Besteht Deine Website diesen Test?

Test Google Analytics, Social Media Buttons und Kontaktformulare

Generatoren sagen Dir nicht, was Du auf Deiner Website einstellen musst, damit Du nicht abgemahnt werden kannst! Besteht Deine Website diesen einfachen Test zu Google Analytics, Kontaktformularen und Social Media Plugins?

 

 

 

 

Hast Du Social Media Buttons (wenigstens) mit der Zwei Klick Methode eingebunden?
Hast Du alle Seiten mit einem Kontaktformular verschlüsselt?
Hast Du die AnonymizeIP eingebunden?
 
 Danke für Deine Teilnahme!

3 häufige Fehler, die ein
Datenschutz-Generator nicht verhindert

Kontaktformulare, Google Analytics und Social Media Buttons so verwenden, dass Deine Website deswegen nicht abgemahnt wird

Weit verbreitet ist der Glaube, durch die Verwendung eines Impressum Generators und eines Datenschutz Generators wird eine Website rechtssicher. Richtig daran ist, dass man ein Impressum und eine Datenschutzerklärung braucht. Unrichtig ist, dass damit alle Abmahngefahren gebannt wären. Im Gegenteil, grade bei einem hier verwendeten Beispiel, der Verwendung des Facebook Like Buttons, geben manche Generatoren sogar eine Formulierung aus, die eher nicht mehr zulässig ist.

Aber, das lässt sich jetzt mit diesem Beitrag und unseren Probekapiteln einfach, schnell und kostenfrei lösen.

I.  Kontaktformulare und Anmeldungen

Wenn sich Besucher auf Deiner Website anmelden oder ein Kontaktformular ausfüllen können, fordert der Datenschutz mehr als nur die Erwähnung dieser Handlungen in der Datenschutzerklärung.

1. Verschlüsselung

Nach § 13 Abs. 7 TMG hat jeder Website-Betreiber sicher zu stellen, dass personenebezogene Daten des Nutzers nur verschlüsselt übertragen werden. Daher sind Websites auf denen Kontaktformulare oder andere Formen der Eingabe von personenbezogenen Daten angeboten werden, mit einer SSL-Verschlüsselung (https://) zu versehen. Wie man das macht, findest Du etwa hier sehr genau beschrieben.

Kostenlose Zertifikate dafür werden bereits angeboten. Sie sollten schon deshalb verwendet werden, weil sie von Google beim Ranking bevorzugt werden, aber vor allem, weil Verstöße gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG gem. § 16 Abs. 2 Nr. 3 TMG ordnungswidrig sind. Dies kann nach § 16 Abs. 3 TMG mit einer Geldbuße von bis zu 50.000,- EUR je Verstoß geahndet werden. Es gibt bereits Landesämter für Datenschutz, die entsprechende Warnungen und ggf. Bußgelder ausbringen.

2. Check In Box

Vielfach wird im Netz darauf hingewiesen, dass der Nutzer vor Versendung seiner Daten in einem Kontaktformular oder bei einer Anmeldung mittels eines Check In auf die Datenschutzerklärung hingewiesen werden müsse. Eine wirklich gehaltvolle Begründung wird dafür jedoch nicht angeboten.

Richtig ist das aber nach allgemeinen Grundsätzen, wenn anschließend Werbung an den Nutzer versendet werden soll. Dann ist wie beim Double Opt In für den Newsletter zu verfahren.

Wird das Kontaktformular aber nur für spezifische Aufgaben (allgemeine Anfragen, Service) verwendet, muss ein Opt In nicht angeboten werden.

Da es bei der Kontaktaufnahme in der Regel aber nicht um die Conversion geht, kann ein Check In mit Hinweis auf die Datenschutzerklärung auch nicht schaden. Wer hier auf Nummer sicher gehen will, kann einen Opt In bei jedem Kontaktformular vorsehen.

Wenn Du den sichersten Weg gehen (oder eben Werbung an den Nutzer des Formulars schicken möchtest, musst Du jedenfalls weitergehend direkt bei dem Formular eine Check In Box vorsehen, neben der konkret angegeben wird, wie in etwa die Mail Adresse des Nutzers für Werbezwecke verwendet wird (nähere Hinweise dazu findest Du mit vielen Mustern in unserem Mini Kurs Double Opt In / Newsletter).

3. Informationen zur Verwendung bei dem Formular

Dennoch muss bei einem Kontaktformular angegeben werden, zu welchem Zweck die Daten verwendet werden, zB nur die Beantwortung einer Support Anfrage (OLG Köln, Urt. v. 11.03.2016, Az.: 6 U 121/15). Zwar hat das LG Berlin (Urt. v. 4.02.2016, Az.: 52 O 394/15) unlängst entschieden, dass der fehlende Hinweis auf eine Speicherung bei einem Kontaktformular keine spürbare Wettbewerbsbeeinträchtigung darstellt und deshalb nicht abgemahnt werden kann, doch auf die Entscheidung eines bloßen Landgerichts sollte man sich nicht verlassen.

Für Kontaktformulare ohne Werbezweck bleibt es daher dabei, dass ein Hinweis auf die Verwendung der Daten direkt beim Kontaktformular (ohne Opt In) ausreicht. Ebenso sollte es möglich sein, wenn der Hinweis durch einen Link auf die Datenschutzerklärung erteilt wird, in der dann die genaueren Informationen über den Zweck und den Umgang mit den Kontaktdaten angegeben sind. Vorsichtshalber sollte aber eine Sprungmarke auf die betreffende Stelle in der Datenschutzerklärung gesetzt werden. Je leichter die Erklärung auffindbar ist, desto besser. Ein Gericht könnte sonst entscheiden, dass übermäßiges Scrollen unzumutbar ist.

4. Umsetzung in der Datenschutzerklärung

Alle diese Anforderungen müssen dann in der Datenschutzerklärung umgesetzt werden. Bereits hier wird schnell eine weitere Grenze der Generatoren deutlich. Denn wie zu 2. ausgeführt, es muss bei jeder Dateneintragung auf der Website konkret angegeben werden, wofür die Daten verwendet werden – und das kann nicht nur von Website zu Website unterschiedlich sein, sondern sogar von Formular zu Formular. Ein Kontaktformular ist etwas anderes wie eine Anmeldung etwa zu einem Webinar oder einem Mitgliederbereich.

Du kannst Dich hier für unser

  kostenloses Probekapitel Kontaktformulare und Anmeldungen 

eintragen und erhälst sofort Zugang zu

  • diesen und weiteren Informationen,
  • einer ergänzenden Checkliste und vor allem
  • verschiedenen Mustern für Deine Datenschutzerklärung,

mit denen Du die hier genannten Vorgaben umsetzen und die Gefahr einer Abmahnung insoweit ausschalten kannst.

II. Google Analytics

Verwendest Du Google Analytics auf Deiner Webiste, reicht es ebenfalls nicht aus, wenn Du einfach mit einem Datenschutz Generator Google Analytics in Deiner Datenschutzerklärung erwähnst.

1. Vertrag zur Auftragsdatenverarbeitung mit Google

Zunächst ist mit Google ein Vertrag zur Auftragsdatenverarbeitung (mit den Inhalten gem. § 11 BDSG) zu schließen. Dieser muss ausgedruckt und rückfrankiert an Google geschickt werden, er wird von dort tatsächlich unterschrieben zurück geschickt (kann aber ein wenig dauern). Nur mit diesem Vertrag darfst Du Google Analytics rechtssicher verwenden. Streng genommen erst, wenn der Vertrag geschlossen ist, aber da Google das Muster eigentlich immer akzeptiert, müsste man sich im Fall einer Abmahnung wohl mit Aussicht auf Erfolg (keine Garantie, dies ist rechtlich noch nicht entschieden) mit dem Rechtsgedanken des § 151 BGB verteidigen, wonach die erklärte Annahme als Förmelei entbehrlich sein kann.

2. AnonymizeIP

Weiter ist Google Analytics so einzustellen, dass die IP-Adresse des Nutzers nur verkürzt erfasst wird. Dazu ist der Tracking-Code um die _anonymizelp() Funktion zu ergänzen. Hier findet sich eine Anleitung dazu.

3. Hinweis auf Deaktivierung und Opt Out

Schließlich muss die Verwendung von Google Analytics in der Datenschutzerklärung angegeben und gleichzeitig auf das Browser Add-On zur Deaktivierung von Google Analytics und das Widerspruchsrecht des Kunden hingewiesen werden.

Gerade bei mobiler Verwendung kann das Add-on jedoch nicht installiert werden, deshalb ist auch noch die Möglichkeit zum Widerspruch durch Opt-out für diejenigen Nutzer anzubieten, bei denen das Deaktivierungs Add On nicht funktioniert. Hinweise dazu finden sich bei Google selbst.

Eine Gesamtdarstellung der erforderlichen Schritte mit zugehörigen Code-Schnipseln findet sich auch hier.

4. Weitere Anforderungen / Umsetzung in der Datenschutzerklärung

Erst wenn diese Anforderungen außerhalb der Datenschutzerklärung aus dem Generator umgesetzt wurden, ist die Website wirklich in diesem Punkt rechtssicher. Du kannst Dich hier für unser

  kostenloses Probekapitel Google Analytics  

eintragen und erhälst sofort Zugang zu

  • diesen und weiteren Informationen,
  • weiteren zu beachtenden Punkten
  • einer ergänzenden Checkliste und vor allem
  • verschiedenen Mustern für Deine Datenschutzerklärung
  • weitere Muster für andere Google Dienste.

mit denen Du die hier genannten Vorgaben umsetzen und die Gefahr einer Abmahnung insoweit ausschalten kannst. Bitte beachte, es kann immer nur ein Probekapitel gewählt werden, die Inhalte finden sich aber auch in allen Kursen!

III. Social Media Buttons und eingebundene Videos

Verwendest Du auf Deiner Website Like Buttons von Social Media Diensten wie Facebook, Instagram, Twitter, Pinterest oder auch Videos aus Youtube geben manche Datenschutzgeneratoren sogar Inhalte aus, die nicht mehr den Stand der Rechtsprechung wiedergeben und daher abgemahnt werden können. Alle Formulierungen, in denen ein Hinweis auf die Zwei Klick Methode oder das Shariff Plugin fehlen, sind im Zweifel nicht zulässig!

1. Zwei Klick Methode oder Shariff Plugin

Gängige Social Media Buttons führen, wenigstens wenn der Nutzer bei Aufrufen der Seite etwa Facebook geöffnet hat, dazu, dass der Besuch der Seite auch von dem Social Media Anbieter registriert wird. Soweit das Social Media Plugin eine Übertragung der Kundendaten (insbesondere der IP) ermöglicht, ist dies nach Ansicht der deutschen Datenschutzbehörden unzulässig. Auch wenn es eine abschließende Klärung noch nicht gibt, die Gefahr einer Abmahnung ist definitiv gegeben.

Inzwischen hat das OLG Düsseldorf (Beschl. vom 19.01.2017, Az.: I-20 U 40/16) die Frage nach dem Facebook Like Button dem EuGH vorgelegt, das nunmehr für Europa dessen datenschutzrechtliche Zulässigkeit abschließend klären muss (und wird). Damit besteht die deutliche Gefahr, dass der Button in seiner ungeschützten Verwendung als nicht datenschutzkonform angesehen wird.

2. Lösung

Unabhängig davon sollte entweder eine 2 Klick Lösung gewählt werden, bei der zunächst nur ein Bild des Share-Buttons eingeblendet und erst auf den zweiten Klick die Verbindung zu dem jeweiligen Social Media Netzwerk aufgebaut wird oder das den datenschutzrechtlichen Anforderungen entsprechende Shariff Plugin verwendet werden. Da auch die 2 Klick-Lösung noch rechtlichen Bedenken ausgesetzt ist, wird das Shariff Plugin empfohlen, es mag aber gleichwertige andere Lösungen geben.

3. Youtube Videos

Werden Videos auf der Webseite eingebunden, etwa von YouTube, werden bereits bei Aufruf der Website Cookies gesetzt, ohne dass der Nutzer auch nur das Video anklicken muss. Diese senden dann Daten über das Surfverhalten an YouTube (bzw. den jetzigen Eigner Google). Wie bei Facebook und anderen Plugins kommt es wiederum zu einer Zuordnung zu dem Benutzerkonto des Nutzers, wenn er eingeloggt ist. Das ist datenschutzrechtlich nicht gestattet. Von daher sind besondere Vorkehrungen erforderlich, um YouTube rechtskonform einzusetzen. Zwei Lösungen stehen zur Verfügung:

a) Einbettung mit erweiterter Datenschutzeinstellung

YouTube selbst bietet einen (versteckten) erweiterten Datenschutzmodus an. Diesen findet man wenn man die YouTube-Seite aufruft, auf der sich das Video befindet. Dann muss man „Teilen“, „Einbetten“ und „Mehr anzeigen“ aufrufen, so dass schließlich die Option „Erweiterten Datenschutzmodus aktivieren“ erscheint. Dieser ist zu aktivieren. Der Link im Einbettungscode lautet dann „www.youtube-nocookie.com“.

b) Zwei Klick Lösung

Eine andere Möglichkeit ist eine Zwei Klick Lösung ähnlich wie bei Facebook zu verwenden. Ein mögliches Youtube-Plugin zur Anonymisierung findet sich hier.

c) Andere Video Anbieter

Für andere Video-Anbieter ist entsprechend zu verfahren, wenn diese mit einem Datentransfer zum Anbieter einhergehen. Entsprechende Plugins etwa für Vimeo sind hier derzeit aber nicht bekannt. Hinweise dazu gerne an mail@easyRechtssicher.de.

4. Umsetzung in der Datenschutzerklärung

Erst wenn diese Anforderungen außerhalb der Datenschutzerklärung aus dem Generator umgesetzt wurden, ist die Website wirklich in diesem Punkt rechtssicher. Dann brauchst Du aber auch eine Datenschutzerklärung, die richtig wieder gibt, dass Du diese Anforderungen beachtet hast, also eine, die das Shariff Plugin oder die Einbettung von Videos im Datenschutzmodus.

Du kannst Dich hier für unser

  kostenloses Probekapitel Social Media Buttons und YouTube  

eintragen und erhälst sofort Zugang zu

  • diesen und weiteren Informationen,
  • weiteren zu beachtenden Punkten
  • einer ergänzenden Checkliste und vor allem
  • verschiedenen Mustern für Deine Datenschutzerklärung
  • weitere Muster für andere Google Dienste.

mit denen Du die hier genannten Vorgaben umsetzen und die Gefahr einer Abmahnung insoweit ausschalten kannst. Bitte beachte, es kann immer nur ein Probekapitel gewählt werden, die Inhalte finden sich aber auch in allen Kursen!

Ergebnis

Ein Impressums-Generator oder ein Datenschutz-Generator sagt Dir nicht, wie Du Deine Website einstellen und programmieren musst, um nicht abgemahnt zu werden. Noch viel weniger gilt das natürlich für diejenigen, die sich Ihre Datenschutzerklärung zusammen kopieren, aber dass das ein wenig sicheres Verfahren ist, sollte eigentlich ohnehin klar sein.

Viele weitere mögliche Fehler und vor allem immer eine Anleitung in Schrift, Checkliste, Muster und Video, wie es richtig geht, findest Du in unseren Projekten.