Die Einführung der neuen EU-Datenschutz-Grundverordnung (DSGVO) hat bei vielen für Unsicherheiten gesorgt. Besonders kleine Unternehmer sahen sich mit den verschärften Vorgaben überfordert, denn jede Firmen-Website ist hiervon betroffen. Um die hohen Sanktionen bei Verstößen zu vermeiden, erfahren Sie im Folgenden, welchen Anforderungen Ihre Homepage unbedingt gerecht werden sollte.

Wer auf seiner Internetseite mit Kontaktformularen und Newsletter-Anmeldungen arbeitet, der ist in der Pflicht, für eine Verschlüsselung der Seite zu sorgen. Die URL beginnt dann mit „https“, kurz für Hypertext Transfer Protocol Secure. Unternehmer sollten prüfen, ob die Verschlüsselung auf jeder Seite sowie Unterseite vorhanden ist bzw. diese mithilfe eines SSL-Zertifikats einführen. Beispielsweise werden bei Let’s Encrypt kostenlose Zertifikate hierfür angeboten.

Auch für die Suchergebnisse bei Google ist eine Website-Verschlüsselung vorteilhaft, da solche bevorzugt angezeigt werden.

Dass eine Internetseite über eine Datenschutzerklärung verfügen muss, ist nicht neu. Es sind allerdings einige Komponenten hinzuzufügen. Die DSGVO hat etwa die Informationspflichten erhöht, sodass zum einen jegliche verwendete Dienste und Plug-ins, welche für die Zugänglichmachung der Daten an Dritte sorgen, aufzuführen sind. Zum anderen müssen alle Betroffenenrechte, die in Artikel 12 bis 23 der DSGVO zu finden sind, detailliert und zugleich in leicht verständlicher Form für die Nutzer dargelegt werden.

Nähere Informationen zu den Inhalten einer Datenschutzerklärung sowie entsprechende Muster finden Sie kostenfrei auf der Ratgeberseite des Berufsverbands der Rechtsjournalisten e.V..

Facebook, Instagram und Co. stellen Plug-ins zur Einbettung in Unternehmenswebseiten zur Verfügung, wodurch die Nutzer beispielsweise Inhalte der Homepage liken oder teilen können. Auf diese Weise steigt der Bekanntheitsgrad auch von kleinen Firmen schneller an, weshalb die Facebook Buttons etc. ein beliebtes Tool sind. Die herkömmlichen Plug-ins sind allerdings nicht DSGVO-konform, da sie zu jeden Zeitpunkt die Daten der Seitenbesucher erfassen – auch wenn diese gar keinen Gebrauch von den Social-Media-Funktionen machen wollen.

Um hier nicht gegen den Datenschutz zu verstoßen, sollten stattdessen neue Plug-ins eingebaut werden, welche zunächst inaktiv sind und erst nach einem zusätzlichen Anklicken vonseiten des Nutzers funktionsfähig werden. Ein weiteres datenschutzkonformes Prinzip wurde von Shariff entwickelt. Hierbei handelt es sich um simple HTML-Links – das umständliche Einbetten von Plug-ins ist somit überflüssig –, die mit CSS individuell gestaltet werden können. Ein auf dem Server abgelegtes Skript fungiert anschließend als Vermittler zwischen Nutzer und sozialem Netzwerk und wird erst aktiv, wenn die Nutzer die Buttons gebrauchen wollen.

Auch Statistik-Tools wie Google Analytics sammeln zunächst ohne die Zustimmung der Webseitenbesucher ihre Daten. Damit die Einhaltung der DSGVO-Richtlinien gewährleistet ist, müssen die gesammelten Informationen allerdings anonymisiert werden. Um die IP-Adressen so zu kürzen, dass kein Bezug zu einer bestimmten Person mehr herzustellen ist, muss ein zusätzlicher Code zum herkömmlichen Tracking-Befehl in die Webseite eingefügt werden.

Da in diesem Fall Google als Dritter die Daten zur Statistikerstellung benötigt, müssen Unternehmer darüber hinaus zwei Dinge beachten: Die Verwendung von Google Analytics ist in der Datenschutzerklärung zu nennen sowie eine Opt-out-Funktion für den Nutzer zu ermöglichen. Außerdem muss er einen Vertrag zur Auftragsdatenverarbeitung (ADV) mit Google schließen, welcher besagt, dass der Unternehmer selbst weiterhin verantwortlich für die Sicherheit der Daten ist.

Heutzutage arbeiten beinahe alle Webseiten mit Cookies, da diese dem Nutzer das Surfen auf der Homepage erleichtern. Dabei werden allerdings ebenfalls stets personenbezogene Daten abgespeichert. Das Inkrafttreten der DSGVO hat an dieser Stelle für mehr Verwirrungen als Klarheiten gesorgt. Mindestens erforderlich ist der Hinweis auf die Verwendung von Cookies in Form eines Banners beim Aufrufen der Webseite. Dabei sollte der Hinweis so detailliert wie möglich über die Art, den Verwendungszweck und gegebenenfalls die Weitergabe der gesammelten Daten aufklären. Wer auf Nummer sicher gehen möchte, sollte darüber hinaus eine Zustimmung sowie Ablehnung vonseiten der Nutzer ermöglichen.

Letzteres kann allerdings auch erst in der Datenschutzerklärung geschehen. Dort ist ebenfalls die Rechtsgrundlage für den Cookie-Gebrauch zu nennen sowie eine Erklärung, wie die Webseitenbesucher den Einsatz von Cookies verhindern können.