DSGVO für Websites: Erfahren Sie, welche Maßnahmen Sie ergreifen müssen, um den Datenschutz Ihrer Nutzer:innen zu gewährleisten

Letztes Artikel-Update 24.07.2024 | Online Marketing, Webdesign

Was ist die DSGVO?

Die Datenschutzgrundverordnung (DSGVO) ist ein umfassendes Gesetz zum Schutz personenbezogener Daten in der EU. Sie regelt, wie Daten erhoben, verarbeitet und genutzt werden dürfen.

Seit dem 25. Mai 2018 ist die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Sie regelt den Umgang mit und den Schutz von personenbezogenen Daten, u.a. im Internet. Doch noch immer herrscht Verunsicherung: Was ist erlaubt? Was muss beachtet werden? Insbesondere für Websitebetreiber:innen stellt die Verordnung eine Herausforderung dar. Denn auch sie sind dazu verpflichtet, sich an die Vorgaben der DSGVO zu halten.

In diesem Blogbeitrag gebe ich einen Überblick, was die DSGVO für Websitebetreiber:innen bedeutet und welche konkreten Maßnahmen sie umsetzen müssen, um den Datenschutz ihrer Besucher:innen zu gewährleisten.

Allgemeines zur Datenerhebung gemäß DSGVO

Sie dürfen – weder auf Website noch im Newsletter oder auf Social Media – grundsätzlich keine personenbezogenen Daten erheben, verarbeiten oder nutzen – es sei denn, Sie haben eine Erlaubnis.

Wichtige Grundsätze der DSGVO

 

  • Datensparsamkeit: Sie dürfen nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen (Datenminimierung).
  • Zweckbindung: Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.
  • Datenrichtigkeit: Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein.
  • Datensicherheit: Sie müssen personenbezogene Daten schützen. Je schützenswerter – z.B. je sensibler – die Daten, desto höher muss das Schutzniveau sein. Welche Maßnahmen angemessen sind, orientiert sich am Stand der Technik, den notwendigen Kosten sowie den Umständen und Risiken.

Information über die Datenerhebung auf Websites

Sie müssen Ihre Besucher:innen transparent darüber informieren, welche personenbezogenen Daten auf Ihrer Website erhoben werden und zu welchem Zweck.

Dies tun Sie in der Datenschutzerklärung (DSE), die jede:r Websitebetreiber:in bereit stellen muss. Sie wird am besten auf einer separaten Unterseite platziert, die von allen Bereichen Ihrer Website mit maximal zwei Klicks erreichbar ist. (Am besten platzieren Sie einen direkten Link im Footer Ihrer Website.)

Für die Erstellung der Datenschutzerklärung können Sie z.B. einen Generator, wie von eRecht24 nutzen. Es empfiehlt sich jedoch immer, die DSE noch einmal von einem auf Online spezialisierten Anwalt prüfen zu lassen. Weiterhin sollte die DSE regelmäßig aktualisiert werden, da sich Gesetzmäßigkeiten und technische Einstellungen häufig ändern.

Datenschutzfolgenabschätzung (DFA)

Eine Datenschutzfolgenabschätzung (DFA) ist erforderlich, wenn Datenverarbeitungen ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen. Wenn Sie umfangreiche Datenverarbeitungen planen, die potenziell sensible oder umfangreiche personenbezogene Daten betreffen, müssen Sie eine DFA durchführen. Diese hilft dabei, mögliche Risiken für den Datenschutz zu identifizieren und geeignete Maßnahmen zu deren Minimierung zu ergreifen.

Die Durchführung einer DFA umfasst die Analyse der geplanten Datenverarbeitung, die Bewertung der damit verbundenen Risiken und die Dokumentation der getroffenen Schutzmaßnahmen. So stellen Sie sicher, dass die Datenverarbeitung den Vorgaben der DSGVO entspricht und die Rechte der betroffenen Personen gewahrt bleiben.

Einwilligung zur Datenerhebung auf Websites: Cookie Consent Banner

Seit Dezember 2021 sind Sie verpflichtet, bei der Nutzung von nicht essentiellen Cookies ein Cookie-Consent-Banner auf Ihrer Website einzubinden.

Cookies sind kleine Datensätze, die beim Surfen im Web gespeichert werden, um Websitebesucher:innen wiederzuerkennen. Sie enthalten z.B. Daten zu Logins, Spracheinstellungen oder gespeicherten Warenkörben.

Technisch notwendig sind alle Cookies, ohne die eine Website nicht funktionieren würde – z.B. Session Cookies. Technisch nicht erforderlich, also nicht essentiell, sind Cookies, die zu Marketing- oder Analysezwecken eingesetzt werden (z.B. Google Analytics).

Seit 01.12.2021 ist in Deutschland das neue Telekommunikations-Telemedienschutzgesetz TTDSG in Kraft. Es besagt, dass Websitebetreiber:innen für die Nutzung von technisch nicht notwendigen Cookies und Trackingdiensten eine echte Einwilligung der Websitebesucher:innen einholen müssen. Eine reine Information über genutzte Dienste („Wir verwenden auf unserer Website Cookies“) genügt nicht mehr.

Dies ist am besten über ein Cookie-Consent-Tool in Form eines Cookie-Banners umsetzbar. In diesem Banner müssen Sie erläutern, welche Dienste Sie auf der Website nutzen und wofür Websitebesucher:innnen ihre Einwilligung geben.

Die Zustimmung muss aktiv erteilt werden, es darf keine Checkbox vorausgewählt sein. Es muss einen Ablehnen und einen Annehmen Button geben, die sofort geklickt werden können. Nutzer:innen dürfen nicht erst auf einer weiteren Seite die Möglichkeit haben, abzulehnen. Diese Buttons müssen optisch gleich gestaltet sein. Der Annehmen-Button darf nicht etwa größer und greller sein.

Beispiel für ein Cookie-Consent-Tool

Tools wie Borlabs Cookie, Cookiebot oder Real Cookie Banner unterstützen Websitebetreiber:innen dabei, die Anforderungen der DSGVO umzusetzen. Diese Tools bieten umfangreiche Einstellungsmöglichkeiten, die es ermöglichen, Cookies nach Kategorie zu verwalten und die Einwilligung der Nutzer:innen einzuholen.

Real Cookie Banner zeichnet sich besonders durch seine einfache Integration und benutzerfreundliche Oberfläche aus. Es erlaubt die Anpassung des Cookie-Banners an das Design der Website und bietet detaillierte Berichte über die erteilten Einwilligungen. Durch die Verwendung solcher Tools können Sie sicherstellen, dass Ihre Website DSGVO-konform ist und die Privatsphäre Ihrer Besucher:innen geschützt wird.

Technik als Grundlage für die Umsetzung der DSGVO

Bereits bei der Einrichtung Ihrer Website müssen Sie einige Maßnahmen ergreifen, um die Vorgaben der DSGVO richtig umzusetzen.

Dies beginnt bei der Einbindung eines SSL-Zertifikats (Secure Socket Layer). Im Rahmen der DSGVO ist es Pflicht, bei der Abfrage von personenbezogenen Daten über die Website (z.B. in einem Kontaktformular) ein SSL-Zertifikat zu verwenden. Nur so ist eine sichere Übertragung der Daten gewährleistet. Zu erkennen ist das Zertifikat am kleinen Schloss vor der URL und dem https:// (anstatt http://).

Wenn Sie für Ihre Website Plug-ins nutzen, achten Sie darauf, dass die Anbieter möglichst in Deutschland oder der EU sitzen und so sichergestellt ist, dass auch diese die DSGVO umsetzen.

Vorsicht ist bei Anbietern aus sogenannten Drittländern geboten, die nicht an die DSGVO gebunden sind. Immer wieder in den Schlagzeilen ist hier Google, als amerikanisches Unternehmen. Bei der Verwendung von Google Analytics, Google Fonts und Google Maps werden immer Daten Ihrer Websitebesucher:innen in die USA übertragen. Deshalb müssen Sie diese Dienste explizit in Ihrem Cookie-Consent-Banner und Ihrer Datenschutzerklärung nennen. Nutzer:innen müssen die Möglichkeit haben, die Übertragung abzulehnen.

Das bedeutet im Umkehrschluss, dass die Daten für Ihre Statistiken nicht nutzbar sind (Analytics) und Karten auf Ihrer Website nicht angezeigt werden (Maps). Google Fonts müssen gemäß einem Urteil vom Januar 2022 lokal auf Ihrer Website gehostet werden. 

Rechte der Besucher:innen gemäß DSGVO

Die DSGVO räumt Websitebesucher:innen verschiedene Rechte ein, wie z.B. das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit.

Das bedeutet, Sie sind verpflichtet, Ihren Nutzer:innen auf Verlangen Informationen über die bei Ihnen gespeicherten personenbezogenen Daten zuzusenden.

Außerdem müssen Sie auf Wunsch personenbezogene Daten löschen oder sperren, wenn Sie nicht mehr berechtigt sind, die Daten zu verwenden.

Des Weiteren können Nutzer:innen ihre personenbezogenen Daten zu einem anderen Anbieter „mitnehmen“ und von Ihnen verlangen, ihre personenbezogenen Daten an einen anderen Verantwortlichen weiterzugeben (z.B. bei Wechsel der Bank oder des Arbeitgebers).

DSGVO-konforme Newsletter

Wenn Sie einen Newsletter anbieten, benötigen Sie für den Versand die schriftliche oder elektronische Zustimmung, der Empfänger:innen, dass diese den Newsletter bekommen wollen.

Verwenden Sie daher für die Registrierung am besten ein Double-Opt-In-Verfahren. Abonnent:innen erhalten so eine E-Mail, mit der sie der Eintragung in Ihre Mailingliste explizit zustimmen können.

Der Newsletter darf übrigens nicht an andere Angebote gekoppelt sein (z.B. Gratis-Download eines Whitepapers ist nur gegen Eintragung in Newsletter möglich).

Social Media DSGVO-konform nutzen

Was viele nicht wissen und daher vernachlässigen: Sie benötigen auch für Ihre Social Media Kanäle eine Datenschutzerklärung und ein Impressum.

Je nach Plattform müssen diese an unterschiedlichen Stellen platziert werden. eRecht24 erläutert in einem ausführlichen Artikel, wo DSE und Impressum bei Facebook, LinkedIn und Co. untergebracht werden müssen.

Übrigens: wenn Sie auf Ihrer Website Social Media Like Buttons integrieren wollen/integriert haben, sollten Sie ebenfalls darauf achten, dass diese DSGVO-konform sind.

Verstöße gegen die DSGVO

Wenn Sie die Vorschriften der Datenschutzgrundverordnung ignorieren, müssen Sie sie sich auf Abmahnungen und/oder hohe Bußgelder einstellen. Kommt es zu einer Anzeige und Sie werden verurteilt, können bis zu 20 Mio. Euro Strafe fällig werden.

Weltweit agierenden Unternehmen drohen sogar Bußgelder von 4 % des weltweiten Vorjahresumsatzes.

Aktuelle Rechtsentwicklungen

Die Datenschutzgrundverordnung (DSGVO) ist ein dynamisches Gesetz, das kontinuierlich weiterentwickelt wird, um den Herausforderungen des digitalen Zeitalters gerecht zu werden.

Ein bedeutendes Beispiel für aktuelle Rechtsentwicklungen ist das Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) von 2020. Dieses Urteil kippte das Privacy Shield Abkommen zwischen der EU und den USA, das zuvor die Grundlage für den Datentransfer zwischen diesen Regionen bildete. Seitdem müssen Websitebetreiber:innen besonders auf Datenübertragungen in Drittländer achten und sicherstellen, dass alternative Schutzmechanismen, wie Standardvertragsklauseln, eingesetzt werden, um den Schutz personenbezogener Daten zu gewährleisten.

Diese Entwicklungen verdeutlichen die Notwendigkeit, regelmäßig die Einhaltung der DSGVO zu überprüfen und anzupassen, um rechtliche Risiken zu minimieren und den Datenschutz der Nutzer:innen zu sichern.

Fazit

Zusammenfassend lässt sich sagen, dass die DSGVO für Websitebetreiber:innen eine Vielzahl von Anforderungen mit sich bringt, die ein hohes Maß an Verantwortung und Sorgfalt erfordern.

Es ist unerlässlich, dass Sie sich mit den Vorgaben der DSGVO auseinandersetzen und die notwendigen Maßnahmen ergreifen, um den Datenschutz ihrer Nutzerinnen und Nutzer zu gewährleisten.

Bei Unsicherheiten oder Fragen ist es empfehlenswert, professionelle Hilfe in Anspruch zu nehmen, um sicherzustellen, dass die Website den Anforderungen der DSGVO entspricht.

Insgesamt gilt: Der Schutz personenbezogener Daten sollte oberste Priorität haben, um das Vertrauen der Besucher:innen zu gewinnen und zu erhalten und Abmahnungen und Bußgelder zu vermeiden.

Cookie Consent mit Real Cookie Banner