Im Kontext der DSGVO gibt es mehrere kritische Bereiche und ihr braucht zwingend an die DSGVO angepasste Datenschutz-Richtlinien. Neben den insbesondere für Online-Unternehmen relevanten Punkten beim Webauftritt müsst ihr natürlich auch zahlreiche Anforderungen an den internen Datenschutz erfüllen: u.a. von der sicheren Verwahrung von Akten über ein Schlüsselprotokoll und Leitlinien zur privaten Internetnutzung von Mitarbeitern bis hin zur ordnungsgemäßen Entsorgung von Unterlagen, die personenbezogene Daten enthalten. Wir konzentrieren uns nachfolgend jedoch auf die Datenschutzaspekte, die Externe schnell bei euch einsehen können und bei denen somit dringender Handlungsbedarf besteht.
1. Brauchen Sie einen Datenschutzbeauftragten?
Die Frage, ob Sie einen Datenschutzbeauftragten brauchen, hängt nicht von der Unternehmensgröße ab. Sobald die Verarbeitung personenbezogener Daten zur Kerntätigkeit eures Unternehmens gehört, benötigen Sie einen Datenschutzbeauftragten. Der Datenschutzbeauftragte kann intern oder extern bestellt werden. Dabei muss jedoch auch ein intern benannter Datenschutzbeauftragter entsprechende Kenntnisse vorweisen können, was bei kleinen Teams kaum der Fall sein dürfte.
2. Darf Google Analytics eingesetzt werden?
Google Analytics ist der gebräuchlichste Tracking-Dienst, aber er ist voller datenschutzrechtlicher Tücken. So wird bei Google Analytics die IP-Adresse des Users auch dann übertragen, wenn die IP-Adresse im Tracking-Schnipsel anonymisiert wird. Ob der Einsatz von Google Analytics nach Start der DSGVO noch im Rahmen liegt, wird derzeit intensiv diskutiert. Aber da Google selbst die Verantwortung zur Einholung einer Einwilligungspflicht eurer Webseitennutzer an euch überträgt, deutet einiges darauf hin, dass der Einsatz von Google Analytics (und aller anderen Google-Dienste) im Lichte der DSGVO anders zu handhaben ist.
Was können Sie tun?
• Strategie 1: Sie holen sich beim User die Zustimmung zum Tracking durch Google Analytics und bieten ein Opt-Out an. Dann riskieren Sie aber, Traffic zu verlieren, weil Sie den User damit abschreckt. Wird das Opt-Out häufig durchgeführt, haben eure Daten nur noch die Qualität einer Stichprobe.
• Strategie 2: Sie wählen ein alternatives Tracking-Tool, wie z.B. das kostenpflichtige Tool etracker.
3. Wie ist es generell mit dem Einsatz von Cookies?
Was läuft eigentlich bei Ihnen alles auf der Webseite?
Über Cookies wird das Surfverhalten Ihrer User beobachtet und dabei werden personenbezogene Daten übertragen. Dies ist laut DSGVO nicht erlaubt. Daher müssen Sie jeden Einsatz von Cookies in der Datenschutzerklärung erläutern und rechtfertigen. Die DSGVO öffnet an dieser Stelle die Datenschutztür einen Spalt breit: Die Zauberformel ist das sogenannte „berechtigte Interesse“ der Webseitenbetreiber. Der Haken an der Sache: Was genau alles in den Bereich „berechtigtes Interesse“ fällt, wird derzeit kontrovers diskutiert und damit nach DSGVO-Start vermutlich schnell Gerichte beschäftigen. Cookies, die dazu dienen, den ordnungsgemäßen Betrieb eures Webshops zu gewährleisten, fallen ohne Zweifel unter das berechtigte Interesse. Cookies, die hingegen Retargeting ermöglichen, mit großer Wahrscheinlichkeit nicht.
In jedem Fall müsst Sie Ihren Webseitenbesuchern die Möglichkeit bieten, die Aufzeichnung des Surfverhaltens zu unterbinden.
4. Ist die Einbindung von Youtube-Videos laut DSGVO erlaubt?
Wenn Sie auf Ihren Seiten Youtube-Videos einbindet, dann werden eure Nutzerdaten bereits vor dem Aufruf bzw. Klick des Videos an Youtube übermittelt. Das ist laut DSGVO ab dem 25. Mai 2018 nicht mehr erlaubt.
Was können Sie tun?
• Sie wählen die nocookie-Einbindung und bauen das Video so ein, dass keine Cookies übertragen werden. Wie das geht, sehen Sie auf Youtube, wenn Sie die Option „einbetten“ verwenden. (vgl. oben stehendes Bild)
• Oder Sie verwenden ein Plugin, das die Verbindung des Video-Elements zum Youtube-Server unterbindet. Der User übermittelt erst dann Daten zum Youtube-Server, wenn er das Video explizit aufruft.
In jedem Fall müssen Sie den Einsatz eingebetteter Youtube-Videos in die Datenschutzerklärung aufnehmen und den User darauf hinweisen, dass beim Anschauen der Videos Daten an Youtube übertragen werden.
5. Wie baut ihr Social Media Buttons rechtssicher ein?
Auch Social Media Buttons sind im Lichte der DSGVO kritisch zu bewerten. Sind Social Media-Buttons auf einer Webseite eingebunden, werden Nutzerdaten an den entsprechenden Dienst übertragen.
Hier gilt das gleiche wie bei Youtube-Videos:
• Sie wählen einen Button, der erst beim Klick auf den Button Userdaten übersendet. Für solche Buttons gibt es entsprechende Anbieter.
• Die Nutzung der Buttons müssen Sie erläutern und rechtfertigen und in der Datenschutzerklärung hinterlegen.
In dem Zusammenhang können Sie sich überlegen, welche Social Media Buttons für euer Webprojekt überhaupt relevant sind. Je weniger Social Media Buttons ihr einsetzt, desto weniger Arbeit haben Sie, die Datenschutzerklärung zu vervollständigen und bei rechtlichen Änderungen zu korrigieren.
6. Wann entspricht ein Formular den Anforderungen der DSGVO?
Wenn Sie in Zukunft auf Ihrer Website über ein Formular Daten erhebt, brauchen Sie zwingend eine verschlüsselte Übertragung der erhobenen Formulardaten. Was müsst ihr tun?
• Zuerst müssen Sie die Website auf https umstellen, damit ihr eine verschlüsselte Datenübertragung gewährleisten könnt.
• Im Formular dürfen Sie nur die notwendigsten Daten erheben.
• Das Formular muss zu Beginn einen Hinweis auf die Datenschutzerklärung enthalten.
• Die Datenerfassung über das Formular müssen Sie in der Datenschutzerklärung im Detail erläutern.
• Bauen Sie eine Schaltfläche in das Formular ein, über die der User einwilligen muss, die Daten an Sie zu dem vorgegebenen Zweck zu übermitteln und, dass er die Einwilligung gemäß Datenschutzerklärung jederzeit widerrufen kann. Das sollte ein Pflichtfeld sein, damit der User erst dann die Formularnachricht übertragen kann, wenn er den Bestätigungsbutton geklickt hat.
7. Datenschutzerklärung – haben Sie schon umgestellt?
Die Datenschutzerklärung muss zwingend umgestellt werden. Hier die wichtigsten Bestandteile eurer Datenschutzerklärung:
• Name und Anschrift des Datenschutzverantwortlichen
• Name und Anschrift des Datenschutzbeauftragten, wenn Sie einen brauchen
• Allgemeines zur Datenverarbeitung (Umfang, Rechtsgrundlage, Speicherdauer und Datenlöschung)
• Bereitstellung der Website und Erstellung von Logfiles
• Verwendung von Cookies
• Verwendung von Newslettern
• Registrierung von Mitgliederbereichen
• Kontaktformulare
• Verwendung von Social Media Elementen (Buttons, Einbindung von Youtube oder andere Anbieter wie Vimeo)
• Rechte der betroffenen Personen
Den Einsatz jedes laut DSGVO kritischen Elements auf Ihren Webseiten, egal ob Trackingtool, Social Media-Button oder Formularfeld, müssen Sie rechtfertigen und begründen.
Was müssen Sie erläutern?
• Was macht das Element mit den Daten und welchen Umfang hat diese Datenverarbeitung?
• Die Rechtsgrundlage der Datenverarbeitung durch das entsprechende Element
• Was ist der Zweck der Datenverarbeitung?
• Wie lange werden durch dieses Element Daten gespeichert?
• Welche Möglichkeiten bietet ihr eurem Nutzer, dem Einsatz des Elements zu widersprechen?
Die Datenschutzerklärung ist also ein zentraler Punkt auf Ihrer Website. Art und Umfang hängen davon ab, welche kritischen Elemente dort eingesetzt werden.
Fazit – Wie risikofreudig sind Sie?
Verstöße gegen die DSGVO werden in Zukunft streng geahndet. Die Abmahnanwälte, die sich darauf freuen, von Ihnen hohe Abmahngebühren zu kassieren, stehen schon in den Startlöchern. Wenn Siejetzt im Zeitdruck sind, weil Sie verschiedene Dinge bis zum 25. Mai 2018 nicht mehr schaffen werden, dann sollten Sie die kritischsten Punkte auf Ihrer Website vorübergehend abschalten. Wer dagegen meint, ohne Google Analytics nicht leben zu können und ein Analytics-Opt-In als geschäftsschädigend empfindet, der braucht viel Geld, gute Nerven und einen guten Anwalt. Denn gerade beim Einsatz von Google Analytics ist mit einer großen Zahl an Abmahnungen zu rechnen.