Anzeige
Anzeige
Anzeige
Anzeige
Dsgvo Konformer Internetauftrittstock Adobe Com 201382674 Web
(Bild: stock.adobe.com)
DSGVO Tech Marketing

In 7 Schritten zum DSGVO-konformen Internetauftritt

Die Datenschutzgrundverordnung (DSGVO) enthält auch Regelungen, die Unternehmen beim Betrieb ihrer Internetseiten zwingend beachten müssen. Von Like-Buttons bis Cookies - das muss noch vor dem Inkrafttreten am 25. Mai erledigt werden, um kräftige Bußgelder zu vermeiden.

Anzeige
Anzeige
Anzeige

Die Datenschutzgrundverordnung (DSGVO) der EU findet ab 25. Mai 2018 in allen Mitgliedsländern Anwendung. Sie enthält auch Regelungen, die Unternehmen beim Betrieb ihrer Internetseiten zwingend beachten müssen. Schließlich lässt sich ein Auftritt im Netz nicht ohne Verarbeitung personenbezogener Daten bewerkstelligen, da es sich bei IP-Adressen bereits um personenbezogene Daten handelt.

Auch Cookie- und User-IDs werden nicht mehr als anonym eingestuft, sondern gehören zu den personenbezogenen Daten. Und weil bereits beim Aufrufen einer Internetseite automatisch die IP-Adresse des Besuchers übermittelt wird, betrifft die DSVGO jeden, der eine Website betreibt.

Um kräftige Bußgelder zu vermeiden, sollten Unternehmen schnellstens überprüfen, ob ihr Internetauftritt rechtskonform zur DSGVO ist - und die Seite gegebenenfalls anpassen.

Die Vorarbeit

Als erstes sollte man den Ist-Zustand aufnehmen. Denn die einzelnen To-dos können erst nach kriminalistischer Kleinarbeit identifiziert werden: Für jede Seite und jede Unterseite muss ganz klar sein, welche Funktionen und Tools dort personenbezogene Daten erfassen, speichern und verarbeiten. Zudem sollte man genau wissen, auf welchen Seiten welche Daten anfallen, die an externe Unternehmen gehen.

Anzeige

Erst dann ist es möglich, den Datenverarbeiter in die Pflicht zu nehmen. Mit jedem Drittanbieter, dem das Unternehmen Daten zur Speicherung oder Weiterverarbeitung zur Verfügung stellt, ist ein Vertrag zur Auftragsdatenverarbeitung abzuschließen, der den Vorgaben der DSGVO entspricht. Neu ist, dass die Auftragsverarbeitung auch außerhalb der EU erfolgen kann.

Abschließend geht es dann darum, die technische Umsetzung auf der Webseite anzupassen. Dabei sollte man gleich noch einmal kritisch prüfen, ob die Zustimmungstexte in allen Formularen den Anforderungen der DSGVO entsprechen und ob die Nutzer hinreichend auf ihre Rechte hingewiesen werden.

1. Kontaktformulare, Kommentare, Anmeldungen, Registrierungen

Grundsätzlich müssen sich Nutzer auf Vertraulichkeit und Integrität verlassen können. Dem Unternehmen obliegen umfassende Informationspflichten.

Das ist zu tun

Die Daten werden für die Übertragung verschlüsselt, das heißt Formulare sind über eine sichere Verbindung mittels "https" zu übermitteln. Kommen Dritte als Dienstleister zum Zuge, dann sind die Nutzer explizit darauf hinzuweisen. Zudem ist mit dem Datenverarbeiter ein entsprechender Vertrag zu schließen.

2. Share- und Like-Buttons

Die Nutzer müssen der Übertragung personenbezogener Daten an soziale Netzwerke explizit zustimmen. Das heißt, dass Daten nicht schon beim Aufruf der Webseite an Facebook & Co. übertragen werden dürfen.

Das ist zu tun

Der Nutzer muss immer zuerst mittels Klick sein Okay geben, bevor die Datenübertragung möglich ist. Als technische Lösung dafür ist c't Shariff geeignet.

3. Up- und Downloads

Das Herunter- und Hochladen von Dateien obliegt den gleichen datenschutzrechtlichen Rahmenbedingungen wie Kommentarfunktionen und Kontaktformulare: Nutzer-Information und -zustimmung. 

Das ist zu tun

Der Nutzer ist vorab über die Datenübermittlung und –weiterverarbeitung zu informieren und muss ihr ausdrücklich zustimmen.

4. Tracking-Tools

Tracking-Tools, wie beispielsweise Google Analytics und Piwik, zeichnen das Nutzerverhalten genauestens auf. Deshalb muss ein Webseitenbetreiber den Nutzer über den Umfang, den Zweck und die Art der Datensammlung aufklären und eindeutig auf sein Widerspruchsrecht hinweisen.

Das ist zu tun

Damit Nutzer einen Widerspruch ausüben können, kann das Unternehmen einen Link zu einem Deaktivierungs-Add-on schalten oder eine Opt-Out-Funktion einrichten. Das entbindet es jedoch nicht von seinen Informationspflichten. Natürlich muss es via Anonymisierungsfunktion auch dafür sorgen, dass der Programm-Code des Trackingprogramms die IP-Adressen nur gekürzt erfasst. Nicht vergessen: unbedingt einen Vertrag zur Auftragsdatenverarbeitung mit dem Dienstanbieter abschließen.

5. Live-Chats

Live-Chats nutzen häufig externe, cloudbasierte Tools wie SmartSupp oder Zendesk. Diese Programme erfassen jedoch ebenfalls Nutzerdaten, etwa die IP-Adresse. Darüber hinaus tragen manche Chat-Teilnehmer persönliche Daten in den Chat oder vorgelagerte Fragebögen ein, die dann auf den Servern des Anbieters verbleiben. 

Das ist zu tun

Der Nutzer ist wiederum umfassend zu informieren, bevor er in den Live-Chat eintreten kann. Das Unternehmen muss außerdem an dieser Stelle eine Möglichkeit zum Abbruch schaffen.

6. Cookies

Der Einsatz von Cookies ist in jedem Fall anzugeben. 

Das ist zu tun

Empfehlenswert ist der Einsatz eines Cookie-Banners, das beim ersten Aufruf der Webseite erscheint und deutlich zu sehen ist. Es darf jedoch nicht so platziert sein, dass es Pflichtangaben wie etwa das Impressum oder den Link dazu verdeckt.

7. Weitere Marketing- und Werbefunktionalitäten

Kommen Programme wie Google Adwords und Adsense, Re-Marketingfunktionen, Reverse IP Lookup oder Tools für A/B-Testing zum Einsatz, entstehen auf Basis der erfassten Daten häufig detaillierte Nutzerprofile. Hier ist eine Einzelfallbewertung gefragt. Die alleinige Information der Nutzer ist unter Umständen nicht ausreichend, sondern es bedarf seiner unmissverständlichen Einwilligung. 

Das ist zu tun

Das Unternehmen sollte genau prüfen, welche Marketingtools und Werbefunktionen es auf seinen Seiten nutzt und sich beraten lassen, was dies im Hinblick auf die DSGVO bedeutet.

Alles erledigt?

Mit der einmaligen Anpassung der Unternehmensseiten ist es jedoch nicht getan. Werden neue Seiten angelegt oder Webseitenfunktionen und Apps ergänzt, müssen Datenschutzaspekte nach DSGVO immer eine mitentscheidende Rolle spielen. Die Unternehmen sind überdies gut beraten, auch die noch folgende ePrivacy-Verordnung im Auge zu behalten. Diese wird sich vorrangig um den Schutz der Privatsphäre in der digitalen Welt drehen. Weitere Neuregelungen für das Betreiben von Webseiten sind also vorprogrammiert.

Mehr zum Thema Datenschutzgrundverordnung

Die Datenschutzgrundverordnung tritt im kommenden Mai in Kraft, die Umsetzung der E-Privacy-Verordnung wird in diesem Kontext nach wie vor heiß diskutiert. Die vierteilige W&V-Serie erklärt alle relevanten Fakten zum wohl beherrschenden Thema des Werbejahres 2018.  

Der W&V Report Praxischeck DSGVO in Zusammenarbeit mit Rechtsexperten bietet hilfreiche, detaillierte Tipps und Vorlagen.

Andreas Öttl, Head of Marketing der CURRY Innovations GmbH mit Sitz in München. Er ist Spezialist für Webtechnologien und E-Business-Systeme.

Anzeige
Anzeige
Verlagsangebot
Anzeige
Anzeige
Aktuelle Stellenangebote
Alle Stellenangebote