Kannst du alle Punkte mit JA beantworten, bist du auf jeden Fall auf der sicheren Seite.
Deine Web-Adresse beginnt mit https.
Das kleine s am Ende ist ausschlaggebend, denn es zeigt an, ob du ein SSL/TLS Zertifikat hast oder eben nicht. Das brauchst du, damit die Daten von Website zu Server verschlüsselt übermittelt werden.
Bei Firmenwebsites ist dieses Zertifikat verpflichtend und auch bei rein privaten Websites ist es empfehlenswert, weil es einer der Faktoren für das Suchmaschinen-Ranking darstellt. Fehlt das Zertifikat, zeigen die gängigsten Browser das an, indem sie in die Adresszeile „NICHT SICHER“ schreiben und so eventuelle Nutzer davon abhalten könnten, auf deine Seite zu gehen. Manche Browserversionen zeigen die Website gar nicht mehr an. Cybersicherheit ist wichtig, das bist du deinen Nutzern schuldig.
Hast du also eine Unternehmens-Website, ist http NICHT GENUG.
Hast du Impressum und Datenschutzerklärung?
Jeder, der eine Website betreibt, muss eine Datenschutzerklärung haben. Diese muss von jeder Unterseite aus mit einem Mausklick erreichbar sein.
Deshalb ist sie auch immer im Header oder Footer zu finden.
Impressum: ist für reine Privatseiten nicht verpflichtend, aber empfehlenswert, denn eine Website, die eine breite Masse erreicht, ist selten ganz privat einzustufen, auch wenn keinerlei Einnahmen damit verbunden sind.
Die Datenschutzerklärung darf nicht im Impressum versteckt sein, es sei denn, der Menüpunkt hat beides im Namen, also Impressum & Datenschutz. Experten empfehlen trotzdem zwei getrennte Seiten.
Sowohl für Impressum als auch für Datenschutzerklärung gilt: sie muss vollständig sein.
Cookie-Richtlinien
Auch wenn du selbst aktiv gar keine Cookies setzt, hat deine Seite wahrscheinlich mehrere Cookies im Einsatz. Wenn diese Cookies nicht genau in der Datenschutzerklärung aufgeführt sind, brauchst du eine Cookierichtlinie, um datenschutzkonform zu sein. Wenn du ein nicht europäisches Baukastensystem verwendest oder amerikanische Drittanbietertools, ist deine Website garantiert nicht EU-datenschutzkonform.
Wie schaut’s aus mit Einwilligung zur Weitergabe personenbezogenen Daten?
So, jetzt ist die erste Frage, was sind denn eigentlich personenbezogene Daten? Name, E-Mail-Adresse? Ja, sicher, eh klar. Ich muss die aber beim reinen Ansurfen einer Website nicht angeben. Alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, sind personenbezogene Daten.
Aber auch die fixe IP-Adresse ist personenbezogene Daten und um die geht es, weil sie von Cookies gesammelt und eventuell auch weitergegeben werden. Das ist in der EU ohne Einwilligung einzuholen, verboten.
Viele tausende Unternehmen wurden in letzter Zeit auch in Österreich aufgeschreckt, als der Abmahnbrief eines Anwaltes aus Niederösterreich eintrudelte und im Namen einer (immer derselben) Mandantin Schadenersatz von 100,- + 90,- Anwaltskosten forderte, weil personenbezogenen Daten, in dem Fall die IP-Adresse von Websitebesuchern an Google in die USA übermittelt wurde – ohne Zustimmung. Dabei geht es um die Verwendung von Google Webfonts. Es werden also die Schriftarten, die auf der Website verwendet wurden nicht vom Server des Website-Betreibers geladen, sondern vom Server des Webfont-Anbieters Google. Dabei wird die IP-Adresse an Google übermittelt. Der Anwalt wurde nun wegen gewerbsmäßigen Betruges verklagt, weil nachgewiesen wurde, dass nicht die Mandantin selbst diese über 10.000 Websites besucht hat, sondern mittels Computerprogramm gezielt nach betroffenen Websites gesucht wurde. Eine IT-Firma soll mitgeholfen haben. Gossip am Rande, der Anwalt soll mit der Mandantin in sehr nahem Privatverhältnis stehen.
Es bleibt aber trotzdem der Tatbestand bestehen, dass die DSGVO von all diesen Website-Betreibern verletzt wurde. – Obwohl lt. neuesten Erkenntnissen wieder nicht, weil die Daten eh an Google-Server mit Standort in der EU gesandt werden. Aber wer weiß das schon so genau?
Wer also Google Fonts nicht lokal eingebunden hat, Analysetools verwendet oder Drittanbietertools nutzt, muss vorher die Genehmigung einholen und in der Datenschutzerklärung angeben, welche Daten an wen weitergegeben werden.
Sammelst du E-Mail-Adressen zum Versenden von Newsletter auf deiner Website? Das ist eine sehr gute Idee, aber bitte dsgvo konform. Das heißt, das Double-Opt-in Verfahren ist verpflichtend. Also ein einfaches Kästchen zum Anklicken, dass man einverstanden ist, Newsletter zu erhalten ist zu wenig!
Das sind die wichtigsten Punkte, auf die man achten muss, wenn man eine datenschutzkonforme Website haben will.
Natürlich gibt es neben dem Datenschutz noch andere Rechtsvorschriften zu beherzigen, etwa markenrechtliche Bestimmungen zur Domaine, Urheberrecht bei Bildern, Videos oder Texten.
Wer eine Website betreibt, ist also verantwortlich dafür, dass alle Vorschriften eingehalten werden. Abmahnungen sind Realität,
Wenn du einen Baukasten zur Erstellung deiner Website verwendet hast oder ein fertiges Template, ist es nicht unwahrscheinlich, dass Google Webfonts eingesetzt wurden. Es gibt viele Fonts Checker Tools im Web, mit denen du das sofort feststellen kannst.
Vor allem wenn du Tools aus den USA verwendest, etwa Analysetools, Newsletter, Online-Terminbuchung etc., werden mit Sicherheit Datenschutzverletzungen nach EU-Recht begangen.
Ich verwende nicht zuletzt aus diesem Grund gerne Tools aus der EU, bei denen keine personenbezogenen Daten gespeichert oder an Dritte weitergebeben werden. Ja, es gibt tatsächlich Alternativen zu Google-Analytics und co.
Aber was nun tun, wenn deine Website betroffen ist und deine personenbezogenen Daten weitergibt?
Die einfachste Lösung ist: tadaaa… einen dsgvo-konformen Cookie Banner zu verwenden. … und in deiner Datenschutzerklärung alle Punkte genau anzuführen.
Urheberrechte und Lizenzinformationen
Neben dem Datenschutz ist es sehr wichtig, das Urheberrecht zu beachten. Texte, Bilder oder Videos, die du veröffentlichst kannst du natürlich nicht einfach von einer anderen Website kopieren und auf deine Website stellen. Ganz heikel wird es bei den Bildern. Bei Verstößen gegen das Urheberrecht drohen empfindliche Strafen bis zu mehreren Tausend Euro. Wenn du Bilder aus online-Datenbanken nutzt, lies die Lizenzvereinbarungen genau. Wofür darf ich ein frei lizenziertes Bild aus Datenbank x verwenden und wozu nicht? Welche Quellenangaben müssen gemacht werden? Wenn du selbst ein Foto machst, worauf eine Person eindeutig erkennbar ist, brauchst du eine (schriftliche) Einwilligung, dass du das Foto auf deiner Website verwenden darfst.
Externe Tools
Die beliebtesten externen Tools kommen aus den USA. Vom Terminbuchungstool über E-Mail-Marketing-Tools bis hin zu Trackingtools oder etwa Google Maps. Zwar gibt es alternative Anbieter aus der EU, die sind aber entweder viel teurer oder kompliziert. Naja… auf jeden Fall musst du darauf achten, dass du in deiner Datenschutzerklärung darüber aufklärst, welche Tools du verwendest. Auch der Cookie-Banner muss das wissen – bzw. die Cookie-Richtlinien immer aktuell gehalten werden.
Newsletter
Wenn du ein lokales Geschäft betreibst und ein Kunde dir seine E-Mail-Adresse gibt, nachdem er etwas bei dir gekauft hat, darfst du ihn in deine E-Mail-Liste aufnehmen – ohne weitere schriftliche Einverständniserklärung. Anders ist es, wenn du über deine Website E-Mail-Adressen sammelst, um Newsletter zu verschicken. In der EU ist es verpflichtend, das Double-Opt-In-Verfahren anzuwenden: Der Nutzer gibt seine Daten ein und du musst ihm dann eine E-Mail schicken, wobei er nochmals aktiv bestätigt, dass er deine Newsletter erhalten möchte. Bei den Newslettern selber muss er sich mit einem Klick auch wieder abmelden können.