DSGVO-Website-Checkliste
Datenschutz-Grundverordnung: Das müssen Website-Betreiber jetzt ändern

Die neue Datenschutz-Grundverordnung setzt fast jeden Website-Betreiber unter Zugzwang. Was Sie jetzt ändern müssen - unsere Checkliste für DSGVO-konforme Webseiten.

, von
Datenschutz Datenschutz-Grundverordnung
Kommentieren
Wer eine Website betreibt, muss jetzt einige Dinge verändern, damit die Internetseite DSGVO-konform wird.
Wer eine Website betreibt, muss jetzt einige Dinge verändern, damit die Internetseite DSGVO-konform wird.
© Pola Rocket / photocase.de

Double-Opt-in, Cookie-Warnung, Datenschutzerklärung. Raucht Ihnen auch der Kopf? Unsere Checkliste erklärt Schritt für Schritt, was Websitebetreiber ändern müssen, damit ihre Website den Anforderungen der neuen Datenschutzgrundverordnung (DSGVO) genügt. Die Regelungen sind am 25. Mai 2018 in Kraft getreten.

Welche Websites sind überhaupt von der DSGVO betroffen?

Fast alle. Ausgeschlossen sind einzig Internetseiten, die ausschließlich familiären oder persönlichen Zwecken dienen. Eine Seite, die beispielsweise nur Urlaubsfotos zeigt, keine Werbebanner eingebunden hat und keine Analysetools nutzt, ist nicht betroffen. Alle anderen Websitebetreiber müssen sich mit der neuen EU-Datenschutzgrundverordnung beschäftigen – selbst dann, wenn sie überhaupt keine Daten der Nutzer abfragen. Denn wenn ein Besucher eine Website aufruft, dann wird seine IP-Adresse übertragen. Und IP-Adressen gehören zu den personenbezogenen Daten.

Acht Punkte, erfüllt sein müssen, damit Ihre Internetseite DSGVO-konform ist und Sie Abmahnungen und Bußgelder vermeiden:

1. Sorgen Sie dafür, dass Ihre Website verschlüsselt ist

Internetseiten, auf denen personenbezogene Daten erhoben werden, müssen grundsätzlich verschlüsselt sein. Dies gilt in jedem Fall dort, wo es um Kontaktformulare oder Newsletteranmeldungen geht. Verschlüsselte Seiten erkennt man daran, dass die URL mit https anfängt. Viele Browser zeigen dann ein Schloss vor der URL an oder das Wort „sicher“.

Überprüfen Sie, ob das auf allen Ihren Seiten und Unterseiten der Fall ist. Wenn nicht, kontaktieren Sie sofort Ihren Administrator. Dieser sollte Ihre Seite mit Hilfe eines SSL-Zertifikats ohne große Probleme umstellen können. Kostenlose Zertifikate gibt es bei Let’s Encrypt. Übrigens: Nicht nur die DSGVO fordert verschlüsselte Internetseiten – auch in den Google-Suchergebnissen werden verschlüsselte Seiten bevorzugt angezeigt.

2. Überarbeiten Sie Ihre Datenschutzerklärung

Eine Datenschutzerklärung mussten Internetseiten schon bisher haben, durch die DSGVO sind neue Informationspflichten dazugekommen: Alle Dienste und Plug-ins, die Sie auf der Seite verwenden und die dafür sorgen, dass Daten einer dritten Partei zugänglich gemacht werden, müssen in der Datenschutzerklärung aufgeführt werden. Personenbezogene Daten werden beispielsweise vom Facebook-Like-Button weitergegeben. Auch wer das Google Captcha nutzt, um zu verhindern, dass Roboter Kommentare auf der Seite hinterlassen, oder Akismet nutzt, ein beliebtes Plug-in, das Spam-Kommentare herausfiltert, gibt personenbezogene Daten weiter – zum Teil an einen amerikanischen Server. Das ist vielen Webseitenbetreibern nicht bewusst.

Zudem muss die Datenschutzerklärung nun deutlich mehr Informationen darüber enthalten, welche Rechte die Nutzer laut DSGVO haben. Wie Ihre Datenschutzerklärung aussehen muss, damit Sie keine Abmahnung fürchten müssen, lesen Sie in unserem Artikel So wird Ihre Datenschutzerklärung DSGVO-konform.

3. Überprüfen Sie alle Formulare auf Ihrer Website

Kann man auf Ihrer Website einen Termin vereinbaren? Oder sich für einen Newsletter anmelden? Oder Ihnen über ein Formular eine Nachricht schreiben? Dann müssen Sie das Kontaktformular überarbeiten. Sie dürfen in ihren Formularen nämlich nur die personenbezogenen Daten erheben, die Sie tatsächlich brauchen, um eine Anfrage zu beantworten. Was am Ende tatsächlich als erforderlich gilt, hängt von der jeweiligen Situation ab. Für eine Newsletter-Anmeldung benötigt man beispielsweise grundsätzlich nur die E-Mail-Adresse, nicht aber den Vor- und Zunamen. Daher dürfen die Felder für den Vor- und den Nachnamen keine Pflichtfelder sein.

Pflichtfelder in Formularen – in diesem Fall nur das Feld für die E-Mail-Adresse – müssen gekennzeichnet sein. Wenn Sie noch weitere Daten erheben wollen, dann muss für den Nutzer klar sein, dass diese Angaben freiwillig sind.

Weisen Sie darauf hin, warum Sie die Daten benötigen, auf welcher Rechtsgrundlage Sie sie verarbeiten und was Sie damit machen. Das kann zum Beispiel so aussehen:

„Wir verarbeiten Ihre Vertragsdaten (z.B. in Anspruch genommene Leistungen, Namen von Kontaktpersonen, Zahlungsinformationen), um unsere vertraglichen Verpflichtungen und Serviceleistungen gemäß Art. 6 Abs. 1 lit b. DSGVO zu erfüllen. Die in Onlineformularen als verpflichtend gekennzeichneten Angaben sind für den Vertragsschluss erforderlich.“

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer
Jetzt Mitglied werden

Überprüfen Sie, ob Sie für jeden Zweck, für den Sie Daten benötigen, eine separate Einwilligung haben. Wenn Sie zum Beispiel einem Kunden, der mit Ihnen online einen Termin vereinbart hat, auch Ihren Newsletter schicken wollen, dann brauchen Sie dafür eine zusätzliche Einwilligung. Und vor dem Absenden des Formulars sollten Sie auf die Datenschutzerklärung verlinken.

4. Überprüfen Sie Social-Media-Plugins und eingebettete Videos

Die Social-Media-Plugins, die Facebook und Co. zur Verfügung stellen, sammeln vom Websitenutzer unbemerkt personenbezogene Daten und können so detaillierte Persönlichkeitsprofile erstellen. Dasselbe gilt, wenn Sie Videos, beispielsweise von Youtube oder Vimeo, auf Ihrer Seite einbetten. Das bedeutet: Haben Sie zum Beispiel Youtube-Videos auf Ihrer Seite eingebaut, dann übertragen Sie automatisch Daten Ihrer Websitebesucher an Youtube (und damit Google) – egal ob der Nutzer das Video anklickt oder nicht. Datenschützer kritisieren diese Plug-ins schon lange, ihre Verwendung war auch bisher rechtlich riskant. Mit der DSGVO wird die Verwendung noch kritischer.

Wie können Sie Ihre Websitebesucher davor schützen – und ihre Website damit DSGVO-konform machen?

Social-Media-Plugins

Eine Möglichkeit ist, zum Beispiel den Facebook-Like-Button einfach zu entfernen. Wer darauf nicht verzichten will, kann auf Lösungen wie Shariff zurückgreifen. Bei denen können Besucher erst nach Aufruf der Webseite frei entscheiden, ob ihre Daten durch die Plug-ins an die Sozialen Netzwerke übertragen werden sollen oder nicht.

Videos

Wenn Sie Youtube-Videos auf Ihrer Seite einbetten, dann verwenden Sie dafür den „erweiterten Datenschutzmodus“. Sie finden ihn nach der Wahl von „Teilen, „Einbetten“ und „Mehr anzeigen“. Für Vimeo gibt es momentan noch keine DSGVO-konforme Lösung.

5. Überprüfen Sie Ihr Statistik-Tool

Die meisten Website-Betreiber nutzen Dienste wie Google Analytics, um zu analysieren, wie viele Besucher auf ihre Seite kommen und was sich diese dort anschauen. Dabei werden IP-Adressen gesammelt. Diese müssen so gekürzt, das heißt anonymisiert werden, dass kein Personenbezug mehr möglich ist. Wenden Sie sich dafür an Ihren Webadministrator, er kann den „anonymizeIP“-Befehl in den Quellcode Ihrer Website einbauen.

Zudem müssen Sie mit Google einen Vertrag zur Auftragsverarbeitung schließen und in der Datenschutzerklärung darauf hinweisen, dass Sie das Statistik-Tool verwenden. Zusätzlich muss dort ein Link zu den Google Analytics Nutzungs- und Datenschutzbestimmungen rein, und es muss eine Widerspruchsmöglichkeit integriert sein, die so genannte Opt-out-Funktion. Das bedeutet: Mit einem Klick in den Datenschutzerklärungen kann ein Nutzer dafür sorgen, dass seine Daten nicht mehr an Google weitergegeben werden. Wie man diese Opt-out-Funktion integriert, ist hier bei Google beschrieben.

In eigener Sache
Das ChatGPT-Prompt-Handbuch
Für Unternehmerinnen und Unternehmer
Das ChatGPT-Prompt-Handbuch
17 Seiten Prompt-Tipps, Anwendungsbeispiele und über 100 Beispiel-Prompts
Jetzt gratis downloaden

6. Informieren Sie über Cookies

Fast alle Webseiten verwenden Cookies. Das sind kleine Dateien, die Daten lokal auf dem Gerät speichern. Sie dienen dazu, den Nutzer wiederzuerkennen und ihm das Surfen auf der Website zu erleichtern. In Bezug auf Cookies ist die rechtliche Lage nach Inkrafttreten der Datenschutzgrundverordnung noch unklar. Um Abmahnungen zu vermeiden, sollte man von den Websitenutzern beim ersten Aufruf der Seite in der so genannten Cookie-Warnung die Einwilligung einholen. Der Text der Cookie-Warnung sollte so konkret wie möglich sagen, um welche Daten es geht, wofür diese genutzt werden und an wen sie gegebenenfalls weitergegeben werden. Er kann beispielsweise so formuliert werden:

„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.“

Auch in die Datenschutzerklärung gehört ein Abschnitt zu Cookies. Die DSGVO verlangt nämlich, dass dort die Rechtsgrundlagen für das Verwenden von Cookies genannt werden. Außerdem muss ein Hinweis für die Nutzer in die Datenschutzerklärung, wie sie das Setzen von Cookies verhindern können. Lesen Sie hier, was Sie noch über den Cookie-Hinweis wissen müssen.

7. Überprüfen Sie Ihren Newsletter

Wer Newsletter-Dienste wie MailChimp, CleverReach und Newsletter2Go verwendet, muss mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung schließen. Fragen Sie Ihren Dienstleister nach einer solchen Vereinbarung.

Außerdem müssen Sie gegebenenfalls das Anmeldeformular überarbeiten. Dort muss stehen, welchem Zweck der Newsletter dient und welche Informationen Abonnenten erhalten, wenn sie sich dafür anmelden. Als Pflichtfeld dürfen Sie lediglich die E-Mail-Adresse abfragen.

Beim Anmeldeformular sollte auch eine Verlinkung zur Datenschutzerklärung eingebaut sein. Dort müssen weitere Hinweise dazu stehen, wie und warum der Versanddienstleister Daten verarbeitet. Wenn beispielsweise ausgewertet wird, wie viele Nutzer Links im Newsletter anklicken, dann müsste in der Datenschutzerklärung darüber informiert und erklärt werden, warum dies geschieht – nämlich um den Newsletter für die Nutzer zu optimieren.

Nutzer müssen zudem deutlich darauf hingewiesen werden, dass sie ihre Einwilligung widerrufen können. Setzen Sie also auch auf der Seite mit dem Anmeldeformular einen Link auf das Abmeldeformular.

Damit nicht jemand gegen seinen Willen als Abonnent eingetragen wird und Sie die Einwilligung rechtssicher nachweisen können, müssen Sie das Double-Opt-in-Verfahren nutzen. Das heißt, bevor Sie eine E-Mail-Adresse für den Newsletterversand aktivieren, muss der Nutzer über einen personalisierten Bestätigungslink (sogenannte Check-Mail) nochmals bestätigen, dass er tatsächlich Inhaber dieses Postfachs ist. Nähere Informationen dazu finden Sie in unserem Beitrag zu Werbung per E-Mail.

8. Prüfen Sie, ob Sie mit Ihrem Webhoster einen Vertrag zur Auftragsverarbeitung schließen müssen

Der Webhoster (Provider) stellt Webseiten bereit und übernimmt den Betrieb von Webservern und die Netwerkanbindung. Ist mit selchen Dienstleistungen nur der Internet-Zugangsdienst ohne die Verarbeitung von personenbezogenen Daten verbunden, dann liegt keine Auftragsverarbeitung vor. Übernehmen solche Webhoster allerdings auch Aufgaben, bei denen sie personenbezogene Daten verarbeiten, wie beispielsweise die E-Mail-Verwaltung oder die E-Mail-Archivierung, dann liegt eine Auftragsverarbeitung vor und Sie müssen einen Vertrag zur Auftragsverarbeitung schließen. Was Sie dabei beachten müssen, steht in unserem Beitrag zur Auftragsverarbeitung unter der DSGVO.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer
Jetzt Mitglied werden
Double-Opt-in, Cookie-Warnung, Datenschutzerklärung. Raucht Ihnen auch der Kopf? Unsere Checkliste erklärt Schritt für Schritt, was Websitebetreiber ändern müssen, damit ihre Website den Anforderungen der neuen Datenschutzgrundverordnung (DSGVO) genügt. Die Regelungen sind am 25. Mai 2018 in Kraft getreten. Welche Websites sind überhaupt von der DSGVO betroffen? Fast alle. Ausgeschlossen sind einzig Internetseiten, die ausschließlich familiären oder persönlichen Zwecken dienen. Eine Seite, die beispielsweise nur Urlaubsfotos zeigt, keine Werbebanner eingebunden hat und keine Analysetools nutzt, ist nicht betroffen. Alle anderen Websitebetreiber müssen sich mit der neuen EU-Datenschutzgrundverordnung beschäftigen – selbst dann, wenn sie überhaupt keine Daten der Nutzer abfragen. Denn wenn ein Besucher eine Website aufruft, dann wird seine IP-Adresse übertragen. Und IP-Adressen gehören zu den personenbezogenen Daten. Acht Punkte, erfüllt sein müssen, damit Ihre Internetseite DSGVO-konform ist und Sie Abmahnungen und Bußgelder vermeiden: 1. Sorgen Sie dafür, dass Ihre Website verschlüsselt ist Internetseiten, auf denen personenbezogene Daten erhoben werden, müssen grundsätzlich verschlüsselt sein. Dies gilt in jedem Fall dort, wo es um Kontaktformulare oder Newsletteranmeldungen geht. Verschlüsselte Seiten erkennt man daran, dass die URL mit https anfängt. Viele Browser zeigen dann ein Schloss vor der URL an oder das Wort „sicher“. Überprüfen Sie, ob das auf allen Ihren Seiten und Unterseiten der Fall ist. Wenn nicht, kontaktieren Sie sofort Ihren Administrator. Dieser sollte Ihre Seite mit Hilfe eines SSL-Zertifikats ohne große Probleme umstellen können. Kostenlose Zertifikate gibt es bei Let’s Encrypt. Übrigens: Nicht nur die DSGVO fordert verschlüsselte Internetseiten – auch in den Google-Suchergebnissen werden verschlüsselte Seiten bevorzugt angezeigt. 2. Überarbeiten Sie Ihre Datenschutzerklärung Eine Datenschutzerklärung mussten Internetseiten schon bisher haben, durch die DSGVO sind neue Informationspflichten dazugekommen: Alle Dienste und Plug-ins, die Sie auf der Seite verwenden und die dafür sorgen, dass Daten einer dritten Partei zugänglich gemacht werden, müssen in der Datenschutzerklärung aufgeführt werden. Personenbezogene Daten werden beispielsweise vom Facebook-Like-Button weitergegeben. Auch wer das Google Captcha nutzt, um zu verhindern, dass Roboter Kommentare auf der Seite hinterlassen, oder Akismet nutzt, ein beliebtes Plug-in, das Spam-Kommentare herausfiltert, gibt personenbezogene Daten weiter – zum Teil an einen amerikanischen Server. Das ist vielen Webseitenbetreibern nicht bewusst. Zudem muss die Datenschutzerklärung nun deutlich mehr Informationen darüber enthalten, welche Rechte die Nutzer laut DSGVO haben. Wie Ihre Datenschutzerklärung aussehen muss, damit Sie keine Abmahnung fürchten müssen, lesen Sie in unserem Artikel So wird Ihre Datenschutzerklärung DSGVO-konform. 3. Überprüfen Sie alle Formulare auf Ihrer Website Kann man auf Ihrer Website einen Termin vereinbaren? Oder sich für einen Newsletter anmelden? Oder Ihnen über ein Formular eine Nachricht schreiben? Dann müssen Sie das Kontaktformular überarbeiten. Sie dürfen in ihren Formularen nämlich nur die personenbezogenen Daten erheben, die Sie tatsächlich brauchen, um eine Anfrage zu beantworten. Was am Ende tatsächlich als erforderlich gilt, hängt von der jeweiligen Situation ab. Für eine Newsletter-Anmeldung benötigt man beispielsweise grundsätzlich nur die E-Mail-Adresse, nicht aber den Vor- und Zunamen. Daher dürfen die Felder für den Vor- und den Nachnamen keine Pflichtfelder sein. Pflichtfelder in Formularen – in diesem Fall nur das Feld für die E-Mail-Adresse – müssen gekennzeichnet sein. Wenn Sie noch weitere Daten erheben wollen, dann muss für den Nutzer klar sein, dass diese Angaben freiwillig sind. Weisen Sie darauf hin, warum Sie die Daten benötigen, auf welcher Rechtsgrundlage Sie sie verarbeiten und was Sie damit machen. Das kann zum Beispiel so aussehen: „Wir verarbeiten Ihre Vertragsdaten (z.B. in Anspruch genommene Leistungen, Namen von Kontaktpersonen, Zahlungsinformationen), um unsere vertraglichen Verpflichtungen und Serviceleistungen gemäß Art. 6 Abs. 1 lit b. DSGVO zu erfüllen. Die in Onlineformularen als verpflichtend gekennzeichneten Angaben sind für den Vertragsschluss erforderlich.“ Überprüfen Sie, ob Sie für jeden Zweck, für den Sie Daten benötigen, eine separate Einwilligung haben. Wenn Sie zum Beispiel einem Kunden, der mit Ihnen online einen Termin vereinbart hat, auch Ihren Newsletter schicken wollen, dann brauchen Sie dafür eine zusätzliche Einwilligung. Und vor dem Absenden des Formulars sollten Sie auf die Datenschutzerklärung verlinken. 4. Überprüfen Sie Social-Media-Plugins und eingebettete Videos Die Social-Media-Plugins, die Facebook und Co. zur Verfügung stellen, sammeln vom Websitenutzer unbemerkt personenbezogene Daten und können so detaillierte Persönlichkeitsprofile erstellen. Dasselbe gilt, wenn Sie Videos, beispielsweise von Youtube oder Vimeo, auf Ihrer Seite einbetten. Das bedeutet: Haben Sie zum Beispiel Youtube-Videos auf Ihrer Seite eingebaut, dann übertragen Sie automatisch Daten Ihrer Websitebesucher an Youtube (und damit Google) – egal ob der Nutzer das Video anklickt oder nicht. Datenschützer kritisieren diese Plug-ins schon lange, ihre Verwendung war auch bisher rechtlich riskant. Mit der DSGVO wird die Verwendung noch kritischer. Wie können Sie Ihre Websitebesucher davor schützen – und ihre Website damit DSGVO-konform machen? Social-Media-Plugins Eine Möglichkeit ist, zum Beispiel den Facebook-Like-Button einfach zu entfernen. Wer darauf nicht verzichten will, kann auf Lösungen wie Shariff zurückgreifen. Bei denen können Besucher erst nach Aufruf der Webseite frei entscheiden, ob ihre Daten durch die Plug-ins an die Sozialen Netzwerke übertragen werden sollen oder nicht. Videos Wenn Sie Youtube-Videos auf Ihrer Seite einbetten, dann verwenden Sie dafür den „erweiterten Datenschutzmodus“. Sie finden ihn nach der Wahl von „Teilen, „Einbetten“ und „Mehr anzeigen“. Für Vimeo gibt es momentan noch keine DSGVO-konforme Lösung. 5. Überprüfen Sie Ihr Statistik-Tool Die meisten Website-Betreiber nutzen Dienste wie Google Analytics, um zu analysieren, wie viele Besucher auf ihre Seite kommen und was sich diese dort anschauen. Dabei werden IP-Adressen gesammelt. Diese müssen so gekürzt, das heißt anonymisiert werden, dass kein Personenbezug mehr möglich ist. Wenden Sie sich dafür an Ihren Webadministrator, er kann den „anonymizeIP“-Befehl in den Quellcode Ihrer Website einbauen. Zudem müssen Sie mit Google einen Vertrag zur Auftragsverarbeitung schließen und in der Datenschutzerklärung darauf hinweisen, dass Sie das Statistik-Tool verwenden. Zusätzlich muss dort ein Link zu den Google Analytics Nutzungs- und Datenschutzbestimmungen rein, und es muss eine Widerspruchsmöglichkeit integriert sein, die so genannte Opt-out-Funktion. Das bedeutet: Mit einem Klick in den Datenschutzerklärungen kann ein Nutzer dafür sorgen, dass seine Daten nicht mehr an Google weitergegeben werden. Wie man diese Opt-out-Funktion integriert, ist hier bei Google beschrieben. 6. Informieren Sie über Cookies Fast alle Webseiten verwenden Cookies. Das sind kleine Dateien, die Daten lokal auf dem Gerät speichern. Sie dienen dazu, den Nutzer wiederzuerkennen und ihm das Surfen auf der Website zu erleichtern. In Bezug auf Cookies ist die rechtliche Lage nach Inkrafttreten der Datenschutzgrundverordnung noch unklar. Um Abmahnungen zu vermeiden, sollte man von den Websitenutzern beim ersten Aufruf der Seite in der so genannten Cookie-Warnung die Einwilligung einholen. Der Text der Cookie-Warnung sollte so konkret wie möglich sagen, um welche Daten es geht, wofür diese genutzt werden und an wen sie gegebenenfalls weitergegeben werden. Er kann beispielsweise so formuliert werden: „Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.“ Auch in die Datenschutzerklärung gehört ein Abschnitt zu Cookies. Die DSGVO verlangt nämlich, dass dort die Rechtsgrundlagen für das Verwenden von Cookies genannt werden. Außerdem muss ein Hinweis für die Nutzer in die Datenschutzerklärung, wie sie das Setzen von Cookies verhindern können. Lesen Sie hier, was Sie noch über den Cookie-Hinweis wissen müssen. 7. Überprüfen Sie Ihren Newsletter Wer Newsletter-Dienste wie MailChimp, CleverReach und Newsletter2Go verwendet, muss mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung schließen. Fragen Sie Ihren Dienstleister nach einer solchen Vereinbarung. Außerdem müssen Sie gegebenenfalls das Anmeldeformular überarbeiten. Dort muss stehen, welchem Zweck der Newsletter dient und welche Informationen Abonnenten erhalten, wenn sie sich dafür anmelden. Als Pflichtfeld dürfen Sie lediglich die E-Mail-Adresse abfragen. Beim Anmeldeformular sollte auch eine Verlinkung zur Datenschutzerklärung eingebaut sein. Dort müssen weitere Hinweise dazu stehen, wie und warum der Versanddienstleister Daten verarbeitet. Wenn beispielsweise ausgewertet wird, wie viele Nutzer Links im Newsletter anklicken, dann müsste in der Datenschutzerklärung darüber informiert und erklärt werden, warum dies geschieht – nämlich um den Newsletter für die Nutzer zu optimieren. Nutzer müssen zudem deutlich darauf hingewiesen werden, dass sie ihre Einwilligung widerrufen können. Setzen Sie also auch auf der Seite mit dem Anmeldeformular einen Link auf das Abmeldeformular. Damit nicht jemand gegen seinen Willen als Abonnent eingetragen wird und Sie die Einwilligung rechtssicher nachweisen können, müssen Sie das Double-Opt-in-Verfahren nutzen. Das heißt, bevor Sie eine E-Mail-Adresse für den Newsletterversand aktivieren, muss der Nutzer über einen personalisierten Bestätigungslink (sogenannte Check-Mail) nochmals bestätigen, dass er tatsächlich Inhaber dieses Postfachs ist. Nähere Informationen dazu finden Sie in unserem Beitrag zu Werbung per E-Mail. 8. Prüfen Sie, ob Sie mit Ihrem Webhoster einen Vertrag zur Auftragsverarbeitung schließen müssen Der Webhoster (Provider) stellt Webseiten bereit und übernimmt den Betrieb von Webservern und die Netwerkanbindung. Ist mit selchen Dienstleistungen nur der Internet-Zugangsdienst ohne die Verarbeitung von personenbezogenen Daten verbunden, dann liegt keine Auftragsverarbeitung vor. Übernehmen solche Webhoster allerdings auch Aufgaben, bei denen sie personenbezogene Daten verarbeiten, wie beispielsweise die E-Mail-Verwaltung oder die E-Mail-Archivierung, dann liegt eine Auftragsverarbeitung vor und Sie müssen einen Vertrag zur Auftragsverarbeitung schließen. Was Sie dabei beachten müssen, steht in unserem Beitrag zur Auftragsverarbeitung unter der DSGVO.
Mehr lesen über
Datenschutz Datenschutz-Grundverordnung
Datenschutz Bewerbungen
Datenschutz bei Bewerbungen
Umgang mit Bewerberdaten? Das müssen Unternehmen beachten
Auch bei Bewerbungen greift die DSGVO: Wie Arbeitgeber Bewerberdaten nutzen dürfen, welche Aufbewahrungsfristen gelten und wann sie Lebenslauf und Anschreiben löschen müssen. Ein Überblick.
Beschäftigtendatenschutz
Beschäftigtendatenschutz
Speichern oder Löschen? Diese Regeln gelten für Mitarbeiterdaten
Unternehmen brauchen Daten ihrer Beschäftigten. Doch wer Daten über das Team unerlaubt sammelt, für andere Zwecke nutzt oder gar verliert, muss mit hohen Bußgeldern rechnen. Das sollten Sie wissen.
KI und Recht
KI und Recht
Diese Haftungsrisiken lauern bei der Arbeit mit ChatGPT und anderen KI-Tools
Auch für künstliche Intelligenz gelten echte Gesetze. Diese rechtlichen Fallstricke sollten Sie kennen, wenn Sie die neuen KI-Tools im Firmenalltag nutzen.
Beliebte FAQs und Anleitungen aus den 6 Feldern unternehmerischer Herausforderungen