DSGVO: Das müssen Sie bei Ihrer Website beachten

DSGVO: Das müssen Sie bei Ihrer Website beachten
Mittlerweile hat es sich auch bei vielen Handwerksbetrieben herumgesprochen, dass die seit 25. Mai 2018 geltende Europäische Datenschutz-Grundverordnung, kurz DSGVO, auch Webseitenbetreiber und damit fast jeden Handwerksbetrieb betrifft. In den letzten Jahren ist die Zahl der sich online präsentierenden Handwerksbetriebe sprunghaft angestiegen, denn im digitalen Zeitalter dürfte ohne Internetpräsenz eine erfolgreiche Marktwahrnehmung fast nicht mehr möglich sein. Doch jetzt droht Gefahr. Unseriöse Abmahner machen sich ans Werk und verschicken vornehmlich an Kleinbetriebe wettbewerbsrechtliche Abmahnungen wegen vermeintlicher Datenschutzverstöße. Die von der CDU/CSU-Fraktion geplante gesetzliche Maßnahme, um den Abmahnern zumindest vorübergehend das Handwerk zu legen, scheiterte an der SPD (siehe Artikel „DSGVO: Vorsicht vor Abmahnmissbrauch“). Handwerksbetriebe, denen eine solche Abmahnung ins Haus flattern sollte, sind gut beraten, sofort den Weg zu einem Rechtsanwalt anzutreten und auf keinen Fall, blindlings Zahlungen vorzunehmen oder Unterlassungserklärungen abzugeben. Es ist rechtlich mehr als fragwürdig, ob Datenschutzverstöße überhaupt eine wettbewerbsrechtliche Abmahnung rechtfertigen können.

Doch unabhängig davon, sind Webseitenbetreiber verpflichtet, ihren Onlineauftritt DSGVO-konform auszugestalten. Daher sollten sich auch kleine Handwerksbetriebe, falls bisher noch nicht geschehen, mit den Anforderungen der DSGVO auseinandersetzen. Datenschutzerklärung, Webtracking, Shariff-Methode, SSL-Verschlüsselung? Diese Schlagworte machten in den letzten Wochen die Runde. Nicht jeder weiß, was damit gemeint ist. Vielen schwirrt der Kopf, andere verstehen nur Bahnhof. Handwerksbetriebe sind keine IT-ler. Sie sind auch nicht von Beruf Datenschützer. Mit den folgenden Ausführungen soll daher etwas Licht ins Dunkel gebracht, die Betriebe für die Problemlage sensibilisiert und einige Anforderungen, von der fast jede Webseite betroffen ist, dargestellt werden. Die Darstellung erhebt allerdings keinen Anspruch auf Vollständigkeit, da die DSGVO-Konformität von der individuellen Webseitengestaltung abhängt.

Schutz personenbezogener Daten
Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Die meisten Handwerksbetriebe stellen auf ihrer Webseite ihr Unternehmen und ihr Leistungsangebot dar. Sie sehen den Onlineauftritt als eine Art „Schaufenster im Internet“. Sie fühlen sich durch die DSGVO nicht angesprochen, da sie glauben, auf ihrer Webseite keine „personenbezogenen Daten“ zu verarbeiten. Und doch tun sie es, oft ohne es zu wissen. Denn selbst wenn auf der Webseite keine Daten der Onlinebesucher über ein Kontaktformular oder eine Newsletter-Anmeldung abgefragt werden, werden personenbezogene Daten erfasst. Ruft nämlich ein Besucher die Webseite auf, so wird seine IP-Adresse automatisch erfasst und je nach verwendeten Tools oder Plugins unter Umständen sogar an Dritte übermittelt. Und diese IP-Adresse gehört bereits zu den personenbezogenen Daten. Daher sind so gut wie alle Webseitenbetreiber von der DSGVO betroffen.  

Datenschutzerklärung überarbeiten
Für eine rechts- und abmahnsichere Website unerlässlich ist eine Datenschutzerklärung. Diese war auch schon vor Inkrafttreten der DSGVO Pflicht, allerdings hat sie mit der neuen Verordnung nochmals neue Anforderungen erfahren, sodass die meisten Webseitenbetreiber um eine Überarbeitung nicht herumkommen. So muss die Datenschutzerklärung den Namen und die Kontaktdaten des Verantwortlichen erkennen lassen, den Nutzer über seine Rechte informieren und ihm detailliert darlegen, welche personenbezogenen Daten wo, wie und warum von ihm erhoben und ob sie Dritten zugänglich gemacht werden. Daher müssen die verwendeten Cookies, Plugins und Analysetools in der Datenschutzerklärung eingehend erläutert werden. Bestehen Bedenken, ob diese DSGVO-konform sind, sollte beim Anbieter erfragt werden, ob sie der DSGVO (engl. „GDPR“) entsprechen. Können Zweifel an der DSGVO-Konformität nicht ausgeräumt werden, lautet die Devise: Hände weg und erst gar nicht verwenden. Doch nicht nur das Ob, sondern auch das Wie entscheidet oft über die rechtliche Zulässigkeit. Social-Media-Plugins von Facebook & Co. stehen schon seit langem in der Kritik, da sie unbemerkt von den Webseitennutzern personenbezogene Daten wie die IP-Adresse abgreifen und damit das Surfverhalten des Nutzers auswerten können. Eine datenschutzfreundliche Variante bietet „Shariff“. Wer auf Share-Buttons nicht verzichten will, sollte also bei der Einbindung auf die Shariff-Lösung zurückgreifen, denn der Shariff-Button stellt erst bei aktivem Anklicken den Kontakt zwischen sozialem Netzwerk und Webseitennutzer her. Gleiches gilt für die Einbindung von Youtube-Videos. Diese sollten ausschließlich im „erweiterten Datenschutz-Modus“ eingebunden werden. Nur dann greift Youtube keine Daten der Webseitennutzer ab, wenn das Video nicht abgespielt wird. Auch das Analysetool Google Analytics ist Datenschützern schon seit langem ein Dorn im Auge. Webseitenbetreiber, die hierauf nicht verzichten wollen, sollten sich daher eingehend mit der datenschutzkonformen Einbindung dieses Tools sowie weiterer datenschutzrechtlicher Anforderungen auseinandersetzen. Im Netz gibt es Muster-Datenschutzerklärungen sowie Datenschutzgeneratoren. Sie geben eine gute Orientierung und können als Formulierungshilfe genutzt werden. Allerdings sollten diese nicht blindlings kopiert werden, denn die Datenschutzerklärung sollte die konkrete Situation der Webseite wiedergeben und darf keinesfalls „ins Blaue hinein“ abgefasst werden. Im Übrigen sollte die Datenschutzerklärung auf der Webseite so eingebunden sein, dass sie von jeder Seite, auch von Unterseiten jederzeit mit nur einem Klick aufrufbar ist.

SSL- bzw. TLS-Verschlüsselung
Werden auf der Webseite Formulare zur Kontaktaufnahme zur Verfügung gestellt und auf diese Weise gezielt personenbezogene Daten erhoben bzw. verarbeitet, so sollten die Seiten verschlüsselt sein. Nach aktuellem Stand der Technik sollte auf eine SSL- bzw. TLS-Verschlüsselung zurückgegriffen werden. Die Implementierung dieser  Verschlüsselung ist ohne großen Kostenaufwand umzusetzen. Die verschlüsselte Verbindung ist daran zu erkennen, dass die Adresszeile des Browsers von http:// auf https:// wechselt. Lesen Sie hierzu auch: HTTPS: Jetzt auf sichere Website umstellen
Apropos Kontaktformular. Hier gilt es neben der Sicherheit bei der Datenübertragung auch den Grundsatz der Datensparsamkeit zu beherzigen. Das heißt, es dürfen nur die Daten abgefragt werden, die zur Erfüllung des konkreten Zwecks erforderlich sind. 

Website-Hosting und Auftragsverarbeitung
Die meisten Handwerksbetriebe dürften sich eines externen Dienstleisters, eines Webhosters bedienen, um ihre Website online zu stellen. Werden dabei personenbezogene Daten auf den Servern des Webhosters (Service-Provider) gespeichert bzw. verarbeitet, muss diese Datenverarbeitung durch den Abschluss eines Auftragsverarbeitungsvertrags nach Artikel 28 DSGVO abgesichert werden. Dies ist in der Regel immer dann der Fall, wenn E-Mails, E-Mail-Archivierungen, Kontaktformulare, Webanalysen und so weiter über den Provider laufen. Viele Webhoster bieten zwischenzeitlich einen solchen Auftragsverarbeitungsvertrag als Download oder per E-Mail an.

Es zeigt sich schnell, dass bei einer datenschutzkonformen Webseitengestaltung an einiges zu denken und einiges zu beachten ist. Längst ist nicht alles gesagt und geschrieben, aber Malerblog.net bleibt am Ball.

Thomas Scheld

Statement von Thomas Scheld, Geschäftsführender Gesellschafter der C.A.T.S.-Soft GmbH mit langjähriger Erfahrung in der Beratung von Handwerksbetrieben

„Mit der DSGVO wurde ein Bürokratiemonster geschaffen, das es den kleinen Betrieben unnötig schwer macht, das Internet als Werbeplattform zu nutzen. Man wollte die Großen treffen und belastet die Kleinen, die mit ihrem Tagesgeschäft bereits vollends ausgefüllt sind.“