Home >

Datenschutzverordnung neu Mai 2018: Was tun?

Ab 25. Mai 2018 gilt die neue EU Datenschutzgrundverordnung DSGVO. Wir befinden uns bereits am Ende der Übergangsfrist. Auf Homepagebetreiber kommen einige Änderungen hinzu. Mein Kunden fragen öfter: Was genau muss ich tun, um mit der neuen Datenschutzverordnung konform zu sein und Abmahnung sowie ggf. recht hohe Strafzahlungen zu vermeiden?

Nicht alles ist neu!

Zuerst einmal in all der Verunsicherung das Gute: Nicht alles ist neu. Aber an einigen Stellen muss praktisch jeder Webseiten-Betreiber Techniken und Text auf seiner Homepage anpassen. Welche Stellen das sind erklärt Ihnen diese Anleitung einfach und verständlich für die folgenden Teilbereiche.

Warum ein neues Datenschutzgesetzt?

Die EU bemüht sich endlich darum, ein einheitliches Datenschutzgesetzt für alle Anwohner des Wirtschaftsraumes zu schaffen. Das ist gut. Weniger gut ist, daß viele Gesetze der EU niemals in nationales Recht übertragen wurden – und einige wohl auch sicher nie werden. Was halten sie von den ganzen nervigen Cookie-Warhniweisen in Popups, die gerade auf Mobilgeräten häufig 1/3 des Bildschirms belegen? Sind auch sie davon genervt? Ich schon. Vor allem weil sie nach aktueller Rechtslage und auch ab Mai 2018 mit der neuen Rechtslage nicht vorgeschrieben sind, aber trotzdem massig und häufig schlecht umgesetzt zum Einsatz kommen.

Datenschutz bei Cookies

Cookies sind kleine Textdateien, die heute von praktisch jeder Webseite zu Speicherung von Daten auf dem Rechner des Nutzers verwendet werden. Andere Domains als die erstellende haben keinen Zugriff auf die darin gespeicherten Daten. Typische Einsatzgebiete sind z.B. der Warenkorb in Shopsystemen, Logins oder auch Daten von Google Analytics. Da in Cookies auch personenbezogene Daten gespeichert werden können ist der Einsatz im neuen Datenschutzgesetz relativ genau geregelt.

Ob der Einsatz von Cookies legal ist hängt von den gespeicherten Inhalten ab. Werden personenbezogene Daten wie z.B. nicht-anonymisierte IP-Adresse, Email oder voller Name gespeichert muss der Besucher zukünftig explizit der Speicherung seiner Daten zustimmen. In diesem Fall ist leider der Einsatz eines Cookie-Hinweises unumgänglich. Speichern Ihre Homepage jedoch nur nicht-personenbezogene Daten (z.B. anonymisierte IP-Adressen oder Spracheinstellungen der Website, was auch dem Besucher beim Nutzen der Webseite hilft) so geht die neue Datenschutzverordnung in den meisten Fällen davon aus, daß das Interesse des Webseitenbetreibers an der Datenverarbeitung das Recht auf den Schutz der Daten des Besuchers überwiegt. Beispiel: Ein Kunde legt Waren in den Warenkorb und entschwindet danach auf eine ander Webseite. Eine Woche später kommt er zurück und die einstmals georderten Waren befinden sich dank Cookies noch immer im Warenkorb. Dies ist im Interesse des Betreibers und des Besuchers. Eine Einwilligung in die Datenspeicherung ist somit hinfällig. Wichtig ist, daß Sie in den Datenschutzbestimmungen Ihrer Webseite darauf hinweise, welche Daten zu welchem Zweck und wie lange gespeichert werden. Hier muss sich der Webseiten-Betreiber folgende Fragen stellen:

  1. Habe ich ein berechtigtes Interesse an der Speicherung der Daten?
  2. Ist hierfür der Einsatz von Cookies erforderlich?
  3. Überwiegt die das Interesse an Datenverarbeitung durch den Webseiten-Betreiber dem Interesse des Besuchers an Datenschutz? „Interesse“ definiert sich in diesem Fall als nicht rechtswidriges ideelles oder wirtschaftliches Interesse.

… und was ist mit Google Analytics?

Auch der Einsatz von Tracking-Cookies wie z.B. von Google Analytics ist laut neuem Datenschutzgesetzt durchaus zulässig. Allerdings sollten Webseiten-Betreiber tunlichst auf rechtskonforme Implementation achten. Dies gilt insbesondere deshalb, weil die Daten von Google Analytics technisch betrachtet ausserhalb der EU gespeichert werden. Eine Verarbeitung gespeicherter Daten durch dritte (Google Analytics) unterliegt klaren Bestimmungen.

  1. Weisen Sie Ihre Besucher in der Datenschutzerklärung auf den Einsatz von Google Analytics hin.
  2. Verwenden Sie unbedingt einen Link auf das Opt-Out-Plugin von Google. Noch besser: bauen Sie diese Technik direkt in Ihre Datenschutzerklärung ein. Durch einen einfachen Klicke innerhalb Ihrer Webseite kann sommit jeder Besucher einfach die Weitergabe seiner Analytics Daten an Google unterbinden
  3. Das wichtigste ist jedoch: Verwenden Sie unbedingt die IP-Anonymisierungsfunktion von Google Analytics! Die Speicherung nicht-anonymisierter IPs ist definitiv illegal – sowohl nach altem als auch nach neuem Datenschutzgesetz.

Muss ich SSL einsetzen? Kontaktformulare und mehr…

Eine wichtige Neuerung ergibt sich für die praktisch auf jeder Homepage eingesetzten Kontaktformulare. Hier werden in der Regel personenbezogene Daten wie z.B. Name, Email oder Telefonnummer übermittelt. Für diesen Fall sieht das neue Datenschutzgesetz verbindlich den Einsatz von SSL vor. SSL sorgt zwar für eine abhörsichere Verbindung zwischen Ihrer Website und Ihren Kunden. Aber durch die Umstellung auf SSL können auch einige Proleme vor allem in Punkto SEO entstehen.

Google und andere Suchmaschinen werten www.domain.de und https://www.domain.de als zwei komplett unterschiedliche Domains. Mit der Umstelllung von http auf https verliert Ihre Domain folglich das Domainalter und die Kraft bisher von anderen Webseiten auf ihre Webseite verweisenden Backlinks. Sowohl das Domainalter als auch noch viel mehr die Backlinks sind ein wichtiges Kriterium das die Positionen Ihrer Homepage in Google. Folglich raten wir bei der Umstellung auf SSL zu einer der folgenden möglichen Vorgehensweisen.

  1. Nur sicherheitsrelevante Seiten werden explizit via SSL aufgerufen. Das Domainalter und die Inlinks bleiben in Googles Augen erhalten. Kontaktformulare und der Checkout in Shopsystemen werden nur noch via SSL aufgerufen. Dies ist in der Regel relativ einfach via htaccess Direktiven zu umzusetzen. Allerdings muss mach auch noch die seit spätestens Mitte 2017 von zahlreichen Browserherstellern implementierten Warnhiweise vor unsicheren http Verbindungen berücksichtigen. Praktisch jeder moderne Browser spuckt heute schon dann eine Warnmeldung aus, wenn z.B. nur ein Loginformular auf betreffenden Seite Ihrer Homepage vorhanden ist. Shopsysteme und viele Blogs haben auf jeder Seite ein Loginformular. Die Warnhinweise verunsichern somit Ihre Kunden auf allen diesen Seiten. Entweder sie lagern den Login auf eine dedizierte Seite aus und rufen diese explizit via SSL auf (schlechtere Benutzerfreundlichkeit), oder aber Sie stellen wirklich die gesamte Site auf SSL um
  2. Komplette Umstellung der gesamten Homepage auf SSL. Damit ist zwangsläufig ein Wegfall der Gewichtung sämtlicher Inlinks durch Suchmaschinen verbunden. Auch das Domainalter zählt nur noch dann wenn die Site schon vorher via SSL den Suchmaschinen bekannt war – in der Regel ist das nur dann der Fall wenn Sie Probleme mit doppelten Inhalten / Indexierungen wegen falscher Weiterleitungen hatten. Ich rate auf jeden Fall vor einer Umstellung der kompletten Website auf SSL unbedingt zu einem ausführlichen Backlinkcheck. Welche Seiten verweisen mit welchen Linktexten auf welche Unterseiten Ihrer Homepage? Welche sind nach den aktuellen Regeln von Google als gut, welche als schlecht zu bewerten. Meine Kunden erhalten diese Analyse als Excel-Tabelle zusammen mit Empfehlungen welche externen Seitenbetreiber sie mit Bitte um Änderung der Outlinks auf SSL anschreiben sollten. Ein paar Wochen nach der Umstellung der wichtigsten Links kann man dann die eigene Webseite komplett und explizit auf SSL umstellen.

Egal für welche der beiden Möglichkeiten Sie Sich entscheiden: Sie benötigen auf jeden Fall ein SSL-Zertifikat – und das kostet leider bei einigen großen deutschen Providern immernoch ordentlich. Mein Tipp: Verbinden Sie die Umstellung auf SSL gleich mit einem Umzug Ihrer Homepage zu einem guten Provider, der gratis SSL Zertifikate nach neustem Standard via Let’s Encrypt anbietet, wie z.B. All-inkl.com.  Fragen Sie uns, falls Sie Interesse an gutem und günstigen Hosting dort haben!

Wichtig beim Einsatz von Kontaktformularen ist laut neuem Datenschutzgesetzt ebenfalls daß keine Felder als verpflichtend gesetzt werden, die nicht zwingend erforderlich sind. Benötigen Sie wirklich das Geburtsdatum? Weniger ist mehr, und gerade bei Formularen gilt: je weniger desto mehr Anfragen. Weisen Sie unbedingt auch in Ihrer Datenschutzerklärung darauf hin, was mit den Daten aus dem Formlar geschieht (werden per E-mail versendet) und wielange diese zu welchem Zweck wo gespeichert werden.

Was muss in meine Datenschutzerklärung alles rein?

Das hängt ganz davon ab, welche Daten sie zu welchem Zweck wie, wo und wielange speichern – und an wen die Daten weiterübermittelt werden (z.B. Google Analytics). Da ich nur Webdesigner und kein Rechtsanwalt bin rate ich hier zum Einsatz eines Online-Generators für die Datenschutzbestimmung. Google liefert Ihnen zahlreiche Ergebnisse. Was auf jeden Fall in Ihre Datenschutzbestimmung rein muss ist das folgende:

  • Name und Kontaktdaten des verantwortlichen Datenschutz-Beauftragten
  • zu welchem Zweck verarbeiten Sie die erhobenen Daten?
  • sollten personenbezogene Daten erhoben und verarbeite werden müssen Sie ferner Ihre Interessen hierfür begründen
  • Empfänger personenbezogener Daten
  • an wen in welchen Ländern werden Daten weitergeleitet (facebook, Google…)?
  • auch die der Datenerhebung zugrundeliegenden Gesetze müssen erwähnt werden
  • wie lange werden personenbezogene Daten gespeichert?
  • informieren Sie Ihre Besucher auch über ihr Recht auf kostenlose Auskunft binnen Monatsfrist, welche Daten gespeichert wurden.
  • Ihre Besucher haben auch ein Recht auf Berichtigung, Löschung oder Weitergabe der gespeicherten Daten in einem geeigneten elektronischen Format (z.B. CSV)
  • das Recht auf Widerruf der Datenspeicherung muss ebenso erwähnt werden
  • Beschwerderecht gegenüber Aufsichtsbehörde

Was bedeutet das für meinen Online-Shop?

Typische Bereich, die von der Neuerung der Datenschutzgesetze betroffen sind wären in einem Online-Shop z.B. Google Analytics, Cookies, Logfiles in Shop und am Server, Kontaktformulare, Newsletter und Bonitätsprüfung. Eine wichtige Rolle fällt auf jeden Fall der Einwilligung Ihrer Kunden zu. Die Verarbeitung personenbezogener Daten ist nur nach Zustimmung und auf Basis gültiger Rechtsvorschriften möglich. Einige Blogger raten dazu den Kauf auch ohne Anlegen eines Kundenkontos im Shop („Gastbestellung“) zu ermöglichen. Mit Gastkonto werden in der Regel keine personenbezogenen Daten gespeichert, und damit ist auch kein Cookie-Hinweis nötig. Genauer regelt dies die DSGVO im Bereich Kopplungsverbot: Personenbezogene Daten dürfen nur erhoben werden wenn zwingend für den Kauf nötig (=Gast). Eine verpflichtende Einwilligung in das Speichern der Daten fällt unter das Kopplungsverbot und ist somit laut DSVGO illegal. Bieten Sie auch Kauf auf Rechnung an? Vergessen Sie auf keine Fall auf die hierbei nötige Weitergabe der Daten an einen externen Dienstleister (Schufa? Klarna?) hinzuweisen!

Abschließende Hinweise

Ich habe aufgrund meiner Arbeit als freiberuflicher Webdesigner für zahlreiche Kunden mit Online-Shops und häufiger Beschäftigung mit dem Thema Datenschutz einen recht guten Wissensstand. Trotzdem gebe ich auf obige Empfehlungen keinerlei Garantie. Im Zweifelsfall ist der Anwalt der richtige Ansprechpartner. Sollte sich im Text irgendwo inhaltliche Fehler befinden: mit Bitte um kurze Info!

Wünschen Sie eine individuelle Beratung zum Thema Datenschutzgesetz neu? Rufen Sie uns an!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Details zu dieser Homepage anzeigen
»Frank Woelky arbeitet zügig, verlässlich und ist bei der Kostenabrechnung wirklich penibel. Da wird nix aufgerundet! Er schwatzt einem auch nichts auf, sondern konzentriert sich auf das, was man braucht. Webdesign am Punkt mit tollem Preis-Leistungs-Verhältnis!« Verena Brandtner, März 2018...
Kunden-Homepage: www.familiebrandtner.at
Einträge aus dem ff-Webdesign Lexikon:
SSL bedeutet Secure Socket Layer und ist eine im Internet weit verbreitete Technik zum sicheren Verschlüsseln von Verbindungen. Server mit SSL besitzen eine kostenpflichtige, zeitliche begrenzt gültige Zertifizierung. Zum Einsatz kommt SSL bei der Übertragung ... [ Mehr lesen ]
Abmahnung Internetseite Eine Abmahnung erhalten Betreiber einer Internetseite vor allem aus zwei Gründen: wegen Markenrechts- oder Urheberrechtsverletzungen oder wegen mangelhaftem oder fehlendem Impressum. Jede gültige Abmahnung muss eine Schilderung des beanstandeten Sachverhalts, eine rechtliche Erläuterung, ... [ Mehr lesen ]
CSV bedeutet Character Separated Values. In einer CSV-Textdatei werden - durch ein bestimmtes Zeichen getrennt - tabellarisch Daten gespeichert. Der Aufbau einer CSV-Datei ähnelt einer einfachen Datenbank. Mittels serverseitiger Scriptsprachen wie z.B. PHP kann man einfache Datenbanken ... [ Mehr lesen ]
Impressum (Impressumspflicht) Seit 2002 gilt für deutsche Webseiten die Impressumspflicht. Jede in Deutschland gehostete Homepage muss über ein auf jeder Seite verlinktes Impressum verfügen, welches mindestens folgende Angaben enthält: Name des Betreibers, Anschrift, Telefon, Email, Homepage. Bei gewerblichen ... [ Mehr lesen ]
Redirect bedeutet automatische Weiterleitung auf eine andere Webseite. Im Webdesign gibt es zahlreiche Arten von Redirects. Ein Javascript-Redirect wird beim User ausgeführt. HTTP-Header-Redirects ... [ Mehr lesen ]
Usability Eine gute Nutzbarkeit ist die wichtigste Grundlage für den Erfolg einer Homepage. Usability bedeutet Gebrauchstauglichkeit: eine Homepage so zu gestalten, dass ein Maximum an Nutzern die Homepage mit minimalem Wissen einfach bedienen kann. Die kritischen Teilbereiche für gute Usability sind vor allem Navigation, ... [ Mehr lesen ]

Bewerten Sie unseren Service!

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)
Loading...