Logo brainatwork horizontal.png

§ DSG-VO + BDSG: Das ist wichtig für Ihre Website

E-Recht 24 erklärt in folgendem Magazin-Artikel was Sie grundsätzlich beachten müssen: 
Klicken Sie hier um den Artikel mit den Informationen von E-Recht 24 zu lesen.

Was muss ich bei Google Analytics beachten?

Die kostenfreie Software von Google Analytics ist eine wichtige Grundlage für Ihre SEO-, SEA- und Onlinemarketing-Strategie.
Alternativ können Sie natürlich auch Tools wie eTracker, Piwik, etc. einsetzen. Bitte passen Sie auch hier Ihren Datenschutz entsprechend an und überprüfen Sie, welche Optionen Sie wie einsetzen und absichern müssen.
  • Passt Ihre Datenschutzerklärung?
  • Haben Sie einen A(D)V Vertrag mit Google abgeschlossen?
  • Dies können Sie direkt in den Goolge Analytics Einstellungen vornehmen
  • Haben Sie die User-ID deaktiviert?
  • Haben Sie als Aufbewahrungszeitrum 14 Monate gewählt?
  • Haben Sie eine eindeutige Einwilligung für das Tracking vom Besucher eingeholt?
  • Wird die IP-Adresse vor dem ersten Datentracking anonymisiert?
  • Wurden Alt-Daten gelöscht?

Weitere Info: Personenbezogene Daten tracken?

Es gilt hier: Es dürfen, ohne ausdrückliche Erlaubnis, keinerlei personenbezogene Daten getrackt werden. Das Cookie oder der Datenschutzhinweis, der auf vielen Seiten akzeptiert werden muss, ist keine ausdrückliche Erlaubnis zum Sammeln von persönlichen Daten!

Sie können dies ganz einfach prüfen: Sobald Sie auf Grund der Daten herausfinden können, wer es war, ist es erst einmal verboten. Ausnahmen sprechen Sie bitte mit Ihrem Datenschutzbeauftragten oder Ihrem Rechtsanwalt ab.
Dadurch können Sie auch den vollen Funktionsumfang von Google Analytics u.U. nicht ausschöpfen!

Haben Sie vor der Prüfung oder ausversehen personenbezogene Daten getrackt, müssen Sie diese löschen. Da es keine Funktion zum Datenlöschen in Google Analytics gibt, müssen Sie Ihr komplettes Google Analytics Konto löschen. Infos finden Sie hier: https://support.google.com/analytics/answer/1009696?hl=de

Hier ein paar Beispiele:
IP-Anonymisierung:
Da Sie über die IP die Person, also den Verursacher, herausfinden können, muss diese anonymisiert (maskiert) werden. Dazu müssen Sie den Tracking-Code anpassen.
Informationen zu diesem Thema von Google: https://support.google.com/analytics/answer/2763052?hl=de

Personenbezogene Daten in der URL:
Passen Sie auf, dass Sie keinerlei personenbezogene Daten über die URL weitergeben. So könnten Sie z.B. über eine verschlüsselte (und natürlich auch über eine unverschlüsselte) Adress- oder Bestell-Id den Besucher oder Kunden identifizieren.

Personenbezogene Daten über das Event-Tracking:
Auch im Event-Tracking müssen Sie darauf achten, keine personenbezogene Daten zu übermitteln. Sie dürfen z.B. auf keinen Fall persönliche Daten aus dem Kontaktformular oder dem Newsletter-Registrieren-Formular an Google Analytics übergeben!

Google Analytics Option "User ID-Funktion aktivieren"
Sie dürfen diese Option - unseres Wissens nach - nicht aktivieren, auch wenn die User-ID verschlüsselt an Google übergeben wird. Mit dieser Funktion wäre z.B. das Cross-Device-Tracking möglich. Auf Grund dieser ID kann Google immer nachvollziehen, wer der Verursacher ist. Das muss Google auch, wenn es herausfinden soll, auf welchen Geräten die Person nacheinander die Webseite besucht. Diese Funktion steht uns somit auch nicht zur Verfügung.

Kontaktpersonen gegenüber Google definieren

Für jedes GoogleAnalytics-Konto müssen Sie Kontaktdaten angeben. Weitere Informationen und eine Anleitung finden Sie hier: https://support.google.com/analytics/answer/3379636?hl=de&utm_id=ad

Hier die Anleitung, erweitert mit unseren Kommentaren:
GoogleAnalytics DSGVO AnsprechpartnerHinterlegen.jpg
  1. Melden Sie sich in Google Analytics an. 
  2. Klicken Sie dann auf den Punkt "Verwaltung", ganz links unten.
  3. Wählen Sie über das Menü in der Spalte KONTO das Konto aus, in dem Sie die Einstellungen ändern möchten.
  4. Klicken Sie in der Spalte KONTO auf Kontoeinstellungen.
  5. Klicken Sie unter Zusatz zur Datenverarbeitung auf Zusatz anzeigen.
  6. Lesen Sie den Zusatz durch und klicken Sie dann auf Fertig.
  7. Klicken Sie bei folgender Meldung "Klicken Sie auf "DETAILS ZUM ZUSATZ ZUR DATENVERARBEITUNG VERWALTEN", um Ihre Angaben darin zu aktualisieren bzw. zu vervollständigen. Auf der Seite, die daraufhin geöffnet wird, können Sie Kontakte und Rechtspersönlichkeiten Ihrer Organisation bearbeiten." rechts auf den Link "DETAILS ZUM ZUSATZ ZUR DATENVERARBEITUNG VERWALTEN"
  8. Geben Sie die juristische Person und die Kontaktpersonen an

Weitere Informationen

Informationen erhalten Sie u. a. unter:
https://www.e-recht24.de/artikel/datenschutz/6843-google-analytics-datenschutz-rechtskonform-nutzen.html
https://support.google.com/analytics/topic/2919631?hl=de&ref_topic=1008008

Oder informieren Sie sich bei Ihrem Datenschutzbeauftragten oder Ihrem Rechtsanwalt.

Darf ich sonstige Google Produkte in meine Website einbinden?

Leider sind wir uns da selber nicht sicher. Viele Agenturen und größere Unternehmen setzen Google Fonts, Google Maps, etc. ohne weiteres Nachfragen ein. Wir sind hier sehr vorsichtig und raten im Regelfall davon ab.

Laut den Google Richtlinien speichert Google persönliche Daten, wie z. B. die IP-Adresse, den eingewählten WLAN-Knoten oder den Aufenthaltsort. (https://www.google.de/policies/terms/regional.html)

Persönliche Daten dürfen nicht einfach ohne ausdrückliche Genehmigung gespeichert werden - was Google aber, laut unseren Informationen, bei sämtlichen kostenfreien Diensten macht. Zusätzlich haben Sie mit Google auch keinen A(D)V für diese Dienste geschlossen. Lediglich für Google Analytics können Sie überhaupt einen A(D)V mit Google abschließen.

Bitte befragen Sie hier aber zur Sicherheit Ihren Datenschutzbeauftragen oder Ihren Rechtsanwalt. Im Zweifelsfall lieber weglassen.

Ein kleiner Tipp zur statischen GoogleMap: Die statische GoogleMap können Sie auch über Ihren Webserver laden lassen. Dieser speichert sich das Bild dann zwischen und gibt es dann direkt aus. Das ist natürlich nicht im Sinne von Google, aber Sie haben wenigstens den Datenschutz nicht umgangen.
Dies gilt übrigens nicht nur für Google sondern für sämtliche externen Inhalte, die Sie auf Ihrer Website einbinden wollen.

Ein weiterer Aspekt am Rande: Fragt man Google Pagespeed Insights, sollte man Skripte und Bilder auf Grund der Ladezeit immer lokal einbinden oder zumindest lokal zwischenspeichern.

Ein weiterer Tipp, wie Sie Google Produkte halbwegs rechtssicher einbinden dürfen:
Verwenden Sie ein Opt-In-Verfahren. Aber Vorsicht - Sie dürfen das Element erst dann wirklich laden und einbinden, wenn der User hier zugestimmt hat! Besprechen Sie dies aber auch in jedem Fall mit Ihrem Datenschützer, da auch hier die Datenschutzerklärung angepasst werden muss.

Darf ich iFrames in meiner Webseite verwenden?

Auch dies lässt sich nicht pauschal sagen. Wenn der Inhalt des iFrames auf Ihrem Webserver / Webspace liegt und Ihnen selbst gehört, verschlüsselt übertragen wird und mit Ihrem Datenschutz übereinstimmt, spricht nichts dagegen. Natürlich müssen die Inhalte, wie auch auf Ihrer Seite natürlich auch, rechtskonform sein. U.U. bekommen Sie jedoch Probleme mit Ihrem responsiven Design, das ist aber eine andere Sache.

Wenn Sie von einer fremden Webseite Inhalt über ein iFrame laden, sieht es anders aus. Bitte prüft hier zuerst die DSG-VO und das BDSG. Sind die Inhalte rechts- und datenschutzkonform und sind alle notwendigen Verträge geschlossen und werden die Daten verschlüsselt übertragen, können Sie das iFrame einsetzen.

Ein Tipp, wie Sie fremde I-Frames halbwegs rechtssicher einbinden dürfen:
Verwenden Sie ein Opt-In-Verfahren. Aber Vorsicht - Sie dürfen das Element erst dann wirklich laden und einbinden, wenn der Besucher hier zugestimmt hat! Besprechen Sie dies aber auch in jedem Fall mit Ihrem Datenschützer, da auch hier die Datenschutzerklärung angepasst werden muss.

Darf ich YouTube-Videos auf meiner Seite einsetzen?

Leider sind wir uns hier auch nicht ganz sicher und würden eher davon abraten. YouTube gehört Google und sammelt auch persönliche Daten. Einen A(D)V mit YouTube können Sie auch nicht abschließen. Das spricht eher gegen den Einsatz von YouTube-Videos auf Ihrer Website.

Es sprechen noch weitere Punkte dagegen, YouTube-Videos direkt auf Ihrer Website einzusetzen:
  • das angesprochene Datenschutzproblem
  • Werbung in Videos werden u.U. auf Ihrer Seite angezeigt. (Die Werbung kann durchaus auch von Ihrem Mitbewerber sein!)
  • in ein paar wenigen Ländern wird YouTube teilweise oder ganz geblockt und somit u. U. auch Ihre Website (China, Türkei, ...)
  • der Besucher baut eine externe Verbindung zu YouTube auf. Ist YouTube mal nicht erreichbar, ist das Video nicht abspielbar.
Klar, ein paar Dinge könnten Sie bei YouTube entsprechend einstellen. Denken Sie aber daran, dass Google recht schnell die Bedingungen ändern kann, ohne dass Sie das vielleicht mitbekommen und rechtzeitig reagieren können.

Wir empfehlen folgende Video-Einbindung:
Binden Sie das mp4-Video mit den Standard HTML-5-Boardmitteln ein. Die CMS bieten meist einfache Möglichkeiten. Laden Sie das Video zusätzlich auf YouTube und optimalerweise auch gleich zusätzlich auf Facebook hoch und verlinken Sie das Video auf Ihrer Website dann mit einem externen Link auf YouTube und / oder Facebook.

Ein Tipp, wie Sie YouTube-Videos halbwegs rechtssicher einbinden dürfen:
Verwenden Sie ein Opt-In-Verfahren. Aber Vorsicht - Sie dürfen das Element erst dann wirklich laden und einbinden, wenn der Besucher hier zugestimmt hat! Welche Möglichkeiten es programmiertechnisch gibt, erfahren Sie in der YouTube-API. Besprechen Sie dies aber auch in jedem Fall mit Ihrem Datenschützer, da auch hier die Datenschutzerklärung angepasst werden muss.

Darf ich Google Maps auf meiner Seite einbinden?

Aus DSG-VO-Sicht ist es problematisch, wenn Sie die Map über die API einbindet. Dabei ist es egal, ob es sich um eine navigierbare Karte oder um die statische Variante handelt. Bei allen Varianten werden persönliche Daten an Google übertragen!

Darf ich GoogleMaps als Bild speichern und direkt als Bild auf meiner Webseite einbinden? 
Ja, wenn Sie sich an die Lizenzbedingungen halten und eine private Webseite betreiben.
Nein, wenn Sie eine kommerzielle Webseite betreiben und eine kostenfreie Map einbinden wollen - dazu folgender Auszug aus den Google Map Genehmigungen:
"Google Maps, Google Earth und Street View verwenden
Letzte Änderung: 8. Dezember 2015

Wir freuen uns, dass Sie Google Maps, Google Earth oder Street View für Ihr Projekt verwenden möchten. Diese Richtlinien gelten für die nicht kommerzielle Nutzung sowie die nachfolgend beschriebenen Fälle, in denen eine eingeschränkte Verwendung zulässig ist. Wenn Sie Google Maps, Google Earth oder Street View für andere kommerzielle Zwecke nutzen möchten, wenden Sie sich an das Team für Google Cloud-Kunden. "Kommerzielle Zwecke" bedeutet, dass etwas zum Kauf angeboten oder anderweitig zur Umsatzgenerierung verwendet wird."

Bitte lesen Sie sich selbst die kompletten Bedingungen von Google Maps durch:
https://www.google.com/intl/de/permissions/
https://support.google.com/contributionpolicy/?hl=de#topic=7422769
https://www.google.com/intl/de_US/help/terms_maps.html

Die Kosten für die Einbindung der Maps finden Sier hier:
https://developers.google.com/maps/pricing-and-plans/?hl=de

Bitte denken Sie daran, dass ein Verstoß gegen diese Bedingungen schwerwiegende Folgen haben kann. Google darf Ihre Webseite dann u. U. aus der Suche komplett ausschließen!

Alternativ gibt es eine kostenfreie Variante, die sog. "OpenStreetMaps". Auch hier benötigen Sie zwar für die statische Einbindung einen API-Key, jedoch kann das Kartenmaterial vom Webserver vorab als Bild gespeichert werden. Es werden somit keinerlei Besucherdaten an den Anbieter des Kartenmaterials versendet, da die Karte als normales Bild auf dem Webserver hinterlegt ist. In "OpenStreetMap" sind mehrere unterschiedliche Karten verfügbar, die Qualität der Karte sollte vorab aber geprüft werden.
Tipp: In unserem CMS bee.tools 10 ist die Integration solcher statischen OpenStreetMaps sehr einfach über Platzhalter möglich. Auch eigene Marker, bzw. Marker mit eigenem Layout, können in diese Bilder einfach integriert werden. Gerne beraten wir Sie und führen die Integration durch.

Darf ich Google Fonts, Adobe TypeKit oder sonstige Schriftarten auf meiner Seite einbinden?

Aus DSG-VO-Sicht ist es problematisch, wenn Sie die Schriftarten nicht direkt installieren können oder wenn trotz lokaler Installationen Skripte notwendig sind, die Daten an den Anbieter übermitteln. Überprüfen Sie dann ganz genau, welche Daten übermittelt werden und ob Sie mit dem Anbieter einen ADV-Vertrag abschließen müssen.

Achtung: Für die meisten von Ihnen gilt: Sie fallen in die kommerzielle Nutzung und nicht in die private Nutzung!

Google Webfonts können meist heruntergeladen und direkt mit Font-Datei auf der Webseite installiert werden. Dies dürfen Sie prinzipiell machen, sofern Sie hier nicht gegen die Lizenzbedingungen verstoßen. In den FAQs konnten wir keinen Verstoß feststellen, wenn Sie Fonts direkt auf Ihrer Webseite einbindet, lesen Sie selbst:
https://developers.google.com/fonts/faq#can_i_use_fonts_from_the_google_fonts_catalog_on_any_page

Bei Fonts aus dem Adobe Typekit sieht es anders aus. Diese dürfen ebenfalls nicht mehr über ein Skript eingebunden werden, da hier persönliche Daten an Adobe übermittelt werden. Wollen Sie die Font direkt auf Ihrer Webseite einbinden, wird es recht schnell sehr teuer, da Sie die Font dafür erwerben müssen. Halten Sie sich auch hier immer an die Lizenzbedingungen!

Ob andere "freie" Schriftarten wirklich kostenfrei auf kommerziellen Seiten eingebunden werden dürfen, erfahren Sie in den Lizenzbedingungen. Auch, wie Sie die Quelle und Verwendung der Schriftarten angeben müssen, erfahren Sie in den Lizenzbedingungen.

Darf ich als Unternehmen noch eine eigene Facebook-Seite betreiben?

Nach dem Urteil des Europäischen Gerichtshofs (EuGH), welches am 05. Juni 2018 veröffentlicht wurde steht nun fest, dass Betreiber von Fanpages (= Facebook-Seiten) für mögliche Datenschutzverstöße etwa beim Tracking auf der Plattform mitverantwortlich sind. Das große Problem dabei: Sie wissen nicht einmal, was Facebook genau trackt und wie die Informationen gespeichert und verwendet werden.

So lange Facebook hier nicht reagiert und DSG-VO sichere Möglichkeiten bietet, gibt es nur eine sichere Lösung: Abschalten Ihrer Facebook-Seite!

Die Pressemitteilung vom EuGH finden Sie hier:
PRESSEMITTEILUNG Nr. 81/18
Gerichtshof der Europäischen Union
Luxemburg, den 5. Juni 2018
https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf

Laut eRecht24 gibt es mehrere Sichtweisen. Eine Sichtweise ist, wer auf der sicheren Seite sein will, muss die Facebook-Seite abschalten. Eine andere Sichtweise ist, wer das Risiko eingehen will, kann die Facebook-Seite (auf eigene Gefahr) laufen lassen. Eine Abmahnung könnte evtl. unverhältnismäßig sein. 

Für weitere Informationen zu den Sichtweisen und den Themen, lesen Sie bitte folgenden Artikel von eRecht24: https://www.e-recht24.de/artikel/facebook/10937-urteil-facebook-fanpages-eugh.html

Was hat das Abschalten einer Facebook-Unternehmensseite für Folgen?

Wer seine Facebook-Seite abschaltet, sollte darauf achten:
  • dass keine Links mehr auf Facebook verweisen. Weder auf der Homepage noch in Print-Medien.
  • dass in Facebook keine Werbeanzeigen (z. B. für die Job-Suche) geschalten werden können.
  • dass die Facebook-Zielgruppe nicht mehr bedient werden kann.
  • dass der Grund für die Abschaltung im Unternehmen klar kommuniziert wird, vor allem wenn Azubi-Fan-Pages betroffen sind.
  • dass ggf. Alternativen wie Blogs geschaffen werden sollten.
  • dass relevante Inhalte vorher an eine geeignete Alternative (z. B. ein eigener Blog oder auf der eigenen Webseite als Content) gesichert und aufbereitet werden sollten

Darf ich als Unternehmen noch andere Social-Media-Seiten, wie Twitter, LinkedIn, XING, etc. betreiben?

Eine allgemein Aussage können wir nicht treffen. Es kommt dabei auf die Plattform selbst und deren Einstellungsmöglichkeiten an. Plattformen, die auf ähnliche Weise Daten sammeln wie Facebook und auf der Sie keine Möglichkeit haben, dies zu unterbinden bzw. mit der Plattform einen geeigneten ADV-Vertrag abzuschließen, sind problematisch.

Liegt das Unternehmen in Deutschland oder innerhalb der EU, müssen diese Unternehmen sich ebenfalls an die DSG-VO halten. Informieren Sie sich hier, wie das Unternehmen mit personenbezogenen Daten umgeht.

Liegt das Unternehmen außerhalb der EU, wird es schon problematischer.

Das Kapital der Plattformen sind die Nutzerdaten und das Nutzerverhalten. Sofern diese Daten erhoben werden, kann es auch relativ schnell zu Datenschutzvergehen kommen. Prüfen Sie bei jeder Plattform, ob diese sich für Sie lohnen und ob Ihre Zielgruppen davon wirklich einen Nutzen haben. Denken Sie auch daran, dass es alle deutschen und auch europäischen Unternehmen trifft.

Muss ich beim normalen Kontaktformular die Bestätigung des Lesens der Datenschutzerklärung explizit abfragen?

Diese interessante Frage haben wir ebenfalls bei unserem Partner eRecht24 gefunden. Die Antwort verblüffte uns wieder einmal - nach einem Urteil des OLG Köln:
JA!

Weitere Infos dazu finden Sie unter eRecht24 Premium, auf der Seite:
https://www.e-recht24.de/mitglieder/login/ > https://www.e-recht24.de/mitglieder/dsgvo-faq/

Wo bekomme ich weitere Informationen?

Landesbeauftrager für Datenschutz und Informationsfreiheit Baden-Württemberg

Die Webseite bietet ein paar Informationen rund um das neue DSG-VO unter folgender Adresse an:
https://www.baden-wuerttemberg.datenschutz.de/

Bayerisches Landesamt für Datenschutzaufsicht

Das BayLDA bietet, v.a. für bayerische Unternehmen, viele nützliche Informationen an, wie z.B.:
Achtung https-Check-Hinweis:
(Quelle https://www.lda.bayern.de/de/httpscheckhinweis.html)
...
4. Umgang mit dem Ergebnis der Prüfung
Alle Unternehmen, deren Webseiten von uns überprüft wurden, erhalten einen kurzen automatisch generierten Prüfbericht. Soweit die Webseiten über eine ausreichende Verschlüsselung verfügen, wird dies entsprechend schriftlich bestätigt. Sollten jedoch Mängel durch die Prüfung erkannt werden, so werden diese dem Betreiber mit der Aufforderung mitgeteilt, innerhalb einer Frist die erforderlichen Maßnahmen zur Verschlüsselung umzusetzen. Sofern Betreiber von Webseiten ohne ausreichende Begründung der Verpflichtung, eine angemessene Verschlüsselung vorzusehen, nicht nachkommen, wird das BayLDA durch eine entsprechende Anordnung die Betreiber verpflichten, die Verschlüsselung zu implementieren und, falls dieser Anordnung nicht nachgekommen wird, gegebenenfalls ergänzend einen Bußgeldbescheid gegen den Verantwortlichen erlassen.
...

Bundesministerium des Innern, für Bau und Heimat

Google Analytics