Infos zu Daten­schutz­erklärungen, SSL / HTTPS, DSGVO und Kontakt­formularen

5 vor 12
[Hinweis: die Inhalte in diesem Artikel sind möglicherweise nicht mehr aktuell]

Ständig gibt es neue gesetzliche Regelungen oder beachtenswerte Urteile für Betreiber von Websites. Diese Sammlung dient der Information und stellt keine rechtliche Beratung dar!

1. Google Analytics

Bei Verwendung dieses Analyse-Tools sind viele Dinge zu beachten, um keine Abmahnung zu riskieren: es muss ein Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abgeschlossen werden, die IP-Adressen müssen anonymisiert erfasst werden, man muss auf das Widerspruchsrecht hinweisen und die Datenschutzerklärung entsprechend anpassen.
https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

Damit auch Nutzer von Smartphone & Co. der Nutzung von Google-Analytics widersprechen können (Browser-Add-On funktioniert nicht auf mobilen Endgeräten), müssen Sie diesen Opt-Out-Code einbinden: https://drschwenke.de/google-analytics-mobile-nutzung-update-anleitung/

Auch bei der Verwendung der Alternative „Matomo“ (vormals „Piwik“) ist ein Hinweis in der Datenschutzerklärung erforderlich!
http://rechtsanwalt-schwenke.de/lg-frankfurt-piwik-abmahnung-fehlerhafter-datenschutzerklaerung-erneut-bestaetigt/

Holzweg Oldenburg 2

2. Kontaktformulare

a. SSL-Verbindung

Seit dem 1. Januar 2016 gilt die Pflicht für eine SSL-Verbindung (https://) zu Websites mit Kontaktformularen (§ 13 Abs. 7 TMG). Diese Pflicht gilt allgemein für deutsche Websitebetreiber, welche personenbezogene Daten mittels ihrer Website erheben.

Da sich die Umstellung auf SSL auf jeden Fall lohnt (auch bzgl. des Google-Rankings), sollte man das unbedingt umsetzen (lassen). Alle Kunden des Anbieters all-inkl.com können übrigens unter den Domaineinstellungen im KAS ein kostenloses Let’s Encrypt Zertifikat einrichten … dieses ist innerhalb von 5 Minuten aktiv und hat automatisch einen Cron für die monatliche Verlängerung. Bei anderen Anbietern wie z.B. 1und1.de, strato.de und alfahosting.de wird dies kostenpflichtig angeboten. Weitere Anbieter kostenloser Zertifikate bitte in den Kommentaren auflisten.

https://www.datenschutzbeauftragter-info.de/bussgeld-fuer-kontaktformulare-ohne-verschluesselung/
HTTPS: Die zukunftssichere Website mit kostenlosen SSL-Zertifikaten

b. Checkbox zur Zustimmung

Das Formular muss außerdem eine Checkbox zur Zustimmung Ihrer Datenschutzbestimmungen enthalten. Erst bei Zustimmung (abhaken) darf das Formular versendet werden.

https://www.datenschutz-ist-pflicht.de/kontaktformular/

Eine andere Meinung dazu hat Anwalt Stephan Hansen-Oest: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/

c. Hinweis auf Verwendung der Formulardaten

Unter dem Kontaktformular muss lt. Urteil des OLG Köln vom 11. März 2016 eine Angabe zur Verwendung der Daten vorhanden sein – die Datenschutzerklärung muss über die Verwendung von Daten, die über das Kontaktformular eingegeben wurden und daneben über das Widerrufsrecht aufklären.

Ein Beispiel findet man auf https://rechtsbelehrung.com
Erklär-Video von Rechtsanwalt Thomas Schwenke: https://www.facebook.com/raschwenke/videos/935060806610106/

d. Was ist mit den Kommentaren?

WordPress speichert bei Kommentaren die IP-Adressen der Nutzer! Also bitte die IP-Adresse bei Kommentaren entfernen: https://www.kritzelblog.de/techniken-fuer-webentwicklung/wordpress-dsgvo-ip-adresse-kommentare-entfernen/.

3. Pflichthinweis auf das Online-Streitbeilegungsverfahren

Seit dem 9. Januar 2016 besteht für B2C-Onlinehändler (Business-to-Consumer = Handelsbeziehungen zwischen Unternehmen und Privatpersonen) die Hinweispflicht auf das Online-Streitbeilegungsverfahren der EU, die OS-Plattform muss verlinkt werden: https://ec.europa.eu/odr.

https://www.ra-plutte.de/2016/02/online-streitbeilegung-einstweilige-verfuegung-lg-bochum/

Ab dem 1. Februar 2017 gelten weitere Informationspflichten: http://rechtsanwalt-schwenke.de/b2c-unternehmer-februar-2017-informationspflichten-streitbeilegung/

dreizehn 13

4. YouTube-Videos datenschutzkonform einbetten

Bereits der Aufruf einer Website mit eingebettetem YouTube-Inhalt erzeugt eine Verbindung zum Google-Werbenetzwerk DoubleClick; auch dann, wenn das eingebettete Video selbst weder angeklickt noch abgespielt wird. Der Nutzer muss aber in der Datenschutzerklärung umfassend informiert werden, insbesondere über die durch den Seitenaufruf gesetzten Cookies und die dadurch ausgelöste Datenverarbeitung. Wer weiß schon so genau, was mit den Daten passiert?
Um halbwegs sicher zu sein, sollten alle Youtube-Videos zumindest im erweiterten Datenschutzmodus eingebettet werden!
Youtube bietet diese Möglichkeit an: Teilen → Einbetten → Mehr anzeigen → Erweiterten Datenschutzmodus aktivieren.
Aus dem Link „www.youtube.com“ wird „www.youtube-nocookie.com“.

http://www.heise.de/ct/ausgabe/2016-1-YouTube-Videos-datenschutzkonform-einbetten-3046316.html

Update 14..04.2018: Es geht noch besser: https://www.blogmojo.de/youtube-videos-datenschutzkonform-einbetten/

Holzpferd Schaukelpferd

5. Facebooks Like-Button

Das LG Düsseldorf hat entschieden, dass die Funktion des Like-Buttons von Facebook gegen deutsches Datenschutzrecht verstößt, da das Plugin personenbezogene Daten der Webseitenbesucher ungefragt an Facebook überträgt (LG Düsseldorf, Urt. v. 09.03.2016, Az. 12 O 151/15 / Urteil als PDF). Das Urteil ist noch nicht rechtskräftig (Stand Mai 2016).

Man sollte unbedingt handeln, die entprechenden Plugins deaktivieren und stattdessen z.B. das Plugin https://wordpress.org/plugins/shariff/ einsetzen. Oder einfache Verlinkungen anbieten, wie ich es auf meinen Seiten mache.

https://www.e-recht24.de/artikel/facebook/10081-urteil-abmahnung-facebook-like-button.html
http://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html

Webdesign Oldenburg Bremen Hannover 03b

6. Link zum Impressum durch Cookie-Banner verdeckt

Wenn man Cookie-Hinweis-Leisten (Cookie-Banner) einbindet, z.B. mit dem WordPress-Plugin „Simple Cookie Notification Bar“, wird womöglich der Link zum Impressum dadurch verdeckt … beides wird ja gerne im Footer platziert.

Sind diese Hinweis-Leisten Pflicht? Google schreibt dazu „Wenn Sie Google-Produkte wie Google AdSense oder DoubleClick for Publishers verwenden, sind Sie vertraglich dazu verpflichtet, die EU-Richtlinie zum Einholen der Zustimmung von Google zu befolgen. Wenn Sie Google Analytics-Werbefunktionen verwenden, müssen Sie die Richtlinienanforderungen für Google Analytics-Werbefunktionen beachten.“ (Quelle: http://www.cookiechoices.org/)

Abmahngefahr durch Cookie-Banner
Google macht Cookie-Hinweise zur Pflicht – Handlungsempfehlung für Website- und Appanbieter

Termine einhalten Terminkalender Webdesign Oldenburg

7. DSGVO (Datenschutzgrundverordnung) ab Mai 2018

Von Rechtsanwalt Dr. Thomas Schwenke gibt es einen 6-teiligen Ratgeber zur neuen Datenschutzgrundverordnung (DSGVO) – von der Einwilligung bis zur Datenschutzerklärung: http://t3n.de/news/dsgvo-datenschutzgrundverordnung-aenderungen-837794/.

Die DSGVO erfordert auch weitere / umfangreichere Informationen beim Einsatz von Newslettern: Risikominderung im E-Mail-Marketing – Sind Ihre Einwilligungen rechtssicher?.

Ein Experteninterview mit dem Datenschützer Jürgen Recha aus Hannover gibt es im Blog von Maler Heyse: Datenschutz-Grundverordnung DSGVO im Handwerk

Eine ausführliche Darstellung: Datenschutz-Grundverordnung – Text der DSGVO. Das offizielle PDF der EU-Datenschutz-Grundverordnung (deutsch und englisch).

Weitere Infos: Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies.

In einem Leitfaden hat der ZDH zusammengestellt, was Handwerksbetriebe im neuen Datenschutzrecht beachten müssen: Leitfaden zur neuen Datenschutzgrundverordnung.

Ein Überblick über WordPress-Plugins, die personenbezogene Daten sammeln und wo sie diese speichern: WordPress-Plugins & DSGVO: Liste problematischer Plugins (+Plugin-Tipps!).

Kunden von all-inkl.com können nun unter https://all-inkl.com/members/ -> Stammdaten -> Auftragsverarbeitung den gemäß DSGVO vorgeschriebenen Auftragsverarbeitungsvertrag per Knopfdruck abschließen.

Telefonhoerer dreckig

8. Google-Tracking von Admins und Web-Besuchern mit Google-Fonts

Dieser Artikel beschreibt, welche Daten an den Server von Google übertragen werden, wenn man die Google-Schriften einbindet, unter anderem die IP-Adresse des Users: https://www.hubit.de/google-tracking-von-admins-und-web-besuchern-mit-google-fonts/.
Über die Website https://google-webfonts-helper.herokuapp.com/fonts kann man sich die Schriften herunterladen und den mitgelieferten CSS-Code in sein Theme einbinden.

Auch WordPress verwendet Google-Fonts! Hier hilft das Plugin Disable Google-Fonts.

Lesen Sie auch die Datenschutzerklärung von Google.


Überprüfen Sie Ihre Website oder lassen Sie dies von einem spezialisierten Rechtsanwalt durchführen!

Kein Anspruch auf Vollständigkeit, keine Rechtsberatung, Irrtum vorbehalten.
Weitere Hinweise auf diese oder weitere Gesetzesänderungen gerne in den Kommentaren!

8. März 2018

Kategorie/n: Recht im Internet

Tags: , , ,

38 Kommentare zu
»Infos zu Daten­schutz­erklärungen, SSL / HTTPS, DSGVO und Kontakt­formularen«

  1. Auch gekaufte Fans bei Facebook usw. sind abmahnfähig: https://www.e-recht24.de/news/facebook/8213-abmahnung-facebook-kauf-von-likes-und-fans.html … man da ganz schön aufpassen!

  2. Korrektur des o.g. Textes: bei z.B. http://www.wp-webhosting.de werden auch kostenlose SSL-Zertifikate angeboten, schon seit dem 3. Dezember letzten Jahres, inkl. automatischer Verlängerung.

    • Vielen Dank für diese Information! Super! 🙂
      Gibt es noch weitere Anbieter mit einem vergleichbaren Service?

      • Mittwald bietet ebenfalls kostenlose Zertifikate per LetsEncrypt, auch mit automatischer Verlängerung.

      • Bei den Lets Encrypt Zertifikaten ist mir nach all-inkl.com bekannt. Wer Plesk verwendet kann auch ein Modul installieren welches das völlig problemlos übernimmt.

  3. Hallo Herr Oppermann,

    vielen Dank für diese Zusammenfassung. Vor allem die SSL-Verschlüsselung wird noch ein großes Thema in den kommenden Monaten werden. Wie ich gesehen habe, haben Sie – neben der Verschlüsselung – Ihr Kontaktformular entsprechend angepasst mit Checkbox und dem Hinweis zur Datenschutzerklärung. Nun habe ich eine Frage: Müsste das Kommentarformular unterhalb der Blogartikel nicht auch so angepasst werden? Denn schließlich werden darüber auch personenbezogene Daten versendet. Wäre für alle Blogbetreiber ohne Programmierkenntnisse ein enormer Aufwand, dies anzupassen.

    MfG
    Susanne

  4. Lt. Strato ist „ein Single-Domain-Zertifikat im Hosting-Paket, Webshop, Homepage-Baukasten und Server bereits inklusive“.

    Ebenso bei WebhostOne.

    Wer kennt weitere Anbieter?

    • Bezüglich der kostenlosen SSL-Verschlüsselung kann ich Jimdo empfehlen. Die bieten das sogar in der Free-Version an. Eine gute Lösung für alle, welche eine kostenlose Webseite mit Kontaktformular oder ein Blog ins Netz stellen wollen.

  5. […] Lesen Sie dazu auch: Infos zu Datenschutzerklärungen, SSL / HTTPS und Kontaktformularen. […]

  6. FAQ zur verschärften Haftung für Links, Sharing, Vorschaubilder und Embedding: http://rechtsanwalt-schwenke.de/beitragshinweis-adieu-freies-internet-faq-zur-verschaerften-linkhaftung/

  7. Um das Kontaktformular mit einer Checkbox für die Datenschutzerklärung zu erweitern, muss man nur wenige Schritte unternehmen.

    In diesem Blogbeitrag habe ich die Vorgehensweise erläutert.

    https://stachowitz-medien.de/blog/checkboxen-bestaetigen-im-wordpress-formular/

    Nette Grüße
    Frank

    • Vielen Dank für diesen wichtigen Hinweis, lieber Frank!

  8. Alfahosting bietet jetzt auch ein kostenloses SSL-Zertifikat an.

  9. Es wird immer verrückter mit diesen ganzen Bestimmungen. Es ist zu einer Goldgrube für Rechtsanwälte geworden, die nur darauf warten, abzunahmen. Als Agentur können wir fast einen Anwalt einstellen, der sich nur um die Rechtmäßigkeiten der Projekte kümmert 😉

    • Das stimmt leider, lieber Frank. Wer soll da noch durchblicken?

  10. Ein Experteninterview mit dem Datenschützer Jürgen Recha aus Hannover gibt es im Blog von Maler Heyse: Datenschutz-Grundverordnung DSGVO im Handwerk

  11. Eine weitere, umfangreiche Faktensammlung zum Thema WordPress und Datenschutz: https://www.datenschutz-notizen.de/datenschutz-fuer-blogbetreiber-wordpress-rechtskonform-nutzen-4211055/

  12. Lieber Klaus

    Das mit YouTube stimmt leider nicht mehr z.B. funktioniert http://www.youtube-nocookie.com“. schon lange nicht mehr.
    Gibt es schon was besseres, leider meines Wissens nicht.
    Freundlichst
    Urs
    PS. Update hier: http://blog.drkpi.de/dsgvo-eprivacy-auswirkungen-4/

  13. Guter (kostenloser) Datenschutzgenerator gemäß DSGVO: https://www.activemind.de/datenschutz/datenschutzhinweis-generator/

  14. Hilfreich, aber nicht in allen Einzelheiten richtig:

    Stichtag ist soweit ich weiß der 25.Mai – nicht der 1.Mai (vgl. https://www.heise.de/newsticker/meldung/Datenschutzgrundverordnung-in-kleinen-Firmen-DSGVO-Nie-gehoert-4031790.html)

    Die Eingangsbemerkung, dass wir das Europäische Parlament nicht gewählt hätten ist Unsinn.

    • Du beziehst dich auf das Video, richtig? Ich gebe es mal an den Gerald weiter 🙂
      Die DSGVO gilt ab dem 25. Mai 2018.

  15. Super Hoster mit tollen Service und kostenlosen Zertifikat ist Bitpalast.

  16. […] Habt ihr ein Kontaktformular oder ein andere Formular (Newsletter) auf eurer Website, müsst ihr dort unbedingt eine Checkbox hinzufügen, die eine Zustimmung zu den Datenschutzbestimmungen einholt. Unter dem Kontaktformular muss außerdem eine Erklärung stehen, wie die Daten verwendet werden. Auch über das Widerrufsrecht muss an der Stelle aufgeklärt werden. Mehr Informationen findet ihr bei Klaus Oppermann. […]

    • Vielen lieben Dank für die Verlinkung 🙂

  17. „Ich binde für Videos ein anklickbares Vorschaubild ein, der Link führt zu Youtube. Ich nutze dazu einen eigenen Shortcode (in der functions.php).
    Dadurch wird nur noch das Bild vom Youtube-Server geladen. Diese Bilder werden nicht getrackt und es werden keine Cookies von Youtube gesetzt.“

    Das nützt dir so leider nicht viel. Du müsstes deine Besucher vor dem Klick informieren, das Sie deine Seite verlassen und bei Youtube personenbezogene Daten erfasst werden.

    • Nein, das ist ein normaler Link, der auf eine andere Website führt. Dazu muss ich nichts schreiben.

  18. Vielen Dank für die Infos! 🙂

    Das mit den Checkboxen hat mich allerdings etwas stutzig gemacht. Es erscheint mir super unlogisch und ein bürokratischer Unsinn. Schau mal hier, diese Info habe ich dazu gefunden:
    https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/
    Ich verzichte somit ganz bewusst auf diese Checkboxen. Sowas macht die User nur verrückt, wenn man jeden Klick noch zusätzlich mit irgend einer Nutzungsbedingung bestätigen muss & ist soweit ich das sehe, im Regelfall wirklich nicht nötig.

  19. Je nach Berufsgruppe (z.B. Rechtsanwälte, Ärzte, Steuerberater etc.) wird die reine SSL-Verschlüsselung für Kontaktformulare nicht genügen, denn damit allein ist ein sicherer End-zu-End-Transport noch nicht gewährleistet. Ich versuche das Problem mal von der Umsetzungsseite zu lösen, d.h.: wäre denn die „sichere“ Verschlüsselung eines Kontaktformulars – und zwar nicht nur auf dem Transport zum Server via SSL, sondern bis zum Empfänger, möglich?
    Ja, dann sollte die Nachricht aber bereits clientseitig, d.h. im Webbrowser, so verschlüsselt werden, dass bis zur Ankunft beim Empfänger – und zwar nicht nur auf seinem Webserver oder seinem E-Mail-Postfach – die Nachricht von keinem Dritten gelesen werden kann.
    Dafür habe ich mittels consultimator.com eine Lösung entwickelt, die hier vielleicht interessiert. Wenn nicht, bitte als Spam löschen:
    Die Daten eines Kontaktfomulars werden dabei einschließlich Anhang bereits im Webbrowser des Absenders lokal per Javascript mittels AES und RSA verschlüsselt. Dazu wird ein RSA Public Key des Empfängers verwendet, der im Formular bereits hinterlegt ist. Die Daten werden dann in dem Zustand zunächst per SSL an den consultimator Server weitergeleitet, von dort an per sicherem SMTP die E-Mail-Adresse des Empfängers. Ja, die „letzte Meile“ ist ggf. nicht verschlüsselt, wenn der Empfänger keinen sicheren E-Mail-Empfang nutzt, aber die Daten sind ohnehin so verschlüsselt, dass sie nur noch vom Empfänger gelesen werden können.
    Der Empfänger kann die Daten dann in seinem Webbrowser – aber natürlich auch wieder nur lokal, mit seinem RSA Private Key entschlüsseln.
    Der Absender bekommt von der gesamten Verschlüsselungsgeschichte nichts mit, muss sich darüber keinen Kopf machen.
    Ich werde die Lösung voraussichtlich ab 1.7.2018 auch „offiziell“ anbieten. Wer sie aber ggf. schon einmal vorab ausprobieren möchte, ist herzlich eingeladen. Kurze E-Mail an contact@consultimator.com reicht. Oder einfach das auf der Seite consultimator.com vorhandene verschlüsselte Kontaktformular nutzen… 😉


Weitere Artikel aus dieser Kategorie

nach oben