DSVGO für Websites

DSGVO schreibt klare Anforderungen an die Aufklärung und Belehrung betroffener Personen vor. Dies sind unter anderem:

• Ist die Formulierung in leicht verständlicher Sprache (Keine Juristensprache)?
• Wie werden Daten erhoben?
• Von wem werden Daten erhoben?
• Welche Daten werden erhoben?
• Wie werden diese Daten genutzt?
• Was ist der Zweck der Datenverarbeitung?
• Werden die Daten in Drittländer übermittelt?
• Welche Rechte haben betroffene Personen?
• Welche Tracking-Tools werden genutzt?
• Kann der Nutzer dem Tracking wiedersprechen?
• Wird eine Opt-Out Möglichkeit dafür vorgesehen?
• Gibt es anonyme oder pseudonyme Nutzungsmöglichkeiten?
• Bestehen Widerspruchs- und Widerrufsmöglichkeiten der Datennutzung?
• Wird der Nutzer ausreichend über Auskunfts-, Berichtigungs-, Sperrungs- und Löschungsrechte informiert?
• Wird auf die Nutzung von Cookies hingewiesen?
• Welche Formen von Coockies werden genutzt?
• Bestehen Bonitätsprüfungen sowie die Übermittlung von Negativdaten?
• Nutzen Sie Web-Analyse Tools?
• Nutzen Sie Social-Plug-ins?

Die Datenschutzerklärung soll leicht zugänglich sein, wie zum Beispiel im Header oder Footer der Website.

Für eine rechtssicheren Datenschutzerklärung können Sie anwaltliche Hilfe oder einen Datenschutz-Spezialisten in Anspruch zu nehmen. Aus Kostengründen nutzen viele Betreiber von Websites einen Datenschutzgenerator.

Wichtig: Bei einer Abmahnung haftet keiner der Betreiber von Konfiguratoren für die Rechtssicherheit der erzeugten Datenschutzerklärungen.

Vergleichen Sie die Ergebnisse des Datenschutzgenerators genau mit Ihrern Anforderungen und nehmen Sie ggf. Anpassungen an der automatisch generierten Datenschutzerklärung vor.

Um die Verwendung von Newslettern rechtssicher durchzuführen, sollten Sie folgende Hinweise Berücksichtigen:

• Geben Sie den Nutzern eines E-Mail Newsletters die Möglichkeit nur die E-Mail-Adresse (als einziges Pflichtfeld) anzugeben
• Beschreiben Sie, wozu Sie die Nutzerdaten verwenden
• Geben Sie die Häufigkeit der Mailings an
• Geben Sie an, welche Newsletter-Software Sie verwenden und von welchem Anbieter die Nutzerdaten verarbeitet und gespeichert werden
• Schließen Sie einen AV Vertrag mit dem Anbieter ab
• Überprüfen Sie bei Anbietern ausserhalb der EU, ob eine DSGVO-konforme Nutzung möglich ist.
• Verlinken Sie auf Ihre Datenschutzerklärung.
• Eine Messung von Öffnungs- und Klickraten ist ohne Einwilligung der Empfänger rechtswidrig.

Innerhalb Ihrer Datenschutzerklärung muss der Umgang mit Nutzerdaten im Rahmen des Newsletter-Versands beschrieben werden.

Fragen Sie per Double Opt In (DOI) die Einwilligung der Nutzer ab. Bei einer nicht erlaubten Kontaktaufnahme verhalten Sie sich wettbewerbswidrig. Protokollieren Sie die Einwilligung.

Ihren Bestandskunden können Sie auch ohne Einwilligung einen Newsletter zukommen zu lassen.

Geben Sie dem Nutzer jederzeit die Möglichkeit, den Newsletter wieder abzubestellen.

Impressumspflicht besteht auch im Rahmen des Newsletters.

Lesen Sie sich aufmerksam die Informationsseite zur DSGVO auf der Website des Software-Anbieters durch.

https://www.cleverreach.com
https://www.getresponse.de 
https://www.klick-tipp.com
https://www.newsletter2go.de

Allgemein:

Websitebetreiber müssen eine eindeutige Zustimmung von Nutzern für das Setzen von Cookies und Trackern einholen. 

Es darf also von vornherein keine  Zustimmung als Checkbox gesetzt werden. Die Zustimmung muss erfolgen, bevor ein Cookie gesetzt wird. Setzt der Seitenbetreiber keine Cookies, ist eine Zustimmung nicht notwendig.

Erlauben Sie dem Seitenbesucher den Cookie-Banner während des Besuchs zu ignorieren, dürfen auch keine Cookies angelegt werden. Der Seitenbesucher darf nicht zu einer Zustimmung gezwungen werden.

Im Bezug auf den Opt-In (Checkboxen dürfen nicht gesetzt sein), werden die für die Seitendarstellung erforderlichen Cookies ausgeschlossen.

Eine Einwilligung der Verarbeitung der betreffenden personenbezogenen Daten muss durch eindeutige bestätigende Handlung erfolgen. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen. https://dsgvo-gesetz.de/erwaegungsgruende/nr-32/

Ein Cookie-Banner muss so platziert werden, dass es den Link zur Datenschutzerklärung und zum Impressum nicht verdeckt. Diese Links müssen ständig verfügbar sein (§ 5 TMG), auf wenn Sie Bedingung für die Nützung der Website nicht akzeptieren.

Verwendung von Cookies für Analyse- und Marketing-Tools

Zu Verwendung dieser Cookies ist eine datenschutzrechtliche Einwilligung vom Seitenbesucher notwendig, sofern diese nicht unbedingt erforderlich sind.

Erforderliche Cookies ermöglichen die Grundfunktionen einer Website und dienen nicht der Verarbeitung personenbezogener Daten. Es muss keine Einwilligung des Nutzers eingeholt werden.

Beispiele:

• Anmeldung in einem Benutzerkonto
• Speicherung von Formulardaten
• Sprachauswahl internationale Seitenbesucher
• Warenkorbfunktion Session-Cookie (zeitlich befristetes Cookies)

Für die Verwendung von permanenten Cookies (Beispiel: Speicherung der Sprachversion oder Login-Daten) muss eine Einwilligung eingeholt werden.

Statistik-Cookies

Bei der Einbindung von Statistik-Cookies wie zum Beispiel Google Analytics, ist eine Einwilligungserklärung notwendig.

Marketing-Cookies

Für den Einsatz von Marketing-Cookies wie zum Beispiel Facebook-Pixel, Google AdWords oder Google DoubleClick benötigen Sie ebenfalls eine Einwilligungserklärung. Der Nutzer muss über die Erhebung und Weitergabe seiner Daten informiert werden. Dies gilt auch für Social Plugins sofern Daten erhoben und verarbeitet werden.

Checkliste

• Überprüfen Sie welche Art von Coockies gesetzt werden
• Nicht erforderliche Coockie werden erst nach Einwillligung des Nutzers gesetzt
• Informieren Sie über Art, Zweck und Speicherdauer der Cookies und bei der Nutzung von externen Diensten
• Das Cookie-Banner muss mit einer Schaltfläche versehen werden, zum Zweck der aktiven Bestätigung der Einwilligungserklärung
• Listen Sie die Dienste-Anbieter auf
• Die Einwilligung muss vom Nutzer durch eine aktive Handlung (Opt-In) eingeholt werden
• Es wird auf die Freiwilligkeit der Einwilligungserklärung und auf das Wiederrufsrecht verwiesen.
• Eine Einwiligung kann verweigert werden, ohne das dadurch Nachteile enstehen
• Eine Nutzung der Website ist auch ohne Einwillung möglich
• Eine Wiederufsmöglichkeit wird vorgesehen
• Das Cookie-Banner darf die Datenschutzerklärung sowie das Impressum nicht verdecken

Weiterführende Links:

Studie: Mehrheit der Cookie-Banner verstößt gegen DSGVO (zdnet.de)
Tracking: Ohne Zustimmung keine Tracking-Cookies (mdr.de)
Aktuelles Urteil zu Cookies: BGH sagt Einwilligung muss sein (e-recht24.de)
Podcast: Cookie Opt-In-Pflicht nach BGH-Urteil (Google Podcast)

Wenn Sie im Kontaktformular Daten wie Nachname, Vorname, Postadresse, E-Mail-Adresse oder Telefonnummer abfragen, erheben sie personenbezogene Daten. Somit sind Sie verpflichtet die Nutzer der Webseite zu Beginn des Nutzungsvorgangs zu informieren über:

• Art, Umfang und Zweck der Verwendung personenbezogener Daten
• die Form der Verarbeitung personenbezogener Daten (§ 13 Abs. 1 Telemediengesetz (TMG))

Die Nutzung von Kontaktformularen und die Verarbeitung von personenbezogenen Daten ist nach Art. 6 Abs. 1 DSGVO erlaubt, wenn:

• sie auf einer Einwilligung basiert
• oder dies durch einen gesetzlichen Tatbestand erlaubt ist
• die Bearbeitung der personenbezogenen Daten für die Auftragsabwicklung erforderlich ist

Fügen Sie eine Abfrage per Check-Box und Einwilligungstext zum Umgang mit den Daten der Nutzer und dem Recht auf Widerspruch ein.

Beispiel: Sie erklären sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihres Anliegens verwendet werden. Weitere Informationen und Widerrufshinweise finden Sie in unserem Datenschutzhinweis.

Der Webseiten-Betreiber muss in seiner Datenschutzerklärung über Art, Umfang und Zweck der Datenverarbeitung informieren.

Gemäß § 9 BDSG besteht die Verpflichtung Daten, die in Kontaktformularen erhoben werden, verschlüsselt zu übertragen werden. Dies gilt auch für die aktuelle DSGVO.

Nach der DSGVO ist es nicht erlaubt Daten zu speichern, die nicht zwingend benötigt werden.

Beispiel: Sofern bereits Post- und Mailadresse abgefragt werden, ist es somit nicht zulässig die Mobilfunknummer als Pflichtfeld anzulegen. Es sei denn, die Angabe der Mail Adresse wäre optional.

In einer Erstkontakt-E-Mail sollten Sie beschreiben, wie Sie die personenbezogenen Daten verarbeiten. Dies gilt auch für automatische Antwort-E-Mails und sollte so auch in Ihrer Datenschuterklärung berücksichtigt werden.

Eine Verlinkung auf die Datenschutzerklärung ist nicht ausreichend. Notwendig sind bei geschäftlichen E-Mails die allgemeinen Angaben von Pflichtinformationen nach DSVGO. Ein spezielle Impressumspflicht für E-Mail Signaturen wir von der DSGVO bisher nicht geregelt.

Pflichtangaben einer geschäftlichen E-Mail-Signatur (E-Mail-Impressum) sind in der Regel:

• Vollständiger Firmenname (wie im Handelsregister eingetragen),
• Rechtsformzusätze
• Sitz der Gesellschaft 
• Registergericht
• Handelsregisternummer
• Bei Kapitalgesellschaften: Geschäftsführer, Aufsichtsratsvorsitzende, Vorstandsvorsitzende

Entscheidend für die Pflichtangaben ist die Rechtsform des Unternehmens.

Wenn breits eine Geschäftsbeziehung besteht, sind diese Pflichtangaben nicht zwingend notwendig. Bei geschäftlichen E-Mails empfiehlt es sich prinzipiell das Impressum in die E-Mail-Signatur aufzunehmen.

Sofern Sie oder Ihre Firma einer Berufsordnung unterliegen, sollten Sie den entsprechenden Anforderungen für das E-Mail-Impressum nachkommen.