Immer auf dem Laufenden.

Aktuelles aus dem Agenturleben.

DSGVO - Was muss ich an meiner Website ändern?

Datenschutzgrundverordnung (DSGVO) - Was muss ich an meiner Website ändern?

Die Datenschutz-Grundverordnung (DSGVO) bzw. die General Data Protection Regulation (GDPR), die bereits am 24. Mai 2016 in Kraft trat, findet nun ab dem 25. Mai 2018 in Deutschland Anwendung.

Was bedeutet das für meine Website? Dieser Frage möchten wir in diesem Beitrag nachgehen und eine Übersicht geben.

 

Generelles zur DSGVO in Kürze

Die besagte Datenschutz-Grundverordnung gilt in der gesamten EU – und nicht nur, wenn in der EU Daten verarbeitet werden, sondern immer, wenn Daten von EU-Bürgern verarbeitet werden. Dies schließt auch US-Firmen ein.

Zentraler Begriff der DSGVO sind personenbezogene Daten. Dies sind all jene Informationen, die sich auf eine natürliche Person beziehen. Dazu zählen z. B. unter anderem Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum und Alter, Geschlecht, Bankdaten, IP-Adresse u. v. m.

Weil auch in der Kommunikation mit Geschäftskunden solche Informationen anfallen, gilt die DSGVO damit für sowohl für B2C- als auch B2B-Geschäfte. Ausgenommen sind lediglich Websites, die ausschließlich familiären oder persönlichen Zwecken dienen.

Neben hohen Bußgeldern - nach Art. 83 DSGVO können dies bis zu 4 Prozent des weltweit erzielten Jahresumsatzes sein - drohen erhebliche Risiken durch Schadenersatzforderungen. Ab 2018 lohnt es sich für Verbraucher und deren Anwälte finanziell, wenn Unternehmen sich nicht an den Datenschutz halten. Während Unternehmen bisher lediglich klar bezifferbare Vermögensschäden ersetzen mussten, sieht Art. 82 Abs. 1 DSGVO auch den Ersatz immaterieller Schäden - und damit Schmerzensgeld - vor.

Neben den möglichen Strafen ist die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO beachtenswert. Danach müssen Unternehmen jederzeit erklären und beweisen können, dass personenbezogene Daten rechtmäßig erhoben und verarbeitet werden. Sobald die Behörde Informationen einfordert, müssen diese geliefert werden – genügend Zeit, sich dann erst mit dem Thema zu befassen bleibt dann nicht mehr.

Spätestens jetzt sollte man dazu übergehen, den bereits zuvor benötigten Vertrag zur Auftragsdatenverarbeitung mit Google abzuschließen, wenn Google Analytics eingesetzt wird. Gleiches gilt, wenn Newsletter z. B. mit MailChimp oder einem anderen Anbieter versendet werden.

Kommen wir also zu den konkreten Änderungen, die direkt und indirekt die Website betreffen.

 

Aktualisierung der Datenschutzerklärung

Bereits vor dem 25.5.2018 waren Websitebetreiber verpflichtet eine Datenschutzerklärung in die Website einzubinden. Diese muss von jeder Seite einer Website aus aufrufbar sein und darf nicht z.B. im Impressum „versteckt“ werden. Zudem muss der Link eindeutig bezeichnet sein.

Nach Art. 12 DSGVO müssen Websitebesucher in einfacher Sprache präzise und transparent darüber informiert werden, welche Daten erhoben werden und was mit Ihren Daten passiert. Da die neue Regelung weitreichender ist als bisher, müssen nahezu alle Websitebetreiber ihre bisherige Datenschutzerklärung aktualisieren.

 

Folgendes muss dort u. a. aufgeführt und erläutert werden (siehe Art. 13 DSGVO):

  • der Name und die Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie die Rechtsgrundlage für die Verarbeitung
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

Weitere Auflagen für Websites ergeben sich aus der Verpflichtung der Datenminimierung, Integrität und Vertraulichkeit nach Art. 5 Abs. 1 DSGVO. Demnach muss eine verschlüsselte Übertragung der Daten (z. B. aus einem Kontaktformular, Bestellformular oder der Newsletter-Anmeldung) per SSL-Zertifikat gewährleistet werden. Wer zur Zeit kein SSL-Zertifikat verwendet, muss zudem damit leben, dass diverse Browser unverschlüsselte Websites negativ mit einer Meldung an den Besucher hervorheben.

Für den Einsatz von Social Media Plugins, z.B. zum Teilen von Inhalten auf Facebook, Twitter etc., wird die Zustimmung benötigt. Entsprechend sollte vom Einsatz der offiziellen Plugins und Buttons der sozialen Netzwerke abgesehen werden, da diese bereits beim Betreten der Website Daten an den jeweiligen Anbieter übertragen – egal ob der Nutzer dort Mitglied ist oder nicht.

 

Kopplungsverbot

Die Datenschutz-Grundverordnung beinhaltet ein Kopplungsverbot für die Einwilligung der Nutzer, dies ist besonders für Online Marketer relevant. Dies besagt, dass die Einwilligung zum Bezug von Werbe-E-Mails nicht an eine Leistung (wie z. B. den Erhalt eines kostenfreien E-Books, die Teilnahme an einem Gewinnspiel oder ähnliches) gekoppelt werden darf (siehe Art. 7 Abs. 4 DSGVO). In der Vergangenheit gekoppelt erteilte Einwilligungen müssen damit erneut eingeholt werden. Andernfalls könnte jeder Empfänger von unrechtmäßig zugestellter Werbung eine Abmahnung verschicken. Zukünftig ist also ein zusätzlicher, separater und freiwilliger Opt-In nötig, für den keine Gegenleistung angeboten werden darf.

 

Nicht direkt inhaltlich mit der Website zusammenhängend, aber dennoch wichtig zu wissen:

 

Das erweiterte Auskunftsrecht

Unternehmen müssen nach Art. 15 DSGVO kostenlos Auskunft darüber erteilen,

  • welche Daten eines Nutzers gespeichert sind
  • die Verarbeitungszwecke der Daten
  • an wen die Daten weitergegeben wurden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
  • für welche Dauer sie gespeichert werden
  • die Herkunft der Daten, sofern Sie von Dritten erhoben wurden
  • sowie einen Hinweis auf die Rechte auf Widerspruch, Berichtigung oder Löschung der Daten und Beschwerde bei einer Aufsichtsbehörde

 

Recht auf Löschung

Art. 17 DSGVO räumt ein Recht auf Löschung bzw. „Vergessenwerden“ ein. So haben betroffene Personen das Recht, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft:

  • die Daten, für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind
  • die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt
  • die betroffene Person gemäß Art. 21 Abs. 1 Widerspruch gegen die Verarbeitung einlegt
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden

Allerdings gilt zu beachten, dass Unternehmen Daten gemäß Art. 17 Abs. 3 DSGVO nicht löschen dürfen und müssen, wenn die Daten zur Ausübung des Rechts auf freie Meinungsäußerung und Information dienen, gesetzliche Aufbewahrungspflichten bestehen (z.B. Steuerunterlagen) oder die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.

 

Wir hoffen, diese Übersicht hilft Ihnen dabei, Ihre Website und die damit verbundenen Unternehmensprozesse für die DSGVO fit zu machen und so möglichen Abmahnungen zu entgehen.

Bitte beachten Sie, dass es sich bei diesem Beitrag um unsere persönliche Einschätzung und keine rechtliche Beratung handelt.

Zurück zur Übersicht

Sie suchen eine zuverlässige Werbeagentur?

Jetzt Beratungstermin vereinbaren