Update: Dieser Artikel wurde am 25. April 2018 mit Punkt 25 „Youtube Datenschutzmodus“ aktualisiert (siehe unten).

Was ist die DSGVO?

Die europäische DatenSchutzGrundVerOrdnung ist eine über nationalen Gesetzen wie dem BDSG stehende EU-Verordnung, die bereits seit 2016 in Kraft ist, aber nun zum 25. Mai 2018 gilt, d.h. zur endgültigen Anwendung kommt. Die DSGVO regelt und vereinheitlicht EU-weit die Verarbeitung und den Umgang mit personenbezogenen Daten durch private Unternehmen und öffentliche Stellen.

Die DSGVO gilt damit für alle Unternehmen, die in der EU oder mit der EU Daten austauschen und/oder verarbeiten, sprich: Geschäfte abschließen, online oder offline. Also auch ein schweizer oder amerikanisches Unternehmen, dass mit EU Bürgern in Kontakt tritt, muss sich zukünftig an die DSGVO (engl. GDPR) halten. Dazu zählen auch Konzerne wie facebook und google.

Das betrifft auch, aber nicht nur, die Verarbeitung personenbezogener Daten auf Webseiten.

Gilt das auch für mich?

Als Unternehmen zählen diesbzgl. prinzipiell alle Rechtsformen, sofern diese nicht rein privater Natur sind. Also auch Einzelunternehmer, Freiberufler, GmbHs, Vereine, … wenn diese direkt oder indirekt mit ihrer Webseite auch nur entfernt kommerzielle Interessen vertreten. Eine typische Ausnahme wäre z.B. eine Familienwebseite, auf der Familienbilder für Freunde und Famile eingestellt werden ohne Verlinkung auf kommerzielle Seiten wie z.B. amazon oder andere Affiliate-Links. Für alle anderen gilt die DSGVO.

Warum ist das für mich wichtig?

Wir gehen selbstverständlich davon aus, dass unsere Kunden wie wir in aller Regel sorgsam mit Daten ihrer Webseitenbesucher und ihrer Online-Kunden umgehen. Weder missbrauchen noch verkaufen sie personenbezogene Daten oder gehen fahrlässig damit um. Sie interessieren sich meist noch nicht einmal dafür, welche Daten automatisiert auf ihrer Webseite verarbeitet werden. Also wo liegt das Problem?

Die Motivation für 99% der Webseitenersteller und Webseitenbetreiber sich überhaupt mit solcherlei Rechtsdingen zu beschäftigen wird vermutlich allein darin begründet sein, dass die vorgesehenen Bußgelder bei Nichtbefolgung der neuen Regelungen Existenz-bedrohende Höhen haben: bis zu 4% des weltweiten Vorjahresumsatzes des Unternehmens (gilt auch für Einzelunternehmer) oder 20 Millionen Euro pro Verstoß sind ab Mai möglich und gehören ganz klar auch zum zentralen Konzept dieser Grundverordnung.

Dieses Bedrohungsszenario erzeugt oft die gewünschte, volle Aufmerksamkeit.

Welche Konsequenzen kann es haben, wenn ich mich nicht kümmere?

Die DSGVO verpflichtet u.a. Webseitenbetreiber bestimmte Vorgaben technisch umzusetzen. Man könnte auch deutlicher formulieren: es besteht ein Zwang zur Umsetzung der DSGVO. Wird das versäumt, kann dies zu Abmahnungen durch Anwälte, verhängten Bußgeldern und weiteren Sanktionen wie Gewinneinzug durch die Datenschutzaufsichtsbehörden führen. Gemäß Art 84 DSGVO müssen die Sanktionen „wirksam, verhältnismäßig und abschreckend“ sein. Dieser strenge Schwerpunkt ist in seiner Deutlichkeit auffällig und sollte zumindest sensibel zur Kenntnis genommen werden: es soll zukünftig weh tun, wenn man den Datenschutz nicht ganz so ernst nimmt. Die Datenschutzaufsichtsbehörden sind explizit dazu aufgefordert(!), hohe Strafen zu verhängen … Nähere Infos hier.

Unwirksame Einwilligung – Bußgeld?

„Erweist sich eine Einwilligung [des Nutzers zur Verarbeitung seiner personenbezogener Daten] als unwirksam oder kann der Verantwortliche [z.B. Webseitenbetreiber] das Vorliegen einer Einwilligung nicht nachweisen und liegt ein sonstiger Grund für die Rechtmäßigkeit der Verarbeitung nicht vor, ist der Umgang mit den personenbezogenen Daten der Betroffenen unzulässig und kann mit einem entsprechenden Bußgeld geahndet werden.“ (Quelle: BayLDA)

Das bedeutet ganz einfach für Webseitenbetreiber: Sie müssen sich ab Mai auskennen mit den personenbezogenen Daten, die auf ihrer Webseite – ihnen bewusst oder unbewusst – verarbeitet werden und entsprechende Maßnahmen ergreifen.

Grundsätze der Datenverarbeitung im Sinne der DSGVO

Neben neuen Bußgeldtatbeständen und drastischen Bußgelderhöhungen bestehen wesentliche Änderungen

  • in ausgeweiteten Dokumentationspflichten sowie
  • den Betroffenenrechten samt einer strikten Reaktionsfrist.

Beachtet und auch in Webseiten umgesetzt werden müssen u.a. nun folgende Kriterien:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ bedeutet erhöhte Auskunftspflichten
  • Zweckbindung“: nur solche Daten erheben, die zweckdienlich sind
  • Datenminimierung“ bedeutet Recht auf Vergessen werden bzw. Löschung personenbezogener Daten
  • „Integrität und Vertraulichkeit“ bedeutet, dass nur zwingend nötige Instanzen nur über einen Auftragsdatenverarbeitungsvertrag (ADV) Zugriff auf Daten haben sollen
  • Rechenschaftspflicht“: Der Verantwortliche ist für die Einhaltung verantwortlich und muss dessen Einhaltung nachweisen können

Was hat das alles mit meiner Webseite zu tun?

Die DSGVO gibt vor, Nutzer vor Datenmissbrauch zu bewahren oder ihnen zumindest die Chance zu geben zu verstehen („Transparenz“), welche ihrer Daten zu welchem Zweck verarbeitet werden. Dafür muss der Webseitenbetreiber sorgen.

Wenn Sie z.B. das CMS WordPress nutzen, dann ist dies bereits eine Software, die mit anderen Softwarediensten im Austausch ist und Daten wie z.B. die IP-Adresse von Nutzern an bestimmte Instanzen übermittelt. Der Server, auf dem ihre Webseite physikalisch installiert ist (Dateien wie von WordPress, Bilder, etc.), wird von einem Hoster verwaltet, der auf dem Server Log-Dateien mit IP-Adressen speichert, z.B. zur Nutzer-Statistik.

Die IP-Adresse als eine eindeutige Adresse im Internet wird Geräten zugewiesen wie Routern, Computern, Smartphones, etc. Die DSGVO stellt einen Bezug zur nutzenden Person her und damit klar, dass es sich bei IP-Adressen um personenbezogene Daten handelt, die es besonders zu schützen gilt.

Was sind personenbezogene Daten auf Webseiten?

Immer wenn ein Nutzer Daten aktiv eingibt z.B. bei

  • Anmeldung zu einem Newsletter
  • Anfragen in Kontaktformularen
  • Kontakt- und Zahldaten bei Online-Shops
  • Suchanfragen in Suchfeldern
  • Anmeldedaten zu einem geschützten Angebot

oder passive Datenerhebung beim Besuch einer Webseite ohne sein direktes Zutun wie z.B. bei

  • Reichweitenmessung
  • tracking
  • social sharing
  • eingebundenen Modulen wie z.B. youtube, vimeo oder google Maps
  • Darstellung von extern eingebundenen Schriftarten (google fonts)
  • präferierten individuellen Einstellungen

werden die IP-Adresse des besuchten Endgerätes erfasst oder über sog. Cookies, also kleinen Textdateien, bestimmte Informationen auf dem Endgerät gespeichert, die den Nutzer für seine folgende Nutzung zuordnen können und über die Verknüpfung mit seiner IP-Adresse potenziell identifizieren können. Gleichzeitig speichern aber auch andere Softwaremodule auf dem Server der Webseite oder sogar auf anderen Servern außerhalb der EU bestimmte Daten über den Webseitenbesucher. Dies geschieht meist für den Komfort der Nutzer, manchmal aber auch, um mit den erhobenen Daten Nutzerprofile zu vervollständigen und deren Wert damit zu erhöhen.

Beispiele personenbezogener Datenerhebung zur Verdeutlichung

Zugriffsdaten/ Server-Logfiles
Der Anbieter (beziehungsweise sein Webspace-Provider) erhebt Daten über jeden Zugriff auf das Angebot (so genannte Serverlogfiles): Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider.

Kontaktaufnahme
Bei der Kontaktaufnahme mit dem Anbieter (zum Beispiel per Kontaktformular oder E-Mail) werden die Angaben des Nutzers zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert.

Kommentare und Beiträge
Wenn Nutzer Kommentare im Blog oder sonstige Beiträge hinterlassen, werden ihre IP-Adressen gespeichert. Das erfolgt zur Sicherheit des Anbieters, falls jemand in Kommentaren und Beiträgen widerrechtliche Inhalte schreibt. In diesem Fall kann der Anbieter selbst für den Kommentar oder Beitrag belangt werden und ist daher an der Identität des Verfassers interessiert.

Newsletter
Mit der Anmeldung zum Newsletter wird neben der eingegebenen E-Mail-Adresse die IP-Adresse des Nutzers und das Datum der Anmeldung gespeichert. Diese Speicherung dient der Dokumentationspflicht im Rahmen der DSGVO.

Einbindung von Diensten und Inhalten Dritter
Videos von YouTube, Vimeo, Kartenmaterial von Google-Maps oder animierte Grafiken (z.B. Besucherdatenzähler) können von anderen Webseiten eingebunden werden unter Verwendung der Cookie-Technologie. Dazu benötigen diese Dritt-Anbieter die IP-Adresse der Nutzer, ohne die sie die Inhalte nicht an den Browser des jeweiligen Nutzers senden könnten. Diese personenbezogenen Daten sind damit für die Darstellung dieser Inhalte erforderlich.

Verwendung von Social Plugins wie facebook, twitter, instagram u.a.
Wenn ein Nutzer eine Webseite mit einem solchen sharing plugin aufruft, baut sein Browser eine direkte Verbindung mit den Servern der social media platforms wie z.B. facebook auf. Der Anbieter hat über Einbindung von Fremdsoftware keinen Einfluss auf den Umfang der Daten, die darüber erhoben werden.

Dies sind nur Beispiele – in jedem Webseitenprojekt werden andere plugins (=Softwaremodule mit spezifischen Sonderaufgaben) verwendet, die ihrerseits Daten erheben können und weiter verarbeiten.

Datenschutz könnte so einfach sein …

Hätte man in der EU Kommission nachgedacht und wirklich gewollt, dass personenbezogene Daten im Internet sicherer vor Missbrauch geschützt sind, so hätte man anstelle einer aufwendigen und bislang leider unzureichenden und unklaren DSGVO die Betriebssystem- und Browserhersteller dazu bewegen können, voreingestellte Sicherheitsmechanismen zu konfigurieren, die Datenmissbrauch im Ansatz verunmöglichen. Die Technologie dazu ist längst im Einsatz. Dazu noch eine kurze sensibilisierende Anleitung für alle Internetnutzer, und das wär’s gewesen. Minimaler Aufwand und hoch effizient. Aber stattdessen?

Metaphorisch gesprochen:

Anstatt Sicherheitsgurte in Autos anzubieten (=naheliegender Ansatz), werden nun alle Hausbesitzer dazu genötigt, Airbags an allen möglichen Häuserecken zu installieren für den Fall, dass jemand (unangeschnallt) dagegen fährt (=Ansatz der EU Kommission). Und verunfallt jemand an Ihrem Haus an einer ungewöhnlichen Ecke, die Sie nicht mit einem Airbag gesichert haben („wie konnte dieses Auto nur ins Fenster im ersten Stock fliegen?“), so kann er Sie erfolgreich verklagen, bis Sie Ihr Haus schliesslich verlieren können.

Was genau muss ich tun, um meine Webseite DSGVO konform zu betreiben?

Zur Erinnerung: die DSGVO ist schwammig formuliert und wird vermutlich auch so bleiben und noch eher komplexer mit der ePV werden. Das macht es schwierig, konkrete Maßnahmen zu treffen, zumal jedes Webseitenangebot in manchen Punkten unterschiedlich sein kann. Allerdings gibt es sehr gute Hinweise und Empfehlungen, die nicht wirklich weh tun und umsetzbar sein sollten. Wenn Sie also die wichtigsten Punkte erfüllen, dann sinkt das Abmahnrisiko deutlich.  Aber wichtig! Diese Punkte hier beziehen sich – ohne Anspruch auf Richtigkeit oder Vollständigkeit – ausschließlich auf die Umsetzung der DSGVO nur im Hinblick auf Standard-Webseiten! Als Unternehmer haben Sie noch weitere Dinge im Umgang mit dem Datenschutz zu beachten, völlig unabhängig von Ihrem Online-Auftritt! In diesem Artikel fokussieren wir auf Webseiten. Wenn Sie diesbzgl. sicher gehen wollen (sofern das im Rahmen der bestehenden Unklarheiten bislang überhaupt möglich ist) fragen Sie bitte einen Fachanwalt für Internetrecht.

Unsere (nahezu vollständige?) Liste der TOP 25

Die nachfolgende Liste ist unsere Agenda in der Abarbeitung der DSGVO-Punkte, die wir recherchieren konnten. Sie gibt eine Priorisierung der Dringlichkeit bezogen auf unsere laienhafte Einschätzung einer Abmahngefahr und eine ungefähre Aufwandabschätzung. Sie ist gedacht für gängige Webseiten, wie wir sie zu über 90% im WWW vorfinden. Manche Punkte sind WordPress-spezifisch und müssten bei anderen Systemen (Joomla, Jimdo, Typo3, SilverStripe, FrontPage, etc.) entsprechend angepasst werden.

  1. Impressum auf den neuesten Stand bringen: sind die Angaben aktuell? Sind alle Angaben korrekt formuliert und abgedeckt? Ist das Impressum als solches rechtssicher eingebunden? (Prio: extrem hoch, Aufwand: gering)
  2. Datenschutzerklärung: genügt diese den neuen Vorgaben der DSGVO? (Prio: extrem hoch, Aufwand: gering)
  3. Haben Sie den Datenschutzbeauftragten benannt (das kann in vielen aber nicht allen Fällen auch Sie selbst sein)? (Prio: sehr hoch, Aufwand: gering)
  4. Ist Ihre Webseite SSL-verschlüsselt und wann ist das zwingend? (Prio: sehr hoch, Aufwand: mittel)
  5. Welche Cookies erhebt Ihre Webseite in welchem Fall und zu welchem Zweck? (Prio: hoch, Aufwand: mittel)
  6. Mit welchen Drittanbietern kooperiert Ihr Webseitenangebot? social media, google, bestimmte plugins … (Prio: sehr hoch, Aufwand: mittel)
  7. Beschreibt Ihre Datenschutzerklärung alle erhobenen personenbezogenen Daten? Cookies, etc. (Prio: hoch, Aufwand: mittel)
  8. Newsletter und Abo von Kommentaren per E-Mail müssen Double-Opt-In verwenden. Was ist zu tun mit den Empfängerlisten? Wie sind die Aufbewahrungsfristen und Nachweise und Dokumentationspflichten? (Prio: extrem hoch, Aufwand: mittel)
  9. Beachten Sie das Kopplungsverbot bei kostenlosen Newsletterangeboten! E-Mail-Adresse gegen Geschenk (Freebie, eBook) tauschen ist nicht mehr erlaubt, mit Trick dagegen schon. (Prio: hoch, Aufwand: gering)
  10. In Kontaktformularen nur die E-Mail-Adresse als Pflichtfeld abfragen. WordPress-Standardfunktionen müssen daher angepasst werden. (Prio: mittel, Aufwand: gering)
  11. Werden Reichweitenmessungen wie Piwik oder Google-Analytics korrekt verwendet? ADV? Ist das Opt-Out als Widerspruch zu google Analytics korrekt eingebaut? (Prio: sehr hoch, Aufwand: gering)
  12. Für Liken oder Sharen dürfen nur noch „passive“ Buttons verwendet werden, die vom Nutzer erst explizit aktiviert werden müssen bevor sie tracken! (Prio: sehr hoch, Aufwand: mittel)
  13. Bildrechte (Urheberrecht) beachtet und am Werk markiert? (Prio: sehr hoch, Aufwand: gering bis mittel)
  14. Werden Webfonts (Schriftarten von google extern eingebunden) verwendet? (Prio: gering, Aufwand: mittel)
  15. Ist WordPress‘ gravatar und die Umsetzung der Emojis deaktivert? (Prio: gering, Aufwand: mittel)
  16. Werden Cloudservices (z.B. für Backups) oder CDN Server (cloud distribution server z.B. für caching) von plugins verwendet? Besteht hier eine Zweckmäßigkeit oder Erlaubnis? (Prio: hoch, Aufwand: mittel)
  17. Werden die Backups verschlüsselt? (Prio: mittel, Aufwand: mittel)
  18. Sind Affiliate-Links auf der Webseite und erklärt? (Prio: hoch, Aufwand: mittel)
  19. Werden alle IP-Adressen anonymisiert, auch von den plugins und Kommentaren? (Prio: sehr hoch, Aufwand: gering)
  20. Bestehen Handlungspläne bei möglichem Hacking der Webseite? Welcher Schutz vor Datenmissbrauch wird zur Sicherheit der Webseite übernommen? (Prio: hoch, Aufwand: mittel)
  21. Wird die Webseite immer auf dem aktuellen technischen und rechtlichen Stand gehalten? (Prio: hoch, Aufwand: gering bis mittel)
  22. Haben Sie eine aktuelle Fassung der Auftragsdatenverarbeitungsverträge (ADV) mit allen Instanzen abgeschlossen, die die Daten auf Ihrer Webseite verarbeiten? Webmaster (sofern dauerhaft eingebunden), Hoster, Freie Mitarbeiter, Newsletteranbieter, google, … (Prio: mitelhoch, Aufwand: gering)
  23. Haben Sie die weiteren DSGVO Vorgaben beachtet wie z.B. das Verfahrensverzeichnis? (Prio: mittel für normale Webseiten, Aufwand: nervig)
  24. Auch den Hinweis auf die EU-Streitbeilegung (Verbraucherstreitbeilegungsgesetz, Artikel siehe hier)
  25. Youtube: erweiteren Datenschutzmodus aktivieren beim Einbetten von Videos

Diese Liste erhebt keinen Anspruch auf Vollständigkeit. Sie ist eine Sammlung kürzlicher Recherche.

Klingt aufwendig? Kein Grund zur Panik! Viele dieser Punkte sollten bereits seit längerem Bestandteil Ihres Webseitenangebots sein. Und manche Punkte sind schnell konfiguriert, andere sind zu klären und manches über plugins leicht zu lösen und anderes … evtl. *etwas* aufwendiger. Ich empfehle bei WordPress die Verwendung eines Child Themes, in dem Änderungen „updatesicher“ gemacht werden können, wie z.B. die Anonymisierung der IP-Adressen in Kommentaren.

Die Umsetzung dieser Punkte sollte Sie  jedoch deutlich aus der Gefahrenzone in ruhige Gewässer bringen. Ob und wie abgemahnt wird, wissen nur abmahnende Anwälte und Datenschutzbehörden. Sprechen Sie uns an, wenn Sie hierbei Unterstützung wünschen:

Christian Wedemeyer, email hidden; JavaScript is required

Ist das mit normalen Mitteln überhaupt zu bewerkstelligen? – Unsere Einschätzung

Sagen wir so: wir haben für unsere eigenen Internetprojekte recherchiert: davon können Sie profitieren, das ist unser Angebot. Die korrekte Umsetzung der DSGVO ist aus unserer Sicht ohne fachkundliche Unterstützung wie wir sie technisch durch uns und rechtlich durch e-recht24 anbieten können, eine Zumutung für „normale“ Webseitenbetreiber.

Weder ist es in den meisten Fällen fachlich möglich noch wirtschaftlich sinnvoll, dieses umfangreiche Thema zu durchdringen. Viele der Gesetzestexte sind leider schwammig formuliert. (Juristen sagen dazu, es müssen noch die „ersten Urteile abgewartet werden“ °!°). Unterstellt man gut gemeinte Absichten, so vermitteln die verantwortlichen „Erfinderexperten“ der EU-Gremien einfach nur den Eindruck einer fachlichen Überforderung, was zumindest den technischen Part anbelangt, den wir beurteilen können. Diese Unklarheit sorgt naturgemäß nicht zuletzt durch die gewaltige finanzielle Bedrohungslage für Unruhe und kann zudem durch die vielfältigen Graubereiche zu potenziell klingelnden Kassen bei Abmahnanwälten führen. Das bedeutet sowas wie niemand weiß noch nichts genaues, was jedoch nicht unbedingt beruhigen sollte.

Aber! Es ist aus unserer Sicht durchaus sinnvoll und auch mit vertrebarem Aufwand möglich, aus der direkten Schusslinie zu treten und die Kuh vom Eis zu holen. Wenn die wichtigsten sichtbaren Punkte umgesetzt werden, dann ist das schon mal ziemlich überdurchschnittlich. Durch die immanente Unklarheit kann es keine Garantie gegen Rechtskonflikte geben, aber ein ruhiges Schlafen sollte nach der Umsetzung der 25-Punkte-Liste möglich sein. So ist unsere persönliche Meinung zur DSGVO und Internetseiten.

Was kommt als nächstes?

Wer glaubt, dass mit der Impressumspflicht, der Datenschutzerklärung, der EU-Cookie-Richtlinie, der Pflicht zur Umstellung auf HTTPS-Verschlüsselung und nun der DSGVO Schluss sei mit erzwungenen Änderungen im Internet, der wird spätestens in 2019 über die ePrivacy-Verordnung (ePV) eines Besseren belehrt. Die ePV sollte ursprünglich mit Mai online gehen, aber man ist sich da noch nicht einig geworden. Sie besagt u.a. einfach formuliert, dass zukünftig der Nutzer entscheiden möge und aktiv werden muss, welchen Datenerhebungen er einwilligt und welchen nicht (Opt-In).

Kritik am Entwurf u.a.: Finanzierung von Online-Medien und Affiliates gefährdet, Widersprüche zum DSVGO und mehr Aufwand für Nutzer: „Die Branche geht davon aus, dass Nutzer künftig überfordert sein dürften, von der Menge an Zustimmungen, die durch die ePV nötig wären. Man vermutet, dass für jede einzelne Übertragung eine spezifische Zustimmung gegeben werden muss.“ (Quelle: https://hosting.1und1.de/digitalguide/websites/online-recht/eprivacy-verordnung/).

Auf deutsch: zukünftig wird es keinen „passiven“ Banner mehr geben, der auf Cookies hinweist, sondern es ist geplant, eine Abfrage zu diversen Berechtigungen der verwendeten Softwaremodule und Funktionen (plugins) anzubieten, denen der Nutzer dann explizit zustimmen muss oder diese ablehnen kann.

Wie so ein professionelles Cookie-Management in naher, geplante Zukunft aussehen könnte, kann man hier bewundern: https://www.activemind.de/magazin/bussgelder-dsgvo/

Ein technisches Paradoxon: über welche Technologie speichere ich, dass ein Nutzer nicht gespeichert werden möchte? Etwa über Cookies?!

Hinzu kommt, dass die offiziellen Erklärungen und Begründungen zu diesem Datenschmarrn (nicht nur) aus unserer Sicht eines gesunden Menschenverstandes vorsichtig formuliert nicht wirklich Sinn ergeben. Weswegen es auch jede Menge Spekulationen im Internet gibt, worum es denn nun wirklich gehen könnte bei dem ganzen Theater. Nun ja.

Man darf gespannt sein … und gaaanz tief durchatmen.

Welche Vor- und Nachteile von der DSGVO-Umsetzung haben nun eigentlich …

… Webseitenersteller

Vorteile:

  • geringe Abmahnrisiken
  • „Geschäftsmodell“
  • Qualität der Werke kann als „erhöht“ verstanden werden

Nachteile:

  • Teilhaftung, wenn sie nicht klar formulierte AGB und Abnahmeprotokolle haben.
  • Die Gefahr der Abmahnung und Bußgelder, wenn sie keinen ADV haben.
  • Potenziellen Ärger, wenn sie ihre (ahnungslosen) Kunden nicht informiert haben (wozu sie nicht verpflichtet sind).
  • Potenzielle Rechtsstreitereien mit Kunden

… Webseitenbetreiber (Anbieter)

Vorteile:

  • geringe Abmahnrisiken
  • die Option, den Webseitenbesuchern „Datenschutz“ als Qualitätsmerkmal zu vermitteln

Nachteile:

  • erhöhte Betriebsausgaben in rechtliche und technische Beratung (die geringer sein sollten als potenzielle Bußgelder)
  • erhöhter Aufwand / Kosten in der Wartung / Aktualisierung der Webseite

… Webseitenbesucher (Nutzer)

Vorteile:

  • größere Transparenz und Rechte gegenüber dem Betreiber, falls von Interesse
  • die Idee, „Datenschutz“ als Qualitätsmerkmal zu verstehen

Nachteile:

  • weniger Angebote, weil manche Webseitenbetreiber ihr Angebot einstellen werden
  • die Gefahr der Illusion, dass nun „irgendetwas mit Daten sicherer“ sei. Denn google, youtube, facebook, whatsapp, twitter, amazon uvam. werden auch weiterhin „legal“ die erhobenen Daten nutzen und verkaufen; es gehört zu deren Geschäftsmodell.
  • ggf. erhöhte Kosten, die durch erhöhte Aufwände der Anbieter entstehen
  • Schwerfällige Usability und störende Datenschutzhinweise
  • eingeschränkte Funktionalität des Webseitenangebots, weil manche Cookies, die abgelehnt wurden, für den Betrieb erforderlich wären
  • unkomfortablere und unschönere, „pragmatischere“ Webseiten, weil bestimmte Zusatzfunktionen vom Betreiber aus „Datenschutzbedenken“ weggelassen werden
  • Verunsicherung und Überforderung und gleichzeitig Abstumpfung / Desensibilisierung in der Auseinandersetzung mit Datensicherheit
  • die Verleitung zur Entmündigung: denn wer Wert darauf legt, dass seine Daten geschützt sind, der ist eigenverantwortlich und hat bereits jetzt schon ein eigenes funktionierendes Cookie-Management (auch persistente SuperCookies beachten!), Ad-Blocker, nutzt VPN-Server, meldet sich bei Diensten wie google, facebook und Co ab (wenn er es nicht gerade in diesem Moment nutzt) und hat damit mehr Datensicherheit erreicht als es eine DSGVO jemals leisten können wird (unsere Empfehlung)

… und Anwälte?

  • (-:

Wer erhält eigentlich das Bußgeld?

Wird ein Verstoß gegen die DSGVO bemerkt und verfolgt, so stellt sich die Frage, die eigenartiger Weise selten gestellt wird: Wer wird denn Begünstigter dieser hohen Summe der Buße: der „geschädigte“ Nutzer, dessen verletze Daten zum Eklat führten? Nein! Der Anwalt? Nun, der Anwalt lässt sich nur für seinen Aufwand der Abwicklung honorieren. Das eigentliche Bußgeld, dessen Höhe die jeweiligen Aufsichtsbehörden verhängen, fließt vermutlich dem Staat oder begünstigten Organisationen zu. Das ist gar nicht so leicht zu recherchieren. Der Staat … war das nicht der, der die DSGVO über die Institution „EU“ eingeführt hat? Zur Erinnerung: die DSGVO wurde von der Europäischen Kommission entwickelt, deren Mitglieder von der Regierung der jeweiligen Nationalrechtstaaten nominiert werden.

Nun ja, was jedenfalls mit Bußgeldern geschieht, können Sie hier lesen, dort sind Bußgelder ein Segen für Vereine und Organisationen … und hier, wo ein Justizressort die Bußgeldvergabe überprüfen will.

Unkonventionelle Lösungen, um dem „Wahnsinn“ zu entgehen?

Sobald Sie in irgendeiner Form Geschäfte mit EU-Bürgern oder EU-Unternehmen machen, gilt für Sie die DSGVO – weltweit.

Halten Sie sich nicht an die DSGVO, dann leben Sie gefährlich, wenn man Sie haftbar machen und ggf. Zugriff auf Ihre Konten verfügen kann (Pfändung). Die Haftung hat immer der Webseitenbetreiber (genauer: der Verantwortliche gemäß §5 TMG im Impressum bzw. für den Datenschutz der Datenschutzbeauftragte in der Datenschutzerklärung) oder teilweise auch der Webseitenersteller (wenn dieser sich nicht klar abgegrenzt hat und die Verantwortung der Pflege bei ihm liegt).

Der Zugriff ist für Anwälte und Behörden innerhalb der EU simpel, dagegen außerhalb der EU schwierig bis unmöglich bzw. unverhältnismäßig aufwendig.

Daraus folgt:

  • wenn eine natürliche oder juristische Person mit Sitz außerhalb der EU im Impressum glaubwürdig als Verantwortlicher benannt ist
  • wenn eine natürliche Person mit Sitz außerhalb der EU als qualifizierter Datenschutzbeauftragter benannt ist
  • wenn eine natürliche oder juristische Person mit Sitz außerhalb der EU die Domaininhaberschaft (Owner und Admin-C) innehat
  • wenn der Webseitenbetreiber seine Bankkonten ausschliesslich außerhalb der EU führt
  • wenn der Webseitenbetreiber nur mit Kunden außerhalb der EU verkehrt
  • und auf seiner Webseite keinerlei personenbezogene Daten von EU-Bürgern verwaltet werden

… dann sind Sie auf der sicheren Seite. (-:

Alternativer Ansatz, natürlich ebenfalls nur satirisch zu verstehen und ohne Gewähr:

  • Sie gründen eine eigenständige (Kapital)Gesellschaft (z.B. Limited), kein Tochterunternehmen, schließen mit diesem Unternehmen einen ADV und übertragen ihm alle Rechte und Pflichten ihrer Webseiten: Impressum und Domaininhaberschaft. Diese Gesellschaft hat kein Kapital, keinen Umsatz und auch keinen Gewinn. Sie bestellt einen externen Datenschutzbeauftragten (Artikel hier und hier). Sie lassen sich von findigen Anwälten beraten, die ein Pamphlet ausarbeiten, in dem der Gesellschaft die Haftung übertragen wird. Sollte es Probleme geben, so wird eben jene Gesellschaft von Dritten insolvent geklagt, da diese haftet. Das hat den Vorteil, dass Sie als Unternehmer weiter Ihrem seriösen Beruf nachgehen können und die angemahnten Mängel korrigieren können, bevor Sie anschließend eine neue Gesellschaft zum selben Zweck gründen … Ob das allerdings in der Praxis auch so funktioniert, das wissen wir nicht. 😉 Denn schließlich sind wir ja nur technische Ersteller von Webseiten. „Erste Urteile“ werden hier wohl abzuwarten sein …

Mal im Ernst: ist das nicht alles etwas übertrieben?

Anwaltskanzleien und Versicherungen werben mit bzw. berichten über ganz konkrete Fälle der sog. Rechtsprechung. Diese verunsichern, bedrohen und strapazieren teilweise den gesunden Menschenverstand:

  • „Mr Wash hat wegen des fehlenden Datenschutzbeauftragten im Jahre 2016 ein Bußgeld in Höhe 10.000€ bezahlt. Laut J. Caspar ist beim Bußgeld mit dem Faktor 67 zu rechnen, das wären dann 670.000€. Für manche Firmen schon existenzbedrohend.“ (Quelle)
  • Weitere reale Fälle sind z.B. das Fehlen des Wortes „Aufsichtsbehörde“ vor dem Behördennamen im Impressum oder ein abgekürzter Vorname: Abmahngebühren in Höhe von ca. 1.500 Euro (Unterlassungserklärung)
  • Nach Angaben von e-recht24 gibt es nun (12/2017) erste Abmahnungen von Seitenbetreibern mit unverschlüsselten Kontaktformularen
  • google Analytics nicht auf  IP-Adressen Anonymisierungga ('set', 'anonymizeIP', true); gesetzt? Abmahnung!

Nach Auffassung von e-recht24 sind 8 von 10 Webseiten abmahngefährdet. Anders formuliert: 80% der Webseitenbetreiber sollten Buße tun. Man rechnet ab Mai mit weiteren Abmahnwellen … Der (volkswirtschaftliche) Nutzen der DSGVO ist damit immerhin für eine Branche erkennbar.

Wie können und dürfen wir Sie darin unterstützen?

Da ich kein Jurist bin, kann, will und darf ich Sie anwaltlich nicht beraten. Wir haben uns aber in wochenlanger, aufwendiger Recherche als Premiummitglied bei e-recht24 und vielen weiteren Quellen soweit schlau gemacht, dass wir inzwischen ziemlich gut wissen, welche technischen Voraussetzungen Webseiten erfüllen müssen, damit sie der DSGVO entsprechen.

Unsere Kunden erhalten auf Wunsch über uns von e-recht24 autorisierten Zugriff auf Material des Mitgliederbereiches, das wir für unsere Kunden zur Verfügung gestellt bekommen. Dort können Sie weitere, vertiefte Informationen bekommen. Wir verwenden weiterhin rechtssichere Muster oder anwaltlich erstellte Vorlagen oder von unserem Partner eRecht24 zur Verfügung gestellte Rechtstexte. Eine individuelle rechtliche Prüfung darüber hinaus, sofern Sie das für nötig befinden, kann nicht von uns, aber z.B. von eben dieser Partner-Kanzlei durchgeführt werden.

Auch wenn wir sehr für einen gesunden Datenschutz sind (unser Artikel hierzu) hegen wir Kritik an der derzeitigen DSGVO. Dennoch empfehlen wir dringend, wenigstens die wichtigsten Forderungen der DSGVO zu erfüllen. Denn Ihre mögliche Insolvenz durch Bußgelder nützt niemandem, dem eine gesunde Volkswirtschaft am Herzen liegt.

Bitte haben Sie auch Verständnis, dass wir unsere Aufwände für eine einmalige* Wartung Ihrer Webseite in Rechnung stellen. Sprechen Sie mich an, wenn Sie unsere Unterstützung möchten:

Christian Wedemeyer, email hidden; JavaScript is required

Quellen und weiterführende Informationen

Allgemein
http://www.daten-speicherung.de/
http://www.wirspeichernnicht.de

DSGVO
Gesetzestexte: http://dsgvo-gesetz.de
Datenschutz-Grundverordnung: Neue Gesetze ab 2018 – https://hosting.1und1.de/digitalguide/websites/online-recht/datenschutz-grundverordnung-regeln-fuer-unternehmen/
Was KMU jetzt für die DSGVO unbedingt noch tun müssen – https://www.security-insider.de/was-kmu-jetzt-fuer-die-dsgvo-unbedingt-noch-tun-muessen-a-676945/
EU-Datenschutz-Grundverordnung: Die Uhr tickt für Website-Betreiber! – https://www.onlinesolutionsgroup.de/blog/eu-datenschutz-grundverordnung-die-uhr-tickt-fuer-website-betreiber/
Datenschutz-Grundverordnung (DSGVO) für Webseitenbetreiber – https://blog.visionconnect.de/2017/dsgvo/
Netzpolitik / diverse Artikel über Datenschutz – https://netzpolitik.org/category/datenschutz/
DSGVO & KMU: Wie lassen sich Daten rechtskonform verarbeiten? – https://blogs.business.microsoft.com/de-de/2018/01/31/dsgvo-kmu-wie-lassen-sich-daten-rechtskonform-verarbeiten/
Datenschutzgrundverordnung: Endet die Ära der Social Media Plugins? – https://www.it-recht-kanzlei.de/social-plugins-datenschutzgrundverordnung-dsgvo.html#abschnitt_54
The Electronic Frontier Foundation is the leading nonprofit organization defending civil liberties in the digital world.: https://www.eff.org/
ADV bei 1und1: https://hilfe-center.1und1.de/hosting/1und1-webhosting-c10085285/archiv-c10082642/vereinbarung-zur-datenverarbeitung-im-auftrag-adv-a10795589.html

ePrivacy-Verordnung (ePV)
Die ePrivacy-Verordnung ist auf dem Weg! Womit müssen Sie rechnen? – https://hosting.1und1.de/digitalguide/websites/online-recht/eprivacy-verordnung/
Aktuelle Informationen zur ePrivacy-Verordnung – https://www.bvdw.org/themen/recht/eprivacy-verordnung/
Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies – https://drschwenke.de/datenschutz-eprivacy-online-marketing-cookies/

Datenschutzbeauftragter
DSGVO: Pflichten und Stellung des Datenschutzbeauftragten – https://efarbeitsrecht.net/dsgvo-der-datenschutzbeauftragte-und-seine-stellung-im-unternehmen/
Datenschutzbeauftragter und DSGVO – https://www.e-recht24.de/artikel/datenschutz/10744-datenschutzbeauftragter-dsgvo.html

Streitschlichtung
https://www.impulse.de/recht-steuern/rechtsratgeber/verbraucherstreitbeilegung-informationspflicht/3553490.html

Bußgelder
DSGVO: Es kann teuer werden, aber Bußgelder sind nicht alles – https://www.it-daily.net/it-sicherheit/datenschutz/17488-dsgvo-es-kann-teuer-werden-aber-bussgelder-sind-nicht-alles
EU-Datenschutzverordnung – Webseiten-Betreibern drohen Bußgelder und Abmahnungen – http://www.gamestar.de/artikel/eu-datenschutzverordnung-webseiten-betreibern-drohen-bussgelder-und-abmahnungen,3324563.html
Bußgelder, Geld- und Freiheitsstrafen – Zu erwartende Sanktionen im Datenschutz – https://brands-consulting.eu/bussgelder-geld-und-freiheitsstrafen-zu-erwartende-sanktionen-im-datenschutz
Bußgelder, Strafen und Schadensersatz für Datenschutzverstöße – Serie zur DSGVO, Teil 2 – https://planit.legal/blog/de/bussgelder-strafen-und-schadensersatz-fuer-datenschutzverstoesse/

WordPress / Softwarehacks
WordPress roadmap für GDPR compliance: https://make.wordpress.org/core/2018/02/19/proposed-roadmap-tools-for-gdpr-compliance/
Checkliste für (WordPress)Blogs – https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/
WordPress rechtssicher nutzen: Datenschutz & Co. – https://www.datenschutz.org/wordpress-datenschutz/
disable emojis: https://kinsta.com/knowledgebase/disable-emojis-wordpress/
IPs anonymisieren in der Praxis: https://www.datenschutzbeauftragter-online.de/ips-speichern-in-der-praxis/138/
How to disable DNS Prefetch in WordPress 4.6: http://www.webhostingbrowse.com/web-hosting-guides/how-to-disable-dns-prefetch-in-wordpress-4-6/
Google Fonts violates Content Security Policy: https://stackoverflow.com/questions/33984908/google-fonts-violates-content-security-policy
Content-Security-Policy: https://developer.mozilla.org/de/docs/Web/HTTP/Headers/Content-Security-Policy
Implementing Content Security Policy: https://hacks.mozilla.org/2016/02/implementing-content-security-policy/
Sicherheit/Content Security Policy – https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy
WordPress Kommentar IP Adressen nicht speichern – warum und wie?: https://www.internetkurse-koeln.de/wordpress-kommentar-ip-adressen-nicht-speichern-warum-und-wie/ und auch hier: https://www.kritzelblog.de/techniken-fuer-webentwicklung/wordpress-dsgvo-ip-adresse-kommentare-entfernen/
WordPress ist derzeit nicht DSVGO-konform – https://tb-webconsulting.de/wordpress-will-dsgvo-konform-werden/
wordfence and EU-DSGVO – https://wordpress.org/support/topic/wordfence-and-eu-dsgvo/
plugin WP GDPR Compliance – https://de.wordpress.org/plugins/wp-gdpr-compliance/
5 Best Free Cookie Notification WordPress Plugins to Comply with the EU Cookie Law Regulations – https://smallenvelop.com/cookie-notice-wordpress-plugins/
Zustimmung für Cookies: https://fastwp.de/5484/
Beispiel einer Umsetzung der Cookie-Richtlinie: https://www.arqis.com/cookie-richtlinie/

tracking zur Reichweitenmessung / Analystools
Google Analytics: Verwendung nur unter Auflagen – https://www.webseitenschutzpaket.de/urteile/google-analytics-auflagen/
EU-DSGVO: Ist Ihre Web Analytics Software in Einklang mit dem neuen Gesetz? – https://piwikpro.de/blog/eu-dsgvo-ist-ihr-web-analytics-in-einklang-mit-dem-neuen-gesetz/
Wie speichern und verarbeiten Sie zukünftig Daten unter der DSGVO? Infografik – https://piwikpro.de/blog/wie-speichern-und-verarbeiten-sie-zukuenftig-daten-unter-der-dsgvo-infografik/

google
Browser AddOn zur Deaktivierung von Cookies: https://tools.google.com/dlpage/gaoptout?hl=de
zum Datenschutz: https://support.google.com/analytics/answer/6004245?hl=de
GA tracking: https://developers.google.com/analytics/devguides/collection/gajs/#disable
Eine Datenansicht löschen: https://support.google.com/analytics/answer/1009621

google Webfonts
DSGVO – Warum Google Fonts nicht von Google kommen sollten: https://www.7media.de/wp-coaching/dsgvo-neue-datenschutz-anforderungen/
Google Fonts über den eigenen Server einbinden: https://die-netzialisten.de/wordpress/google-fonts-ueber-den-eigenen-server-einbinden/
Webfont Generator: https://www.fontsquirrel.com/tools/webfont-generator
Wie Sie für WordPress Google Fonts deaktivieren: https://www.internetkurse-koeln.de/wie-sie-fuer-wordpress-google-fonts-deaktivieren/
What does using the Google Fonts API mean for the privacy of my users? – https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users
WordPress und die Verbindung zu fonts.googleapis.com oder themes.googleusercontent.com – https://blog.blackseals.net/2014/08/09/wordpress-und-die-verbindung-zu-fonts-googleapis-com-oder-themes-googleusercontent-com/
WP3.8: Spion inside – Tracking dank Google Webfont-Nutzung für Admins – https://xwolf.de/2014/01/01/wp3-8-spion-inside-google-webfont-nutzung-fuer-admins/
Spionageprogramme in WordPress deaktivieren – http://journalismus-plus.de/generieren/spionageprogramme-in-wordpress-deaktivieren/

Webseiten prüfen / Check Tools
Seiten aufräumen – https://validator.w3.org/
Cookiebot prüft alle Cookies und deren DSGVO Konformität – https://www.cookiebot.com/de/
Alles über DSGVO und Cookies – https://www.cookiebot.com/de/blog/
Webseiten Speed Test – https://developers.google.com/speed/
Pingdom – https://tools.pingdom.com/
Der Datenschutz-Check: Umfangreicher Bericht mit Lösungen – https://www.webseitenschutzpaket.de/artikel/datenschutz-check-pruefbericht/
Browser AddOn – https://www.eff.org/privacybadger und weitere Tools – https://www.eff.org/pages/tools

Newsletter
Mailchimp und Datenschutz: https://drschwenke.de/mailchimp-newsletter-datenschutz-muster-checkliste/
Data Processing Addendum von Mailchimp: https://mailchimp.com/legal/forms/data-processing-agreement/index.php

OptOut-Lösungen
Opt Out of Interest-Based Advertising: http://optout.networkadvertising.org/

Web-Shops
Trusted Shops Abmahnstudie 2017: http://shopbetreiber-blog.de/2017/11/23/trusted-shops-abmahnstudie-2017-abmahnvereine-werden-zum-problem-fuer-online-haendler/

e-recht24
https://www.e-recht24.de/
auf twitter: https://twitter.com/erecht24

Österreich
Übersicht DSGVO für IT-Dienstleister – https://www.wko.at/branchen/information-consulting/unternehmensberatung-buchhaltung-informationstechnologie/it-dienstleistung/dsgvo-fuer-it-dienstleister.html
Allgemeines zur Digitalisierung: Digitalwave.at – http://www.digitalwave.at/k/haftung-begrenzen/
DSGVO – https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung.html
Aufsichtsbehörde, Strafen und Umsetzung in Österreich nach der EU-Datenschutz-Grundverordnung – FAQ: https://www.wko.at/service/unternehmensfuehrung-finanzierung-foerderungen/eu-dsgvo-behoerde-strafen-umsetzung-faq.html
Muster zur Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten (gilt nicht für Deutschland!) – https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html
Muster Verarbeitungsverzeichnis der WKO – https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis-verantwortliche.html
Infoseite DSGVO: https://www.dsgvo-konform.at/

Schweiz
Neues EU-Datenschutzrecht: 7 Pflichten für KMU in der Schweiz – https://steigerlegal.ch/2018/02/22/dsgvo-gdpr-pflichten/
DSGVO-Missverständnisse aufräumen, gilt auch in CH: https://required.com/de/datenschutz-grundverordnung-und-wordpress/

*einmalig: da auch wir nicht für die Umsetzung der DSGVO auf Ihrer Webseite haften wollen, besteht unser Angebot aus einer technischen Wartung, die einmal durchgeführt wird.

Titelbild: Photo by Jacob Miller on Unsplash


Dieser Artikel kann nach Möglichkeit in den kommenden Monaten immer wieder mal aktualisiert werden. Wir freuen uns auch über Hinweise oder Anmerkungen, die Sie uns auf dieser Seite im Kommentarfeld hinterlassen können!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen