Matthias Scharwies: Die DSGVO in der Praxis umsetzen

So sinnvoll die DSGVO mit einer europaweit einheitlichen Regelung des Umgangs mit personenbezogenen Daten erscheint, so birgt doch die Umsetzung gerade für kleinere und mittlere Unternehmen sowie Online-Händler die Gefahr von Rechtsunsicherheit und den damit verbundenen Konsequenzen.

Die größten Befürchtungen richten sich auf die erwartete Abmahnwelle. Ursprünglich sollten Abmahnungen Streitigkeiten auf direktem Weg ohne Einschaltung eines Gerichts beilegen. Mittlerweile erfolgen sie aber nicht mehr durch Mitbewerber, sondern hauptsächlich durch spezialisierte Anwälte und sogar Abmahnvereine, die gezielt nach fehlerhaften Datenschutzerklärungen oder nichtigen Verstößen wie Tippfehlern suchen, um damit Kasse zu machen. Schon bisher hat die Zahl der Abmahnungen stetig zugenommen und es wird erwartet, dass die DSGVO ein willkommener Anlass zu einer neuen Welle ist, da die potentiellen Datenschutzverstöße finanziell stärker sanktioniert werden.

Grundsätzlich lassen sich die bezüglich der DSGVO umzusetzenden Maßnahmen in zwei Bereiche gliedern.

  • Zum einen die Bereiche, die für einen Dritten von außen sofort ersichtlich sind und damit geprüft werden können.
  • Zum anderen die Bereiche, die für einen Dritten von außen nicht sofort ersichtlich sind und damit nicht ohne weiteres geprüft werden können.

Es sollten natürlich beide Bereiche korrekt umgesetzt werden, die von außen sichtbaren Bereiche sollten allerdings mit höchster Priorität realisiert werden, da hier bei Nicht-Umsetzung die Gefahr einer Abmahnung besonders hoch ist.

Hinweis
Dieser Beitrag stellt keine Rechtsberatung dar und ersetzt NICHT die Beratung durch einen fachkundigen Rechtsanwalt. Es handelt sich um meine persönliche Empfehlung. Die finale Entscheidung und Verantwortung hinsichtlich der einzelnen Punkte obliegt NICHT meiner Person.

1. Von außen sichtbar

1.1 Datenschutzerklärung

Es ist sehr wichtig, die Datenschutzerklärung bezogen auf die DSGVO anzupassen. Ähnlich wie beim Impressum ist es für die Datenschutzerklärung verpflichtend, dass diese leicht erkennbar, unmittelbar erreichbar und ständig verfügbar ist. Aus diesem Grund würde ich empfehlen, die Datenschutzerklärung genauso wie das Impressum durch einen Klick erreichbar auf jeder Seite der Webpräsenz zu integrieren.
Im Internet finden sich zahlreiche Generatoren mit deren Hilfe die gewünschte Datenschutzerklärung erstellt werden kann. Besonders empfehlenswert sind hierbei meines Erachtens folgende:
Trusted-Shops bietet einen kostenfreien Rechtstexter. Man beantwortet zahlreiche Fragen und erhält basierend darauf eine auf die eigenen Bedürfnisse zugeschnittene Datenschutzerklärung. Neben der Datenschutzerklärung können mit diesem Rechtstexter außerdem das Impressum, die Widerrufsbelehrung und die AGB erstellt werden. Nach einem Telefongespräch mit Trusted-Shops habe ich mir sagen lassen, dass sich der Rechtstexter ausschließlich an Betreiber von Online-Shops richtet, Betreiber von Nicht-Online-Shop Webpräsenzen können diese Module meiner Meinung nach dennoch sinnvoll nutzen. Als Alternative für Nicht-Online-Shop Webpräsenzen kann ich empfehlen ein wenig im Netz zu recherchieren; es existieren zahlreiche Muster für Datenschutzerklärungen von Rechtsanwälten im Internet, diese kann man durchaus sinnvoll nutzen bzw. auf die eigenen Bedürfnisse anpassen.

Basierend auf dem oben genannten kostenfreien Rechtstexter von Trusted-Shops bietet Trusted-Shops ein kostenpflichtiges Modul „Abmahnschutz Pro“. Zusätzlich zum kostenfreien Rechtstexter beinhaltet dieses Modul einen Update-Service per E-Mail, ein Haftungsübernahme durch Trusted-Shops sowie Rechtsbeistand im Abmahnfall. Für dieses Modul wird eine monatliche Pauschale von 24,90 € fällig. Das Trusted-Shops Modul „Abmahnschutz Pro“ sollte nicht mit dem Trusted-Shops-Modul „DSGVO Schutz“ verwechselt werden. Mit Hilfe des Moduls „DSGVO Schutz“ können Verfahrensverzeichnisse und Datenpannenpläne erstellt werden. Das Modul ist deshalb für die in diesem Beitrag genannten Punkte 2.3 und 2.4 relevant und wird dort erneut aufgegriffen. Das Modul „Abmahnschutz Pro“ würde ich ausschließlich für Online-Shops empfehlen.
Ähnlich wie Trusted-Shops bietet auch der Händlerbund einen Generator für die benötigten Rechtstexte. Meines Wissens bietet der Händlerbund im Gegensatz zu Trusted-Shops keinen kostenfreien Rechtstexter. Den Rechtstexter des Händlerbunds kann man bereits ab der Basismitgliedschaft für 9,90 Euro im Monat nutzen. Dieser Rechtstexter ist, ähnlich wie der Trusted-Shops-Rechtstexter, auf Online-Shops spezialisiert, kann allerdings auch für Nicht-Online-Shops hilfreich sein.

Siehe auch: SELF-Wiki: Grundlagen/Rechtsfragen/Datenschutzerklärung

1.2 Kontaktformular

Bei einer Kontaktaufnahme per E-Mail wird im Allgemeinen eine Absenderadresse übertragen, der Empfänger der E-Mail hat also die Möglichkeit, auf diese zu antworten. Bei einem Kontaktformular ist das jedoch nicht der Fall; es ist allerdings nicht davon auszugehen, dass dies auch jedem Benutzer bewusst ist.

Ist ein Kontaktformular in die Webpräsenz integriert, so sollten die folgenden drei Dinge beachtet werden:

  1. Es ist zwingend erforderlich, die eingegebenen Informationen verschlüsselt an den Server zu übertragen. Aus diesem Grund sollte die Webpräsenz von http auf https umgestellt werden. Dies ist ohne großen Aufwand möglich, da seitens der Zertifizierungsstelle Let‘s Encrypt kostenfreie Zertifikate zur Verfügung gestellt werden. Die meisten Hoster haben Let‘s Encrpyt in ihr Backend integriert, somit kann die Umstellung von http auf https in wenigen Minuten realisiert werden. Leider gibt es Hoster, die sich die Zertifikate zum Teil recht teuer bezahlen lassen.
  2. In das Kontaktformular sollte eine Checkbox integriert werden, erst nach deren Bestätigung darf es möglich sein, das Kontaktformular abzusenden. Es ist wichtig, dass aus dem Text hinter der Checkbox auf die Datenschutzerklärung verlinkt wird:
    Screenshot Checkbox Kontaktformular
  3. Im Formular dürfen nur für die unbedingt notwendigen Informationen Pflichtfelder verwendet werden. Das bedeutet, dass für ein simples Kontaktformular keine Pflichtfelder verwendet werden sollten. Weisen Sie aber darauf hin, dass ohne die Angabe einer Kontaktmöglichkeit kein Kontakt möglich ist.
    Angabe mehrerer Kontaktmöglichkeiten

Siehe auch: SELF-Wiki: HTTPS und TLS

2. Von außen nicht sichtbar

2.1. Das Recht auf Vergessenwerden

Werden personenbezogene Daten gespeichert, so hat ein jeder das Recht, dass seine persönlichen Daten auf Anfrage entfernt werden. Es müssen Maßnahmen ergriffen werden, damit die Löschung personenbezoger Daten auf Anfrage möglich ist.
Online-Shop Systeme z.B. bieten die Möglichkeit, das Kundenkonto zu löschen oder zu editieren.

2.2. Vertrag zur Auftragsdatenverarbeitung

Mit sämtlichen Unternehmen, welchen man personenbezogene Daten zur Weiterverarbeitung überlässt, muss ein Vertrag zu Auftragsdatenverarbeitung abgeschlossen werden.
Ein typisches Beispiel ist hier der Hoster. Häufig ist es möglich, im Backend des Hosters ohne großen Aufwand den Vertrag zu Auftragsdatenverarbeitung abzuschließen.

2.3. Verfahrensverzeichnis

In jeden Unternehmen muss ein Verfahrensverzeichnis existieren, in welchem genau geregelt wird, wie mit dem Datenschutz im eigenen Unternehmen verfahren wird. Im Internet existieren zahlreiche Muster für solch ein Verfahrensverzeichnis.
Trusted-Shops z. B. bietet ein kostenpflichtiges Modul DSGVO-Schutz, mit dessen Hilfe ein Verfahrensverzeichnis interaktiv generiert werden kann. Außerdem übernimmt Trusted-Shops die rechtliche Verantwortung für das Verfahrensverzeichnis und unterstützt bei einer Abmahnung.

2.4. Datenpannenplan

In jedem Unternehmen muss ein Datenpannenplan existieren, in welchem genau geregelt wird, wie mit Datenpannen bezogen auf die DSGVO umgegangen wird. Im Internet existieren zahlreiche Muster für solch einen Datenpannenplan.
Trusted-Shops z.B. bietet ein kostenpflichtiges Paket mit dessen Hilfe ein Datenpannenplan interaktiv generiert werden kann. Außerdem übernimmt Trusted-Shops die rechtliche Verantwortung für den Datenpannenplan und unterstützt bei einer Abmahnung.

3. Google Analytics

3.1. Erst Fragen dann Tracken

Ende April 2018 wurde seitens der Datenschutzbehörden ein Dokument veröffentlicht, wonach Web-Tracking (und damit auch Google Analytics Tracking) nur dann erlaubt ist, wenn der Nutzer im Vorfeld darauf hingewiesen wurde und dem Tracking zugestimmt hat. Solch ein Hinweis könnte wie folgt aussehen:

Screenshot Erlaubnis google Analytics

Verzichtet man auf diesen Hinweis, läuft man Gefahr eine Abmahnung zu erhalten, integriert man diesen Hinweis, wird vermutlich ein Großteil der Besucher der Webpräsenz das Tracking ablehnen, was die Trackinginformationen aufgrund zu weniger Daten unter Umständen unbrauchbar macht.
Aktuell steht das genannte Dokument in der Kritik. Aus diesem Grund ist derzeit unklar, ob eine Nicht-Integration dieses Hinweises vor Gericht Bestand haben wird. Schlussendlich muss jeder für sich selbst entscheiden, ob er das Risiko eingeht, seine Benutzer auch ohne ihre Zustimmung durch Google tracken zu lassen.

3.2. Postalischer Versand des Vertrags nach Irland

Da nach Ansicht der Aufsichtsbehörden Websitebetreiber beim Einsatz von Google Analytics als Auftraggeber und Google als Auftragnehmer fungieren, ist mit Google ein Vertrag zur Auftragsverarbeitung abzuschließen. Hierfür musste bis zum 25. Mai 2018 (dem Anwendungsbeginn der DSGVO) ein ausgedruckter Vertrag postalisch an Google nach Irland verschickt werden. Diesen Vertrag stellt Google seit dem Stichtag nicht mehr zur Verfügung. Unter dem Downloadlink findet man folgendes:

Screenshot Auftragsverarbeit Google Analytics

Wie dieser elektronische Vertrag mit Google geschlossen werden kann, wird im nachfolgenden Punkt erklärt.

3.3. Vertragsbestätigung im Backend

Im Analytics Backend unter dem Menüpunkt „Verwaltung ==> Kontoeinstellungen“, muss den Datenverarbeitungsbedingungen von Google zugestimmt werden. Diese Einstellung ist neu im Google Analytics-System und wurde von Google im Zuge der Anwendung der DSGVO ab dem 25. Mai 2018 integriert. Nachfolgend ein Screenshot dieser Einstellung:

Screenshot Zustimmung Datenverarbeitung

3.4. Kontaktdaten im Backend

Im Analytics Backend unter dem Menüpunkt „Verwaltung ==> Kontoeinstellungen“ müssen die Firmen- und Kontaktdaten hinterlegt werden. Diese Einstellung ist ebenfalls neu im Google Analytics-System.

Screenshot Eingabe Firmendaten

3.5. Tracking Code anpassen

Der Google Analytics-Code ist abhängig von dem jeweiligen Staat, in welchem er genutzt werden soll, entsprechend zu ergänzen. Auf diese Ergänzungen beziehen sich die beiden nachfolgenden Punkte:

1. IP-Adressen anonymisieren
Wie auch schon vor der Anwendung der DSGVO müssen die letzten 8 Bit der IP-Adresse anonymisiert werden. Dies haben wir überprüft. Im nachfolgenden Screenshot ist zu sehen, dass hier alles passt. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden anerkannt und akzeptiert.

Screenshot Quellcode Anonymisierung IP-Adresse

2. Widerspruchsrecht
Zum einen sollte darauf geachtet werden, dass aus der Datenschutzerklärung heraus auf ein von Google entwickeltes Browser Add-On verlinkt wird, mit dessen Hilfe man Google Analytics deaktivieren kann. In der Datenschutzerklärung könnte der Abschnitt wie folgt aussehen:

Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das Browser-Add-on herunterladen und installieren.

Als Widerspruchsrecht reicht allerdings der Link auf das Google Browser Add-On nicht aus, weil dieses Add-On nicht mit allen Geräten und Browsern kompatibel ist. Diesen nicht kompatiblen Geräten und Browsern muss man folgende Alternative zur Deaktivierung von Google Analytics bieten:
Der Quellcode, welcher für die Integration von Google Analytics verantwortlich ist, muss dahingehend erweitert werden, dass das Google Analytics Tracking auch ohne das von Google entwickelte Browser Addon deaktiviert werden kann. Wie das realisiert werden muss wird nachfolgend erklärt:

Screenshot Tracking unterbinden

  • Die rot markierte UA-Nummer ist an beiden Stellen durch die UA-Nummer der Webpräsenz zu ersetzten.
  • Der schwarz markierte Quellcode zeigt den normalen Universal-Analytics Code, so wie er im Standardfall auf der Webpräsenz integriert ist. Hier muss nichts geändert werden.
  • Der grün markierte Quellcode zeigt den ersten Teil, der erweitert werden muss.
    • Im Browser wird geprüft, ob für die betreffende Webseite bereits das Deaktivierungs Cookie gesetzt wurde (Dritte Zeile des grün markierten Codes).
    • Wurde das Deaktivierungscookie bereits gesetzt, so wird im nächsten Schritt dafür gesorgt, dass das Google Analytics Tracking unterbunden wird (vierte Zeile des grün markierten Codes)
  • Der blau markierte Quellcode zeigt den zweiten Teil, der erweitert werden muss. Es handelt sich hierbei um eine Javascript-Funktion die aufgerufen wird, wenn der Webseiten Besucher aus der Datenschutzerklärung heraus auf den Link „Google Analytics deaktivieren“ klickt. Die Datenschutzerklärung muss entsprechend ergänzt werden.
  • Es muss möglich sein, die oben genannte Funktion gaOptout() aus der Datenschutzerklärung aufzurufen, um damit das Tracking zu deaktivieren. Der entsprechend Passus der Datenschutzerklärung könnte wie folgt aussehen:

    Opt-Out-Cookies verhindern die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website. Um die Erfassung durch Universal Analytics über verschiedene Geräte hinweg zu verhindern, müssen Sie das Opt-Out auf allen genutzten Systemen durchführen. Wenn Sie hier klicken, wird das Opt-Out-Cookie gesetzt: `Google Analytics deaktivieren`

Ist die Google Analytics Integration nicht händisch, sondern durch ein Modul realisiert, so ist die Erweiterung des Quellcodes um den grünen und blauen Abschnitt unter Umständen nicht möglich, weil der Modulanbieter dies nicht vorgesehen hat. In diesem Fall sollte Rücksprache mit dem Modulanbieter gehalten werden. Die meisten Modulanbieter sind sich der DSGVO bewusst und können Lösungsvorschläge darlegen bzw. ergänzen diese gerade. Sollte der Modulanbieter diese Erweiterung nicht bieten können oder wollen, so können die grün blau markierten Erweiterungen auch unabhängig vom normalen Analytics Code ergänzt werden. Es sollte unbedingt darauf geachtet werden, dass die Erweiterungen vor dem normalen Analytics-Code geladen werden, da nur so sicher gewährleistet werden kann, dass das Tracking auch korrekt unterbunden wird.

3.6. Aufbewahrungsdauer der Daten festlegen

Im Analytics Backend unter dem Menüpunkt „Verwaltung ==> Tracking-Informationen ==> Datenaufbewahrung“ wurde im Zuge der DSGVO eine neue Analytics-Funktionalität integriert. Man kann hier festlegen, wie lange personenbezogene Daten im Analytics-System gespeichert werden.

Dieses neue Funktionalität ist notwendig, weil die DSGVO vorsieht, dass personenbezogene Daten nur solange gespeichert werden dürfen, wie es für den jeweiligen Zweck erforderlich ist (Art. 5 DSGVO).

Die Voreinstellung sieht vor, dass die personenbezogenen Daten 26 Monate gespeichert werden. Diesen Wert sollte man auf den Minimalwert von 14 Monaten ändern, weil der Minimalwert von 14 Monaten im Allgemeinen vollkommen ausreicht, um den gewünschten Zweck zu erfüllen. Diese Einstellung bedeutet nicht, dass Berichte, die länger als 14 Monate in der Vergangenheit liegen, komplett gelöscht werden, es bedeutet lediglich, dass personenbezogene Daten aus diesen Berichten entfernt werden.

Desweiteren sollte der Button „Bei neuer Aktivität zurücksetzen“ deaktiviert werden. Dieser Button ist in der Vorsteinstellung aktiviert.

Wäre dieser Button aktiviert und wäre die Speicherung personenbezogener Daten beispielsweise auf 14 Monate festgelegt, so würde für einen Mehrfach-Besucher der Webpräsenz bei jedem neuen Besuch eine neue Sitzung initiiert, was dazu führen würde, dass seine Nutzerkennung bei jedem Besuch zurückgesetzt wird und nie den Ablauf von 14 Monaten erreichen würde. Um der DSGVO gerecht zu werden, sollte dieser Button deshalb deaktiviert werden.

Nachfolgend ein Screenshot zu den beiden Einstellungen:

Screenshot Analytics personenbezogene Daten

3.7. Löschung von Altdaten

In Punkt 5.3.5 wurde bereits erläutert, dass die IP-Adressen der Besucher der Webpräsenz anonymisiert werden müssen. Werden die IP-Adressen zum aktuellen Zeitpunkt anonymisiert, bleiben alte Datensätze mit vollständigen IP-Adressen erhalten.

Beispiel:

Angenommen der Google Analytics Code wird am 01.01.16 OHNE IP-Anonymisierung integriert. Am 01.01.17 wird entschieden, den Google Analytics Code um die IP-Anonymisierung zu erweitern. Knackpunkt wäre hier der Zeitpunkt vom 01.01.16 bis zum 31.12.16, als die IP-Adressen noch ohne Anonymisierung seitens Google Analytics verarbeitet wurden. Die Daten die in diesem Zeitraum gesammelt wurden, müssten rückwirkend gelöscht werden. Deshalb bietet Google in den Analytics-Einstellungen mittlerweile die Möglichkeit, gesammelte Daten zu löschen. In der Praxis besteht allerdings nicht die Möglichkeit, Daten eines bestimmten Zeitraums zu löschen. Man müsste demnach entweder alle Daten löschen oder komplett auf das Löschen der Daten verzichten. Das komplette Löschen der Daten wäre zwar machbar, hätte allerdings gravierende Nachteile, da viele Online-Marketing Maßnahmen basierend auf den Google Analytics Daten getroffen werden. Wie man hier vorgeht muss jeder für sich selbst entscheiden.

3.8. Analytics Code von Drittanbietern

Unter Umständen ist auf der eigenen Webpräsenz ein Google Analytics-Code zu finden, für dessen Integration man selbst bzw. der Programmierer der Website nicht verantwortlich ist. Anbieter wie z. B. Jimdo integrieren in jede mit Jimdo erstellte Webseite einen Analytics-Code. Nachfolgend im Detail erläutert:
Bei einer Jimdo Webseite gibt es zwei Möglichkeiten der Analytics Integration:

Die eine erfolgt über das Jimdo Backend. Nach dieser Integration kann das Nutzerverhalten der Besucher der Webseite über den eigenen Analytics Account betrachten werde. Hierbei ist man natürlich selbst für die DSGVO Maßnahmen verantwortlich.
Die andere erfolgt direkt über Jimdo. Jeder der eine Jimdo Webseite betreibt, hat zwangsläufig die Integration von Google Analytics in seiner Webseite. Man hat allerdings keinen Zugriff auf diesen Analytics Account, der Zugriff auf diesen Analytics Account obliegt ausschließlich Jimdo und wird für interne Statistikzwecke verwendet. Nun stellt sich die Frage, wie rechtlich mit dieser Integration zu verfahren ist. Diesbezüglich haben wir uns schlau gemacht. Jimdo schreibt hierzu folgendes:

„Jimdos eigene Statistikfunktion basiert auf Google Analytics. Falls du nur diese Funktion nutzt, reicht es, einen Vertrag zur Auftragsdatenverarbeitung mit Jimdo abzuschließen, da wir bereits einen Vertrag mit Google abgeschlossen haben.“

Neben Jimdo gibt es zahlreiche weitere Drittanbieter, die das gleiche Grundprinzip verfolgen. Integriert z. B. ein Hotel eine fertige Buchungsmaske in seine Website, so kann es sein, dass der Anbieter dieser Buchungsmaske ein Analytics-System in diese Buchungsmaske integriert. Diesbezüglich bestünde dann die einzige Aufgabe darin, einen Vertrag zur Auftragsverarbeitung mit dem Anbieter abzuschließen.

über den Autor

Autor: Karl Heinz
Webseite: www.sem-united.eu
GoogleAdWords vom Experten

  1. Eine Frage hätte ich in dem Zusammenhang. Die IP-Anonymisierung(8Bit), betrifft die nur Tracking-Tools oder allgemein? Erstaunlich wenig Verständliches dazu im Netz zu finden.
  2. Hallo Henri, ich bin zwar eigentlich schon im Urlaub, einen E-Mail Check mache ich aber noch, weitere Fragen kann ich erst Ende Juni beantworten. Meines Wissens gilt die IP-Anonymisierung grundsätzlich. Es ist demnach grundsätzlich verpflichtend die IP zu anonymisieren, egal ob ein Tracking-Tool verwendet wird oder etwas anderes. Die Antwort ist allerdings mit Vorsicht zu genießen, wie du schon sagst wirklich viele Infos findet man hierzu nicht im Netz. Viele Grüße