impulse-Checkliste DSGVO: Was Websitebetreiber jetzt ändern müssen

marketingINGenieur Dr.-Ing. Knut Marhold Alle, Presseberichte

Im Blog für Unternehmer des Unternehmermagazins impulse wurde jetzt eine Checkliste „Das müssen Websitebetreiber jetzt ändern“ zum Datenschutz veröffentlicht, die m.E. recht übersichtlich ist. Dort finden Sie auch den vollständigen Beitrag, den wir hier nur in Auszügen vorstellen.

Die neue Datenschutz-Grundverordnung setzt fast jeden Websitebetreiber unter Zugzwang. Was Sie jetzt ändern müssen – die impulse-Checkliste für DSGVO-konforme Webseiten.

Double-Opt-In, Cookie-Warnung, Datenschutzerklärung. Raucht Ihnen auch der Kopf? Die Checkliste zeigt auf, was Websitebetreiber bis zum 25. Mai ändern müssen.

Welche Websites sind überhaupt von der DSGVO betroffen?

Fast alle. Einzig ausgeschlossen sind Internetseiten, die ausschließlich familiären oder persönlichen Zwecken dienen. Denn wenn ein Besucher Ihre Website aufruft, wird seine IP-Adresse übertragen. Und IP-Adressen fallen unter „personenbezogene Daten“.

Acht Punkte, die Sie erledigten müssen, um Ihre Internetseite DSGVO-konform zu machen und Abmahnungen und Bußgelder zu vermeiden:

1. Sorgen Sie dafür, dass Ihre Website verschlüsselt ist

Internetseiten, auf denen personenbezogene Daten erhoben werden, müssen künftig grundsätzlich verschlüsselt sein. Dies gilt in jedem Falle dort, wo es um Kontaktformulare oder Newsletteranmeldungen geht. Verschlüsselte Seiten erkennt man daran, dass die URL mit https anfängt. Überprüfen Sie, ob das auf allen Ihren Seiten und Unterseiten der Fall ist. Wenn nicht, kontaktieren Sie sofort Ihren Administrator. Dieser sollte Ihre Seite mit Hilfe eines SSL-Zertifikats ohne große Probleme umstellen können.

2. Überarbeiten Sie Ihre Datenschutzerklärung

Eine Datenschutzerklärung mussten Internetseiten schon bisher haben, durch die DSGVO sind neue Informationspflichten dazugekommen. Auch wer das Google Captcha nutzt, um zu verhindern, dass Roboter Kommentare auf der Seite hinterlassen, oder Akismet nutzt, ein beliebtes Plug-in, das Spam-Kommentare herausfiltert, gibt personenbezogene Daten weiter – zum Teil an einen amerikanischen Server. Das ist vielen nicht bewusst. Zudem muss die Datenschutzerklärung künftig deutlich mehr Informationen darüber enthalten, welche Rechte die Nutzer laut DSGVO haben. Wie Ihre Datenschutzerklärung aussehen muss, damit Sie keine Abmahnung fürchten müssen, lesen Sie in unserem Artikel „So wird Ihre Datenschutzerklärung DSGVO konform„.

3. Überprüfen Sie alle Formulare auf ihrer Webseite

Kann man auf Ihrer Website über ein Formular eine Nachricht schreiben? Dann müssen Sie das Kontaktformular überarbeiten. Sie dürfen in ihren Formularen nämlich nur die personenbezogenen Daten erheben, die Sie tatsächlich brauchen, um eine Anfrage zu beantworten. Was am Ende tatsächlich als erforderlich gilt, hängt von der jeweiligen Situation ab. Für eine Newsletter-Anmeldung benötigt man beispielsweise grundsätzlich nur die E-Mail-Adresse, nicht aber den Vor- und Zunamen. Daher dürfen die Felder für den Vor- und den Nachnamen KEINE Pflichtfelder sein! Wenn Sie noch weitere Daten erheben wollen, dann muss für den Nutzer klar sein, dass diese Angaben freiwillig sind. Und vor dem Absenden des Formulars sollten Sie auf die Datenschutzerklärung verlinken und sich bestätigen lassen, dass diese gelesen wurde. Das geht am einfachsten mit einer Checkbox, die allerdings nicht schon abgehakt sein darf.

4. Überprüfen Sie Social-Media-Plugins und eingebettete Videos

Die Social-Media-Plugins, die Facebook & Co zur Verfügung stellen, sammeln vom Websitenutzer unbemerkt personenbezogene Daten und können so detaillierte Persönlichkeitsprofile erstellen. Das gleiche gilt, wenn Sie Videos beispielsweise von Youtube oder Vimeo auf Ihrer Seite einbetten. Das bedeutet: Haben Sie zum Beispiel Youtube-Videos auf Ihrer Seite eingebaut, dann übertragen Sie automatisch Daten Ihrer Websitebesucher an Youtube (und damit Google) – egal ob der Nutzer das Video anklickt oder nicht. Datenschützer kritisieren diese Plug-ins schon lange, ihre Verwendung war auch bisher rechtlich riskant. Mit der DSGVO wird die Verwendung noch kritischer.

5. Überprüfen Sie Ihr Statistik-Tool

Die meisten Website-Betreiber nutzen Dienste wie Google Analytics, um zu analysieren, wie viele Besucher auf ihre Seite kommen und was sich diese dort anschauen. Dabei werden IP-Adressen gesammelt. Diese müssen so gekürzt, das heißt anonymisiert werden, dass kein Personenbezug mehr möglich ist. Wenden Sie sich dafür an Ihren Webadministrator, er kann den „anonymizeIP“-Befehl in den Quellcode Ihrer Website einbauen. Zudem müssen Sie mit Google einen Vertrag zur Auftragsverarbeitung schließen.

6. Informieren Sie über Cookies

Fast alle Webseiten verwenden Cookies. Das sind kleine Dateien, die Daten lokal auf dem Gerät speichern. Sie dienen dazu, den Nutzer wiederzuerkennen und ihm das Surfen auf der Website zu erleichtern. In Bezug auf Cookies ist die rechtliche Lage nach Inkrafttreten der DSGVO noch unklar. Um Abmahnungen zu vermeiden, sollte man von den Websitenutzern beim ersten Aufruf der Seite in der so genannten Cookie-Warnung die Einwilligung einholen. Auch in die Datenschutzerklärung gehört ein Abschnitt zu Cookies.

7. Überprüfen Sie Ihren Newsletter

Wer Newsletter-Dienste wie MailChimp, CleverReach und Newsletter2Go verwendet, muss mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung schließen. Fragen Sie Ihren Dienstleister nach einer solchen Vereinbarung.

Außerdem müssen Sie gegebenenfalls das Anmeldeformular überarbeiten. Dort muss stehen, welchem Zweck der Newsletter dient und welche Informationen Abonnenten erhalten, wenn sie sich dafür anmelden. Als Pflichtfeld dürfen Sie lediglich die E-Mail-Adresse abfragen.

Nutzer müssen zudem deutlich darauf hingewiesen werden, dass sie ihre Einwilligung widerrufen können. Setzen Sie also auch auf der Seite mit dem Anmeldeformular einen Link auf das Abmeldeformular.

Damit nicht jemand gegen seinen Willen als Abonnent eingetragen wird und Sie die Einwilligung rechtssicher nachweisen können, müssen Sie das Double-Opt-In-Verfahren nutzen.

8. Prüfen Sie, ob Sie mit ihrem Webhoster einen Vertrag zur Auftragsverarbeitung schließen müssen

Ist mit dem Webhosting nur der Internet-Zugangsdienst verbunden, liegt keine Auftragsverarbeitung vor. Übernimmt der Webhoster allerdings auch Aufgaben, bei denen sie personenbezogene Daten verarbeiten, wie beispielsweise die E-Mail-Verwaltung, dann liegt eine Auftragsverarbeitung vor und Sie müssen einen Vertrag zur Auftragsverarbeitung schließen.


marketingINGenieur Dr.-Ing. Knut Marhold

marketingINGenieur Dr.-Ing. Knut Marhold ist freier Unternehmer-Berater für Marketing, Werbung und Auftragsförderung – spezialisiert auf Architektur- und Ingenieurbüros sowie Bauunternehmen. Als Mit-Initiator des QualitätsStandards Planer am Bau bietet er Mitgliedern im QualitätsVerbund Sonderkonditionen für seine Beratungsleistungen.