Die Datenschutzgrundverordnung (DSVGO)

Was du bei deiner Website oder deinem Blog beachten musst (2/2)

Ende Mai ist die neue Datenschutzgrundverordnung (DSGVO) der EU in Kraft getreten. Wir helfen dir mit unseren Praxistipps, deine Website oder deinen Blog DSGVO-konform zu gestalten.

In unserem ersten Teil dieses DSGVO-Ratgebers haben wir uns um das Thema datenschutzkonformes Webhosting und die richtige Gestaltung der Datenschutzerklärung gekümmert. Außerdem haben wir Tipps für die richtige Gestaltung deiner Kontaktformulare gegeben. In diesem Teil informieren wir dich über die DSGVO-konforme Implementierung und Nutzung von Newsletter-Anmeldungen, Social Plugins, Google Analytics und der Google Fonts. Außerdem beleuchten wir das Thema der Cookie Hinweise im Rahmen der neuen Datenschutzgrundverordnung.

Beachte: Wir sind keine Juristen und können mit diesem Beitrag auch keine Rechtsberatung leisten. Die im folgenden genannten Maßnahmen erheben daher keinen Anspruch auf Vollständigkeit.

Rechtssichere Newsletter-Anmeldung nach DSGVO

 

Durch die neue Verpflichtung der Datenminimierung, darfst du als Websitebetreiber nur die Daten anfordern, die du für den jeweiligen Zweck benötigst. Bei Newsletter-Anmeldungen heißt das konkret, dass lediglich die E-Mail-Adresse als Pflichtfeld angegeben werden darf. Falls du weitere Daten wie Name, Geburtsdatum, Adresse o.ä. abfragen möchtest, musst du deutlich machen, dass es sich hierbei nicht um verpflichtende Angaben handelt. Außerdem solltest du darauf achten, dass du bei dem Versand von Newslettern immer die Einwilligung deiner Empfänger vorliegen hast. Der Einwilligungstext darf dabei nicht zu pauschal formuliert sein, sondern muss erkennen lassen, welche personenbezogenen Daten zu welchem Zweck durch wen verarbeitet werden. Außerdem muss innerhalb des Textes auf das Widerrufsrecht hingewiesen werden. In dem gelben Kasten findest du einen Mustertext für die Einwilligungserklärung.

DSGVO - Datenschutzrechtliche Einwilligungserklärung

Für den Anmeldeprozess solltest du ein Double-Opt-In Verfahren verwenden, damit du in Zweifelsfällen die Einwilligung des Nutzers vorzeigen kannst. Deinen bisher bestehenden Datenpool solltest du nochmal in Hinblick auf die genannten Kriterien überprüfen. Entspricht dein Adresspool den Vorgaben der DSGVO, behalten auch die bisherigen Einwilligungen ihre Gültigkeit. Entsprechen die Adressdaten nicht diesen Regeln, solltest du die Daten bereinigen oder nachrüsten.

Für das Newsletterformular gilt wie für das Kontaktformular, dass die Übertragung von personenbezogenen Daten ab dem Stichtag verschlüsselt ablaufen muss. Auch hier solltest du auf eine entsprechende TLS- oder SSL-Verschlüsselung achten.

Außerdem solltest du überprüfen, ob dein Newsletter-Anbieter DSGVO konform arbeitet. Die meisten gängigen Newslettertools wie Mail Chimp, Newsletter2Go, Episerver (ehemals Optivo) und  CleverReach  bieten ausführliche Infos und fertige Verträge zur Auftragsverarbeitung auf Ihrer Website an, denn auch hier benötigst du eine entsprechende vertragliche Grundlage.

Alternativen für Social Plugins im Rahmen der DSGVO

 

Egal ob Facebook, Twitter oder LinkedIn, fast jedes soziale Netzwerk bietet Social Plugins an, die auf der eigenen Website eingebunden werden können. Diese Erweiterungen ermöglichen es dem Nutzer, Inhalte innerhalb der entsprechenden Netzwerke zu teilen. Das Problem mit diesen Plugins ist folgendes: Durch die Implementierung des Codes, der mittels iFrame eingebunden wird, können bei jedem Aufruf der Website automatisch und unabhängig davon, ob die Funktion genutzt wird, Daten an das jeweilige Soziale Netzwerk übertragen werden. So können Facebook, Twitter & Co unbemerkt Daten der Nutzer erheben und das Nutzerverhalten tracken. Die dynamische IP-Adresse des Websitebesuchers und der String des genutzten Browsers werden auch dann übertragen, wenn der Nutzer gar nicht in dem jeweiligen Netzwerk angemeldet ist.

 

Im Rahmen der DSGVO und der dort verankerten Interessenabwägung wird sich der Einsatz solcher Social Plugins nicht mehr legitimieren lassen. Daher solltest du entweder auf die Einbindung von Social Plugins verzichten, oder auf die sogenannte Shariff-Lösung zurückgreifen. Diese Lösung sorgt dafür, dass die sozialen Netzwerke erst dann Daten von Nutzern abfragen können, wenn diese aktiv werden und auf den entsprechenden Button klicken. Mit Klick auf den Link liegt die Informationspflicht über die Datenerhebung und -verarbeitung dann nicht mehr bei dir als Websitebetreiber, sondern bei den Betreibern des sozialen Netzwerkes.

Cookie Hinweise – ja oder nein?

 

Cookies fallen als sogenannte Online-Kennungen in den Anwendungsbereich der DSGVO, selbst wenn die Kennungen pseudonymisiert sind. Das Verwenden von Cookies ohne entsprechenden Hinweis wird nur unter sehr engen Rahmenbedingungen möglich sein, bspw. bei Cookies, die die Nutzerfreundlichkeit einer Website verbessern wie etwa Session-IDs oder Warenkorb Cookies. Auch der Einsatz von Cookies zur Webanalyse wie bspw. Google Analytics könnte theoretisch durch die Interessensabwägung gerechtfertigt sein, zumal Google durch den Privacy Shield zertifiziert ist. Dennoch ist die Rechtslage zu Cookie Hinweisen noch nicht gänzlich geklärt. Für den Status Quo empfiehlt es sich daher, die Einwilligung der Websitebesucher durch einen Cookie Hinweis einzuholen. Um das Pop Up möglichst schlank zu halten, solltest du nur einen kurzen allgemeinen Text zur Cookie Verwendung in das Pop Up packen und die detaillierte Beschreibung von dort verlinken. In der gelben Box findest du ein Beispiel für den entsprechenden Cookie-Text.

Google Analytics und DSGVO

 

Auch der Einsatz von Google Analytics ist mit dem Inkrafttreten der DSGVO nicht mehr ohne Weiteres möglich. Die folgende Checkliste hilft dir, die rechtlichen Anforderungen zu erfüllen:

  • Es muss ein Auftragsdatenverarbeitungsvertrag mit Google vorliegen. Hier kannst du den entsprechenden Vertrag herunterladen.
  • Du musst deine Besucher über die Nutzung von Google Analytics im Rahmen deiner Datenschutzerklärung aufklären.
  • Deine Nutzer müssen die Möglichkeit haben, sich von der Datenerhebung auszuschließen. Dafür solltest du sowohl das entsprechende Add-On zur Verfügung stellen als auch den entsprechenden Opt-Out Cookie. Letzterer ist vor allem für die mobile Nutzung relevant, da dort Add Ons meist nicht funktionieren
  • Du musst den Code zur Anonymisierung der IP-Adressen der Besucher in deine Webseite eingebaut haben.
  • Bisher erhobene Daten, die nicht DSGVO-konform sind, solltest du wieder löschen.

In diesem Beitrag findest du nochmal ausführlich alle Schritte, die zu einem rechtskonformen Umgang mit Google Analytics notwendig sind.

Google Fonts und DSGVO

 

Verwendest du aktuell Google Fonts auf deiner Website? Sofern die Schriftdateien von Google Fonts heruntergeladen und lokal auf deinem Server liegen, spricht nichts gegen die Verwendung der Google Fonts.

Falls du die Schriften jedoch direkt vom Google Server abrufst, solltest du darauf in deiner Datenschutzerklärung hinweisen, da Google so jegliche Bewegung auf deiner Seite tracken kann, auch die IP Adresse des Nutzers.

Alles neu macht der Mai

 

Du musst also ab Ende Mai einige rechtliche Neuerung auf deinem Webauftritt beachten, auch wenn bei vielen Themen aktuell noch Unklarheit darüber herrscht, wie die DSGVO umzusetzen ist. Daher bleiben bei vielen Themen die ersten Rechtsprechungen abzuwarten. Mit den hier genannten Maßnahmen hast du aber schon sehr viel dafür getan, deine Website DSGVO-konform zu gestalten. Darüber hinaus solltest du auch die kommende E-Privacy Verordnung im Auge behalten. Sie wird die DSGVO vor allem in puncto elektronischer Kommunikation ergänzen und den Nutzern noch mehr Kontrolle über die eigenen Daten einräumen. In diesem Sinne – stay tuned!

Weitere Beiträge