Kaum ein Selbständiger kommt heute noch ohne eigene Webseite aus. Die eigene Homepage fördert aber nicht nur den Umsatz. Hier lauern Stolpersteine, die die „Abmahnmafia“ nur zu gerne nutzt. Seit Mai 2018, also seit die DSGVO gilt, schauen auch die Datenschützer genauer hin. Das kann teuer werden, wenn Ihre Datenschutzerklärung nicht alle gesetzlich vorgeschriebenen Informationen enthält.
Wann, für wen und wofür gilt die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten natürlicher Personen für den nicht rein privaten Gebrauch.
Zu den personenbezogenen Daten gehören alle Informationen, die einem Menschen direkt oder indirekt zugeordnet werden können. Dazu zählen beispielsweise der Name, Kontaktdaten wie Anschrift, Telefonnummer und E-Mailadresse genau so wie die IP-Adresse, der verwendete Browser oder die Surf-Gewohnheiten.
Wenn eine Person Ihre Webseite besucht, werden bestimmte personenbezogene Daten, wie etwa die IP-Adresse oder der Zeitpunkt des Zugriffs, oft automatisch gespeichert. Sofern Sie ein Kontaktformular auf Ihrer Webseite bereit halten, gibt der Kunde vielleicht auch seine Adressdaten ein.
Die Erfassung und Verarbeitung dieser Daten ist sowohl technisch als auch wirtschaftlich notwendig. Sie ist deshalb natürlich nicht verboten, Sie müssen bei der Verarbeitung aber die Bestimmungen der DSGVO beachten.
Besonders wichtig sind hierbei die Informationspflichten des Verantwortlichen. Der Verantwortliche ist der wirtschaftliche Betreiber der Homepage, also der Selbständige, dem die Homepage gehört. Der technische Betreiber ist in aller Regel lediglich ein Auftragsverarbeiter.
Informationspflichten gemäß DSGVO
Welche Informationen der Betreiber einer Webseite seinen Besuchern zur Verfügung stellen muss, regelt Artikel 13 DSGVO. Dazu zählen insbesondere:
1. Name und Kontaktdaten des Verantwortlichen, also des Selbständigen, dem die Webseite gehört. Wenn Sie Ihr Unternehmen als Kapitalgesellschaft betreiben, können Sie hier auch die GmbH oder die UG (haftungsbeschränk) als Verantwortliche angeben.
2. Die Kontaktdaten des Datenschutzbeauftragten, sofern einer bestellt wurde; andernfalls sind hierzu keine Angaben erforderlich.
3. Die Zwecke, für die die personenbezogenen Daten verarbeitet werden (z.B. Speicherung, Kontaktaufnahme, Unterbreiten eines Angebots).
4. Sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht, die berechtigten Interessen, die Sie verfolgen (z.B. technisch einwandfreier Betrieb der Webseite).
5. Sofern Sie die Daten weiterleiten: die Empfänger oder Kategorien von Empfängern.
6. Angaben zur Übermittlung in Drittländer oder an internationale Organisation: Das ist vor allem dann relevant, wenn Sie Google-Tools verwenden, da Google die gesammelten Daten regelmäßig in die USA überträgt und dort speichert oder auf andere Weise weiterverarbeitet.
7. Die Zeitspanne, für die die erhobenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Zeitspanne (z.B. die Dauer, für die die IP-Adresse gespeichert wird).
8. Aufklärung über die Rechte des Betroffenen und Hinweis auf das Beschwerderecht
Hinweise auf Cookies und die Dienste von Drittanbietern
Wenn Ihre Webseite mit Cookies arbeitet, müssen Sie Ihre Besucher in der Datenschutzerklärung darauf hinweisen. Die oftmals als äußerst lästig empfundene „Cookie-Fahne“ ist derzeit für in Deutschland betriebene Seiten nicht vorgeschrieben.
Das liegt daran, dass Deutschland die E-Privacy-Richtlinie (2009/136/EG) aus dem Jahr 2009 nicht umgesetzt hat. Hier gilt nach wie vor lediglich § 15 Abs. 3 Telemediengesetz (TMG). Nach dieser Norm reicht es aber aus, den Nutzer nur darüber zu unterrichten, dass Cookies eingesetzt werden. Seine Zustimmung hierzu ist nicht erforderlich. Die Unterrichtung kann auch ausschließlich im Rahmen der Datenschutzerklärung erfolgen, so dass die Cookie-Warnfelder nicht erforderlich sind.
Dies wird sich allerdings sehr wahrscheinlich ändern, sobald die e-Privacy-Verordnung verabschiedet wird, die eigentlich zeitgleich mit der DSGVO in Kraft treten sollte, aber aufgrund von Verzögerungen nun frühestens im Laufe des Jahres 2020 erwartet wird.
Sie müssen außerdem Auskunft über die Dienste von Drittanbietern geben.
Typische Dienste, die in viele Webseiten eingebunden sind, sind beispielsweise:
• Google Analytics
• Google Adds
• Google Maps
Wenn Sie gar nicht wissen, was sie alles auf Ihrer Webseite installiert haben, sollten Sie diese zuerst einmal scannen. Dazu eignen sich auch einige Adblocker wie etwa Ghostery sehr gut, die es als kostenlose Plug-ins für viele Browser gibt.
Im Internet stehen kostenlose Musterdatenschutzerklärungen zur Verfügung, die bereits passende Textbausteine für entsprechende Dienste beinhalten. Falls etwas fehlt, können Sie diese Textbausteine auch aus anderen Webseiten kopieren. Solange Sie keine vollständige Datenschutzerklärung einfach übernehmen, ist das urheberrechtlich unproblematisch, da einzelne Textpassagen dieser Art nicht die nötige Schöpfungshöhe besitzen, um in den Schutzbereich des Urheberrechtsgesetzes zu fallen.
Vergessen Sie den AVV nicht
Sehr wahrscheinlich werden Sie Ihre Webseite nicht selber hosten, warten und technisch betreuen. Wenn Sie diese Arbeiten delegieren und ihr Geschäftspartner dabei Zugriff auf personenbezogene Daten erlangt oder erlangen könnte, müssen Sie einen Auftragsverarbeitungsvertrag (AVV) abschließen. Die Rechtsgrundlage bildet Artikel 28 DSGVO, der im Detail regelt, was der Vertrag enthalten muss.
Im Internet finden Sie kostenlose DSGVO-konforme Musterverträge, in aller Regel hält diese aber auch Ihr Dienstleister bereit. Vielleicht haben Sie sogar schon einen unterzeichnet und es nur nicht bemerkt. Fragen Sie im Zweifel als erstes bei Ihrem Dienstleister nach.
Wenn dann noch Fragen offen sind, hilft Ihnen das Kurzpapier zur Auftragsverarbeitung der Datenschutzkonferenz weiter.