Die Anforderungen eine Website gesetzeskonform zu gestalten sind in den letzten Jahren enorm gestiegen.
Wir möchten Sie hier bestmöglich begleiten und bieten Ihnen daher auch abgesehen von den nachstehenden Informationen an, sich unkomplitziert über eine kostenlose telefonische Beratung bei uns vorab zu informieren, welche Anforderungen aktuell gelten und wie wir diese für Sie bestmöglich und rasch umsetzen können. Vereinbaren Sie einen Gesprächstermin wir rufen gerne zurück!
Wählen Sie Ihr Thema:
Seit Inkrafttreten der DSGVO im Mai 2018 ist es erforderlich, dass Benutzer einer Website über den Einsatz von Cookies informiert werden und die Möglichkeit haben müssen, dies abzulehnen. Bisher war dazu ein Infofenster (Cookie-Hinweis) im
Einsatz, das den Benutzer auf den Einsatz von Tracking-Cookies hingewiesen und zur Datenschutzseite verlinkt
hat, auf der der Benutzer wiederum informiert wurde, wie er dieses Tracking abschalten
bzw. den Einsatz von Cookies verhindern kann. Zu diesem Zeitpunkt wurde sein Besuch aber bereits in der Webanalyse aufgezeichnet, was einen gewissen Graubereich in der Auslegung der Bestimmung dargestellt hat. Mit diesem Graubereich wurde aber jetzt, durch den Beschluss des Bundesgerichtshofs (BHG) in Deutschland vom 28. Mai 2020, aufgeräumt und es wurde festgestellt, dass diese Umsetzung des Cookie-Hinweises nicht
korrekt ist.
Der BGH ist konkret der Ansicht, dass bereits VOR dem ersten Aktivieren des Trackings, also schon vor dem ersten Einsatz eines Webanalyse-Moduls wie z.B. Google
Analytics, der Benutzer seine Zustimmung zum Setzen von Cookies geben muss. Nachdem die DSGVO auf europäischer Ebene gilt, ist dieses Urteil in Deutschland auch für Österreich richtungsweisend. Wir sind daher der Ansicht, dass es nun praktisch unumgänglich ist eine Änderung auf Ihrer Website vorzunehmen und den Cookie-Hinweis, wie auch die Datenschutzerklärung rechtskonform anzupassen um weiterhin der DSGVO zu entsprechen.
Der Cookie-Hinweis muss nun so angepasst werden, dass ein Tracking des Benutzerverhaltens erst möglich ist, nachdem der Benutzer entschieden hat, ob er einem Tracking zustimmt, oder nicht - sprich er dem Setzen von Cookies zustimmt, oder dies ablehnt.
Ob die Integration des geforderten Hinweises samt Funktion in dieser Form auf Ihrer Website technisch möglich ist, muss individuell geklärt werden. Gerne informieren wir Sie dazu - sprechen Sie uns gerne an!
Weiters ist es nun erforderlich alle Cookies, die in der Website zur Anwendung kommen genau zu beschreiben. Dazu ist es erforderlich diese mit Namen, Zweck, Speicherdauer und Anbieter, falls es sich um einen externen Dienst handelt, aufzulisten.
Durch die Integration von Webanalyse-Modulen (z.B. Google Analytics), Online-Karten (z.B. Google Maps), Online-Buchungs-Modulen oder anderen externen Diensten in die Website, werden auch Cookies dieser Drittanbieter beim Aufruf Ihrer Website beim Benutzer aktiviert. All diese Cookies müssen Sie künftig in obgenannter Form auflisten und beschreiben.
Gerne bieten wir Ihnen die Umsetzung dieser Anforderung im Bereich der Datenschutzererklärung gesetzeskonform an. Bitte beachten Sie hierbei, dass diese Auflistung auch bei gröberen Änderungen an der Website immer wieder aktualisiert werden müsste.
Seit 25. Mai 2018 ist europaweit die Datenschutz-Grundverordnung in Kraft!
Ob Ihre Website generell der DSGVO entspricht hängt stark davon ab, wie alt sie ist. Es
bedarf in jedem Fall einer individuellen Prüfung, um festzustellen, ob Ihre
Website die unterschiedlichen und vorallem aktuellen Anforderungen der DSGVO erfüllt. Prinzipiell
gilt, dass Websites, die von uns erstellt werden zum jeweiligen Zeitpunkt des Online-Gangs gesetzeskonform umgesetzt wurden. Da sich die rechtliche Lage aber immer wieder ändert, wie auch jetzt wieder durch das aktuelle Urteil des Bundesgerichtshofs vom Mai 2020 ist eine regelmäßige Überprüfung der Einhaltung aller Bestimmungen sinnvoll und auch von uns empfohlen.
Sie können diese
Überprüfung durch einen Datenschutzbeauftragten oder einen
Juristen Ihres Vertrauens durchführen lassen.
Gerne bieten wir Ihnen aber auch eine individuelle und kostengünstige Überprüfung Ihrer Website im Zuge eines Beratungsauftrages an und können Ihnen hier Empfehlungen für die Umsetzung aussprechen. Da wir keine juristischen Auskünfte erteilen dürfen, handelt
es sich dabei allerdings nur um Empfehlungen ohne rechtsverbindlichen
Charakter!
Erheben
Sie personenbezogene Daten über die Website, z.B. über ein Analysetool wie
Google Analytics, ein Kontaktformular, eine Shop-Bestellung oder ein Formular
für die Reservierung von Seminaren oder eine Tischreservierung in Ihrem Betrieb
etc., richten Sie auf der Website unbedingt einen entsprechenden Text für Ihre
Datenschutz-Erklärung ein. Dieser Text muss auf einer eigenen Seite angeführt werden und sollte bereits über den Cookie-Hinweis verlinkt sein.
Einen Mustertext der Wirtschaftskammer
Österreich finden Sie hier:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html
Sie können sich den Text als Word-Dokument oder auch als
.pdf herunterladen, müssen diesen aber unbedingt Ihren individuellen
Anforderungen und entsprechend Ihrem firmeninternen Prozedere im Umgang mit
personenbezogenen Daten anpassen! Gerne können wir mit Ihnen gemeinsam auch einen entsprechenden Text entwerfen
bzw. den vorhandenen Text überarbeiten.
Der ‚Secure Socket Layer‘ ist eine Verschlüsselungsmethode, die beim Aufruf Ihrer Website im Browser die Daten verschlüsselt, die vom Benutzer zum Webserver und vom Webserver zum Benutzer gesendet werden. Dies betrifft z.B. alle Eingaben die über Formulare auf der Website gemacht werden und an Sie in Ihr E-Mail-Konto übertragen werden. Sie erkennen die Verwendung von SSL an einem (grünen) Schloss und einem „s“ nach dem http:// --> https:// in der Adressleiste Ihres Browsers:
Bestellen
Sie jetzt einen SSL-Key für Ihre Domain, sofern noch nicht geschehen!
Gem. DSGVO ist die Verwendung von SSL mittlerweile ein verpflichtender technischer Standard. Er bringt nicht nur mehr Sicherheit, sondern wird auch in der Suchmaschine
positiv mit einer bevorzugten Reihung im Suchergebnis honoriert bzw. verhindert negativ anmutende Sicherheitswarnhinweise mancher Browser!
Erheben Sie z.B. über ein Formular auf der
Website personenbezogene Daten, so sind Sie für den Schutz dieser Daten (auch
während der Übertragung vom Server in Ihr Postfach) in einer 'dem Stand der
Technik' angemessenen Art und Weise verantwortlich. Dies wird in der Regel über
die SSL-Verschlüsselung Ihrer Domain im Browser in Kombination mit einer SSL-verschlüsselten
Übertragung der Daten in Ihr E-Mail-Konto und dem SSL-gesicherten Abruf Ihrer
E-Mails auf Ihren PC gewährleistet.
Bitte prüfen Sie daher in diesem Zusammenhang die Versand- und Abruf-Methodik Ihres
E-Mail-Programms, hier insbesondere die Einstellungen beim Posteingangs- und Postausgangs-Server
Ihrer E-Mail-Konten.
Hinweis:
Kunden deren Website und Mailsystem in unserem Rechenzentrum gehostet werden, können die SSL-gesicherte Verbindung bei der E-Mail-Übertragung problemlos nutzen. Prüfen Sie, ob Sie bereits das für Ihre Domain notwendige SSL-Zertifikat bestellt haben und holen Sie dies sonst schnellstmöglich nach!
Das Analysetool Google Analytics verwendet
„Cookies". Das sind kleine Textdateien, die auf dem Computer des Benutzers
gespeichert werden und die eine Analyse der Benutzung der Website durch den
Benutzer ermöglichen. Sollte Google Analytics auf Ihrer Website eingesetzt
werden, so haben Sie bereits in dem von der WKO zur Verfügung gestellten
Mustertext für Ihre Datenschutz-Erklärung den notwendigen Hinweis für die
Benutzer Ihrer Website hinterlegt, aber noch nicht die Bestimmung von Google
selbst erfüllt, die eine ausdrückliche Zustimmung für die Verwendung von
Cookies vorsieht.
Dafür wird nun ein Cookie-Hinweis verwendet, der bereits vor dem Benutzen der Website den User zwingt zu entscheiden, ob er einem Tracking zustimmt, oder dieses ablehnt.
Prüfen Sie oder lassen Sie prüfen, ob bei der Verwendung von Google Analytics die vorgeschriebene Pseudonymisierung der erfassten IP-Adressen (wie von der DSGVO gefordert) erfolgt. Wir aktivieren bereits seit geraumer Zeit standardmäßig nur noch die anonymisierte Variante des Google-Analytics-Codes. Ist Ihre Website aber schon ein paar Jahre alt, sollte dies in jedem Fall überprüft werden.
Da Sie durch die Verwendung von Google Analytics
streng genommen Google mit der Verarbeitung von personenbezogenen Daten
beauftragt haben, müssten Sie mit der Betreiberfirma von Google Analytics einen
Vertrag über diese „Auftrags-Datenverarbeitung“ abschließen. Dies ist seit
kurzem nun direkt in Ihrem Google Konto auch in elektronischer Form möglich.
Gerne informieren wir Sie, ob und wie auf Ihrer Website
Google Analytics eingesetzt wird, bzw. ob die Nachinstallation des
Cookie-Hinweises möglich ist und schließen für Sie gegebenenfalls auch den
Vertrag zur Auftragsdatenverarbeitung zur Verwendung von Google Analytics mit
Google über Ihr Google Konto ab.
TIPP:
Erheben Sie gar keine personenbezogenen Daten über Ihre
Website, da Sie beispielsweise gar kein Kontaktformular anbieten, keine dynamisch eingebundene geografische Standortkarte eingebunden haben und auch gar kein Webanalysetool einsetzen - betrifft Sie
diese Bestimmung auch nicht!
Neben den obgenannten Empfehlungen, die konkret auf die
Anforderungen der DSGVO eingehen und einen Großteil unserer Kunden betreffen,
gilt es sich auch über weitere Handlungsmaßnahmen die Website betreffend Gedanken
zu machen, um sich langfristigen Ärger zu ersparen:
Über ein Anfrageformular erheben Sie für gewöhnlich personenbezogene Daten (z.B. E-Mail-Adresse, Vorname, Nachname, Geburtsdatum, Anreisedatum, etc. …). Wir empfehlen daher am Ende jedes Kontaktformulars einen Hinweistext zu setzen, der darüber informiert, wie diese Daten an Sie übermittelt werden und auch wie lange und zu welchem Zweck diese Daten in Ihrem Unternehmen gespeichert werden, wie das Löschungsprozedere für personenbezogene Daten in Ihrem Unternehmen aussieht, insbesondere dann, wenn Anfragen, die über das Kontaktformular gesendet werden, zusätzlich auch am Server protokolliert und abgelegt werden.
Natürlich kann dieser Hinweistext auch in die
Datenschutz-Erklärung integriert werden. Wir empfehlen dann aber zumindest
einen Link am Anfrageformular zur Datenschutz-Erklärung zu setzen.
Gerne informieren wir Sie über den hier zu erwartenden Aufwand, falls Sie diese Hinweistexte durch uns setzen lassen möchten.
1.) Double opt in (DOI)-Verfahren
Kunden, die eines unserer Newsletter-Systeme verwenden, haben hier soweit
keinen großen Handlungsbedarf und können sich zurücklehnen. Unsere Newsletter-Systeme,
egal ob im CMS Weblication® integriert oder über ein eigenständiges Modul, arbeiten
bereits jetzt gesetzeskonform nach dem Telekommunikations-Gesetz (TKG) über das
sogenannte Double-Opt-In (DOI) Verfahren.
Sollten Sie ein eigenes Newsletter-System verwenden, prüfen Sie, ob das
System die Anmeldung der Adressen im DOI-Verfahren ermöglicht.
2.) Dürfen bestehende gesammelte Newsletter-Adressen weiterhin
beschickt werden?
Durch die DSGVO ändert sich grundsätzlich nichts an den auch bisher schon geltenden Bestimmungen! Das Datenschutzgesetz
2000 (DSG 2000) und das Telekommunikations-Gesetz (TKG) hatten allerdings immer schon sehr strenge und sehr klare Bestimmungen bezüglich der Sammlung von E-Mail-Adressen für elektronisches Marketing. Neu ist lediglich
die Durchsetzung dieser Bestimmungen über die DSGVO mit empfindlich hohen
Strafen, weshalb Sie Ihre Datensätze, die für den Newsletter-Versand verwendet
werden, eingehend prüfen und eventuell adaptieren sollten. Es ist - wie bisher
auch schon - möglich, Kontakte, die einen Vertragsabschluss mit Ihnen getätigt
haben und zu denen somit eine Geschäftsbeziehung besteht (z.B. Adressen von
Gästen, die bereits in Ihrem Hotel genächtigt haben), mit Newslettern zu beschicken, allerdings nur dann, wenn während der Erhebung der E-Mail-Adresse, darauf hingewiesen wurde, dass die
Adresse für Werbezwecke verwendet wird und der Kunde dem jederzeit
widersprechen kann. Dieser Hinweis muss allerdings, wie erwähnt, bei der Erhebung der Daten,
also noch VOR dem ersten Versand erfolgen.
Eine weitere Möglichkeit wäre, falls kein Vertragsabschluss zu Stande gekommen ist (z.B. der Gast nur eine Anfrage ans Hotel gestellt, aber dann doch nicht dort genächtigt hat) und somit auch keine Geschäftsbeziehung besteht, dass der Kunde aktiv und explizit dem Erhalt eines Newsletters zugestimmt hat, oder noch besser sich über ein Anmeldeverfahren für den Newsletter registriert hat. Dann liegt eine Einwilligung vor. Diese Einwilligung muss nachweisbar erfolgt sein, z.B. über das in Punkt 1.) genannte elektronische DOI -Verfahren. Hier wird die Anmeldungen z.B. in einer Datenbank nachweisbar protokolliert. Oder Sie verfügen über eine schriftliche Einwilligung in Papierform (z.B. bei E-Mail-Adressen, die Sie auf einer Messe mittels Anmeldekarten gesammelt haben), welche Sie zum Nachweis aufbewahren müssen.
3.) Sie verfügen über gar keine Zustimmung oder
nachweisbare Einwilligung?
Wenn Sie über keine Zustimmung verfügen und mit dem
Kontakt auch nicht in Geschäftsbeziehung stehen, dürfen Sie den Kontakt NICHT
per E-Mail anschreiben. Möglich ist lediglich eine postalische Briefsendung (z.B. Prospekt) in der
wiederum auf den Widerspruch der Zusendung von weiteren Werbematerialien hingewiesen wird.
4.) Sollen
fehlende oder nicht mehr nachweisbare Zustimmungen von Newsletter-Empfängern im
Nachhinein eingeholt werden?
Es ist schwierig eine klare Antwort auf diese Frage zu geben. Die Wahl ist
nun hier zu treffen, entweder komplett auf wertvolles Adressmaterial zu
verzichten oder die Zustimmung nachträglich einzuholen und Gefahr zu laufen,
einen Großteil der Abonnenten doch zu verlieren, da diese die Zustimmung
nachträglich nicht mehr erteilen, weil z.B. das Einladungs-Mail im Spamfilter
gelandet ist oder dem Kunden nicht bewusst ist, dass er handeln müsste.
Gerne beraten wir Sie im Individualfall und empfehlen
Ihnen hier erfolgreiche Methoden zur Erwirkung von Zustimmungen im Zuge eines
Beratungsauftrags.
Hinweis: Eine Erleichterung gilt
für Adressen aus dem B2B-Bereich, die vor dem 1. März 2006 erhoben wurden und
bei deren Erhebung KEINE Möglichkeit des Widerrufs angeboten wurde. An solche
Adressen kann weiter versendet werden, wenn die E-Mail-Adressen damals
rechtmäßig erhoben wurden (aufrechte Geschäftsbeziehung bzw. Anmeldung durch den Kunden) und die Zusendung ansonsten rechtmäßig erfolgt ist.
5.) Wie generiere ich gesetzeskonform und ohne viel Aufwand neue
Newsletter-Adressen?
Gerne beraten wir Sie, wie Sie eine gültige Zustimmung von Neukunden zum
Empfang Ihres Newsletters erwirken können.
6.) Welche Daten erhebe ich, bzw. welche Felder sind Pflichtfelder im Anmeldeformular des Newsletters?
Bitte beachten Sie, dass im Anmeldeformular Ihres Newsletters nur das Feld "E-Mail-Adresse" ein Pflichtfeld sein darf. Gem. Artikel 5 der DSGVO dürfen Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und müssen auf das für den Zweck notwendige Maß beschränkt sein. Zum Versand des Newsletters ist nur die E-Mail-Adresse des Empfängers notwendig. Natürlich können weitere Felder angeboten werden, die der Interessent freiwillig ausfüllen kann (z.B. Vorname, Nachname, Geschlecht, Interessensgebiete, etc.)
Wir empfehlen außerdem auch hier eine entsprechende Anpassung der Hinweistexte in Ihrer Datenschutz-Erklärung an geeigneten Stellen auf Ihrer Website.
Erfolgt eine Protokollierung der Shop-Bestellungen über Ihre Website, so werden personenbezogene Daten nicht nur an Sie übermittelt, sondern auch am Server abgespeichert. Auch hier ist es daher, ähnlich wie bei den Anfrage-Formularen empfohlen, entsprechende Hinweistexte auf den betreffenden Shop-Seiten und/oder in der Datenschutz-Erklärung der Website zu ergänzen, die über das Prozedere der Verarbeitung (insbesondere der Löschung) dieser Daten aufklären.
Gerne informieren wir Sie, ob eine Protokollierung der
Shop-Bestellungen auf Ihrer Website vorliegt und stimmen mit Ihnen eventuelle
Hinweistexte auf den Shop-Seiten bzw. in der Datenschutz-Erklärung ab.
Weiterführende Informationen zur DSGVO und zum Datenschutz allgemein, wie auch Checklisten und Muster-Vorlagen finden Sie z.B. bei der Österreichischen Wirtschaftskammer unter:
Da wir keine juristischen Auskünfte erteilen dürfen, handelt es sich bei den auf dieser Seite getätigten Aussagen ausdrücklich um Empfehlungen ohne rechtsverbindlichen Charakter!