Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) und der geplanten ePrivacy-Verordnung hat sich für Website-Betreiber vieles geändert. Die korrekte Verarbeitung von personenbezogenen Daten spielt nun eine noch wichtigere Rolle und muss auf deiner Website für jeden Nutzer transparent dargestellt werden.
Doch es gibt immer noch viele Betreiber, deren Website die Anforderungen der DSGVO gar nicht oder nur teilweise erfüllen. Das kann eine Abmahnung und hohe Strafzahlungen zur Folge haben.
Wir möchten dir heute deshalb die neun gravierendsten Fehlerquellen aufzeigen, die du auf deiner Website unbedingt vermeiden solltest.
Diese 9 DSGVO Fehler solltest du vermeiden
1. Fehlerhaftes Impressum
Jeder Website-Betreiber, der auf seiner Seite eine Dienstleistung, Waren und Informationen in Form von z. B. Texten bereitstellt, ist laut der sogenannten Anbieterkennzeichnungspflicht, welche im Telemediengesetz (TMG) § 5 geregelt ist, dazu verpflichtet, seiner Informationspflicht nachzukommen.
Das bedeutet, du als Betreiber musst gewisse Angaben zu deiner Person bzw. zu deinem Unternehmen innerhalb des Impressums bekannt geben (Vorname, Name, Straße, PLZ, Wohnort). Denn Verbraucher oder auch Mitbewerber sollen jederzeit die Möglichkeit haben, sich über den Betreiber und somit den eventuellen Vertragspartner informieren zu können.
2. Unzureichende Datenschutzerklärung
Mit einer Datenschutzerklärung auf deiner Website stellst du sicher, dass du deine Besucher über die Erhebung und Verarbeitung personenbezogener Daten aufklärst. Der Besucher muss jederzeit einsehen können, welche Daten zu welchem Zweck von ihm gespeichert und wie sie verarbeitet werden.
Hierzu zählen Daten wie die IP-Adresse, Browser-Daten, Cookies, Analyse-Tools (z. B. Google Analytics), das Facebook-Pixel und mehr. Außerdem muss der Besucher selbst entscheiden können, welche Daten gespeichert werden dürfen und sich im nachhinein auch wieder dagegen entscheiden können.
3. Fehlender Cookie-Hinweis
Da fast alle Websites Cookies verwenden, verpflichtet die DSGVO bzw. ePrivacy-Richtlinie dich als Website-Betreiber dazu, die ausdrückliche Einwilligung des Nutzers einzuholen, bevor die Cookies gesetzt werden.
Hierzu muss ein sogenannter “Cookie-Hinweis” erfolgen, sobald der Besucher deine Website erstmalig besucht. In diesem “Hinweis” muss der Besucher über das Setzen von Cookies informiert werden und die Möglichkeit haben zu entscheiden, welche Cookies er zulassen möchte und welche nicht.
Im Cookie-Hinweis muss auch auf die Datenschutzerklärung hingewiesen bzw. verlinkt werden, damit der Nutzer sich über die Speicherung und Verarbeitung seiner Daten informieren kann.
4. Kein Anonymes Tracking
Wenn du auf deiner Website Tracking-Tools wie z. B. Google Analytics nutzt, bist du dazu verpflichtet, die Daten ausschließlich anonym an die Drittanbieter zu übermitteln. Das bedeutet: Auch eine Person, die dem Tracking zustimmt, darf nicht durch das Drittanbieter-Tool identifizierbar sein.
5. Keine Auftragsverarbeitung
Die DSGVO fordert, dass du mit allen Dienstleistern, die personenbezogene Daten speichern, einen Vertrag zur Auftragsdatenverarbeitung schließt. Dies soll dokumentieren, dass auch die Dienstleister verantwortungsbewusst und mit größter Sorgfalt mit eventuell übermittelten personenbezogenen Daten umgehen.
Datenschutz-Behörden haben jederzeit die Möglichkeit, solch einen Vertrag anzufordern und zu prüfen, ob du der Pflicht zur Auftragsdatenverarbeitung nachgekommen bist.
6. Fehlerhafte Kontaktformulare
Ja, sogar Kontaktformulare sind von der DSGVO betroffen. Denn sobald du ein Kontaktformular auf deiner Website einbindest, können Besucher dort personenbezogene Daten wie z. B. den Vornamen, den Nachnamen, die E-Mail Adresse etc. eingeben.
Deshalb müssen diese Daten bei der Übermittlung verschlüsselt (HTTPS) übermittelt werden und du im Kontaktformular auf die Datenschutzerklärung hinweisen bzw. verlinken. Darüber hinaus macht es Sinn, direkt im Kontaktformular zu vermerken, wie du die Daten behandelst und wie lange sie gespeichert werden.
Hier kann eine Checkbox für die Einwilligung zur Verarbeitung der Daten Abhilfe schaffen.
7. Keine Verschlüsselte Datenübertragung
Als Website-Betreiber musst du dafür sorgen, dass alle Daten - und vor allem personenbezogene Daten - verschlüsselt sind. Nutzt du auf deiner Seite etwa Formulare (siehe Punkt 6), dürfen die dort enthaltenen Daten nicht unverschlüsselt übermittelt werden.
Grundsätzlich sollte deine gesamte Website auf SSL (HTTPS) umgestellt sein. Nur so kannst du sicherstellen, dass jegliche Daten verschlüsselt übertragen werden.
8. Facebook-Pixel ohne Einverständnis
Bei dem Facebook-Pixel handelt es sich um einen Tracking-Pixel von bzw. für Facebook. Mit diesem kannst du etwa tracken, welche Seiten ein bestimmter Benutzer besucht oder welche Aktionen er ausgeführt hat und diesen im Anschluss auf Facebook ganz gezielt bewerben.
Unter anderen ein aktuelles Urteil aus Bayern verpflichtet Websites-Betreiber dazu, den Facebook-Pixel erst zu setzen, wenn der Besucher diesem zugestimmt hat.
9. YouTube-Videos und andere “Embeds” übertragen personenbezogene Daten
Wer YouTube-Videos auf seiner Website einbindet bzw. einbetten möchte, kann dies ganz einfach tun, in dem er den Einbettungs-Code aus dem Video in seine Seite einfügt.
Das Problem: Mit dem Einbetten werden zahlreiche Daten wie z. B. Browser-Daten der Nutzer an den Google-Server übermittelt. Dies gilt sowohl für YouTube-Videos, als auch andere Dienste wie Google Maps, Vimeo und ähnliche.
Auch YouTubes "Erweiterter Datenschutzmodus" schafft hier keine Abhilfe: Durch den "NO-COOKIE"-Code schaltet YouTube zwar keine personalisierte Werbung mehr, personenbezogene Daten werden jedoch weiter übertragen.
Als Website-Betreiber musst du daher sicherstellen, dass YouTube-Videos und andere "Embeds" erst nach der Einwilligung deiner Besucher geladen wird.
Fazit
Die DSGVO hat viele Änderungen mit sich gebracht und mit der ePrivacy-Verordnung stehen noch mehr ins Haus. Das steigert die Anforderungen an dich als Website-Betreiber - aber viele der Änderungen sind leichter umzusetzen, als es auf den ersten Blick erscheint.
Unser Borlabs Cookie Plugin unterstützt dich bei einer Vielzahl der oben genannten Punkte und erlaubt es dir, diese datenschutzkonform auf deiner Website umzusetzen.