Ist Ihre Website DSGVO-konform?

Die neue E-Privacy-Richtlinie setzt neue Maßstäbe für Web-Aufritte – häufig besteht Handlungsbedarf.

Wenn am 25.5.2018 EU-weit die neue Datenschutz-Grundverordnung (DSGVO, „E-Privacy-Richtlinie“) in Kraft tritt, schreibt sie zwar grundsätzlich bestehende Regelungen fort. Die zusätzlichen Informations- und Dokumentationspflichten sind jedoch nicht zu unterschätzen. Viele Unternehmen haben gerade bei ihren Webauftritten noch Nachholbedarf.

Der Anwendungsbereich erstreckt sich primär auf personenbezogene Daten, also alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dabei reicht die Möglichkeit der Identifizierung als Kriterium aus. Neu ist das Gebot der Datensicherheit bei der Verarbeitung (Art. 32 DSGVO). Es wirkt sich unmittelbar auf die Website aus, wenn diese genutzt wird, um Geschäftsprozesse abzuwickeln; insbesondere, wenn es eine Verbindung in ein CRM- oder ERP-­System gibt.

Informieren und dokumentieren

Nutzer müssen über die Erhebung und Verarbeitung der Daten informiert werden und aktiv zustimmen. Das gilt bereits für ein herkömmliches Kontaktformular: Dort oder direkt per Link erreichbar – z. B. in der Datenschutzerklärung – ist eine Belehrung einzubinden, die über Art, Umfang und Zweck der Daten­erhebung und -verwendung unterrichtet. Sie muss darauf hinweisen, dass der Nutzer seine Einwilligung jederzeit widerrufen kann. Der „Absenden“-Button des Formulars darf erst aktiv werden, wenn der Nutzer per Häkchen bestätigt hat, dass er diesen Hinweis wahrgenommen hat – und natürlich darf diese Check-Box nicht vorausgefüllt sein.
Bei über ein reines Kontaktformular hinausgehenden ­Formularen gelten erweiterte Zustimmungspflichten, etwa zur längeren Speicherung der Daten oder zur späteren ­Kontaktaufnahme. Dies muss dann nicht nur durch entsprechende zusätzliche Check-Boxen abgefragt werden. Das Unternehmen muss die jeweilige Zustimmung des Nutzers auch rechtssicher ­dokumentieren.

Cookies und Cookie-Hinweise

Viele Websites nutzen Cookies; werden diese für Nutzerprofile genutzt, gilt in Deutschland bisher eine Opt-out-Lösung: Nutzer müssen per Datenschutzerklärung darauf hingewiesen werden und eine Widerspruchsmöglichkeit haben. Nach der neuen Verordnung ist dagegen das Erstellen von Nutzerprofilen nur noch per ausdrücklicher Zustimmung des Nutzers möglich. Gleichzeitig entfällt die bisherige Unterscheidung zwischen personenbezogenem und pseudonymem Tracking.

Das „Cookie-Banner“ beim ersten Aufruf einer Website wird damit vielfach Pflicht – aber nicht immer. Ein Hinweis auf den Einsatz von Cookies ist nicht nötig, wenn die ­Cookies „für die Nutzung eines ausdrücklich verlangten Dienstes technisch ­notwendig“ sind (Art. 8 Abs. 1 b DSGVO). Ebenfalls nicht hingewiesen werden muss auf reine Session-Cookies, die nur während des Besuchs der Website gelten (Art. 8 Abs. 2). Darüber hinaus kann der Hinweis voraussichtlich grundsätzlich entfallen, sobald die gängigen Browser Third-Party-Cookies per Default blockieren – was für Browser, die dies nicht ohnehin schon erfüllen, großenteils für 2018 angekündigt ist.

Social Media, Videos, Google Maps & Co.

Geht es um die Einbindung von Social-Media-Angeboten wie Facebook, sind die meisten Website-Betreiber sich bereits im Klaren darüber, dass sie darauf in der Datenschutz­erklärung hinweisen müssen. Dies gilt für alle Plug-ins, die ohne Nutzerinteraktion eine Verbindung zur Social-Media-Plattform aufbauen, wie den Like-Button von Facebook oder ein Twitter-Widget, das die letzten Tweets in der Website anzeigt. Nicht nötig ist ein Hinweis dagegen bei statischen Links wie einem Share-Button, die erst auf Klick zu Facebook & Co. wechseln.
Videos werden häufig auf einer Website eingesetzt. Youtube bietet dafür komfortable Optionen zum Einbetten von Videos in die eigene Website an. Bei der normalen Einbindung werden allerdings ebenfalls schon beim Aufrufen der Website Daten an Youtube übertragen. Der optionale „erweiterte Datenschutzmodus“ mildert das Problem – hier werden Daten erst ab dem Start des Videos übertragen. Ein Hinweis ist dennoch erforderlich, wenn der Besucher das Video als Teil der Website wahrnimmt.

Eine aktuelle Website nutzt Dienste, deren datenschutzrechtliche Implikationen oft übersehen werden. Eine interaktive Anfahrtskarte etwa ist üblich – und die kommt in der Regel von Google. Das bedeutet: Beim Aufruf der Seite mit der Karte werden Daten an Google übertragen, und der Website-Betreiber muss Besucher darauf hinweisen. Da­­rüber hinaus lässt sich die Schnittstelle zu Google Maps für weitere Funktionen wie die Umkreissuche, etwa nach Standorten oder Vertriebspartnern, nutzen. Hier wandern noch mehr Daten zu Google, insbesondere, wenn auch Smartphone-Standortdaten des Besuchers genutzt werden.

Sehr beliebt sind Google Fonts, durch die sich Schriften passend zu Design und CI eines Unternehmens zuverlässig darstellen lassen. Bei der gängigen Einbindung wird auch hier beim Seitenaufruf eine datenschutzrechtlich relevante Verbindung zu Google aufgebaut. Wer nicht auf Google Fonts verzichten will, hat zwei Möglichkeiten: Er weist seine Besucher auf die externe Einbindung hin, oder er nutzt nur Google Fonts, deren Lizenz das Hosten auf eigenen Servern erlaubt, und stellt sicher, dass die Schriften auch tatsächlich auf dem eigenen Auftritt liegen.

Aktive Verpflichtungen

Das Gebot der Datensicherheit bei der Verarbeitung hat technische und organisatorische Aspekte: Personenbezogene Daten, die ein Nutzer auf der Website eingibt – etwa über ein Kontaktformular – müssen per SSL-Verschlüsselung vor dem Mitlesen durch Dritte geschützt werden. Darüber hinaus müssen auch alle, die mit personenbezogenen Daten arbeiten, zur Einhaltung des Datenschutzes verpflichtet werden. Mitarbeiter müssen über die neuen Regeln wie Unterrichtungs- und Löschpflichten informiert sein und dürfen nur auf Daten Zugriff haben, die für ihre Aufgaben erforderlich sind. Unternehmen müssen außerdem mit Dienstleistern und Geschäftspartnern, die Zugriff auf Kunden- oder Beschäftigtendaten haben, entsprechende Verträge zur Auftragsdatenverarbeitung schließen.

Erleichterungen für kleine und mittlere Unternehmen?

Zwischenzeitlich hat die EU-Kommission angekündigt, dass es Ausnahmen für kleinere und mittlere Unternehmen (KMU) mit bis zu 250 Mitarbeitern geben soll. Diese müssten weder einen eigenen Datenschutzbeauftragten haben noch die Datenverarbeitung lückenlos protokollieren. Auch sei die Meldepflicht bei Pannen im Zusammenhang mit personenbezogenen Daten weniger rigoros, solange diese kein großes Risiko für die Grundrechte der Betroffenen bedeuteten.

Deutsche Unternehmen sollten sich allerdings nicht auf diese Aussagen zurückziehen: Hier greifen nach wie vor die nationalen Vorschriften, die etwa einen betrieblichen Datenschutzbeauftragten fordern, sobald mindestens zehn Mitarbeiter mit der Verarbeitung personenbezogener Daten befasst sind. Auch die offiziellen Informationen der EU-Kommission berücksichtigen nur die EU-weiten Vorschriften, ohne auf etwaige schärfere nationale Regelungen einzugehen.

Nach wie vor relevant bleibt das Bundesdatenschutzgesetz. Immerhin erlaubt § 28 BDSG das Erheben, Speichern, ­Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung für die Erfüllung eigener Geschäftszwecke. Vo­raussetzung ist, dass diese Daten nötig sind, um rechtliche Verpflichtungen zu erfüllen, etwa im Rahmen eines Vertrags. Dabei gilt das Gebot der Datensparsamkeit; es dürfen nicht mehr personenbezogene Daten erhoben werden als unbedingt erforderlich. Die explizite Einwilligung der Dateneigentümer ist in diesem speziellen Fall nicht nötig. Allerdings muss das Unternehmen ausführlich darüber informieren, welche Daten gesammelt werden und wie mit diesen umgegangen wird. In allen anderen Fällen muss die ausdrückliche Zustimmung zur Speicherung und Verarbeitung der Daten eingefordert und rechtssicher dokumentiert werden.

Datenschutzerklärung auf Websites und in Apps

Zur Information der Nutzer benötigen sowohl Websites als auch Apps Datenschutzerklärungen. Auch hier müssen Anbieter einige Vorgaben erfüllen. Eine davon ist analog zu den Regelungen für die Anbieterkennzeichnung (Impressum): Die Datenschutzerklärung muss von jeder Seite der Website bzw. von überall in der App unmittelbar erreichbar sein, etwa über einen eindeutig benannten Link.
Diese Datenschutzerklärung muss nicht nur ausführlich und präzise, sondern auch allgemein verständlich formuliert sein. Der Abschnitt zur Erhebung und Verarbeitung personenbezogener Daten muss leicht auffindbar sein, etwa durch eine entsprechende Überschrift oder andere Formatierung. Am besten ist es, von überall, wo es nötig ist – z. B. bei Formularen –, spezifisch auf diesen Abschnitt der Datenschutzerklärung zu verlinken.

Hohe Geldbußen bei Verstößen

Unternehmen sollten die E-Privacy-Richtlinie nicht auf die leichte Schulter nehmen: Bei Verstößen können die Datenschutzbehörden Geldbußen bis zu 20 Mio. Euro oder von vier Prozent des weltweiten Umsatzes verhängen. Gehört das Unternehmen zu einer Unternehmensgruppe oder einem Konzern, ist der Gesamtumsatz des Verbunds die Berechnungsgrundlage für die Strafzahlungen.
Eine Ordnungswidrigkeit ist es auch, wenn keine geeigneten und angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ergriffen werden. Und: Auch Wettbewerber können Datenschutzverstöße abmahnen.

Das müssen Sie für Ihre Website beachten

Laden Sie hier die Checkliste zur EU-DSGVO als PDF herunter.

Foto: © Maksim Kabakou / Shutterstock.com