Webseiten, Webdesign und die Gesetzgebung
Nicht erst seit dem Inkrafttreten der DSGVO gibt es etliche gesetzliche Vorgaben bei der Webseitenerstellung zu beachten. Aber seit dem 25.05.2018 steht dieser Aspekt besonders im Fokus. Nicht nur wegen der veränderten Gesetzeslage und deren möglichen Sanktionierungen bei Verstößen, sonderen insbesondere durch die Gefahr abgemahnt zu werden.
So sehr einen das eine oder andere an der Gesetzeslage stört, so ist die einzige Möglichkeit damit umzugehen, informiert zu sein und zu bleiben.
Im Nachfolgenden einige Kernpunkte in Bezug auf Webseiten/Wordpress – ohne Anspruch auf Vollständigkeit und ohne das dies als Rechtsberatung verstanden werden soll. Der Inhalt wird weiter ergänzt.
Verträge zur Auftragsverarbeitung
Kontaktformular und Kommentarbereich
Google und Webhoster: Vertrag zur Auftragsverarbeitung
1. Strato
Das entsprechende Formular findet man im persönlichen Kunden-Login unter
https://www.strato.de/
Mein Vertrag → Vertragsänderung → Auftragsdatenverarbeitung.
Von dort kann man die AVV direkt digital abschließen und als PDF für die Unterlagen speichern oder ausdrucken.
2. All-inkl
Kunden von all-inkl.com können nun unter
https://all-inkl.com/members/-> Stammdaten -> Auftragsverarbeitung
den gemäß DSGVO vorgeschriebenen Auftragsverarbeitungsvertrag per Knopfdruck abschließen.
3. DomainFactory
https://www.df.eu/de/support/formulare/
4. Google Analytics
Es muss ein Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abgeschlossen werden:
https://www.google.de/analytics/terms/de.html
PDF: https://www.google.de/analytics/terms/de.pdf
Will man nicht auf Google Analytics verzichten
1. Es muss ein Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abgeschlossen werden:
https://www.google.de/analytics/terms/de.html
PDF: https://www.google.de/analytics/terms/de.pdf
2. Die IP-Adressen müssen anonymisiert erfasst werden
3. Man muss auf das Widerspruchsrecht hinweisen und die Datenschutzerklärung entsprechend anpassen.
https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/
4. Damit auch Nutzer von Smartphone & Co. der Nutzung von Google-Analytics widersprechen können (Browser-Add-On funktioniert nicht auf mobilen Endgeräten), diesen Opt-Out-Code einbinden:
https://drschwenke.de/google-analytics-mobile-nutzung-update-anleitung/
[Auch bei der Verwendung der Alternative “Matomo” (vormals “Piwik”) ist ein Hinweis in der Datenschutzerklärung erforderlich!
http://rechtsanwalt-schwenke.de/lg-frankfurt-piwik-abmahnung-fehlerhafter-datenschutzerklaerung-erneut-bestaetigt/]
Kontaktformulare und Kommentarbereich
1. SSL-Verbindung
Seit dem 1. Januar 2016 gilt die Pflicht für eine SSL-Verbindung (https://) zu Websites mit Kontaktformularen (§ 13 Abs. 7 TMG). Diese Pflicht gilt allgemein für deutsche Websitebetreiber, welche personenbezogene Daten mittels ihrer Website erheben.
Bei All-inkl: Kostenloses Lets Encrypt Zertifikat auf Knopfdruck inkl. automatischer Verlängerung
Positiver Nebeneffekt: Besseres Google Ranking.
https://www.datenschutzbeauftragter-info.de/bussgeld-fuer-kontaktformulare-ohne-verschluesselung/
2. Checkbox zur Zustimmung der Datenschutzbestimmungen
Das Formular muss zusätzlich eine Checkbox zur Zustimmung der Datenschutzbestimmungen enthalten. Erst nach der Zustimmung darf das Formular versendet werden.
https://www.datenschutz-ist-pflicht.de/kontaktformular/
3. Hinweis auf Verwendung der Formulardaten
Unter dem Kontaktformular muss lt. Urteil des OLG Köln vom 11. März 2016 eine Angabe zur Verwendung der Daten vorhanden sein. Die Datenschutzerklärung muss über die Verwendung der Daten, die über das Kontaktformular eingegeben wurden und daneben über das Widerrufsrecht aufklären.
4. Datensparsamkeit
Hier geht es darum, was in einem Kontaktformular als Pflichtfeld deklariert werden darf. Letzendlich eigentlich nur die EMail-Adresse.
http://versandhandelsrecht.de/2018/05/direktmarketing/datenschutzgrundverordnung-dsgvo-in-letzter-minute-geaendert/
5. Kommentarbereich
WordPress speichert bei Kommentaren die IP-Adressen der Nutzer.
Insofern müssen bei alten Kommentaren die IP-Adressen entfernt werden. Um die Speicherung bei neuen Einträgen zu verhindern, kann man ein paar Zeilen an des Ende der „funktions.php“ einfügen.
Ohne die Verwendung eines Child -Themes muss darauf geachtet werden, dies nach einem Update erneut wieder einzutragen.
„Gravatare“ und „Emoticons“ sind in dem Zusammenhang auch noch zu beachten. Auch sie „funken“ Informationen über einen Webseitenbesucher an fremde Server.
Pflichthinweis auf das Online-Streitbeilegungsverfahren
Seit dem 9. Januar 2016 besteht für B2C-Onlinehändler
(Business-to-Consumer = Handelsbeziehungen zwischen Unternehmen und Privatpersonen)
die Hinweispflicht auf das Online-Streitbeilegungsverfahren der EU, die OS-Plattform muss verlinkt werden:
https://ec.europa.eu/odr
https://www.ra-plutte.de/2016/02/online-streitbeilegung-einstweilige-verfuegung-lg-bochum/
Ab dem 1. Februar 2017 gelten weitere Informationspflichten:
http://rechtsanwalt-schwenke.de/b2c-unternehmer-februar-2017-informationspflichten-streitbeilegung/
YouTube Videos
Schon beim Aufruf einer Website mit eingebettetem YouTube-Video werden Cookies gesetzt und Verbindungen zu Youtube und zum Google-Werbenetzwerk DoubleClick aufgebaut. Dafür braucht das Video nicht angeklickt / abgespielt werden.
Der Webseitenbesucher muss in der Datenschutzerklärung umfassend informiert werden, insbesondere über die durch den Seitenaufruf gesetzten Cookies und die dadurch ausgelöste Datenverarbeitung. Da man nicht weiß, was bei Youtube & Co passiert, sollte man zumindest folgendes tun:
Alle Youtube-Videos im erweiterten Datenschutzmodus eingebettet werden:
Youtube bietet diese Möglichkeit an: Teilen → Einbetten → Mehr anzeigen → Erweiterten Datenschutzmodus aktivieren.
Aus dem Link „www.youtube.com“ wird „www.youtube-nocookie.com“.
http://www.heise.de/ct/ausgabe/2016-1-YouTube-Videos-datenschutzkonform-einbetten-3046316.html
Allerdings ist dies immer noch nicht 100% DSGVO konform. Bevor irgendein Cookie gesetzt oder eine Kontaktaufnahme zu einem fremden Server (Youtube, DoubleClick, etc.) erfolgt muss der Webseitenbesucher darauf hingewiesen werden.
Facebook Like Button, Social Media Plugins
Das LG Düsseldorf hat entschieden, dass die Funktion des Like-Buttons von Facebook gegen deutsches Datenschutzrecht verstößt, da das Plugin personenbezogene Daten der Webseitenbesucher ungefragt an Facebook überträgt (LG Düsseldorf, Urt. v. 09.03.2016, Az. 12 O 151/15 / Urteil als PDF). Das Urteil ist jedoch noch nicht rechtskräftig
Man sollte die entsprechenden Plugins deaktivieren, stattdessen z.B. das Plugin https://wordpress.org/plugins/shariff/ verwenden.
Besser: Einfache Verlinkungen setzen
https://www.e-recht24.de/artikel/facebook/10081-urteil-abmahnung-facebook-like-button.html
http://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html
Newsletter
Die DSGVO erfordert auch weitere / umfangreichere Informationen beim Einsatz von Newslettern:
https://drschwenke.de/risikominderung-im-e-mail-marketing-einwilligungen-rechtssicher/
Cookie Banner
Cookie-Hinweis-Leisten dürfen den Link zum Impressum nicht verdecken. Die Notwendigkeit eines solchen Hinweises beschreibt Google:
Wenn Sie Google-Produkte wie Google AdSense oder DoubleClick for Publishers verwenden, sind Sie vertraglich dazu verpflichtet, die EU-Richtlinie zum Einholen der Zustimmung von Google zu befolgen. Wenn Sie Google Analytics-Werbefunktionen verwenden, müssen Sie die Richtlinienanforderungen für Google Analytics-Werbefunktionen beachten.”
http://www.cookiechoices.org/
http://rechtsanwalt-schwenke.de/google-macht-cookie-hinweise-zur-pflicht-handlungsempfehlung-fuer-website-und-appanbieter/
ePrivacy Verordnung
Ein lesenswerter Artikel:
https://drschwenke.de/datenschutz-eprivacy-online-marketing-cookies/
Datenschutzerklärung – Links / Erreichbarkeit
Im Netz gibt es diverse Seiten mit Datensschutzgeneratoren. Man sollte sich jedoch nicht blind darauf verlassen, sondern nachprüfen, ob die Erklärung die inhaltlichen und technischen Gegebenheiten abdeckt. Im Fall der Fälle kann man sich nicht auf Fehler der Generatoren berufen. Als Gerüst kann man sie durchaus verwenden.
Einschlägige Seiten von mehr oder weniger bekannten Internetrecht Anwälten bieten sie in einer „Grundversion“ kostenlos an und in einer „Profi-“ oder „Premium-“ Version gegen Geld – in manch einem Fall nur gegen ein Abo (mtl. Zahlung) an. Es bleibt jedem überlassen, sich darüber eine Meinung zu bilden und den Dienst in Anspruch zu nehmen oder nicht. Wenn man Glück hat, kann man in den Kommentaren Kritiken über die jeweilige Leistung nachlesen, bevor man sich entscheidet.
Alternativ kann man Zeit investieren und recherchieren. Ein guter Anfang wären:
Information und Links zu kostenlosen Mustern des Bayerische Landesamt für
Datenschutzaufsicht (BayLDA)
https://www.lda.bayern.de/media/pm2018_04.pdf
https://www.lda.bayern.de/de/infoblaetter.html
oder
uni-muenster.de Musterdatenschutzerklärung nach der DSGVO (Docx)
Die Links zur Datenschutzerklärung, als auch zum Impressum müssen immer sichtbar und leicht erreichbar sein. Das bedeutet z.B., dass z.B. auch ein Popup-Hinweis auf Cookies diese Links nicht verdecken darf – AUCH NICHT im mobilen Modus (Smartphone/Tablet).
Eine weitere versteckte Stolperfalle ist die Notwendigkeit Links zum Impressum und zur Datenschutzerklärung auf der Anmeldeseite zu Wordpress unterzubringen. Obwohl ein Webbesucher die Anmeldung eigentlich nie aufrufen wird, gehört die Seite zu den „öffentlich zugänglichen Seiten“. Ergo muss dort auch ein Impressums- und Datenschutzlink vorhanden sein.
Ab der Wordpress Version 4.9.6 gibt es die Möglichkeit eine Seite für die Datenschutzerklärung in der WP-Konfiguration anzugeben. Warum dies nicht auch für den Impressumslink realisiert wurde, weissen die Götter. Es gibt auch Wege dies manuell zu realisieren.
Wordpress Version 4.9.6
Ab der Wordpress Version 4.9.6 gibt es die Möglichkeit eine Seite für die Datenschutzerklärung in der WP-Konfiguration anzugeben. Warum dies nicht auch für den Impressumslink realisiert wurde, weissen die Götter. Es gibt auch Wege dies manuell zu realisieren.
Die Version 4.9.6 geht aber auch in weiteren Punkten auf die DSGVO ein:
- Nutzerdaten können exportiert werden inkl. Kommentare und Anhängen. Diese Funktion ist sinnvoll, um dem „Recht auf Datenauskunft“ nachzukommen.
- Unter *Werkzeuge* – *Personenbezogene Daten löschen* gibt es die Möglichkeit eine EMail Adresse anzugeben. Alle durch Wordpress gespeicherten Daten des Besuchers mit dieser EMail können nun gelöscht werden. Daten, die durch PlugIns gesammelt wurden, werden durch diese Aktion nicht gelöscht.
- Eine Seite mit der Datenschutzerklärung kann festgelegt werden. Wenn es sie noch nicht gibt, kann man sie mit einem Standardtext erstellen lassen. Dieser Text muss unbedingt angepasst werden, da er nur Wordpress relevante Funktionen behandelt.
Empfehlung: Eigene Seite erstellen und unter Wordpress *Einstellungen*- *Datenschutz* als Standardseite festlegen. Der Link zu dieser Seite erscheint auch auf der Login-Page. - Kommentar-Formulare haben nun eine Checkbox, um die Einwilligung zum Setzen eines Cookies zu holen. Wird dort der Haken gesetzt, so gibt der Kommentator die Erlaubnis zum Setzen eines Cookies in seinem Browser. Darin werden Name, EMailadresse und Webadresse gespeichert.
Changelog komplett: https://codex.wordpress.org/Version_4.9.6
Übersichts- / Hilfstabelle
Provider | |
Website-Adresse | |
Login | |
Website Technik | |
SSL Zertifikat / gültig bis | |
Impressum | |
Datenschutzerklärung | |
Vertrag zur Auftragsverarbeitung abgeschlossen | |
Vertrag mit Google w/ Google Analytics | |
WordPress Login & „PW vergessen Seite“ Link zum Impressum & zur Datenschutzerklärung |
|
YouTube Links DSGVO konform | |
Google Fonts DSGVO konform | |
PlugIns DSGVO konform | |
Social Media Buttons konform; z.B. https://wordpress.org/plugins/shariff/ |
|
Kontaktformular: nur eMail als Pflichtfeld. Kontaktformular: Hinweis darauf wofür die Daten verwendet werden UND Link auf Datenschutzerklärung |
|
Mobile View: Damit auch Nutzer von Smartphone & Co. der Nutzung von Google-Analytics widersprechen können (Browser-Add-On funktioniert nicht auf mobilen Endgeräten), diesen Opt-Out-Code einbinden | |
Startseite mit Cookie Hinweis PopUp ( darf die Links zum Impressum und Datenschutz NICHT verdecken) | |
Pflichthinweis auf das Online-Streitbeilegungsverfahren | |