Rechtslage der kleinen Datenpakete war schon vor der DSGVO umstritten, in der Praxis hatte sich zumindest in Deutschland aber das Cookie-Banner mit dem „ok“-Button eingebürgert. Zukünftig sollen Rechtsfragen zu Cookies mit der ePrivacy-Richtlinie geregelt werden. Hierzu gibt es aber noch kein Verhandlungsergebnis. Daher bemessen sich Cookies derzeit noch anhand der DSGVO.
Um Cookies zu setzen, benötigt man eine sog. Erlaubnisnorm nach der DSGVO. Als Rechtmäßigkeitsgrundlage für die Nutzung von Cookies kommt konkret das berechtigte Interesse gemäß Art. 6 Abs. 1 f) DSGVO und die (freiwillige) Einwilligung gemäß Art. 6 Abs. 1 a) DSGVO in Betracht. Kann man sich auf ersteres stützen, muss man auf die gesetzten Cookies nur hinweisen. Im zweiten Fall bedarf es einer informierten Einwilligung der Nutzer. Diese Einwilligung muss vorliegen, bevor Cookies gesetzt werden.
Cookies ohne nötige Einwilligung
Ob Sie sich auf Ihre überwiegenden berechtigten Interessen stützen können, hängt nach überwiegender Ansicht unter Juristen maßgeblich von der Art des Cookie ab. Nutzerfreundliche Cookies können ohne Einwilligung gesetzt werden. Denn sie dienen primär dem Zweck, die Website beispielsweise mit einem Warenkorb-Cookie anwendungsfreundlich zu gestalten, weshalb in diesem Fall die Interessen des Website-Betreibers die Schutzinteressen der Websitebesucher regelmäßig überwiegen werden.
Auch bedarf es weiterhin keiner Einwilligung, wenn der Cookie technisch erforderlich ist, um den jeweiligen Dienst zu erbringen, und der Nutzer den Dienst ausdrücklich gewünscht hat (Session-Cookie, zum Beispiel bei einem Warenkorb) oder der Betreiber der Website den Cookie nur zur Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz benötigt.
Cookies mit nötiger Einwilligung
Anders kann dies hingegen bei einem Cookie zur Website-Analyse aussehen, die zu Zwecken des Remarketings bzw. Retargetings eingesetzt werden. Hierbei hängt die Interessenabwägung von der konkreten Ausgestaltung des Cookies ab und davon, ob der Betroffene diese Art der Datenverarbeitung erwarten konnte. Im Zweifel sollte hier eine Einwilligung eingeholt werden.
Ist jedoch eine Einwilligung nötig, besteht weiterhin Unsicherheit darüber, wie die Einholung der Einwilligung genau aussehen soll. Nicht den Anforderungen der DSGVO genügend ist ein bloßer Hinweis auf Cookies, in dem steht, dass man durch den weiteren Besuch der Website automatisch in das Setzen von Cookies einwilligt.
Das rechtssicherste Vorgehen ist es, eine vollinformierte, freiwillige Einwilligung (s.o.) einzuholen. Dabei muss der Betroffene beim erstmaligen Aufrufen einer Seite
- auf die Nutzung von Cookies hingewiesen werden
- ein Hinweis auf die Datenschutzerklärung erhalten, in der die Nutzung von Cookies sowie Sinn und Zweck der Datenspeicherung und Datennutzung beschrieben wird
- einen Hinweis auf das Widerrufsrecht erhalten
Im Sinne der Transparenz können auch noch weitere Informationen zu den genutzten Cookies erfolgen.
Diese Information müssen Betroffene erhalten, bevor Sie durch Anklicken eines Buttons einwilligen. Erst dann darf der Cookie gesetzt werden.
Schließlich bedürfen der Einsatz von Cookies und die Erläuterung zur Ermächtigungsgrundlage einer Aufklärung in der Datenschutzerklärung.
Newsletter rechtskonform gestalten
Wenn Sie einen werblichen Newsletter versenden möchten, ist das A und O eines rechtssicheren Einsatzes von Werbe-E-Mails die Einwilligung des Empfängers. Denn der Gesetzgeber normiert in § 7 Abs. 2 des Gesetzes gegen den Unlauteren Wettbewerb (UWG) klar und eindeutig, dass Unternehmen nur dann Werbe-E-Mails und Newsletter versenden dürfen, wenn der Empfänger zuvor in den Erhalt eingewilligt hat.
Jeder Empfänger soll davor geschützt werden, durch Werbe-Nachrichten belästigt zu werden. Darüber hinaus benötigt der Newsletter-Versender zumindest dann eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 a) DSGVO, wenn er den Versand des Newsletters tracken, also das Nutzerverhalten analysieren möchte. Hier wird neben der E-Mail-Adresse nämlich auch die IP-Adresse verarbeitet. Tracken Sie hingegen das Nutzerverhalten nicht, so reicht es möglicherweise, wenn Sie in Ihrer Datenschutzerklärung über Ihr berechtigtes Interesse aufklären, die E-Mail-Adresse für die Direktwerbung zu speichern. Rechtssicherheit gibt es an dieser Stelle jedoch nicht.
Nutzen Sie das Double-Opt-In-Verfahren
Der Unternehmer muss im Streitfall beweisen, dass der Empfänger ihm eine Einwilligung erteilt hat. Um die Nachweisbarkeit einer vorliegenden Einwilligung sicherzustellen, empfehlen wir das sogenannte Double-Opt-In-Verfahren.
Das Double-Opt-In-Verfahren ist ein zweistufiges Anmeldeverfahren, bei dem der Interessent in einem ersten Schritt seine E-Mail-Adresse in ein Anmeldeformular einträgt und das Formular absendet. Anschließend verschickt das System des werbenden Unternehmens eine Bestätigungs-E-Mail an die von dem Interessenten angegebene E-Mail-Adresse. In dieser Bestätigungs-E-Mail wird der Empfänger dann gebeten, durch einen Klick auf den Bestätigungslink ein zweites Mal zu erklären, dass er zukünftig Werbe-E-Mails erhalten möchte. Erst nach dem Betätigen des Bestätigungslinks wird die E-Mail-Adresse des Interessenten in das Adressbuch des Unternehmers eingetragen.
Auf diese Weise kann der Werbende sicherstellen, dass Dritte das System nicht missbrauchen und andere Personen mit deren E-Mail-Adresse für zahlreiche Newsletter anmelden, die diese gar nicht wünschen. Dieses Verfahren dient besser als alle anderen (ebenfalls legalen Möglichkeiten) einer späteren Beweisbarkeit der Einwilligung, wenn Sie folgende Daten dokumentieren: Versandzeitpunkt der Einladungs-E-Mail, Inhalt der Einladungs-E-Mail, Inhalt der Bestätigungs-E-Mail, Zeitpunkt der Bestätigung der Einwilligung, IP-Adresse des Einwilligenden zum Zeitpunkt der Bestätigung.
Überarbeiten Sie das Anmeldeformular
Möglicherweise müssen Sie auch Ihr Anmeldeformular überarbeiten. Hier müssen Sie den Nutzer über Inhalt, Regelmäßigkeit, Absender, verarbeitete Daten sowie die jederzeitige Abbestellmöglichkeit informieren. Achten Sie auf die Datensparsamkeit und fragen Sie nur die E-Mail-Adresse ab. Beim Anmeldeformular sollte auch eine Verlinkung zur Datenschutzerklärung eingebaut sein, die einen Abschnitt über den Newsletter enthält.
Auch muss es für den Nutzer jederzeit möglich sein, seine Einwilligung zu widerrufen. Darauf müssen Sie bereits beim Anmeldevorgang hinweisen und diesen Hinweis in jedem weiteren Newsletter erneuern. Das Abbestellen muss in jedem Fall einfach gestaltet sein – erschwerte Abbestellmöglichkeiten können unzulässig sein. Sie können hier entweder einen sog. „Abbestell-Link“ verwenden oder aber auf eine E-Mail verweisen, nach der Sie den Nutzer manuell austragen. Im letzteren Fall ist es aber wichtig, dass Sie sofort reagieren. Sofern Sie die E-Mail Adresse nur für den E-Mail Newsletter erhalten haben und sonst keinerlei Verbindung zu der betroffenen Person besteht, müssen Sie die E-Mail-Adresse im Anschluss an die Abbestellung auch löschen. Dies gilt nur dann nicht, wenn Sie beispielsweise aufgrund eines Online-Shops noch in vertraglichen Beziehungen zu der Person stehen und die Daten in diesem Zusammenhang noch benötigen.
Selten versenden Unternehmen ihre Newsletter selber. Immer öfter nutzen Werbetreibende beauftragte Dienstleister, die den Versand von Newslettern koordinieren und durchführen. Es handelt sich dabei um den klassischen Fall der Auftragsverarbeitung (dazu später mehr). Weltweit besonders beliebt ist der US-amerikanische Anbieter MailChimp, der sich an die DSGVO hält und eine Zertifizierung für die Übermittlung von Daten außerhalb der EU über das Privacy Shield-Abkommen hat.
Kopplungsverbot beachten
Im Online-Marketing lief die „kostenlose“ Vergabe von eBooks, Whitepapers oder Leitfäden ja häufig so ab: Interessenten können sich den sog. „Leadmagnet“ herunterladen – aber nur im Austausch gegen ihre E-Mail-Adresse. Indem man diese preisgibt, willigt man automatisch in den Erhalt etwa eines Newsletters ein.
Die Hoffnung dahinter: Irgendwann kauft der Kunde mehr vom Anbieter. Eigentlich ein ehrliches Tauschgeschäft, Daten gegen Produkt. Doch häufig ist Nutzern nicht klar, dass sie in den Erhalt von Werbung einwilligen.
So einfach geht das nun nicht mehr. Denn nun müssen Sie das neue sog. „Kopplungsverbot“ beachten, Art. 7 Abs. 4 DSGVO: Hier ist zwar juristisch sehr umstritten, wie weit es wirklich greift. Denn die entsprechende Norm ist nicht wirklich klar formuliert. Doch um sicher zu gehen, empfehlen wir Ihnen, zukünftig eine Vertragserfüllung, z.B. eine Gratis-Leistung, nicht mehr von einer Einwilligung in die Datenverarbeitung abhängig zu machen. Es bieten sich mehrere Möglichkeiten an:
Die sicherste Möglichkeit ist es hier, die Einwilligung in den Newsletter vom Erhalt der Ware/Dienstleistung zu entkoppeln. Die Entkopplung ist dergestalt möglich, dass, Sie ein separates Kästchen anbieten, das der Kunde freiwillig anklicken kann, um einen Newsletter zu erhalten.
Wichtig ist dann aber, dass Sie Ihren Kunden ausreichend darüber aufklären, wie Sie seine Daten verarbeiten und dass er diese Einwilligung jederzeit zurücknehmen kann. Der Kunde kann dann das Produkt also auch erhalten, ohne Werbung zu bekommen. Das senkt zwar die Anzahl der Adressen, dafür wird die Conversion Rate der Kunden besser sein, die bewusst eingewilligt haben.
Produkt als Zusatz zum Newsletter anbieten
Eine weitere Möglichkeit könnte sein, nicht das kostenlose Produkt anzubieten, sondern direkt den Newsletter. Und als „Extra“ verspricht man das Produkt als kostenloses Angebot zusätzlich zum Newsletter. Hier ist den Kunden sehr viel bewusster, dass sie zukünftig einen Newsletter erhalten werden.
Möglich wäre es auch, eine Alternative zu schaffen und etwa das kostenlose Angebot (gegen Preisgabe der Daten) auch kostenpflichtig anzubieten. Der Nutzer hat dann die Wahl, mit welchem Gegenwert er zahlen möchte.
Social-Media-Plug-Ins und eingebettete Videos prüfen
Auf der Website eingebaute Elemente von sozialen Netzwerken wie der „Gefällt mir“-Button von Facebook, der „Tweet“-Button von Twitter und ähnliche „Share“-Buttons werden als „Social Plug-Ins“ bezeichnet. Sie ermöglichen dem Website-Besucher eine Verknüpfung von Website-Inhalten mit seinen Online-Profilen.
Warum sind Social-Media-Plugins problematisch?
Schon beim Besuch dieser Seiten sammelt das Plug-In automatisch Daten der Besucher (zum Beispiel die IP-Adresse) und überträgt sie etwa an Facebook zu Werbezwecken, indem Cookies auf die Computer der Seitenbesucher gesetzt werden. Der Nutzer bekommt von diesem Übertragungsvorgang in der Regel nichts mit.
Und: Nutzer müssen für die Datenweitergabe nicht einmal selbst beim Social-Media Giganten Facebook registriert sein. In der Praxis können mit Hilfe der gesetzten Cookies einmal registrierte IP-Adressen wiedererkannt und so anonyme Surfprofile der Nutzer erstellt werden. Sind die Nutzer bei diesen Netzwerken sogar schon eingeloggt, so kann immer ganz genau nachvollzogen werden, welche Internetseiten von diesen Nutzern besucht worden sind. Es entsteht de facto eine Überwachung der Nutzer im Netz.
Der Einsatz von Social Plug-Ins war schon nach alter Rechtslage problematisch. Denn ohne eine informierte Einwilligung des Nutzers ist diese Datenverarbeitung wahrscheinlich nicht zulässig. Derzeit wird über den Facebook-Like-Button vor dem Europäischen Gerichtshof (EuGH) verhandelt. Bis zur endgültigen Klärung der Rechtslage sollte man also entweder eine Einwilligung einholen – oder Social Media anderweitig einbinden.
Möglich ist es, auf Social Plug-Ins zu verzichten und nur noch einen Link zu den sozialen Netzwerken bereitzuhalten. Doch wer auf Social Plug-Ins verzichtet, muss befürchten, im Wettbewerb den Kürzeren zu ziehen.
Alternativen zu Social Media Plug-Ins
Eine Alternative bietet da die sog. 2-Klick-Lösung. Bei ihr wird der Button im ersten Schritt ohne Funktionalität als reines Bild eingebunden. Nutzerdaten werden dabei nicht übermittelt. Durch einen ersten Klick auf den Button wird dieser dann in einem zweiten Schritt aktiviert. Dann öffnet sich ein neues Fenster und die Nutzer müssen sich in dem sozialen Netzwerk einloggen, woraufhin ihre Daten übermittelt werden, wenn sie darin eingewilligt haben. Erst durch einen zweiten Klick kann der Inhalt dann veröffentlicht werden. Auf diese Weise kann eine rechtskonforme Einbindung sichergestellt werden.
Alternativ können Unternehmen die Shariff-Button-Lösung verwenden. Hier reicht ein einziger Button-Klick, um die gewünschten Informationen mit anderen zu teilen. Beim Shariff-Button wird erst ein Kontakt zwischen Facebook und dem Nutzer hergestellt, wenn der Nutzer bewusst und aktiv auf den Button klickt und nicht bereits beim alleinigen Seitenaufruf.
Über die Anwendung der 2-Klick-Lösung oder des Shariff-Buttons müssen Sie auch in Ihrer Datenschutzerklärung aufklären und auf den Einsatz von Facebook & Co. hinweisen. Darüber hinaus sollten Sie auch auf die jeweiligen Datenschutzerklärungen der Anbieter verlinken, damit sich die Nutzer auch hierüber informieren können.
Google Analytics & Co.
Webanalyse-Tools gibt es viele: etracker, econda, Webtrekk oder Matomo (ehemals Piwik) sind bekannte Beispiele. Das wichtigste ist aber sicherlich Google Analytics. Mit diesem Tracking-Programm können Sie das Verhalten Ihrer Besucher analysieren lassen, also insbesondere über die IP-Adresse schauen, welche Seiten sie sich wie oft angesehen haben.
Die Rechtmäßigkeit des Einsatzes von Webanalyse-Tools ist schon seit Jahren Gegenstand von Diskussionen. In Zusammenarbeit mit deutschen Datenschutzbehörden bietet insbesondere Google seit 2011 eine Möglichkeit an, Analytics einzuschränken. Nun können Website-Betreiber Google Analytics in datenschutzkonformer Weise nutzen, wenn sie folgendes beachten:
Vertrag zur Auftragsverarbeitung abschließen
Zunächst müssen Sie einen Vertrag zur Auftragsverarbeitung nach der DSGVO schließen.
Dann ist es notwendig, die IP-Adresse des Nutzers zu anonymisieren. Die Anonymisierung der IP-Adressen der Nutzer erreichen Sie, indem Sie den Google-Analytics-Code „anonymizeIP“ händisch dort in den Quellcode der Website einbauen, wo der Google Analytics Code eingebunden ist.
Zwar bietet auch Google einen Tracking-Code an – hier ist aber umstritten, ob dies tatsächlich für eine vollständige Anonymisierung ausreicht. Durch die händische Code-Erweiterung werden die letzten 8 Bit der IP-Adressen gelöscht und dadurch anonymisiert. Eine grobe Lokalisierung ist immer noch möglich.
Auch die Aufbewahrungsdauer der Daten bei Google sollten Sie manuell anpassen. In der voreingestellten Variante werden die Daten 26 Monate gespeichert – und bei neuer Aktivität läuft diese Frist wieder neu an. Sie sollten den Button „Bei neuer Aktivität“ zurücksetzen deaktivieren und die Aufbewahrungsdauer auf 14 Monate beschränken.
Auch müssen Nutzer weiterhin die Möglichkeit haben, der Erhebung und Verwendung ihrer Daten sowie die Erstellung von Nutzerprofilen zu widersprechen. Da gibt es zwei Möglichkeiten:
- Setzen Sie einen Link auf ein Deaktivierungs-Add-on, auf den die Nutzer nur klicken müssen. Sie müssen jedoch beachten, dass Browser-Add-ons nicht bei jedem Browser bzw. jedem Endgerät funktionieren.
- Daher sollten Sie Ihre Datenschutzerklärung zusätzlich mit einem Link zum Opt-Out-Cookie versehen.
Tool-Einsatz in Datenschutzerklärung
Dem Einsatz dieser Tools muss außerdem ein eigener Bereich in der Datenschutzerklärung gewidmet werden. Mitunter stellen die Anbieter der Tools Textbausteine zur Verwendung in der eigenen Datenschutzerklärung zur Verfügung, die Sie aber individuell anpassen sollten. Informiert werden muss über den konkreten Datenerhebungsvorgang durch das Analyse-Tool, die anschließende Verarbeitung der Daten und die Widerspruchs-Möglichkeit. Schließlich sollten die Nutzungsbedingungen sowie die Datenschutzerklärung des eingesetzten Analyse-Dienstes verlinkt werden, sodass sich der Nutzer unmittelbar beim Anbieter informieren kann.
Auftragsverarbeitungs-Verträge abschließen
Bereits mehrfach war nun schon die Rede von der Auftragsverarbeitungs-Verträgen, die Sie mit ihren Dienstleistern wie Google Analytics oder Mailchimp schließen müssen. Tatsächlich ist jeder, der unter Ihrer Weisung personenbezogene Daten verarbeitet, Ihr Auftragsverarbeiter.
Das können z.B. sein: Externe Wartungsdienstleister, EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Ihre Daten, externe Rechenzentren, E-Mail-Provider, Cloud-Anbieter wie Google Drive oder die Dropbox, etc.
Bei Ihren Dienstleistern müssen Sie nach Art. 28 DSGVO vor allem auf folgendes achten: die Auswahl, die vertragliche Ausgestaltung und die anschließende Kontrolle Ihrer externen Dienstleister. Denn wenn Sie hier Fehler machen, drohen Bußgelder. Sie müssen sicherstellen, dass auch Ihre Auftragsverarbeiter sich an die DSGVO halten.
Der Gesetzgeber hat in Art. 28 Abs. 3 DSGVO klare Vorstellungen darüber, was der Vertrag zwischen Ihnen und dem Auftragsverarbeiter im Detail zu regeln hat. Sie können einen solchen Vertrag entweder individuell aushandeln oder einen Vordruck verwenden, den Ihr Dienstleister erstellt hat und ggf. auf der Website anbietet. Generell sollten Sie beachten, dass Sie alle Bestandteile des Vertrags genau daraufhin überprüfen sollten, ob diese Ihren Interessen gerecht werden. Teilweise empfiehlt es sich, den Vertrag ggf. selbst gestalten oder anzupassen.
Beachten Sie dabei auch Ihr Haftungsrisiko. Denn Sie und der Auftragsverarbeiter haften gegenüber dem Betroffenen grundsätzlich gemeinsam, wenn es zu Rechtsverstößen kommt. Macht Ihr Dienstleister einen Fehler, können Sie sich von der Mithaftung nur befreien, wenn Sie nachweisen können, dass er sich nicht an Ihre Anweisung gehalten hat und Sie in keinerlei Hinsicht für den Schaden verantwortlich sind. Im Vertrag muss also genau stehen, wie er die Daten DSGVO-konform verarbeiten muss. Begrenzen Sie seine Befugnisse auf das Nötigste.