Datenschutz für Websites (DSGVO)
Den Datenschutz für Websites können Sie so gewährleisten. Aktuelle gesetzliche Anforderungen verständlich erklärt.
Zuletzt aktualisiert: 27.12.2022
Beim Thema Datenschutz für Websites denken die meisten Webseiten-Betreiber zunächst an die Datenschutzerklärung.
Die Datenschutzerklärung ist jedoch nur einer von vielen Aspekten. Es ist absolut notwendig, Webseitenbesucher darüber aufzuklären, wie Sie mit personenbezogenen Daten umgehen und was damit passiert. Abgesehen von technisch notwendigen Daten (z.B.: Cookies) müssen Webseitenbesucher die Wahl haben, welche personenbezogenen Daten Sie zur Nutzung angeben und freigeben. Die Datenschutzgrundverordnung (DSGVO) und andere Gesetze haben viele Veränderungen in den letzten Jahren herbeigeführt.
Dieser Artikel stellt keine Rechtsberatung dar und ersetzt diese nicht. Unsere Website dient lediglich dem Informationszweck. Alle Informationen haben wir nach bestem Wissen und Gewissen zusammengetragen, dennoch verstehen sich alle Angaben ohne Gewähr auf Vollständigkeit und Richtigkeit.
Haftung - Nehmen Sie Datenschutz ernst
Es gibt sehr viele Webseitenbetreiber, die das Thema Website-Datenschutz recht locker sehen und sich keine Gedanken machen.
Wenn persönliche oder gar intime Daten Ihrer Kunden, Patienten oder Lieferanten in falsche Hände geraten, kann dies enormen Schaden anrichten. Selbst Identitätsdiebstahl oder Erpressung können die Folge sein. Aus diesem Grund werden Verstöße beim Datenschutz zunehmend mehr geahndet.
Bei Verstößen haften Sie mit Ihrem Privatvermögen und selbst Imageschäden sind nicht zu unterschätzen.
Bei Pflichtverletzungen im Datenschutzbereich können Geschäftsführer und Vorstände persönlich ersatzpflichtig machen. Die Einhaltung datenschutzrechtlicher Vorschriften ist nach Ansicht des europäischen Gesetzgebers eine der zentralen Aufgaben der Geschäftsleitung. Bei Verletzung dieser Pflichten droht die Haftung des Geschäftsführers mit seinem Privatvermögen.
Datenschutz (DSGVO) - Kurz und knackig
Die folgende Übersicht zeigt kurz und knapp auf, worauf Sie beim Datenschutz für Ihre Website achten sollten.
Alle nicht notwendigen Cookies bedürfen einer Einwilligung.
Daten dürfen auf einer Website nur verschlüsselt übertragen werden.
Eine Datenschutzerklärung ist auf jeder Website absolute Pflicht.
Google Analytics, eTracker, Piwik, Matomo etc. richtig einsetzen
Personenbezogener Daten müssen richtig erhoben werden
Installierte Plugins für Shops, Maps, Fonts können problematisch sein
Nicht jeder Betreiber einer Website braucht einen sogenannten DSB
Mit Ihrem Hoster müssen Sie einen AV-Vertrag abschließen
Selbstverständlich dürfen Links weiterhin gesetzt werden.
Wir gehen lediglich auf Webseiten und den Schutz von persönlichen Daten ein. Wenn es um den Datenschutz in Ihrem Unternehmen geht, kommen eventuell noch viele weitere Punkte hinzu. Zu nennen sind hier Datenübermittlung im Unternehmen, die Datenverarbeitung, Verschwiegenheitserklärungen, Löschkonzepte, Datenschutz Software etc.
Hier kommt es auf Ihre Unternehmensgröße, die Anzahl der Mitarbeiter und Ihren Tätigkeitsbereich an.
Wenden Sie sich bei solchen Fragen direkt an einen Datenschutzbeauftragten. Diese haben das fachliche Wissen, Ihnen bei diesen Fragen in Ihrem Fall zu Seite zu stehen und gemeinsam mit Ihnen ein Datenschutz-Konzept zu erarbeiten und umzusetzen.
Eine erfolgreiche WordPress Firmenwebsite benötigt mehr als ein schönes Layout. Neben dem Aussehen und der Funktionalität gilt es rechtliche Rahmenbedingungen einzuhalten. Wir unterstützen Sie bei Ihrem Internetauftritt. In der Zusammenarbeit bieten wir unseren Firmenkunden die WordPress Wartung an, damit die Webseiten immer auf dem aktuellen Stand sind.
Datenschutz für Websites (DSGVO) - Verständlich im Detail erklärt
Im Folgenden gehen wir mehr ins Detail. Beim Datenschutz auf Ihrer Website gibt es einiges zu beachten.
Wir schauen uns die Problematik bei Cookies, Formularen und externen Diensten und Erweiterungen an.
Cookies
Selbstverständlich dürfen auf Websites weiterhin Cookies gesetzt werden.
Hier gibt es allerdings Einschränkungen, wann und wie diese gesetzt werden dürfen. Technisch notwendige Cookies dürfen ohne die Zustimmung des Besuchers gesetzt werden. Notwendige Cookies sind diese, damit die Website den Zweck / Dienst erfüllen kann. Dazu gehören unter anderem die Warenkorb-Cookies bei Shop, für den Login-Status oder für die Speicherung der Auswahl des Cookiebanner.
Nicht notwendige Cookies sind Cookies für die Nutzung von Diensten wie etwa: Google Fonts, Adobe Fonts, Facebook, Instagram, Twitter, aber auch Tracking- und Analysetools und vielen Weiteren. Bei diesen muss der Besucher der Website aktiv einwilligen, damit diese gesetzt werden dürfen. Dazu gehört eine ausreichende Information vor der Einwilligung.
Das Einholen der aktiven Zustimmung übernehmen Cookie-Consent-Banner (z.B. usercentrics, Borlabs Cookie).
Ein Cookiebanner, welches einfach nur mit “OK” weggeklickt werden kann, ist nicht ausreichend. Da das Thema Cookies sehr umfangreich ist, gehen wir im Artikel Cookies und Datenschutz viel mehr ins Detail. Dort erfahren Sie mehr über Session-Cookies und dauerhafte Cookies sowie die verschiedenen Arten von Cookies und wann deren Nutzung ohne und mit Zustimmung im Sinne der DSGVO erlaubt ist.
Weiterführende Informationen auf der Website des Bundesgerichtshofs im Urteil vom 28. Mai 2020: – I ZR 7/16 – Cookie-Einwilligung II.
SSL-Verschlüsselung der Webseite
Die Abkürzung SSL steht für „Secure Sockets Layer“ und ist ein Verschlüsselungsverfahren, um Daten im Internet gesichert zu übertragen. Die SSL-Verschlüsselung stellt die Identität einer Website sicher und sorgt dafür, dass Daten nicht von anderen ausgelesen bzw. manipuliert werden können.
Wenn Sie auf Ihrer Website personenbezogene Daten erheben, dann müssen die Daten verschlüsselt übertragen werden. Eine SSL-Verschlüsselung gewährt den notwendigen Schutz und kann über den Hoster eingerichtet werden. Nutzen Sie auf Ihrer Website:
- Kontaktformulare
- Bestellformulare
- Login-Formulare
- Newsletter Anmeldung
dann müssen eine SSL-Verschlüsselung nutzen. Wir empfehlen diese generell einzusetzen, selbst dann, wen Sie keine Formulare verwenden. In einigen Browsern wird unter Umständen ein Warnhinweis eingeblendet, dass die besuchte Website nicht sicher ist. Gerade auf Firmenwebsites möchte man solch eine Warnung nicht sehen.
Weiterführender Artikel: SSL-Verschlüsselung und Datenschutz (DSGVO)
Datenschutzerklärung
Sobald Sie auf Ihrer Website personenbezogene Daten erheben, übermitteln und verarbeiten, benötigen Sie laut DSGVO eine Datenschutzerklärung. Sobald Sie Formulare nutzen, externe Services und Plugins (Facebook, Kartenmaterial, Twitter, Instagram, Statistiken etc.) nutzen, müssen Sie in der Datenschutzerklärung den Besucher darüber informieren.
Selbst der Server, auf dem Ihre Website liegt, kann im Hintergrund personenbezogene Daten (IP-Adressen etc.) in sogenannten Log-Files speichern. Die Speicherung kann zur Abwehr von Gefahren sinnvoll sein.
Für die Erstellung einer Datenschutzerklärung können Sie einen Datenschutzerklärung-Generator nutzen. Für diese gibt es verschiedene Anbieter. Die Anbieter übernehmen hierfür allerdings keine Haftung. Sie müssen selbst sicherstellen, dass die eingegebenen Daten richtig sind. Es kann also durchaus sinnvoll sein, einen Datenschutzbeauftragten mit der Erstellung zu beauftragen.
Datenschutzkonformes Webtracking
Tracking Software wie Google Analytics, Matomo etc. dürfen nur dann eingesetzt werden, wenn die BDSG und DSGVO Richtlinien beachtet werden. Ohne eine ausreichende Anonymisierung verstößt das Tracking fast immer gegen den Datenschutz. Zudem müssen Sie den Nutzern eine Möglichkeit des Opt-out bieten.
Aktuell gibt es zwei Varianten, wie Sie Daten von Nutzern rechtskonform erfassen dürfen, wenn man die DSGVO mit berücksichtigt:
- Tracking und Analyse mit der Einwilligung des Nutzers (Cookie-Banner)
- Anonymisiertes Tracking
Keinesfalls dürfen Sie Google Analytics direkt einbinden, ohne die Besucher Ihrer Website um Erlaubnis zu bitten.
Wenn Sie eine umfassende Statistik möchten, in der jeder Besuch Ihrer Webseite gezählt wird, dann empfehlen wir Matomo. Sie können Matomo ohne Cookies und Opt-in DSGVO-konform einsetzen. So ist datenschutzkonformes Webtracking möglich.
Dafür haben wir eine Anleitung online: Matomo DSGVO konform nutzen
Formulare
Kontaktformulare sind erlaubt. Da Sie hier personenbezogene Daten erheben und übermitteln, ist eine SSL-Verschlüsselung zur Übermittlung ebenso verpflichtend, wie die Angaben in der Datenschutzerklärung.
Zudem gilt hier das grundlegende Datenschutz-Prinzip der Datensparsamkeit. Es dürfen nur die Daten erhoben werden, die Sie benötigen. Es dürfen nicht übermäßig viele Angaben verpflichtend sein. Pflichtfelder müssen klar gekennzeichnet sein.
Ein weiterer und sehr wichtiger Aspekt ist die Zweckbindung der Daten. Sie dürfen die Daten für eine erste Kontaktaufnahme nicht automatisch mit in einen Newsletter aufnehmen.
Weitere Informationen speziell zum Thema: Kontaktformular und Datenschutz
Externe Dienste und Plugins
Gerade Dienste und Plugins von externen Anbietern können sehr problematisch sein.
Als Betreiber der Website haben Sie keinen Einfluss darauf, was mit den erhobenen Daten passiert. Bei technisch nicht notwendigen Diensten und Plugins sollten Sie den Benutzer deshalb zuvor informieren und die Einwilligung per Cookie-Banner einholen. Zu nennen sind hier Google Maps sowie alle Inhalte von Instagram, Facebook, Twitter und aus anderen sozialen Netzwerken.
Einbindung von Google Fonts
Die dynamische Einbindung von Google Fonts, direkt über die Google Server, ist ohne Einwilligung der Besucher, nicht datenschutzkonform. Ein berechtigtes Interesse die Schriften von Google direkt zu laden liegt hier nicht vor, da diese lokal gespeichert werden können. Durch eine lokale Speicherung der Schriftarten werden keine personenbezogenen Daten mehr an Google übermittelt.
Datenschutzbeauftragter
Nicht jedes Unternehmen benötigt einen Datenschutzbeauftragten (DSB).
Ab einer Unternehmensgröße von 20 Mitarbeitern, die regelmäßig mit der Erhebung und Verarbeitung von Daten beschäftigt sind, müssen Sie laut BDSG / DSGVO einen Datenschutzbeauftragten benennen. Sollten Ihr Kerngeschäft die Erhebung und Verarbeitung von personenbezogene Daten sein, dann benötigen Sie einen DSB unabhängig von der Mitarbeiterzahl.
Auftragsverarbeitungs-Vertrag
Ein Vertrag über Auftragsverarbeitung (ehemals: Auftragsdatenverarbeitung) muss nach EU-Datenschutz-Grundverordnung (DSGVO) jedes Unternehmen abschließen, das personenbezogene Daten im Auftrag, also von einem Dienstleister, verarbeiten lässt.
Der sogenannte AV-Vertrag regelt die Rechte und Pflichten vom Auftragnehmer und Auftraggeber.
Dadurch soll gewährleistet werden, dass die erhobenen und anvertrauten Daten zweckgemäß verarbeitet werden.
Darunter fallen beispielsweise Gehaltsabrechnungsbüros, Ihr Webhoster bzw. E-Mail-Hoster und freie Mitarbeiter. Sie müssen nicht zwangsläufig mit jedem Dienstleister einen Datenschutz AV Vertrag abschließen. Es kommt immer darauf an, ob das Unternehmen in Ihrem Auftrag personenbezogene Daten verarbeitet.
Externe Links
Beim Setzen von Links auf andere Webseiten erwachsen dem Seitenbetreiber keinerlei datenschutzrechtlichen Pflichten. Für den Inhalt der aufgerufenen Website und den dort zu realisierenden Datenschutz ist der Betreiber selbst verantwortlich. Der Besucher nutzt faktisch eine andere Website und deren Inhalt. Im Artikel Externe Links und Datenschutz erhalten Sie weitere Informationen.
Datenschutz für Website - Fazit
Um das Thema “Datenschutz Website” kommen Sie als Unternehmen oder Selbstständiger nicht herum.
Wenn es um den Schutz personenbezogener Daten auf Ihrer Website geht, gibt es einige Fallstricke. Das werden Sie schnell merken, wenn Sie sich mit Datenschutz beschäftigen. Das ist nichts, was man mal ebenso nebenbei macht. Zudem ändert sich die Gesetzeslage regelmäßig. Sollten Sie sich nicht sicher sein, sollten Sie einen Fachmann für die Umsetzung beauftragen.
Als Internetagentur unterstützen wir Sie gerne bei der Umsetzung.
