[Bild von Pete Linforth auf Pixabay]

Heutzutage ist es bei der Erstellung einer Website sehr wichtig, auf gesetzliche Regelungen zu achten. Vor allem im Bereich des Datenschutzes und diverser Offenlegungspflichten haben Website-Betreiber:innen dafür zu sorgen, dass private Daten von Benutzer:innen nicht in unbefugte Hände gelangen  können.

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt seit 25. Mai 2018 und muss eingehalten werden!

[Der folgende Text wurde erstellt unter Zuhilfenahme von ChatGPT. Input: „Was muss beim Online stellen einer Website bezüglich Datenschutz, im Speziellen gemäß DSGVO, beachtet werden?“ – der Output wurde von mir leicht abgeändert und gegendert]

Beim Online-Stellen einer Website sind im Hinblick auf den Datenschutz und die Einhaltung der Datenschutz-Grundverordnung (DSGVO) mehrere wichtige Punkte zu beachten. Die DSGVO regelt den Umgang mit personenbezogenen Daten von EU-Bürger:innen und stellt sicher, dass diese Daten mit der nötigen Sorgfalt und Transparenz verarbeitet werden. Hier sind die wichtigsten Anforderungen:

1. Datenschutzerklärung

  • Pflichtangaben: Jede Website, die personenbezogene Daten erhebt (z. B. über Kontaktformulare, Newsletter-Anmeldungen oder Analyse-Tools), muss eine Datenschutzerklärung bereitstellen. Diese Erklärung muss leicht zugänglich sein und umfassende Informationen zu den folgenden Aspekten geben:
    • Welche personenbezogenen Daten werden erhoben (z. B. Name, E-Mail-Adresse, IP-Adresse)?
    • Zu welchem Zweck werden die Daten verarbeitet?
    • Welche Rechtsgrundlage für die Datenverarbeitung besteht (z. B. Einwilligung, Vertragserfüllung, berechtigtes Interesse)?
    • Wer sind die Empfänger:innen der Daten?
    • Wie lange werden die Daten gespeichert?
    • Welche Rechte die Nutzer:innen bezüglich ihrer Daten haben (Auskunft, Berichtigung, Löschung, Widerspruch).
    • Falls Dritte oder Dienstleister:innen (z. B. Google, Facebook) Zugriff auf die Daten haben, müssen diese ebenfalls genannt werden.

2. Einwilligung (Consent)

  • Wenn personenbezogene Daten auf der Website gesammelt werden (z. B. durch Cookies, Newsletter-Anmeldungen, Formulare), muss eine explizite Einwilligung von den Nutzer:innen eingeholt werden, bevor die Daten verarbeitet werden dürfen, es sei denn, es gibt eine andere Rechtsgrundlage.
  • Cookie-Banner: Wenn auf der Website Cookies verwendet werden, müssen User vorab zustimmen, insbesondere bei nicht notwendigen Cookies (z. B. Tracking-Cookies). Es muss eine Möglichkeit zur Selektiven Zustimmung bestehen, d. h. der User / die Userin kann gezielt entscheiden, welche Arten von Cookies akzeptieren möchte.
  • Widerruf der Einwilligung: Nutzer:innen müssen jederzeit die Möglichkeit haben, ihre Einwilligung zu widerrufen.

3. Verarbeitungsverzeichnis

  • Der/die Verantwortliche (Betreiber:in der Website) muss ein Verzeichnis der Verarbeitungstätigkeiten führen, das alle Prozesse dokumentiert, bei denen personenbezogene Daten verarbeitet werden (z. B. Speicherung, Nutzung, Weitergabe).

4. Datensicherheit

  • Die Website muss technische und organisatorische Maßnahmen treffen, um die Sicherheit der Daten zu gewährleisten. Dazu gehört beispielsweise die Verschlüsselung von personenbezogenen Daten, die Nutzung von sicheren Protokollen (wie HTTPS) und Schutz vor unbefugtem Zugriff.

5. Auftragsverarbeitungsvertrag (AVV)

  • Wenn externe Dienstleister:innen (z. B. Webhosting-Anbieter, Analyse-Tools wie Google Analytics) personenbezogene Daten im Auftrag verarbeiten, muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Dieser regelt, wie Dienstleister:innen mit den Daten umgehen dürfen und welche Sicherheitsvorkehrungen getroffen werden.

6. Rechte der Nutzer:innen

  • Die Website muss den Nutzer:innen ermöglichen, ihre Datenschutzrechte wahrzunehmen. Das bedeutet:
    • Recht auf Auskunft: das Recht, Auskunft über die eigenen gespeicherten Daten zu verlangen
    • Recht auf Löschung: das Recht, die Löschung der eigenen personenbezogenen Daten zu verlangen, sofern keine rechtlichen Aufbewahrungspflichten bestehen
    • Recht auf Berichtigung: das Recht, unrichtige Daten korrigieren zu lassen
    • Widerspruchsrecht: das Recht, der Verarbeitung ihrer Daten unter bestimmten Bedingungen zu widersprechen, insbesondere bei Direktwerbung
    • Recht auf Datenübertragbarkeit: das Recht, die eigenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten

7. Datenschutz-Folgenabschätzung (DSFA)

  • Wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt (z. B. bei der Nutzung von Tracking-Tools oder bei der Verarbeitung von besonders sensiblen Daten), muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden.

8. Nutzerinformation

  • Transparenz ist ein zentraler Aspekt der DSGVO. Die User müssen auf verständliche und leicht zugängliche Weise informiert werden, wenn ihre Daten verarbeitet werden. Dazu gehört auch, dass die Zwecke der Datenverarbeitung klar und eindeutig benannt werden.

9. Einbindung von Dritten und Drittanbieter-Diensten

  • Wenn auf der Website Dienste von Dritten eingebunden sind (z. B. Social Media Plugins, Google Fonts, Google Analytics, etc.), müssen User über diese eingebundenen Drittanbieter und deren Datenschutzpraktiken informiert werden. In vielen Fällen muss für solche Dienste eine separate Einwilligung eingeholt werden.

10. Internationale Datenübermittlung

  • Wenn Daten in Länder außerhalb der EU übermittelt werden (z. B. bei Nutzung von US-Diensten wie Google oder Facebook), muss sichergestellt werden, dass für die Übermittlung der Daten ein angemessenes Schutzniveau besteht (z. B. durch Standardvertragsklauseln oder die Teilnahme der Empfängerin/des Empfängers am EU-U.S. Privacy Shield).

Fazit

Die DSGVO stellt hohe Anforderungen an den Datenschutz und verpflichtet Website-Betreiber:innen zu einem verantwortungsvollen Umgang mit personenbezogenen Daten. Die wichtigsten Aspekte beinhalten eine klare und transparente Datenschutzerklärung, die Einholung einer Einwilligung der Nutzer:innen, angemessene Sicherheitsmaßnahmen sowie die Wahrung der Rechte der Nutzer:innen.

Ausführliche Informationen zur DSGVO finden Sie beispielsweise auch in der wikipedia. Auch auf der Website der WKO Österreich finden Sie eine recht gute Zusammenstellung der aktuellen Erfordernisse für Websites den Datenschutz betreffend. Nähere Informationen gibt es auch auf wko.at/datenschutz.