DSGVO für Kleinunternehmer

Die Einführung der neuen EU-Datenschutz-Grundverordnung (DSGVO) hat bei vielen für Verunsicherung gesorgt. Insbesondere Kleinunternehmer fühlten sich mit den verschärften Anforderungen überfordert, da jede Unternehmenswebsite betroffen ist.

Um die hohen Strafen bei Verstößen zu vermeiden, erfahren Sie hier, welche Anforderungen Ihre Homepage unbedingt erfüllen sollte.

Wer auf seiner Website mit Kontaktformularen und Newsletter-Anmeldungen arbeitet, ist verpflichtet, die Seite zu verschlüsseln. Die URL beginnt dann mit „https“, was für Hypertext Transfer Protocol Secure steht. Unternehmer sollten prüfen, ob die Verschlüsselung auf jeder Seite und Unterseite vorhanden ist oder sie mit Hilfe eines SSL-Zertifikats einführen. Kostenlose Zertifikate hierfür bietet beispielsweise Let’s Encrypt an.

Auch für die Suchergebnisse bei Google ist eine verschlüsselte Website von Vorteil, da diese bevorzugt angezeigt werden.

Dass eine Website eine Datenschutzerklärung haben muss, ist nichts Neues. Allerdings sind einige Komponenten hinzugekommen. So hat die DSGVO die Informationspflichten erhöht, so dass zum einen alle genutzten Dienste und Plugins, die die Daten Dritten zugänglich machen, aufgeführt werden müssen. Zum anderen müssen alle Betroffenenrechte, die in den Artikeln 12 bis 23 der DSGVO zu finden sind, ausführlich und zugleich für den Nutzer leicht verständlich dargestellt werden.

Nähere Informationen zu den Inhalten einer Datenschutzerklärung sowie entsprechende Muster finden Sie kostenfrei auf der Ratgeberseite des Berufsverbands der Rechtsjournalisten e.V..

Facebook, Instagram und Co. stellen Plugins zum Einbinden in Unternehmenswebseiten zur Verfügung, mit denen Nutzer beispielsweise Inhalte der Homepage liken oder teilen können. Auf diese Weise steigt der Bekanntheitsgrad auch kleinerer Unternehmen schneller, weshalb Facebook-Buttons etc. ein beliebtes Tool sind. Herkömmliche Plugins sind jedoch nicht DSGVO-konform, da sie zu jedem Zeitpunkt Daten der Seitenbesucher erfassen - auch wenn diese die Social-Media-Funktionen gar nicht nutzen wollen.

Um hier nicht gegen den Datenschutz zu verstoßen, sollten stattdessen neue Plug-ins eingebunden werden, die zunächst inaktiv sind und erst nach einem zusätzlichen Klick des Nutzers aktiv werden. Ein weiteres datenschutzfreundliches Prinzip wurde von Shariff entwickelt. Dabei handelt es sich um einfache HTML-Links - das umständliche Einbetten von Plugins entfällt -, die mittels CSS individuell gestaltet werden können. Ein auf dem Server hinterlegtes Skript fungiert dabei als Vermittler zwischen dem Nutzer und dem sozialen Netzwerk und wird erst aktiv, wenn der Nutzer die Buttons nutzen möchte.

Auch Statistik-Tools wie Google Analytics oder Matomo sammeln ihre Daten zunächst ohne Einwilligung der Website-Besucher. Um den Richtlinien der DSGVO zu entsprechen, müssen die gesammelten Informationen jedoch anonymisiert werden. Um die IP-Adressen so zu kürzen, dass kein Personenbezug mehr hergestellt werden kann, muss ein zusätzlicher Code zum herkömmlichen Tracking-Befehl in die Webseite eingefügt werden.

Da in diesem Fall Google als Dritter die Daten zur Erstellung von Statistiken benötigt, müssen Unternehmer zudem zwei Dinge beachten: In der Datenschutzerklärung muss auf die Nutzung von Google Analytics oder Matomo hingewiesen und dem Nutzer eine Opt-Out-Funktion angeboten werden. Außerdem muss er mit Google einen Vertrag zur Auftragsdatenverarbeitung (ADV) abschließen, der klarstellt, dass der Unternehmer selbst für die Sicherheit der Daten verantwortlich bleibt.

Heutzutage arbeiten fast alle Websites mit Cookies, da sie dem Benutzer die Navigation auf der Website erleichtern. Dabei werden jedoch immer auch personenbezogene Daten gespeichert. Das Inkrafttreten der DSGVO hat hier mehr Verwirrung als Klarheit geschaffen. Zumindest ist ein Hinweis auf die Verwendung von Cookies in Form eines Banners beim Aufruf der Website erforderlich. Dabei sollte der Hinweis möglichst detailliert über die Art, den Verwendungszweck und ggf. die Weitergabe der erhobenen Daten informieren. Wer auf Nummer sicher gehen will, sollte darüber hinaus sowohl eine Zustimmung als auch eine Ablehnung durch den Nutzer ermöglichen.

Letzteres kann aber auch erst in der Datenschutzerklärung erfolgen. Dort sollte auch die Rechtsgrundlage für den Einsatz von Cookies genannt werden sowie eine Erklärung, wie der Webseitenbesucher den Einsatz von Cookies verhindern kann.