Aus privater Sicht gibt sie uns ein gutes Bauchgefühl, aus Unternehmersicht beschert sie uns oft Kopfzerbrechen. Aber spätestens seit 2018 führt kein Weg mehr an ihr vorbei – an der DSGVO. In Ihrem Betrieb haben Sie sicher bereits alles sicher in Sachen Datenschutz geregelt, aber wie steht es mit den sogenannten ePrivacy-Richtlinien für Ihre Bestatter-Website? Haben Sie auch hier an alles gedacht? Wir geben Ihnen einen kurzen Einblick, worauf Sie unbedingt achten sollten. Der wichtigste Hinweis vorweg: Eine Rechtsberatung dürfen und können wir nicht leisten. Deshalb dienen Ihnen die folgenden Tipps zum Datenschutz auf Bestatter-Websites als grobe Orientierung und haben keinen Anspruch auf Vollständigkeit – für detaillierte Auskünfte wenden Sie sich bitte an Ihr Anwaltsbüro!
Wozu dient die Datenschutzerklärung auf Ihrer Bestatter-Website?
In der Datenschutzerklärung auf Ihrer Website informieren Sie Ihre Website-Besucher, welche Daten Sie über sie erheben, speichern und verwerten. Sie sind dazu verpflichtet, in einer detaillierten Erklärung sämtliche Speicher- und Abruf-Automatismen auf Ihrer Website aufzuschlüsseln. Dazu gehören Plugins, Logfiles, Tracking- und Analysesoftware und vieles mehr. Das heißt: Die Datenschutzerklärung muss speziell auf Ihre Bestatter-Website abgestimmt sein – allgemeine Formulierungen, wie sie oft hier und da herauskopiert werden, können fehler- oder lückenhaft sein.
Vorsicht vor Abmahnungen bei Datenschutzverstößen
Ihre Website ist öffentlich zugänglich, somit kann jeder potenzielle Kunde, Partner, Mitbewerber, Verbraucherschützer schnell und einfach überprüfen, ob Sie sich an die ePrivacy-Richtlinien halten. Zwar gilt: Wo kein Kläger, da kein Richter, aber sobald der Kläger auftaucht, kann Ihnen eine kostspielige Abmahnung drohen.
Impressum und Datenschutz richtig platziert
Sowohl eine rechtssichere Datenschutzerklärung, als auch ein rechtssicheres Impressum gehören ohne Ausnahme auf Ihre Website. Beachten Sie: Ihre Datenschutzerklärung muss mit nur einem Klick erreichbar sein – und zwar von jeder Unterseite aus. In der Praxis werden Impressum und Datenschutz deshalb im Menü, im Footer oder an beiden Orten aufgeführt. Dabei muss die Bezeichnung selbsterklärend und unmissverständlich sein – das heißt, dass Sie dafür beispielsweise kein Symbol einsetzen dürfen. Ebenso müssen die Datenschutzerklärung und das Impressum einzeln aufgeführt werden. Es wäre möglich auf eine gemeinsame Seite zu verlinken, allerdings empfiehlt es sich Einzelseiten anzulegen.
Unverzichtbar: die SSL-Verschlüsselung
Die Abkürzung SSL steht für Secure Socket Layer. Ein Zertifikat, dass die Verschlüsselung des Datenaustauschs, zwischen dem Nutzer-Computer und dem Server Ihrer Website bestätigt. Insbesondere benötigen Sie die SSL-Verschlüsselung, wenn in irgendeiner Form persönliche Daten Ihrer Nutzer abgefragt werden – zum Beispiel in einem Kontakt- oder Vorsorgeformular oder bei einem Login. Wichtig: Wenn Sie eine SSL-Verschlüsselung nutzen, müssen Sie darauf auch in Ihrer Datenschutzerklärung hinweisen.
Schnell-Check: Ist Ihre Website bereits SSL-verschlüsselt?
- Nein, wenn im Browser vor Ihrer Internetadresse „http“ steht.
- Ja, wenn im Browser vor Ihrer Internetadresse „https“ steht. Einige Browser blenden sogar bei fehlender SSL-Verschlüsselung statt der Website eine Warnung ein!
Server-Sicherheit
Genau wie ein Computer ist auch ein Server nicht gefeit vor Hackerangriffen und Viren. Um einen Server DSGVO-konform abzusichern sind viele Schritte zu beachten. In der Regel werden Sie jedoch als Bestatter auf einen Hostinganbieter zurückgreifen, anstatt einen eigenen Server einzurichten. Achten Sie bei Ihrer Auswahl darauf, dass die Server des Anbieters in Deutschland stehen und das er die strengen Datenschutz-Anforderungen der EU erfüllt.
Social-Media-Plugins ja, aber richtig
Social-Media-Plugins wie beispielsweise der Like-Button unter Artikeln sind ideal, um Inhalte von Bestatter-Websites zu verbreiten. Allerdings ist hier in Sachen Datenschutz Vorsicht geboten! Denn die sozialen Netzwerke sammeln bekanntermaßen personenbezogene Daten, um gezielte Werbung an den Mann beziehungsweise die Frau zu bringen. Was viele nicht wissen: Schon allein der Aufruf einer Website mit Social-Media-Buttons aktiviert das Sammeln der Daten – selbst, wenn der Webseitenbesucher keinen eigenen Account bei Facebook und Co. hat und auch nicht vorher seine Zustimmung gegeben hat. Um dem entgegen zu wirken werden aktuell zwei Varianten eingesetzt: Die Zwei-Klick-Variante, bei der die Buttons zunächst inaktiv sind und von dem Nutzer aktiviert werden müssen, sowie die Shariff-Variante, bei der die Buttons vom Seitenbetreiber kommen und individuell gestaltet werden können. Diese Shariff-Buttons verbinden sich dann erst per Klick mit der Social-Media-Plattform und demnach mit der Zustimmung des Nutzers. Ein entsprechender Hinweis in der Datenschutzerklärung ist aber dennoch erforderlich.
Nutzerverhalten datenschutzkonform tracken
Ob Google Analytics, Matomo, Hotjar oder Typeform – all diese Tracking-Software liefert Ihnen wertvolle Einblicke in das Nutzerverhalten. Doch ist dieses Tracking streng nach DSGVO reglementiert. Hier greifen die drei folgenden Tracking-Möglichkeiten:
1. Anonymisiertes Tracking
Dabei dürfen nur Daten verwendet werden, die nicht personenbezogen oder -beziehbar sind. Das wären dann beispielsweise Uhrzeit, Datum, angeklickte Dateien und sogar die IP-Adresse, wenn sie in abgekürzter Form gespeichert wird.
2. Pseudonymisiertes Tracking
Dabei werden zwar personenbezogene Daten erhoben, aber der Nutzer erhält ein Pseudonym für das ein Nutzerprofil erstellt wird. Dieses Pseudonym darf dann natürlich keiner Person zugeordnet werden.
3. Opt-In-Tracking
Hierbei werden personenbezogene Daten ohne Pseudonym erhoben, wenn der Nutzer der Datenerhebung freiwillig und mit vollem Wissen und Bewusstsein zustimmt. Dabei gilt: Der Nutzer muss über den Zweck des Trackings informiert und seine Zustimmung protokolliert werden. Seine Zustimmung muss zudem jederzeit einsehbar und widerrufbar (Opt-out) sein.
Auch bei Variante zwei empfiehlt sich ein Opt-in-Verfahren wie bei Variante drei. Darüber hinaus ist bei allen Varianten ein Hinweis in der Datenschutzerklärung zwingend erforderlich.
Kontaktformulare rechtssicher eingesetzt
Bei Kontaktformularen werden personenbezogene Daten abgefragt – darum greifen auch hier die strengen Datenschutz-Richtlinien. Bei Kontaktformularen gilt das Prinzip der Datensparsamkeit. Heißt: Nur die für die Anfrage notwendigsten Daten dürfen als Pflichtfeld abgefragt werden. Dazu zählt in der Regel der Name und die E-Mail-Adresse beziehungsweise, wenn es um einen Rückruf geht, natürlich die Telefonnummer. Wichtig ist, dass im Kontaktformular ein Hinweis zur Datenschutzerklärung enthalten ist. Hierbei sollte ein Link direkt in den Abschnitt über die rechtlichen Hinweise zu Kontaktformularen führen. Wer das vergisst, kann eine Abmahnung riskieren.
Das Problem mit den Logfiles
Ein Server-Logfile ist eine im Hintergrund entstehende Protokolldatei. Sie liefert unter anderem folgende Informationen:
- Nutzername
- Zugriffszeit
- IP-Adresse
- Dateiname und-pfad
- zuvor besuchte URL
- verwendete Browser
- verwendetes Betriebssystem
Also personenbezogene Daten, die es laut DSGVO zu schützen gilt. Diese Daten dürfen nicht zur Auswertung genutzt werden. Auch sollte die IP-Adresse anonymisiert werden, was durch eine entsprechende Konfiguration des Servers ermöglicht wird. Viele Hostinganbieter haben hier bereits automatisierte Prozesse.
Lieber jemanden fragen, der sich damit auskennt
Nix ist fix, das gilt leider auch für eine einmal erstellte Datenschutzerklärung. Immer wieder gibt es neue Anforderungen, die beachtet werden müssen. Das gilt auch für das Impressum, in dem Sie je nach Gesellschaftsform ganz bestimmte Angaben machen müssen. Kurz gesagt: Hier lohnt es sich, ein Anwaltsbüro einzuschalten, dass für Sie auch die aktuellen gesetzlichen Entwicklungen im Auge behält.
Noch ein Tipp: Sollten Sie sich für eine neue Website mit rechtssicherem Datenschutz und Impressum interessieren, wenden Sie sich einfach an Gerrit Ahrens oder Doreen Jarling. Die Rapid Data Mitarbeiterinnen im Bereich Kommunikation erstellen Ihnen gerne ein attraktives Angebot zu einer Website mit individueller Datenschutzerklärung und Impressum, welche alle aktuellen Vorgaben der Datenschutz-Grundverordnung (DSGVO) erfüllen. Telefon +49 451 619 66-0 | bestatterwebsite@rapid-data.de
Bitte beachten Sie aber: Rapid Data selbst darf und kann keine Rechtsberatung leisten.