Informationspflichten auf Websites –
DS-GVO gerechte Website erstellen Schritt 3

Website-Betreiber müssen schon lange ein Impressum und eine Datenschutzerklärung einbinden. Durch die DS-GVO wurden die Informationspflichten auf Websites aber deutlich erweitert.

Deshalb gehe ich im heutigen dritten Teil meiner Artikelserie auf Informationspflichten genauer ein und stelle Tools vor, mit deren Hilfe man relativ einfach die eigene DS-GVO gerechte Datenschutzerklärung generieren kann.

Zudem geht es noch um ein paar weitere Informationspflichten.

[the_ad id=’18199′]

Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden.

Informationspflichten nach der DS-GVO

Bereits in der Vergangenheit war eine Datenschutzerklärung auf der eigenen Website notwendig, doch in Zukunft werden hier noch mehr Informationen gefordert. Deshalb ist es wichtig die Datenschutzerklärung zu überarbeiten.

Darüber hinaus gibt es aber auch noch weitere Informationspflichten, auf die ich im Folgenden ebenfalls eingehe.

DS-GVO gerechte Datenschutzerklärung

Wie bisher ist auch in Zukunft eine Datenschutzerklärung notwendig. Doch die bisherige reicht nicht mehr, da weitere Informationen notwendig sind. Diese betreffen vor allem Informationen zur Speicherung und Verarbeitung der personenbezogenen Daten, aber auch zu Löschfristen und den Rechten der Betroffenen.

Die Datenschutzerklärung könnte man von Hand erstellen, aber für die meisten Selbstständigen ist das nicht sinnvoll, da der juristische Hintergrund fehlt. Deshalb kann man Online-Generatoren nutzen, wie bisher auch.

Leider sind die von mir bisher empfohlenen Datenschutz-Generatoren entweder noch nicht an die DS-GVO angepasst worden oder sind nur eingeschränkt kostenlos verfügbar.

Deshalb im Folgenden ein neuer kostenloser Generator und eine kostenpflichtige Alternative.

Generator von dg-datenschutz.de

Die deutsche Gesellschaft für Datenschutz hört sich wahrscheinlich etwas offizieller an, als sie tatsächlich ist. Im Grunde werden von diesem Unternehmen Dienstleistungen rund um den Datenschutz ergeboten. Unter anderem die Stellung eines externen Datenschutzbeauftragten, Datenschutz-Audits und mehr.

Für Website-Betreiber ist vor allem der kostenlose Datenschutzerklärungs-Generator interessant, der dort bereitgestellt wird.

Hier gibt man zum einen ein paar Daten zum eigenen Unternehmen ein und kreuzt dann diverse Dinge in Kategorien wie Allgemeines, Soziale Medien, Analyse Tools, Internetwerbung, Online Marketing und so weiter an.

Hier muss ich sagen, dass doch einige externe Dienstleister vorhanden sind. So z.B. Google AdSense, Amazon Partnerprogramm, Affilinet, Google Analytics und einige mehr. Es werden die häufigsten Online-Services und Einnahmequellen deutscher Website-Betreiber und Blogger abgedeckt.

DSGVO gerechte Website erstellen - Schritt 3: Informationspflichten im Netz

Herausgekommen ist bei mir eine 28-seitige Datenschutzerklärung, die in großen Teil schon das enthält, was bisher auch drin war, aber noch einiges mehr. So z.B. die durch die DS-GVO geforderten Informationen zur Löschung von personenbezogenen Daten, Rechte von Betroffenen und einiges mehr. Vor allem aber gibt es zu jedem eingebauten Dritt-Tool und jeder Einnahmequelle einen eigenen Abschnitt.

Die geforderte Opt-Out Möglichkeit ist jeweils durch den Hinweis auf die Browsereinstellungen intergriert. Will man wie bisher einen Link zu einem Opt-Out Cookie für Google Analytics anbieten, so muss man das selber ergänzen.

Was ich hier leider nicht finden konnte, ist z.B. ein Passus zu Google Webfonts. Diese stehen ja, wie alles was über externe URLs eingebunden wird, ebenfalls im Fokus der DS-GVO.

Generator von e-recht24.de

Der Generator von e-recht24.de wurde vor kurzem auf die DS-GVO umgestellt und steht in seinem kompletten Umfang nur zahlenden Mitgliedern zur Verfügung.

Hier geht man ebenfalls Schritt für Schritt einzelne thematische Bereiche durch und setzt Häkchen, wenn diese Dinge auf die eigene Website zutreffen. So gibt es hier z.B. die Bereiche Analyse-Tools und Werbung, Soziale Medien, Newsletter-Daten und mehr.

DSGVO gerechte Website erstellen - Schritt 3: Informationspflichten im Netz

Auch solche Sachen wie Google Web-Fonts und SoundCloud-Einbindung sind integriert. Dagegen fehlen leider deutsche und europäische Partnerprogramme bzw. Affiliate-Netzwerke. Hier ist lediglich das Amazon Partnerprogramm eingebunden.

Sehr gut ist, dass hier auch der Code für das Google Analytics Opt-Out Cookie angezeigt wird und wo man diesen einbinden muss.

Die generierte Datenschutzerklärung fällt mit 10 Seiten deutlich kürzer aus, was vor allem daran liegt, dass es außer für AdSense und für das Amazon PartnerNet keine Hinweise zu Einnahmequellen in der Datenschutzerklärung gibt. Und auch die Hinweise zu den Rechten der Betroffenen sind kompakter gehalten.

Individuelle Anpassung

Diese beiden Generatoren unterscheiden sich schon recht deutlich und zeigen aktuell das Problem. Es gibt keine eindeutige und glasklare Definition, wie die Datenschutzerklärung auszusehen hat.

Deshalb sollte man sich am Ende nicht nur auf ein Tool zur Generierung der Datenschutzerklärung verlassen, sondern ggf. mehrere kombinieren. Wichtig ist einfach, dass alle personenbezogenen Daten, die auf der eigenen Website in irgendeiner Form erhoben und gespeichert werden, in der Datenschutzerklärung auftauchen und ein Opt-Opt angeboten wird. Und wenn es nur der Hinweis auf die Browser-Einstellungen für Cookies sind.

Deshalb solltet ihr eure Website genau analysieren und herausfinden, was ihr dort alles eingebaut habt.

Klar ist aber auch, dass es damit nicht getan ist. Langfristig wird es sicher noch Gerichtsentscheidungen geben, die eine Anpassung der Datenschutzerklärung erfordern. So findet man aktuell z.B. in der DS-GVO FAQ von e-recht24.de bei einigen Fragen die Antwort, dass das gerade evaluiert wird. So ist z.B. noch nicht klar, wie Google Maps zu kennzeichnen ist.

Man sollte hier also dran bleiben und sich über notwendige Änderungen informieren.

Sinn und Unsinn so einer Datenschutzerklärung

Manche Datenschutz-Erklärung nimmt schon die Ausmaße von AGBs an. Ob das so sinnvoll ist, bleibt die Frage. Wer liest sich das durch?

Aber im Ernstfall sind diese für den Nutzer natürlich dennoch hilfreich und ziemlich transparent, was z.B. seine Rechte angeht. Wer wusste schon vor 10 Jahren, was alles von einem gespeichert wird und welche Rechte man diesbezüglich hat.

Deshalb sehe ich die neue Datenschutzerklärung schon ganz positiv, hoffe aber auch darauf, dass es eine einheitlichere Form gibt. Zudem ist sie einfach Pflicht. Wer keine aktualisierte Datenschutzerklärung hat, riskiert eine Abmahnung.

Allerdings könnte es sein, dass die neue Datenschutzerklärung keine lange Haltbarkeit hat. Wenn die ePrivacy-Verordnung 2019 in der aktuellen Form kommt, ist vieles davon hinfällig, da dann ein Opt-In notwendig ist. Aber da müssen wir erstmal abwarten, wie die ePrivacy Verordnung dann wirklich aussieht.

Kontaktformulare

Doch mit der Datenschutzerklärung sind die Informationspflichten nicht erledigt. Die DS-GVO verlangt in Zukunft z.B. auch die Information und Einwilligung bei der Nutzung von Formularen auf der eigenen Website.

Das betrifft unter anderem normale Kontaktformulare, aber auch z.B. Kommentar-Formulare in Blogs. Natürlich muss dazu ein Passus in den Datenschutzerklärung stehen, der von den beiden oben genannten Tools auch eingebunden wird.

Zudem sind viele Juristen der Meinung, dass man direkt in jedem Formular einen Hinweistext oder sogar ein Checkbox einfügen sollte, die auf die Datenschutzerklärung hinweist und dass der Besucher der Erhebung und Speicherung der Daten zustimmt. Zudem gibt es den Hinweis, dass man seine Einwilligung per Mail widerrufen kann.

So etwas halte ich nun schon wieder für völlig übertrieben und eine Folge des Datenschutzwahns, der teilweise ausgebrochen ist. Hier wird Menschen abgesprochen zu verstehen, dass ihre Daten mit Hilfe des Formulars an den Betreiber der Website gesendet werden.

Sorry, aber wohin soll das noch führen. Muss man in Zukunft auch bei der Nennung der eigene eMail-Adresse jedes mal darauf hinweisen, dass die dorthin gesendeten Daten gespeichert werden? Muss man sogar erst das Einverständnis einholen, bevor man die eMail-Adresse anzeigt?

Aber wer sicher gehen will, sollte so eine Einwilligung einbauen. Ob das am Ende dann aber auch rechtlich sicher ist, steht nicht fest. Schließlich erfolgt keine Protokollierung der Zustimmung. Ich wüsste aktuell zumindest nicht, wie man das bei Blog-Kommentaren umsetzen sollte. Bei guten Kontakt-Formular Plugins ist das mit einem Pflichtfeld für die Zustimmung schon eher machbar.

Im Übrigen muss in Zukunft bei der Übertragung personenbezogener Daten, z.B. durch ein Kontaktformular, eine Verschlüsselung genutzt werden. Deshalb ist es generell sinnvoll jetzt die eigene Website auf SSL umzustellen.

Impressum

Auch wenn sich an den Inhalten des Impressums nach meinem Stand der Dinge durch die DS-GVO nichts gravierendes ändert, sollte man vor dem 25.5.2018 auch das Impressum einmal neu erstellen.

Zudem sollte man die gängigen Generatoren für das Impressum im Auge behalten und ggf. bei Änderungen auch das eigene Impressum anpassen. Das sollte man aber sowieso hin und wieder tun.

Cookie-Hinweis Banner

Dazu habe ich bisher auch nicht wirklich konkrete Dinge gelesen, aber es ist davon auszugehen, dass man auch in Zukunft ein Cookie-Banner nutzen sollte.

Darin wird auf die Nutzung von Cookies kurz hingewiesen und dass der Besucher weitere Informationen und Opt-Out-Möglichkeiten in der Datenschutzerklärung findet.

Fazit

Im Grunde ist die Erstellung der neuen Datenschutzerklärung wohl der einfachste Teil der DS-GVO Maßnahmen. Nachdem man seine Website analysiert und das Verarbeitungsverzeichnis erstellt hat, kann man mit Hilfe eines Generators die Datenschutzerklärung relativ einfach und schnell erstellen.

Man sollte aber dennoch individuell prüfen, ob alles wirklich erfasst ist, was man auf der eigenen Website macht. Zudem sollte man sich überlegen, ob und wie man die Informationen bei Kontakt- bzw. Kommentar-Formularen einbaut.

Die eigene Website und deren Datenschutzerklärung ist der “Hauptangriffspunkt” für Anwälte, die Abmahnungen bzgl. des Datenschutzes vornehmen. Wer hier Sorgfalt walten lässt, senkt das Abmahnrisiko deutlich.

Am kommenden Freitag werde ich wieder an Hand eines Praxisbeispiels zeigen, wie ich die neuen Informationspflichten seitens der DS-GVO bei einer meiner Nischenwebsites umsetze.

Peer Wandiger

18 Gedanken zu „Informationspflichten auf Websites – <br>DS-GVO gerechte Website erstellen Schritt 3“

  1. Vielen Dank für den wirklich interessanten und guten Artikel! Dies betrifft uns ja nun alle. Und es ist schön so einen Anhaltspunkt zu bekommen.

    Antworten
  2. Danke für den Artikel! Warum gibt es für Webseiten keine einheitliche kostenlose Vorlage, wenn es schon vom Gesetz so vorgeschrieben wird? Ich finde das Ganze ist wieder mal eine riesige Panikmache und wird nur zur Abzocke der kleinen Webmaster benutzt.

    Antworten
    • Weil halt jede Website andere Daten sammelt und es mit einer pauschalen Datenschutzerklärung nicht getan ist. Aber die Generatoren sind schon eine große Hilfe. Ich möchte gar nicht wissen, wie es wäre, wenn es diese nicht gäbe.

      Antworten
  3. Hallo Peer,

    Top-Serie von dir und sehr gut erklärt, vielen Dank.

    Mich würde noch interessieren, was generell mit Adressen auf Webseiten zu beachten ist bezüglich der neuen Verordnung. Wenn ich auf meiner Seite beispielsweise Adressen von Krankenkassen oder Gutachter aufliste, verstößt das gegen diese Verordnung ?

    Mit Adresse meine ich:
    Vorname, Nachname
    Name des Unternehmens
    Anschrift und Email-Adresse.

    Vielen Dank
    Michael

    Antworten
    • Konkrete Einzelfall-Beratung darf ich nicht geben, da ich kein Anwalt bin. Aber das Thema hat mich auch selbst interessiert und so bin ich vor kurzem auf Ausführungen von Juristen dazu gestoßen. So wie ich es verstanden habe, darf man sowieso öffentlich zugänglich Daten auch weiterhin ohne aktive Einverständniserklärung nutzen. Wenn man solche Daten also sowieso im Netz findet, dann kann man sie wohl nutzen.

      Antworten
  4. Hallo Peer,
    bei dem ganzen “Hick-Hack” darüber, wer hat welche Daten, wer setzt wo ein Cookie, welche Tracking-Software wird wie eingesetzt und wer bekommt wie welche Daten über mich fehlt mir noch die Diskussion über das DNS-Protokoll.
    Niemand redet darüber, aber die Google-Fonts sind jetzt “böse” weil sie ja von Google geladen werden.
    Und ich sollte meinen Blogbesuchern mitteilen, dass sie mich über das Kontaktformular kontaktiren können, dabei aber eben Daten (ähh, Kontaktanfragen) an mich schickt werden.

    Auf nahezu allen (privaten) Rechnern, die mir bis jetzt untergekommen sind, war ein DNS-Server von Google eingetragen. Dass es für den Betreiber der DNS-Server genauso möglich ist, große Mengen an Daten über jemanden zu sammeln und Persönlichkeitsprofile anzulegen. Wo bleibt hier der Aufschrei? Oder ist das schon zu technisch und kann den Besuchern nicht zugemutet werden? Natürlich kann ich als Seitenbetreiber oder Domaininhaber diese Einstellungen bei den Besuchern beeinflussen. Aber primär geht es doch beim DSGVO um Datenschutz – nicht um Webseiten.
    Ich bin gespannt, wohin diese Reise noch führt.
    Schönen Gruß

    Antworten
    • Das ist tatsächlich zu technisch. Die Leute, die das DS-GVO beschlossen haben, haben doch keine Ahnung vom Netz. Mich würde wundern, wenn diese überhaupt regelmäßig das Netz nutzen. Und das Gericht, welches die IP zum personenbezogenen Datum erklärt hat, sieht das leider nicht viel anders aus. Deshalb ist sich von diesen niemand den Folgen und Konsequenzen bewusst. Mal schauen, was da noch so kommt.

      Antworten
      • Hallo!

        Das ist natürlich Käse. Die Leute, die an der DSGVO gearbeitet haben, haben generell eine große Weitsicht bewiesen und deutlich dazu beigetragen, dass jetzt endlich mal flächendeckend auf den Datenschutz geachtet wird. Der Witz ist, dass sich gar nicht so viel geändert hat…nur jetzt haben die Datenschutzbehörden endlich auch ein Instrument in der Hand, um den Datenschutz durchzusetzen – Bußgelder. Abmahnungen waren auch vorher schon möglich als Instrument des Wettbewerbsrechts, daran hat sich quasi nichts geändert. Schlafende Hunde….die wurden halt geweckt.

        Persönlich bin ich froh, dass ein beträchtlicher Teil an fremdeingebunden Inhalten verschwunden ist. Denen, die das immer noch nicht geschnallt haben, wünsche ich eine Abmahnung oder ein Bußgeld,

        Was die Einordnung der IP als persönliches Datum betrifft, ist das geschriebene noch mehr Käse. “Das Gericht” war der EuGH und er hat, wenn man den zugrunde liegenden Fall betrachtet, im Sinne des selbst bestimmten Bürgers entschieden. Für alle, die schon wieder vergessen haben, worum es dabei ging: Die Klage richtete sich gegen die Bundesrepublik Deutschland, da sie auf ihren Seiten – speziell das BKA – IPs loggten und diese dann ,je nach besuchter Seite, dazu nutzen Ermittlungen gegen Besucher einzuleiten. Das war 2008, das entgültige Urteil fiel 2016 und der Klagende war Patrick Breyer.

        Hier eine Meldung von 2008 (das ist über 11 Jahre her!) -> https://www.heise.de/newsticker/meldung/Datenschuetzer-stoppt-das-Speichern-von-IP-Adressen-182949.html

        Vielleicht einmal über den eigenen, kleinen Horizont des “Webmasters von ein paar Seiten” hinwegdenken!?

        Viele Grüße
        Bernd

        Antworten
  5. Nur ein Hinweis für den Datengenerator von dg-datenschutz.de – es sind einige falsche Links drin, man muß diese also alle überprüfen und korrigieren, z.b. der Youtube-About-Us-Link und andere. Außerdem steht im Absatz über belboon, daß Adcell Belboon betreibt, sicher ein Copy and Paste Fehler.
    Weiterhin steht im Absatz über Zanox nichts davon, daß es sich jetzt um Awin handelt. Die Links sind auch falsch, werden aber weitergeleitet.
    Also Obacht, es sind vielleicht noch mehr Fehler drin. So ganz hat man die Texte also nicht aktualisiert. Natürlich sollte man sowas genau lesen, bevor man es auf die eigene Webseite kopiert… 😉

    Antworten
  6. Frage zum Amazon Partnerprogramm

    Benötigen wir mit Amazon einen Auftragsverarbeitungsvertrag gem. DSGVO ?
    Konnte bisher nichts in den Artikeln darüber lesen..

    Antworten
    • Soweit ich das bisher in Erfahrung bringen konnte, gibt es sowas von Amazon nicht. Ist in meinen Augen aber auch nachvollziehbar. Kein Affiliate-Netzwerk oder Partnerprogramm bietet soetwas an, da ja nicht in unserem Auftrag Daten verarbeitet werden. Das PP bzw. das Netzwerk sammelt Daten, nicht wir.

      Antworten
  7. Hallo Peer, danke für den Artikel!

    ich selbst habe meine Webseite so angepasst, dass keine Cookies mehr vorhanden sind.

    Dennoch habe ich zur Sicherheit einen Hinweis zu der Nutzung von Cookies in meiner Datenschutzerklärung hinzugefügt.

    Sollte ich dennoch ein Cookie-Hinweis nutzen? Ich finde dieses Hinweis sehr nervig und vor allem bedeckt dieser die Links zu meinem Impressum und meiner Datenschutzerklärung im Footer, wenn man die Webseite in der mobilen Version anschaut.

    Antworten
    • Der Cookie-Hinweis ist so eine Sache. Auch da sind sich die Experten nicht einig, ob der in dieser Form überhaupt noch Sinn macht. Entweder man darf bestimmte Cookies nutzen, dann reicht auch die Datenschutzerklärung oder man müsste sowieso ein Opt-In einholen und dann reicht so ein Cookie-Hinweis-Banner nicht aus. Vielleicht verschwinden ja im Zuge der DS-GVO diese Banner, was ich auch sehr gut finden würde.

      Antworten
  8. Hi Peer,

    vielen Dank für Deine wie immer sehr nützlichen Infos und Tipps!

    Ich habe ebenfalls ein Abo bei eRecht und habe mir gerade eine DSE über den dortigen Datenschutzerklärungs-Generator erstellt. Beim Anpassen ist mir jetzt aufgefallen, dass Du auf Deiner “Werkzeugkoffer-Seite” einen individuellen Passus über E-Mails hast indem Du erklärst was damit geschieht und wie lange diese gespeichert werden – hast Du das selbst entworfen und ist es erlaubt diesen Passus in der eigenen Website zu übernehmen? (Finde diese Infos sehr wichtig und in meinem Fall zutreffend).

    lg, Leszek

    Antworten
    • Ja, diesen Abschnitt habe ich selbst ergänzt, bzw, einfach den Abschnitt für Kontaktformulare genutzt, denn im Grunde ist es ja desselbe. Egal ob eine Anfrage von einem Kontaktformular kommt (und ja auch per Mail versendet wird) oder direkt über ein Mailprogramm.

      Antworten

Schreibe einen Kommentar