Skip to content

Webseiten, Webdesign und die Gesetzgebung

Nicht erst seit dem Inkrafttreten der DSGVO gibt es etliche gesetzliche Vorgaben bei der Webseitenerstellung zu beachten. Aber seit dem 25.05.2018 steht dieser Aspekt besonders im Fokus. Nicht nur wegen der veränderten Gesetzeslage und deren möglichen Sanktionierungen bei Verstößen, sonderen insbesondere durch die Gefahr abgemahnt zu werden.

So sehr einen das eine oder andere an der Gesetzeslage stört, so ist die einzige Möglichkeit damit umzugehen, informiert zu sein und zu bleiben.

Im Nachfolgenden einige Kernpunkte in Bezug auf Webseiten/Wordpress – ohne Anspruch auf Vollständigkeit und ohne das dies als Rechtsberatung verstanden werden soll. Der Inhalt wird weiter ergänzt.

Verträge zur Auftragsverarbeitung

Google Analytics

Kontaktformular und Kommentarbereich

Streitbeilegungsverfahren

Youtube Videos

SocialMedia PlugIns

Newsletter

Fotos und Bilder

Cookie Banner

ePrivacy Verordnung

Datenschutzerklärung – Links etc.

WordPress Version 4.9.6

Übersichts- / Hilfstabelle

Google und Webhoster: Vertrag zur Auftragsverarbeitung

1. Strato
Das entsprechende Formular findet man im persönlichen Kunden-Login unter
https://www.strato.de/

Mein Vertrag → Vertragsänderung → Auftragsdatenverarbeitung.
Von dort kann man die AVV direkt digital abschließen und als PDF für die Unterlagen speichern oder ausdrucken.

2. All-inkl
Kunden von all-inkl.com können nun unter
https://all-inkl.com/members/-> Stammdaten -> Auftragsverarbeitung
den gemäß DSGVO vorgeschriebenen Auftragsverarbeitungsvertrag per Knopfdruck abschließen.

3. DomainFactory
https://www.df.eu/de/support/formulare/

4. Google Analytics
Es muss ein Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abgeschlossen werden:
https://www.google.de/analytics/terms/de.html
PDF: https://www.google.de/analytics/terms/de.pdf

Zum Anfang

Will man nicht auf Google Analytics verzichten

1. Es muss ein Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abgeschlossen werden:
https://www.google.de/analytics/terms/de.html
PDF: https://www.google.de/analytics/terms/de.pdf

2. Die IP-Adressen müssen anonymisiert erfasst werden

3. Man muss auf das Widerspruchsrecht hinweisen und die Datenschutzerklärung entsprechend anpassen.
https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

4. Damit auch Nutzer von Smartphone & Co. der Nutzung von Google-Analytics widersprechen können (Browser-Add-On funktioniert nicht auf mobilen Endgeräten), diesen Opt-Out-Code einbinden:
https://drschwenke.de/google-analytics-mobile-nutzung-update-anleitung/

[Auch bei der Verwendung der Alternative “Matomo” (vormals “Piwik”) ist ein Hinweis in der Datenschutzerklärung erforderlich!
http://rechtsanwalt-schwenke.de/lg-frankfurt-piwik-abmahnung-fehlerhafter-datenschutzerklaerung-erneut-bestaetigt/]

 

Zum Anfang

Kontaktformulare und Kommentarbereich

1. SSL-Verbindung
Seit dem 1. Januar 2016 gilt die Pflicht für eine SSL-Verbindung (https://) zu Websites mit Kontaktformularen (§ 13 Abs. 7 TMG). Diese Pflicht gilt allgemein für deutsche Websitebetreiber, welche personenbezogene Daten mittels ihrer Website erheben.
Bei All-inkl: Kostenloses Lets Encrypt Zertifikat auf Knopfdruck inkl. automatischer Verlängerung
Positiver Nebeneffekt: Besseres Google Ranking.
https://www.datenschutzbeauftragter-info.de/bussgeld-fuer-kontaktformulare-ohne-verschluesselung/

2. Checkbox zur Zustimmung der Datenschutzbestimmungen
Das Formular muss zusätzlich eine Checkbox zur Zustimmung der Datenschutzbestimmungen enthalten. Erst nach der Zustimmung darf das Formular versendet werden.
https://www.datenschutz-ist-pflicht.de/kontaktformular/

3. Hinweis auf Verwendung der Formulardaten
Unter dem Kontaktformular muss lt. Urteil des OLG Köln vom 11. März 2016 eine Angabe zur Verwendung der Daten vorhanden sein. Die Datenschutzerklärung muss über die Verwendung der Daten, die über das Kontaktformular eingegeben wurden und daneben über das Widerrufsrecht aufklären.

4. Datensparsamkeit
Hier geht es darum, was in einem Kontaktformular als Pflichtfeld deklariert werden darf. Letzendlich eigentlich nur die EMail-Adresse.
http://versandhandelsrecht.de/2018/05/direktmarketing/datenschutzgrundverordnung-dsgvo-in-letzter-minute-geaendert/

5. Kommentarbereich
WordPress speichert bei Kommentaren die IP-Adressen der Nutzer.
Insofern müssen bei alten Kommentaren die IP-Adressen entfernt werden. Um die Speicherung bei neuen Einträgen zu verhindern, kann man ein paar Zeilen an des Ende der „funktions.php“ einfügen.

WP-Code-funktions-php

Ohne die Verwendung eines Child -Themes muss darauf geachtet werden, dies nach einem Update erneut wieder einzutragen.
„Gravatare“ und „Emoticons“ sind in dem Zusammenhang auch noch zu beachten. Auch sie „funken“ Informationen über einen Webseitenbesucher an fremde Server.

 

Zum Anfang

Pflichthinweis auf das Online-Streitbeilegungsverfahren
Seit dem 9. Januar 2016 besteht für B2C-Onlinehändler
(Business-to-Consumer = Handelsbeziehungen zwischen Unternehmen und Privatpersonen)
die Hinweispflicht auf das Online-Streitbeilegungsverfahren der EU, die OS-Plattform muss verlinkt werden:
https://ec.europa.eu/odr
https://www.ra-plutte.de/2016/02/online-streitbeilegung-einstweilige-verfuegung-lg-bochum/

Ab dem 1. Februar 2017 gelten weitere Informationspflichten:
http://rechtsanwalt-schwenke.de/b2c-unternehmer-februar-2017-informationspflichten-streitbeilegung/

 

Zum Anfang

YouTube Videos
Schon beim Aufruf einer Website mit eingebettetem YouTube-Video werden Cookies gesetzt und Verbindungen zu Youtube und zum Google-Werbenetzwerk DoubleClick aufgebaut. Dafür braucht das Video nicht angeklickt / abgespielt werden.
Der Webseitenbesucher muss in der Datenschutzerklärung umfassend informiert werden, insbesondere über die durch den Seitenaufruf gesetzten Cookies und die dadurch ausgelöste Datenverarbeitung. Da man nicht weiß, was bei Youtube & Co passiert, sollte man zumindest folgendes tun:
Alle Youtube-Videos im erweiterten Datenschutzmodus eingebettet werden:
Youtube bietet diese Möglichkeit an: Teilen → Einbetten → Mehr anzeigen → Erweiterten Datenschutzmodus aktivieren.
Aus dem Link „www.youtube.com“ wird „www.youtube-nocookie.com“.

http://www.heise.de/ct/ausgabe/2016-1-YouTube-Videos-datenschutzkonform-einbetten-3046316.html
Allerdings ist dies immer noch nicht 100% DSGVO konform. Bevor irgendein Cookie gesetzt oder eine Kontaktaufnahme zu einem fremden Server (Youtube, DoubleClick, etc.) erfolgt muss der Webseitenbesucher darauf hingewiesen werden.

 

Zum Anfang

Facebook Like Button, Social Media Plugins
Das LG Düsseldorf hat entschieden, dass die Funktion des Like-Buttons von Facebook gegen deutsches Datenschutzrecht verstößt, da das Plugin personenbezogene Daten der Webseitenbesucher ungefragt an Facebook überträgt (LG Düsseldorf, Urt. v. 09.03.2016, Az. 12 O 151/15 / Urteil als PDF). Das Urteil ist jedoch noch nicht rechtskräftig

Man sollte die entsprechenden Plugins deaktivieren, stattdessen z.B. das Plugin https://wordpress.org/plugins/shariff/ verwenden.

Besser: Einfache Verlinkungen setzen
https://www.e-recht24.de/artikel/facebook/10081-urteil-abmahnung-facebook-like-button.html
http://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html

 

Zum Anfang

Newsletter

Die DSGVO erfordert auch weitere / umfangreichere Informationen beim Einsatz von Newslettern:
https://drschwenke.de/risikominderung-im-e-mail-marketing-einwilligungen-rechtssicher/

 

Zum Anfang

Fotos und Bilder

Dies wird auf einer eigenen Seite näher behandelt.

https://mg-web-net.de/web-foto/

 

Zum Anfang

Wordpress Version 4.9.6

Ab der Wordpress Version 4.9.6 gibt es die Möglichkeit eine Seite für die Datenschutzerklärung in der WP-Konfiguration anzugeben. Warum dies nicht auch für den Impressumslink realisiert wurde, weissen die Götter. Es gibt auch Wege dies manuell zu realisieren.

Die Version 4.9.6 geht aber auch in weiteren Punkten auf die DSGVO ein:

  • Nutzerdaten können exportiert werden inkl. Kommentare und Anhängen. Diese Funktion ist sinnvoll, um dem „Recht auf Datenauskunft“ nachzukommen.
  • Unter *Werkzeuge* – *Personenbezogene Daten löschen* gibt es die Möglichkeit eine EMail Adresse anzugeben. Alle durch Wordpress gespeicherten Daten des Besuchers mit dieser EMail können nun gelöscht werden. Daten, die durch PlugIns gesammelt wurden, werden durch diese Aktion nicht gelöscht.
  • Eine Seite mit der Datenschutzerklärung kann festgelegt werden. Wenn es sie noch nicht gibt, kann man sie mit einem Standardtext erstellen lassen. Dieser Text muss unbedingt angepasst werden, da er nur Wordpress relevante Funktionen behandelt.
    Empfehlung: Eigene Seite erstellen und unter Wordpress *Einstellungen*- *Datenschutz* als Standardseite festlegen. Der Link zu dieser Seite erscheint auch auf der Login-Page.
  • Kommentar-Formulare haben nun eine Checkbox, um die Einwilligung zum Setzen eines Cookies zu holen. Wird dort der Haken gesetzt, so gibt der Kommentator die Erlaubnis zum Setzen eines Cookies in seinem Browser. Darin werden Name, EMailadresse und Webadresse gespeichert.

Changelog komplett: https://codex.wordpress.org/Version_4.9.6

Zum Anfang

Übersichts- / Hilfstabelle

Provider  
Website-Adresse  
Login  
Website Technik  
SSL Zertifikat / gültig bis  
Impressum  
Datenschutzerklärung  
Vertrag zur Auftragsverarbeitung abgeschlossen  
Vertrag mit Google w/ Google Analytics  
WordPress Login & „PW vergessen Seite“
Link zum Impressum & zur Datenschutzerklärung
 
YouTube Links DSGVO konform  
Google Fonts DSGVO konform  
PlugIns DSGVO konform  
Social Media Buttons konform; z.B.
https://wordpress.org/plugins/shariff/
 
Kontaktformular: nur eMail als Pflichtfeld.
Kontaktformular: Hinweis darauf wofür die Daten verwendet werden UND Link auf Datenschutzerklärung
 
Mobile View: Damit auch Nutzer von Smartphone & Co. der Nutzung von Google-Analytics widersprechen können (Browser-Add-On funktioniert nicht auf mobilen Endgeräten), diesen Opt-Out-Code einbinden  
Startseite mit Cookie Hinweis PopUp ( darf die Links zum Impressum und Datenschutz NICHT verdecken)  
Pflichthinweis auf das Online-Streitbeilegungsverfahren  
   

Zum Anfang