Datenschutz-konforme Website
Juchhu: DSGVO
Die Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten und sieht auch harte Sanktionen bei Missbrauch vor. Wir unterstützen Sie bei der korrekten Umsetzung und dem datenschutzkonformen Betrieb Ihrer Website!
Das Wichtigste zum Datenschutz Ihrer Website
Keine Sorge: Wir unterstützen Sie!
- Auf Ihrer Website ist eine Datenschutzerklärung Pflicht. Sie informiert Benutzerinnen und Benutzer darüber, welche persönlichen Daten Sie erheben und speichern und wie Sie sie verwenden.
- Sie benötigen ein SSL-Zertifikat, um alle Daten verschlüsselt zu übertragen.
- Bei der Verwendung von Drittanbieter-Anwendungen ist besondere Vorsicht geboten und oft eine explizite Zustimmung notwendig
- Sie sind verpflichtet, aktuelle Software-Versionen einzusetzen. Dies gilt z.B. für Systeme wie TYPO3, WordPress oder Magento. Aber auch für die dahinterliegende Programmiersprache PHP.
- Sie dürfen nur nachweislich zuverlässige Dienstleister für die Erstellung, das Webhosting und den Betrieb Ihres Webauftritts verwenden. In manchen Fällen benötigen Sie mit ihnen einen Vertrag zur Auftragsdatenbearbeitung oder seit dem Fall des Privacy Shield Abkommens bei US-Dienstleistern zumindest Standardvertragsklauseln.
Disclaimer: Die Rechtslage - speziell die Interpretation durch Urteile - ändert sich schnell. Wir sind Online-Profis, aber keine Juristen. Für Rechtssicherheit ist die Einbindung Ihres Rechtsbeistandes notwendig. Wir vermitteln auch gerne rechtsfreundliche Beratung zum Thema Datenschutz.
Ihre Datenschutzerklärung
Ohne droht Abmahngefahr
In Ihrer Datenschutzerklärung beschreiben Sie, wie Ihre Organisation personenbezogene Daten verarbeitet. Wie sie gesammelt, genutzt und ob sie an Dritte weitergegeben werden. Damit kommen Sie den in der DSGVO und im TKG geforderten Informationspflichten nach. Die Datenschutzerklärung wird wie das Impressum auf Ihrer Website eingebunden. Eine Vorlage zur Formulierung bietet die Wirtschaftskammer Österreich. Wir versorgen Sie im Projektverlauf mit den technischen Aspekten, die darin erwähnt werden müssen.
SSL-Zertifikat
Formulardaten dürfen nicht unverschlüsselt übertragen werden
Mit einem SSL-Zertifikat (SSL: Secure Socket Layer) ist Ihre Website unter dem Protokoll erreichbar und alle Daten werden verschlüsselt übertragen. Besonders bei Webformularen ist diese Maßnahme unverzichtbar, da dort fast immer auch personenbezogene Daten eingegeben werden. Auch bei der Suchmaschinenoptimierung ist ein SSL-Zertifikat von Vorteil.
Zustimmungspflichtige Aktivitäten
Immer, wenn personenbezogener Daten betroffen sind
Personenbezogene Daten sind neben offensichtlichen Dingen wie Name oder Geburtsdatum auch alle anderen Dinge, anhand derer eine Person identifiziert werden kann. Definitiv zählt auch die IP-Adresse dazu, die bei jedem Besuch einer Website vom Webserver registriert wird. Verboten ist jede Speicherung oder Auswertung solcher Daten, zu der es keine eindeutige Zustimmung und Ablehnungsmöglichkeit der betroffenen Person gibt.
Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sind auf jene Situationen beschränkt, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines ausdrücklich angeforderten Dienstes zu ermöglichen.
Bespiele für zustimmungspflichtige Aktivitäten
Explizite Aufklärung, Zustimmung und Ablehnungsmöglichkeit erforderlich!
Für die Speicherung und Weiterverwendung von Daten, die in Webformularen eingegeben werden, ist eine eindeutige Zustimmung erforderlich. Diese wird meist über eine Checkbox im Formular eingeholt. Beispiele für Webformulare: Kontaktformular, Newsletteranmeldung, Event-Anmeldung.
Läuft auf einer Website eine Software zur Messung, Speicherung und Auswertung der Daten Ihrer Besucher, so müssen diese meistens darüber informiert werden. Dies gilt immer dann, wenn Dienste laufen, welche Daten an externe Server übermitteln. Auch bei lokale Diensten (z.B. Matomo) kann eine Zustimmungspflicht erwachsen, wenn sie bestimmte Plugins verwenden oder so konfiguriert werden, dass extrem viel getrackt oder die Daten lange gespeichert werden. Das Tracking ist in diesen Fällen nur mit einer expliziten Zustimmung zulässig. Davor darf nicht getrackt werden. Über die allfällige Datenweitergabe muss aufgeklärt werden. Besucher müssen die Website auch bei Ablehnung des Trackings weiter verwenden dürfen. Dazu kommt nach einer Entscheidung der Österreichischen Datenschutzbehörde (PDF) auch noch zusätzlich die Problematik, dass US-Amerikanische-Dienste wegen des dort auch ohne Zustimmung möglichen Behördenzugriffs derzeit von einer legalen Datenübermittlung von personenbezogenen Daten ausgeschlossen sind. Das beliebte Google Analytics kann beispielsweise nur noch eingesetzt werden, wenn serverseitiges Tracking aktiviert ist und keine personenbezogenen Daten wie die IP-Adresse übermittelt werden (Stand 02/2022).
Wenn Sie auf Ihrer Website eine Kartensoftware wie Google Maps verwenden, erfasst diese personenbezogene Daten Ihrer Userinnen und User. Ohne gesonderte Zustimmung wäre dies unzulässig. Über eine sogenannte "Zwei-Klick-Lösung" kann die Einbindung datenschutzkonform erfolgen. Dabei wird die Karte erst nach Zustimmung geladen.
Die Einbindung von Videos ist auf Webseiten sehr beliebt. Die Verwendung bekannter Streaminganbieter wie YouTube oder Vimeo vereinfacht den technischen Prozess beträchtlich. Allerdings werden dabei personenbezogene Daten an den jeweiligen Streaminganbieter gesendet. Dies ist ohne Genehmigung unzulässig. Per "Zwei-Klick-Lösung", wird das Video erst nach gesonderter Zustimmung geladen.
Ein einfacher Link auf Facebook & Co ist zulässig. Werden jedoch Like-Buttons, Share-Buttons, News-Feeds oder Ähnliches eingebunden, so ist dafür eine gesonderte Genehmigung notwendig. Per "Zwei-Klick-Lösung", wird der Dienst erst nach gesonderter Zustimmung geladen.
Über Remarketing könne Sie Besucher Ihrer Website nochmals erreichen, auch wenn diese keine Daten auf Ihrer Website eingegeben haben. z.B. Warenkorb-Abbrecher. Die Werbeauslieferung ist aber nur an solche Besucher zulässig, die dem explizit zugestimmt haben. Beispiele für Remarketing-Netzwerke: Google Ads, Facebook Ads...
Auch externe Spam-Schutz-Plugins wie Google reCAPTCHA übermitteln die IP-Adresse der User. Wir beraten gerne über alternative Methoden.
Nicht-zustimmungspflichtige Aktivitäten
Keine Zustimmung erforderlich, weil Verwendungszweck klar und technisch unvermeidbar
- Session-Cookies, ohne die eine Website nicht funktionieren würde und die bei Besuchsende gelöscht werden
- Check-out in Webshops (Warenkorb, Login, Speicherung Bestellung)
- Webanalyse mit einem lokal laufendem Dienst (z.B. Matomo) und datenschutzkonformer Konfiguration ohne Verwendung externer Plugins
- Erfassung von Zustimmung oder Ablehnung zur Datenverwendung (z.B. in einem Cookie)
Wenn Ihre Website nur diese Funktionen und Dienste aufweist, ist kein Cookie-Banner notwendig.
Software und Drittanbieter-Plugins
Immer auf dem letzten Stand - die Behörde prüft das
Sie sind für die Daten Ihrer Websitebesucher und Kundinnen verantwortlich. Zu dieser Verantwortung zählen Sorgfaltspflichten, auch hinsichtlich der verwendeten Software. Sie müssen dafür Sorge tragen, dass:
- Die verwendete Websoftware immer auf dem letzten, sicherheitstechnischen Stand ist. Systeme wie TYPO3, WordPress oder Magento bringen anlassbezogene Sicherheitsupdates und regelmäßig neue Programmversionen heraus. Es ist Ihre Pflicht, Ihre Software auf dem letztgültigen Sicherheitsstand zu halten. Besonders, wenn Sie personenbezogene Daten speichern.
- Auch für die dahinterliegende Programmiersprache (z.B. PHP) gibt es regelmäßig Updates, die oft auch Änderungen des Programmcodes notwendig machen.
- Setzen Sie auf Ihrer Website Module von Drittanbietern ein (Plugins, Extensions), so müssen Sie dafür Sorge tragen, dass sie sicher sind. Dazu gilt es zu prüfen, ob die Programmversion aktuell ist, welche Daten erhoben und ob diese an Dritte weitergegeben werden. Dabei ist es unerheblich, ob das Modul gratis oder kostenpflichtig ist. So eine Prüfung ist aufwändig. Dies ist auch der Grund, warum wir Drittanbieter-Plugins gerne vermeiden.
Die verwendeten Programmversionen sind meist von außen sichtbar. Damit sehen dies auch Hacker und Datenschutzbehörden. Sie müssen gegebenenfalls erklären können, warum Sie abgelaufene Software im Einsatz haben und welche Sicherheitsmaßnahmen Sie verwenden.
Im Rahmen einer Wartungsvereinbarung schützen wir Sie vor diesen Gefahren. Software ist wie ein Garten. Letzteren muss man regelmäßig gießen, Software regelmäßig updaten.
Zustimmung korrekt einholen
Damit eine Zustimmung rechtswirksam eingeholt werden kann, müssen einige Voraussetzungen erfüllt werden:
- Die Zustimmung muss im Vorhinein eingeholt werden.
- Die Zustimmung muss explizit pro Verwendungszweck eingeholt werden.
- Usern muss klar sein, wofür sie ihre Zustimmung geben.
- Zustimmungspflichtige Optionen dürfen nicht vorausgewählt sein.
- Die Ablehnung darf in Aufmachung und Farbe nicht weniger auffälliger sein als die Zustimmung (zB Link statt Button), muss neben der Zustimmung platziert und am ersten Screen auswählbar sein.
- Die Zustimmung muss in der Sprache der Website erfolgen können.
Nach bisherigen Urteilen, wie z.B. des Europäischen Gerichtshofs (EuGH) vom 29. Juli 2019 in der Rechtssache C-40/17 "Fashion ID", darf von einer strengen Auslegung seitens der Gerichtsbarkeit ausgegangen werden. Konkludente Zustimmung durch Benutzung der Website, Verschleierung durch unvollständige oder unklare Formulierungen oder auch nur das Anhaken zustimmungspflichtiger Optionen im Vorhinein sind definitiv verboten.
Dennoch bleibt viel Spielraum in der Rechtsauslegung. Muss jedes Cookie einzeln aufgeführt sein? Kann man überhaupt rechtswirksam eine Zustimmungserklärung einholen, wenn man als Websitebetreiber selbst nicht weiß, was Google & Co mit den Daten machen? Wie viel Verständnis darf man voraussetzen? Die ernüchternde Antwort: Bei strengster Rechtsauslegung dürfte man keine Plugins von großen Anbietern wie Google oder Facebook einbinden. Wir beraten Sie aber gerne hinsichtlich einer pragmatischen Lösung. Ein gewisses Restrisiko bleibt - wie immer im Geschäftsleben - bestehen.
Übliche Zustimmungsmethoden
Wir erfassen alle zustimmungspflichtigen Angebote für Ihre Website und gestalten die Cookie-Bar in gemeinsamer Absprache. Vorteile: Keine laufenden Kosten, freie Gestaltungsmöglichkeit. Nachteile: Bei jeder Änderung auf der Website, muss überlegt werden, ob neue datenschutzrechtlich relevante Dinge hinzukamen. Außerdem wäre im Fall eines Gerichtsverfahrens kaum zu beweisen, dass Sie die Zustimmung korrekt eingeholt haben.
Ein Consent-, also Zustimmungs-Management-Tool speichert alle eingeholten Zustimmungen exakt ab. In der Regel sind dies kostenpflichtige Programme. Manche können selbstständig neue Cookies erkennen und den Verwendungszweck gängiger Dienste aus einer Datenbank laden. Google hat eine Liste solcher Dienste zusammengestellt. Vorteile: Weniger Arbeit beim korrekten Einholen der Zustimmung, bessere Beweisbarkeit. Nachteile: Meist laufende Kosten, Abhängigkeit von einem Tool-Anbieter.
Dabei wird ein bestimmter Dienst im Seitenkontext erst dann geladen, wenn der betreffende User dies durch einen weiteren Klick bestätigt hat, z.B. bei Social Media Plugins, Video-Streams oder Online-Karten.
Über das Anhaken eines Kästchens im Webformular gibt man seine Zustimmung für die Datenverwendung.
Eine Übersicht über rechtliche Rahmenbedingungen im Online-Handel mit zahlreichen Quellen für weiterführende Informationen finden Sie außerdem auf unserer Website "Rechtliches".
LIMESODA ist Ihr zuverlässiger Partner!
Sie sind verantwortlich für die Auswahl Ihrer Dienstleister
Wir setzen auf eine Vielzahl an technischen und organisatorischen Maßnahmen (TOM), die Ihre und die Daten Ihrer Kundinnen und Kunden bei uns schützen. Alle Informationen dazu finden Sie in unserer Datenschutzerklärung und noch besser im persönlichen Gespräch.
Wichtige Fragen zu unserer Zusammenarbeit
In den meisten Fällen lautet die Antwort: Nein. Das liegt daran, dass wir Ihren Digitalauftritt nicht hosten und auch keinen Auftrag und keine Veranlassung haben, irgendetwas mit den personenbezogenen Daten Ihrer Kunden zu tun. Der bloße Umstand, dass wir auf die Daten Zugriff haben, ist keine Datenverarbeitung. Hier können wir bei Bedarf eine einfache Vertraulichkeitserklärung abschließen. Aufträge über Wartung oder Prüfung von IT-Systemen stellen keine Auftragsverarbeitung dar, sofern Gegenstand des Vertrages keine Datenverarbeitung ist, sondern allein auf die Supportleistung abzielt. Wenn Sie einen Auftragsdatenverarbeitungsvertrag (AVV) benötigen, schließen wir selbstverständlich jederzeit einen mit Ihnen ab.
Die häufigsten Anwendungsfälle sind:
- Newsletterversand – Wir erledigen für Sie Adressimport und Versand
- Webshop – Wir prüfen Bestellungen bestimmter Kunden o.ä.
- Website ohne Formulare
- Website mit Kontaktformular oä
- Newsletter – Sie versenden Mailings selbst
- Suchmaschinenmarketing (SEO/SEA)
- Social Media Marketing
Für Websites/Webshops mit Formularen: Anonymisierung von Testdaten
Wir anonymisieren personenbezogene Daten Ihrer Website-/Webshop-BesucherInnen, bevor diese auf unsere lokal gehosteten Entwicklungsumgebungen gespielt werden. So sind die Ihnen anvertrauten Daten bestens geschützt. Dies ist (leider) kein Branchenstandard!
Identitätsnachweis als Sicherheitsmaßnahme
Wenn Sie einer unserer Mitarbeiter oder eine unserer Mitarbeiterinnen nicht persönlich kennt, kann es sein, dass Sie vor der Übermittlung von Daten um einen Identitätsnachweis ersucht werden. Wir bitten um Verständnis dafür! Dies ist eine Sicherheitsmaßnahme, die verhindert, dass Ihre Daten unbeabsichtigt in falsche Hände gelangen.