Wählen Sie Ihr Thema:

Seit Inkrafttreten der DSGVO im Mai 2018 ist es erforderlich, dass Benutzer einer Website über den Einsatz von Cookies informiert werden und die Möglichkeit haben müssen, dies abzulehnen. Bisher war dazu ein Infofenster (Cookie-Hinweis) im Einsatz, das den Benutzer auf den Einsatz von Tracking-Cookies hingewiesen und zur Datenschutzseite verlinkt hat, auf der der Benutzer wiederum informiert wurde, wie er dieses Tracking abschalten bzw. den Einsatz von Cookies verhindern kann. Zu diesem Zeitpunkt wurde sein Besuch aber bereits in der Webanalyse aufgezeichnet, was einen gewissen Graubereich in der Auslegung der Bestimmung dargestellt hat. Mit diesem Graubereich wurde aber jetzt, durch den Beschluss des Bundesgerichtshofs (BHG) in Deutschland vom 28. Mai 2020, aufgeräumt und es wurde festgestellt, dass diese Umsetzung des Cookie-Hinweises nicht korrekt ist.

Der BGH ist konkret der Ansicht, dass bereits VOR dem ersten Aktivieren des Trackings, also schon vor dem ersten Einsatz eines Webanalyse-Moduls wie z.B. Google Analytics, der Benutzer seine Zustimmung zum Setzen von Cookies geben muss. Nachdem die DSGVO auf europäischer Ebene gilt, ist dieses Urteil in Deutschland auch für Österreich richtungsweisend. Wir sind daher der Ansicht, dass es nun praktisch unumgänglich ist eine Änderung auf Ihrer Website vorzunehmen und den Cookie-Hinweis, wie auch die Datenschutzerklärung rechtskonform anzupassen um weiterhin der DSGVO zu entsprechen.

Seit 25. Mai 2018 ist europaweit die Datenschutz-Grundverordnung in Kraft!

Ob Ihre Website generell der DSGVO entspricht hängt stark davon ab, wie alt sie ist. Es bedarf in jedem Fall einer individuellen Prüfung, um festzustellen, ob Ihre Website die unterschiedlichen und vorallem aktuellen Anforderungen der DSGVO erfüllt. Prinzipiell gilt, dass Websites, die von uns erstellt werden zum jeweiligen Zeitpunkt des Online-Gangs gesetzeskonform umgesetzt wurden. Da sich die rechtliche Lage aber immer wieder ändert, wie auch jetzt wieder durch das aktuelle Urteil des Bundesgerichtshofs vom Mai 2020 ist eine regelmäßige Überprüfung der Einhaltung aller Bestimmungen sinnvoll und auch von uns empfohlen.
Sie können diese Überprüfung durch einen Datenschutzbeauftragten oder einen Juristen Ihres Vertrauens durchführen lassen.

Gerne bieten wir Ihnen aber auch eine individuelle und kostengünstige Überprüfung Ihrer Website im Zuge eines Beratungsauftrages an und können Ihnen hier Empfehlungen für die Umsetzung aussprechen. Da wir keine juristischen Auskünfte erteilen dürfen, handelt es sich dabei allerdings nur um Empfehlungen ohne rechtsverbindlichen Charakter!

Erheben Sie personenbezogene Daten über die Website, z.B. über ein Analysetool wie Google Analytics, ein Kontaktformular, eine Shop-Bestellung oder ein Formular für die Reservierung von Seminaren oder eine Tischreservierung in Ihrem Betrieb etc., richten Sie auf der Website unbedingt einen entsprechenden Text für Ihre Datenschutz-Erklärung ein. Dieser Text muss auf einer eigenen Seite angeführt werden und sollte bereits über den Cookie-Hinweis verlinkt sein.
Einen Mustertext der Wirtschaftskammer Österreich finden Sie hier:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html

Sie können sich den Text als Word-Dokument oder auch als .pdf herunterladen, müssen diesen aber unbedingt Ihren individuellen Anforderungen und entsprechend Ihrem firmeninternen Prozedere im Umgang mit personenbezogenen Daten anpassen! Gerne können wir mit Ihnen gemeinsam auch einen entsprechenden Text entwerfen bzw. den vorhandenen Text überarbeiten.

Der ‚Secure Socket Layer‘ ist eine Verschlüsselungsmethode, die beim Aufruf Ihrer Website im Browser die Daten verschlüsselt, die vom Benutzer zum Webserver und vom Webserver zum Benutzer gesendet werden. Dies betrifft z.B. alle Eingaben die über Formulare auf der Website gemacht werden und an Sie in Ihr E-Mail-Konto übertragen werden. Sie erkennen die Verwendung von SSL an einem (grünen) Schloss und einem „s“ nach dem http:// --> https:// in der Adressleiste Ihres Browsers:

Gem. DSGVO ist die Verwendung von SSL mittlerweile ein verpflichtender technischer Standard. Er bringt nicht nur mehr Sicherheit, sondern wird auch in der Suchmaschine positiv mit einer bevorzugten Reihung im Suchergebnis honoriert bzw. verhindert negativ anmutende Sicherheitswarnhinweise mancher Browser!

Erheben Sie z.B. über ein Formular auf der Website personenbezogene Daten, so sind Sie für den Schutz dieser Daten (auch während der Übertragung vom Server in Ihr Postfach) in einer 'dem Stand der Technik' angemessenen Art und Weise verantwortlich. Dies wird in der Regel über die SSL-Verschlüsselung Ihrer Domain im Browser in Kombination mit einer SSL-verschlüsselten Übertragung der Daten in Ihr E-Mail-Konto und dem SSL-gesicherten Abruf Ihrer E-Mails auf Ihren PC gewährleistet.
Bitte prüfen Sie daher in diesem Zusammenhang die Versand- und Abruf-Methodik Ihres E-Mail-Programms, hier insbesondere die Einstellungen beim Posteingangs- und Postausgangs-Server Ihrer E-Mail-Konten.

Das Analysetool Google Analytics verwendet „Cookies". Das sind kleine Textdateien, die auf dem Computer des Benutzers gespeichert werden und die eine Analyse der Benutzung der Website durch den Benutzer ermöglichen. Sollte Google Analytics auf Ihrer Website eingesetzt werden, so haben Sie bereits in dem von der WKO zur Verfügung gestellten Mustertext für Ihre Datenschutz-Erklärung den notwendigen Hinweis für die Benutzer Ihrer Website hinterlegt, aber noch nicht die Bestimmung von Google selbst erfüllt, die eine ausdrückliche Zustimmung für die Verwendung von Cookies vorsieht.
Dafür wird nun ein Cookie-Hinweis verwendet, der bereits vor dem Benutzen der Website den User zwingt zu entscheiden, ob er einem Tracking zustimmt, oder dieses ablehnt.

Prüfen Sie oder lassen Sie prüfen, ob bei der Verwendung von Google Analytics die vorgeschriebene Pseudonymisierung der erfassten IP-Adressen (wie von der DSGVO gefordert) erfolgt. Wir aktivieren bereits seit geraumer Zeit standardmäßig nur noch die anonymisierte Variante des Google-Analytics-Codes. Ist Ihre Website aber schon ein paar Jahre alt, sollte dies in jedem Fall überprüft werden.

Da Sie durch die Verwendung von Google Analytics streng genommen Google mit der Verarbeitung von personenbezogenen Daten beauftragt haben, müssten Sie mit der Betreiberfirma von Google Analytics einen Vertrag über diese „Auftrags-Datenverarbeitung“ abschließen. Dies ist seit kurzem nun direkt in Ihrem Google Konto auch in elektronischer Form möglich.

Gerne informieren wir Sie, ob und wie auf Ihrer Website Google Analytics eingesetzt wird, bzw. ob die Nachinstallation des Cookie-Hinweises möglich ist und schließen für Sie gegebenenfalls auch den Vertrag zur Auftragsdatenverarbeitung zur Verwendung von Google Analytics mit Google über Ihr Google Konto ab.

Neben den obgenannten Empfehlungen, die konkret auf die Anforderungen der DSGVO eingehen und einen Großteil unserer Kunden betreffen, gilt es sich auch über weitere Handlungsmaßnahmen die Website betreffend Gedanken zu machen, um sich langfristigen Ärger zu ersparen:

Über ein Anfrageformular erheben Sie für gewöhnlich personenbezogene Daten (z.B. E-Mail-Adresse, Vorname, Nachname, Geburtsdatum, Anreisedatum, etc. …). Wir empfehlen daher am Ende jedes Kontaktformulars einen Hinweistext zu setzen, der darüber informiert, wie diese Daten an Sie übermittelt werden und auch wie lange und zu welchem Zweck diese Daten in Ihrem Unternehmen gespeichert werden, wie das Löschungsprozedere für personenbezogene Daten in Ihrem Unternehmen aussieht, insbesondere dann, wenn Anfragen, die über das Kontaktformular gesendet werden, zusätzlich auch am Server protokolliert und abgelegt werden.

Natürlich kann dieser Hinweistext auch in die Datenschutz-Erklärung integriert werden. Wir empfehlen dann aber zumindest einen Link am Anfrageformular zur Datenschutz-Erklärung zu setzen.

1.) Double opt in (DOI)-Verfahren
Kunden, die eines unserer Newsletter-Systeme verwenden, haben hier soweit keinen großen Handlungsbedarf und können sich zurücklehnen. Unsere Newsletter-Systeme, egal ob im CMS Weblication^® integriert oder über ein eigenständiges Modul, arbeiten bereits jetzt gesetzeskonform nach dem Telekommunikations-Gesetz (TKG) über das sogenannte Double-Opt-In (DOI) Verfahren.  Sollten Sie ein eigenes Newsletter-System verwenden, prüfen Sie, ob das System die Anmeldung der Adressen im DOI-Verfahren ermöglicht.

2.) Dürfen bestehende gesammelte Newsletter-Adressen weiterhin beschickt werden?
Durch die DSGVO ändert sich grundsätzlich nichts an den auch bisher schon geltenden Bestimmungen! Das Datenschutzgesetz 2000 (DSG 2000) und das Telekommunikations-Gesetz (TKG) hatten allerdings immer schon sehr strenge und sehr klare Bestimmungen bezüglich der Sammlung von E-Mail-Adressen für elektronisches Marketing. Neu ist lediglich die Durchsetzung dieser Bestimmungen über die DSGVO mit empfindlich hohen Strafen, weshalb Sie Ihre Datensätze, die für den Newsletter-Versand verwendet werden, eingehend prüfen und eventuell adaptieren sollten. Es ist - wie bisher auch schon - möglich, Kontakte, die einen Vertragsabschluss mit Ihnen getätigt haben und zu denen somit eine Geschäftsbeziehung besteht (z.B. Adressen von Gästen, die bereits in Ihrem Hotel genächtigt haben), mit Newslettern zu beschicken, allerdings nur dann, wenn während der Erhebung der E-Mail-Adresse, darauf hingewiesen wurde, dass die Adresse für Werbezwecke verwendet wird und der Kunde dem jederzeit widersprechen kann. Dieser Hinweis muss allerdings, wie erwähnt, bei der Erhebung der Daten, also noch VOR dem ersten Versand erfolgen.

Eine weitere Möglichkeit wäre, falls kein Vertragsabschluss zu Stande gekommen ist (z.B. der Gast nur eine Anfrage ans Hotel gestellt, aber dann doch nicht dort genächtigt hat) und somit auch keine Geschäftsbeziehung besteht, dass der Kunde aktiv und explizit dem Erhalt eines Newsletters zugestimmt hat, oder noch besser sich über ein Anmeldeverfahren für den Newsletter registriert hat. Dann liegt eine Einwilligung vor. Diese Einwilligung muss nachweisbar erfolgt sein, z.B. über das in Punkt 1.) genannte elektronische DOI -Verfahren. Hier wird die Anmeldungen z.B. in einer Datenbank nachweisbar protokolliert. Oder Sie verfügen über eine schriftliche Einwilligung in Papierform (z.B. bei E-Mail-Adressen, die Sie auf einer Messe mittels Anmeldekarten gesammelt haben), welche Sie zum Nachweis aufbewahren müssen.

3.) Sie verfügen über gar keine Zustimmung oder nachweisbare Einwilligung?
Wenn Sie über keine Zustimmung verfügen und mit dem Kontakt auch nicht in Geschäftsbeziehung stehen, dürfen Sie den Kontakt NICHT per E-Mail anschreiben. Möglich ist lediglich eine postalische Briefsendung (z.B. Prospekt) in der wiederum auf den Widerspruch der Zusendung von weiteren Werbematerialien hingewiesen wird.

4.) Sollen fehlende oder nicht mehr nachweisbare Zustimmungen von Newsletter-Empfängern im Nachhinein eingeholt werden?
Es ist schwierig eine klare Antwort auf diese Frage zu geben. Die Wahl ist nun hier zu treffen, entweder komplett auf wertvolles Adressmaterial zu verzichten oder die Zustimmung nachträglich einzuholen und Gefahr zu laufen, einen Großteil der Abonnenten doch zu verlieren, da diese die Zustimmung nachträglich nicht mehr erteilen, weil z.B. das Einladungs-Mail im Spamfilter gelandet ist oder dem Kunden nicht bewusst ist, dass er handeln müsste.

Gerne beraten wir Sie im Individualfall und empfehlen Ihnen hier erfolgreiche Methoden zur Erwirkung von Zustimmungen im Zuge eines Beratungsauftrags.

Hinweis: Eine Erleichterung gilt für Adressen aus dem B2B-Bereich, die vor dem 1. März 2006 erhoben wurden und bei deren Erhebung KEINE Möglichkeit des Widerrufs angeboten wurde. An solche Adressen kann weiter versendet werden, wenn die E-Mail-Adressen damals rechtmäßig erhoben wurden (aufrechte Geschäftsbeziehung bzw. Anmeldung durch den Kunden) und die Zusendung ansonsten rechtmäßig erfolgt ist.

5.) Wie generiere ich gesetzeskonform und ohne viel Aufwand neue Newsletter-Adressen?
Gerne beraten wir Sie, wie Sie eine gültige Zustimmung von Neukunden zum Empfang Ihres Newsletters erwirken können.

6.) Welche Daten erhebe ich, bzw. welche Felder sind Pflichtfelder im Anmeldeformular des Newsletters?
Bitte beachten Sie, dass im Anmeldeformular Ihres Newsletters nur das Feld "E-Mail-Adresse" ein Pflichtfeld sein darf. Gem. Artikel 5 der DSGVO dürfen Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und müssen auf das für den Zweck notwendige Maß beschränkt sein. Zum Versand des Newsletters ist nur die E-Mail-Adresse des Empfängers notwendig. Natürlich können weitere Felder angeboten werden, die der Interessent freiwillig ausfüllen kann (z.B. Vorname, Nachname, Geschlecht, Interessensgebiete, etc.)

Erfolgt eine Protokollierung der Shop-Bestellungen über Ihre Website, so werden personenbezogene Daten nicht nur an Sie übermittelt, sondern auch am Server abgespeichert. Auch hier ist es daher, ähnlich wie bei den Anfrage-Formularen empfohlen, entsprechende Hinweistexte auf den betreffenden Shop-Seiten und/oder in der Datenschutz-Erklärung der Website zu ergänzen, die über das Prozedere der Verarbeitung (insbesondere der Löschung) dieser Daten aufklären.