Wie können Sie Ihre Website DSGVO-konform gestalten?

Frank Müns
Frank Müns
29.01.2020

Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.

Onlinepräsenzen und der Datenschutz

Wenn Sie die Absicht haben, eine Webseite zu erstellen und diese zu veröffentlichen, müssen Sie auf eines ganz besonders achten: den Datenschutz. Neue Regelungen diesbezüglich finden aufgrund der seit 25. Mai 2018 geltenden Datenschutz-Grundverordnung, kurz DSGVO, Anwendung.

Bei Missachtung dieser rechtlichen Vorgaben können Sie sich auf Konsequenzen und Strafzahlungen einstellen. Achten Sie deshalb ausreichend auf die Wahrung des Datenschutzes auf Ihrer Webseite. Dies ist aber leichter gesagt als getan.

Um alle Anforderungen zu erfüllen, müssen einige Maßnahmen umgesetzt werden. Welche das sind, wer davon betroffen ist und wie Sie Ihre Webseite DSGVO-konform gestalten können erfahren Sie im folgenden Beitrag.

Von der DSGVO betroffene Seiten

DSGVO konforme Website

Nahezu alle Webseiten sind den Regelungen der Datenschutz-Grundverordnung unterlegenAusgenommen sind nur Seiten, die ausschließlich familiären oder persönlichen Zwecken dienen.

Die DSGVO greift auch, wenn keine Nutzerdaten abgefragt werden. Das liegt daran, dass schon allein beim Aufruf einer Webseite die IP-Adresse des Users übermittelt wird. Da es sich bei der IP-Adresse um eine personenbezogene Information handelt, befinden wir uns im Blickfeld der DSGVO.

Machen Sie also auf keinen Fall den Fehler zu denken, Sie verarbeiten keinerlei personenbezogene Daten. Sobald eine nicht rein familiäre oder persönliche Internetpräsenz betrieben wird, ist man betroffen, egal wie umfassend diese ist.

So gestalten Sie Ihre Webseite DSGVO-konform

Im Folgenden geben wir Ihnen ein paar Tipps, wie Sie Ihre Onlinepräsenz fit für die Regelungen der DSGVO machen.

Erschaffen Sie technischen Datenschutz

Das bedeutet, dass zunächst alle technischen Maßnahmen, welche den Datenschutz gewährleisten oder unterstützen, angewendet werden sollten.

Verschlüsselung Ihrer Webseite

Da alle Internetseiten auf denen personenbezogene Daten erhoben werden grundsätzlich verschlüsselt werden müssen, ist dies der erste Schritt.

Wenn zu Beginn einer URL ein https steht, ist die Seite verschlüsselt. Achten Sie darauf, ob das S in httpS vorhanden ist, wenn nicht, ist die Seite nicht verschlüsselt.

Oftmals wird bei erfolgreicher Verschlüsselung das Wort „sicher“ oder ein Schloss vor der URL angezeigt. Das bringt Ihnen nicht nur DSGVO-, sondern auch Google-Vorteile, da verschlüsselte Seiten höher geranked werden, also weiter oben in den SERPs erscheinen. Überprüfen Sie das Vorhandensein der Verschlüsselung auf jeder Webseite inklusive Unterseiten.

Minimale Erhebung personenbezogener Daten

Achten Sie zudem darauf, dass die Erhebung der personenbezogenen Daten minimal ausfällt. Das heißt, es sollten nur Daten eingefordert werden, die zum einen zulässig sind und zum anderen auch wirklich benötigt werden.

Die Erhebung weiterer Daten sollte unterlassen werden. Wenn Daten zur Nutzung der Webseite unbedingt erforderlich sind, sind Sie erst nach expliziter Einwilligung des Nutzers dazu berechtigt weitere Daten zu verarbeiten.

Überprüfen Sie Ihre Datenschutzerklärung und Ihr Impressum nach DSGVO Richtlinien

Stellen Sie sicher, dass Ihr Impressum, Ihre Datenschutzerklärung und das dazugehörige Widerrufsrecht DSGVO-konform ausfällt, um Abmahnungen zu entgehen.

Wie genau Sie dies sicherstellen, erfahren Sie in unserem Beitrag ‚Was sind die rechtlichen Pflichten in Sachen Websites? – Das Impressum‘.

Achten Sie auf die korrekte Anwendung und Kennzeichnung von Cookies

Um den Datenschutz weiterhin sicherzustellen, müssen Sie darauf achten Cookies korrekt anzuwenden und zu kennzeichnen. Denn auch hier werden personenbezogene Daten, wie beispielsweise das Nutzerverhalten und individuelle Einstellungen des Users, gespeichert. Aus diesem Grund unterliegt deren Nutzung den Regelungen der DSGVO.

Erfahren Sie in unserem Beitrag ‚Wie ist die Rechtslage in Sachen Cookie-Hinweis?‘ alles Wissenswerte über die korrekte Handhabung.

Stellen Sie die Richtigkeit aller Formulare auf Ihrer Webseite sicher

Sobald sich über Ihre Webseite ein Termin vereinbaren, eine Nachricht verfassen oder sich für einen Newsletter anmelden lässt, muss Ihr Kontaktformular DSGVO-konform gestaltet werden. Das bedeutet, es dürfen ausschließlich personenbezogene Daten erhoben werden, die für die Beantwortung der Anfrage relevant sind. Die Relevanz hängt hierbei von der jeweiligen Situation ab. Die Pflichtfelder müssen ausdrücklich gekennzeichnet werden.

Beantragt ein Nutzer beispielsweise einen Newsletter, benötigt man zur Anmeldung nicht den Vor- und Zunamen, sondern lediglich eine E-Mail-Adresse. Die Angabe der Namen ist für den User freiwillig, was ihm unmissverständlich klargemacht werden muss. Beim Versenden des Newsletters muss sichergestellt werden, dass der Nutzer diesen explizit anfordert. Diese Einwilligung muss nachgewiesen werden können.

Zudem müssen Sie ihn darüber informieren, aus welchem Grund Sie die eingeforderten Daten benötigen, was damit geschieht, wie lange sie gespeichert werden und auf welcher Rechtsgrundlage diese verarbeitet werden.

Vergessen Sie hierbei nicht die Anführung der Datenschutzerklärung und des Widerrufsrechts. Klären Sie außerdem darüber auf, wenn Sie Lösungen von Drittanbietern für die Datenverarbeitung verwendenVerschlüsseln Sie das Kontaktformular datenschutzkonform und löschen Sie die Daten, nachdem Ihr Zweck erfüllt wurde. Überprüfen Sie zudem, ob für jeden Zweck, für den Daten erforderlich sind, eine separate Einwilligung erwirkt wurde.

Prüfen Sie Social-Media-Plugins und eingebettete Videos auf DSGVO-Konformität

Social-Media-Plugins, welche auf Ihrer Webseite eingebettet werden, können unbemerkt personenbezogene Daten sammeln, um damit detaillierte Persönlichkeitsprofile zu erstellen. Sie äußern sich zum Beispiel in Form des „Gefällt mir“-Buttons von Facebook und stellen eine Verbindung mit dem sozialen Netzwerk her. Diese Daten können ohne eine direkte Interaktion an ebendiese übermittelt werden.

Genauso verhält es sich mit der Einbettung von Videos, beispielsweise von YouTube. Verwenden Sie hier den erweiterten Datenschutzmodus, um die Übertragung der Daten zu unterbinden.

Statistik-Tools

Nutzen Sie Statistik-Tools wie Google-Analytics, so muss ein Link zu den Nutzungsbedingungen von Google Analytics vorhanden sein. Zudem müssen die gesammelten IP-Adressen gekürzt werden, damit kein Personenbezug mehr möglich ist.

Was noch wichtig ist, es muss die sogenannte opt-out-Funktion möglich sein. Dies bedeutet, dass der Besucher mit einem Klick verhindern können muss, dass seine Daten an Google weitergegeben werden.

Schließen Sie einen Vertrag zur Auftragsverarbeitung

Sie sind dazu verpflichtet, einen Vertrag zur Auftragsverarbeitung abzuschließen, wenn Sie Software-Lösungen oder Dienstleistungen von Drittanbietern einsetzen. Darunter können auch Newsletter-Dienste fallen. Dabei sollten Sie darauf achten, dass Sie die Datenschutzerklärung verlinken und dass der Zweck des Newsletters erklärt wird. Es darf verpflichtend lediglich die E-Mail-Adresse abgefragt werden, falls die Person den Newsletter abonnieren möchte.

Stellen Sie sicher, dass Ihre Auftragsverarbeiter die DSGVO rechtmäßig umsetzen.

EU DSGVO Verantwortlicher und Auftragsverarbeiter – Was sind die Unterschiede
VORHERIGER BEITRAG EU DSGVO Verantwortlicher vs. Auftragsverarbeiter – Was sind die Unterschiede?
EU DSGVO Verantwortlicher und Auftragsverarbeiter – Was sind die Unterschiede
NÄCHSTER BEITRAG EU DSGVO Verantwortlicher vs. Auftragsverarbeiter – Was sind die Unterschiede?