• Mann am Schreibtisch wird von einer Papierflut aus seinem PC Bildschirm überwältigt.

Firmenhomepages müssen an die neue Datenschutz-Verordnung der EU angepasst werden

Ab 25. Mai 2018 müssen alle Unternehmen die Vorgaben der europäischen Datenschutzgrundverordnung (abgekürzt DSGVO) erfüllen.

Wenn Sie das nicht tun, drohen hohe Strafen und kostenpflichtige Abmahnungen.

Die DSGVO betrifft alle Abläufe innerhalb ihres Unternehmens:

  1. Offline, also z.B. Alles, was Sie am Schreibtisch per Papier oder mit Ihrem Computer erledigen,
  2. und Alles, was Sie online machen, also z.B. Firmenhomepages, Social Media und Clouddienste.

Den meisten Unternehmern und Unternehmerinnen raucht schon der Kopf, während sie die zahlreichen Anforderungen für die firmeninternen Abläufe abarbeiten. Bei der Homepage kommt dann noch als Frust-Faktor dazu, dass man sich mit der Technik nicht auskennt, und kaum versteht, worum es da geht und was man machen muss.

In diesem Artikel erkläre ich Ihnen deshalb die wichtigsten Aspekte der DSGVO soweit sie Firmenhomepages betreffen.

Ich formuliere dabei absichtlich einfach und erspare Ihnen juristische Details. Dieser Artikel ist also juristisch unpräzise, aber dafür einfach zu lesen und leicht verständlich.

Welches finanzielle Risiko besteht für Ihre Firma?

Wenn Sie die DSGVO nicht zum 25.5. umsetzen, können 2 Probleme entstehen:

  • Behörden können ein Bußgeld in Höhe von bis zu 4% Ihres Jahresumsatzes verhängen. (Umsatz, nicht Gewinn.) Die Behörden sind angehalten, dass die Geldbußen „abschreckend“ sind. Rechnen Sie also nicht mit Milde, und mit Bußgeldern, die Sie aus der Portokasse bezahlen können.

Übrigens: Das Bußgeld gilt JE FALL, kann also mehrfach verhängt werden, wenn verschiedene Verstöße in Ihrem Unternehmen aufgedeckt werden.

  • Abmahnanwälte können Ihnen kostenpflichtige Abmahnungen schicken und die Umsetzung der DSGVO einfordern.

Insbesondere die Abmahnanwälte werden in den nächsten Wochen für viele Firmen zu einem Problem werden. Diese Anwälte machen ein Geschäft daraus, massenhaft Abmahnungen zu verschicken. D.h. Anwälte werden im Internet gezielt nach veralteten Webseiten suchen, und den Inhabern Abmahnungen schicken.

Die Abmahnung selbst verursacht schon mindestens ein paar Hundert Euro Kosten. Und nach der Abmahnung müssen Sie natürlich dann auch alles richtig einrichten.

Sofern Sie sich nach einer Abmahnung entscheiden, es auf einen Prozess ankommen zu lassen, fallen weitere Kosten an. (z.B. ihr eigener Anwalt sowie Gerichtskosten)

Deshalb ist es wichtig, dass Sie vor 25. Mai 2018 Ihre Homepage in Ordnung bringen.

  • Warum ist die Umsetzung bei der Firmenhomepage besonders eilig? Weil Abmahnanwälte und Konkurrenten Ihre öffentliche Homepage rund um die Uhr leicht überprüfen können. Eine nicht DSGV-konforme Homepage ist wirklich einfach zu erkennen. Ruckzuck geht der Brief vom Anwalt raus.
  • Fehler bei den Abläufen innerhalb Ihrer Firma sind dagegen von außen weniger leicht festzustellen. Da ist am Anfang das Risiko also kleiner. Natürlich sind Sie trotzdem gesetzlich verpflichtet, auch firmenintern die neuen Regeln zum Datenschutz umzusetzen.

Worum geht es in der Datenschutzgrundverordung?

In der DSGVO wird geregelt, wie Firmen in Zukunft mit personenbezogenen Daten umgehen dürfen. Wenn ich in diesem Artikel von „Daten“ spreche, meine ich immer „personenbezogene Daten.“

Die Verordnung regelt also Punkte wie:

  • Wann dürfen Daten in Ihrer Firma überhaupt gespeichert werden?
  • Welche Pflichten müssen Unternehmen einhalten, wenn sie Daten verarbeiten?
  • Welche Rechte haben die Betroffenen? Mit „Betroffene“ sind die Leute gemeint, deren Daten Sie speichern.

Die Gesetzeslage ist im Grunde sehr einfach:

Sie dürfen grundsätzlich keine personenbezogenen Daten speichern.

Gleichzeitig ist aber klar, dass bestimmte Geschäftsprozesse ohne Daten gar nicht funktionieren würden.

  • Zum Beispiel braucht Amazon, um Ihnen ein Buch schicken zu können, Ihren Namen und Ihre Postanschrift. Außerdem die Kreditkarteninformation für die Bezahlung.

Deshalb gibt es also Regelungen, wann personenbezogene Daten trotz des grundsätzlichen Verbots gespeichert werden dürfen.

Sobald Sie mit einer solchen Ausnahme personenbezogene Daten speichern, müssen Sie eine Reihe von Pflichten erfüllen.

Das gilt auch für alle Daten, die anfallen und verarbeitet werden, wenn jemand Ihre Firmenhomepage besucht.

WICHTIG: Das betrifft auch Daten, die auf der Homepage automatisch im Hintergrund verarbeitet werden, ohne dass Sie persönlich davon irgendetwas mitbekommen.

  • Auf Ihrer Homepage passieren im Hintergrund technisch Dinge, von denen Sie vielleicht gar nichts wissen, bei denen aber personenbezogene Daten Ihrer Homepagebesucher gespeichert werden.
  • Als Inhaber der Homepage sind Sie verantwortlich, dass dabei der Datenschutz gemäß DSGVO eingehalten wird.

Sie müssen also jetzt rausfinden, was auf Ihrer Homepage und auf Ihrem Weberserver eigentlich so passiert.

Um welche Daten geht es? Was sind „personenbezogene Daten?“

Es geht in der DSGVO nur um „personenbezogene Daten.“ Personenbezogen heißt, dass die Information einer konkreten, einzelnen Person zugeordnet werden kann.

Beispiele für personenbezogene Daten:

  • Name
  • Geburtsdatum
  • Anschrift
  • Telefon
  • Emailadresse
  • Bankkonten / Kreditkarten
  • Portraitfoto der Person
  • IP Adresse bei Internetnutzung

Nicht personenbezogen ist eine Information, aus der sich die Einzelperson nicht mehr bestimmen lässt.

Beispiel für nicht personenbezogene, also erlaubte Daten:

Eine Aussage wie „Im Jahr 2017 haben mehr als 2 Millionen Leute unsere Webseite besucht.“ Man kann daraus keine Rückschluss ziehen, WER diese 2 Millionen Leute waren.

Sonderfall IP Adresse

Im Onlinemarketing sind IP Adressen sehr wichtig. Beim Datenschutz Ihrer Firmenhomepage spielen Sie eine zentrale Rolle. Deshalb hier eine kurze Erklärung.

Wenn jemand eine Homepage besucht, wird er gegenüber dem Webserver mit einer sogenannten IP Adresse identifiziert. Die IP Adresse ist eine Kennung des Geräts, mit dem der Benutzer surft (also sein Computer, Handy, oder Tablet), in Verbindung mit seinem spezifischen Internetanschluss.

Die IP Adresse mit der ich gerade ins Internet gehe, um für diesen Artikel zu recherchieren, lautet:

119.42.123.31

D.h. alle Websitebetreiber, deren Webseiten ich gerade besuche, sehen in Ihren Serverstatistiken, dass ein Besucher mit der IP 119.42.123.31 auf der Homepage war.

Anhand verschiedener IP Adressen kann man also unterschiedliche Besucher der Homepage erkennen und feststellen: was hat der eine Besucher gemacht, was hat ein anderer Besucher gemacht?

In diesem Schritt weiß der Webseitenbetreiber aber noch nicht, WER sich hinter dieser IP Adresse verbirgt.

Was geschieht aber, wenn ich jetzt auf der Homepage ein Kontaktformular ausfülle?

Der Webseitenbetreiber hat jetzt

  • meine Daten aus dem Formular (z.B. meinen Namen)
  • UND die IP Adresse von der aus das Formular ausgefüllt wurde.

Folglich kann er jetzt leicht auch alle anderen Aktivitäten mit dieser IP Adresse meinem Namen und damit meiner Person zuordnen.

Das ist der Grund, warum die IP Adresse eine der kritischsten personenbezogenen Informationen ist.

Immer wenn auf der Homepage vollständige IP Adressen gespeichert werden, besteht für den Betroffenen das Risiko, dass seine Aktivitäten im Detail verfolgt und seiner Person zugeordnet werden.

Soweit zur Erklärung, was personenbezogene Daten sind.

Portrait Ralf Skirr mit Text Fazit DSGVO Firmenhomepage

Welche Änderungen sind jetzt bei Ihrer Firmenhomepage nötig?

Im Detail hängt das natürlich davon ab, welche Funktionen Ihre Homepage hat.

  • Ein Onlineshop hat andere Funktionen als zum Beispiel die Homepage eines Zahnarztes.

Am Anfang steht also ein Vergleich der Funktionen Ihrer Homepage mit den Anforderungen der DSGVO.

Im Internet sind mittlerweile umfangreiche Informationen verfügbar, welche Aspekte dabei eine Rolle spielen. Es gibt auch verschieden Informationsprodukte, die Sie kaufen können.

Für maximale Sicherheit brauchen Sie eine individuelle Prüfung durch einen auf Onlinerecht spezialisierten Rechtsanwalt.

Eine zusätzliche Schwierigkeit: Der Gesetzgeber hat Einiges im Unklaren gelassen. Wo eindeutige Regeln fehlen, bleibt ein Risiko, selbst wenn Sie aktuelle Empfehlungen umsetzen.

Ein Problem dabei ist, dass unterschiedliche Anwälte die Gesetze unterschiedlich auslegen und deshalb unterschiedliche Empfehlungen aussprechen.

In der Praxis wird das dazu führen, dass Anwälte die Unternehmen per Abmahnung vor Gericht bringen und einen Prozess starten. Erst nachdem im Verlauf mehrerer Jahre verschiedene Gerichte entsprechende Urteile gefällt haben, wird ein Konsens entstehen, was erlaubt ist und was nicht.

Die gute Nachricht ist, dass alle Firmen vor den gleichen Schwierigkeiten stehen, aber auch die gleichen Chancen haben. Niemand wird benachteiligt, und durch die neuen Gesetze ist Vieles nun fairer und einheitlich geregelt. Auch im Sinne eines fairen Wettbewerbs beim Onlinemarketing. Unseriöse Marketingmethoden sind jetzt schwerer umzusetzen.

Gehen Sie Schritt für Schritt vor.

Die DSGVO ist kompliziert und frustrierend, aber wie jede schwierige Aufgabe können Sie sie meistern, indem Sie es sich einfach machen und Schritt für Schritt vorgehen.

Statt in einem Rutsch alle 10 der folgenden Maßnahmen gleichzeitig verstehen und erledigen zu wollen, arbeiten Sie die Liste Punkt für Punkt ab.

Fangen Sie mit Schritt eins an und ignorieren Sie alle anderen Punkte. Und erst wenn Sie damit fertig sind, kümmern Sie sich um Schritt 2. Und so weiter.

Wenn Sie Ihre Webseite bei DigiStage gehostet haben, helfe ich Ihnen gerne bei der technischen Umsetzung und den nötigen Arbeiten an der Homepage und auf dem Webserver.

Die 11 wichtigsten Maßnahmen zur DSGVO bei der Firmenhomepage

Im Folgenden stelle ich die wichtigsten Änderungen vor, von denen Firmenhomepages betroffen sind.

1. Stellen Sie Ihre Homepage auf SSL Verschlüsselung um.

Die Daten zwischen Ihrer Homepage und dem Endgerät des Nutzers (also seinem Internetbrowser) werden dann verschlüsselt übertragen.

Sie haben den Unterschied beim Surfen im Internet bestimmt selbst schon gesehen:

  • In der Webadresse ändert sich „http://“ zu „https://“
  • Verschlüsselte Webseiten zeigen im Browser ein Schloss-Symbol.

Bevor eine Information von Ihrer Homepage das Endgerät Ihres Nutzers erreicht, wird die Information über eine Kette von Rechnern weitergeleitet. Unverschlüsselte Informationen können deshalb unterwegs abgegriffen werden.

Das gilt auch für den umgekehrten Weg: auch Informationen, die vom Benutzer zu Ihrer Homepage gesendet werden, könnten unterwegs abgegriffen werden. Z.B. eine Anfrage mit dem Kontaktformular, die persönliche Daten des Nutzers enthält.

Wenn Sie für Ihren Webserver (Ihre Homepage) SSL Verschlüsselung aktivieren, kann unterwegs niemand mehr die Daten abgreifen und lesen. Die Daten sind sicher.

Screenshot vom Browser mit Schloss-Symbol für SSL Verschlüsselung

Die SSL Verschlüsselung hat drei weitere Vorteile:

  1. Verschlüsselte Homepages sind bei Homepagebesuchern vertrauenserweckend.
  2. Wenn eine Homepage SSL benutzt, kann der Webserver auf eine schnellere Datenübertragung umgestellt werden. D.h. Ihre Besucher sehen die Seiten Ihrer Homepage schneller. Das ist im Einzelfall aber von Ihrem Webhost abhängig. Für Kunden, die bei DigiStage hosten, stellen wir mit SSL auf jeden Fall auch auf die schnellere Datenübertragung um.
  3. Google begünstigt schnellere Homepages in den Suchergebnissen. Es kann sein, dass auch die SSL Verschlüsselung einen zusätzlichen Vorteil bei Google bringt.

Der erste Schritt zu SSL ist also, mit Ihrem Webhost zu klären, wie Sie SSL Verschlüsselung für Ihre Homepage aktivieren können. Es gibt kostenlose Lösungen und Lösungen mit jährlichen Kosten.

Bei Kunden, die mit der DigiStage GmbH (also mit meiner Firma) hosten, fallen einmalige Einrichtungsgebühren an, aber keine laufenden Kosten.

2. Nennen Sie konkret den Datenschutzbeauftragten.

Unter Umständen müssen Sie für Ihre Firma einen Datenschutzbeauftragten einsetzen. Falls das auf Ihr Unternehmen zutrifft, so muss der Datenschutzbeauftragter auf der Homepage benannt werden.

Bevor Sie die Punkte 3 und 4 erledigen, sollten Sie also klären, ob Sie einen Beauftragten brauchen.

3. Ändern Sie die Datenschutzerklärung DSGVO gerecht.

Eine Datenschutzerklärung oder „Hinweise zum Datenschutz“ ist eine Seite auf Ihrer Homepage, mit der Sie die Homepagebenutzer ausführlich und in leicht verständlicher Sprache darüber aufklären, wie auf Ihrer Homepage personenbezogene Daten verarbeitet werden.

Ich sehe oft Homepages, die nicht mal nach altem Recht eine korrekte Datenschutzerklärung haben.

Spätestens jetzt aber sollten Sie sich wirklich sofort um eine vollständige und aktuelle Datenschutzerklärung kümmern. Eine der Besonderheiten der DSGVO ist ja die Idee, dass die Strafen in Zukunft abschreckende Wirkung haben sollen.

Die neuen Datenschutzhinweise auf Ihrer Webseite werden in den meisten Fällen deutlich informativer und ausführlicher sein als bisher.

4. Überprüfen Sie Ihr Impressum.

Das Impressum informiert die Nutzer darüber, wer die Homepage betreibt, und wer für die Inhalte verantwortlich ist. Je nach Branche sind unterschiedliche Angaben gesetzlich vorgeschrieben.

Im Rahmen der DSGVO gibt es vom Impressum unabhängige Informationspflichten, die sich aber mit dem Impressum überschneiden. Wenn Ihr Impressum korrekt ist, können Sie in der Datenschutzerklärung also darauf Bezug nehmen.

Obwohl das Impressum keine spezifische Anforderung der DSGVO ist, ist das Impressum der meisten Homepages unvollständig. Bei der zu erwartenden Abmahnwelle werden die Anwälte das mit berücksichtigen.

5. Ändern Sie Ihre Kontaktformulare.

Kontaktformulare sollten eine Einwilligungsbox zum Anhaken bekommen, mit der der Nutzer zustimmt, dass seine Anfrage von Ihnen verarbeitet wird.

Das ist eine Regelung, die man mit gesundem Menschenverstand nur als idiotisch bezeichnen kann. Denn wenn ein Interessent eine Anfrage schickt, kann man ja davon ausgehen, dass er eine Bearbeitung der Anfrage erwartet und wüscht.

Es gibt durchaus Anwälte, die sagen, dass man eine solche Einwilligung nicht braucht. Allerdings hat schon ein Gericht FÜR die Einwilligung entschieden. Wenn andere Gerichte dieser Entscheidung folgen, wird sich die Einwilligungsbox wohl durchsetzen – egal wie unsinnig das eigentlich ist.

Screenshot eines Kontaktformulars mit Checkbox zur Datenverarbeitung

6. Löschen Sie Anfragen übers Kontaktformular nach der Bearbeitung.

Anfragen übers Kontaktformular müssen in Zukunft nach endgültiger Bearbeitung gelöscht werden. Das ist eine gewöhnungsbedürftige Anforderung. Die meisten Firmen behalten Anfrage-E-Mails einfach dauerhaft im Postfach, oder tragen den Kontakt sogar in eine Interessentendatenbank ein.

Nun müssen Sie überlegen, wann eine Anfrage als „endgültig bearbeitet“ einzustufen ist. Der Kontakt darf dann nicht gespeichert bleiben.

  • Sie dürfen die Daten einer Anfrage nicht in einen Werbeverteiler eintragen.
  • Wenn Sie Interessenten in ein CRM System eintragen, müssen Sie die Löschungspflicht bedenken.
  • Sie dürfen die Anfrage nicht für die nächsten 100 Jahre in Ihrem Posteingang aufbewahren. Sobald die Anfrage abschließend erledigt ist, muss sie gelöscht werden.
  • Manche Systeme senden die Anfrage nicht nur per Email, sondern speichern Sie auch auf dem Webserver in einer Datenbank. Auch hier müssen Sie an die Löschung denken. Ich selbst habe mich für meine Homepages entschieden, diese zusätzliche Speicherung abzuschalten, und somit die Anfragen nur als Email zu speichern.

Die vom Kunden mit Kontaktformular abgesendete Anfrage wird Ihnen ja vermutlich per Email zugeschickt. In dem Zusammenhang ist auch wichtig:

7. Erhöhen Sie die Sicherheit bei Emails

Emails sollten Sie in Zukunft nur verschlüsselt abrufen und versenden. Das ist in den meisten Firmen eine Funktion, die über den gleichen Server läuft wie die Homepage.

  • Sie müssen bei Ihrem Webhost die Möglichkeit haben, Emails verschlüsselt zu übertragen.
  • Sie müssen beim Anlegen eines Emailkontos in Ihrem Emailprogramm (z.B. Outlook) die verschlüsselte Übertragung korrekt einstellen.

Außerdem ist es jetzt noch wichtiger als bisher, wirklich sichere Passwörter zu benutzen. Wenn ein Hacker Zugriff auf Ihr Emailkonto bekommt, weil Sie zu faul sind, ein sicheres Passwort zu benutzen, sind Sie haftbar.

  • Sie haben laut DSGVO die Pflicht, technisch für die Sicherheit von Daten zu sorgen. Dazu gehören auch sichere Passwörter. Das gilt auch für Ihre Mitarbeiter.

8. Prüfen und ändern Sie die Verwendung von Cookies

Viele Funktionen einer Webseite werden mit der Verwendung von „Cookies“ durchgeführt. Cookies sind Textdateien, die die Webseite auf dem Endgerät des Homepagebesuchers speichert. In diesen Textdateien befinden sich Informationen, auf die die Homepage dann immer wieder zurückgreifen kann, wenn der Besucher eine neue Seite im Browser aufruft.

Beispiele:

  • Bei einer mehrsprachigen Seite speichert ein Cookie die vom Benutzer gewünschte Sprache, damit bei weiteren Besuchen automatisch die richtige Sprache eingestellt ist.
  • Bei einem Onlineshop speichert ein Cookie die Produkte, die der Besucher in den Warenkorb gelegt hat. Kehrt der Besucher etwas später wieder zum Shop zurück, findet er seine Produktauswahl immer noch im Warenkorb.
  • Fast alle Webseiten fragen mittlerweile beim ersten Besuch an, ob Sie mit der Datenschutzerklärung einverstanden sind. Ihre Antwort wird in einem Cookie gespeichert, so dass Sie diese Frage nicht auf jeder Seite neu beantworten müssen.

Cookies dienen aber auch der Steuerung und Erfolgskontrolle von Marketing-Kampagnen. Das betrifft insbesondere Marketingkampagnen der großen Anbieter wie Google, Facebook oder LinkedIn. Beispiel:

  • Sie schalten Anzeigen auf Facebook. Wenn ein Facebook-Nutzer die Anzeige klickt, kommt er zu Ihrer Homepage. Von Ihrer Homepage wird jetzt ein Cookie gesetzt, mit dem beim nächsten Besuch klar ist, dass dieser Besucher von der Facebook-Anzeige kam. Kommt auf der Homepage ein Verkauf zustande, so wissen Sie anhand des Cookies, dass dieser Verkauf durch die Facebook-Anzeige zustande kam. So können Sie feststellen, ob sich die Anzeigen rentieren, oder rausgeschmissenes Geld sind.

Grundsätzlich müssen Sie über die Verwendung von Cookies ausdrücklich in der Datenschutzerklärung informieren. Uneinigkeit herrscht bei Anwälten in der Frage, ob Sie von Ihren Homepagebesuchern eine Ausdrückliche Zustimmung zur Verwendung von Cookies abfragen müssen.

Manche Anwälte sagen, Information ist genug. Die Verwendung ist durch das legitime Geschäftsinteresse Ihrer Firma hinreichend begründet.

Andere Anwälte sagen, Sie dürfen Cookies nur benutzen, wenn der Betroffene ausdrücklich seine Einwilligung erklärt hat.

Als Homepagebesitzer haben Sie jetzt die Wahl:

  • Wenn Sie für Ihr Marketing möglichst umfangreich Cookies verwenden wollen, informieren Sie nur in der Datenschutzerklärung und verzichten auf die ausdrückliche Einwilligung. Das Risiko einer Abmahnung erhöht sich dadurch.
  • Wenn Sie möglichst abmahnsicher sein wollen, holen Sie von den Homepagebesuchern beim ersten Besuch die Zustimmung oder Ablehnung ein. Sie werden dann bei weniger Nutzern Cookies setzen können. Haben also weniger Daten fürs Onlinemarketing.

Das sind die generellen Schritte zu Klärung der Cookies im Hinblick auf die DSGVO:

  1. Stellen Sie fest, welche Cookies erzeugt werden, wenn jemand Ihre Homepage besucht.
  2. Entscheiden Sie, welche Cookies Sie wirklich brauchen, und welche evtl. überflüssig sind.
  3. Entfernen Sie die Funktionen für die überflüssigen Cookies von der Homepage bzw. vom Webserver.
  4. Für die Cookies, die Sie weiter verwenden wollen, müssen Sie eine Information in die Datenschutzerklärung einfügen.
  5. Über spezielle Software müssen Sie Ihren Besuchern eine Möglichkeit geben, Cookies nach Wunsch ganz oder teilweise abzuschalten. Die Information zu diesen Tools gehören auch in die Datenschutzerklärung.
  6. Zu Beginn des Homepagebesuchs muss der Benutzer über die Cookies und die Abschaltmöglichkeit informiert werden. Das geschieht meistens mit oben oder unten eingeblendeten Infotexten, die man bestätigen muss. Dabei können Sie, wenn Sie auf Nummer sicher gehen wollen, auch direkt die Einwilligung abfragen und das Abschalten der Cookies ermöglichen.

9. Seien Sie besonders pingelig bei Ihrem E-Mail Newsletter und Ihrer E-Mail Kontaktliste

Genau wie bei den Cookies, ist die korrekte Umsetzung der DSGVO für E-Mail Newsletter bei Anwälten etwas umstritten. Es gibt pingelige und weniger pingelige Lösungsvorschläge. Tatsache ist, dass es einige gravierende Auswirkungen geben wird. Wie pingelig man bei der Umsetzung sein muss, oder wie viel jetzt noch ohne ausdrückliche Zustimmung erlaubt ist – darüber gehen die Meinungen auseinander.

Auch die Frage, ob man seine bisherigen Newsletterverteiler weiter verwenden darf, wird recht widersprüchlich beantwortet. Manche Ratgeber gehen soweit, zu sagen, dass Sie von allen E-Mail Kontakten eine neue Erlaubnis einholen müssen. Das scheint mir aber ein übertriebener Ansatz zu sein.

Da bei der Beurteilung ziemlich viele Faktoren eine Rolle spielen, gebe ich hier keine detaillierte Beschreibung. Stattdessen nur der Hinweis: Sie müssen Ihren E-Mail-Newsletter unbedingt überprüfen. Die Wahrscheinlichkeit, dass Sie Änderungen vornehmen müssen, ist ziemlich hoch.

Einige Beispiele, die zu Änderungen beim Ihrem E-Mail-Marketing führen könnten:

  • evtl. benutzen Sie E-Mail-Marketingdienste, die nicht der DSGVO entsprechen oder keinen ADV Vertrag anbieten. (zu ADV siehe nächster Punkt) Diese Dienste müssten Sie kündigen und durch DSGVO konforme Anbieter ersetzen.
  • evtl. haben Sie E-Mail-Adressen gesammelt, indem Sie kostenlose Infoprodukte zum Download angeboten haben. Diese Adressen dürfen Sie in Zukunft evtl. nicht mit einem Newsletter bewerben. (Ob oder ob nicht hängt von der exakten Formulierung Ihres Angebots ab.)
  • evtl. haben Sie beim Aufbau Ihres E-Mail-Verteilers keine ausdrückliche Bestätigung der Empfänger eingeholt, z.B. über Double-Optin. Das gilt insbesondere, wenn Sie einen E-Mail-Verteiler manuell aufgebaut haben, z.B. in Ihrem Outlook-Programm oder in einer Excel-Tabelle.

Das sind nur einige Beispiele aus einer langen Liste von möglichen Problemfällen. Viele Leute sind in Sachen E-Mail-Marketing pingelig. Das ist deshalb der Bereich, indem Sie am Häufigsten mit Beschwerden von echten Nutzern / Betroffenen rechnen sollten.

Und nun zum letzten Punkt…

10. Machen Sie Verträge zur Auftragsdatenverarbeitung (AV) mit allen in die Homepage integrierten Diensten

Bei einer Homepage und bei Maßnahmen zum Onlinemarketing haben meistens auch externe Dienstleister Zugriff zu personenbezogenen Daten Ihrer Homepagebesucher.

Hier ein paar Beispiele, wieder etwas unpräzise und vereinfacht dargestellt:

  • Ihr Webhost kann selbstverständlich „sehen“ was auf Ihrer Homepage passiert, und speichert Ihre Emails auf seinem Webserver. Kann also im Grunde auch Ihre Emails lesen.
  • Alle Firmen, die Statistiken für Ihre Homepage verwalten, sehen was Besucher auf Ihrer Homepage machen. Am bekanntesten ist Google Analytics.
  • Alle Firmen, die für Sie die zielgerichtete Schaltung von Anzeigen steuern, können das Verhalten Ihrer Nutzer einsehen. Beispiele sind Anzeigenschaltungen bei Google, Facebook oder LinkedIn. Vertragspartner für den ADV Vertrag sind hier also Google, Facebook oder LinkedIn.
  • Ihre Internetagentur oder Marketingagentur hat wahrscheinlich Zugriff auf die Daten.
  • Support-Ticket-Systeme und Chat-Systeme, die auf den Servern externer Dienstleister laufen und in Ihre Homepage eingebunden sind.
  • Ebenso externe Newsletteranbieter / Autoresponder, bei denen die Emailadressen Ihrer Abonnenten gespeichert werden.
  • Datensicherungen, die auf anderen Servern gespeichert werden (also nicht auf dem Server Ihres Webhosts, sondern bei beliebigen anderen Clouddiensten)

Sie müssen mit allen Firmen, die im Rahmen Ihrer Firmenhomepage mit Nutzerdaten in Kontakt kommen, ausdrückliche Verträge zum Datenschutz abschließen. (Verträge zur Auftragsdatenverarbeitung, kurz AV, vor der DSGVO auch ADV abgekürzt)

  • Alle größeren Firmen (Webhosts, Google, Facebook) haben solche Verträge schon vorbereitet. Sie müssen sich nur noch um den Abschluss kümmern.
  • Bei kleineren Firmen müssen Sie evtl. die Initiative ergreifen.

Dienstleister, die nicht zum Abschluss eines Vertrages zur AV bereit sind, müssen Sie von der Homepage entfernen. Entfernen bedeutet,

  • dass Sie die entsprechenden Funktionen technisch von der Homepage entfernen
  • und ggf. bisherige Zugangsdaten durch neue Passwörter unbrauchbar machen. Zum Beispiel darf Ihre Webagentur keinen Zugriff auf Ihre Webseite mehr haben, wenn sie keinen AV Vertrag mit Ihnen macht.

Besondere Vorsicht ist bei Firmen außerhalb der EU geboten.

11. Dokumentieren Sie alle Maßnahmen zur Umsetzung der DSGVO

Das neue Gesetz fordert, dass Sie die Einhaltung der DSGVO jederzeit nachweisen könnnen. Daraus ergibt sich eine Dokumentationspflicht. Auf Anfrage der Behörden müssen Sie auflisten können, welche Formen der Datenverarbeitung in Ihrem Unternehmen passieren, und welche Maßnahmen Sie ergriffen haben.

Dokumentieren Sie also Alles, und heben Sie die Dokumentation langfristig auf.

Hier die wichtigsten Maßnahmen zur DSGVO bei der Firmenhomepage im Überblick

  1. Stellen Sie Ihre Homepage auf SSL Verschlüsselung um.
  2. Klären Sie, ob Sie einen Datenschutzbeauftragten brauchen.
  3. Ändern Sie die Datenschutzerklärung DSGVO gerecht.
  4. Überprüfen Sie Ihr Impressum.
  5. Ändern Sie Ihre Kontaktformulare.
  6. Löschen Sie Anfragen übers Kontaktformular nach der Bearbeitung.
  7. Erhöhen Sie die Sicherheit bei Emails.
  8. Prüfen und ändern Sie die Verwendung von Cookies.
  9. Seien Sie besonders pingelig bei Ihrem E-Mail Newsletter und Ihrer E-Mail Kontaktliste.
  10. Machen Sie Verträge zur Auftragsdatenverarbeitung (ADV) mit allen in die Homepage integrierten Diensten
  11. Dokumentieren Sie alle Maßnahmen zur Umsetzung der DSGVO