Welche Webseiten sind von der DSGVO betroffen?
Beinahe alle, ausser Internetseiten, die ausschliesslich familiären oder persönlichen Zwecken dienen und all jene, die keine Besucher aus der europäischen Union haben . Alle anderen Websitebetreiber müssen sich mit den neuen EU-Datenschutzbestimmungen beschäftigen – selbst dann, wenn sie überhaupt keine Daten der Nutzer abfragen. Denn wenn ein Besucher eine Website aufruft, dann wird seine IP-Adresse übertragen. Und IP-Adressen gehören zu den personenbezogenen Daten.
Die folgenden Punkte sollten erfüllt sein, damit Ihre Internetseite DSGVO-konform ist:
Rechtsgrundlagen
Art. 9 DSGVO
Art. 6 DSGVO
Art. 12 ff DSGVO
1. Datenschutzerklärung ist zu überarbeiten
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Alle Dienste und Plug-ins, die Sie auf der Seite verwenden und die dafür sorgen, dass Daten an eine dritte Partei zugänglich oder übermittelt werden, müssen in der Datenschutzerklärung aufgeführt werden. Personenbezogene Daten werden beispielsweise vom Facebook-Like-Button weitergegeben. Wer auch Captcha Dienste nutzt, um zu verhindern, dass Roboter Kommentare auf der Seite hinterlassen, gibt personenbezogene Daten weiter – zum Teil an ausländische Server. Das ist uns vielfach gar nicht bewusst. Zudem muss die Datenschutzerklärung bedeutend mehr Informationen darüber enthalten, welche Rechte die Nutzer gemäss den neuen DSGVO-Bestimmungen haben.
2. Verschlüsselung der Webseite
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Internetseiten, auf denen personenbezogene Daten erhoben werden, müssen grundsätzlich verschlüsselt sein. Dies gilt überall dort wo es um Kontaktformulare oder Newsletteranmeldungen geht. Verschlüsselte Seiten erkennt man daran, dass die URL in der Browserleiste eine https hat. Viele Browser zeigen dann ein Schloss vor der URL an oder das Wort „sicher“. Überprüfen Sie zudem, ob dies auf allen Ihre Seiten zutrifft. Wenn nicht, dann sollten Sie Ihre Seite mit Hilfe eines SSL-Zertifikats verschlüsseln. Diese Zertifikate können sie auch kostenlos beziehen, zum Beispiel bei Let’s Encrypt. Auch Google bevorzugt verschlüsselte Seiten – alle anderen werden schlechter in der Suchmaschine positioniert
3. Formulare auf Ihrer Website sind zu überprüfen
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Kann man auf Ihrer Website ein Kontaktformular auffüllen, einen Termin vereinbaren oder sich für einen Newsletter anmelden? Dann sind diese Seiten zu überarbeiten. Sie dürfen in ihren Formularen nur die personenbezogenen Daten erheben, die Sie tatsächlich brauchen, um eine Anfrage zu beantworten. Was am Ende tatsächlich als erforderlich gilt, hängt von der jeweiligen Situation ab. Pflichtfelder in Formularen müssen gekennzeichnet sein. Wenn Sie noch weitere Daten erheben wollen, dann muss für den Nutzer klar sein, dass diese Angaben freiwillig sind. Weisen Sie darauf hin, warum Sie die Daten benötigen, auf welcher Rechtsgrundlage Sie diese verarbeiten und was Sie damit machen. Überprüfen Sie, ob Sie für jeden Zweck, für den Sie Daten benötigen, eine separate Einwilligung haben. Wenn Sie zum Beispiel einem Kunden, der mit Ihnen online einen Termin vereinbart hat, auch Ihren Newsletter schicken wollen, dann brauchen Sie dafür eine zusätzliche Einwilligung. Und vor dem Absenden des Formulars sollten Sie auf die Datenschutzerklärung verweisen
4. Social-Media-Plugins und die eingebundenen Videos überprüfen
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Die Social-Media-Plugins, die Facebook und Co. zur Verfügung stellen, sammeln vom Websitenutzer unbemerkt personenbezogene Daten und können so detaillierte Persönlichkeitsprofile erstellen. Dasselbe gilt, wenn Sie Videosclips, beispielsweise von Youtube auf Ihrer Seite einbinden. Haben Sie youtube-Videos auf Ihrer Seite eingebunden, dann übertragen Sie automatisch Daten Ihrer Websitebesucher an Youtube resp. an Google, unabhängig davon ob Ihre Nutzer das Video angeklickt haben.
5. Überprüfen Sie Ihr Statistik-Tools
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Die meisten Webseiten-Betreiber nutzen Dienste wie Google Analytics, um zu analysieren, wie viele Besucher auf ihre Seite kommen und wie ihr Verhaltensmuster ist. Dabei werden IP-Adressen gesammelt. Diese müssen so gekürzt, das heisst anonymisiert werden, dass kein Personenbezug mehr möglich ist. Ihr IT-Dienstleister kann den „anonymizeIP“-Befehl in den Quellcode Ihrer Website einbauen, um zu verhindern, dass ein Personenbezug möglich ist.
Weiter ist mit Google einen Vertrag zur Auftragsverarbeitung abzuschliessen und in der Datenschutzerklärung darauf hinzuweisen, dass Sie das Statistik-Tool von Google verwenden. Zusätzlich muss dort ein Link zu den Google Analytics Nutzungs- und Datenschutzbestimmungen vorhanden sein. Weiter muss eine Widerspruchsmöglichkeit integriert sein, die so genannte Opt-out-Funktion so dass Ihre Nutzer mit einem Klick in den Datenschutzerklärungen dafür sorgen kann, dass seine Daten nicht mehr an Google weitergegeben werden. Wie man diese Opt-out-Funktion integriert, ist unter Google https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable zu finden.
6. Sind Sie im Besitz einer Auftragsverarbeitungs-Vereinbarung mit Ihrem Webhoster
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Der Webhoster (Provider) stellt Webseiten bereit und übernimmt den Betrieb von Webservern und die Netwerkanbindung. Nehmen Sie eine Dienstleistung eines Webhoster in Anspruch, ist eine Auftragsverarbeitungs-Vereinbarung allenfals zu schliessen. Übernehmen Webhoster allerdings auch Aufgaben, bei denen sie personenbezogene Daten verarbeitet werden, wie beispielsweise die E-Mail-Verwaltung oder die E-Mail-Archivierung, dann liegt eine Auftragsverarbeitung vor und Sie müssen einen Vertrag zur Auftragsverarbeitung schliessen.
7. Informieren Sie über Cookies
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Beinahe alle Webseiten verwenden Cookies. Das sind kleine Textdateien, die Daten lokal auf ihrem Gerät speichern. Sie dienen dazu, den Nutzer wiederzuerkennen und ihm das Surfen auf der Website zu erleichtern, was das auch immer heissen mag. Die Websitenutzern sollten beim ersten Aufruf der Seite eine Cookie-Einwilligung abgeben. Der Text der Cookie-Warnung sollte so konkret wie möglich sagen, um welche Daten es geht, wofür diese genutzt werden und an wen sie gegebenenfalls weitergegeben werden.
Auch in der Datenschutzerklärung sind die Cookies und ihre Rechtsgrundlage nach den Datenschutzbestimmungen zu erwähnen. Ausserdem muss ein Hinweis für die Nutzer in die Datenschutzerklärung, wie sie das Setzen von Cookies verhindern können.
8. Wie steht es um Ihren Newsletter ?
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Wer Newsletter-Dienste wie MailChimp, CleverReach und Newsletter2Go verwendet, muss mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung schliessen.
Zudem ist Ihr Formular zur Anmeldung zum Newsletter zu überarbeiten. Dort muss erwähnt sein, welchem Zweck der Newsletter dient und welche Informationen Abonnenten erhalten, wenn sie sich dafür anmelden. Als Pflichtfeld dürfen Sie lediglich die E-Mail-Adresse abfragen. Beim Anmeldeformular sollte auch eine Verlinkung zur Datenschutzerklärung eingebaut sein. Dort müssen weitere Hinweise dazu stehen, wie und warum der Versanddienstleister Daten verarbeitet. Wenn beispielsweise ausgewertet wird, wie viele Nutzer Links im Newsletter anklicken, dann müsste in der Datenschutzerklärung darüber informiert und erklärt werden, warum dies geschieht – nämlich um den Newsletter für die Nutzer zu optimieren.
Nutzer müssen zudem deutlich darauf hingewiesen werden, dass sie ihre Einwilligung widerrufen können, das Abmeldeformular sollte einfach zugänglich sein. Damit nicht jemand gegen seinen Willen als Abonnent eingetragen wird und Sie die Einwilligung rechtssicher nachweisen können, müssen Sie das Double-Opt-in-Verfahren nutzen. Das heisst, bevor Sie eine E-Mail-Adresse für den Newsletterversand aktivieren, muss der Nutzer über einen personalisierten Bestätigungslink (sogenannte Check-Mail) nochmals bestätigen, dass er tatsächlich Inhaber dieses Postfachs ist.