Home   I   Ratgeber: E-Commerce   I   10 Tipps für eine datenschutzkonforme Website

10 Tipps für eine datenschutzkonforme Website

Nina Nguyen I 18.08.2021 I E-Commerce

Die EU-Datenschutzgrundverordnung (DSGVO) gilt seit dem 25. Mai 2018 und dient dem Schutz personenbezogener Daten. Seitdem müssen (Web-)Unternehmen sich stets über Neuerungen und die Konformität ihrer Erhebungen und Verarbeitung personenbezogener Daten bemühen, denn die Anforderungen und Informationspflicht verschärfen sich seit Inkrafttreten dieser Verordnung stetig. Jeder einzelne von uns hat das Recht darauf zu bestimmen, was mit seinen Daten passiert (bzw. nicht passieren darf). In Zeiten unaufhaltsam forschreitender technologischer Errungenschaften und ständig neuer Leaks, Hacking-Angriffe und Datenskandale müssen Unternehmen mit einer Website mit dem Thema Datenschutz umso umsichtiger umgehen.

Warum? Bei Datenschutzverstößen wird es sehr teuer. Seit Mai 2018 drohen Geldbußen bis zu 20 Mio. Euro bzw. 4 % des Vorjahresumsatzes. Ein gutes und bekanntes Beispiel aus der Social Media Welt ist der Datenschutz-Verstoß der Plattform TikTok in den Niederlanden. Dieser Vorfall zeigt, dass Unternehmen im internationalen Kontext noch genauer hinsehen müssen, ob sie auch in anderen Ländern noch alle Datenschutzrichtlinien einhalten, um hohe Bußgelder und schlechte Publicity zu vermeiden.

Was bedeutet die DSGVO jetzt genau für Website-Besitzer und welche Anforderungen gelten? Wie können Sie sicherstellen, dass Ihre Datenschutzerklärung rechtlich korrekt übersetzt wird? Hier sind unsere 10 Tipps für eine datenschutzkonforme Website.

Tipp 1. Datenschutzerklärung

Die Anforderungen an die Inhalte der Datenschutzerklärung sind hoch. Wichtig ist: Jegliche Verarbeitung personenbezogener Daten müssen explizit auf der Website beschrieben werden. Jeder Besucher muss transparent und ausführlich informiert werden. Außerdem muss die Datenschutzerklärung in allen Sprachen übersetzt und verfügbar sein, in denen die Inhalte der Website angeboten werden. Am Beispiel der Social-Media-Plattform TikTok sieht man, dass es nicht nicht ausreicht, die Datenschutzrichtlinien auf Englisch zur Verfügung zu stellen. TikTok ist verpflichtet, ihre Datenschutzerklärung in den Sprachen der Länder zu Verfügung zu stellen, in denen die Plattform zulässig ist.

Folgende Informationen müssen enthalten sein:

Illustration: Frau am Computer
  • Download more icon variants from https://tabler-icons.io/i/number-1 Name und Kontaktdaten der verantwortlichen Stelle
  • Download more icon variants from https://tabler-icons.io/i/number-2 Name und Kontaktdaten des bestellten Datenschutzbeauftragten (falls vorhanden)
  • Download more icon variants from https://tabler-icons.io/i/number-3 Alle Zwecke der Datenverarbeitung
  • Download more icon variants from https://tabler-icons.io/i/number-4 Rechtsgrundlagen für die Datenverarbeitung
  • Download more icon variants from https://tabler-icons.io/i/number-5 Empfänger der Daten
  • Download more icon variants from https://tabler-icons.io/i/number-6 Information über eine Weitergabe von Daten an Dritte/Drittländer
  • Download more icon variants from https://tabler-icons.io/i/number-7 Wie lange die Daten gespeichert werden oder Kriterien, die eine Frist bestimmen
  • Download more icon variants from https://tabler-icons.io/i/number-8 Information über das Recht auf Auskunft, Löschung sowie Widerspruch
  • Download more icon variants from https://tabler-icons.io/i/number-9 Information über Beschwerderecht bei einer Datenschutzaufsichtsbehörde

Tipp 2. Impressum

In manchen Fällen sind weitere Infos, wie z. B. zuständige Aufsichtsbehörden, Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister, der inhaltlich Verantwortliche und die Umsatzsteuer- oder Wirtschafts-Identifikationsnummer, erforderlich. Wichtig: Der Besucher muss das Impressum innerhalb von 2 Klicks finden können.

Angegeben werden müssen:

Illustration: Frau am Computer
  • Download more icon variants from https://tabler-icons.io/i/number-1 Name
  • Download more icon variants from https://tabler-icons.io/i/number-2 Aktuelle Anschrift des Anbieters
  • Download more icon variants from https://tabler-icons.io/i/number-3 Rechtsform
  • Download more icon variants from https://tabler-icons.io/i/number-4 Vertretungsberechtigten Personen
  • Download more icon variants from https://tabler-icons.io/i/number-5 Mindestens eine E-Mail-Adresse

Tipp 3. Formulare

Besucher können Sie am einfachsten über ein Kontaktformular erreichen. Da hierbei persönliche Daten übermittelt werden, muss dieses Formular unter allen Umständen datenschutzkonform sein. Dasselbe Prinzip gilt für andere Formulare, wie z. B. den Newsletter, die Registrierung, den Login oder den Checkout in einem Online-Shop.

Es gilt hier: Es dürfen nur Daten erhoben werden, die auch tatsächlich für den jeweiligen Zweck notwendig sind. Bei einem Kontaktformular müssen Pflichtfelder geprüft und eindeutig markiert werden und optionale zusätzliche Felder sind möglich.

Website-Besucher muss klar und deutlich in der Datenschutzerklärung darüber informiert werden, welche Angaben erhoben und wofür sie genau verwendet werden. Falls Sie mehrere Formulare auf der Website verwenden, müssen Sie unmissverständlich angeben, auf welches Formular sich die Erklärung bezieht. Am besten informieren Sie Ihre Besucher direkt unter dem Eingabefeld über den Zweck der Verarbeitung (inkl. Link zur Datenschutzerklärung) und fügen eine Checkbox hinzu, wo diese ihr Einverständnis geben können. Beachten Sie des Weiteren, dass die Daten aus dem Kontaktformular nur für den Zweck der Kontaktaufnahme genutzt werden dürfen. Diese Daten müssen nach der Übermittlung gelöscht werden. Auch liegt es in Ihrer Verantwortung, die sichere Übertragung der Daten zwischen Computer und Server sicherzustellen. Dafür ist ein SSL-Zertifikat erforderlich, worüber Sie im 4. Tipp mehr erfahren.

Tipp 4. SSL-Zertifikat

Personenbezogene Daten dürfen bei der Übertragung zwischen Computer und Server nicht von Unbefugten gelesen, kopiert, verändert oder gelöscht werden. Die Übertragung muss demnach verschlüsselt werden, z. B. mit einem SSL-Zertifikat („Secure-Sockets-Layer“), das für eine verschlüsselte Kommunikation zwischen Computer und Server sorgt.

Ein SSL-Zertifikat erkennen Sie am „https“ und einem Schloss-Symbol in der Adresszeile.

Tipp 5. Kommentare

Falls es auf Ihrer Website eine Kommentarfunktion gibt, bei der personenbezogene Daten (z. B. E-Mail-Adresse) eingegeben werden müssen, muss diese Kommentarfunktion in der Datenschutzerklärung erwähnt werden. Beachten Sie, dass Sie die für die Kommentare angegebenen Daten nicht für andere Zwecke genutzt werden dürfen, als in der Datenschutzerklärung beschrieben. Auch hierbei ist für die sichere Übertragung ein SSL-Zertifikat notwendig.

Klären Sie Ihre Website-Besucher zudem mit einer Verlinkung auf die Datenschutzerklärung darüber auf, wie ihre Daten gespeichert und verwendet werden. Falls Sie den Datenschutz bei Ihrer Kommentarfunktion noch sicherer gestalten wollen, können Sie die Kommentare so einstellen, dass deren Inhalte vor der Veröffentlichung zunächst geprüft werden. Oder Namen können durch Abkürzungen oder Pseudonyme ersetzt werden.

Tipp 6. Tracking und Cookies

Die Möglichkeit der Auswertung und Analyse der Besucher und deren Surfverhalten haben Sie mithilfe von Webtrackern wie Google Analytics. Dabei müssen Sie bedenken, dass die Daten an Dritte übermittelt werden. Achten Sie also auf Folgendes:

* IP-Adressen dürfen nur anonymisiert gespeichert werden.
* Erweiterung in der Datenschutzerklärung mit der Beschreibung, wie und zu welchem Zweck die Besucherdaten gespeichert werden, sowie die Angabe, an wen sie weitergegeben werden. Besuchern muss hier die Möglichkeit geboten werden, jederzeit widersprechen zu können („Opt-Out“-Funktion).
* Auftragsverarbeitungsvertrag ist bei einem Webtracker von Dritten erforderlich und muss an Google geschickt werden.

In manchen Fällen sind weitere Infos, wie z. B. zuständige Aufsichtsbehörden, Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister, der inhaltlich Verantwortliche und die Umsatzsteuer- oder Wirtschafts-Identifikationsnummer, erforderlich.



Cookies

Mithilfe von Cookies wird das Verhalten der Nutzer erfasst und damit ein Nutzerprofil erstellt, um z. B. zielgerichtete Werbung zu schalten. Für die Verarbeitung ihrer Daten müssen Nutzer jedoch ihre aktiv zustimmen. Das geht über einen Cookie-Banner, das beim ersten Besuch auf der Website erscheint. Die Besucher entscheiden über das Setzen von Häkchen, welche Daten an Dritte weitergegeben werden dürfen. Eine neue Entscheidung des Europäischen Gerichtshofs (EuGH) hatte vor Kurzem entschieden, dass voreingestellte Häkchen hierbei nicht zulässig seien.

Tipp 7. Newsletter

Empfänger Ihres Newsletters müssen dem Versand an ihre E-Mail-Adresse ausdrücklich zugestimmt haben. Der Besucher gibt dafür z. B. aktiv seine E-Mail-Adresse ein bzw. setzt das Häkchen bei einer entsprechenden Checkbox. Ein im Vorfeld automatisch gesetztes Häkchen beim Abschluss eines Kaufs oder Ausfüllen eines Kontaktformulars entspricht nicht den Anforderungen der DSGVO.

Sie als Website-Betreiber müssen hier immer eine Einwilligung nachweisen können. Auf Nummer sicher können Sie gehen, indem der Empfänger nach seiner Anmeldung eine E-Mail bekommt, in der er über einen Link die Anmeldung zum Newsletter bestätigen muss. Diese Bestätigung müssen Sie protokollieren.

Außerdem muss der Newsletter-Abonnent jederzeit die Möglichkeit haben, sich abmelden zu können. Diese Information muss bei der Anmeldung und in jedem Newsletter enthalten sein. Wird Ihr Newsletter über einen Dienstleister versendet, müssen Sie Ihre Newsletter-Empfänger darüber informieren und ein Auftragsverarbeitungsvertrag mit dem Dienstleister ist notwendig. Und auch hier muss die Datenschutzerklärung um einen entsprechenden Absatz ergänzt werden.

Tipp 8. Social Media

Um Ihre Website direkt mit Ihren Social Media Konten zu verknüpfen, bieten Plattformen wie Facebook, Twitter oder Instagram „Share“-Buttons an. Personenbezogene Daten des Besuchers werden ohne Anonymisierung direkt beim Aufruf der Website an den Anbieter übermittelt und genutzt, um Profile zu Werbezwecken zu generieren. Ihre Besucher haben der Übermittlung ihrer Daten zu dem Zeitpunkt aber noch nicht zugestimmt. Daher ist die Nutzung dieser Share-Buttons nicht DSGVO-konform, auch wenn dies klar und deutlich in Ihrer Datenschutzerklärung erwähnt wird.

Zwei Möglichkeiten:

2-Klick-Lösung:


Hier werden funktionslose Grafiken mit einem Link zu Ihren Social Media Profilen auf Ihrer Website eingebunden. Beim Klick auf die Grafik wird der Besucher über die Weitergabe seiner personenbezogenen Daten informiert und willigt dazu ein. Erst nach der Einwilligung wird er zur Social Media Plattform weitergeleitet.



Shariff-Lösung:


Hier wird der Besucher direkt in einem neuen Fenster weitergeleitet. Ab da informiert der jeweilige Anbieter über die Datenverarbeitung und es kommt zu keiner direkten Weitergabe personenbezogener Daten.

Tipp 9. Scripte und externe Inhalte

Falls Sie auf Ihrer Website zusätzliche Plugins und Add-ons nutzen, sollten Sie überprüfen, ob hierbei personenbezogene Daten verarbeitet und weitergegeben werden. Bei einer Datenweitergabe ist wieder einmal ein Auftragsverarbeitungsvertrag erforderlich und der Besucher muss in der Datenschutzerklärung über die Verwendung von Plugins/Add-ons informiert werden und über sein Widerspruchsrecht aufgeklärt werden.

Tipp 10. Auftragsverarbeitungs - Verträge

Diese Verträge müssen mit allen Dritten geschlossen werden, an die personenbezogene Daten im Austausch für deren Dienstleistungen weitergegeben werden. Kernbestandteile sind Gegenstand und Dauer der Vereinbarung, Art und Zweck der Verarbeitung personenbezogener Daten, die Rechte und Pflichten des Auftraggebers, die Pflichten des Auftragnehmers, die Dokumentations- und Mitwirkungspflichten sowie technische und organisatorische Maßnahmen.

Heutzutage reicht es also nicht mehr aus, eine datenschutzkonforme Website in Ihrem eigenen Land zu haben. Bei einer Expansion und Internationalisierung Ihrer Geschäfte ist es noch viel wichtiger, dass Sie sich über die länderübergreifenden und -spezifischen Regelungen informieren. Auf Nummer sicher gehen Sie in jedem Fall, wenn Sie Ihre Datenschutzerklärung, Auftragsverarbeitungsverträge und alle dazugehörigen Dokumente in die jeweilige Sprache übersetzen lassen. Damit gehen Sie den ersten Schritt, dass Sie alle Website-Besucher in ihrer Muttersprache über Ihre Datenerhebung und -verarbeitung, Tracking-Systeme und Datenweitergabe an Dritte verständlich informieren.



Über die Autorin

@Nina Nguyen | Global Content Manager, lingoking



Unverkennbar an meinem Nachnamen habe ich vietnamesische Wurzeln, bin aber in einer wunderschön unterfränkischen Kleinstadt groß geworden (Tipp: bekannt für die „Schlachtschlüssel“). Schon seit der Schulzeit brenne ich für die Sprachen dieser Welt und die verschiedenen Kulturen, die uns bereichern. Mit meinen Erfahrungen aus dem Studium und im professionellen Bereich Übersetzung, Lokalisierung, Transkreation und Content arbeite ich im Marketing-Team von lingoking daran, die Welt von lingoking über Grenzen hinaus vorzustellen und Unternehmen wie auch jede/n einzelne/n mit unserer Plattform zu begeistern.

Interesse geweckt?

Schreibt mir @Lorenz Schweiger

Leben.   Arbeiten.   Reisen.   Skalieren.   Grenzen verschieben.

Weitere Artikel

Noch mehr spannende Ratgeber-Themen aus dem bereich E-Commerce

ÜBER UNS

Erfahren Sie, wer hinter lingoking steckt. Woher wir kommen und was uns antreibt.


Lernen Sie uns kennen

ÜBERSETZUNGEN

Überall und jeder Zeit erreichbar. Mit unserer Übersetzungs-App schnell und unkompliziert Übersetzungen buchen

Zu unseren Übersetzungen

SPRACHKOMPASS

Noch mehr exklusive und informative Einblicke zum Thema Sprachen, Kultur und Werte.


Unsere Sprachvielfalt

#WeAreLingoking "Lets Push The Boundaries"