Nachdem wir in den vorherigen Artikeln einen allgemeinen Überblick über die DSGVO, ihre Anwendungsbereiche und Grundsätze gegeben haben, werden wir uns nun detaillierter mit den Schritten befassen, die speziell Website-Betreiber unternehmen müssen, um ihre Website DSGVO-konform zu gestalten.
Folgende allgemeine Schritte sind von Website-Betreiber für DSGVO-Konformität umzusetzen:
- Bestimmung des Verantwortlichen und des Auftragsverarbeiters: Der erste Schritt besteht darin, festzustellen, wer für die Verarbeitung personenbezogener Daten auf der Website verantwortlich ist. In den meisten Fällen ist dies der Website-Betreiber selbst, aber es kann auch Fälle geben, in denen ein Auftragsverarbeiter (z.B. ein Hosting-Provider) für die Verarbeitung verantwortlich ist.
Es ist wichtig zu verstehen, was es mit der Auftragsverarbeitung auf sich hat und welche Rolle ein Website-Betreiber im Sinne der DSGVO einnimmt, daher ein kleiner Exkurs.
Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter
Artikel 28
Websitesbetreiber gelten in der Regel als “Verantwortlicher”. Das bedeutet, dass sie die rechtliche Verantwortung dafür tragen, dass die Verarbeitung der Daten rechtmäßig erfolgt und dass alle Vorschriften der DSGVO eingehalten werden.
Wenn ein Website-Betreiber jedoch Dienstleistungen von Drittanbietern in Anspruch nimmt, wie beispielsweise einen Hoster oder einen Newsletter-Anbieter, der ebenfalls personenbezogene Daten verarbeitet, kommt das Konzept der “Auftragsverarbeitung” ins Spiel. Eine Auftragsverarbeitung liegt immer dann vor, wenn der Betreiber seine Website nicht selbst von seinem eigenen Rechner aus dem Internet zugänglich macht, sondern einen Drittanbieter(Hoster) nutzt. Der Drittanbieter wird bei dieser Form der Datenverarbeitung als “Auftragsverarbeiter” tätig und wird im Auftrag des Verantwortlichen personenbezogene Daten verarbeiten.
In einem solchen Fall muss zwischen dem Website-Betreiber und dem Auftragsverarbeiter ein Vertrag zur Auftragsverarbeitung geschlossen werden, der bestimmte Vorgaben der DSGVO erfüllt.
2. Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten: Website-Betreiber müssen ab einer Unternehmensgröße von 250 Mitarbeitern(Art. 32 Abs. 5 DSGVO) eine Aufzeichnung darüber führen, welche personenbezogenen Daten auf ihrer Website verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Diese Aufzeichnung wird als Verzeichnis der Verarbeitungstätigkeiten bezeichnet und ist nicht mit der Datenschutzerklärung zu verwechseln. Eine gute Quelle in diesem Zusammenhang ist dsgvo-gesetz.de.
3. Einholung einer Einwilligung: Für viele Arten von personenbezogenen Daten ist eine Einwilligung des Betroffenen erforderlich, bevor sie verarbeitet werden dürfen. Website-Betreiber müssen daher sicherstellen, dass sie eine gültige Einwilligung von den Nutzern erhalten, bevor sie deren personenbezogene Daten verarbeiten. Eine einmal erteilte Einwilligung muss für die Zukunft widerrufen werden können.
4. Gewährleistung der Rechte der Betroffenen: Die DSGVO gewährt den Betroffenen eine Reihe von Rechten, wie das Recht auf Auskunft, das Recht auf Berichtigung und das Recht auf Löschung. Website-Betreiber müssen sicherstellen, dass sie in der Lage sind, diese Rechte zu erfüllen und den Betroffenen den Zugriff auf ihre personenbezogenen Daten ermöglichen. Ein hilfreicher, weiterführender Link zu diesem Punkt: https://www.datenschutzkanzlei.de/auskunftsrechte/
5. Gewährleistung der Datensicherheit: Website-Betreiber müssen auch sicherstellen, dass die personenbezogenen Daten, die sie verarbeiten, angemessen geschützt sind. Dies umfasst die Verwendung von Verschlüsselung, die Implementierung von Sicherheitsmaßnahmen wie Firewalls und die Durchführung regelmäßiger Sicherheitsaudits.
6. Verarbeitung von Daten außerhalb der EU: Wenn Website-Betreiber personenbezogene Daten außerhalb der EU verarbeiten, müssen sie sicherstellen, dass sie die Anforderungen der DSGVO erfüllen. Hierzu gehört insbesondere die Einhaltung von angemessenen Garantien für den Schutz der Daten und die Verwendung von Standardvertragsklauseln.
Nachdem die notwendigen Schritte zur Umsetzung der DSGVO erläutert wurden, gehen wir nun auf die Unterschiede zwischen Websites mit und ohne kommerziellem Hintergrund ein und schlagen die Brücke zu konkreteren Inhalten und Prinzipien bei der Gestaltung von DSGVO-konformen Websites. Hierbei sollte zunächst geklärt werden, was genau als kommerzielle Website gilt und welche besonderen Anforderungen an diese gestellt werden.
Kommerzielle Website
Eine kommerzielle Website ist eine Website, die eine Geschäftstätigkeit verfolgt und somit ein Unternehmen oder eine Organisation repräsentiert, die Gewinne erzielt oder wirtschaftliche Ziele verfolgt. Darunter fallen beispielsweise Online-Shops, aber auch Foren und Websites von Unternehmen, Organisationen oder Einzelunternehmern, die ihre Dienstleistungen anbieten und damit Einnahmen generieren.
Für kommerzielle Websites gelten strengere Anforderungen im Hinblick auf die Einhaltung der DSGVO. Hierzu zählen unter anderem die Pflicht zur Bestellung eines Datenschutzbeauftragten, die Dokumentation von Verarbeitungstätigkeiten sowie die Durchführung von Datenschutzfolgeabschätzungen.
Nicht-kommerzielle Website
Für nicht-kommerzielle Websites gelten zwar ebenfalls die Bestimmungen der DSGVO, jedoch sind die Anforderungen in der Regel weniger streng als bei kommerziellen Seiten. Für Websites zur Selbstdarstellung oder von Vereinen bedeutet dies beispielsweise, dass in der Regel keine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht und die Dokumentations- und Informationspflichten geringer ausfallen.
Dennoch müssen auch nicht-kommerzielle Website-Betreiber sicherstellen, dass die personenbezogenen Daten, die auf der Website erhoben oder verarbeitet werden, entsprechend der DSGVO verarbeitet werden. Hierzu gehört beispielsweise die Einholung von Einwilligungen für bestimmte Datenverarbeitungsvorgänge sowie die Bereitstellung von Informationen über die Datenverarbeitung in einer Datenschutzerklärung. Man beachte, selbst, wenn es kein Kontaktformular oder sonst keine Möglichkeit für den Besucher gibt aktiv über die Website(bspw. multifolio.de) Daten an den Betreiber zu übermitteln, werden über die Website personenbezogene Daten erhoben oder verarbeitet. Beim Aufruf der Website werden nämlich zwangsläufig unter anderem die IP-Adresse des Besuchers an den Server der Website übermittelt. Darüber ist in der Datenschutzerklärung aufzuklären.
Datenschutzerklärung
Artikel 13 und 14
Die Verpflichtung zur Erstellung einer Datenschutzerklärung auf Websites ergibt sich insbesondere aus Artikel 13 und 14.
Artikel 13 legt fest, dass bei der Erhebung personenbezogener Daten bei der betroffenen Person bestimmte Informationen bereitgestellt werden müssen, unter anderem:
- Die Identität und die Kontaktdaten des Verantwortlichen
- Die Kontaktdaten des Datenschutzbeauftragten, falls vorhanden
- Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
- Die Rechtsgrundlage für die Verarbeitung
- Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- Die voraussichtliche Dauer, für die die personenbezogenen Daten gespeichert werden, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- Das Bestehen eines Rechts auf Berichtigung oder Löschung der personenbezogenen Daten oder auf Einschränkung der Verarbeitung oder Widerspruch gegen die Verarbeitung
- Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- Die Quelle der personenbezogenen Daten, falls sie nicht bei der betroffenen Person selbst erhoben wurden
- Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling sowie aussagekräftige Informationen über die involvierte Logik und Tragweite für die betroffene Person
Artikel 14 DSGVO enthält ähnliche Informationen, die bereitgestellt werden müssen, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, sondern bei einer anderen Quelle.
Eine Datenschutzerklärung ist eine geeignete Methode, um die Informationen gemäß Art. 13 und Art. 14 DSGVO bereitzustellen und transparent zu machen, wie personenbezogene Daten auf der Website verarbeitet werden. Der Bezeichnung “Datenschutzerklärung” ist dabei nicht verpflichtend, noch wird sie von Datenschutzexperten präferiert.
Einwilligung
Artikel 6 und 7
Der Website-Betreiber muss sicherstellen, dass er nur Daten erhebt und verarbeitet, für die er eine ausdrückliche Einwilligung des Nutzers erhalten hat. Diese Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein. Der Nutzer muss in der Lage sein, seine Einwilligung jederzeit zu widerrufen.
So hat es ChatGPT ausgespuckt. Es ist bezüglich der Rechtmäßigkeit der Verarbeitung von Daten zu kurz gefasst und zitiert nur die erste von vielen Bedingungen, die es erlauben personenbezogene Daten zu verarbeiten.
Interessant ist in diesem Zusammenhang die Regelung des Art. 7 Abs. 3 S. 4 DSGVO: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. In Newslettern ist dies beispielsweise durch einen Unsubscribe-Link am Ende der Mail möglich.
Folgende Ausnahmen von der Einwilligungspflicht gibt es. Beispielsweise kann gemäß Art. 6 Abs. 1 Buchstabe f der DSGVO eine Verarbeitung personenbezogener Daten auch ohne Einwilligung der betroffenen Person erfolgen, wenn
die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Genau diese Regelung ermöglicht die Verarbeitung von IP-Adressen im Rahmen der berechtigten Interessen des Verantwortlichen oder eines Dritten, z.B. zur Bereitstellung der Website im Internet, zur Gewährleistung der IT-Sicherheit, zur Bekämpfung von Betrug oder zur Analyse von Website-Nutzung. Art. 6 Abs. 1 lit. f DSGVO ist es zu verdanken, dass es für einen gewöhnlichen Website-Aufruf keine Einwilligung bedarf, obwohl Log-Dateien des Website-Besuchers bereits beim Öffnen der Seite gespeichert werden.
Wenn die Verarbeitung der IP-Adresse jedoch über diesen grundlegenden Zweck hinausgeht, z.B. um das Nutzerverhalten auf der Website zu analysieren oder um personalisierte Werbung bereitzustellen, dann wäre in der Regel eine separate Einwilligung des Nutzers erforderlich.
Art. 6 Abs. 1 b & c DSGVO
Weitere wichtige Ausnahmen von der Einwilligungspflicht sind die Verarbeitung zur Erfüllung eines Vertrags(z.B. Lieferadresse des Kunden bei Kaufvertrag) und die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt(z.B Aufzeichnungspflicht gegenüber dem Finanzamt). Diese Punkte verhindern in der Regel das nervige Setzen von Häkchen beim Checkout-Prozess.
Datensparsamkeit
Artikel 5 Abs. 1c
Der Website-Betreiber darf nur die personenbezogenen Daten erheben und verarbeiten, die für den konkreten Zweck notwendig sind. Eine Datensparsamkeit ist dabei unbedingt einzuhalten.
Beispiel
Google WebFonts sollten nicht dynamisch von Google-Webserver geladen werden(hierbei wird die IP-Adresse des Besuchers an Google übertragen), sondern die Fonts sollten lokal auf der Website eingebunden sein. Der Sachverhalt betrifft sowohl den Aspekt Einwilligung als auch die Datensparsamkeit und kann hier nachgelesen werden.
Technische und organisatorische Maßnahmen
Artikel 32
Der Website-Betreiber muss technische und organisatorische Maßnahmen ergreifen, um die Datensicherheit zu gewährleisten. Dazu gehört zum Beispiel die Verschlüsselung(SSL-Zertifikat) von Datenübertragungen oder die regelmäßige Aktualisierung der Sicherheitssoftware. Viele der in Artikel 32 genannten Maßnahmen sind vor allem für größere Organisationen relevant.
Auftragsverarbeitung
Artikel 28
Wenn der Website-Betreiber Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, muss er sicherstellen, dass auch diese Dienstleister die Datenschutzvorschriften einhalten. Dies geschieht in Form eines Auftragsverarbeitungsvertrags, der die Pflichten und Verantwortlichkeiten des Dienstleisters genau regelt.
Hierzu gehören unter anderem die genaue Festlegung der Datenverarbeitungszwecke, die Art der Daten, die Vertraulichkeit der Daten und die technischen und organisatorischen Maßnahmen zur Datensicherheit. Der Website-Betreiber bleibt jedoch weiterhin als “Verantwortlicher” verantwortlich für die rechtmäßige Verarbeitung der Daten.
Es gibt auch den Sonderfall, dass kein Auftragsverarbeitungsvertrag geschlossen werden muss. Das ist zum Beispiel bei meiner persönlichen, nicht kommerziellen Website multifolio.de der Fall. Mehr Details dazu findest du in meiner Datenschutzerklärung auf der Website oder in meinem Video zum kostenlosen, DSGVO-konformen Hosten einer persönlichen Website.
Fehler und Missverständnisse bei der Umsetzung der DSGVO
Zuletzt noch ein paar häufige Fehler und Missverständnisse bei der Umsetzung der DSGVO auf Websites.
Fehlende Datenschutzerklärung
Viele Website-Betreiber vergessen, eine Datenschutzerklärung auf ihrer Seite zu platzieren oder aktualisieren diese nicht regelmäßig. Hier sollte man darauf achten, dass die Datenschutzerklärung alle notwendigen Angaben enthält und auch wirklich auf der Seite verfügbar ist.
Fehlender Hinweis auf Cookies
Wenn auf der Website Cookies genutzt werden, muss der Nutzer darüber informiert und um seine Einwilligung gebeten werden. Dieser Hinweis sollte prominent platziert werden, zum Beispiel als Pop-up oder als Banner am Seitenrand.
Fehlende Einwilligung für Marketing-Mails
Auch für das Versenden von Marketing-E-Mails muss der Nutzer ausdrücklich seine Einwilligung geben. Hier sollten klare Opt-in-Verfahren eingesetzt werden, um sicherzustellen, dass der Nutzer tatsächlich weiß, wofür er seine Einwilligung gibt.
Mangelnde technische und organisatorische Maßnahmen
Um die Sicherheit der personenbezogenen Daten zu gewährleisten, müssen angemessene technische und organisatorische Maßnahmen getroffen werden. Hier kann es zum Beispiel um die Verschlüsselung der Datenübertragung, regelmäßige Backups oder die Schulung der Mitarbeiter gehen.
Fehlende Auftragsverarbeitungsverträge
Wenn ein Drittanbieter (z.B. ein Hoster oder eine Marketing-Agentur) Zugriff auf personenbezogene Daten hat, muss mit diesem ein Auftragsverarbeitungsvertrag geschlossen werden, der die Datenschutzanforderungen regelt. Hier sollte man darauf achten, dass alle notwendigen Vereinbarungen getroffen werden und diese auch schriftlich fixiert sind.
Unzureichende Dokumentation
Um im Falle einer Prüfung durch die Datenschutzbehörde nachweisen zu können, dass man sich an die DSGVO gehalten hat, ist eine ausführliche Dokumentation der getroffenen Maßnahmen notwendig. Hier sollte man darauf achten, dass alle relevanten Dokumente (z.B. Verarbeitungsverzeichnis, Datenschutzerklärung, Auftragsverarbeitungsverträge) vorhanden und aktuell sind.
Fazit
Summa summarum ist die Umsetzung der DSGVO auf Websites eine komplexe und vielschichtige Angelegenheit, dennoch ist es durchaus möglich, sich das notwendige Wissen anzueignen und erfolgreich anzuwenden. Genau das gehen wir im nächsten Schritt an!
Gerade bei kommerziellen Websites, wie unserer Beispiel-Website im nächsten Artikel, ist eine sorgfältige Umsetzung der DSGVO-Anforderungen unabdingbar. In diesem Zusammenhang ist es ratsam, auch die Wahl der Zahlungsmethode und des Hosting-Providers sorgfältig zu prüfen und auf Anbieter zurückzugreifen, die den Anforderungen der DSGVO gerecht werden.