DSGVO-konforme Website

Nach § 5 Telemediengesetz bzw. § 55 Rundfunkstaatsvertrag besteht eine Impressumspflicht! Auf das Vorhandensein des Impressums achten die Aufsichtsbehörden an erster Stelle.

Ein jedes Impressum muss zwingend den vollständigen Namen, also Vor- und Nachnamen  des verantwortlichen Seitenbetreibers enthalten. Dazu müssen Adressaten vollständig angegeben werden sowie Angaben zur Kontaktaufnahme muss das Impressum beinhalten.

Je nach Gesellschaftsform müssen weitere unterschiedliche Anforderungen an ein Impressum berücksichtigt werden. Je nach Branche können auch beispielsweise Informationen zu Mitgliedschaften in Kammern, Verbänden oder Angaben zu Versicherungen etc. notwendig sein.

Der Eintrag von Handelsregisternummer oder Ust.-ID kann ebenfalls erforderlich sein.

Geben Sie niemals nur ein Postfach oder eine kostenpflichtige Rufnummer an. Diese Optionen sind als Kontaktaufnahmemöglichkeit im Impressum absolut unzulässig.

Kein Impressum zu haben ist natürlich auch keine Option und grob fahrlässig.

Eine Datenschutzerklärung (DSE) ist ebenso Pflicht, wie das Impressum. Auch an eine Datenschutzerklärung werden genaue Anforderungen gestellt, die im Einzelfall zu prüfen sind.

Eine Datenschutzerklärung muss

• von jeder Unterseite der Website oder des Onlineshops erreichbar sein
• den Namen sowie die Kontaktdaten des Verantwortlichen enthalten, ggf. die Kontaktdaten des Datenschutzbeauftragten
• ausdrücklich darauf verweisen, welche personenbezogenen Daten zu welchem Zweck erhoben und gespeichert werden, sowie auf welcher Rechtsgrundlage die Verarbeitung basiert

Ein Fehler, der uns immer wieder beim Surfen im Internet begegnet, ist der Einsatz von Trackingtools wie Google Analytics oder Matomo, auf den in der DSE nicht ausdrücklich verwiesen wird. Für den Einsatz von Trackingtools ist eine Einwilligung des Besuchers notwendig, die über einen Coookie Consent Manager eingeholt werden kann.

Auch alle eingebundenen Social Media Angebote benötigen einen eigenen Abschnitt in der Datenschutzerklärung.

Selbstverständlich dürfen Sie Kunden bitten, Erfahrungsberichte und Bewertungen auf Ihren Internetseiten abzugeben. Dies dürfen Sie allerdings in keiner Weise beeinflussen.

Das eigene Unternehmen, eigene Produkte oder Dienstleistungen positiv zu bewerten und sich nicht dem Unternehmen zugehörig zu erkennen geben, ist nicht nur fragwürdig, sondern wettbewerbswidrig und damit nicht erlaubt.

Es ist auch egal, ob Sie Bewertungen auf der eigenen Website vornehmen, Kunden mit Rabatten oder anderen Vergünstigungen dazu anstiften oder solche Dienstleistungen von Dritten einkaufen. Auch das gilt für Social Media Kanäle oder Onlineshops.

Damit Sie auf Webseiten oder im Onlineshop personenbezogene Daten korrekt übertragen können, muss eine entsprechende Verschlüsselung gewährleistet werden.
Nach aktuellem Stand der rechtlichen Anforderungen ist dies der Fall, wenn die Unternehmens-Webseite oder der Onlineshop ein SSL-Zertifikat (Secure-Sockets-Layer) oder ein TLS-Zertifikat (Transport-Layer-Security) besitzt. Diese Zertifikate werden auf dem Server installiert. Ist dies erfüllt, läuft das Internetangebot mit dem sicheren Kommunikationsprotokoll HTTPS.

Unzureichend verschlüsselte Webseiten sind nicht nur ein Sicherheitsrisiko. Sie können Abmahnungen und Bußgeldern nach sich ziehen. Und auch in Suchmaschinen-Rankings wie zum Beispiel bei Google führen fehlende Sicherheitszertifikate oft zu einer Herabstufung.

Nach einem aktuellen EuGH-Urteil (10/19), auch EuGH Cookie-Urteil genannt, muss ein Website-Besucher immer in die Verwendung von Cookies einwilligen. Davon ausgenommen sind Cookies, die technisch notwendig sind, um eine Website oder den Onlineshop fehlerfrei zu betreiben.

Bei allen anderen Cookies, wie beispielsweise den bereits erwähnten Tracking-Cookies bedarf es einer vorherigen Einwilligung, die mit einem Cookie Consent Manager eingeholt werden kann.

Auch wenn Ihre Besucher Kekse mögen, eine automatische Einwilligung für die Akzeptanz dieser Cookies darf nicht mehr gesetzt sein. Der User muss selbst rechtswirksam der Verwendung nicht-notwendiger Cookies zustimmen. Vorgesetzte Häkchen in Cookie-Einstellungen müssen Sie also schleunigst entfernen, ab sofort setzen Besucher Ihrer Internetseiten selbst aktiv die Häkchen zur Zustimmung.

Kann man Ihnen über ein Formular eine Nachricht schreiben? Oder auf Ihrer Website einen Termin vereinbaren? Sicher ahben Sie eine Anmeldung für den Newsletter vorgesehen - oder etwa nicht? 

Dann müssen Sie Ihre Kontaktformulare dahingehend überarbeiten, dass Sie nur die personenbezogenen Daten erheben, die Sie tatsächlich für die Bearbeitung der jeweiligem Anfragebenötigen. Welche Daten hier tatsächlich erforderlich sind, hängt von der jeweiligen Situation ab, ist allerdings sehr streng zu bewerten. Eheben Sie lieber weniger Daten als zuviele.

Pflichtfelder in Formularen müssen gekennzeichnet sein. Wenn Sie noch weitere Daten zu den Pflichteingaben erheben möchten, dann müssen Sie Nutzer klar und im direkten Zusammenhang informieren, dass diese Angaben freiwillig sind.

Social Media Plugins, die Facebook, Xing, Instagram und Co. für Ihre Internetseiten anbieten, sammeln vom unbemerkt personenbezogene Daten der User. So können detaillierte Persönlichkeitsprofile erstellt werden. Gleiches gilt, wenn Sie Videos von Youtube oder Vimeo auf Ihrer Seite einbinden. Youtube Videos übertragen beispielsweise automatisch Daten Ihrer Webseitenbesucher an Youtube und damit auch weiter an Google. Das passiert, wenn der Besucher das Video anklickt oder eben auch, wenn er dies nicht tut.

Datenschützer kritisieren diese Plug-ins schon seit vielen Jahren. Die Verwendung war auch bisher rechtlich schon sehr riskant. Mit der DSGVO wird die Verwendung noch deutlich kritischer und ist nur noch sehr eingeschränkt überhaupt zu empfehlen.

Wer Newsletter-Dienste wie CleverReach einsetzt, muss mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung schließen. Fragen Sie Ihren Dienstleister nach einer solchen Vereinbarung.

Außerdem müssen Sie gegebenenfalls das Anmeldeformular überarbeiten. Dort muss klar erkennbar sein, welchem Zweck der Newsletter dient und welche Informationen Abonnenten erhalten, wenn sie sich dafür anmelden. Als Pflichtfeld in der Anmeldung zum Newsletter dürfen Sie lediglich die E-Mail-Adresse abfragen, alle weiteren Daten sind für die Erbringung der Leistung nicht notwendig und dürfen in dem Zusammenhang nicht erhoben werden.

Im Anmeldeformular ist eine Verlinkung zur Datenschutzerklärung zu empfehlen. Dort müssen weitere Hinweise dazu stehen, wie und warum der Versanddienstleister Daten verarbeitet. Wenn Sie beispielsweise auswerten, wie viele Nutzer Links im Newsletter anklicken, dann sollte in der Datenschutzerklärung darüber informiert werden. Erklären Sie, warum dies geschieht – nämlich um den Newsletter für die Nutzer zu optimieren.

Nutzer müssen zudem ausdrücklich und deutlich erkennbar darauf hingewiesen werden, dass sie ihre Einwilligung zum Empfangen Ihres Newsletters widerrufen können. Setzen Sie also auch auf der Seite mit dem Anmeldeformular einen Link auf das Abmeldeformular und auch in jedem Newsletter muss die Abmeldemöglichkeit vorhanden sein.

Damit nicht jemand gegen seinen Willen als Abonnent für Ihren Newsletter eingetragen wird und Sie die Einwilligung rechtssicher nachweisen können, müssen Sie das Double-opt-in-Verfahren nutzen. Das bedeutet, bevor Sie eine E-Mail Adresse für den Newsletterversand aktivieren, muss der Nutzer über einen personalisierten Bestätigungslink in einer sogenannten Check-Mail nochmals bestätigen, dass er tatsächlich Inhaber dieses Postfachs ist und den Newsletter abonnieren möchte.

Der Webhoster, auch Provider genannt, stellt Webseiten und Onlineshops bereit und übernimmt den Betrieb von Webservern sowie die Netzwerkanbindung.

Ist mit diesen Dienstleistungen nur der Internet-Zugangsdienst ohne die Verarbeitung von personenbezogenen Daten verbunden, dann liegt keine Auftragsverarbeitung vor.

Übernehmen Provider allerdings auch Aufgaben, bei denen sie personenbezogene Daten verarbeiten, wie beispielsweise die E-Mail Verwaltung oder die E-Mail Archivierung, dann liegt eine Auftragsverarbeitung vor und Sie müssen einen Vertrag zur Auftragsverarbeitung schließen.

Damit Menschen beim Besuch eines Onlineshops Artikel mit unterschiedlichen Füllmengen vergleichen können, ist die Angabe eines Grundpreises verpflichtend. Die gesetzliche Regelung hierzu findet sich in der Preisabgabenverordnung.

Eine Grundpreisangabe ist immer dann unbedingt erforderlich, wenn Produkte nach Länge, Gewicht, Volumen oder Fläche angeboten werden. Im Gesetz nicht vorgesehen ist die Grundpreisangabe pro Stück.

Grundpreisangaben sind beispielsweise entsprechend erforderlich, wenn folgende Preisangaben gemacht werden:

• nach Länge = in Meter
• nach Gewicht = pro Kilogramm
• nach Volumen = pro Liter
• usw...

Bei Waren, deren Nenngewicht oder Volumen üblicherweise unter 250 Gramm oder Milliliter liegt, darf die Grundpreisangabe auch pro hundert Gramm beziehungsweise entsprechend in Milliliter erfolgen.

Eine Grundpreisangabe muss immer dann gemacht werden, wenn mit dem Gesamtpreis geworben wird. Es ist also nicht ausreichend, eine Grundpreisangabe nur in der Produktbeschreibung mit zu nennen.

Besonders gerne wird in Internetshops mit der Floskel „versicherter Versand“ prominent geworben. Diese Formulierung fällt unter das “Werben mit Selbstverständlichkeit“. Wenn es um Verbrauchergeschäfte geht, erfreut sich die Floskel nicht nur beim handelnden Unternehmen, sondern auch bei Abmahnenden einer hohen Beliebtheit.

Laut § 475 Absatz 2 BGB trägt das versendende Unternehmen beim Versendungsverkauf das Transportrisiko. Das handelnde Unternehmen ist also in der Haftung, wenn bestellte Waren auf dem Weg zum Kunden verloren gehen oder beschädigt werden. Hier spielt es für bestellende Personen im Ergebnis keine Rolle, ob die Versendung versichert erfolgt oder nicht.

Durch die werbende Aussage „versicherter Versand” suggeriert das handelnde Unternehmen jedoch irreführend, dass an einem Kauf Interessierte hier gegenüber konkurrierenden Angeboten besonders abgesichert sind.

Im B2B- oder C2C-Geschäft gilt diese Regelung übrigens nicht. Das Transportrisiko geht hier auf die bestellenden Personen oder Unternehmen über, sobald die Ware an den Transportdienstleister übergeben wurde. Der Versandart kommt hier also eine besondere Bedeutung zu.
Bitte beachten Sie auch, dass es einige mehr ähnliche Verkaufsfloskeln gibt, die Sie in Ihrem Onlineshop nicht verwenden sollten, um einer Abmahnung zuvor zu kommen. Sprechen Sie hierzu mit Ihrer Rechtsberatung.

„2 Jahre Garantie!” – da würden auch Sie zugreifen – oder? Solche pauschalen Garantie-Versprechen tauchen immer wieder in Onlineshops auf und sollen das Geschäft ankurbeln.

Das Problem hier steckt allerdings wieder im Detail: In welchem Bezug steht die Garantie, auf welche Teile des Artikels bezieht sie sich und an wen wenden sich Nutzende im Schadensfall? Werden in der Produktbeschreibung nicht detaillierte Informationen zur Garantie gemacht, handelt es sich um eine rechtswidrige pauschale Werbung mit einer Garantie.

Die korrekte Angabe zur Garantie sollte beispielsweise beinhalten:

• Namen und Anschrift des Garantiegebers
• Informationen, was im Garantiefall zu tun ist
• Informationen, auf welche Teile des Produktes die Garantie besteht
• Die Dauer der eingeräumten Garantie
• Der räumliche Geltungsbereich der eingeräumten Garantie
• Informationen, wie der Kunde seine Rechte aus der Garantie geltend machen muss, beispielsweise Fristen und in welcher Form dies geschehen muss
• Hinweise, ob der Garantiegeber im Garantiefall den Kaufpreis zurückerstattet, und/oder die Ware austauscht und/oder nachbessert oder im Fall einer Dienstleistung selbige erneut erbringt,
• Einen Hinweis, dass durch die Garantie die Rechte des Kunden aus der gesetzlichen Gewährleistung nicht berührt oder eingeschränkt werden.

In der aktuellen Form existiert das Widerrufsrecht bereits seit 2014! Doch nach wie vor stoßen wir immer wieder beim Surfen im Netz auf Onlineshops mit veralteter Widerrufsbelehrung.

Seit 2014 muss der Widerruf durch eine Erklärung der Kunden gegenüber dem Unternehmen erfolgen, Noch immer belehren Unternehmen allerdings Ihre Kundschaft dahingehend falsch, dass ein Widerruf auch in Form einer kommentarlosen Rücksendung erklärt werden kann.

Trotz einer rechtlich korrekten Widerrufsbelehrung kann es natürlich immer wieder vorkommen, dass Kunden bestellte Waren kommentarlos zurückschicken.
Unternehmen, die eine entsprechend falsche Formulierung noch in den Rechtstexten führt, sollten drigend handeln und diese auf die aktuellen Anforderungen anpassen.

Seit dem 01.01.2019 gilt das neue Verpackungsgesetz, welches unter dem etwas sperrigen Namen „Gesetz zur Fortentwicklung der haushaltsnahen Getrennterfassung von wertstoffhaltigen Abfällen“ daher kommt. Es löste die bis dahin geltende Verpackungsverordnung ab. Unternehmen müssen also für den bei der Kundschaft anfallenden Verpackungsmüll und dessen Entsorgung aufkommen. Dazu müssen Verpackungen bei einem der dualen Systeme lizenziert werden.

Die Pflicht zur Lizenzierung besteht bereits seit Mitte der 90er Jahre und wurde, allerdings nur sehr schwer überprüfbar, bis Ende 2018 durch die Verpackungsordnung geregelt.

Mit dem Verpackungsgesetz wurde 2019 auch die Datenbank LUCID der sogenannten “Zentralen Stelle” eingerichtet. Ergänzend zur Lizenzierung bei einem der dualen Systeme müssen sich  Unternehmen, die systembeteiligungspflichtige Verpackungen in Verkehr bringen, in dieser Datenbank registrieren.
LUCID und ist öffentlich einsehbar, Behörden und auch konkurrierende Unternehmen können so leicht Verstöße ermitteln und diese entsprechend abmahnen.