Eine Studie des Fachverbands deutscher Webseiten-Betreiber (FdWB) zeigte anhand von 2.500 zuf\u00e4llig ausgew\u00e4hlten Firmen-Webseiten, dass Aspekte wie IT-Sicherheit sowie Datenschutz deutlich zu kurz kommen: 13 % hatten keine Datenschutzerkl\u00e4rung, bei 36 % fehlte es an einem funktionierenden SSL-Zertifikat. Wir nutzen die Gelegenheit, um Ihnen zu zeigen, wie ein rechtlich korrekter Firmenauftritt im Internet aussehen sollte.<\/p>\n
Der Fachverband deutscher Webseiten-Betreiber (FdWB) konnte in einer Studie<\/a> im M\u00e4rz 2020 aufzeigen, dass zahlreiche deutsche Webseiten nicht nur gegen Rechtsvorschriften versto\u00dfen, sondern auch gef\u00e4hrdet f\u00fcr Abmahnungen sind. In der Studie kommt der FdWB zu dem unsch\u00f6nen Schluss, dass \u201e41 % deutscher Webseiten [\u2026] nicht sicher\u201c sind. F\u00fcr die Studie wurden 2.500 Online-Auftritte eher zuf\u00e4llig ausgew\u00e4hlt: man suchte anhand von Branchenbucheintr\u00e4gen nach kleinen und mittleren Unternehmen. Erschreckend: 1.023 Webangebote, also 41 %, waren so fehlerhaft, dass sie weder f\u00fcr Betreiber noch f\u00fcr Nutzer sicher waren.<\/p>\n Von diesen als mangelhaft eingestuften Firmenauftritten hatten 87 % kein funktionierendes SSL-Zertifikat \u2013 das ergibt 36 % der gesamten Stichprobe! Auf Ausf\u00fchrungen zum Datenschutz verzichten leider ebenfalls viele Website-Betreiber: eine Datenschutzerkl\u00e4rung fehlte bei 13 % aller untersuchten Internetpr\u00e4senzen, bei 14 % waren die Unternehmensangaben unvollst\u00e4ndig.<\/p>\n Website-Betreiber m\u00fcssen sich \u2013 neben anderen relevanten Gesetzen – an die Datenschutzgrundverordnung (DSGVO) halten. Eine Datenschutzerkl\u00e4rung bzw. Datenschutzhinweise sowie ein entsprechendes Impressum sind also Pflicht. Auch die SSL-Verschl\u00fcsselung ist nicht mehr wegzudenken: Moderne Browser blockieren Websites ohne SSL-Verschl\u00fcsselung und auch die DSGVO fordert den Schutz personenbezogener Daten nach aktuellem Stand der Technik.<\/p>\n Kontaktformulare m\u00fcssen Vorgaben entsprechen, auch das Tracking von Website-Besuchern bedarf spezieller Anpassungen. Daneben gilt es, die Cookie-Richtlinie korrekt umzusetzen und mit entsprechenden Cookie-Bannern Einwilligungen einzuholen. Weiter sind Auftragsverarbeitungsvertr\u00e4ge \u2013 beispielsweise mit Ihrem Website-Hoster \u2013 Pflicht. Sehen wir uns das im Detail an:<\/p>\n Da Ihre Datenschutzerkl\u00e4rung \u00f6ffentlich einsehbar ist, bietet sie gro\u00dfe Angriffsfl\u00e4che: Wettbewerber und\/ oder Aufsichtsbeh\u00f6rden sind wachsam. Doch nicht nur aus Furcht vor Abmahnungen lohnt es sich, Zeit und Aufmerksamkeit in die Datenschutzerkl\u00e4rung zu investieren. Denn sie informiert auch Ihre Website-Besucher dar\u00fcber, welche Priorit\u00e4t der Datenschutz in Ihrer Organisation hat. Diese Datenschutzerkl\u00e4rung verfolgt das Ziel, die Datenverarbeitung in Ihrem Unternehmen f\u00fcr Betroffene transparent zu machen.<\/p>\n Sie kommen Ihrerseits den rechtlichen Informationspflichten nach und informieren Betroffene \u00fcber etwaige Rechte und Pflichten. Welchen Informationspflichten Sie in Ihrer Datenschutzerkl\u00e4rung nachkommen m\u00fcssen, ergibt sich aus Art. 13 DSGVO<\/a>. Bitte beachten Sie damit einhergehende Neuerungen gegen\u00fcber den Regelungen vor der DSGVO: Sie sind verpflichtet, die Rechtsgrundlage der Datenverarbeitung anzugeben, au\u00dferdem ben\u00f6tigt Ihre Datenschutzerkl\u00e4rung Informationen \u00fcber die Rechte der Betroffenen.<\/p>\n Ihre Datenschutzerkl\u00e4rung muss auf Ihrer Website verf\u00fcgbar sein, auch auf Mobilger\u00e4ten. Wie bei Ihrem Impressum w\u00e4re es ideal, wenn Ihre Datenschutzerkl\u00e4rung mit maximal drei Klicks aufrufbar w\u00e4re. In der Praxis hat es sich etabliert, die Datenschutzerkl\u00e4rung neben dem Impressum zu verlinken. Auf keinen Fall d\u00fcrfen Sie die Datenschutzerkl\u00e4rung irgendwo im Impressum oder gar in Nutzungsbedingungen verstecken.<\/p>\n Art. 25 Abs. 1 DSGVO<\/a> fordert von Webseitenbetreiber, den \u201eDatenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen\u201c zu gew\u00e4hrleisten. Die Datenschutzgrunds\u00e4tze der Vertraulichkeit und Integrit\u00e4t von Daten m\u00fcssen erf\u00fcllt werden \u2013 und das gelingt Ihnen mit SSL-Verschl\u00fcsselung. Sie verhindern mit der Verschl\u00fcsselung Ihrer Website effektiv, dass Unbefugte auf die von Besucher \u00fcbermittelten Daten zugreifen k\u00f6nnen.<\/p>\n Ein SSL-Zertifikat<\/a> verschl\u00fcsselt Kommunikationen vom Rechner bis zum Server (Ende-zu-Ende-Verschl\u00fcsselung). Diese HTTPS-Verschl\u00fcsselung entspricht dem in der DSGVO geforderten Stand der Technik und geh\u00f6rt auf jede Website \u2013 insbesondere, wenn sich Kontaktformulare auf der Pr\u00e4senz befinden. Eine Verschl\u00fcsselung mittels SSL-Zertifikate erachten wir auch als verpflichtend, wenn Sie einen Online-Shop betreiben oder Kommentare auf Ihrer Website ver\u00f6ffentlicht werden k\u00f6nnen \u2013 also immer dann, wenn personenbezogene Daten verarbeitet werden. Diese Verschl\u00fcsselungspflicht ergibt sich nicht nur aus der DSGVO, sondern auch aus \u00a7 13 Abs. 7 TMG<\/a>.<\/p>\n Kontaktformulare werden verschieden eingesetzt: zur allgemeinen Kontaktaufnahme, zur Newsletter- oder Katalog-Bestellung oder zu konkreten Anfragen. Als Rechtsgrundlage der Datenverarbeitung d\u00fcrfte hier regelm\u00e4\u00dfig Ihr berechtigtes Interesse am Verarbeiten dieser Daten gem\u00e4\u00df Art. 6 Abs. 1 f) DSGVO<\/a> \u00fcberwiegen. Nutzer, die Kontakt zu Ihnen suchen, stellen selbst aktiv diesen Kontakt her, sodass in aller Regel keine gesonderte Einwilligung vonn\u00f6ten sein wird. M\u00f6chten Sie Ihren Newsletter direkt im Kontaktformular anbieten, beachten Sie bitte, dass eine entsprechende Checkbox nicht vorausgef\u00fcllt sein darf \u2013 der Nutzer muss seine Einwilligung freiwillig und aktiv abgeben.<\/p>\n Weiter gilt das Prinzip der Datenminimierung („Datensparsamkeit“): Fragen Sie nur jene Informationen als Pflichtangaben ab, die zum Bearbeiten der Anfrage tats\u00e4chlich notwendig sind. So w\u00e4re f\u00fcr einen Newsletter lediglich die E-Mail-Adresse als Pflichtfeld anzugeben, Vor- und Nachnamen braucht es f\u00fcr den Versand nicht. Kennzeichnen Sie Pflichtfelder auch als solche. In der Praxis hat sich ein Sternchen am Pflichteingabefeld etabliert. F\u00fcr den Newsletter-Versand ist au\u00dferdem das Double-Opt-in-Verfahren unabdingbar; weitere Informationen erhalten Sie in unserem Beitrag \u201eDatensparsame Musterl\u00f6sung f\u00fcr DSGVO-konforme Opt-in-Verfahren\u201c<\/a>. Verlinken Sie unter Ihrem Kontaktformular auch auf Ihre Datenschutzerkl\u00e4rung.<\/p>\n Cookies, die kleinen Datenpakete, die mal mehr, mal weniger viele Informationen sammeln und speichern, sind ein riesiges Thema auf Websites. Noch ist f\u00fcr Cookies die DSGVO anzuwenden, k\u00fcnftig sollen Rechtsfragen diesbez\u00fcglich in der ePrivacy-Verordnung gekl\u00e4rt werden. Sie ben\u00f6tigen also wieder eine Rechtsgrundlage nach DSGVO, auch hier kann das berechtigte Interesse gem\u00e4\u00df Art. 6 Abs. 1 f) DSGVO Anwendung finden. Im Falle des berechtigten Interesses Ihrerseits gen\u00fcgt ein Hinweis auf Cookies. Einen Banner mit OK-Button zur Einwilligung ben\u00f6tigen Sie hierbei nicht.<\/p>\n Ohne Einwilligung bzw. wie eben beschrieben mit kleinem Hinweis k\u00f6nnen Sie nutzerfreundliche Cookies setzen, die prim\u00e4r den Zweck verfolgen, die Website anwendungsfreundlich zu gestalten. Ebenso gen\u00fcgt ein Hinweis f\u00fcr Cookies, die technisch erforderlich sind. Setzen Sie hingegen Cookies zur Analyse Ihrer Website ein, sollten Sie eine Einwilligung einholen. Ausf\u00fchrliche Informationen zu diesem nicht ganz einfachen Thema finden Sie in unserem Beitrag \u201eCookies & Co.: Tracking Ihrer Seitenbesucher \u2013 eine heikle Gradwanderung\u201c<\/a>.<\/p>\n Auftragsverarbeitungs- oder kurz: AV-Vertr\u00e4ge m\u00fcssen Sie mit Ihren Dienstleistern abschlie\u00dfen, beispielsweise mit Ihrem Hosting-Partner, aber auch mit Analyse-Dienstleistern wie Google Analytics, Cloud-Anbietern, Wartungsdienstleister etc. Jeder Service-Anbieter, der auf Ihr Gehei\u00df hin personenbezogene Daten verarbeitet, ist Ihr Auftragsverarbeiter \u2013 und Sie ben\u00f6tigen einen AV-Vertrag. Art. 28 DSGVO<\/a> verpflichtet Sie zur vertraglichen Ausgestaltung eines AV-Vertrags und zur Kontrolle Ihrer Dienstleister und Service-Anbieter. Machen Sie hier Fehler, drohen Bu\u00dfgelder \u2013 achten Sie also zwingend darauf, dass sich Ihre Dienstleister und Service-Partner an die DSGVO halten.<\/p>\n Das klingt komplizierter und schwieriger als es ist: Suchen Sie sich vorzugsweise europ\u00e4ische Dienstleister, so sind auch diese an die DSGVO gebunden. Viele Service-Anbieter haben bereits vorgefertigte AV-Vertr\u00e4ge, die Sie als Service-Nutzer nur noch unterzeichnen brauchen. Achten Sie jedoch darauf, ob der Vertrag Ihren Interessen gerecht wird. Es empfiehlt sich, teilweise Anpassungen vorzunehmen oder den Vertrag doch selbst zu gestalten.<\/p>\n Legen Sie besonderes Augenmerk aufs Haftungsrisiko: Kommt es zu Rechtsverst\u00f6\u00dfen, haften Sie und Ihr Auftragsverarbeiter gegen\u00fcber Betroffenen. Bei Fehlern seitens Ihres Dienstleisters k\u00f6nnen Sie sich vor einer Mithaftung nur sch\u00fctzen, wenn Sie in der Lage sind, nachzuweisen, dass sich der Dienstleister nicht an Ihre Anweisungen hielt und Sie selbst nicht f\u00fcr den Schaden verantwortlich sind \u2013 Sie sind in der Beweispflicht! Achten Sie bei der Vertragsgestaltung also zwingend darauf, dass aufgef\u00fchrt ist, wie die Daten DSGVO-konform verarbeitet werden.<\/p>\n Es gibt schier unglaublich viele Anbieter von Webanalyse-Tools; einer der prominentesten Vertreter ist wohl Google Analytics. Diese Tracking-Dienste gestatten es Website-Betreibern, das Verhalten der Besucher zu analysieren. Dabei wird insbesondere \u00fcber IP-Adressen verfolgt, welche Seiten sich Besucher wie lange angesehen haben.<\/p>\n Details zur DSGVO-konformen und damit rechtssicheren Gestaltung der Webanalyse-Dienste finden Sie im oben bereits verlinkten Beitrag \u201eCookies & Co.: Tracking Ihrer Seitenbesucher \u2013 eine heikle Gradwanderung\u201c. Wir m\u00f6chten Ihnen jedoch auch die Alternative Matomo vorstellen, die ehemals als Piwik bekannt war. Die Open Source-Webanalytik-Plattform k\u00f6nnen Sie in der Anbieter-Cloud nutzen oder selbst hosten. Das Self-Hosting bietet Ihnen volle Datenhoheit: Sie allein bestimmen den Umgang mit den Daten. Sie k\u00f6nnen Matomo rechtssicher anwenden, ohne gro\u00dfe Konfigurationen vorzunehmen (k\u00f6nnen jedoch, wenn Sie m\u00f6chten, vieles konfigurieren), denn der Dienst erf\u00fcllt die Datenschutz-Vorschriften der EU. Alle relevanten Informationen \u00fcber Matomo sowie eine Anleitung, Google Analytics DSGVO-konform zu konfigurieren, erhalten Sie in unserem Beitrag \u201eMatomo \u2013 eine echte Google Analytics-Alternative?\u201c<\/a>.<\/p>\n Die Firmenwebseite DSGVO-konform zu gestalten, mag nach einer Mammut-Aufgabe klingen. Tats\u00e4chlich h\u00e4lt sich der laufende Aufwand jedoch sehr in Grenzen: Haben Sie die zu beachtenden Aspekte einmal erstellt bzw. erg\u00e4nzt und konfiguriert, gilt es lediglich, in festen Intervallen zu \u00fcberpr\u00fcfen, ob alles nach wie vor den rechtlichen Anforderungen gen\u00fcgt. Sie erstellen Ihre Datenschutzerkl\u00e4rung also nur einmal und pr\u00fcfen dann regelm\u00e4\u00dfig, ob die enthaltenen Bestimmungen nach wie vor dem Recht entsprechen. Dasselbe gilt f\u00fcr Cookies, AV-Vertr\u00e4ge, Ihre Kontaktformulare, f\u00fcrs Tracking sowie f\u00fcr die SSL-Verschl\u00fcsselung. Dabei ist es wichtig, bei technischen \u00c4nderungen an der Website, z.B. beim Einsatz neuer externer Tools, die Inhalte von entfernten Servern laden oder Cookies setzen, in die Datenschutzhinweise aufzunehmen und ggfs. den Cookie-Banner bzw. das Consent-Management-Tool anzupassen.<\/p>\n Gerade f\u00fcr KMU ist das Einhalten der Regelungen zum Datenschutz und zur IT-Sicherheit nicht einfach, oft fehlt es sowohl an Manpower als auch an finanziellen Mitteln. Dennoch ist Datenschutz f\u00fcr jede Firmenwebsite Pflicht \u2013 und, wie erw\u00e4hnt, nach einmaligem Aufwand auch nicht mehr so schwer zu halten. Machen Sie sich die M\u00fche und gestalten Sie Ihre Website rechtssicher \u2013 zeigen Sie Ihren Website-Besuchern, dass Sie den Datenschutz ernst nehmen. Wie die eingangs erw\u00e4hnte Studie zeigte, verschaffen Sie sich damit Wettbewerbsvorteile: Ihre Konkurrenz geh\u00f6rt vielleicht noch zu den 41 % der fehlerhaften Seiten, w\u00e4hrend Sie das Vertrauen Ihrer Nutzer bereits mit Datenschutz und IT-Sicherheit gewonnen haben.<\/p>\n <\/p>\n Gender-Disclaimer: Eine Studie des Fachverbands deutscher Webseiten-Betreiber (FdWB) zeigte anhand von 2.500 zuf\u00e4llig ausgew\u00e4hlten Firmen-Webseiten, dass Aspekte wie IT-Sicherheit sowie Datenschutz deutlich zu kurz kommen: 13 % hatten keine Datenschutzerkl\u00e4rung, bei 36 % fehlte es an einem funktionierenden SSL-Zertifikat. Wir nutzen die Gelegenheit, um Ihnen zu zeigen, wie ein rechtlich korrekter Firmenauftritt im Internet aussehen sollte. … <\/p>\nRechtssichere Firmen-Website: Was geh\u00f6rt dazu?<\/h2>\n
Datenschutz bei KMU: Datenschutzerkl\u00e4rung<\/h3>\n
SSL-Verschl\u00fcsselung f\u00fcr die Sicherheit<\/h3>\n
Kontaktformulare rechtssicher gestalten<\/h3>\n
Cookie-Richtlinie und Cookie-Banner<\/h3>\n
Auftragsverarbeitungsvertr\u00e4ge f\u00fcr erh\u00f6hte Transparenz<\/h3>\n
Nutzertracking: Datenschutz-freundliche Webanalyse<\/h3>\n
Datenschutz f\u00fcr Ihre Firmenwebsite<\/h2>\n
\nZur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum f\u00fcr Substantive und meinen damit alle nat\u00fcrlichen Personen unabh\u00e4ngig ihres Geschlechts.<\/p>\n","protected":false},"excerpt":{"rendered":"