DSGVO-konforme Website: Das sind die 9 wichtigsten Kriterien und Pflichtangaben

Immer häufiger werden Unternehmen, die eine Website oder einen Onlineshop betreiben, wegen einer nicht datenschutzkonformen Unternehmenspräsentation im Internet abgemahnt. Ist die Website oder der Onlineshop nicht DSGVO-konform, drohen auch horrende Bußgelder, die schnell zum Problem werden und besonders für kleine oder auch mittelständische Unternehmen existenzgefährdend sein können.

Die 9 wichtigsten Kriterien und Pflichtangaben für eine DSGVO-konforme Website und Onlineshop

Zumeist bleibt im Tagesgeschäft wenig Zeit, den Internetauftritt zu pflegen. Besonders rechtliche Themen sind ungeliebt und werden fahrlässig ignoriert.
Webseiten und Onlineshops müssen datenschutzkonform gepflegt werden, das wissen die meisten. Die Realität sieht oft anders aus.
Wir empfehlen auch angesichts der drohenden Bußgelder, das Thema Datenschutz und DSGVO-Konformität höher zu priorisieren. Der Aufwand für eine datenschutzkonforme Unternehmens-Webseite ist relativ gering, für einen Onlineshop nur unwesentlich höher.

Nach § 5 Telemediengesetz bzw. § 55 Rundfunkstaatsvertrag besteht eine Impressumspflicht! Auf das Vorhandensein des Impressums achten die Aufsichtsbehörden an erster Stelle.

Ein jedes Impressum muss zwingend den vollständigen Namen, also Vor- und Nachnamen  des verantwortlichen Seitenbetreibers enthalten. Dazu müssen Adressaten vollständig angegeben werden sowie Angaben zur Kontaktaufnahme muss das Impressum beinhalten.

Je nach Gesellschaftsform müssen weitere unterschiedliche Anforderungen an ein Impressum berücksichtigt werden. Je nach Branche können auch beispielsweise Informationen zu Mitgliedschaften in Kammern, Verbänden oder Angaben zu Versicherungen etc. notwendig sein.

Der Eintrag von Handelsregisternummer oder Ust.-ID kann ebenfalls erforderlich sein.

Geben Sie niemals nur ein Postfach oder eine kostenpflichtige Rufnummer an. Diese Optionen sind als Kontaktaufnahmemöglichkeit im Impressum absolut unzulässig.

Kein Impressum zu haben ist natürlich auch keine Option und grob fahrlässig.

Eine Datenschutzerklärung (DSE) ist ebenso Pflicht, wie das Impressum. Auch an eine Datenschutzerklärung werden genaue Anforderungen gestellt, die im Einzelfall zu prüfen sind.

Eine Datenschutzerklärung muss

  • von jeder Unterseite der Website oder des Onlineshops erreichbar sein
  • den Namen sowie die Kontaktdaten des Verantwortlichen enthalten, ggf. die Kontaktdaten des Datenschutzbeauftragten
  • ausdrücklich darauf verweisen, welche personenbezogenen Daten zu welchem Zweck erhoben und gespeichert werden, sowie auf welcher Rechtsgrundlage die Verarbeitung basiert

Ein Fehler, der uns immer wieder beim Surfen im Internet begegnet, ist der Einsatz von Trackingtools wie Google Analytics oder Matomo, auf den in der DSE nicht ausdrücklich verwiesen wird. Für den Einsatz von Trackingtools ist eine Einwilligung des Besuchers notwendig, die über einen Coookie Consent Manager eingeholt werden kann.

Auch alle eingebundenen Social Media Angebote benötigen einen eigenen Abschnitt in der Datenschutzerklärung.

Selbstverständlich dürfen Sie Kunden bitten, Erfahrungsberichte und Bewertungen auf Ihren Internetseiten abzugeben. Dies dürfen Sie allerdings in keiner Weise beeinflussen.

Das eigene Unternehmen, eigene Produkte oder Dienstleistungen positiv zu bewerten und sich nicht dem Unternehmen zugehörig zu erkennen geben, ist nicht nur fragwürdig, sondern wettbewerbswidrig und damit nicht erlaubt.

Es ist auch egal, ob Sie Bewertungen auf der eigenen Website vornehmen, Kunden mit Rabatten oder anderen Vergünstigungen dazu anstiften oder solche Dienstleistungen von Dritten einkaufen. Auch das gilt für Social Media Kanäle oder Onlineshops.

Damit Sie auf Webseiten oder im Onlineshop personenbezogene Daten korrekt übertragen können, muss eine entsprechende Verschlüsselung gewährleistet werden.
Nach aktuellem Stand der rechtlichen Anforderungen ist dies der Fall, wenn die Unternehmens-Webseite oder der Onlineshop ein SSL-Zertifikat (Secure-Sockets-Layer) oder ein TLS-Zertifikat (Transport-Layer-Security) besitzt. Diese Zertifikate werden auf dem Server installiert. Ist dies erfüllt, läuft das Internetangebot mit dem sicheren Kommunikationsprotokoll HTTPS.

Unzureichend verschlüsselte Webseiten sind nicht nur ein Sicherheitsrisiko. Sie können Abmahnungen und Bußgeldern nach sich ziehen. Und auch in Suchmaschinen-Rankings wie zum Beispiel bei Google führen fehlende Sicherheitszertifikate oft zu einer Herabstufung.

Nach einem aktuellen EuGH-Urteil (10/19), auch EuGH Cookie-Urteil genannt, muss ein Website-Besucher immer in die Verwendung von Cookies einwilligen. Davon ausgenommen sind Cookies, die technisch notwendig sind, um eine Website oder den Onlineshop fehlerfrei zu betreiben.

Bei allen anderen Cookies, wie beispielsweise den bereits erwähnten Tracking-Cookies bedarf es einer vorherigen Einwilligung, die mit einem Cookie Consent Manager eingeholt werden kann.

Auch wenn Ihre Besucher Kekse mögen, eine automatische Einwilligung für die Akzeptanz dieser Cookies darf nicht mehr gesetzt sein. Der User muss selbst rechtswirksam der Verwendung nicht-notwendiger Cookies zustimmen. Vorgesetzte Häkchen in Cookie-Einstellungen müssen Sie also schleunigst entfernen, ab sofort setzen Besucher Ihrer Internetseiten selbst aktiv die Häkchen zur Zustimmung.

Kann man Ihnen über ein Formular eine Nachricht schreiben? Oder auf Ihrer Website einen Termin vereinbaren? Sicher ahben Sie eine Anmeldung für den Newsletter vorgesehen - oder etwa nicht? 

Dann müssen Sie Ihre Kontaktformulare dahingehend überarbeiten, dass Sie nur die personenbezogenen Daten erheben, die Sie tatsächlich für die Bearbeitung der jeweiligem Anfragebenötigen. Welche Daten hier tatsächlich erforderlich sind, hängt von der jeweiligen Situation ab, ist allerdings sehr streng zu bewerten. Eheben Sie lieber weniger Daten als zuviele.

Pflichtfelder in Formularen müssen gekennzeichnet sein. Wenn Sie noch weitere Daten zu den Pflichteingaben erheben möchten, dann müssen Sie Nutzer klar und im direkten Zusammenhang informieren, dass diese Angaben freiwillig sind.

Social Media Plugins, die Facebook, Xing, Instagram und Co. für Ihre Internetseiten anbieten, sammeln vom unbemerkt personenbezogene Daten der User. So können detaillierte Persönlichkeitsprofile erstellt werden. Gleiches gilt, wenn Sie Videos von Youtube oder Vimeo auf Ihrer Seite einbinden. Youtube Videos übertragen beispielsweise automatisch Daten Ihrer Webseitenbesucher an Youtube und damit auch weiter an Google. Das passiert, wenn der Besucher das Video anklickt oder eben auch, wenn er dies nicht tut.

Datenschützer kritisieren diese Plug-ins schon seit vielen Jahren. Die Verwendung war auch bisher rechtlich schon sehr riskant. Mit der DSGVO wird die Verwendung noch deutlich kritischer und ist nur noch sehr eingeschränkt überhaupt zu empfehlen.

Wer Newsletter-Dienste wie CleverReach einsetzt, muss mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung schließen. Fragen Sie Ihren Dienstleister nach einer solchen Vereinbarung.

Außerdem müssen Sie gegebenenfalls das Anmeldeformular überarbeiten. Dort muss klar erkennbar sein, welchem Zweck der Newsletter dient und welche Informationen Abonnenten erhalten, wenn sie sich dafür anmelden. Als Pflichtfeld in der Anmeldung zum Newsletter dürfen Sie lediglich die E-Mail-Adresse abfragen, alle weiteren Daten sind für die Erbringung der Leistung nicht notwendig und dürfen in dem Zusammenhang nicht erhoben werden.

Im Anmeldeformular ist eine Verlinkung zur Datenschutzerklärung zu empfehlen. Dort müssen weitere Hinweise dazu stehen, wie und warum der Versanddienstleister Daten verarbeitet. Wenn Sie beispielsweise auswerten, wie viele Nutzer Links im Newsletter anklicken, dann sollte in der Datenschutzerklärung darüber informiert werden. Erklären Sie, warum dies geschieht – nämlich um den Newsletter für die Nutzer zu optimieren.

Nutzer müssen zudem ausdrücklich und deutlich erkennbar darauf hingewiesen werden, dass sie ihre Einwilligung zum Empfangen Ihres Newsletters widerrufen können. Setzen Sie also auch auf der Seite mit dem Anmeldeformular einen Link auf das Abmeldeformular und auch in jedem Newsletter muss die Abmeldemöglichkeit vorhanden sein.

Damit nicht jemand gegen seinen Willen als Abonnent für Ihren Newsletter eingetragen wird und Sie die Einwilligung rechtssicher nachweisen können, müssen Sie das Double-opt-in-Verfahren nutzen. Das bedeutet, bevor Sie eine E-Mail Adresse für den Newsletterversand aktivieren, muss der Nutzer über einen personalisierten Bestätigungslink in einer sogenannten Check-Mail nochmals bestätigen, dass er tatsächlich Inhaber dieses Postfachs ist und den Newsletter abonnieren möchte.

Der Webhoster, auch Provider genannt, stellt Webseiten und Onlineshops bereit und übernimmt den Betrieb von Webservern sowie die Netzwerkanbindung.

Ist mit diesen Dienstleistungen nur der Internet-Zugangsdienst ohne die Verarbeitung von personenbezogenen Daten verbunden, dann liegt keine Auftragsverarbeitung vor.

Übernehmen Provider allerdings auch Aufgaben, bei denen sie personenbezogene Daten verarbeiten, wie beispielsweise die E-Mail Verwaltung oder die E-Mail Archivierung, dann liegt eine Auftragsverarbeitung vor und Sie müssen einen Vertrag zur Auftragsverarbeitung schließen.