Datenschutz Grundverordnung:
Was ist für meine Webseite zu tun?

Anlässlich der Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt, herrscht eine große Unsicherheit. Wir geben Ihnen hiermit einen kurzen Überblick über die wichtigsten Punkte, die Sie bei Ihrer Webseite und Newsletter Marketing bedenken sollten.

 

Wir müssen darauf hinweisen, dass wir keine Juristen sind und Sie nur nach bestem Wissen und Gewissen mit Empfehlungen und Ratschlägen bei der Umsetzung der DSGVO unterstützen können. Für eine rechtliche Prüfung der Unterlagen müssen wir aber an einen Rechtsanwalt verweisen.

 

 

Folgende Punkte sollten bei der Umstellung der eigenen Webseite beachtet werden, damit dieser der DSGVO entspricht.

• Eigene Datenschutzseite statt Infotext im Impressum
• Aktualisierung der Google Analytics Einstellungen
• Newsletteranmeldungen (Double-Opt-In)
• Warenkörbe bei Online-Bestellungen

 

Weiterführende Informationen  zu dem Thema finden Sie auch auf der EU Datenschutzgrundverordnung – Seite der WKO.

 

Eigene Datenschutzseite statt Infotext im Impressum

Aufgrund der neuen Verordnung reicht es nicht mehr aus, Angaben über den Einsatz und der Speicherung von Userdaten von z.B. Google Analytics als Teil des Impressums aufzuführen. Es muss eine eigene „Datenschutz“-Seite angelegt werden. Der Inhalt dieser Seite ist abhängig von den verwendeten Tools und Funktionalitäten der Webseite. Wichtig ist, dass diese Seite von Usern jederzeit erreichbar sein muss und nicht von eventuellen Cookie-Bannern überlagert werden darf.

Als Beispiel können Sie sich gerne unsere „Datenschutz“-Seite ansehen, damit Sie eine bessere Vorstellung davon bekommen, wie so eine Seite aussehen kann.
Als weiteres Beispiel können Sie sich natürlich auch an der DSGVO Seite der WKO orientieren.

 

Grundsätzlich ist zu empfehlen, dass Sie den Inhalt Ihrer Datenschutz-Seite rechtlich prüfen lassen. Zur Vorbereitung des entsprechenden Textes gibt es aber eine Reihe von Tools, die eine gute Unterstützung bieten. Für die Umsetzung ist es nötig, einen Überblick über die auf der Webseite im Einsatz befindlichen Dienste zu haben – sollten Sie dabei Unterstützung benötigen, stehen wir gerne für eine Analyse Ihrer Seite bereit. Melden Sie sich einfach für eine unverbindliche Anfrage.

Folgende Generatoren können Sie bei der Erstellung der Datenschutz-Seite unterstützen:

• Datenschutz-Generator von Dr. Schwenke (Rechtsanwaltskanzlei)
• Datenschutz-Generator von e-recht24
• GDPR Guide von iubenda (englisch)

 

Sollten Sie noch weitere Informationen für die Anpassung Ihrer WordPress Seite benötigen, können wir folgende Seiten empfehlen:

• Analyse von 140+ WordPress Plugins auf DSGVO
• Leitfaden für kleine WordPress Seiten und Blogger

 

Google Analytics – Umstellung laut DSGVO

Falls auf der Webseite Google Analytics eingebunden ist, sind auch hier einige Änderungen notwendig, damit das Tool DSGVO konform verwendet werden kann.

Was ist zu tun?
Folgende vier Punkte sollten beachtet und beim Account umgestellt werden:

• Vertrag zur Auftragsdatenverarbeitung mit Google abschließen
• Tracking-Code anpassen
• Datenschschutzerklärung anpassen
• Alte, IP-bezogene Datenbestände löschen, falls vorhanden

 

Vertrag zur Auftragsdatenverarbeitung mit Google abschließen

Beim Einsatz von Google Analytics auf der Webseite muss ein Vertrag zur Auftragsdatenverarbeitung mit Google abgeschlossen werden.
Dazu gibt es zwei Möglichkeiten, wobei die schriftliche Variante (1) in Deutschland aufgrund einer strengeren Bundesgesetz-Regelung verpflichtend ist. In Österreich ist laut bisherigen Informationen die elektronische Variante (2) ausreichend. Auch hier gilt, bei Unklarheiten bitte einen Anwalt zu konsultieren.

1) Schriftlicher Vertrag zur Auftragsdatenverarbeitung (ADV) mit Google:
Man schickt den ausgedruckten ADV-Vertrag zu Google nach Irland. Eine Anleitung zum weiteren Vorgehen findet sich auf Seite eins des ADV-Vertrages von Google.
Sollte ein ADV-Vertrag mit Google vorliegen, der vor September 2016 abgeschlossen wurde, so ist dieser unwirksam und ein neuer ADV-Vertrag ist abzuschließen.

2) Elektronischer Vertrag zur Auftragsdatenverarbeitung (ADV) mit Google:
Einfacher und schneller geht der elektronische Vertragsabschluss über Ihr Google Analytics Konto. Der „Zusatz zur Datenverarbeitung“, welcher unter Verwaltung > Kontoeinstellungen bei Google Analytics zu finden ist, kann direkt online bestätigt werden. In diesem Fall sind auch Ihre Kontakt-Daten bei Google zu hinterlegen.

Tracking-Code anpassen
Da der vorgegebene Tracking-Code von Google die Anforderungen zum Datenschutz laut DSGVO nicht erfüllen kann, muss der Google Analytics Tracking-Code nun manuell adaptiert werden.  Die DSGVO konforme Nutzung von Google Analytics ist unter Einsatz der Code-Erweiterung „anonymizeIp“ weiterhin möglich. Die Erweiterung sorgt dafür, dass die IP-Adressen durch Löschen der letzten Stellen der Adresse anonymisiert werden .

Datenschutzerklärung anpassen
Die Datenschutzerklärung der Webseite muss dahingehend angepasst werden, dass Google Analytics  ab sofort zwingend angeführt werden muss.
Zur Veranschaulichung verweisen wir wieder auf die „Datenschutz“-Seite unserer Webseite.

Alte, IP-bezogene Datenbestände löschen, falls vorhanden
Falls durch die Verwendung von Google Analytics Nuterzprofile ohne anonymisierte IP-Adresse erstellt worden sind, sind diese Daten aus aktueller Sicht rechtswidrig erhoben worden und dadurch zu löschen.
Google Analytics bietet unter Verwaltung > Property-Einstellung an, eben solche Profile in den Papierkorb zu verschieben, wo sie nach 35 Tagen entfernt werden.

 

Wir unterstützen Sie hier gerne bei den Einstellungen und den Webseiteninhalten. Die Aktualisierung der Firmendaten können wir allerdings nicht übernehmen.

 

Newsletter Anmeldungen

Anmeldungen zum Newsletter dürfen nicht mehr automatischer Teil einer Registrierung oder Bestellung sein. Der Nutzer muss selbst, bewusst die Auswahl treffen und über die genaue Verarbeitung und Speicherung seiner Daten informiert werden.

Am besten wählt man das Verfahren des Double-Opt-In, in dem der User nach der Anmeldung eine E-Mail mit einem Bestätigungslink erhält. Erst nach Klick auf diesen Link, ist er wirklich zum Newsletter angemeldet.

Außerdem muss der User die Möglichkeit haben, dass er nicht nur aus der Empfängerliste gelöscht wird, sondern seine Daten vollständig aus dem System entfernt werden können.

 

Warenkorb bei Online-Bestellungen

Sollten Sie Ihren Kunden die Möglichkeit zur Online-Bestellung auf Ihrer Webseite bieten, sind in Zukunft folgende Hinweise zu beachten:

• Der Kunde muss die Option haben, einen letzten Blick auf den Inhalt seines „virtuellen Warenkorbs“ zu werfen, bevor er eine rechtsverbindliche Bestellung abschickt.
• Die nötigen Hinweise haben unmittelbar vor der Abgabe der Vertragserklärung des Kunden zu erfolgen.
• Es reicht nicht aus, dass Kunden Detailinformationen zu den Produkten (irgendwann) während des Besuchs im Webshop oder auf einer gesonderten „Artikeldetailseite“ zur Verfügung gestellt werden.
• Wesentliche Eigenschaften, auf die der Unternehmer entsprechend hinzuweisen hat, sind beispielsweise Größe und Material sowie ganz allgemein die Produktbezeichnung.

 

(Angaben lt. Aussendung der SWS Rechtsanwälte – Newsletter 08/2018 – zur Webseite)

Wir müssen darauf hinweisen, dass wir keine Juristen sind und nur nach bestem Wissen und Gewissen mit Empfehlungen und Ratschlägen bei der Umsetzung der DSGVO unterstützen können. Für eine rechtliche Prüfung der Unterlagen müssen wir aber an einen Rechtsanwalt verweisen.