Kopfleiste überspringen
AA

Die Anforderungen eine Website gesetzeskonform zu gestalten sind in den letzten Jahren enorm gestiegen.
Wir möchten Sie hier bestmöglich begleiten und bieten Ihnen daher auch abgesehen von den nachstehenden Informationen an, sich unkomplitziert über eine kostenlose telefonische Beratung bei uns vorab zu informieren, welche Anforderungen aktuell gelten und wie wir diese für Sie bestmöglich und rasch umsetzen können. Vereinbaren Sie einen Gesprächstermin wir rufen gerne zurück!

Ist meine Website überhaupt DSGVO-konform?

Seit 25. Mai 2018 ist europaweit die Datenschutz-Grundverordnung in Kraft!

Ob Ihre Website generell der DSGVO entspricht hängt stark davon ab, wie alt sie ist. Es bedarf in jedem Fall einer individuellen Prüfung, um festzustellen, ob Ihre Website die unterschiedlichen und vorallem aktuellen Anforderungen der DSGVO erfüllt. Prinzipiell gilt, dass Websites, die von uns erstellt werden zum jeweiligen Zeitpunkt des Online-Gangs gesetzeskonform umgesetzt wurden. Da sich die rechtliche Lage aber immer wieder ändert, wie auch jetzt wieder durch das aktuelle Urteil des Bundesgerichtshofs vom Mai 2020 ist eine regelmäßige Überprüfung der Einhaltung aller Bestimmungen sinnvoll und auch von uns empfohlen.
Sie können diese Überprüfung durch einen Datenschutzbeauftragten oder einen Juristen Ihres Vertrauens durchführen lassen.

Gerne bieten wir Ihnen aber auch eine individuelle und kostengünstige Überprüfung Ihrer Website im Zuge eines Beratungsauftrages an und können Ihnen hier Empfehlungen für die Umsetzung aussprechen. Da wir keine juristischen Auskünfte erteilen dürfen, handelt es sich dabei allerdings nur um Empfehlungen ohne rechtsverbindlichen Charakter!

Drei wesentliche Anforderungen für eine DSGVO-konforme Umsetzung Ihrer Website

Anforderung Nr.1:
Datenschutz-Erklärung einrichten und individuell angepasst formulieren!

Erheben Sie personenbezogene Daten über die Website, z.B. über ein Analysetool wie Google Analytics, ein Kontaktformular, eine Shop-Bestellung oder ein Formular für die Reservierung von Seminaren oder eine Tischreservierung in Ihrem Betrieb etc., richten Sie auf der Website unbedingt einen entsprechenden Text für Ihre Datenschutz-Erklärung ein. Dieser Text muss auf einer eigenen Seite angeführt werden und sollte bereits über den Cookie-Hinweis verlinkt sein.
Einen Mustertext der Wirtschaftskammer Österreich finden Sie hier:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html

Sie können sich den Text als Word-Dokument oder auch als .pdf herunterladen, müssen diesen aber unbedingt Ihren individuellen Anforderungen und entsprechend Ihrem firmeninternen Prozedere im Umgang mit personenbezogenen Daten anpassen! Gerne können wir mit Ihnen gemeinsam auch einen entsprechenden Text entwerfen bzw. den vorhandenen Text überarbeiten.

Anforderung Nr. 2:
Verwenden Sie SSL für Ihre Domain im Browser und im E-Mail-Verkehr!

1.) SSL-Key für Ihre Domain im Browser verwenden

Der ‚Secure Socket Layer‘ ist eine Verschlüsselungsmethode, die beim Aufruf Ihrer Website im Browser die Daten verschlüsselt, die vom Benutzer zum Webserver und vom Webserver zum Benutzer gesendet werden. Dies betrifft z.B. alle Eingaben die über Formulare auf der Website gemacht werden und an Sie in Ihr E-Mail-Konto übertragen werden. Sie erkennen die Verwendung von SSL an einem (grünen) Schloss und einem „s“ nach dem http:// --> https:// in der Adressleiste Ihres Browsers:

SSL-Key im Browser

Bestellen Sie jetzt einen SSL-Key für Ihre Domain, sofern noch nicht geschehen!

Gem. DSGVO ist die Verwendung von SSL mittlerweile ein verpflichtender technischer Standard. Er bringt nicht nur mehr Sicherheit, sondern wird auch in der Suchmaschine positiv mit einer bevorzugten Reihung im Suchergebnis honoriert bzw. verhindert negativ anmutende Sicherheitswarnhinweise mancher Browser!

2.) SSL-gesicherte Übertragung von Formular-Daten in und aus Ihrem E-Mail-Konto

Erheben Sie z.B. über ein Formular auf der Website personenbezogene Daten, so sind Sie für den Schutz dieser Daten (auch während der Übertragung vom Server in Ihr Postfach) in einer 'dem Stand der Technik' angemessenen Art und Weise verantwortlich. Dies wird in der Regel über die SSL-Verschlüsselung Ihrer Domain im Browser in Kombination mit einer SSL-verschlüsselten Übertragung der Daten in Ihr E-Mail-Konto und dem SSL-gesicherten Abruf Ihrer E-Mails auf Ihren PC gewährleistet.
Bitte prüfen Sie daher in diesem Zusammenhang die Versand- und Abruf-Methodik Ihres E-Mail-Programms, hier insbesondere die Einstellungen beim Posteingangs- und Postausgangs-Server Ihrer E-Mail-Konten.

Hinweis:
Kunden deren Website und Mailsystem in unserem Rechenzentrum gehostet werden, können die SSL-gesicherte Verbindung bei der E-Mail-Übertragung problemlos nutzen. Prüfen Sie, ob Sie bereits das für Ihre Domain notwendige SSL-Zertifikat bestellt haben und holen Sie dies sonst schnellstmöglich nach!

Anforderung Nr. 3:
Sie verwenden Google Analytics, dann beachten Sie bitte folgende 3 Dinge!

Das Analysetool Google Analytics verwendet „Cookies". Das sind kleine Textdateien, die auf dem Computer des Benutzers gespeichert werden und die eine Analyse der Benutzung der Website durch den Benutzer ermöglichen. Sollte Google Analytics auf Ihrer Website eingesetzt werden, so haben Sie bereits in dem von der WKO zur Verfügung gestellten Mustertext für Ihre Datenschutz-Erklärung den notwendigen Hinweis für die Benutzer Ihrer Website hinterlegt, aber noch nicht die Bestimmung von Google selbst erfüllt, die eine ausdrückliche Zustimmung für die Verwendung von Cookies vorsieht.
Dafür wird nun ein Cookie-Hinweis verwendet, der bereits vor dem Benutzen der Website den User zwingt zu entscheiden, ob er einem Tracking zustimmt, oder dieses ablehnt.

2.) Prüfen Sie, ob die Anonymisierung von IP-Adressen aktiviert ist?

Prüfen Sie oder lassen Sie prüfen, ob bei der Verwendung von Google Analytics die vorgeschriebene Pseudonymisierung der erfassten IP-Adressen (wie von der DSGVO gefordert) erfolgt. Wir aktivieren bereits seit geraumer Zeit standardmäßig nur noch die anonymisierte Variante des Google-Analytics-Codes. Ist Ihre Website aber schon ein paar Jahre alt, sollte dies in jedem Fall überprüft werden.

3.) Schließen Sie einen Vertrag mit Google zur Verwendung von Google Analytics ab!

Da Sie durch die Verwendung von Google Analytics streng genommen Google mit der Verarbeitung von personenbezogenen Daten beauftragt haben, müssten Sie mit der Betreiberfirma von Google Analytics einen Vertrag über diese „Auftrags-Datenverarbeitung“ abschließen. Dies ist seit kurzem nun direkt in Ihrem Google Konto auch in elektronischer Form möglich.

Gerne informieren wir Sie, ob und wie auf Ihrer Website Google Analytics eingesetzt wird, bzw. ob die Nachinstallation des Cookie-Hinweises möglich ist und schließen für Sie gegebenenfalls auch den Vertrag zur Auftragsdatenverarbeitung zur Verwendung von Google Analytics mit Google über Ihr Google Konto ab.

TIPP:
Erheben Sie gar keine personenbezogenen Daten über Ihre Website, da Sie beispielsweise gar kein Kontaktformular anbieten, keine dynamisch eingebundene geografische Standortkarte eingebunden haben und auch gar kein Webanalysetool einsetzen - betrifft Sie diese Bestimmung auch nicht!

Weitere empfohlene Maßnahmen:

Neben den obgenannten Empfehlungen, die konkret auf die Anforderungen der DSGVO eingehen und einen Großteil unserer Kunden betreffen, gilt es sich auch über weitere Handlungsmaßnahmen die Website betreffend Gedanken zu machen, um sich langfristigen Ärger zu ersparen:

A) Sie verwenden ein Anfrage-Formular

Über ein Anfrageformular erheben Sie für gewöhnlich personenbezogene Daten (z.B. E-Mail-Adresse, Vorname, Nachname, Geburtsdatum, Anreisedatum, etc. …). Wir empfehlen daher am Ende jedes Kontaktformulars einen Hinweistext zu setzen, der darüber informiert, wie diese Daten an Sie übermittelt werden und auch wie lange und zu welchem Zweck diese Daten in Ihrem Unternehmen gespeichert werden, wie das Löschungsprozedere für personenbezogene Daten in Ihrem Unternehmen aussieht, insbesondere dann, wenn Anfragen, die über das Kontaktformular gesendet werden, zusätzlich auch am Server protokolliert und abgelegt werden.

Natürlich kann dieser Hinweistext auch in die Datenschutz-Erklärung integriert werden. Wir empfehlen dann aber zumindest einen Link am Anfrageformular zur Datenschutz-Erklärung zu setzen.

Gerne informieren wir Sie über den hier zu erwartenden Aufwand, falls Sie diese Hinweistexte durch uns setzen lassen möchten.

B) Sie verwenden einen Newsletter:

1.) Double opt in (DOI)-Verfahren
Kunden, die eines unserer Newsletter-Systeme verwenden, haben hier soweit keinen großen Handlungsbedarf und können sich zurücklehnen. Unsere Newsletter-Systeme, egal ob im CMS Weblication® integriert oder über ein eigenständiges Modul, arbeiten bereits jetzt gesetzeskonform nach dem Telekommunikations-Gesetz (TKG) über das sogenannte Double-Opt-In (DOI) Verfahren.  Sollten Sie ein eigenes Newsletter-System verwenden, prüfen Sie, ob das System die Anmeldung der Adressen im DOI-Verfahren ermöglicht.

2.) Dürfen bestehende gesammelte Newsletter-Adressen weiterhin beschickt werden?
Durch die DSGVO ändert sich grundsätzlich nichts an den auch bisher schon geltenden Bestimmungen! Das Datenschutzgesetz 2000 (DSG 2000) und das Telekommunikations-Gesetz (TKG) hatten allerdings immer schon sehr strenge und sehr klare Bestimmungen bezüglich der Sammlung von E-Mail-Adressen für elektronisches Marketing. Neu ist lediglich die Durchsetzung dieser Bestimmungen über die DSGVO mit empfindlich hohen Strafen, weshalb Sie Ihre Datensätze, die für den Newsletter-Versand verwendet werden, eingehend prüfen und eventuell adaptieren sollten. Es ist - wie bisher auch schon - möglich, Kontakte, die einen Vertragsabschluss mit Ihnen getätigt haben und zu denen somit eine Geschäftsbeziehung besteht (z.B. Adressen von Gästen, die bereits in Ihrem Hotel genächtigt haben), mit Newslettern zu beschicken, allerdings nur dann, wenn während der Erhebung der E-Mail-Adresse, darauf hingewiesen wurde, dass die Adresse für Werbezwecke verwendet wird und der Kunde dem jederzeit widersprechen kann. Dieser Hinweis muss allerdings, wie erwähnt, bei der Erhebung der Daten, also noch VOR dem ersten Versand erfolgen.

Eine weitere Möglichkeit wäre, falls kein Vertragsabschluss zu Stande gekommen ist (z.B. der Gast nur eine Anfrage ans Hotel gestellt, aber dann doch nicht dort genächtigt hat) und somit auch keine Geschäftsbeziehung besteht, dass der Kunde aktiv und explizit dem Erhalt eines Newsletters zugestimmt hat, oder noch besser sich über ein Anmeldeverfahren für den Newsletter registriert hat. Dann liegt eine Einwilligung vor. Diese Einwilligung muss nachweisbar erfolgt sein, z.B. über das in Punkt 1.) genannte elektronische DOI -Verfahren. Hier wird die Anmeldungen z.B. in einer Datenbank nachweisbar protokolliert. Oder Sie verfügen über eine schriftliche Einwilligung in Papierform (z.B. bei E-Mail-Adressen, die Sie auf einer Messe mittels Anmeldekarten gesammelt haben), welche Sie zum Nachweis aufbewahren müssen.

3.) Sie verfügen über gar keine Zustimmung oder nachweisbare Einwilligung?
Wenn Sie über keine Zustimmung verfügen und mit dem Kontakt auch nicht in Geschäftsbeziehung stehen, dürfen Sie den Kontakt NICHT per E-Mail anschreiben. Möglich ist lediglich eine postalische Briefsendung (z.B. Prospekt) in der wiederum auf den Widerspruch der Zusendung von weiteren Werbematerialien hingewiesen wird.

4.) Sollen fehlende oder nicht mehr nachweisbare Zustimmungen von Newsletter-Empfängern im Nachhinein eingeholt werden?
Es ist schwierig eine klare Antwort auf diese Frage zu geben. Die Wahl ist nun hier zu treffen, entweder komplett auf wertvolles Adressmaterial zu verzichten oder die Zustimmung nachträglich einzuholen und Gefahr zu laufen, einen Großteil der Abonnenten doch zu verlieren, da diese die Zustimmung nachträglich nicht mehr erteilen, weil z.B. das Einladungs-Mail im Spamfilter gelandet ist oder dem Kunden nicht bewusst ist, dass er handeln müsste.

Gerne beraten wir Sie im Individualfall und empfehlen Ihnen hier erfolgreiche Methoden zur Erwirkung von Zustimmungen im Zuge eines Beratungsauftrags.

Hinweis: Eine Erleichterung gilt für Adressen aus dem B2B-Bereich, die vor dem 1. März 2006 erhoben wurden und bei deren Erhebung KEINE Möglichkeit des Widerrufs angeboten wurde. An solche Adressen kann weiter versendet werden, wenn die E-Mail-Adressen damals rechtmäßig erhoben wurden (aufrechte Geschäftsbeziehung bzw. Anmeldung durch den Kunden) und die Zusendung ansonsten rechtmäßig erfolgt ist.

5.) Wie generiere ich gesetzeskonform und ohne viel Aufwand neue Newsletter-Adressen?
Gerne beraten wir Sie, wie Sie eine gültige Zustimmung von Neukunden zum Empfang Ihres Newsletters erwirken können.

6.) Welche Daten erhebe ich, bzw. welche Felder sind Pflichtfelder im Anmeldeformular des Newsletters?
Bitte beachten Sie, dass im Anmeldeformular Ihres Newsletters nur das Feld "E-Mail-Adresse" ein Pflichtfeld sein darf. Gem. Artikel 5 der DSGVO dürfen Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und müssen auf das für den Zweck notwendige Maß beschränkt sein. Zum Versand des Newsletters ist nur die E-Mail-Adresse des Empfängers notwendig. Natürlich können weitere Felder angeboten werden, die der Interessent freiwillig ausfüllen kann (z.B. Vorname, Nachname, Geschlecht, Interessensgebiete, etc.)

Wir empfehlen außerdem auch hier eine entsprechende Anpassung der Hinweistexte in Ihrer Datenschutz-Erklärung an geeigneten Stellen auf Ihrer Website.

C) Sie verwenden eine Webshop-Lösung

Erfolgt eine Protokollierung der Shop-Bestellungen über Ihre Website, so werden personenbezogene Daten nicht nur an Sie übermittelt, sondern auch am Server abgespeichert. Auch hier ist es daher, ähnlich wie bei den Anfrage-Formularen empfohlen, entsprechende Hinweistexte auf den betreffenden Shop-Seiten und/oder in der Datenschutz-Erklärung der Website zu ergänzen, die über das Prozedere der Verarbeitung (insbesondere der Löschung) dieser Daten aufklären.

Gerne informieren wir Sie, ob eine Protokollierung der Shop-Bestellungen auf Ihrer Website vorliegt und stimmen mit Ihnen eventuelle Hinweistexte auf den Shop-Seiten bzw. in der Datenschutz-Erklärung ab.

Weiterführende Informationen zur DSGVO und zum Datenschutz allgemein, wie auch Checklisten und Muster-Vorlagen finden Sie z.B. bei der Österreichischen Wirtschaftskammer unter: 

www.wko.at/datenschutz

Haftungsausschluss

Da wir keine juristischen Auskünfte erteilen dürfen, handelt es sich bei den auf dieser Seite getätigten Aussagen ausdrücklich um Empfehlungen ohne rechtsverbindlichen Charakter!

Das geht uns auf den Keks...
Cookie-Hinweis INTERNET-XL

Cookie-Hinweise nerven - das wussten wir schon immer!
Aber auch unsere Website nutzt mehrere Arten von Cookies, auf die wir leider hinweisen müssen.
Einige Cookies benötigen wir dringend, um die Funktionalität unserer Website zu gewährleisten. Andere hingegen tragen zu Optimierungen bei, die dein Nutzererlebnis verbessern. Folgende externe Services nutzt diese Website: Karten, Videos & Analysewerkzeuge

Datenschutzinformationen     Impressum

Triff kurz deine Wahl und dann geht's auch schon weiter...

Das geht uns auf den Keks... Cookie-Hinweis INTERNET-XL

Cookie-Hinweise nerven - das wussten wir schon immer!
Aber auch unsere Website nutzt mehrere Arten von Cookies, auf die wir leider hinweisen müssen.
Einige Cookies benötigen wir dringend, um die Funktionalität unserer Website zu gewährleisten. Andere hingegen tragen zu Optimierungen bei, die dein Nutzererlebnis verbessern. Folgende externe Services nutzt diese Website: Karten, Videos & Analysewerkzeuge

Datenschutzinformationen     Impressum

Triff kurz deine Wahl und dann geht's auch schon weiter...