Datenschutz im Web: Was Sie bei Datenschutzerklärung und Co. beachten müssen

Ob Online-Käufe, E-Mails, Internetrecherchen oder Chatverläufe: Spätestens seit den Enthüllungen des Whistleblowers Edward Snowden steht fest, dass ständig und überall persönliche Daten erhoben werden. Umso wichtiger ist es, die Menschen dahinter zu schützen und Facebook, Google und Co. in die Pflicht zu nehmen. Worauf Webseitenbetreiber alles achten müssen und wie Sie Ihre Daten im Internet am besten schützen, erfahren Sie in diesem Ratgeber.

Autor:  Redaktion DAHAG Rechtsservices AG.

Welche Webseiten benötigen eine Datenschutzerklärung?

Die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) setzt alle Webseitenbetreiber unter Zugzwang, die beispielsweise Werbung schalten, Analysetools nutzen und somit personenbezogene Daten sammeln. Einzig Internetseiten, die ausschließlich familiären oder persönlichen Zwecken dienen, kommen um die DSGVO-Regelung herum. Erstellen Sie zum Beispiel für Freunde und Angehörige eine Webseite mit Ihren Urlaubsfotos, sind Sie nicht betroffen. Alle anderen müssen sich jedoch wohl oder übel mit der neuen DSGVO auseinandersetzen – selbst dann wenn sie überhaupt keine Daten ihrer Nutzerinnen und Nutzer abfragen. Denn sobald ein Besucher eine Webseite aufruft, wird automatisch die IP-Adresse übertragen – und diese gehört zu den personenbezogenen Daten.

Was sind personenbezogene Daten?

Zu den personenbezogenen Daten zählen unter anderem:

  • Informationen zur Person: Name, Alter, Geburtsdatum, Familienstand, Religionszugehörigkeit
  • Adress- und Kontaktdaten (inkl. IP-Adresse)
  • Personalausweis- und Sozialversicherungsnummer
  • Kontodaten
  • Kfz-Kennzeichen, Fahrzeugnummer
  • Gesundheitsdaten
  • Vorstrafen

Wie betreibe ich Datenschutz? Was gibt es alles zu berücksichtigen?

Um auf Ihrer Webseite ein ausreichend hohes Level an Datenschutz zu gewährleisten, sollten Sie auf folgende Punkte achten.

Verschlüsseln Sie Ihre Webseite

Grundsätzlich müssen Internetseiten, auf denen personenbezogene Daten erhoben werden, verschlüsselt sein. Dies gilt vor allem dann, wenn Kontaktformulare oder Newsletteranmeldungen im Spiel sind. Ob Ihre Homepage verschlüsselt ist, erkennen Sie an der URL. Fängt diese mit einem https an und ist ein Schloss davor abgebildet, gilt sie als sicher.

Prüfen Sie auch, ob Ihre Unterseiten als sicher eingestuft werden. Ist dies nicht der Fall kann der Seiten-Administrator mit Hilfe eines SSL-Zertifikats diese ganz einfach umstellen. Kostenlose Sicherheitszertifikate finden Sie schnell im Internet.

Tipp: Nicht nur die DSGVO fordert verschlüsselte Internetseiten. Auch in den Google-Suchergebnissen wird Ihre Homepage höher gerankt, wenn diese sicher ist.

Überarbeiten Sie Ihre Datenschutzerklärung

Eine Datenschutzerklärung auf der Internetseite ist nicht neu. Allerdings sind durch die DSGVO neue Informationspflichten hinzugekommen. So müssen zum Beispiel alle Dienste und Plug-ins, die Sie auf Ihrer Webseite verwenden und die Daten an Dritte weitergeben in der Datenschutzerklärung aufgeführt werden. Das gilt beispielsweise für den Facebook-Like-Button. Auch bei der korrekten Platzierung der Datenschutzerklärung lauern einige Stolperfallen: So dürfen Sie die Datenschutzerklärung nicht einfach im Impressum verstecken. Stattdessen muss Sie mit nur einem Klick von jeder Unterseite Ihrer Website zu erreichen sein. Am besten ist es, die Datenschutzerklärung direkt in den Footer zu setzen. Überprüfen Sie aber auch, ob der Link in allen Browsern funktioniert und ob Cookie- oder Werbebanner die Datenschutzerklärung unzugänglich machen. In solchen Fällen riskieren Sie eine Abmahnung.

 

Checkliste: Welche Informationen muss eine Datenschutzerklärung enthalten?

  • Kontaktdaten

    Die Datenschutzerklärung muss die Kontaktdaten des Unternehmens enthalten. Darüber hinaus muss derjenige genannt werden, der über die Verarbeitung personenbezogener Daten entscheidet.

  • Zweck der Datenerhebung

    Sie müssen Ihren Nutzern erklären, weshalb Sie personenbezogene Daten erheben und verarbeiten und dass Sie ein berechtigtes Interesse an der Datenverarbeitung haben. Dabei gilt: Die Datenschutzerklärung muss möglichst transparent und verständlich sein. Je mehr Daten Sie erheben, desto länger wird Ihre Datenschutzerklärung ausfallen.

  • Rechtsgrundlage

    Seit Einführung der DSGVO müssen Sie die Rechtsgrundlage für die Datenverarbeitung nennen. Dabei gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt. Das bedeutet: Die Datenverarbeitung ist solange verboten, bis die Betroffenen explizit einwilligen oder bis ein Gesetz sie gestattet.

  • Nutzerrechte

    Sie müssen die Nutzer über sämtliche Nutzerrechte aufklären. Dazu zählen das Widerspruchs- bzw. Widerrufsrecht, das Recht auf Auskunft über die gespeicherten Daten, das Recht auf Berichtigung oder Löschung der gespeicherten Daten, das Beschwerderecht bei der Aufsichtsbehörde sowie das Recht auf Datenübertragbarkeit. Letzteres kommt häufig im Bereich der sozialen Netzwerke zum Einsatz und bedeutet, dass Profile von einem Dienst auf einen anderen übertragen werden können.

  • Datenschutzbeauftragte*r

    Gibt es im Unternehmen einen Datenschutzbeauftragen, muss dieser benannt werden. Auch über entsprechende Kontaktmöglichkeiten müssen Sie Ihre Nutzer informieren, wobei hier die E-Mail-Adresse genügt.

    Gut zu wissen: Ein Unternehmen braucht gemäß DSGVO dann einen Datenschutzbeauftragten, wenn regelmäßig mindestens 10 Mitarbeiterinnen und Mitarbeiter mit der automatisierten Datenerhebung beschäftigt sind, wenn das Unternehmen besonders sensible Daten erhebt oder wenn es geschäftsmäßig Daten erhebt und verarbeitet.

  • Serverstandort

    Sie müssen Ihre Nutzer darüber aufklären, ob Sie die Daten an Server im Nicht-EU-Ausland übermitteln oder nicht. Ist dies der Fall, müssen Sie außerdem darauf hinweisen, ob für das entsprechende Land ein Datenschutzabkommen existiert. Problematisch ist hierbei jedoch, dass derartige Abkommen häufig von Gerichten gekippt werden, wie zuletzt das Privacy Shield mit den USA.

  • Speicherfristen

    Sie müssen explizit darauf hinweisen, wie lange Sie Nutzerdaten speichern. Wichtig ist hierbei, dass Sie die Daten nur solange speichern dürfen, wie Sie sie auch benötigen. Im Anschluss müssen Sie gelöscht werden.

Informationen zum Thema Datenschutz bei Online-Shops finden Sie hier:

DSGVO: So machen Sie Ihre Webseite mit Online-Shop abmahnsicher

Überprüfen Sie alle Formulare auf Ihrer Webseite

Grundsätzlich dürfen Sie in Ihren Formularen nur personenbezogene Daten erheben, die Sie auch tatsächlich brauchen. Es gilt der Grundsatz der sogenannten Datensparsamkeit. Welche Infos auch tatsächlich erforderlich sind, ist von Fall zu Fall verschieden. Für eine Newsletter-Anmeldung benötigen Sie zum Beispiel lediglich die E-Mail-Adresse. Bei einer Pizzabestellung sind hingegen auch noch Name und Adresse erforderlich.

Kennzeichnen Sie die Pflichtfelder klar und deutlich. Möchten Sie daneben noch weitere Daten wie das Alter oder Geschlecht erheben, muss für den Nutzer klar sein, dass diese Angaben nur freiwillig sind.

Weisen Sie auch darauf hin, weshalb Sie die Daten benötigen, was Sie damit machen und auf welche Rechtsgrundlage Sie sich dabei berufen.

Beispiel:„Personenbezogene Daten sind Daten, die Rückschlüsse auf die Identität einer Person zulassen. Auch der Browser des Betroffenen übermittelt bestimmte personenbezogene Daten. Diese Daten werden in Logdateien gespeichert. Rechtsgrundlage für diese Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO. Die Daten werden nach sechs Wochen gelöscht. Personenbezogene Daten werden von uns nur dann aktiv verarbeitet, wenn der Nutzer freiwillig in die Nutzung seiner Daten einwilligt.“

Denken Sie auch daran, dass Sie für jeden Zweck, für den Sie Daten erheben, eine separate Einwilligung benötigen. Möchten Sie Ihre Kunden zum Beispiel mit einem Newsletter über Ihre aktuellen Angebote auf dem Laufenden halten, benötigen Sie dafür deren Zustimmung.

Überprüfen Sie Social-Media-Plug-ins und eingebettete Videos

Plug-ins sind kleine Zusatzprogramme, die im Hintergrund ablaufen und die Funktionen von Webanwendungen oder Desktop-Programmen erweitern. Durch Social-Media- oder Video-Plug-ins können Facebook, Twitter oder YouTube-Videos direkt auf der eigenen Webseite eingebunden werden. Funktionen wie der Like-Button oder das Abspielen eines YouTube-Videos ermöglichen Interaktion auf der eigenen Webseite und machen diese attraktiver . Die Krux: Dabei werden fast immer IP-Adressen und weitere Internetaktivitäten der Nutzer erfasst und an Facebook, YouTube und Co. weitergegeben – teils selbst ohne des Anklickens des Like-Buttons oder des YouTube-Videos. Der Seitenaufruf alleine genügt bereits.  

Um diesem Dilemma entgegenzuwirken, können Sie Open-Source-Programme wie zum Beispiel Shariff nutzen. Hier wird der direkte Kontakt zwischen der Social Media Plattform und den Webseitenbesuchern erst dann hergestellt, wenn sie aktiv auf einen Share-Button klicken. Auf diese Weise wird verhindert, dass Sie automatisch bei jedem Seitenaufruf eine digitale Spur hinterlassen.

Überprüfen Sie Ihr Statistik-Tool

Betreiben Sie eine eigene Webseite, benutzen Sie mit Sicherheit Dienste wie Google Analytics, um zu analysieren, wie viele Besucher auf Ihre Seite kommen und welche Inhalte diese sich ansehen. In diesem Fall werden IP-Adressen Ihrer Besucher gesammelt. Diese müssen entsprechend gekürzt und damit anonymisiert werden. Ziel ist es, dass die IP-Adressen nicht mehr auf die Person hinter der IP-Adresse deuten. In der Regel kann Ihr Webadministrator diese Einstellung vornehmen, indem er den „anonymizeIP“-Befehl in den Quellcode Ihrer Webseite einbaut.

Außerdem müssen Sie nach Art. 28 DSGVO mit Google einen Vertrag zur Auftragsverarbeitung (früher „Auftragsdatenverarbeitung“) schließen und in Ihrer Datenschutzerklärung darauf hinweisen, dass Sie Google Analytics nutzen. Dabei müssen Sie auch den Link zu dessen Nutzungs- und Datenschutzbestimmungen sowie einer Widerspruchsmöglichkeit – der sogenannten Opt-out-Funktion – angeben. Damit können Webseitenbesucher mit einem Mausklick in der Datenschutzerklärung dafür sorgen, dass die Daten nicht mehr an Google weitergegeben werden.

Informieren Sie über Cookies

Auch Cookies kommen auf fast allen Webseiten zum Einsatz. Dabei handelt es sich um kleine Dateien, die die Daten des Besuchers lokal speichern. Mit Hilfe von Cookies erkennen Webseiten die Besucher wieder und erleichtern damit das Surfen auf der Webseite. Suchen Sie zum Beispiel regelmäßig bei ebay-Kleinanzeigen in der Region Nürnberg nach Möbelstücken, wird ebay das Suchkriterium „Nürnberg“ bei Ihrer nächsten Anmeldung bereits gespeichert haben.

Prinzipiell sollten Sie als Webseitenbetreiber einen Hinweis über die Verwendung von Cookies in Ihre Datenschutzerklärung aufnehmen. Auch eine Einwilligung in Form eines Cookie-Banners beim Aufruf der Webseite ist notwendig. Ähnlich wie bei der Erhebung der personenbezogenen Daten, sollte auch hier so konkret wie möglich benannt werden, welche Daten abgerufen werden, wie sie genutzt werden und an wen sie weitergegeben werden.

Überprüfen Sie Ihren Newsletter

Nutzen Sie Newsletter-Dienste wie Mailchimp, CleverReach oder sendinblue müssen Sie mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung abschließen. Zudem muss im Newsletter-Anmeldeformular stehen, zu welchem Zweck der Newsletter versendet wird und welche Infos Abonnenten erhalten. Als Pflichtfeld darf lediglich die E-Mail-Adresse abgefragt werden.

Auch hier sollte bei der Anmeldung wieder ein Link zur Datenschutzerklärung eingebaut sein, aus der ersichtlich wird, wie und weshalb personenbezogene Daten ausgewertet werden.

Auch ein Link zum Abmeldeformular muss direkt auf dem Anmeldeformular gesetzt werden. Damit außerdem niemand gegen seinen Willen für einen Newsletter eingetragen wird, muss der Nutzer vor Erhalt seines ersten Newsletters über einen personalisierten Bestätigungslink noch einmal bestätigen, dass er auch Inhaber des E-Mail-Postfachs ist. Man spricht hier vom sogenannten Double-Opt-In-Verfahren.

Prüfen Sie, ob Sie mit Ihrem Webhoster einen Vertrag zur Auftragsverarbeitung schließen müssen

Übernehmen Internet-Provider wie O2, Vodafone oder die Deutsche Telekom auch Aufgaben wie E-Mail-Verwaltung oder E-Mail-Archivierung, müssen Sie einen Vertrag zur Auftragsverarbeitung schließen, da personenbezogene Daten verarbeitet werden. Ist dies nicht der Fall, ist ein gesonderter Vertrag mit Ihrem Internet-Anbieter nicht notwendig.

Beachten Sie die Meldepflicht

Selbst wenn Ihre Webseite noch so gut abgesichert ist, kann es zu Vorfällen kommen. Entdecken Sie ein Datenleck, müssen Sie dieses innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Behörde melden. Darüber hinaus müssen Sie innerhalb derselben Frist Betroffene informieren, deren Persönlichkeitsrechte durch den Vorfall potenziell verletzt wurden.

Bußgelder bei Datenschutzverstößen: Diese Strafen drohen

Verstoßen Unternehmen gegen die DSGVO, drohen empfindliche Bußgelder. Wie hoch diese ausfallen, machen die Landesbeauftragen der Datenschutzbehörde vom jeweiligen Einzelfall abhängig. Dabei sehen sich die Datenschutzbehörden jeden Verstoß gesondert an und bewerten diesen. Wie schwerwiegend ein Verstoß ist, hängt von verschiedenen Faktoren ab:

  • Wie schwerwiegend ist die Datenschutzverletzung?
  • Wie lange hielt die Datenschutzverletzung an?
  • Welcher Schaden ist entstanden?
  • Hat das Unternehmen absichtlich gegen Datenschutzrichtlinien verstoßen?
  • Hat das Unternehmen den Schaden eingedämmt?
  • Liegen mehrere Verstöße vor?

Fest steht, dass die Höhe der Bußgelder von der Art der Datenschutzverletzung sowie von der Größe des Unternehmens abhängt. In Art. 38 DSGVO ist der Bußgeldrahmen festgehalten. Im Folgenden haben wir einige Fälle aufgelistet, wann jeweils ein Bußgeld verhängt werden kann.

Aufklärungspflicht des Datenschutzbeauftragten

Hat ein Unternehmen beispielsweise einen Datenschutzbeauftragten eingestellt, muss dieser im Unternehmen über die DSGVO und die damit verbundenen Pflichten aufklären. Informiert er seine Kolleginnen und Kollegen nicht – etwa durch interne Schulungen – können Geldbußen von bis zu 10 Millionen Euro fällig sein.

Fehlende Datenschutzerklärung

Verstößt ein Unternehmen gegen seine gesetzliche Informationspflicht und veröffentlicht auf der Webseite keine Datenschutzerklärung, kann es zu einer Geldbuße von bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des Unternehmens kommen.

Nutzung personenbezogener Daten trotz Widerruf

Unternehmen, die Kunden zu Werbezwecken kontaktieren, obwohl diese ihre Einwilligung zur Nutzung ihrer personenbezogenen Daten durch Widerruf zurückgezogen haben, müssen mit einem Bußgeld in Höhe von 300.000 Euro rechnen.