| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potenzial der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei: mit digitalen Trendthemen, praktischen Problemlösungen und innovativen Ansätzen - wöchentlich auf dieser Seite sowie auf unseren diesjährigen Digitalisierungskonferenzen smarter mittelstand.

DSGVO-Website-Checkliste Datenschutz-Grundverordnung: Das müssen Website-Betreiber jetzt ändern

  • Serie
Wer eine Website betreibt, muss jetzt einige Dinge verändern, damit die Internetseite DSGVO-konform wird.

Wer eine Website betreibt, muss jetzt einige Dinge verändern, damit die Internetseite DSGVO-konform wird.© Pola Rocket / photocase.de

Die neue Datenschutz-Grundverordnung setzt fast jeden Website-Betreiber unter Zugzwang. Was Sie jetzt ändern müssen - unsere Checkliste für DSGVO-konforme Webseiten.

Double-Opt-in, Cookie-Warnung, Datenschutzerklärung. Raucht Ihnen auch der Kopf? Unsere Checkliste erklärt Schritt für Schritt, was Websitebetreiber ändern müssen, damit ihre Website den Anforderungen der neuen Datenschutzgrundverordnung (DSGVO) genügt. Die Regelungen sind am 25. Mai 2018 in Kraft getreten.

Welche Websites sind überhaupt von der DSGVO betroffen?

Fast alle. Ausgeschlossen sind einzig Internetseiten, die ausschließlich familiären oder persönlichen Zwecken dienen. Eine Seite, die beispielsweise nur Urlaubsfotos zeigt, keine Werbebanner eingebunden hat und keine Analysetools nutzt, ist nicht betroffen. Alle anderen Websitebetreiber müssen sich mit der neuen EU-Datenschutzgrundverordnung beschäftigen – selbst dann, wenn sie überhaupt keine Daten der Nutzer abfragen. Denn wenn ein Besucher eine Website aufruft, dann wird seine IP-Adresse übertragen. Und IP-Adressen gehören zu den personenbezogenen Daten.

Anzeige

Acht Punkte, erfüllt sein müssen, damit Ihre Internetseite DSGVO-konform ist und Sie Abmahnungen und Bußgelder vermeiden:

1. Sorgen Sie dafür, dass Ihre Website verschlüsselt ist

Internetseiten, auf denen personenbezogene Daten erhoben werden, müssen grundsätzlich verschlüsselt sein. Dies gilt in jedem Fall dort, wo es um Kontaktformulare oder Newsletteranmeldungen geht. Verschlüsselte Seiten erkennt man daran, dass die URL mit https anfängt. Viele Browser zeigen dann ein Schloss vor der URL an oder das Wort „sicher“.

Überprüfen Sie, ob das auf allen Ihren Seiten und Unterseiten der Fall ist. Wenn nicht, kontaktieren Sie sofort Ihren Administrator. Dieser sollte Ihre Seite mit Hilfe eines SSL-Zertifikats ohne große Probleme umstellen können. Kostenlose Zertifikate gibt es bei Let’s Encrypt. Übrigens: Nicht nur die DSGVO fordert verschlüsselte Internetseiten – auch in den Google-Suchergebnissen werden verschlüsselte Seiten bevorzugt angezeigt.

2. Überarbeiten Sie Ihre Datenschutzerklärung

Eine Datenschutzerklärung mussten Internetseiten schon bisher haben, durch die DSGVO sind neue Informationspflichten dazugekommen: Alle Dienste und Plug-ins, die Sie auf der Seite verwenden und die dafür sorgen, dass Daten einer dritten Partei zugänglich gemacht werden, müssen in der Datenschutzerklärung aufgeführt werden. Personenbezogene Daten werden beispielsweise vom Facebook-Like-Button weitergegeben. Auch wer das Google Captcha nutzt, um zu verhindern, dass Roboter Kommentare auf der Seite hinterlassen, oder Akismet nutzt, ein beliebtes Plug-in, das Spam-Kommentare herausfiltert, gibt personenbezogene Daten weiter – zum Teil an einen amerikanischen Server. Das ist vielen Webseitenbetreibern nicht bewusst.

Zudem muss die Datenschutzerklärung nun deutlich mehr Informationen darüber enthalten, welche Rechte die Nutzer laut DSGVO haben. Wie Ihre Datenschutzerklärung aussehen muss, damit Sie keine Abmahnung fürchten müssen, lesen Sie in unserem Artikel So wird Ihre Datenschutzerklärung DSGVO-konform.

3. Überprüfen Sie alle Formulare auf Ihrer Website

Kann man auf Ihrer Website einen Termin vereinbaren? Oder sich für einen Newsletter anmelden? Oder Ihnen über ein Formular eine Nachricht schreiben? Dann müssen Sie das Kontaktformular überarbeiten. Sie dürfen in ihren Formularen nämlich nur die personenbezogenen Daten erheben, die Sie tatsächlich brauchen, um eine Anfrage zu beantworten. Was am Ende tatsächlich als erforderlich gilt, hängt von der jeweiligen Situation ab. Für eine Newsletter-Anmeldung benötigt man beispielsweise grundsätzlich nur die E-Mail-Adresse, nicht aber den Vor- und Zunamen. Daher dürfen die Felder für den Vor- und den Nachnamen keine Pflichtfelder sein.

Pflichtfelder in Formularen – in diesem Fall nur das Feld für die E-Mail-Adresse – müssen gekennzeichnet sein. Wenn Sie noch weitere Daten erheben wollen, dann muss für den Nutzer klar sein, dass diese Angaben freiwillig sind.

Weisen Sie darauf hin, warum Sie die Daten benötigen, auf welcher Rechtsgrundlage Sie sie verarbeiten und was Sie damit machen. Das kann zum Beispiel so aussehen:

„Wir verarbeiten Ihre Vertragsdaten (z.B. in Anspruch genommene Leistungen, Namen von Kontaktpersonen, Zahlungsinformationen), um unsere vertraglichen Verpflichtungen und Serviceleistungen gemäß Art. 6 Abs. 1 lit b. DSGVO zu erfüllen. Die in Onlineformularen als verpflichtend gekennzeichneten Angaben sind für den Vertragsschluss erforderlich.“

Überprüfen Sie, ob Sie für jeden Zweck, für den Sie Daten benötigen, eine separate Einwilligung haben. Wenn Sie zum Beispiel einem Kunden, der mit Ihnen online einen Termin vereinbart hat, auch Ihren Newsletter schicken wollen, dann brauchen Sie dafür eine zusätzliche Einwilligung. Und vor dem Absenden des Formulars sollten Sie auf die Datenschutzerklärung verlinken.

4. Überprüfen Sie Social-Media-Plugins und eingebettete Videos

Die Social-Media-Plugins, die Facebook und Co. zur Verfügung stellen, sammeln vom Websitenutzer unbemerkt personenbezogene Daten und können so detaillierte Persönlichkeitsprofile erstellen. Dasselbe gilt, wenn Sie Videos, beispielsweise von Youtube oder Vimeo, auf Ihrer Seite einbetten. Das bedeutet: Haben Sie zum Beispiel Youtube-Videos auf Ihrer Seite eingebaut, dann übertragen Sie automatisch Daten Ihrer Websitebesucher an Youtube (und damit Google) – egal ob der Nutzer das Video anklickt oder nicht. Datenschützer kritisieren diese Plug-ins schon lange, ihre Verwendung war auch bisher rechtlich riskant. Mit der DSGVO wird die Verwendung noch kritischer.

Wie können Sie Ihre Websitebesucher davor schützen – und ihre Website damit DSGVO-konform machen?

Social-Media-Plugins

Eine Möglichkeit ist, zum Beispiel den Facebook-Like-Button einfach zu entfernen. Wer darauf nicht verzichten will, kann auf Lösungen wie Shariff zurückgreifen. Bei denen können Besucher erst nach Aufruf der Webseite frei entscheiden, ob ihre Daten durch die Plug-ins an die Sozialen Netzwerke übertragen werden sollen oder nicht.

Videos

Wenn Sie Youtube-Videos auf Ihrer Seite einbetten, dann verwenden Sie dafür den „erweiterten Datenschutzmodus“. Sie finden ihn nach der Wahl von „Teilen, „Einbetten“ und „Mehr anzeigen“. Für Vimeo gibt es momentan noch keine DSGVO-konforme Lösung.

5. Überprüfen Sie Ihr Statistik-Tool

Die meisten Website-Betreiber nutzen Dienste wie Google Analytics, um zu analysieren, wie viele Besucher auf ihre Seite kommen und was sich diese dort anschauen. Dabei werden IP-Adressen gesammelt. Diese müssen so gekürzt, das heißt anonymisiert werden, dass kein Personenbezug mehr möglich ist. Wenden Sie sich dafür an Ihren Webadministrator, er kann den „anonymizeIP“-Befehl in den Quellcode Ihrer Website einbauen.

Zudem müssen Sie mit Google einen Vertrag zur Auftragsverarbeitung schließen und in der Datenschutzerklärung darauf hinweisen, dass Sie das Statistik-Tool verwenden. Zusätzlich muss dort ein Link zu den Google Analytics Nutzungs- und Datenschutzbestimmungen rein, und es muss eine Widerspruchsmöglichkeit integriert sein, die so genannte Opt-out-Funktion. Das bedeutet: Mit einem Klick in den Datenschutzerklärungen kann ein Nutzer dafür sorgen, dass seine Daten nicht mehr an Google weitergegeben werden. Wie man diese Opt-out-Funktion integriert, ist hier bei Google beschrieben.

6. Informieren Sie über Cookies

Fast alle Webseiten verwenden Cookies. Das sind kleine Dateien, die Daten lokal auf dem Gerät speichern. Sie dienen dazu, den Nutzer wiederzuerkennen und ihm das Surfen auf der Website zu erleichtern. In Bezug auf Cookies ist die rechtliche Lage nach Inkrafttreten der Datenschutzgrundverordnung noch unklar. Um Abmahnungen zu vermeiden, sollte man von den Websitenutzern beim ersten Aufruf der Seite in der so genannten Cookie-Warnung die Einwilligung einholen. Der Text der Cookie-Warnung sollte so konkret wie möglich sagen, um welche Daten es geht, wofür diese genutzt werden und an wen sie gegebenenfalls weitergegeben werden. Er kann beispielsweise so formuliert werden:

„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.“

Auch in die Datenschutzerklärung gehört ein Abschnitt zu Cookies. Die DSGVO verlangt nämlich, dass dort die Rechtsgrundlagen für das Verwenden von Cookies genannt werden. Außerdem muss ein Hinweis für die Nutzer in die Datenschutzerklärung, wie sie das Setzen von Cookies verhindern können.

7. Überprüfen Sie Ihren Newsletter

Wer Newsletter-Dienste wie MailChimp, CleverReach und Newsletter2Go verwendet, muss mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung schließen. Fragen Sie Ihren Dienstleister nach einer solchen Vereinbarung.

Außerdem müssen Sie gegebenenfalls das Anmeldeformular überarbeiten. Dort muss stehen, welchem Zweck der Newsletter dient und welche Informationen Abonnenten erhalten, wenn sie sich dafür anmelden. Als Pflichtfeld dürfen Sie lediglich die E-Mail-Adresse abfragen.

Beim Anmeldeformular sollte auch eine Verlinkung zur Datenschutzerklärung eingebaut sein. Dort müssen weitere Hinweise dazu stehen, wie und warum der Versanddienstleister Daten verarbeitet. Wenn beispielsweise ausgewertet wird, wie viele Nutzer Links im Newsletter anklicken, dann müsste in der Datenschutzerklärung darüber informiert und erklärt werden, warum dies geschieht – nämlich um den Newsletter für die Nutzer zu optimieren.

Nutzer müssen zudem deutlich darauf hingewiesen werden, dass sie ihre Einwilligung widerrufen können. Setzen Sie also auch auf der Seite mit dem Anmeldeformular einen Link auf das Abmeldeformular.

Damit nicht jemand gegen seinen Willen als Abonnent eingetragen wird und Sie die Einwilligung rechtssicher nachweisen können, müssen Sie das Double-Opt-in-Verfahren nutzen. Das heißt, bevor Sie eine E-Mail-Adresse für den Newsletterversand aktivieren, muss der Nutzer über einen personalisierten Bestätigungslink (sogenannte Check-Mail) nochmals bestätigen, dass er tatsächlich Inhaber dieses Postfachs ist. Nähere Informationen dazu finden Sie in unserem Beitrag zu Werbung per E-Mail.

8. Prüfen Sie, ob Sie mit Ihrem Webhoster einen Vertrag zur Auftragsverarbeitung schließen müssen

Der Webhoster (Provider) stellt Webseiten bereit und übernimmt den Betrieb von Webservern und die Netwerkanbindung. Ist mit selchen Dienstleistungen nur der Internet-Zugangsdienst ohne die Verarbeitung von personenbezogenen Daten verbunden, dann liegt keine Auftragsverarbeitung vor. Übernehmen solche Webhoster allerdings auch Aufgaben, bei denen sie personenbezogene Daten verarbeiten, wie beispielsweise die E-Mail-Verwaltung oder die E-Mail-Archivierung, dann liegt eine Auftragsverarbeitung vor und Sie müssen einen Vertrag zur Auftragsverarbeitung schließen. Was Sie dabei beachten müssen, steht in unserem Beitrag zur Auftragsverarbeitung unter der DSGVO.

Der Newsletter für Unternehmer

Sie wollen mit Ihrem Business durchstarten? Dann abonnieren Sie unseren Newsletter mit genialen Tipps, Denkanstößen und erprobten Strategien, die Unternehmer und Selbstständige nach vorn bringen.

Unsere Themen:
Mitarbeiterführung ✩ Produktivität ✩ Recht + Steuern
Kundengewinnung ✩ Selbstmanagement ✩ Motivation

Jeden Morgen in Ihrem Postfach – jetzt kostenlos anmelden! Unternehmer-Newsletter
2 Kommentare
  • wuwuwolfgang 18. Oktober 2018 12:43

    Danke für die sehr interessante Übersicht 🙂
    Ich habe mich bei meinem letzten Projekt besonders wegen der neuen DSGVO mal an eine Agentur gewannt. Ganz ehrlich, ich kann es nur weiterempfehlen. Die Agentur konnte mir nicht nur eine sehr gute Website bauen, sondern übernahm auch gleich die Suchmaschinenoptimierung. Außerdem wurden mir alle möglichen Fragen die ich irgendwie in Richtung Internet hatte gründlich beantwortet. In manchen Fällen ist es einfach besser, sich gleich an Profis zu wenden.

  • Udo Schreck 22. Mai 2018 16:34

    Nachtrag zu meinem Kommentar der nicht veröffentlicht wurde, da er wohl böse Worte enthalten hat:
    Ich habe in die Suchmaschine die Suchworte „Gewerbetreibende + den Name meiner Gemeinde“ eingegeben, um einen schnellen Überblick über die ansässigen Firmen b.z.w. deren Websites zu erhalten.
    Ich lebe in der Technologieregion Karlsruhe, ganz nah beim KIT, – der High – Tech – Forschungseinrichtung und Kaderschmiede für Zukunftstechnologieen.
    Von den zackig durchgeguckten Websites des Speckgürtels der IT- Branchen entsprachen auf Anhieb etwa 95% bis 98% der Websites NICHT den Anforderungen der DSGVO.
    Mit NICHT meine ich NICHT IM GERINGSTEN.
    Da sage ich nur: BRAVO Bundesregierung! Ihr habt ein Festmahl für Abmahnanwälte bereitet, – macht die nur Firmen platt, wir haben es ja nicht nötig !
    Wir sind das Land in dem wir gut und gerne leben.

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)