Nach wie vor sollten Sie...

Bereits bei einfachen Kontaktformularen ist darauf zu achten, dass die Eingabe und Übermittlung der Daten stets mit aktuellen Verschlüsselungsverfahren erfolgt, denn nur so ist sichergestellt, dass die von der DSGVO geforderte angemessene Sicherheit der personenbezogenen Daten gewährleistet ist. Dies gilt umso mehr, wenn etwa im Zuge einer Bestellung in einem Online-Shop besonders sensible und schützenswerte Daten wie Kontoinformationen übertragen werden. Zudem gilt bei allen erfassten Formulardaten der Grundsatz der Datenminimierung bzw. Datensparsamkeit. Es dürfen nur solche Daten erhoben werden, die für den jeweiligen Zweck auch benötigt werden.

Um den Nachweis zu erbringen, dass der Nutzer einer E-Mail-Adresse einen Newsletter tatsächlich auch abonniert und nicht ein Dritter diesen Newsletter angefordert hat bzw. es durch Tippfehler bei der angegebenen Adresse zu unerwünschten Zustellungen gekommen ist, muss vor dem Versand des Newsletters eine Rückfrage bei der angegebenen E-Mail-Adresse mittels einer Bestätigungs-Mail erfolgen. Dies entspricht dem Double-Opt-In-Prinzip*. Erst nachdem der Nutzer die Newsletter-Bestellung durch Anklicken des Bestätigungs-Links akzeptiert, darf der Newsletter-Versand erfolgen.

Vor dem Versand eines Newsletters ist der Versender verpflichtet, die explizite Einwilligung des Nutzers einzuholen. Diese Einwilligung muss freiwillig und in unmissverständlicher Weise erfolgen. Dabei müssen Versender auch darüber informieren, in welchem Umfang, zu welchem Zweck und von wem die hier anfallenden personenbezogenen Daten verarbeitet werden. Obligatorisch ist der Hinweis auf die Möglichkeit des Widerrufs.

Die Nutzung von Cookies auf den Webseiten fällt ebenfalls unter die Vorgaben der DSGVO, da hierüber die Nutzer durch entsprechende Techniken wiedererkennbar werden. Andererseits erlaubt die DSGVO aber auch die Verarbeitung personenbezogener Daten, wenn dies zur Wahrung berechtigter Interessen des Verantwortlichen notwendig ist und sofern dabei die Interessen und Grundfreiheiten der betroffenen Nutzer gewahrt bleiben. Daraus lässt sich schließen, dass solche Cookies, die die Nutzerfreundlichkeit auf einer Website erhöhen bzw. einige Dienste erst ermöglichen, durchaus auch ohne Hinweis möglich sein müssten. Erst auf Cookies, die zu anderen Zwecken, etwa der Analyse der Besucherströme, verwendet werden, müsste dann explizit hingewiesen werden. In jedem Fall unverzichtbar für alle Cookies ist jedoch ein Widerspruchsrecht, das allen Website-Besuchern eingeräumt werden muss.

Explizit hinzuweisen ist auf den Einsatz anderer Analyse-Tools wie etwa das weit verbreitete Google Analytics. Die Website-Nutzer sind nicht nur über den Einsatz des Tools in der Datenschutzbestimmung zu informieren, es muss auch ein Widerspruchsrecht eingeräumt werden.

Zusätzlich muss Google Analytics so verwendet werden, dass die erfassten IP-Adressen anonymisiert werden, wozu Google eine entsprechende Erweiterung anbietet. Schließlich muss vor der Verwendung ein schriftlicher Vertrag zur Auftragsverarbeitung mit Google abgeschlossen werden.

Sollen auf den Webseiten die sogenannten Social-Media-Plug-Ins eingebaut werden, mit denen die Besucher andere Seiten - beispielsweise aus Soziale Netzwerke - empfehlen oder teilen können, wird künftig eine ausdrückliche Einwilligung der User verlangt, denn über diese Erweiterungen sammeln die sozialen Netzwerke, ähnlich wie mit anderen Analyse- und Tracking-Werkzeugen, Daten mit Hinweisen zum Surfverhalten der User und können daraus Userprofile erstellen.

Hier empfiehlt sich der Einsatz solcher Lösungen, bei denen die Besucher zunächst frei entscheiden können, ob ihre Daten durch die Plug-Ins an die Sozialen Netzwerke übertragen werden sollen oder nicht. Realisiert werden kann dies beispielsweise durch zusätzliche Schaltflächen, durch deren Anklicken erst die Zustimmung zur Nutzung der Plug-Ins erteilt wird.

Wie bisher auch ist in jedem Fall eine Datenschutzerklärung auf Websites notwendig. Diese muss nun mehr als bisher in klarer und einfacher Sprache formuliert sein. In der Datenschutzerklärung müssen viele Details angegeben werden, zum Beispiel die Kontaktdaten des Datenschutzbeauftragten, Informationen zum Interesse an der Datenverarbeitung, ob eventuell die Absicht besteht, die Daten in Drittstaaten zu übertragen und Informationen über Betroffenenrechte wie Berichtigung, Beschwerderechte oder Löschung.

Weitere Informationen zur Datenschutzerklärung finden Sie hier.