Ab dem 25.5.2018 gelten strengere Vorgaben für Websites Bild: mauritius images / Haag + Kropp /

Website-Betreiber sollten auf die Änderungen vorbereitet sein, die sich durch die DSGVO und die E-Privacy-Verordnung ergeben. Verschärfte Regelungen greifen insbesondere bei Nutzung von Komponenten wie einfachen Kontaktformulare, Analyse-Werkzeuge oder Social-Media-Plug-Ins. Hier gibt es ab Mai zusätzliche Informationspflichten, besonders wichtig: der Hinweis auf Widerufs- und Widerspruchsrechte.

Betroffen von den Vorgaben sind im Grunde alle Website-Betreiber, einzige Ausnahme sind rein private Websites, die sich ausschließlich an Freunde und Bekannt richten. Schon bei ganz einfachen Webseiten werden zwangsläufig die IP-Adressen der Besucher an den Webserver übertragen und da diese als personenbezogene Daten einzustufen sind, fällt auch der Betrieb einer Website unter den Geltungsbereich der DSGVO und es müssen daher die entsprechenden Vorgaben beachtet werden.

Neue und strengere Informationspflichten

Je nach Ausgestaltung bzw. Umfang der auf der Website angebotenen Inhalte und Funktionen, sind verschiedene Aspekte zu beachten.

So müssen die Besucher über datenschutzrelevante Aktivitäten informiert werden, die über die einfache Erfassung der IP-Adresse hinausgehen.

Dazu gehören insbesondere:

  • Kontaktformulare
  • E-Mail-Newsletter
  • Cookies
  • Analyse-Tools
  • Verwendung von Social-Media-Plug-Ins

Was ist bei Kontaktformularen künftig zu beachten?

Bereits bei einfachen Kontaktformularen sollten ist darauf zu achten, dass die Eingabe und Übermittlung der Daten stets mit aktuellen Verschlüsselungsverfahren erfolgt, denn nur so ist sichergestellt, dass die von der DSGVO geforderte „angemessene Sicherheit“ der personenbezogenen Daten gewährleistet ist.

  • Dies gilt umso mehr, wenn etwa im Zuge einer Bestellung in einem Online-Shop besonders sensible und schützenswerte Daten wie Kontoinformationen übertragen werden.
  • Zudem gilt bei allen erfassten Formulardaten der Grundsatz der Datenminimierung bzw. Datensparsamkeit. Es dürfen nur solche Daten erhoben werden, die für den jeweiligen Zweck auch benötigt werden.

Für einen Newsletter etwa wird nur die E-Mail-Adresse benötigt, nicht aber weitere persönliche Daten. Felder zur Erfassung dieser Pflichtangaben sind eindeutig zu kennzeichnen. Dass weitere Angaben stets freiwillig sind, muss in den Formularen auch ersichtlich sein.

Kein E-Mail-Newsletterversand ohne wirksame Einwilligung?

Vor dem Versand eines Newsletters ist der Versender verpflichtet, die explizite Einwilligung des Nutzers einzuholen. Diese Einwilligung muss freiwillig und in unmissverständlicher Weise erfolgen. Dabei müssen Versender auch darüber informieren,

  • in welchem Umfang,
  • zu welchem Zweck
  • und von wem
  • die hier anfallenden personenbezogenen Daten verarbeitet werden.

Immer ist es notwendig auch auf die Möglichkeit zum Widerruf hinzuweisen.

Um den Nachweis zu erbringen, dass der Nutzer einer E-Mail-Adresse einen Newsletter tatsächlich auch abonniert hat und nicht etwa ein Dritter diesen Newsletter angefordert hat bzw. es durch Tippfehler bei der angegebenen Adresse zu unerwünschten Zustellungen gekommen ist, muss vor dem Versand des Newsletters eine Rückfrage bei der angegebenen E-Mail-Adresse mittels einer Bestätigungs-Mail erfolgen. Dies entspricht dem Double-Opt-In-Prinzip. Erst nachdem der Nutzer die Newsletter-Bestellung durch Anklicken des Bestätigungs-Links akzeptiert, darf der Newsletter-Versand erfolgen.

Auch Cookies fallen unter die DSGVO

Auch die Nutzung von Cookies auf den Webseiten fällt unter die Vorgaben der DSGVO, da hierüber - was auch Sinn und Zweck der Maßnahme entspricht - die Nutzer durch entsprechende Techniken wiedererkennbar werden. Mit einer Zustimmung der Nutzer ist man daher immer auf der richtigen Seite.

  • Andererseits erlaubt die DSGVO aber auch die Verarbeitung personenbezogener Daten, wenn dies zur Wahrung berechtigter Interessen des Verantwortlichen notwendig ist
  • und sofern dabei die Interessen und Grundfreiheiten der betroffenen Nutzer gewahrt bleiben.

Daraus lässt sich schließen, dass solche Cookies, die die Nutzerfreundlichkeit auf einer Website erhöhen bzw. einige Dienste erst ermöglichen, durchaus auch ohne Hinweis möglich sein müssten. Erst auf Cookies, die zu anderen Zwecken, etwa der Analyse der Besucherströme, verwendet werden, müsste dann explizit hingewiesen werden.

In jedem Fall unverzichtbar für alle Cookies ist jedoch ein Widerspruchsrecht, das allen Website-Besuchern eingeräumt werden muss.

Auf Analyse-Tools ist hinzuweisen

Explizit hinzuweisen ist auch auf den Einsatz anderer Analyse-Tools wie etwa das weit verbreitete Google Analytics. Die Website-Nutzer sind nicht nur über den Einsatz des Tools in der Datenschutzbestimmung zu informieren, es muss auch ein Widerspruchsrecht eingeräumt werden.

Zusätzlich muss Google Analytics so verwendet werden, dass die erfassten IP-Adressen anonymisiert werden, wozu Google eine entsprechende Erweiterung anbietet. Schließlich muss vor der Verwendung ein schriftlicher Vertrag zur Auftragsverarbeitung mit Google abgeschlossen werden.

Social-Media-Plug-Ins enthüllen Surfverhalten der Nutzer

Sollen auf den Webseiten die sogenannten Social-Media-Plug-Ins eingebaut werden, mit denen die Besucher andere Seiten - beispielsweise aus Soziale Netzwerke - empfehlen oder teilen können, wird künftig eine ausdrückliche Einwilligung der Nutzer verlangt. 

  • Denn über diese Erweiterungen sammeln die sozialen Netzwerke, ähnlich wie mit anderen Analyse- und Tracking-Werkzeugen,
  • Daten mit Hinweisen um Surfverhalten der Nutzer und können daraus Nutzerprofile erstellen.

Hier empfiehlt sich der Einsatz solcher Lösungen, bei denen die Besucher zunächst frei entscheiden können, ob ihre Daten durch die Plug-Ins an die Sozialen Netzwerke übertragen werden sollen oder nicht. Realisiert werden kann dies beispielsweise durch zusätzliche Schaltflächen, durch deren Anklicken erst die Zustimmung zur Nutzung der Plug-Ins erteilt wird.

Neue Rechte und Ansprüche der Nutzer

Eine weitere Neuerung betrifft die Löschansprüche, die Betroffene nach Art. 17 DSGVO nun unter Umständen auch gegen Website-Betreiber haben. Diese müssen bei derartigen berechtigten Ansprüchen zum einen die beanstandeten Datenquellen auf ihren Webseiten entfernen. Zum anderen sind sie sogar verpflichtet, angemessene Maßnahmen zu ergreifen, um Dritte über den Zwang zum Löschen von Links etc. zu informieren.

Ebenfalls neu ist schließlich das Recht auf Datenübertragbarkeit, das es den Nutzern erlaubt, bei Sozialen Netzwerken, aber beispielsweise auch bei Online-Shops, sämtliche ihn betreffende personenbezogene Daten anzufordern.

Diese Daten müssen dann in einer strukturierten, gängigen und maschinenlesbaren Form ausgehändigt werden, damit sie anschließend an einen anderen Anbieter übertragen werden können, wenn der Nutzer dies wünscht.

Weitere News zum Thema:

Auswirkungen der Datenschutzgrundverordnung auf Datenschutzerklärungen

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Seminar: Das neue Datenschutzrecht in der Rechtsanwaltskanzlei

Ab dem 25.5.2018 gilt die DS-GVO unmittelbar in allen Mitgliedstaaten. Der Referent Prof. Dr. Boris Paal erläutert am 19.2.2018 um 14:00 Uhr die Auswirkungen des neuen Datenschutzrechts für Beratungspraxis und Büroorganisation in der Rechtsanwaltskanzlei. Die Seminarinhalte sind:

  •     Überblick über die die DS-GVO und das BDSGneu,
  •     Anwendungsbereiche, Bußgelder und Sanktionen und
  •     Leitfaden Datenschutz 2018/Compliance-Management.

Termin: 19. Februar 2018 um 14:00 Uhr, Dauer ca. 60 Minuten.

Teilnahmegebühr: 98 EUR zzgl. USt.

Hier können Sie sich anmelden.

Schlagworte zum Thema:  Datenschutzerklärung, Datenschutz-Grundverordnung, Datenschutz, Compliance

Aktuell
Meistgelesen