DS-GVO-Konformität – die 5 häufigsten Website-Fehler!

1. Cookie-Banner

Der Punkt dürfte niemanden überraschen. Seit der Verabschiedung der DS-GVO ist das Cookie-Banner eines der meistdiskutierten Themen, da sich die Rechtsprechung stark weiterentwickelt hat.

Die häufigsten Fehler bei der Implementierung eines Cookie-Banner sind:

  • die Verwendung nicht notwendiger Cookies vor der Zustimmung des Nutzers; Cookies, die für die technische Funktionalität der Website nicht notwendig sind, sollten erst nach Zustimmung des Nutzers verwendet werden. Erfolgt keine Zustimmung des Nutzers, sollte das Cookie gar nicht umgesetzt werden.
  • das Fehlen einer Schaltfläche zum Ablehnen der Cookies. Viele Websites verwenden immer noch die Lösung "wenn Sie weiter auf unserer Website navigieren, erklären Sie sich einverstanden, dass diese Cookies verwendet werden". Diese Lösung ist nicht DS-GVO-konform, da sie keine aktive Einwilligung des Nutzers gemäß Art. 7 DS-GVO einholt.

 

2. Die Einbindung von Social-Media-Walls oder externen Inhalten ohne die Zwei-Klick-Lösung.

Das Einbinden einer Social-Media-Wall auf der eigenen Website ist oft die beste Möglichkeit, Social-Media-Inhalte wie Instagram-Bilder, Twitter-Threads und Facebook-Posts in die eigene Homepage zu integrieren. Allerdings erfordert die Einbindung dieser Walls oft, dass die IP-Adresse Ihrer Website-Besucher an den jeweiligen Anbieter der Social-Media-Seite übertragen wird, ohne dass die Nutzer darauf Einfluss nehmen können.

Um diese unzulässige Weitergabe von personenbezogenen Daten Ihrer Besucher an die Social-Media-Betreiber ohne deren Zustimmung zu verhindern, müssen Sie die Zwei-Klick-Lösung anwenden: Bei dieser Lösung wird Ihre Social-Media-Pinnwand zunächst ausgeblendet und erst dann geladen, wenn der Nutzer durch Anklicken eines entsprechenden Buttons sein Einverständnis gegeben hat.

 

3. Verwendung einer allgemeinen Datenschutzrichtlinie, die nicht zu den Elementen Ihrer Website passt.

Beim Verfassen einer Datenschutzerklärung werden häufig vordefinierte Vorlagen verwendet, die entweder aus dem Internet stammen oder von Ihrem eigenen Datenschutzbeauftragten bereitgestellt werden.

Sie müssen jedoch sehr darauf achten, dass Sie die Vorlage nicht ohne die notwendigen Anpassungen an die Besonderheiten Ihrer Website verwenden. Denn nicht alle Websites sind gleich, und wenn Sie Ihre Vorlage nicht mit den tatsächlich auf Ihrer Website vorhandenen Elementen abgleichen, laufen Sie Gefahr, eine Datenschutzerklärung zu veröffentlichen, die den Einzelheiten Ihrer Website gar nicht oder nur teilweise entspricht.

 

4. Einfügen unzureichender Informationen in Ihr Impressum.

Eine der bekanntesten Pflichten für Webseitenbetreiber, die Impressumspflicht, ergibt sich eigentlich nicht aus der DS-GVO, sondern aus dem Telemediengesetz.

Nach § 5 TMG müssen Sie in Ihrem Impressum die folgenden Angaben machen:

  • Name
  • Adresse
  • Kontaktdaten
  • USt.-IdNr
  • Verantwortlich für den Inhalt nach § 55 Abs. 2 RStV (nur wenn die Website journalistisch-redaktionell gestalteten Angebote enthält)

 

5. Erhebung von personenbezogenen Daten über Formulare ohne korrekte Rechtsgrundlage oder mit falsch formulierter Einwilligungserklärung.

Wenn Sie ein Formular in Ihre Website einbinden – sei es ein Kontaktformular, ein Bestellformular, ein Mitgliedsantrag, etc. – müssen Sie zunächst die Rechtsgrundlage festlegen, auf der Sie diese Daten erheben möchten. Denn nicht immer ist die Einwilligung nach Art. 6 Abs. 1 lit. a) die richtige Rechtsgrundlage. Wenn Sie z. B. ein Bestellformular bereitstellen, dann ist die Rechtsgrundlage für die Erhebung der Daten die Durchführung vorvertraglicher Maßnahmen nach Art. 6 Abs. 1 lit.b) – somit ist keine Einwilligung des Nutzers erforderlich.

Wenn Sie die Einwilligung des Nutzers als Rechtsgrundlage heranziehen, muss Ihre Einwilligungserklärung unbedingt die mit der Verarbeitung personenbezogener Daten verfolgten Zwecke enthalten sowie den Hinweis, dass die Einwilligung jederzeit widerrufen werden kann. Hier darf das Kontrollkästchen für die Erteilung der Einwilligung auf keinen Fall vorangekreuzt sein.

Schließlich müssen Sie, unabhängig von der anwendbaren Rechtsgrundlage, die Personen über Ihre Rechte nach Art. 13 informieren, wenn Sie ein Formular anbieten. Bitte denken Sie daran, dass diese Informationen aus Art. 13 nicht dasselbe sind wie Ihre Datenschutzbestimmungen.