Fragen zur DSGVOWas müsst Ihr auf Eurer Webseite in Bezug auf die DSGVO beachten?

Veröffentlicht am 29.03.2018 • Zuletzt aktualisiert am 09.08.2018 • Von

Inhaltsverzeichnis

Was müsst Ihr als Webseitenbetreiber zur DSGVO wirklich wissen?

Die zahlreichen Änderungen, die die DSGVO ab dem 25. Mai 2018 mit sich bringt, treffen jeden Unternehmer und Webseitenbetreiber. Es gibt in fast allen Bereichen des Datenschutzrechts umfangreiche Neuregelungen. Einige sind relativ einfach umzusetzen, andere sind sehr komplex.

Unser DSGVO-Special – das wir als eRecht24 Agenturpartner in Zusammenarbeit mit eRecht24 Premium für Euch zur Verfügung stellen – hilft Euch dabei, einen Überblick über die Anforderungen der DSGVO zu erhalten und zeigt Euch, wie Ihr diese einfach und schnell für Eure Webseite umsetzt.

Danke an dieser Stelle an den hervorragenden Service von eRecht24, für die Bereitstellung des folgenden Textes.

Einführung

Die DSGVO regelt ab dem 25. Mai 2018 den Umgang von Unternehmen mit personenbezogenen Daten – einheitlich europaweit. Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. das BDSG wird zeitgleich neu gefasst.

Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards gelten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt.

Die Verordnung gilt aber auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten. So soll sichergestellt werden, dass sich auch Cloud-Dienste oder soziale Netzwerke (etwa aus den USA) an die Regeln halten müssen.

Die DSGVO betrifft dabei wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen. Im Einzelnen:

Datenschutzerklärung und Impressum

Zunächst benötigt jede Webseite eine neue Datenschutzerklärung, die den Vorgaben der DSGVO entspricht. Grundsätze einer DSGVO-konformen Datenschutzerklärung:
  • Einfache und verständliche Sprache
  • ggf. eine vorgeschaltete, allgemein-zusammenfassende Erklärung
  • Kontaktdaten des Seitenbetreibers
  • Datenschutzbeauftragter, wenn vorhanden
  • Die Rechtsgrundlage der jeweiligen Datenerhebung/Verarbeitung (gesetzliche Regelung oder Einwilligung) muss konkret benannt werden
Die folgenden Punkte muss eine Datenschutzerklärung nach DSGVO mindestens enthalten:
  • Nennung aller Datenverarbeitungsvorgänge auf der Webseite
  • Umgang Kunden- / Bestelldaten
  • Tracking, Cookies, Social Media
  • Newsletter, A(D)V
  • Dauer der Speicherung, Löschungsfristen
  • Auskunft, Berichtigung, Löschung, Widerspruch
  • Recht auf Datenherausgabe und Übertragbarkeit

Eine Einwilligung darf nicht innerhalb der Datenschutzerklärung erklärt werden.

Achtung! Löschpflicht Art. 17 DSGVO:
Daten müssen gelöscht werden, wenn...
  • der Erhebungszweck weggefallen ist,
  • die Einwilligung widerrufen wurde (Newsletter-Abmeldung),
  • ein Widerspruch des Nutzers erfolgt („Löschen Sie meine Daten“) und keine gesetzlichen Speicherpflichten entgegenstehen (Steuern und Buchhaltung)

Im Impressum sind keine Änderungen notwendig. Allerdings wird momentan diskutiert, dass für Auskunfts-, Berichtigungs- und Löschungsansprüche ein spezielles Kontaktformular geschaffen werden soll, das in die allgemeine Menüstruktur (bei Datenschutzerklärung und Impressum) integriert werden soll.

Verarbeitungsverzeichnis (bisher: Verfahrensverzeichnis)

Sie benötigen ein Verarbeitungsverzeichnis, wenn Sie mehr als 250 Mitarbeiter beschäftigen und wenn Sie besondere Datenkategorien verarbeiten.

Die Pflicht gilt auch für Unternehmen unter 250 Mitarbeitern, wenn die Verarbeitung „nicht nur gelegentlich“ erfolgt. Es ist aber noch nicht abschließend geklärt, was dies genau bedeutet. Bis die Voraussetzungen abschließend geklärt sind, sollten Sie im Zweifel ein solches Verzeichnis anlegen.

Welche Inhalte gehören hinein?
  • Angaben des Verantwortlichen
  • Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und personenbezogener Daten
  • Kategorien von Empfängern
  • Übermittlungen von personenbezogenen Daten an ein Drittland
  • Fristen für Löschung
  • Beschreibung der technischen und organisatorischen Maßnahmen
  • Angaben des Auftragsverarbeiters
  • Name und Kontaktdaten des Auftragsverarbeiters und des Verantwortlichen, ihrer Vertreter und des Datenschutzbeauftragten
  • Kategorien von Verarbeitungen
  • Übermittlungen von personenbezogenen Daten an ein Drittland

Cookies und Tracking

Im Hinblick auf Cookies und Tracking gibt es momentan keine Änderungen. Cookies werden spezifisch durch die ePrivacy-Verordnung (ePV) neu geregelt. Diese kommt allerdings wohl erst 2019.

Die gute Nachricht: Google Analytics bleibt auch nach der DSGVO wie bisher „erlaubt“, wenn folgende Voraussetzungen erfüllt sind:
  • A(D)V Vertrag mit Google abgeschlossen
  • IP Anonymisierung aktiviert
  • Opt-out Möglichkeiten für Desktop und Mobil

Achten Sie darauf, dass Sie ab dem 25. Mai 2018 einen DSGVO-konformen AV-Vertrag mit Google abschließen. Google wird vermutlich demnächst einen solchen Vertrag bereitstellen.

Eine Anleitung plus Tools zur korrekten Umsetzung finden Sie bei eRecht24 Premium.
Bei anderen Tools wie z.B. dem Facebook Pixel kann man momentan leider keine genaue Aussage treffen.
Allerdings wird die Rechtslage wahrscheinlich komplizierter.

Newsletter und Einwilligungen

Einwilligungen von Nutzern, z.B. zum Newsletter-Versand, die bereits nach altem Recht wirksam eingeholt wurden (double opt-in) gelten grundsätzlich weiter.

Ausnahmen:
  • Koppelungsverbot bei alten Einwilligungen nicht beachtet
  • Einwilligungen durch Minderjährige

Was ist mit neuen Newsletter-Aktionen oder Preisausschreiben?
Wenn keine gesetzliche Erlaubnis zum Speichern / Übertragen von Daten vorhanden ist, wird immer eine Einwilligung benötigt.
Auch unter der DSGVO sollte das double opt-in Prinzip beachtet werden, um die Einwilligung im Zweifel auch nachweisen zu können. Die Einwilligung muss in jedem Fall elektronisch dokumentiert werden.
Die Einwilligung muss dabei „freiwillig“ erfolgen: Echtes Koppelungsverbot in Art. 7 Abs.4 DSGVO.
In der Regel gilt: Keine Daten gegen Inhalte (z.B. E-Books, Gewinnspiele, Checklisten) und keine Koppelung von Newsletter-Versand an Vertragsschluss.

Datenschutzbeauftragter

Unternehmen, die in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen oder zu einer Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO verpflichtet sind (Einzelheiten unten bei Ziff. 9.), müssen einen Datenschutzbeauftragten benennen.

Interessenskonflikte
Bei der Besetzung des Datenschutzbeauftragten dürfen keine Interessenkonflikte bestehen. Daher kann ein Vorstandsmitglied, ein Geschäftsführer oder der Unternehmensinhaber nicht Datenschutzbeauftragter sein. Diese Personen können im Fall von Konflikten zwischen den Unternehmensinteressen und den datenschutzrechtlichen Vorschriften nicht vermitteln.
Sie können auch einen externen Datenschutzbeauftragten bestellen, um Konflikte zu vermeiden.

Qualifikationen des Datenschutzbeauftragten
Der Datenschutzbeauftragte muss zuverlässig sein. Juristische sowie technische Fachkunde sind ebenfalls unumgänglich für die Position des Datenschutzbeauftragten. Schulungen/Seminare inkl. Prüfung werden bundesweit angeboten, um die entsprechenden Qualifikationen zu erwerben, z.B. beim TÜV.

Mitarbeiterdaten

Mit der DSGVO kommen auch Neuregelungen zum Mitarbeiterdatenschutz. Die neuen Vorschriften enthalten zahlreiche Pflichten und Obliegenheiten, die Arbeitgeber künftig einhalten müssen.

Es sollen nur die Daten erhoben werden, die „erforderlich“ sind.
Mitarbeiterdaten sollen nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist.

Erlaubt ist die Verarbeitung auch dann, wenn sie für die Erfüllung gesetzlicher Rechte und Pflichten, eines Tarifvertrags oder einer Betriebs- oder Dienstvereinbarung oder zum Zwecke der Strafverfolgung erforderlich ist. Ob und wann die Erhebung bestimmter Daten tatsächlich erforderlich ist, muss dabei immer anhand des konkreten Einzelfalls bestimmt werden.

Einwilligungen einholen
Wer sich den rechtlichen Unsicherheiten rund um die „Erforderlichkeit“ entziehen will, kann freiwillig abgegebene Einwilligungen von seinen Arbeitnehmern einholen. Im Streitfall muss eine behauptete Freiwilligkeit der Einwilligung vom Arbeitgeber allerdings nachgewiesen werden.

Eine wirksame Einwilligung muss bestimmte formale Kriterien erfüllen. So muss sie grundsätzlich in Schriftform erfolgen, d. h. eigenständig unterschrieben werden. Da das allerdings nicht immer praktikabel ist, kann unter besonderen Umständen auch eine elektronische Einwilligung eingeholt werden. Zudem muss der Beschäftigte in geeigneter Form darauf hingewiesen werden, dass die Einwilligung jederzeit widerruflich ist. Schlussendlich müssen durch den Arbeitgeber bestimmte Voraussetzungen für die Widerrufserklärung geschaffen werden.

Ein Arbeitgeber muss die Einhaltung der soeben genannten Pflichten im Zweifel nachweisen können (Dokumentationspflichten). Des Weiteren sind Arbeitgeber künftig mit strengeren Informationspflichten bei Datenschutzverstößen und zahlreichen weiteren Pflichten (z.B. Löschungspflichten) konfrontiert.
Arbeitgeber sollten im Hinblick auf diese Pflichten ihre unternehmensinternen Prozesse daher gründlich überprüfen und ggf. anpassen lassen (Stichwort: Compliance-Management).

Auftrags(daten)verarbeitung

Wenn das Erheben und Verarbeiten personenbezogener Daten durch ein „externes“ Unternehmen erfolgt, muss dies – wie auch im alten Recht – vertraglich geregelt werden.

Beispiele
  • Agentur führt Werbemaßnahmen aus
  • Externer Newsletter-Anbieter
  • Webhoster
  • Externe Wartungsverträge

Was ändert sich am Inhalt der A(D)V-Verträge?
Wenige inhaltliche Neuregelungen:
  • Auftragsverarbeiter muss u.U. ein Verfahrensverzeichnis führen
  • Auftragsverarbeiter muss die Weisungen des Verantwortlichen protokollieren
  • keine Schriftform der Verträge mehr notwendig

Woher erhalte ich Muster für meine A(D)V-Verträge?
Einen DSGVO-konformen Mustervertrag findet Ihr bei eRecht24 Premium.

Datenschutz bei Minderjährigen

Bei Jugendlichen unter 16 Jahren müssen die Eltern einwilligen. Dies gilt aber nur für Fälle, bei denen die DSGVO eine Einwilligung vorschreibt (z.B. für Werbung) und in der Praxis nur dann, wenn es sich um Angebote handelt, die sich direkt an Kinder und Jugendliche richten.
Bei gemischten Angeboten (für Erwachsene und Jugendliche) sind keine spezifischen Vorgaben umzusetzen.

Datenschutz-Folgenabschätzung

In bestimmten Fällen sind Sie verpflichtet, die Folgen der Datenverarbeitung zu bewerten und dies in einer sog. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO festzuhalten. Eine sog. DSFA ist grundsätzlich immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.

Dies ist z.B. bei den folgenden Konstellationen der Fall:
  • Verarbeitung von Gesundheitsdaten, Religion, Sexualität
  • Geschäftsgeheimisse
  • Profiling/Scoring
  • Strafbare Handlungen
  • u.vm.

Wann und wie eine solche Datenschutz-Folgenabschätzung im Detail durchzuführen ist, können Sie im umfangreichen Whitepaper des Forum Privatfreiheit nachlesen:
https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_Paper_Datenschutz-Folgenabschaetzung_2016.pdf

Einsichtsrecht und Meldepflicht

Generell haben Betroffene Anspruch auf Auskunft zu ihren gespeicherten personenbezogenen Daten (Art. 15 DSGVO).
Form der Auskunft:
  • schriftlich
  • elektronisch (E-Mail)
  • auf Verlangen mündlich

Frist der Auskunft: Unverzüglich, aber spätestens 1 Monat nach Eingang des Antrags

Wann müssen bei Datenpannen die Betroffenen und Aufsichtsbehörden informiert werden?
Hier gelten mittlerweile strengere Anforderungen als bisher. Nach Art 33 DSGVO müssen Datenpannen gegenüber Aufsichtsbehörden unverzüglich (möglichst binnen 72 Stunden) mittels umfassender Dokumentation vorgelegt werden.

Details zum Inhalt regelt Art. 33 Abs. 5 DSGVO
https://dejure.org/gesetze/DSGVO/33.html

Bußgelder und Abmahnungen

Datenschutzverstöße können abgemahnt werden!

Bei Verstößen drohen Abmahnungen und Gerichtsverfahren, denn:
  • Datenschutzrecht hat wettbewerbsrechtliche Relevanz!
  • Verstöße können auch nach der DSGVO abgemahnt werden!

Bußgelder

Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor.
Bisher haben Datenschutzbehörden den oberen Rahmen der Bußgelder nur sehr selten und bei dauerhaften Verstößen ausgereizt.
Das wird sich aber sehr wahrscheinlich ändern., der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO.
Wichtig: Anfragen / Beschwerden von Nutzern ernst nehmen. Noch wichtiger: Anfragen / Beschwerden von Datenschutzbehörden ernst nehmen.

Was solltet Ihr jetzt konkret tun?

Ihr wisst, dass Ihr Euch um Themen wie Datenschutz, Impressum, Bildrechte oder Facebook & Co. kümmern müsst? Ihr habt keine Zeit, alle komplizierten rechtlichen Vorgaben aufwendig selbst zu recherchieren? Ihr wollt oder könnt nicht für jede Webseitenprüfung einen teuren Anwalt bezahlen? Ihr braucht klare Antworten, verständliche Lösungen und praktische Tools statt noch mehr Fragen?

Das erhaltet Ihr im DSGVO-Special bei eRecht24-Premium:

1. Praxis Leitfaden DSGVO
Wir haben Ihnen einen Praxis-Leitfaden für den Umgang mit den häufigsten Grundfragen zur DSGVO zusammen gestellt.

2. Webinare zur DSGVO
Die Anwälte der Kanzlei Siebert Goldberg erläutern Ihnen in exklusiven Webinaren praktische Ansätze zum rechtssicheren Umgang mit der DSGVO.

3. DSVGO-Datenschutzgenerator
Ihnen steht ab sofort der neue Profi-Datenschutzgenerator zur Verfügung. So erzeugen Sie in wenigen Minuten eine DSGVO-konforme Datenschutzerklärung.

4. Häufige Fragen von Webseitenbetreibern
Wir haben die häufigsten 50+ Fragen, die Unternehmer im Zusammenhang mit der DSGVO haben, gesammelt, geordnet und beantwortet.

5. Ihre Fragen zur DSGVO
Stellen Sie Ihre zusätzlichen Fragen zur DSGVO im Rahmen der Erstberatung. Diese werden von Rechtsanwalt Siebert und seinem Team beantwortet.

6. Anwaltlicher DSGVO-Check mit 100 Euro Rabatt
Die Kanzlei Siebert Goldberg bietet allen ein umfassendes anwaltliches Webseiten-Audit zum Festpreis. Alle eRecht24 Premium-Nutzer erhalten darauf 100 Euro Rabatt.

7. Weitere Highlights
Bei eRecht24 Premium findet Ihr nicht nur Antworten zur DSGVO, sondern darüber hinaus zahlreiche Tools, Video-Schulungen, Live-Webinare, Vertragsmuster und Checklisten zum Datenschutz, Bildrechten und Urheberrecht, Newsletter-Marketing oder Facebook & Co.

Sichert Euch jetzt eRecht24 Premium und schützt Euch vor DSGVO-Abmahnungen schnell und einfach ab.

Quellangabe

eRecht24 Gmbh & Co. KG, Sören Siebert & Karsten Fernkorn, "Info-Paket für Agenturen und Webdesigner: Klären Sie Ihre Nutzer über die DSGVO auf", https://www.e-recht24.de/mitglieder/info-paket-agenturen-kunden-dsgvo/, 29.03.2018

Vielen Dank, an dieser Stelle nochmal, für die Bereitstellung des Textes an eRecht24.

Was müsst Ihr bei Google Analytics beachten?

Die kostenfreie Software von Google Analytics ist eine wichtige Grundlage für Eure SEO-, SEA- und Onlinemarketing-Strategie.
Alternativ könnt Ihr natürlich auch Tools wie eTracker, Piwik, etc. einsetzen. Bitte passt auch hier Euren Datenschutz entsprechend an und überprüft welche Optionen Ihr wie einsetzen und absichern müsst.
  • Achtet auf Eure Datenschutzerklärung. Passt diese ggf. an.
  • Prüft ob Ihr den benötigten A(D)V Vertrag mit Google abgeschlossen habt. Dies dauert in der Regel 2 Wochen.

Datenschutzerklärung korrekt?

Achtet auf Eure Datenschutzerklärung. Passt diese ggf. an. Aktiviert keine neuen Einstellungen in Google Analytics, bevor Ihr den Datenschutz nicht überprüft habt!

A(D)V Vertrag mit Google abgeschlossen?

Bevor Ihr Google Analytics einsetzen dürft, benötigt Ihr einen A(D)V-Vertrag mit Google.
Den benötigten Vertrag findet Ihr hier: https://www.google.com/analytics/terms/de.pdf
Aus unserer Erfahrung dauert der Vertragsrückversand ca. 2 Wochen. Allerdings ist es auch schon vorgekommen, dass ein Vertragsrückversand erst nach 3 Monaten erfolgte.

Bitte beachtet: Ihr dürft Google Analytics nicht einsetzen, bevor Ihr den Vertrag nicht abgeschlossen habt. Ggf. erhobene Alt-Daten müsst Ihr, unseres Wissens, löschen!

Personenbezogene Daten tracken?

Es gilt hier: Es dürfen, ohne ausdrückliche Erlaubnis, keinerlei personenbezogene Daten getrackt werden. Das Cookie oder der Datenschutzhinweis, der auf vielen Seiten akzeptiert werden muss, ist keine ausdrückliche Erlaubnis zum Sammeln von persönlichen Daten!

Ihr könnt dies ganz einfach prüfen: Sobald Ihr auf Grund der Daten herausfinden könnt, wer es war, ist es erst einmal verboten. Ausnahmen sprecht bitte mit Eurem Datenschutzbeauftragten oder Eurem Rechtsanwalt ab.
Dadurch könnt Ihr auch den vollen Funktionsumfang von Google Analytics u. U. nicht ausschöpfen!

Habt Ihr vor der Prüfung oder ausversehen personenbezogene Daten getrackt, müsst Ihr diese löschen. Da es keine Funktion zum Datenlöschen in Google Analytics gibt, müsst Ihr Euer komplettes Google Analytics Konto löschen. Infos findet Ihr hier: https://support.google.com/analytics/answer/1009696?hl=de

Hier ein paar Beispiele:
IP-Anonymisierung:
Da Ihr über die IP die Person, also den Verursacher, herausfinden könnt, muss diese anonymisiert (maskiert) werden. Dazu müsst Ihr den Tracking-Code anpassen.
Informationen zu diesem Thema von Google: https://support.google.com/analytics/answer/2763052?hl=de

Personenbezogene Daten in der URL:
Passt auf, dass Ihr keinerlei personenbezogene Daten über die URL weitergebt. So könntet Ihr z. B. über eine verschlüsselte (und natürlich auch über eine unverschlüsselte) Adress- oder Bestell-Id den Besucher oder Kunden identifizieren.

Personenbezogene Daten über das Event-Tracking:
Auch im Event-Tracking müsst Ihr darauf achten, keine personenbezogene Daten zu übermitteln. Ihr dürft z. B. auf keinen Fall persönliche Daten aus dem Kontaktformular oder dem Newsletter-Registrieren-Formular an Google Analytics übergeben!

Google Analytics Option "User ID-Funktion aktivieren"
Ihr dürft diese Option - unseres Wissens nach - nicht aktivieren, auch wenn die User-ID verschlüsselt an Google übergeben wird. Mit dieser Funktion wäre z. B. das Cross-Device-Tracking möglich. Auf Grund dieser ID kann Google immer nachvollziehen wer der Verursacher ist. Das muss Google auch, wenn es herausfinden soll, auf welchen Geräten die Person nacheinander die Webseite besucht. Diese Funktion steht uns somit auch nicht zur Verfügung.

Kontaktpersonen gegenüber Google definieren

Für jedes GoogleAnalytics-Konto müsst Ihr Kontaktdaten angeben. Weitere Informationen und eine Anleitung findet Ihr hier: https://support.google.com/analytics/answer/3379636?hl=de&utm_id=ad

Hier die Anleitung, erweitert mit unseren Kommentaren:
  1. Meldet Euch in Google Analytics an. 
  2. Klickt dann auf den Punkt "Verwaltung", ganz links unten.
  3. Wählt über das Menü in der Spalte KONTO das Konto aus, in dem Sie die Einstellungen ändern möchten.
  4. Klickt in der Spalte KONTO auf Kontoeinstellungen.
  5. Klickt unter Zusatz zur Datenverarbeitung auf Zusatz anzeigen.
  6. Lest den Zusatz durch und klickt dann auf Fertig.
  7. Klickt bei folgender Meldung "Klicken Sie auf "DETAILS ZUM ZUSATZ ZUR DATENVERARBEITUNG VERWALTEN", um Ihre Angaben darin zu aktualisieren bzw. zu vervollständigen. Auf der Seite, die daraufhin geöffnet wird, können Sie Kontakte und Rechtspersönlichkeiten Ihrer Organisation bearbeiten." rechts auf den Link "DETAILS ZUM ZUSATZ ZUR DATENVERARBEITUNG VERWALTEN"
  8. Gebt die juristische Person und die Kontaktpersonen an
GoogleAnalytics DSGVO AnsprechpartnerHinterlegen

Weitere Informationen

Darf ich sonstige Google Produkte in meine Website einbinden?

Leider sind wir uns da selber nicht sicher. Viele Agenturen und größere Unternehmen setzen Google Fonts, Google Maps, etc. ohne weiteres Nachfragen ein. Wir sind hier sehr vorsichtig und raten im Regelfall davon ab.

Laut den Google Richtlinien, speichert Google persönliche Daten, wie z. B. die IP-Adresse, den eingewählten WLAN-Knoten oder den Aufenthaltsort. (https://www.google.de/policies/terms/regional.html)

Persönliche Daten dürfen nicht einfach, ohne ausdrückliche Genehmigung, gespeichert werden - was Google aber, laut unseren Informationen, bei sämtlichen kostenfreien Diensten macht. Zusätzlich habt Ihr mit Google auch keinen A(D)V für diese Dienste geschlossen. Lediglich für Google Analytics könnt Ihr überhaupt einen A(D)V mit Google abschließen.

Bitte befragt hier aber zur Sicherheit Euren Datenschutzbeauftragen oder Euren Rechtsanwalt. Im Zweifelsfall lieber weglassen.

Ein kleiner Tipp zur statischen GoogleMap: Die statische GoogleMap könnt Ihr auch über Euren Webserver laden lassen. Dieser speichert sich das Bild dann zwischen und gibt es dann direkt aus. Das ist natürlich nicht im Sinne von Google, aber Ihr habt wenigstens den Datenschutz nicht umgangen.
Dies gilt übrigens nicht nur für Google sondern für sämtliche externen Inhalte, die Ihr auf Eurer Website einbinden wollt.

Ein weiterer Aspekt am Rande: Fragt man Google Pagespeed Insights, sollte man Skripte und Bilder auf Grund der Ladezeit immer lokal einbinden oder zumindest lokal zwischenspeichern.

Darf ich iFrames in meiner Webseite verwenden?

Auch dies lässt sich nicht pauschal sagen. Wenn der Inhalt des iFrames auf Eurem Webserver / Webspace liegt und Euch selbst gehört, verschlüsselt übertragen wird und mit Eurem Datenschutz übereinstimmt, spricht nichts dagegen. Natürlich müssen die Inhalte, wie auch auf Eurer Seite natürlich auch, rechtskonform sein. U. U. bekommt Ihr jedoch Probleme mit Eurem responsiven Design, das ist aber eine andere Sache.

Wenn Ihr von einer fremden Webseite Inhalt über ein iFrame ladet, sieht es anders aus. Bitte prüft hier zuerst die DSGVO und das BDSG. Sind die Inhalte rechts- und datenschutzkonform und sind alle notwendigen Verträge geschlossen und werden die Daten verschlüsselt übertragen, könnt Ihr das iFrame einsetzen.

Darf ich YouTube-Videos auf meiner Seite einsetzen?

Leider sind wir uns hier auch nicht ganz sicher und würden eher davon abraten. YouTube gehört Google und sammelt auch persönliche Daten. Einen A(D)V mit YouTube könnt Ihr auch nicht abschließen. Das spricht eher gegen den Einsatz von YouTube-Videos auf Eurer Website.

Es sprechen noch weitere Punkte dagegen, YouTube-Videos direkt auf Eurer Website einzusetzen:
  1. das angesprochene Datenschutzproblem
  2. Werbung in Videos werden u. U. auf Eurer Seite angezeigt. (Die Werbung kann durchaus auch von Eurem Mitbewerber sein!)
  3. in ein paar wenigen Ländern wird YouTube teilweise oder ganz geblockt und somit u. U. auch Eure Website (China, Türkei, ...)
  4. der Besucher baut eine externe Verbindung zu YouTube auf. Ist YouTube mal nicht erreichbar, ist das Video nicht abspielbar.
Klar, ein paar Dinge könntet Ihr bei YouTube entsprechend einstellen. Denkt aber daran, dass Google recht schnell die Bedingungen ändern kann, ohne dass Ihr das vielleicht mitbekommt und rechtzeitig reagieren könnt.

Wir empfehlen folgende Video-Einbindung:
Bindet das mp4-Video mit den Standard HTML-5-Boardmitteln ein. Die CMS bieten meist einfache Möglichkeiten. Ladet das Video zusätzlich auf YouTube und optimalerweise auch gleich zusätzlich auf Facebook hoch und verlinkt das Video auf Eurer Website dann mit einem externen Link auf YouTube und / oder Facebook.

Darf ich Google Maps auf meiner Seite einbinden?

Aus DSG-VO-Sicht ist es problematisch, wenn Ihr die Map über die API einbindet. Dabei ist es egal ob es eine navigierbare Karte oder ob es sich um die statische Variante handelt. Bei allen Varianten werden persönliche Daten an Google übertragen!

Darf ich GoogleMaps als Bild speichern und direkt als Bild auf meiner Webseite einbinden.
Ja, wenn Ihr Euch an die Lizenzbedingungen haltet und eine private Webseite betreibt.
Nein, wenn Ihr eine kommerzielle Webseite betreibt und eine kostenfreie Map einbinden wollt - dazu folgender Auszug aus den Google Map Genehmigungen:
"Google Maps, Google Earth und Street View verwenden
Letzte Änderung: 8. Dezember 2015

Wir freuen uns, dass Sie Google Maps, Google Earth oder Street View für Ihr Projekt verwenden möchten. Diese Richtlinien gelten für die nicht kommerzielle Nutzung sowie die nachfolgend beschriebenen Fälle, in denen eine eingeschränkte Verwendung zulässig ist. Wenn Sie Google Maps, Google Earth oder Street View für andere kommerzielle Zwecke nutzen möchten, wenden Sie sich an das Team für Google Cloud-Kunden. "Kommerzielle Zwecke" bedeutet, dass etwas zum Kauf angeboten oder anderweitig zur Umsatzgenerierung verwendet wird."

Bitte lest Euch selbst die kompletten Bedingungen von Google Maps durch:
https://www.google.com/intl/de/permissions/
https://support.google.com/contributionpolicy/?hl=de#topic=7422769
https://www.google.com/intl/de_US/help/terms_maps.html

Die Kosten für die Einbindung der Maps findet Ihr hier:
https://developers.google.com/maps/pricing-and-plans/?hl=de

Bitte denkt daran, dass ein Verstoß gegen diese Bedingungen schwerwiegende Folgen haben kann. Google darf Eure Webseite dann u. U. aus der Suche komplett ausschließen!

Alternativ gibt es eine kostenfreie Variante, die sog. "OpenStreetMaps". Auch hier benötigt Ihr zwar für die statische Einbindung einen API-Key, jedoch kann das Kartenmaterial vom Webserver vorab als Bild gespeichert werden. Es werden somit keinerlei Besucherdaten an den Anbieter des Kartenmaterials versendet, da die Karte als normales Bild auf dem Webserver hinterlegt ist. In "OpenStreetMap" sind mehrere unterschiedliche Karten verfügbar, die Qualität der Karte sollte vorab aber geprüft werden.
Tipp: In unserem CMS bee.tools 10 ist die Integration solcher statischen OpenStreetMaps sehr einfach über Platzhalter möglich. Auch eigene Marker, bzw. Marker mit eigenem Layout, können in diese Bilder einfach integriert werden. Gerne beraten wir Euch und führen die Integration durch.

Darf ich Google Fonts, Adobe TypeKit oder sonstige Schriftarten auf meiner Seite einbinden?

Aus DSG-VO-Sicht ist es problematisch, wenn Ihr die Schriftarten nicht direkt installieren könnt oder wenn trotz lokaler Installationen Skripte notwendig sind, die Daten an den Anbieter übermitteln. Überprüft dann ganz genau welche Daten übermittelt werden und ob Ihr mit dem Anbieter einen ADV-Vertrag abschließen müsst.

Achtung: Für die meisten von Euch gilt: Ihr fallt in die kommerzielle Nutzung und nicht in die private Nutzung!

Google Webfonts können meist heruntergeladen und direkt mit Font-Datei auf der Webseite installiert werden. Dies dürft Ihr prinzipiell machen, sofern Ihr hier nicht gegen die Lizenzbedingungen verstoßt. In den FAQs konnten wir keinen Verstoß feststellen, wenn Ihr Fonts direkt auf Eurer Webseite einbindet, lest selbst:
https://developers.google.com/fonts/faq#can_i_use_fonts_from_the_google_fonts_catalog_on_any_page

Bei Fonts aus dem Adobe Typekit sieht es anders aus. Diese dürfen ebenfalls nicht mehr über ein Skript eingebunden werden, da hier persönliche Daten an Adobe übermittelt werden. Wollt Ihr die Font direkt auf Eurer Webseite einbinden, wird es recht schnell sehr teuer, da Ihr die Font dafür erwerben müsst. Haltet Euch auch hier immer an die Lizenzbedingungen!

Ob andere "freie" Schriftarten wirklich kostenfrei auf kommerziellen Seiten eingebunden werden dürfen, erfahrt Ihr in den Lizenzbedingungen. Auch wie Ihr die Quelle und Verwendung der Schriftarten angeben müsst, erfahrt Ihr in den Lizenzbedingungen.

Darf ich als Unternehmen noch eine eigene Facebook-Seite betreiben?

Nach dem Urteil des Europäischen Gerichtshofs (EuGH), welches am 05. Juni 2018 veröffentlicht wurde steht nun fest, dass Betreiber von Fanpages (= Facebook-Seiten) für mögliche Datenschutzverstöße etwa beim Tracking auf der Plattform mitverantwortlich sind. Das große Problem dabei: Ihr wisst nicht einmal, was Facebook genau trackt und wie die Informationen gespeichert und verwendet werden.

So lange Facebook hier nicht reagiert und DSG-VO sichere Möglichkeiten bietet, gibt es nur eine sichere Lösung: Abschalten Eurer Facebook-Seite!

Die Pressemitteilung vom EuGH findet Ihr hier:
PRESSEMITTEILUNG Nr. 81/18
Gerichtshof der Europäischen Union
Luxemburg, den 5. Juni 2018
https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf

Laut eRecht24 gibt es mehrere Sichtweisen. Eine Sichtweise ist, wer auf der sicheren Seite sein will, muss die Facebook-Seite abschalten. Eine andere Sichtweise ist, wer das Risiko eingehen will, kann die Facebook-Seite (auf eigene Gefahr) laufen lassen. Eine Abmahnung könnte evtl. unverhältnismäßig sein. 

Für weitere Informationen zu den Sichtweisen und den Themen, lest bitte folgenden Artikel von eRecht24: https://www.e-recht24.de/artikel/facebook/10937-urteil-facebook-fanpages-eugh.html

Was hat das Abschalten einer Facebook-Unternehmensseite für Folgen?

Wer seine Facebook-Seite abschaltet, sollte darauf achten:

  1. dass keine Links mehr auf Facebook verweisen. Weder auf der Homepage noch in Print-Medien.
  2. dass in Facebook keine Werbeanzeigen (z. B. für die Job-Suche) geschalten werden können.
  3. dass die Facebook-Zielgruppe nicht mehr bedient werden kann.
  4. dass der Grund für die Abschaltung im Unternehmen klar kommuniziert wird, vor allem wenn Azubi-Fan-Pages betroffen sind.
  5. dass ggf. Alternativen wie Blogs geschaffen werden sollten.
  6. dass relevante Inhalte vorher an eine geeignete Alternative (z. B. ein eigener Blog oder auf der eigenen Webseite als Content) gesichert und aufbereitet werden sollten

Darf ich als Unternehmen noch andere Social-Media-Seiten, wie Twitter, LinkedIn, XING, etc. betreiben?

Eine allgemein Aussage können wir nicht treffen. Es kommt dabei auf die Plattform selbst und deren Einstellungsmöglichkeiten an. Plattformen, die auf ähnliche Weise Daten sammeln, wie Facebook, und auf der Ihr keine Möglichkeit habt, dies zu unterbinden bzw. mit der Plattform einen geeigneten ADV-Vertrag abzuschließen, sind problematisch.

Liegt das Unternehmen in Deutschland oder innerhalb der EU, müssen diese Unternehmen sich ebenfalls an die DSG-VO halten. Informiert Euch hier, wie das Unternehmen mit personenbezogenen Daten umgeht.

Liegt das Unternehmen außerhalb der EU, wird es schon problematischer. 

Das Kapital der Plattformen sind die Nutzerdaten und das Nutzerverhalten. Sofern diese Daten erhoben werden, kann es auch relativ schnell zu Datenschutzvergehen kommen. Prüft bei jeder Plattform, ob diese sich für Euch lohnt und ob Eure Zielgruppen davon wirklich einen Nutzen haben. Denkt auch daran, dass es alle deutschen und auch europäischen Unternehmen trifft.

Muss ich beim normalen Kontaktformular die Bestätigung des Lesens der Datenschutzerklärung explizit abfragen?

Diese interessante Frage haben wir ebenfalls bei unserem Partner eRecht24 gefunden. Die Antwort verblüffte uns wieder einmal - nach einem Urteil des OLG Köln:
JA!

Weitere Infos dazu findet Ihr unter eRecht24 Premium, auf der Seite:
https://www.e-recht24.de/mitglieder/login/ > https://www.e-recht24.de/mitglieder/dsgvo-faq/

Wo bekomme ich weitere Informationen?

Landesbeauftrager für Datenschutz und Informationsfreiheit Baden-Württemberg

Die Webseite bietet ein paar Informationen rund um das neue DSGVO an unter folgender Adresse an:
https://www.baden-wuerttemberg.datenschutz.de/

Bayerisches Landesamt für Datenschutzaufsicht

Das BayLDA bietet, v. a. für bayerische Unternehmen, viele nützliche Informationen an, wie z. B.:

Achtung https-Check-Hinweis:
(Quelle https://www.lda.bayern.de/de/httpscheckhinweis.html)
...
4. Umgang mit dem Ergebnis der Prüfung
Alle Unternehmen, deren Webseiten von uns überprüft wurden, erhalten einen kurzen automatisch generierten Prüfbericht. Soweit die Webseiten über eine ausreichende Verschlüsselung verfügen, wird dies entsprechend schriftlich bestätigt. Sollten jedoch Mängel durch die Prüfung erkannt werden, so werden diese dem Betreiber mit der Aufforderung mitgeteilt, innerhalb einer Frist die erforderlichen Maßnahmen zur Verschlüsselung umzusetzen. Sofern Betreiber von Webseiten ohne ausreichende Begründung der Verpflichtung, eine angemessene Verschlüsselung vorzusehen, nicht nachkommen, wird das BayLDA durch eine entsprechende Anordnung die Betreiber verpflichten, die Verschlüsselung zu implementieren und, falls dieser Anordnung nicht nachgekommen wird, gege-benenfalls ergänzend einen Bußgeldbescheid gegen den Verantwortlichen erlassen.
...

Bundesministerium des Innern, für Bau und Heimat

Google Analytics

Content Marketing

Content Marketing✔ Keyword-Analyse
✔ Corporate Marketing
✔ Story-Telling
✔ Backlink-Aufbau

SEO / SEM

SEO / SEM✔ Konzept & Strategie
✔ SEO-Audit
✔ Sichtbarkeit steigern
✔ laufende Überwachung

Web Analytics

Web Analytics✔ Performance Controlling
✔ Analyse & Reporting
✔ UX-Optimierung
✔ Conversion Optimierung

Social Media

Social Media✔ Social Media Marketing
✔ Social Advertising
✔ Zielgruppen-Ansprache
✔ Recruiting

Webdesign / Relaunch

Webdesign / Relaunch✔ Konzept & Strategie
✔ Webdesign
✔ Relaunch & Umsetzung
✔ Testing & Analyse

Performance Marketing

Performance Marketing✔ Erfolgsmessung 
✔ Analyse & Bewertung
✔ Kosten-Nutzen-Analysen
✔ Budget-Optimierung

Data Driven Marketing

Data Driven Marketing✔ Analyse
✔ Strategieentwicklung
✔ Überwachung
✔ OpenSource-Software

Weitere Magazinbeiträge

09.08.2018brainatwork erderwaermung website smartphone

Webseiten an Unwettern mit verantwortlich!

Hitze, Unwetter, Ernteausfälle! Wie Ihr mit Eurer Webseite mit verantwortlich seid... … mehr erfahren

09.08.2018TF Klettern

Thomas Fiener - Wer ist das?

Unsere Geschäftsleitung stellt sich vor: In diesem Beitrag erzählt Thomas von sich. … mehr erfahren

09.08.2018recht

Fragen zur DSGVO + BDSG

Kurz und knapp die wichtigsten Fragen zur DSGVO und zum BDSG geklärt. … mehr erfahren