Aufrufe
vor 1 Jahr

Leitfaden: Rechtssichere Internetseiten & Onlineshops – DSGVO-konform

  • Text
  • Internetpräsenz
  • Rechtssicher
  • Wwwpopsceneclub
  • Dury
  • Unternehmen
  • Vorgaben
  • Internetseite
  • Instagram
  • Facebook
  • Impressum
  • Verbraucher
  • Rechtliche
  • Dsgvo
Dieser Leitfaden in seiner 8. Auflage (Stand Oktober 2021) unterstützt Unternehmen, sowie erstmalig auch Körperschaften und Anstalten des öffentlichen Rechts (KdöR, wie Behörden, Kommunale Eigenbetriebe & AdöR) darin, rechtliche Probleme bzgl. der eigenen Internetpräsenz in der Praxis zu erkennen und zu beheben. Seit der letzten Neuauflage dieses Leitfadens im Jahr 2019 gab es erhebliche Änderungen der Rechtsprechung und der Gesetzgebung. Die Neuauflage gibt Ihnen eine erste Orientierung für die Erstellung einer Anbieterkennzeichnung (Impressum), die Inhalte einer Datenschutzerklärung und die Einhaltung datenschutzrechtlicher Vorgaben, den Fernabsatz (Online-Shops und Marktplätze wie Ebay, Amazon, Instagram Shops), die Stockfoto-Nutzung (Urheberrecht), das Markenrecht, Social-Media und Videokonferenzen sowie einen Einblick über den aktuellen Stand der Rechtsprechung. Aktuelle gesetzliche Anforderungen wurden ebenfalls hinzugefügt. Checklisten und Mustertexte für Anbieterkennzeichnungen helfen konkret bei der Absicherung Ihres Internetauftritts.

Rechtliche Vorgaben des

Rechtliche Vorgaben des Datenschutzes Checkliste: Brauche ich einen Datenschutzbeauftragten? ► ► ► 1. Mehr als 19 Personen arbeiten regelmäßig mit automatisierter Datenverarbeitung (z. B. mehr als 19 Mitarbeiter sitzen dauerhaft am PC) oder 2. Das Unternehmen verarbeitet besondere Kategorien von Daten = Daten, aus denen sich die rassische und ethnische Herkunft (z. B. Passbilder, die auf eine ethnische Herkunft schließen lassen), politische Meinungen (z. B. politische Befragungen, Umfragen), religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person (z. B. Speicherung von Fingerabdrücken in Schließsystemen), Gesundheitsdaten (z. B. Daten, die schließen lassen ob jemand geimpft ist, Daten über Behinderungen) oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (z. B. Speicherung von LGBTQIA* Daten) oder 3. Die Kerntätigkeit des Unternehmens liegt in der Erhebung, Verarbeitung, Nutzung von personenbezogenen Daten (z. B. Unternehmen pflegt insbesondere Webseiten mit Eingabemöglichkeiten für Kunden). k) Newsletter Bei Newslettern ist zunächst zwischen Newslettern an Bestandskunden und Neukunden zu unterscheiden. Eine rechtskonforme Anmeldung erfolgt stets durch ein sog. Double-Opt-In-Verfahren (Verbindliche Anmeldung erst nach Zusendung eines Anmeldelinks, vorher keine Anmeldung, baldige Löschung der Kontaktdaten erforderlich). Der Ersatz dieses Verfahrens durch Einwilligungskästchen ist nicht zulässig. Der BGH hat in mehreren Urteilen hierfür die eindeutigen Vorgaben aufgezeigt. Die Notwendigkeit eines Double-Opt- Ins ergibt sich auch aus der DSGVO. Art. 6 Abs. 1 lit. a DSGVO erlaubt einen Newsletterversand nur dann, wenn der betroffene eine entsprechende Einwilligung erteilt hat. Der Nutzer muss zudem bereits vor der Anmeldung auf sein jederzeit bestehendes Widerrufsrecht hingewiesen werden. Zudem muss bei Anmeldung (Hinweis neben dem Anmeldeformular erforderlich) und bei jedem Versand auf die Möglichkeit einer Austragung aus dem Newsletter-Verteiler hingewiesen werden. In der Praxis wird dies durch einen Link zur Abmeldung vom Newsletter in den Newsletter-Mails erreicht (sog. Opt-Out). Über die Newsletter-Funktion ist zudem in der Datenschutzerklärung aufzuklären und sie ist dort in ihrer Funktionsweise zu beschreiben. Wird Newslettertracking durchgeführt (i. d. R. Standardeinstellung bei allen Newsletter-Tools), muss zudem noch das Tracking über eine zusätzliche Einwilligung (neben dem Double-Opt-In) legitimiert sein, da der Interessent das Tracking nicht ahnen konnte. Praxistipp: Ich habe noch Newslettereinwilligungen von Kunden vor der Geltung der DSGVO am 25. Mai 2018 vorliegen, darf ich diesen Kunden meinen Newsletter zusenden ? Es sollte von einem spezialisierten Anwalt im Einzelfall überprüft werden, wie rechtssicher diese damaligen Einwilligungen ausgestaltet waren und ob Sie noch den heutigen Maßstäben entsprechen. In der Regel entsprechen diese alten Einwilligungen nicht mehr den datenschutzrechtlichen Anforderungen. Es sollte eine betriebswirtschaftliche Abwägung erfolgen, ob Sie diese „Einwilligungen“ weiter nutzen. In jedem Fall sollten Sie in jeden Newsletter einen „Abmelde-Link“ aufnehmen, der durch einfaches Anklicken zur Abmeldung vom Newsletter führt. Dies kann in der Praxis viel Stress bei der Pflege des Datenbestandes der Newsletterdatenbank vermeiden. RA Marcus Dury LL.M. Fachanwalt für IT-Recht l) Anklickbarkeit der Verlinkungen in der Datenschutzerklärung / allgemeine Gestaltung Die in der Datenschutzerklärung enthaltenen Verlinkungen (Links) zu Opt-Out-Tools und allen sonstigen relevanten Seiten müssen funktionieren. Überdies sollte auf eine übersichtliche und lesbare Gestaltung der Datenschutzerklärung geachtet werden. So sollte die Datenschutzerklärung untergliedert und die Überschriften zu den einzelnen Abschnitten als solche zu erkennen sein. Die Verwendung von anschaulichen Zeichen und Symbolen ist diesbezüglich wünschenswert. m) Informationen zu eingesetzter Tracking-Technik (z. B. Matomo oder Google Analytics) Viele Webseiten setzen nach wie vor Web-Tracking-Techniken ein, die Nutzerinteraktionen, Herkunft und Verweildauer aufzeichnen. Da derartige Tracking-Tools personenbezogene Daten erheben, verarbeiten und speichern, sind strenge Vorgaben hinsichtlich des Datenschutzes einzuhalten. Nutzen Sie am besten selbst gehostete Tracking-Tools wie Matomo, um datenschutzrechtliche Klimmzüge und ein Einwilligungserfordernis zu vermeiden. 21

Rechtliche Vorgaben des Datenschutzes Praxistipp: Was muss man beim Einsatz von Google Analytics beachten? Google Analytics lässt sich in Zeiten der DSGVO nach Ansicht der Deutschen Datenschutzkonferenz (DSK) und der Urteile des EuGHs und des BGH nur noch nach vorheriger Einwilligung der Nutzer datenschutzkonform nutzen. Für den datenschutzrechtlich unbedenklichen Einsatz müssen Sie die nachfolgenden Punkte beachten. Eine Internetagentur sollte diese Schritte durchführen und Ihnen die korrekte Einbindung bestätigen. Schalten Sie vorab ein Cookie-Banner, mit dem Sie sich die Einwilligung Ihrer Besucher in das Tracking mittels Google- Analytics einholen. Fügen Sie im Backend von Google Analytics einen Java- Script-Operator “_gaq.push (['_gat._ anonymizelp']);” in den Quellcode bzw. Tracking-Code ein. Im Ergebnis werden die IP-Adressen der Nutzer dann nur verkürzt gespeichert und anonymisiert weiterverarbeitet. Bei neueren Einbindungen (z. B. Universal Analytics) muss dies ggf. im Benutzermenü eingestellt werden. Es müssen datenschutzrechtliche Verträge (AVV) mit Google abgeschlossen werden. Diese finden Sie im Google Analytics-Benutzermenü. Hierzu gehören auch Nutzungsbedingungen, die die Einbindung von Standarddatenschutzklauseln vorsehen. Diese Vertragsbedingungen sollten immer aktuell sein. Die Datenschutzerklärung muss bzgl. des Einsatzes von Google Analytics durch eine Klausel erweitert werden, die auch aktive Opt-Out-Links zum nachträglichen Widerruf der erteilten Einwilligung zum Tracking enthält. Bereits in der Vergangenheit mittels Google Analytics erhobene Tracking-Daten ohne Anonymisierung und Einwilligung müssen gelöscht werden. Übrigens: Auch Google selbst geht davon aus, dass jeder Seitenbetreiber, der Google Analytics nutzt, sich vorab von jedem einzelnen Seitenbesucher die Erlaubnis zum Einsatz von Google Analytics zum Tracking rechtskonform eingeholt hat. Unter https://www.google.com/intl/de/about/ company/user-consent-policy/ heißt es: „Für Google-Dienste, die auf einer Website, in einer App oder einem anderen Dienst genutzt werden, die bzw. der sich unter der Kontrolle von Ihnen, eines mit Ihnen verbundenen Unternehmens oder eines Ihrer Kunden befindet, gelten die folgenden Verpflichtungen in Bezug auf Endnutzer, die sich im Europäischen Wirtschaftsraum befinden. Sie sind verpflichtet, eine rechtswirksame Einwilligung dieser Endnutzer für folgende Aktivitäten einzuholen: ► den Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen, soweit die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist und ► ► ► ► die Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur Personalisierung von Werbeanzeigen. Wenn Sie die Einwilligung einholen, sind Sie verpflichtet: Aufzeichnungen über die von den Endnutzern abgegebenen Einwilligungen aufzubewahren und den Endnutzern eine klare Anleitung bereitzustellen, wie diese die Einwilligung widerrufen können. Sie sind verpflichtet, jede natürliche oder juristische Person offenzulegen, die personenbezogene Daten von Endnutzern als Folge ihrer Nutzung des jeweiligen Google-Dienstes erheben, erhalten oder nutzen kann. Sie sind ferner verpflichtet, Endnutzern deutlich sichtbar und leicht zugänglich Informationen bereitzustellen, aus denen hervorgeht, wie eine solche natürliche oder juristische Person die personenbezogenen Daten der Endnutzer nutzt.“ Da diese Vorgaben extrem schwer zu erfüllen sind, sollte sich jeder Betreiber einer Internetseite die Frage stellen, ob es nicht ggf. weniger Aufwand und mehr Nutzen mit sich bringt, ein Onpage-Tracking-Tool wie Matomo zu installieren, für das man auch nach Ansicht der DSK keine vorherige Einwilligung jedes einzelnen Nutzers benötigt. Wenn man auf Google Analytics angewiesen ist, wird man mangels Einwilligung entweder nur noch einen Bruchteil der User tracken können oder man entscheidet sich, in Kenntnis der rechtlichen Risiken rechtswidrig zu handeln. RA Marcus Dury LL.M. Fachanwalt für IT-Recht n) Weitere Aspekte der Datenschutzerklärung einer Webseite Neben der Aufklärung über Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten ist es auch noch notwendig, folgende Informationen zu jedem relevanten Datenverarbeitungsvorgang in der Datenschutzerklärung bereitzustellen: ► ► ► ► Rechtsgrundlage für die Verarbeitung personenbezogener Daten Zweck der Datenverarbeitung Dauer der Speicherung Widerspruchs- und Beseitigungsmöglichkeiten 22

ANZEIGE // SUMMACOM

POPSCENE E-Paper Kiosk

POPSCENE - Das total umsonste Popkulturmagazin - Alle Ausgaben seit 2009

POPSCENE E-Paper Kiosk

Entdecke unsere kostenlosen E-Guides und erlebe Deine Region hautnah! Neben POPSCENE bieten wir interessante Broschüren, Leseproben und Magazine aus den Bereichen Tourismus, Kultur und Unterhaltung. Unsere Inhalte sind multimedial gestaltet und enthalten Fotos, fesselnde Videos und unterhaltsame Audioclips. Tauche ein und erhalte einen faszinierenden Überblick über unsere Region.

Erlebe Deine Region - E-Paper Kiosk

CityCards - Die originalen Gratispostkarten