Datenschutzbehörden arbeiten als unabhängige öffentliche Behörden (frei von externer Weisung), die die Datenschutzgesetze innerhalb der EU überwachen, untersuchen und anwenden.
Gemäß Artikel 83 DSGVO können sie beispielsweise Geldbußen gegen dich verhängen, wenn auf deiner Website ein Verstoß gegen das Gesetz festgestellt wird. Auch Nutzer, die durch die unrechtmäßige Verarbeitung ihrer personenbezogenen Daten durch deine Website benachteiligt werden, können Ansprüche gegen dich geltend machen und von dir Schadenersatz verlangen. In beiden Fällen kann es zu hohen Geldstrafen kommen, wenn du nicht dafür sorgst, dass deine Website DSGVO-konform bleibt.
Sowohl für einen einfachen Rezept-Blog, als auch für eine professionelle E-Commerce-Website, müssen bestimmte Mindestkriterien erfüllt werden, um den Vorschriften zu entsprechen. Viele E-Commerce-Webshops achten auf eine gut verfasste Datenschutzerklärung und AGBs. Aber wenn es um Trackingdienste von Drittanbietern oder um die datenschutzkonforme Einbettung von Google Fonts geht, was aus Sicht des Datenschutzes ein kritisches Thema ist, fehlt noch oft der rechtskonforme Cookie-Hinweis.
Als Websitebetreiber solltest du wissen, dass es immer situationsabhängige rechtliche Anforderungen gibt, auf die du vermutlich noch achten musst. Im Allgemeinen gelten für private Websites (oder ähnliche private Profile in sozialen Netzwerken, Blogs usw.), die nur einen persönlichen Zielpunkt haben, keine zusätzlichen Vorschriften. Doch verschiedene EU und nationale Rechtsvorschriften verpflichten kommerzielle Online-Betreiber dazu, bestimmte Informationen anzugeben.
Im Folgenden werden wir uns mit den grundlegendsten Anforderungen beschäftigen, die fast alle Websites erfüllen müssen. Es ist nicht nur wichtig deine Website rechtskonform zu gestalten, um Geldbußen zu vermeiden, sondern auch, damit die Dienste von Drittanbietern wie Google, Facebook oder Mailchimp rechtmäßig ausgeführt werden können. Und ein offensichtlicher Vorteil hier ist letztlich, dass du auch das Vertrauen deiner Nutzer verstärkst.
Kurz gesagt, um konform zu bleiben, musst du die folgenden Maßnahmen einhalten:
- Füge eine Datenschutzerklärung auf deine Website ein – Hiermit legst du all deine Datenverarbeitungstätigkeiten und Rechte deiner Nutzer fest.
- Installiere einen Cookie-Hinweis mit vorheriger Blockierung – lass deine Nutzer wissen, dass sogenannte Tracker verwendet werden und ermögliche ihnen, dies entweder zuzustimmen oder abzulehnen (auf DSGVO-konforme Weise).
- Die Zustimmung DSGVO-gemäß einholen und sammeln.
Kommen wir jetzt zu den Details.
Die erste Frage, die du dir stellen solltest: Gilt die DSGVO für mich?
Zur Erklärung: Die DSGVO gilt dann, wenn du eine Einzelperson, Unternehmen oder eine Organisation repräsentierst und in den folgenden Situationen:
- Du bist in der EU ansässig
- Du bietest Waren oder Dienstleistungen (sogar kostenlos) für Personen in der EU an
- Du überwachst das Verhalten von Menschen in der EU – entweder direkt oder als Dritter.
Vielleicht trifft keiner dieser Punkte auf dich zu, falls doch, lese hier weiter und achte darauf, dass du die drei wichtigsten Punkte befolgst, um deine Website DSGVO-konform zu halten.
Schritt #1: Stelle deine Datenverarbeitungsaktivitäten mit einer Datenschutzerklärung vor
Eine Datenschutzerklärung ist im Wesentlichen ein Dokument, das darüber informiert, wer der Betreiber ist (in diesem Fall bist du das), welche Datenverarbeitungsaktivitäten du durchführst und welche Rechte deine Website-Besucher/Nutzer haben, wenn sie mit deiner Website und deinen Dienstleistungen interagieren.
Beginne am besten mit deinen Unternehmensdaten, wie deine Unternehmensadresse und Kontaktinformationen wie z.B. E-Mail-Adresse oder Telefonnummer.
Als Nächstes kommen deine Datenverarbeitungsaktivitäten. Als Websitebetreiber solltest du nur Daten verarbeiten, die du benötigst, um deine Dienstleistungen zu erfüllen und zu verbessern. Häufig vorkommende Gründe für die Verarbeitung der Daten deiner Nutzer sind die Optimierung der Benutzerfreundlichkeit deiner Website, Re-Marketing Dienste oder Werbezwecke.
Abhängig von deinen Tracking-Aktivitäten wirst du wahrscheinlich auch eine Cookie-Richtlinie brauchen.
Und was ist mit Apps? Auch dafür benötigst du eine Datenschutzerklärung! Erwähne hier alle Drittanbieter, mit denen die Daten, die du sammelst, weiter geteilt werden. Firmen die hier häufig vorkommen sind Google, PayPal, Twitter und Facebook.
Schließlich muss auch über die Rechte der Nutzer in Bezug auf ihre Daten informiert werden, d. h. die Nutzer müssen darüber informiert werden, dass sie ihre Zustimmung widerrufen können.
Schritt #2: Hole die Zustimmung deiner Nutzer ein (auf DSGVO-konforme Weise)
Was bedeutet es, Einwilligungen auf DSGVO-konforme Weise einzuholen?
Nun, zunächst einmal geht es konkret um die Einholung der Einwilligung von Drittanbieter-Tracking-Tools, die auf deiner Seite aktiv sind, wie in Form von Cookies. Technische Cookies brauchen keine Einwilligung von Nutzern, aber nicht technische Cookies wie Google Ads, Facebook Pixel und Google Analytics benötigen alle eine Einwilligung.
Und dies ist durch einen einfachen Cookie-Hinweis möglich.
Sicherlich hast du im Laufe deines „Weblebens“ viele Cookie-Hinweise gesehen. Einige von ihnen sind auf den ersten Blick ziemlich kompliziert und machen es einem schwer, die Einwilligung entweder zu akzeptieren oder abzulehnen. Der DSGVO-konforme Weg besteht darin, es den Nutzern leicht zu machen, die Einwilligung gleichermaßen zu akzeptieren oder abzulehnen. Ein wichtiger Punkt, vor allem, nachdem Google’s Cookie-Hinweis jetzt ein genauso ausdrückliches „Alles ablehnen“ – eingeführt hat.
Dein Cookie-Hinweis sollte also auf den ersten Blick eine eindeutige Zustimmungs- und Ablehnungs-Schaltfläche besitzen.
Als Nächstes musst du darauf achten, dass die vorherige Blockierung von Cookie-Skripten, bevor die Zustimmung erteilt wird, richtig umgesetzt wird. Auf dieser Vergleichstabelle von den Cookie-Anforderungen in europäischen Ländern siehst du, dass in Deutschland die vorherige Blockierung von Cookies vor der Einwilligung notwendig ist.
Schließlich kann die Einwilligung auch über Abonnementdienste oder Newsletter-E-Mail-Listen eingeholt werden. In diesem Fall verbietet die DSGVO ausdrücklich das vorherige Abhaken von Textfeldern/Kästchen. Für dich bedeutet das, dass du einen klaren „Opt-in“- und „Opt-out“-Mechanismus haben solltest. Die Rücknahme der Einwilligung muss genauso einfach sein wie die Zustimmung der Einwilligung.
Ein simples Beispiel, wie die Einwilligung für Cookies eingeholt werden sollte gemäß der DSGVO findest du hier.
Schritt #3: Aufzeichnungen über Einwilligungen gemäß der DSGVO sammeln (für Newsletter, E-Mail-Listen oder Abonnements)
Nun, da wir über das Einholen von Einwilligungen gesprochen haben, kommen wir zum Thema Einwilligungen aufzeichnen. Das Aufzeichnen von Einwilligungen muss gemäß der DSGVO bestimmte Kriterien erfüllen, ansonsten werden sie als ungültig angesehen. Beispiele sind hier die Einwilligungen, die über Formulare für Newsletter, E-Mail-Listen oder Abonnements gesammelt werden.
In allen Fällen müssen die Aufzeichnungen zeigen:
- wann die Einwilligung erteilt wurde;
- wer die Einwilligung gegeben hat;
- welche Präferenzen sie zum Zeitpunkt der Datenerhebung hatten;
- welche rechtlichen oder datenschutzrechtlichen Hinweise ihnen zum Zeitpunkt der Einwilligung vorgelegt wurden;
- welches Formular zur Einholung der Zustimmung ihnen zum Zeitpunkt der Einholung vorgelegt wurde.
Was ist hier die Best-Practice-Methode Nutzer-Einwilligungen zu sammeln?
Der bevorzugte Standard wäre, Einwilligungen elektronisch aufzuzeichnen, wobei in Papierform auch als rechtmäßig angesehen wird. In jedem Fall muss es in schriftlicher Form stattfinden.
Ein gutes Beispiel für eine gesetzeskonforme Aufzeichnung des Einwilligungsnachweises wäre Folgendes:
- Bewahre eine Kopie des Formulars mit Datum und Unterschrift auf, auf dem der Nutzer seine Zustimmung erteilt hat.
- Bewahre eine Aufzeichnung auf, die die Benutzer-ID, die übermittelten Daten, den Zeitstempel und eine Kopie der Version der relevanten Dokumente enthält, die zu diesem Zeitpunkt verfügbar waren.
Und noch ein ultimativer Tipp zum Schluss:
Wenn du mehrere Sprachen auf deiner Website verwaltest und dazu verschiedene Regeln von deren Ländern beachten musst: Eine relativ gute Übersicht auf die Anforderungen kannst du in diesem 1-minütigen Quiz erhalten.
Es lohnt sich, vorbereitet zu sein und genau zu wissen, welche Datenverarbeitungsaktivitäten du auf deiner Website durchführst. Je nachdem, welche Dienste du deinen Nutzern anbietest, kommen weitere Anforderungen infrage! Allerdings gehören die obigen genannte drei Punkte zu den wichtigsten und häufigsten Anforderungen der DSGVO-Konformität.
Für Agenturen & Dienstleister:
Hinweis: Über diesen Vorteils-Link sparst du 10% im ersten Kauf.
iubenda bietet über 90.000 Kunden in mehr als 100 Ländern juristische Lösungen, um Websites und Apps mit der DSGVO, der EU-Cookie-Richtlinie, dem CCPA, dem LGPD und anderen Datenschutzgesetzen rechtskonform zu machen.
Unsere beliebtesten Tools:
- Datenschutz- & Cookie-Richtlinien Generator
- Cookie Solution
- Consent Solution
iubenda’s Tools-Übersichtseite findest du hier: https://www.iubenda.com/de/uebersicht
Eine Antwort
Kurze und bündige Zusammenfassung, gut fürs weitersenden an Webdesigners Endkunden, um denen eine möglichst einfache Übersicht über dieses Thema zu geben.
Wir/Ich verbringe da oft einige Zeit fürs erklären, warum wir das machen müssen, was das soll usw. und suche daher stets nach so Seiten. Danke!
Schade nur, dass wir diese sehr günstige Firma iubenda erst jetzt kennenlernen, denn eben haben wir die Bestellungen der Rechtsdokumente-Lizenzen abgeschickt – mit weit höheren Beträgen. Aber egal, wir sind mit den DSE Generator uä. Dokumenten eines bekannten RA sehr zufrieden.
Ob iubenda das auch so gut macht, werden wir aber testen.
Noch eine Anmerkung zugunsten prof. Webworker: Auch wenn diese keine Juristen sind, an der Sorgfalt, die etwa ein Webdesigner beim Vermitteln des Themas Rechtsdokumente walten lässt, erkennt man dessen Qualität.
Heute reichts nicht mehr, mit leistungsfähigen Standards wie WP/CP … tolle Sites zu basteln, ein bissl CSS, fertig.
Nebst echtem Coder-Niveau sollte man als Web-Dienstleister für europäische Kunden heute auch diesen Vorschriften-Dschungel der Eurokraten kennen.
Denn es ist ja nicht mit DSE, Cookieconsent, AGBs, usw. getan – auch die Inhalte/Produkte/Beschreibungen/Medienberichte selbst können rechtliche Probleme ergeben, welche mit keinem Rechtsdokument legalisiert werden können.