DSGVO: Website als Unternehmen richtig betreiben und Ärger, Bußgelder und Abmahnungen vermeiden

DSGVO für Deine Website

von Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht.

Wenn Du nicht wegen Deiner Website abgemahnt, schadensersatzpflichtig oder gar ordnungswidrig mit hohen Bußgeldern werden möchtest, musst Du vor allem auch die Datenschutzgrundverordnung (DSGVO) beachten. Hier erklären wir, welche Pflichten nach der DSGVO für Deine Website und Dein Unternehmen bestehen.

Inhalt

1. Was ist die DSGVO?

Die DSGVO ist eine neue Richtlinie der EU, die im Grundsatz in allen Mitgliedstaaten gilt.  Es ist eine Art europäisches Grundgesetz des Datenschutzes. Hier wird geregelt, wie personenbezogenen verarbeitet werden dürfen.

Das hat für Dich als Unternehmer(in) immer zwei Seiten:

  • zunächst bist Du immer selbst als derjenige betroffen, dessen Daten von Dritten verarbeitet werden, von Unternehmen, Behörden oder Organisationen, hier kannst Du Dich auf die Schutzvorschriften berufen
  • aber als Unternehmen verarbeitest Du auch Daten von anderen und musst daher eben jene Schutzvorschriften selbst beachten.

2. Was will die DSGVO erreichen?

Die DSGVO ist zu einem guten Teil ein „Anti- Google und Facebook“ Gesetz. Leitend bei der Verabschiedung des Gesetzes war vor allem eine „Bändigung“ der Datensammlung durch insbesondere US-amerikanische Unternehmen.

Insofern ist die DSGVO ein sehr selbstbewusstes Gesetz. Es hat sich in der Vergangenheit gezeigt, dass sich mit den nationalen Datenschutz-Gesetzen kein Datenschutz erreichen ließ. Die DSGVO ist daher angetreten, genau dies zu ändern.

Deshalb hat der Datenschutz mit der DSGVO insbesondere „Zähne“ bekommen. Datenschutz-Verstöße können jetzt deutlich mehr schmerzen als vorher. Die Bußgelder und die Schadensersatzpflichten wurden deutlich erweitert.

Was genau bei einer Abmahnung passiert, habe ich hier in einem kleinen Video erklärt: Abmahnung – Was ist das eigentlich?

In einem weiteren Video bin ich zudem der Frage nachgegangen, ob das Instrument der Abmahnung denn immer nur ein Fluch ist (hint, nein, sie kann Dich auch schützen): Abmahnung – Fluch oder Segen

3. Was für Dokumentationen muss ich erstellen?

Aber auch, wenn die hohen Strafen plakativ im Vordergrund stehen, vor allem hat die DSGVO durch viele prozedurale Regelungen „Zähne“ bekommen. Es gibt jetzt viele Vorschriften, die Dich als Unternehmen zwingen, Dir über Datenschutz Gedanken zu machen.

Nach der DSGVO musst Du vor allem dokumentieren. Dokumentieren, nicht nur, welche Daten Du sammelst, sondern auch, wie Du Sie verarbeitest. Im Vordergrund steht dabei Deine Pflicht, ein Verarbeitungsverzeichnis zu erstellen.

Alle Informationen dazu findest Du in diesem Artikel: DSGVO: Verarbeitungsverzeichnis und Datensicherheit

Das setzt sich dann fort mit der Datenschutz-Folgenabschätzung. Du sollst sensibilisiert werden: Was geschieht mit Deinen Kunden, wenn Du deren Daten verlierst. Deshalb musst Du neben dem Verarbeitungsverzeichnis auch noch eine Datenschutzfolgenabschätzung erstellen, wenn Du einen Datenschutzbeauftragten brauchst oder bestimmte sensible Daten bearbeitest.

4. Für wen gilt die DSGVO

Da sich die DSGVO gegen US-amerikanische Konzerne richtet, musste die DSGVO auch den Anwendungsbereich des Datenschutzes erweitern. Für Ihre Geltung kommt es nicht darauf an, wer die Daten erhebt oder wo sie verarbeitet werden, sondern nur darauf, dass personenbezogene Daten von EU Bürgern verarbeitet werden.

Hier erfährst Du, welches Recht auf Deine Website anzuwenden ist, wenn Du international aufgestellt bist, sei es, dass Dein Unternehmen nicht in Deutschland sitzt oder Du Dich an Kunden auch außerhalb Deutschlands oder sogar der EU richtest: Anwendbares Recht im Internet

Sobald Du also personenbezogene Daten von Bürgern der EU verarbeitest, bist Du Adressat der DSGVO und musst Ihre Vorgaben beachten.

Aber es gibt auch besondere Vorschriften für Dich als EU-Unternehmen, wenn Du Daten aus dem Schutzbereich der DSGVO heraus exportierst. Welche Vorgaben hier zu beachten sind, findest Du hier am Beispiel einer Weitergabe von Daten in die USA: US Mail Anbieter rechtssicher verwenden

5. Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Daten, die einer bestimmten Person zugeordnet werden können.

Das sind z:B.

  • Name
  • Adresse
  • Telefonnummer
  • E-Mail-Adresse
  • Ausweisnummer
  • Geburtstag
  • Kontoverbindung
  • Ort (des Aufenthaltes)

Dabei kommt es nicht darauf an, ob Du selbst diese Identifizierung vornehmen könntest. Es reicht, wenn Dritten dies möglich ist. Daher ist etwa auch die IP Adresse ein personenbezogenes Datum. Damit sind Websites praktisch immer von der DSGVO reglementiert. Werden bei Deiner Website aber wirklich keine Daten erhoben oder sind sie wenigstens alle anonymisiert, gilt die DSGVO nicht.

Auch durch Cookies kann der Inhaber des entsprechenden Computers regelmäßig identifiziert werden. Sie erheben damit personenbezogene Daten und Du musst dafür die DSGVO einhalten.

Weitere Informationen zu dem für Cookies geltenden Recht findest Du in diesem Artikel: Was gilt? Cookie Hinweis, Cookie opt out oder Cookie opt in?

Grade die Frage ob und inwieweit ein Hinweis auf Cookies (nicht) reicht und wann Du ein Opt Out oder gar ein Opt In brauchst, ist nach der DSGVO für die Website umstritten.

Erst recht gilt die DSGVO für das Tracking des Nutzers. Insbesondere ein Tracking über Websites hinweg bedarf besonderer Vorkehrungen. Näher dazu am Beispiel von Google Analytics, siehe in diesem Artikel:

und allgemeiner zu allen Einstellungen für Google Analytics siehe im Artikel: Google Analytics: rechtssicher verwenden

Mehr Informationen für andere Tracking Tools findest Du dagegen in diesem Artikel: Tracking Opt Out Code installieren: Google Analytics und Matomo (ehemals Piwik)

6. Was bedeutet Datensicherheit?

Die Dokumentationspflichten bestehen aber nicht als Selbstzweck, sondern Du musst Deine Datenverarbeitung auch absichern. Das beginnt mit der Pflicht, Daten sicher zu erheben. Du darfst z.B. personenbezogene Daten der Nutzer Deiner Website nur mit einer verschlüsselten Verbindung erheben. Daher darfst Du Registrierungen und Kontaktfomulare nur noch auf HTTPS verschlüsselten Seiten erheben. 

Genaue Informationen dazu findest Du in diesem Artikel:

Hier hat die DSGVO sicher auch einige Verbesserungen gebracht, die meisten Website sind heute verschlüsselt.

Überhaupt musst Du Dir auch überlegen, wie Du Deine Daten gegen Diebstahl, Hacks und sonstigen Missbrauch absicherst. Was Du für die Datensicherheit unternehmen musst, findest Du unter DSGVO: Verarbeitungsverzeichnis und Datensicherheit näher erläutert.

7. Was heißt Datensparsamkeit?

Die DSGVO legt auch viel Wert darauf, dass Daten nur sparsam erhoben und verarbeitet werden.

8. Warum brauche ich einen Auftragsverarbeitungsvertrag?

Wenn Du die von Dir verarbeiteten Daten weitergibst, enden damit nicht Deine Pflichten nach der DSGVO. Vielmehr bist Du verpflichtet, mit Dritten, die in Deinem Interesse Daten Deiner Nutzer verarbeiten, einen Auftragsverarbeitungsvertrag zu schließen.

Nähere Informationen zu Deinen Pflichten bei der Weitergabe von Daten etwa an Hoster, Tracking-Software und viele mehr, findest Du auf easyContracts: Dein Auftragsverarbeitungsvertrag

und speziell für Joomla im Artikel Mit vereinten Kräften zum Auftragsverarbeitungsvertrag (AVV)

9. Hafte ich für die DSGVO, wenn ich Websites erstelle?

Eine immer wieder auftretende Frage von Webdesignern und Agenturen ist, ob Sie für die Anforderungen der DSGVO haften. Die Antwort ist ja, obwohl Du nicht einmal rechtlich beraten darfst, haftest Du, wenn Du die Vorgaben der DSGVO auf einer von Dir erstellten Kundenwebsite nicht einhältst. Dann kannst Du auf Ersatz des Schadens haften, den der Kunde durch ein Bußgeld oder eine Abmahnung hatte.

Eine nähere Begründung dafür findest Du unter: Webdesign und DSGVO

Damit Du dem nicht schutzlos ausgeliefert bist, habe ich hier für Dich als Webdesigner oder Agentur aufgeschrieben, wie Du diese Haftung vermeiden kannst: Webdesign und Haftung für die DSGVO

10. Ergebnis

Die DSGVO einzuhalten ist nicht so einfach. Betrachtet man die Schwierigkeiten, den Informationsbedarf und Aufwand, ist das insgesamt ein Aufwand, den Du am besten auslagern solltest.

Gerne unterstützt Dich easyRechtssicher dabei. Mit unserem Komplett-Schutz kannst Du die DSGVO zum Teil sogar automatisert umsetzen

  Zum Komplett Schutz 

Bist Du Webdesigner oder Agentur, hilft Dir unsere Agentur-Mitgliedschaft:

  Zur Agentur-Mitgliedschaft

Dr. Ronald Kandelhard

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.