DSGVO bei Ferienwohnungen und Ferienhäusern 2

DSGVO bei Ferienwohnungen und Ferienhäusern

Machen Sie Ihre Webseite DSGVO konform!

Am 25.05.2018 ist die neue Datenschutzgrundverordnung – kurz DSGVO – in Europa, und damit auch in Deutschland, in Kraft getreten. Es gibt zu diesem Thema noch viele Fragen. Alle werden wir nicht klären können. In diesem Artikel erhalten Sie Tipps und Empfehlungen, wie Sie Ihre Webseite DSGVO konform betreiben können.

Vorab wollen wir einige Fragen klären.

Betrifft die DSGVO nur große Vermieter oder Vermietagenturen?

Da bei jeder Anfrage, jedem Angebot und jedem Mietvertrag der erstellt wird, Personenbezogene Daten verarbeitet werden, betrifft die DSGVO jeden Vermieter von Ferienobjekten.

Muss ich meine Datenschutzerklärung anpassen?

Ja! Es gibt viele neue Bestimmungen für Ihre Datenschutzerklärung. Diese muss jetzt mehr Informationen enthalten wie bisher. Hier haben Sie zwei Möglichkeiten. Ziehen Sie Ihren Anwalt zu Rate oder nutzen Sie den online Generator von e-recht24.

Welche weiteren Änderungen an meiner Webseite sind nötig?

Eine genaue Prüfung Ihrer Webseite ist nötig damit diese auch in Zukunft gesetzeskonform betrieben werden kann. 

Ein wichtiger und ziemlich schnell umzusetzender Punkt ist die SSL-Verschlüsselung auf Ihrer Webseite. Neben der Tatsache das die meisten Webseiten nach der DSGVO diese Verschlüsselung benötigen, ist dies auch ein Ranking-Kriterium von Google. https://www.sistrix.de/frag-sistrix/google-algorithmus-aenderungen/https-ranking-faktor-update/

Die Verschlüsselung mittels SSL ist Pflicht, wenn Sie auf Ihrer Webseite Kontakt- oder Buchungsformulare betreiben, oder anderweitig dem Nutzer die Gelegenheit geben personenbezogene Daten an Sie zu übertragen.

Desweiteren wird in den meisten Browsern darauf hingewiesen, dass die Verbindung zu dieser Webseite „nicht sicher“ ist.

Beispiel für eine Warnmeldung auf nicht verschlüsselten Webseiten

Wenn auf Ihrer Seite ein SSL-Zertifikat fehlerfrei installiert wurde, sollte Ihre Webseite vom Browser als sicher eingestuft und gekennzeichnet werden.

Beispiel für eine verschlüsselte URL

Obwohl Sie ein SSL-Zertifikat installiert haben kann es vorkommen das eine Fehlermeldung angezeigt wird. Doch woran liegt das? Auf den meisten Webseiten werden Inhalte von anderen Webseiten oder Servern eingebunden. Dies können Bilder, JavaScripte, CSS Dateien oder ähnliches sein. Wenn diese Daten per http:// eingebunden werden, anstatt mittels https:// wird die Verschlüsselung der Webseite gebrochen. Im Browser erscheint dann eine entsprechende Fehlermeldung die so aussehen kann.

Beispiel, falls Inhalte über eine nicht verschlüsselte Seite nachgeladen werden.

Wie Sie siehen ist https:// nicht grün sondern grau. In der entsprechenden Information findet man den hinweis woran es liegen kann. Im Browser Google Chrome kann man z. B. wie folgt vorgehen: (in anderen Browsern ist dies ebenfalls möglich, die jeweiligen Handlungsschritte können jedoch von diesem Beispiel abweichen.)

Machen Sie einen Rechtsklick auf Ihrer Webseite, das Kontextmenü erscheint. Klicken Sie dort auf Untersuchen.

DSGVO bei Ferienwohnungen und Ferienhäusern 3

Im Browser erscheint daraufhin die Console. 

DSGVO bei Ferienwohnungen und Ferienhäusern 4

In dem Reiter Console sehen Sie sofort die Fehlermeldung. Mixed Content ist das Stichwort. Mit dem HTTPS Checker können Sie Ihre Webseite prüfen.

Neben dieser unschönen Warnmeldung in der Browserzeile treten aber auch ernst zu nehmende Probleme mit dem Laden oder anzeigen von Inhalten anderer Anbieter auf. 
Wenn man die DSGVO streng auslegt, sollten Sie keine externen Daten in Ihre Webseite einbinden, ohne das der Nutzer diesem nicht aktiv zustimmt. 

Hier ein Beispiel:

Sobald Sie eine Webseite aufrufen, die ein Bild, Schriftarten von GoogleFonts oder JavaScript von anderen Servern lädt, baut der Browser des Besuchers Ihrer Webseite im Hintergrund eine Verbindung zu den jeweiligen Servern des Anbieters auf. Die Anbieterserver erhalten so Daten über den Besucher Ihrer Webseite, ohne das dieser das möchte. Der Gast Ihrer Webseite hat nunmal Ihre Webseite aufgerufen und nicht die eines anderen. 

Wenn jetzt Konzerne wie Google zum Beispiel den Dienst Google Fonts kostenlos zur Verfügung stellen, dann bezahlt jeder Webseitenbetreiber quasi mit den Daten der Besucher der eigenen Webseite. Auch wenn Sie kein Analytics einsetzen, kann Google so Schlüsse über den Besucher ziehen und so ein komplettes Profil über diesen Besucher erstellen. Dies passiert, da dieser Besucher auch andere Webseiten aufruft. Dadurch sieht Google, was für Interessen ein Mensch hat, Rückschlüsse aufs Alter, Geschlecht, Wohnort, Arbeitsort, etc. lassen sich dadurch auch gewinnen. Aus diesem Grund ist der unbestätigte Einsatz dieser Technologie nicht DSGVO konform. Selbst wann man mit dem „Berechtigten Interesse“ des Seitenbetreibers argumentiert, ist das Argument sehr schwach, da die Dateien mit nur wenig Aufwand ohne Probleme im eigenen Hostingpaket gespeichert werden können. 

Noch gibt es zu diesem Thema keine Gerichtsurteile, jedoch sind Sie mit den lokal eingebundenen Dateien auf der sicheren Seite.

Google Analytics

Nutzen Sie Google Analytics? Das ist an sich gar kein Problem. Doch gibt es einiges zu beachten. Als erstes sollten Sie mit Google einen AV-Vertrag schließen und dafür sorgen das die IP-Adresse der Besucher Ihrer Webseite anonymisiert wird. Im JavaScript Code der in Ihre Webseite eingebunden wird sollte folgende Zeile hinzugefügt werden:
 ga(’set‘,’anonymizeIp‘,true)

Cookies

 Noch heikel und eigentlich noch nicht gesprächsreif sind Cookies. Dies Technik im Bereich Webentwicklung wird erst 2019 reguliert, wäre da nicht die Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26.Apri 2018 (https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf), welche besagt: „[…] Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen.[…] (Stellungnahme WbS-LAW: https://www.wbs-law.de/internetrecht/dsk-viele-cookies-schon-ab-dem-25-mai-nicht-mehr-einsetzbar-ra-solmecke-erlaeutert-die-konsequenzen-77046/)

Dies bedeutet streng genommen, dass Google Analytics (oder andere Trakingsysteme wie Matomo (früher Piwik) nicht geladen werden dürfen, BEVOR nicht die Einwilligung des Besuchers eingeholt wurde. Wenn dieser dem Tracking NICHT zustimmt, darf Google Analytics NICHT geladen werden.

Ein einfach Cookie-Hinweis reicht dann nicht!

Wichtig! Ein einfacher Hinweis „Wir verwenden Cookies, nähres dazu finden Sie in unserer Datenschutzerklärung“ ist demnach NICHT ausreichend, da sichergestellt werden muss, dass das Tracking erst aktiviert wird, wenn der Nutzer zugestimmt hat.
 
Eine Argumentationskette besagt, „Die aktuelle Aussage der Datenschutzkonferenz, dass tracking grundsätzlich immer einer Einwilligung (Opt-In) bedarf, widerspricht damit den Regelungen und den Erwägungsgründen der DSGVO.“
Daher:“ Bei Analysewerkzeugen wie Google Analytics mit IP-Verschleierung oder Matomo, lässt sich eine Legitimation über berechtigte Interessen aufgrund der pseudonymen Datenverarbeitung und der Erwartbarkeit eines solchen Trackings mit guten Argumenten begründen. Wer dem Art. 13 DSGVO entsprechend in der Datenschutzerklärung über diese Datenverarbeitung aufklärt und eine Widerspruchsmöglichkeit anbietet, dürfte auch in datenschutzrechtlicher Hinsicht gut aufgestellt sein.“
Meine Meinung zu dem Thema ist, dass man es direkt so umsetzt wie es wahrscheinlich 2019 sowieso kommen wird. So ist man auf der sicheren Seite und bietet keine Angriffsfläche. Webseiten, die von JP-Networks ausgeliefert werden, beinhalten entsprechende Cookie Mechanismen.

Was ist mit Retargeting?

Wir raten dazu auf Retargeting ab dem 25.05.2018 zu verzichten, bis eindeutige Urteile in diesem Bereich gefällt wurden. Eine alternative wäre eine gute rechtliche Beratung eines Fachanwalts. Wir können in diesem Bereich die Kanzlei Härting empfehlen.
 

Facebook Likebox, Google +1, Twitter Tweet & Co

Falls Sie eines oder mehrere dieser Plugins in Ihre Webseite einbinden wollen, müssen Sie eine sogenannte 2 Klick Lösung installieren. Heiseonline hat dazu ein tolle Plugin namens Shariff veröffentlicht. Hier wird erst nach dem „Freischalt-Klick“ die jeweiligen Sozialen Netzwerke nachgeladen. Erst nach diesem bewussten Klick des Besuchers Ihrer Webseite wird eine Verbindung zu diesem Sozialen Netzwerk aufgebaut.

Cookie-Hinweis

Wenn Sie einen Cookie-Hinweis auf Ihrer Webseite integriert haben, achten Sie darauf, dass Ihr Link zum Impressum und Ihr Link zum Datenschutz davon NICHT VERDECKT wird.
Das Impressum und auch der Datenschutz muss von jeder Seite aus leicht zugänglich und mit nur EINEM Klick zu erreich sein. Es darf nicht sein, dass der Cookie Hinweis die Links auf die Datenschutzerklärung oder das Impressum verdecken. 

Falls Sie eine responsive Webseite (also eine Website die optimal auf mobilen Geräten angezeigt wird, dazu aber ihre Struktur verändert) sollten Sie prüfen, das die Links ebenfalls einfach und von überall aus zu erreichen sind.

Software von Drittanbietern

Wenn Sie Software von Drittanbietern im Einsatz haben, und personenbezogene Daten in sogenannten Cloudlösungen speichern sollten Sie mit diesen Anbietern ebenfalls AV Verträge haben.

 

Scroll to Top