DSGVO 
für Websites & Online Shops inkl. Checkliste


Seit Ende Mai gilt die DSGVO – die Datenschutzgrundverordnung. Trotz zwei Jahren „Übergangszeit“ wurden viele Unternehmen, Vereine und Webmaster vollkommen von den neuen Gesetzen überrascht. „Unwissenheit schützt vor Strafe nicht“, deshalb muss man sich mit der DSGVO auseinandersetzen und die entsprechenden Gesetze im eigenen Unternehmen und auf Websites umsetzen.

Ich habe mich in den letzten Monaten intensiv mit der Datenschutzgrundverordnung auseinander gesetzt und möchte dir an dieser Stelle nun Tipps geben und häufige Fragen beantworten.

Hinweis: Da ich kein Anwalt bin, handelt es sich hierbei um meine persönliche Meinung und meine eigenen Erfahrungen. Es ist keine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, solltest du dich an einen Anwalt wenden.

Inhalte

DSGVO – was ist das eigentlich?


Die Datenschutzgrundverordnung – kurz DSGVO – ist eine neue EU – Verordnung, die die Datenschutzstandards innerhalb der gesamten europäischen Union vereinheitlichen soll.

Diese neue Verordnung regelt hauptsächlich den Umgang mit personenbezogenen Daten und betrifft damit jedes Unternehmen in der EU, beziehungsweise Unternehmen, die Zugriff auf personenbezogene Daten (zum Beispiel Namen, E-Mail Adressen oder Telefonnummern) von EU – Bürgern haben. Hierbei gibt es keine Ausnahmen. Egal ob Einzelunternehmen, Verein oder Großunternehmen – die DSGVO betrifft jeden.

Die DSGVO bei Websites & Shops


Auch auf Websites und vor allem auch in Onlineshops werden personenbezogene Daten genutzt, weshalb auch hier Handlungsbedarf besteht.

Ich werde oft gefragt, ob auf jeder Website Handlungsbedarf besteht. Das kann ich klar mir „ja“ beantworten. Denn oftmals weiß man gar nicht so genau was in einem Shop oder auf einer Website eigentlich für Daten übertragen werden. Gerade eingesetzte Plugins oder Skripte, zum Beispiel von Facebook, greifen gerne „im Hintergrund“ Daten ab, ohne dass man selbst oder der Nutzer davon etwas merkt. Aber selbst wenn man solche Dienste nicht nutzt, muss zumindest die Datenschutzerklärung einer Website angepasst werden.

Datenschutzerklärung

Laut Art. 12 DSGVO wird gefordert, dass die notwendigen Informationen den Nutzern in „[…] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache […]“ übermittelt werden müssen. Kaum eine Datenschutzerklärung, die in den letzten Jahren erstellt wurde, kann dieser Forderung gerecht werden.

Des Weiteren müssen die User in der Datenschutz natürlich auch informiert werden, wie personenbezogene Daten wie zum Beispiel E-Mail Adressen oder die IP Adresse genutzt werden.

Cookies

Cookies sind seit langem ein Streitthema. Darf man Cookies nutzen? Muss man die User darauf hinweisen? Benötigt man sogar eine Einwilligung? Wie genau Cookies bei der DSGVO behandelt werden müssen, wird zur Zeit noch diskutiert. Deshalb gibt es hier noch keinen Leitfaden, wie genau man mit Cookies umgehen soll.

Fakt ist aber, dass zum Beispiel Onlineshops ohne Cookies ganz nicht funktionieren würden. Auch viele Websites wären ohne Cookies in ihrer Funktion eingeschränkt. Auf einigen Websites wird deshalb argumentiert, dass hierbei ein „berechtigtes Interesse“ besteht, denn viele Cookies machen den Usern das Leben erheblich einfacher. Demnach könnte man davon ausgehen, dass der Einsatz gerechtfertigt ist.

Ein „richtig“ oder „falsch“ gibt es hier allerdings (noch) nicht. Aktuell kann die DSGVO noch unterschiedlich ausgelegt werden, weshalb erste Urteile abzuwarten sind. Mehr zum Thema Cookies & DSGVO kannst du auch bei der it – recht Kanzlei München nachlesen.

Plugins & Skripte

Viele Websites und Shops verwenden Plugins um Funktionen hinzuzufügen. Das Problem: Bei vielen Plugins lässt sich nicht einfach nachzuvollziehen, ob nicht doch irgendwelche personenbezogenen Daten an Dritte weitergeleitet werden. In den meisten Fällen wäre das nicht zulässig.

Außerdem muss in solchen Fällen ein Auftragsdatenverarbeitungsvertrag (ADV – Vertrag) mit der dritten Person geschlossen werden, in dem zum Beispiel die folgenden Aspekte behandelt werden müssen:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten

Das gilt zum Beispiel auch für die „Share & Like“ Scripte, die Facebook und Co. für Websites anbieten. Auch hier werden Daten an Dritte weitergeleitet. Auch zu beachten sind hier Analyse Dienste, wie zum Beispiel Google Analytics, denn auch in diesem Fall greift das Tool personenbezogene Daten von deiner Website ab. Wie du Google Analytics weiterhin nutzen kannst, erfährst du übrigens in meiner kostenlosen, persönlichen DSGVO Checkliste.

Ein Punkt der sehr häufig vergessen wird, sind eingebettete Videos. Denn auch hier wird in den meisten Fällen eine Verbindung zu einem anderen Server aufgebaut, die dann ggf. auch auf personenbezogene Daten deiner User zugreifen können. Auch hierzu findest du weitere Informationen in meiner DSGVO Checkliste.

Formulare

Auf beinahe jeder Website befindet sich zumindest ein Kontaktformular. Über ein solches Formular können die User personenbezogene Daten an dich übermitteln. Damit die Übermittelung von E-Mail Adresse, Name, Telefonnummer und Co. auch wirklich sicher abläuft und keiner dazwischenfunken und Daten abgreifen kann, solltest du mit einem SSL Zertifikat für eine verschlüsselte Übertragung dieser Daten sorgen.

Ob eine Website ein SSL Zertifikat hat, erkennst du nicht nur an dem Beginn einer URL mit https://, sondern mittlerweile auch in der Browserzeile vieler Browser:

ein SSL Zertifikat erkennt man durch das grüne Schloss im Browser

Ein SSL Zertifikat kannst du übrigens in den meisten Fällen direkt bei deinem Hoster bestellen.

Bei Formularen stellt sich dann aber auch die Frage, ob meine eine explizite Einwilligung der User benötigt. Auch hier muss ich dir wieder sagen: Es gibt keine eindeutige Antwort. Ich persönlich verzichte bei einfachen Kontaktformularen auf eine besondere Einwilligung, denn jeder, der mit mir über ein Kontaktformular Kontakt aufnimmt, ist sich bewusst, dass ich die Daten verarbeiten muss um ihm antworten zu können. Im Zivilrecht spricht man hier von einer konkludenten Willenserklärung. Das ist eine Einwilligung, die durch schlüssiges Verhalten, ohne ausdrückliche Erklärung abgegeben wird. In diesem Fall dürfen die Daten aber wirklich nur für den offensichtlichen Zweck verarbeitet werden. Für eine Newslettereintragung oder ähnliches würde eine zusätzliche Einwilligung notwendig werden.

Worauf aber nicht verzichtet werden sollte, ist ein Hinweis auf Kontaktformulare in der Datenschutzerklärung.

Google Webfonts

Auch bei der korrekten Nutzung von Google Webfonts scheiden sich aktuell noch die Geister. Während die einen Google Fonts herunterladen und direkt auf der Website einbauen, sodass keine Verbindung zu einem Google Server hergestellt wird, argumentieren die anderen mit „berechtigtem Interesse“. Denn seien wir mal ehrlich, es kann nicht Sinn der DSGVO sein, dass wir uns im Web wieder um 10 Jahre zurückentwickeln.

Ich vertrete hier auch den Standpunkt des „berechtigten Interesses“. Natürlich sollte aber auch hier in der Datenschutzerklärung auf die Nutzung hingewiesen werden.

E-Mail Marketing

Auch beim E-Mail Marketing gibt es das ein oder andere bzgl. der DSGVO zu beachten. Zum einen solltest du immer mit dem Double – Opt – In Verfahren arbeiten. Das heißt, ein User trägt sich in deine E-Mail Liste ein und muss im Anschluss durch einen Link in einer Bestätigungsmail noch einmal seine E-Mail Adresse bestätigen. So wird sichergestellt, dass User nicht einfach irgendwelche E-Mail Adressen eintragen können, bei denen dir eigentlich die Erlaubnis zum Versenden eines Newsletters fehlt.

Ein weiterer Punkt ist auch hier wieder der ADV – Vertrag. Diesen musst du mit deinem E-Mail Marketing Anbieter (zum Beispiel Klick Tipp) schließen.

Seit dem 25. Mai herrscht außerdem ein s.g. Kopplungsverbot. Das heißt, es ist verboten Daten im Gegenzug für ein kostenfreies Produkt einzufordern. Auch das solltest du bei deinem E-Mail Marketing beachten.

Übrigens betrifft die DSGVO nicht nur alle Neueintragungen, sondern auch deine alten E-Mail Kontakte. Im Zweifel musst du nachweisen können, dass die User zugestimmt haben in deine E-Mail Liste aufgenommen zu werden und E-Mails von dir erhalten möchten. Kannst du das bei deiner E-Mail Liste nicht nachvollziehen, solltest du die User um erneute Einwilligung bitten.


Das waren einige wichtige Punkte, die du im Bezug der Datenschutzgrundverordnung online beachten solltest. Weitere wichtige Tipps und Hinweise findest du auch in meiner persönlichen kostenfreien DSGVO Checkliste.

Eure Fragen zur DSGVO


In meiner Facebook Gruppe habe ich in den letzten Wochen Fragen gesammelt, die ich hier gerne nach bestem Wissen beantworten möchte.

Du hast noch Fragen rund um die DSGVO? Gerne versuche ich auch diese zu beantworten. Hinterlasse mir dazu einfach einen Kommentar unter diesem Beitrag. 

Kann man noch mit Freebies eine E-Mail Liste aufbauen?

Bereits weiter oben hatte ich das s.g. Kopplungsverbot angesprochen. Hierbei geht es darum, dass für kostenlose Produkte oder zur Teilnahme von Gewinnspielen nicht mehr automatisch eine Einwilligung zur Eintragung in einen Newsletter oder ähnliches verlangt werden darf.

Auch bei diesem „Kopplungsverbot“ gibt es wieder einmal unterschiedlichen Auslegungen. Alles was du hier liest ist also nicht durch irgendwelche Urteile oder ähnliches bestätigt, sondern im Moment wirklich nur Auslegungssache.

Hier eine Ideen wie du trotzdem noch Freebies nutzen kannst, um deine E-Mail Liste auszubauen:

Sage den Usern klar und deutlich, dass sie sich für deinen Newsletter eintragen und als Dankeschön dafür ein Geschenk (dein Freebie) erhalten. Bei meiner aktuellen SEO Sommer Aktion sieht das zum Beispiel so aus:

Newslettereintragung mit Geschenk

Was müssen Onlineshops beachten?

Onlineshops hantieren natürlich mit weitaus mehr und auch sensibleren Daten als eine Website. Im Grunde müssen Onlineshop aber genau dasselbe beachten, was auch normale Websites beachten müssen.

Größere Abweichungen gibt es bei Shops vor allem in der Datenschutzerklärung. Hier müssen zum Beispiel auch entsprechende Zahlungsanbieter aufgeführt werden.

Was muss ich bei meinem E-Mail Marketing Anbieter beachten?

Egal wo dein E-Mail Marketing Anbieter sitzt, die DSGVO muss trotzdem beachtet werden. So musst du Beispielsweise mit ihm einen Auftragsdatenverarbeitungsvertrag abschließen. Außerdem muss die Eintragung immer über ein Double – Opt – In Verfahren erfolgen. Bietet dein Anbieter das nicht an, solltest du lieber zu einem anderen Anbieter wechseln.

Welche Plugins kann ich noch nutzen?

Theoretisch musst du bei allem Plugins prüfen ob und wie Daten weitergegeben werden. Für viele Plugins wurde dir die Arbeit aber bereits abgenommen. So findest du hier eine Liste mit über 170 Plugins im DSGVO – Check.

Darf man Google Analytics noch nutzen?

Ja, hier ist jedoch wichtig, dass du die Funktion „anonymizeIp“ nutzt und den ADV – Vertrag mit Google schließt. Weiteres dazu erfährst du auch in meiner DSGVO – Checkliste.

Brauche ich einen Datenschutzbeauftragten?

Pauschal lässt sich das nicht beantworten. Ob du einen Datenschutzbeauftragen benötigst, hängt von verschiedenen Faktoren ab. Unter anderem spielt hierbei zum Beispiel die Größe des Unternehmens sowie die zu verarbeitenden Daten eine Rolle. Mehr dazu kannst du hier nachlesen.

Was muss ich bei Blogkommentaren beachten?

Manche Blogsystem bedienen sich an vielen personenbezogenen Daten, wie zum Beispiel der E-Mail Adresse, dem Namen oder auch der IP Adresse.

Auch hier ist wieder die Frage in wie weit die Daten unter ein „berechtigtes Interesse“ fallen. Ich habe es hier so geregelt, dass ich keine Daten verpflichtend Abfrage und die User selbst entscheiden können ob sie einen Namen oder eine E-Mail Adresse angeben möchten. Auch die IP Adresse wir nicht mehr gespeichert.

DSGVO: Schwarz und Weiß gibt es (noch) nicht


 In vielen Dingen ist die DSGVO wirklich noch Auslegungssache, wo man nicht mit Sicherheit sagen kann, ob etwas richtig oder falsch gelöst wurde. Gerade bei dem „berechtigten Interesse“ wird es wohl immer Spielraum geben, bei dem dann im Zweifel Gerichte entscheiden müssen, ob ein berechtigtes Interesse besteht oder nicht.

Ich persönlich hoffe, dass es in den nächsten Wochen und Monaten erste Urteile gibt, die Klarheit in die DSGVO bringen, sodass auch klare Handlungsanweisungen möglich sind.

Detailliertere Infos und Handlungsempfehlungen zur Umsetzung der DSGVO auf Websites & Onlineshops findest du in meiner persönlichen DSGVO Checkliste.


Du hast noch Fragen rund um die DSGVO oder möchtest den Lesern deine Meinung mitteilen? Dann ab in die Kommentare damit.

Dir hat dieser Beitrag helfen können? Dann würde es mich sehr freuen, wenn du diesen Artikel mit fünf Sternen bewertest und deinen Freunden und Bekannten weiterempfiehlst. Klicke dazu auf die Sterne und einen der Share-Button. Danke dir.

[Gesamt:13    Durchschnitt: 4.7/5]

0 Kommentar(e)