Die Datenschutzgrundverordnung DSGVO: Ich habe eine Webseite.

---

Die folgenden Informationen dienen vorrangig dem Interesse meiner Kunden.

---

Warum brauche ich eine Datenschutzerklärung?

In einfachen Worten:

Wenn Sie eine Webseite haben, dann brauchen Sie auch eine Datenschutzerklärung, leider.

Auch wenn es auf den ersten Blick nicht einleuchten mag:
Das hat damit zu tun, dass der Datenschutz für alle Bürger gestärkt werden soll.

Deswegen erklärt die neue EU-DSGVO alle "Online-Identifikatoren" zu schützenswerten personenbezogenen Daten.
Dazu gehören neben IP-Adressen auch Cookies, IDFAs (Identifier for Advertisers), Google-Ad-IDs etc.

Selbst bei einer "einfachen Webseite" werden vom Webserver sog. Protokolldaten erfasst.
Darin enthalten sind dann z.B. auch die IP-Adressen der Besucher Ihrer Webseite.

Das hat nichts mit Überwachung zu tun, sondern dient der Aufrechterhaltung des technischen Betriebes.

Diese Daten werden automatisch gelöscht (z.B. nach 30 Tagen).

---

IP-Adressen und Cookies

Das Erfassen der IP-Adressen ist harmlos, denn ohne ihre Übermittlung könnten Besucher die Webseite nicht sehen.

Auch der sparsame Einsatz von Cookies ist harmlos und hilft z.B. Webshops beim Umgang mit dem "Warenkorb".
In diesem Fall brauchen Sie auch keinen dieser nervigen und meist unnötigen Einwilligungsdialoge.

Siehe dazu auch: Was muss in die Datenschutzerklärung?.

Wer in Sachen "IP-Adressen" und "Server-Logfiles" genauer argumentieren möchte, kann sich auf folgendes berufen:

• In DSGVO: Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten regelt Artikel 1b, dass personenbezogene Daten durchaus erhoben werden dürfen im Rahmen einer Zweckbindung für für festgelegte, eindeutige und legitime Zwecke.
• Ebenfalls in DSGVO: Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten erlaubt Artikel 1e die Speicherung dieser Daten im Rahmen einer Speicherbegrenzung - und zwar nur so lange, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. So werden die Logfiles auf diesem Server automatisch nach 30 Tagen gelöscht.
• Die DSGVO: Art. 6 Rechtmäßigkeit der Verarbeitung kann u.a. zur Erfüllung einer rechtlichen Verpflichtung erforderlich sein (z.B. Vorratsdatenspeicherung) und auch zur Wahrung der berechtigten Interessen des Verantwortlichen (wie bei der Logfile-Analyse zur Fehlersuche).
• Selbst das DSGVO: Art. 17 Recht auf Löschung ("Recht auf Vergessenwerden") kann u.U. ausgesetzt werden (siehe Absatz 3).

---

Der unnötige Cookie-Dialog

Einen Cookie-Einwilligungsdialog brauchen Sie nur dann, wenn Sie "technisch nicht notwendige Cookies" verwenden.

Ein Webshop mit einem einfachen Warenkorb-Cookie benötigt dagegen keinen nervigen Cookie-Einwilligungsdialog.

Wenn Ihr EDV-Partner dazu nichts sagen kann, dann suchen Sie sich einen anderen Dienstleister.

Sie können selbst heraus finden, ob eine Webseite (oder Ihre eigene) Cookies verwendet.

So zeigt z.B. der Firefox-Webbrowser in
Extras / Browserwerkzeuge / Entwicklerwerkzeuge / Web-Speicher
die gesetzten Cookies an.

Über rechtliche Hintergründe informiert z.B. IT-Recht-Kanzlei: Cookie-Einwilligungspflicht

Wer unbedingt unnötige Cookies einsetzen möchte (oder auch unzulässig gestaltete Einwilligungsdialoge), darf sich mit dem eigens eingeführten Bußgeldtatbestand für Verstöße gegen die Cookie-Einwilligungspflicht mit Geldbußen von bis zu 300.000 Euro beschäftigen. Siehe dazu: IT-Recht-Kanzlei: Ausdrückliche Cookie-Einwilligungspflicht im neuen TTDSG ab dem 01.12.2021.

---

Kontaktformular und SSL-Verschlüsselung

Ein Kontaktformular bietet als ein (für mich unabdingbarer) Teil einer Webseite Vorteile für Besucher und Betreiber.

Im Rahmen der Datenschutzgrundverordnung DSGVO sollen diese Daten in Zukunft abhörsicher übermittelt werden.

Das wiederum kann erreicht werden, wenn der Aufruf Ihrer Webseite mit einem sog. SSL-Zertifikat gesichert wird.

Und zwar mit einem "richtigen" SSL-Zertifikat (nur echt mit dem Schlösschen-Symbol:).

Es gibt Dienstleister, die Ihnen allen Ernstes raten, deswegen auf das Kontaktformular zu verzichten.
Mutmaßlich, weil der Umgang mit SSL-Zertifikaten zu kompliziert oder diese Ihnen zu teuer sind.
Meine Empfehlung: Suchen Sie sich einen anderen Dienstleister.

In einfachen Worten: Ein SSL-Zertifikat sollten Sie auf jeden Fall haben!

Nicht nur wegen der DSGVO, sondern weil z.B. Google (nach den Snowdon-Enthüllungen) verspricht, Ihre Webseite besser zu bewerten, wenn Sie diese mit einem SSL-Zertifikat per "https" erreichbar machen.

Sprich: Eine HTTPS-Verschlüsselung verbessert Ihre Position bei Google!

Mehr noch:

Der Google-Webbrowser Chrome kennzeichnet ab Juli 2018 Seiten als "unsicher", die nicht per https abgesichert sind.

Selbst unsere Bundesregierung spricht hierzu eine Empfehlung aus: Drucksache 19/681 vom 08.02.2018 im pdf-Format.

Das sollten einleuchtende Argumente sein für die Verwendung eines SSL-Zertifikates.

Ein SSL-Zertifikat muss nicht teuer sein. Vor allem nicht, wenn Sie zu meinen Kunden gehören.

Ein Beispiel zur mangelnden Abhörsicherheit personenbezogener Daten:

2015 fiel das Gesundheitsportal healthcare.gov der US-Regierung unangenehm auf, weil es personenbezogene Daten der Webseitenbesucher ungesichert übermittelte. So war (per URL-Referrer) einsehbar, ob z.B. eine Nutzerin schwanger ist (pregnant=1) und raucht (smoker=1).

Auf EU-Ebene machte man sich dazu einige Gedanken und möchte z.B. verhindern, dass online-Diensteanbieter

• verpflichtet werden, ihre Sicherheits- und Verschlüsselungsmethoden abzuschwächen
• oder z.B. zum Zwecke der "nationalen Sicherheit" Hintertüren in Software einzubauen.

Das dient auch Ihrer Sicherheit!

Update 03.2021:

Ein Artikel der IT-Recht Kanzlei informiert über das Thema "Abmahnen einer fehlenden Kontaktformular-Verschlüsselung".

Ich versuche, den Stand der Dinge so kurz wie möglich wieder zu geben:

• Eine Pflicht zur Verschlüsselung gibt es bereits gemäß des "alten" Bundesdatenschutzgesetzes (BDSG).
• Eine fehlende Verschlüsselung lässt sich durchaus abmahnen.
• Allerdings lassen sich dabei keine Abmahnkosten geltend machen, solange Ihre Firma weniger als 250 Mitarbeiter beschäftigt.
• Kümmern sie sich um die Verschlüsselung Ihrer Webseite.
  Auch deshalb, um theoretisch möglichen Ärger mit Behörden zu vermeiden.

Übrigens: Lassen Sie sich bitte von sog. "Datenschutzbeauftragten" nicht den Bären aufbinden, dass Sie der Absende-Schaltfläche eines Kontaktformulares ein Häkchenfeld voranstellen müssen, damit der Besucher Ihrer Webseite seine Einwilligung zu "irgendwas" geben kann.

Das ist Quatsch, rausgeschmissenes Geld und dokumentiert nur die Unkenntnis dessen, der Ihnen das eingeredet hat.

Allen "Verantwortlichen" ist klar, dass das Eingeben einer Nachricht und Betätigen einer Absenden-Schaltfläche als aktive Handlung eine solche Einwilligung impliziert.

---

Was muss in die Datenschutzerklärung?

Das, was auch auf Sie zutrifft - nicht mehr und auch nicht weniger - und das in einfachen und klaren Worten.

Ein einfacher Hinweis z.B. zur IP-Adresse aufgrund eines "berechtigten Interesses" genügt vollkommen.
Wer will, kann dazu auch auf die Übereinstimmung mit Art. 6 DSGVO "Rechtmäßigkeit der Verarbeitung" verweisen.

Ein anderes Beispiel: Sie verwenden Cookies? Dann müssen Sie dazu auch etwas sagen.

Sie müssen deswegen vom Besucher keine Einwilligung einholen oder Hinweise per nerviger pop-up-Dialoge geben.

Zu einer guten Datenschutzerklärung gehört auch, dass Sie Ihre Besucher auf deren Rechte hinweisen.

Und sagen, wer bei Ihnen diesbezüglich (und in welcher Funktion) ansprechbar ist.

---

Auftragsdatenverarbeitung

Gefühlt 50% juristischer Veröffentlichungen sagen klar:
Wegen Ihrer Webseite müssen Sie eine Auftragsdatenverarbeitung mit mir abschließen.

Die gefühlt anderen 50% juristischer Veröffentlichungen sagen ebenso klar, dass Sie das nicht müssen.

Ich persönliche tendiere zur zweiten Gruppe - nicht aus Bequemlichkeit, sondern aus folgenden Gründen:

• Das Webhosting hat weder die Erhebung, Verarbeitung noch Nutzung von personenbezogenen Daten zum Gegenstand.
• Die Erfassung personenbezogener Daten (z.B. in den "Server-Logfiles") ist nicht Kernaufgabe der Leistungserbringung.
• Webhosting gehört in den Bereich der Telekommunikationsdienstleistungen.

Aus den genannten Gründen vertrete ich die Position, dass bei reinem Webhosting eine Auftragsdatenverarbeitung nicht vorliegt.

Für den gegenteiligen Fall stellt z.B. die "Landesbeauftragte für den Datenschutz Niedersachsen" eine Auftragsverarbeitung nach Art. 28 DS-GVO bereit.

---

Die größten Fehler

Die aus meiner Sicht zwei größten Fehler sind:

• Unterlassung
• Übererfüllung

Unterlassung: Wenn Sie nichts tun (also mutmaßlich so, wie bisher:), dann machen Sie was falsch.

Im schlimmsten Fall werden Sie von einer Behörde dazu aufgefordert, in der Sache nachzubessern.

Übererfüllung: Das ist das, was die meisten machen und was Ihnen wohl auch viele Rechtsanwälte empfehlen werden.

Sie kopieren endlose Textwüsten nach dem Motto "je länger desto besser".

Das ist völliger Blödsinn und verletzt einer der Hauptforderungen der DSGVO:
Den Webseitenbesucher auf einfache und klare Weise zu informieren.

In anderen Worten: Kopieren Sie z.B. keine endlosen Absätze über Gewinnspiele, wenn Sie selbst keine anbieten.

---

Ein Beispiel für eine einfache und in deutlicher Weise verfasste Datenschutzerklärung finden Sie auf meiner Kontaktseite.

---

• EDV
• Privat
• Kontakt

DMT

• Einleitung
• Details und Hintergründe
• Ich habe eine Webseite
  • Warum brauche ich eine Datenschutzerklärung?
  • IP-Adressen und Cookies
  • Der unnötige Cookie-Dialog
  • Kontaktformular und SSL-Verschlüsselung
  • Was muss in die Datenschutzerklärung?
  • Auftragsdatenverarbeitung
  • Die größten Fehler
• Ich habe eine Firma
• Was ich meinen Kunden anbiete
• Die DSGVO in der Praxis

• ---

  zurück