Brauche ich einen Datenschutzhinweis? Datenschutzgrundverordung (DSGVO) für Website-Betreiber – Newsletter 4/2018

Wenn Sie verantwortlich für eine Website sind, müssen Sie sich auch mit den ungeliebten rechtlichen Aspekten auseinandersetzen. Haben Sie bezüglich der Datenschutz-Grundverordnung (DSGVO) noch nichts unternommen, ist es höchste Zeit. Sie tritt am 25. Mai 2018 in Kraft. Diese neue EU-Regelung stärkt die Rechte der Nutzer und nimmt Sie als Betreiber stärker in die Pflicht. Ignorieren Sie das, drohen Strafen bis zu 20 Millionen Euro. Das klingt absurd? Daran sehen Sie, dass die Vorgaben vor allem auch gegenüber großen, weltweit agierenden Unternehmen durchgesetzt werden sollen. Als Betreiber einer Info-Site oder eines kleinen Shops werden Sie natürlich nicht mit solchen Beträgen zu tun bekommen. Aber auch ein paar Tausend Euro will man sicher nicht einfach so zahlen.

Ärger droht von Wettbewerbern (Abmahnungen), aber auch von den Aufsichtsbehörden, die in Zukunft stärker kontrollieren wollen und von Verbraucherschützern, die direkt klagen können.

Daher, es hilft nichts, müssen wir uns mit der DSGVO beschäftigen. Aber, versprochen: Das geht schnell und in ein, zwei Stunden können Sie das Thema abhaken. Wie immer bei rechtlichen Themen gilt: Ich bin kein Anwalt, sondern Konzepter. Wenn Sie ganz sichergehen wollen, müssen Sie zusätzlich immer einen Juristen fragen.

Was muss ich nach DSGVO auf meiner Website tun?

Ganz wichtig: Die Impressumpflicht besteht weiterhin. Und es empfiehlt sich aus meiner Sicht das Impressum auch getrennt vom Datenschutzhinweis zu halten. Schon allein aus Gründen der Übersichtlichkeit für die Besucher.

Dazu gilt nach wie vor das, was ich vor einiger Zeit aufgeschrieben habe: Newsletter 10/2010 – Informationspflichten von Website-Betreibern

Pflicht: Der Datenschutzhinweis

Sie kennen das von größeren Sites: Neben dem Impressum gibt es einen eigenen Datenschutzhinweis. Der ist nun nach der neuen DSGVO für praktisch jede Site Pflicht. Nur wenn Sie eine rein private Site betreiben, also etwa für den Austausch innerhalb Ihrer eigenen Familie, brauchen Sie das nicht. Und das auch nur, solange Sie keine IP-Adressen speichern – was praktisch alle Baukasten- und CM-Systeme tun. Also: Bauen Sie einen Datenschutzhinweis ein.

Wo der Datenschutzhinweis hingehört, das regelt die Verordnung nicht. Aber Juristen empfehlen hier das Gleiche wie beim Impressum: Setzen Sie einen Link in die Navigation oder in den Seitenfuß (footer). Diesen beschriften Sie mit „Datenschutzhinweis“ oder „Datenschutzerklärung“.

Screenshot Fußteil Die Zeit
Typische Platzierung des Links zum Datenschutzhinweis im Footer, hier bei Der Zeit. Auffällig muss er nicht sein, aber dort zu finden, wo Nutzer ihn suchen.

Brauche ich ein Cookie-Banner?

Cookies sind kleine Textdateien, mit denen Websitebetreiber Daten auf dem Rechner des Nutzers speichern können. So müssen die Nutzer z.B. nicht jedesmal ihre Logindaten eingeben bei einem Webdienst. Aber Cookies dienen auch dazu, das Nutzerverhalten zu verfolgen und ihnen personalisierte Werbung zu präsentieren. Daher müssen Sie die Besucher darauf hinweisen, wenn Sie Cookies verwenden – gleich, wofür Sie diese verwenden.

Systeme wie WordPress, Typo3 und auch Webbaukasten-Anbieter nutzen praktisch alle automatisch Cookies, wenn Sie das nicht deaktivieren.

Wie der Hinweis auf Cookies auszusehen hat, ist jedoch noch nicht ganz klar. Einige Experten meinen, das reiche im Datenschutzhinweis. Andere sagen, es bräuchte ein Banner bzw. Popup, das beim ersten Besuch auf der Website erscheint und per Klick/Tipp deaktiviert werden muss.

Cookie Policy Best Practice
Sympathisch wirkt dieser Cookie-Hinweis bei kuechengoetter.de. Gut sichtbar, nicht zu lang, große Buttons. Vorbildlich!

Ich persönlich finde, mit den Cookie-Bannern ist den Nutzern kein Dienst erwiesen. Die Hinweise darauf, dass die Website Cookies setzt, werden von den Nutzern bei Usability-Tests nach meiner Erfahrung ignoriert. Oft nehmen sie dafür sogar in Kauf, dass sie nur einen stark eingeschränkten Teil des Bildschirms nutzen können – sie klicken einfach nicht auf den „akzeptieren“-Button und sehen die Website wie durch einen Briefkastenschlitz.

Aber wenn Sie auf Nummer sicher gehen wollen, setzen Sie ein solches Cookie Banner ein. In jedem Fall aber gehört der Hinweis in Ihre Datenschutzerklärung.

Darf ich weiterhin Google Analytics nutzen?

edit 14.02.2022: Achtung: Es gibt es einzelne Länder wie Österreich und die Niederlande, in denen Google Analytics in manchen Fällen nicht mehr erlaubt ist. Hier sollten Sie die aktuelle Entwicklung im Auge behalten. Oder, mein Tipp, zu Matomo wechseln. Im Folgenden der Newslettertext von 4/2018.

Ja, Google Analytics, Matomo (hieß früher Piwik) oder andere Web-Analyse-Lösungen dürfen Sie weiter nutzen. Wie bisher müssen Sie darauf hinweisen in der Datenschutzerklärung. Und Sie müssen für jeden Besucher eine Möglichkeit vorsehen, das Tracking zu unterbinden.

Die IP-Adresse müssen Sie anonymisieren, und liegen die Daten auf einem Server außerhalb der EU (wie das bei Google der Fall ist), dann brauchen Sie einen Vertrag zur Auftragsdatenverarbeitung (AV-Vertrag) mit dem Anbieter.

Screenshot Privatshaereeinstellungen IP-Adresse Matomo
Privatsphäreeinstellungen des Anaytic-Tools Matomo (ehem. Piwik).

Darf ich Facebook & andere Social-Media Elemente einbinden?

Jein. Links zu Facebook und Twitter, wie ich sie auf benutzerfreun.de setze, sind in Ordnung. Denn hier passiert so lange nichts, bis der Besucher darauf klickt. Problematisch wird es, wenn Sie PlugIns verwenden, die Inhalte von Social Media anzeigen oder die selbsttätig Daten zu Facebook & Co übertragen schon, wenn die Seite geladen wird. Das ist z.B. der Fall bei den Standard-Facebook-Buttons.

Um sicher zu gehen, sollten Sie eine Lösung einsetzen, bei denen der Nutzer die Elemente erst durch Klick aktivieren muss, z.B. Shariff.

Vorsicht bei Angeboten für Kinder & Jugendliche

Laut DSGVO kann man erst ab 16 Jahren ohne Erziehungsberechtigten seine Einwilligung zur Erfassung der eigenen Daten geben. Das heißt: Wenn Sie sich an Kinder & Jugendliche wenden, brauchen Sie die Zustimmung der Eltern, wenn sie die Daten dieser Nutzergruppe verarbeiten wollen. Es sei denn, Sie bieten Präventions- oder Beratungsdienste an, etwa bei familiären oder psychischen Problemen.

Diese Verpflichtung zur Einwilligung der Eltern zielt ab auf Netzwerke wie Facebook und Snapchat, sie betrifft aber generell alle Websites, auf denen man einen Nutzeraccount anlegt. Das Abspeichern von Voreinstellungen etc., wie sie die Cookies von CMS automatisch bei jedem Besuch anlegen, ist davon aber wohl nicht betroffen – sonst bräuchte es eine Alterskontrolle für den Aufruf jeder Website.

Es ist derzeit noch unklar, wie eine rechtlich wasserdichte Überprüfung des Alters aussehen muss. Wollen Sie also eine Registrierung von Kindern und Jugendlichen, dann sollten Sie unbedingt mit einem Anwalt sprechen.

Brauche ich einen Datenschutzbeauftragten?

In fast allen Fällen ist die Antwort auf die Frage, ob Sie einen Datenschutzbeauftragten brauchen: nein. Solange Sie nur eine Info-Site betreiben oder zumindest kein verhaltensbasiertes Tracking Ihrer Kunden im Shop, ist das nicht nötig. Wollen Sie auf Nummer sicher gehen, dann nutzen Sie Entscheidungshilfe des Landesbeauftragten für Datenschutz NRW: Selbstcheck: Wer muss Datenschutzbeauftragte bestellen?

Sinnvoll ist aber in jedem Fall, wenn Sie dennoch einen Verantwortlichen festlegen, der sich um den Datenschutz kümmert. Diese Person sollte dann in den nächsten Wochen besonders im Auge behalten, welche Entwicklungen sich rund um die DSGVO ergeben. So stellen Sie sicher, dass es hier keine bösen Überraschungen gibt.

Was sollte ich jetzt sofort tun?

Als Erstes sollten Sie nun eine Datenschutzerklärung für Ihre Site erstellen. Haben Sie einen Anwalt, gehen Sie zu dem. Wenn nicht, sind Sie meist mit einem der vielen Generatoren gut bedient. Diese erstellen den Text für Sie und in den allermeisten Fällen ist dann alles erledigt, indem Sie diesen Text auf Ihrer Site einbinden.

Im Folgenden zwei Empfehlungen:

Ein Generator für die Datenschutzerklärung mit Hinweisen für Twitter, Facebook, Instagram, Pinterest und viele andere. Einige Funktionen sind nur für zahlende Mitglieder zugänglich. Man muss sich durch etliche Seiten klicken, das geht aber einigermaßen schnell und ist verständlich. Der Text wird nur per E-Mail verschickt und man muss einen Link zum Betreiber einbauen, wenn man den Text verwendet. Außerdem muss man zwingend akzeptieren, Werbemails vom Betreiber zu bekommen – wirkt nicht besonders zeitgemäß oder nutzerfreundlich. Aber inhaltlich wirkt der Text in Ordnung:
https://www.e-recht24.de/muster-datenschutzerklaerung.html

Mein Favorit ist der nächste Dienst. Die Texte sind gut formuliert, nur leider sehr, sehr lang. Auch hier stimmt man zu, dass man Werbemails vom Betreiber bekommt. Dafür kann man die Erklärung als Text oder HTML direkt auf der Site herunterladen:
https://dg-datenschutz.de/muster-datenschutzerklarung/

100%ige Sicherheit haben Sie bei rechtlichen Dingen nie – diese Vorstellung haben nur wir Laien. Denn es gibt immer Spezialfälle, in denen ein Richter anders entscheidet als ein Anwalt oder gar ein Laie. Das braucht uns aber keine Sorge zu machen – im Straßenverkehr oder beim Zusammenleben mit den Nachbarn ist das auch nicht anders.

Wollen Sie sich weiter zur DSGVO informieren, müssen Sie sich durch längere, nicht eben spritzig geschrieben Texte kämpfen. Mit am besten finde ich diese Seiten:

Was sich 2018 im Datenschutz ändert. – Infos von eRecht24. ausführlich und gut, nur leider mit sehr penetranter Werbung, Mitglied zu werden.

FAQ zur Datenschutzgrundverordnung – kostenloser Leitfaden des Branchenverbands Bitkom. Umfassend, mit Beispielen, aber vor allem für größere Unternehmen gedacht.

Haben Sie noch andere Tipps? Dann freue ich mich über Ihre Kommentare!

1 Gedanke zu „Brauche ich einen Datenschutzhinweis? Datenschutzgrundverordung (DSGVO) für Website-Betreiber – Newsletter 4/2018“

Schreibe einen Kommentar