Die Datenschutzgrundverordnungen bringt striktere Pflichten für Websites-Betreiber

Haufe Online Redaktion

Auswirkung der Datenschutzgrundverordnung auf Website-Pflichten — Bild: MEV Verlag GmbH, Germany Der Schutz der Nutzerdaten durch Websites-Betreiber wird zum 25.5. durch die Datenschutzgrundverordnung verstärkt

Unternehmen, Freiberufler und andere Website-Betreiber sollten auf die Änderungen vorbereitet sein, die sich aus der Datenschutzgrundverordnung und durch die E-Privacy-Verordnung ergeben. Verschärfte Regelungen greifen insbesondere bei Nutzung von Komponenten wie einfachen Kontaktformularen, Analyse-Werkzeugen oder Social-Media-Plug-Ins. Hier gibt es ab Mai zusätzliche Informationspflichten, besonders wichtig ist der Hinweis auf Widerufs- und Widerspruchsrechte.

Betroffen von den Vorgaben sind im Grunde alle Website-Betreiber, einzige Ausnahme sind rein private Websites, die sich ausschließlich an Freunde und Bekannt richten. Schon bei ganz einfachen Webseiten werden zwangsläufig die IP-Adressen der Besucher an den Webserver übertragen und da diese als personenbezogene Daten einzustufen sind, fällt auch der Betrieb einer Website unter den Geltungsbereich der DSGVO und es müssen daher die entsprechenden Vorgaben beachtet werden.

Strengere Informationspflichten auf der Website

Je nach Ausgestaltung bzw. Umfang der auf der Website angebotenen Inhalte und Funktionen, sind verschiedene Aspekte zu beachten.

So müssen die Besucher über datenschutzrelevante Aktivitäten informiert werden, die über die einfache Erfassung der IP-Adresse hinausgehen.

Dazu gehören insbesondere:

Kontaktformulare
E-Mail-Newsletter
Cookies
Analyse-Tools
Verwendung von Social-Media-Plug-Ins

Was ist bei Kontaktformularen künftig zu beachten?

Bereits bei einfachen Kontaktformularen ist darauf zu achten, dass die Eingabe und Übermittlung der Daten stets mit aktuellen Verschlüsselungsverfahren erfolgt, denn nur so ist sichergestellt, dass die von der DSGVO geforderte „angemessene Sicherheit“ der personenbezogenen Daten gewährleistet ist.

Dies gilt umso mehr, wenn etwa im Zuge einer Bestellung in einem Online-Shop besonders sensible und schützenswerte Daten wie Kontoinformationen übertragen werden.
Zudem gilt bei allen erfassten Formulardaten der Grundsatz der Datenminimierung bzw. Datensparsamkeit. Es dürfen nur solche Daten erhoben werden, die für den jeweiligen Zweck auch benötigt werden.

Für einen Newsletter etwa wird nur die E-Mail-Adresse benötigt, nicht aber weitere persönliche Daten. Felder zur Erfassung dieser Pflichtangaben sind eindeutig zu kennzeichnen. Dass weitere Angaben stets freiwillig sind, muss in den Formularen auch ersichtlich sein.

Kein E-Mail-Newsletterversand ohne wirksame Einwilligung?

Vor dem Versand eines Newsletters ist der Versender verpflichtet, die explizite Einwilligung des Nutzers einzuholen. Diese Einwilligung muss freiwillig und in unmissverständlicher Weise erfolgen. Dabei müssen Versender auch darüber informieren,

in welchem Umfang,
zu welchem Zweck
und von wem
die hier anfallenden personenbezogenen Daten verarbeitet werden.

Immer ist es notwendig auch auf die Möglichkeit zum Widerruf hinzuweisen.

Um den Nachweis zu erbringen, dass der Nutzer einer E-Mail-Adresse einen Newsletter tatsächlich auch abonniert hat und nicht etwa ein Dritter diesen Newsletter angefordert hat bzw. es durch Tippfehler bei der angegebenen Adresse zu unerwünschten Zustellungen gekommen ist, muss vor dem Versand des Newsletters eine Rückfrage bei der angegebenen E-Mail-Adresse mittels einer Bestätigungs-Mail erfolgen. Dies entspricht dem Double-Opt-In-Prinzip. Erst nachdem der Nutzer die Newsletter-Bestellung durch Anklicken des Bestätigungs-Links akzeptiert, darf der Newsletter-Versand erfolgen.

Auch Cookies fallen unter die DSGVO

Auch die Nutzung von Cookies auf den Webseiten fällt unter die Vorgaben der DSGVO, da hierüber - was auch Sinn und Zweck der Maßnahme entspricht - die Nutzer durch entsprechende Techniken wiedererkennbar werden. Mit einer Zustimmung der Nutzer ist man daher immer auf der richtigen Seite.

Andererseits erlaubt die DSGVO aber auch die Verarbeitung personenbezogener Daten, wenn dies zur Wahrung berechtigter Interessen des Verantwortlichen notwendig ist
und sofern dabei die Interessen und Grundfreiheiten der betroffenen Nutzer gewahrt bleiben.

Daraus lässt sich schließen, dass solche Cookies, die die Nutzerfreundlichkeit auf einer Website erhöhen bzw. einige Dienste erst ermöglichen, durchaus auch ohne Hinweis möglich sein müssten. Erst auf Cookies, die zu anderen Zwecken, etwa der Analyse der Besucherströme, verwendet werden, müsste dann explizit hingewiesen werden.

In jedem Fall unverzichtbar für alle Cookies ist jedoch ein Widerspruchsrecht, das allen Website-Besuchern eingeräumt werden muss.

Auf Analyse-Tools ist hinzuweisen

Explizit hinzuweisen ist auch auf den Einsatz anderer Analyse-Tools wie etwa das weit verbreitete Google Analytics. Die Website-Nutzer sind nicht nur über den Einsatz des Tools in der Datenschutzbestimmung zu informieren, es muss auch ein Widerspruchsrecht eingeräumt werden.

Zusätzlich muss Google Analytics so verwendet werden, dass die erfassten IP-Adressen anonymisiert werden, wozu Google eine entsprechende Erweiterung anbietet. Schließlich muss vor der Verwendung ein schriftlicher Vertrag zur Auftragsverarbeitung mit Google abgeschlossen werden.

Social-Media-Plug-Ins enthüllen Surfverhalten der Nutzer

Sollen auf den Webseiten die sogenannten Social-Media-Plug-Ins eingebaut werden, mit denen die Besucher andere Seiten - beispielsweise aus Soziale Netzwerke - empfehlen oder teilen können, wird künftig eine ausdrückliche Einwilligung der Nutzer verlangt.

Denn über diese Erweiterungen sammeln die sozialen Netzwerke, ähnlich wie mit anderen Analyse- und Tracking-Werkzeugen,
Daten mit Hinweisen um Surfverhalten der Nutzer und können daraus Nutzerprofile erstellen.

Hier empfiehlt sich der Einsatz solcher Lösungen, bei denen die Besucher zunächst frei entscheiden können, ob ihre Daten durch die Plug-Ins an die Sozialen Netzwerke übertragen werden sollen oder nicht. Realisiert werden kann dies beispielsweise durch zusätzliche Schaltflächen, durch deren Anklicken erst die Zustimmung zur Nutzung der Plug-Ins erteilt wird.

Neue Rechte und Ansprüche der Nutzer

Eine weitere Neuerung betrifft die Löschansprüche, die Betroffene nach Art. 17 DSGVO nun unter Umständen auch gegen Website-Betreiber haben. Diese müssen bei derartigen berechtigten Ansprüchen zum einen die beanstandeten Datenquellen auf ihren Webseiten entfernen. Zum anderen sind sie sogar verpflichtet, angemessene Maßnahmen zu ergreifen, um Dritte über den Zwang zum Löschen von Links etc. zu informieren.

Ebenfalls neu ist schließlich das Recht auf Datenübertragbarkeit, das es den Nutzern erlaubt, bei Sozialen Netzwerken, aber beispielsweise auch bei Online-Shops, sämtliche ihn betreffende personenbezogene Daten anzufordern.

Diese Daten müssen dann in einer strukturierten, gängigen und maschinenlesbaren Form ausgehändigt werden, damit sie anschließend an einen anderen Anbieter übertragen werden können, wenn der Nutzer dies wünscht.

Weitere News zum Thema:

Auswirkungen der Datenschutzgrundverordnung auf Datenschutzerklärungen

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

Neue Pflichten für Website-Betreiber durch die DSGVO