Checkliste: Ist Ihre Konferenz-Website DSGVO-konform?

Trotz der vielen Kritik hat die ganze Aufregung um die Regelungen der DSGVO zumindest etwas Gutes: Nutzer und Seitenbetreiber sind nun viel stärker für das wichtige Thema Datenschutz sensibilisiert. Und auch, wenn die so gefürchtete Abmahnung bei weitem nicht hinter jeder Ecke lauert, dürfte den meisten Konferenzveranstaltern die sichere Seite doch die angenehmere sein. Auf vieles wird deshalb bereits penibel geachtet. An anderen Stellen unterlaufen Website-Betreibern aber nach wie vor Fehler und so wirklich geklärt sind längst nicht alle Fragen, weshalb die DSGVO-Realität an einigen Stellen doch eher düster aussieht. Viele Blog-Betreiber haben sich etwa dazu entschieden, künftig keine neuen Artikel mehr zu veröffentlichen und sich stattdessen verunsichert gleich ganz von ihrer Blogger-Existenz verabschiedet. Ein drastischer, aber dennoch verständlicher Schritt, denn leicht getan hat sich bei der Umsetzung der DSGVO trotz Unterstützung von behördlicher Seite wahrscheinlich niemand.

Aber keine Angst, denn das ist noch lange kein Grund, wieder zu Konferenzanmeldungen in Papierform zurückzukehren. Ein kleiner DSGVO-Check für die eigene Konferenz-Website wäre allerdings ganz angebracht. Im Folgenden listen wir Ihnen deshalb die wichtigsten Punkte und Fragestellungen auf.

1. Formulare

Gibt es auf Ihrer Website ein Formular, über das Besucher Kontakt mit Ihnen aufnehmen, sich für eine Konferenz (vor-)anmelden oder wissenschaftliche Beiträge einreichen können, erhalten Sie mit jedem ausgefüllten Formular immer auch personenbezogene Daten. Mindestens eine Telefonnummer oder eine E-Mail-Adresse für Rückfragen ist dabei, bei Anmeldeformularen sogar vollständige Namen und Adressen. In Bezug auf die DSGVO ist dabei interessant:

  • Welche Daten benötigen Sie von den Nutzern?
    Eines der prominenten DSGVO-Buzzwords ist der Grundsatz der Datensparsamkeit. Dieser besagt, dass so wenig personenbezogene Daten wie möglich erhoben werden sollen, und nur solche, die unbedingt für die Erfüllung der damit verbundenen Aufgabe nötig sind. Ein Kontaktformular für allgemeine Fragen rund um die Konferenz braucht neben einem Feld für die Frage somit eigentlich nur noch ein weiteres mit E-Mail-Adresse oder Telefonnummer, die für die Antwort verwendet werden. Mehr nicht. Das Einfügen weiterer Felder ist natürlich erlaubt, nur sollten Sie diese nicht als Pflichtfelder deklarieren.
    Beim Registrierungsprozess sieht das ein wenig anders aus. Hier reicht es nicht, nur die E-Mail-Adresse eines Teilnehmers abzufragen. Angaben wie Name, Adresse oder Zahlungsdaten sind hier ebenso wichtig, da Sie sonst unter anderem nicht in der Lage wären, Rechnungen oder Namensschilder zu erstellen. Erheben Sie also nur die Daten verpflichtend, deren Verwendung Sie begründen können.
  • Muss zwingend ein Nutzerkonto erstellt werden?
    Eng damit in Verbindung steht die Frage, ob ein neues Benutzerkonto eingerichtet werden muss, um sich zur Konferenz anzumelden. Nicht immer ist das wirklich sinnvoll. Letztlich entsteht dadurch nur ein weiterer Account, der wahrscheinlich nie wieder genutzt wird. Mit Datensparsamkeit hat das wenig zu tun. Lassen Sie deshalb lieber zu Beginn alle wählen, ob sie für die Registrierung ein Konto anlegen oder die Anmeldung ohne durchführen möchten. Anders verhält sich das, wenn Sie planen, die Website nach Abschluss der Teilnehmeranmeldung zu nutzen, um den Besuchern Ihrer Konferenz Dokumente bereitzustellen. Das können Teilnahmebestätigungen in Form eines PDF-Dokuments sein oder Materialien für Workshops. Dann ist das obligatorische Erstellen eines Nutzerkontos empfehlenswert.
  • Verschlüsseln Sie die Daten?
    Sobald Sie Daten von Personen abfragen, wird eine Verschlüsselung Pflicht. Vor dem Erheben der Daten sollten Sie sich unbedingt um ein SSL-Zertifikat kümmern. Eine aktive Verschlüsselung erkennen Sie am „https://“ in der Adresszeile Ihres Browsers. Viele Browser weisen darüber hinaus durch ein grünes Schloss oder den Vermerk „Sicher“ vor der Adresse auf ein gültiges Zertifikat hin. Unverschlüsselte Websites machen es Angreifern leicht, die übertragenen Informationen abzufangen und mitzulesen. Das ist bei Adress-, Konto- und Kreditkartendaten natürlich äußerst fatal. In den Besitz eines begehrten grünen Schlosses kommen Sie, nachdem Sie das SSL-Zertifikat installiert haben. Erkundigen Sie sich beim Anbieter Ihrer Konferenz-Software
  • Wissen die Nutzer, was mit ihren Daten passiert?
    Erklären Sie, was mit den Nutzerdaten passiert. Das muss durch einen Verweis auf die Datenschutzerklärung Bei Formularen reicht das jedoch noch nicht aus. Nutzer müssen vor dem Absenden durch einen gesonderten Text über, unter oder neben dem Formular über die Weiterverarbeitung der Daten informiert werden und dem zustimmen. Verlinken Sie im Text am besten noch einmal Ihre Datenschutzerklärung. Achtung! Hier gilt das Kopplungsverbot. Nur weil jemand sein Okay zur Verarbeitung der eigenen Daten gibt, heißt das nicht, dass Sie der Person nun regelmäßig Mails schicken dürfen, weil Sie deren E-Mail-Adresse ja nun einmal haben. Planen Sie etwa einen Newsletterversand, müssen Sie sich vorher die ausdrückliche Zustimmung jedes Empfängers holen (siehe auch Punkt 6). Bauen Sie dazu eine weitere Checkbox ein, die angekreuzt werden kann, wenn die Person weitere Infos wünscht.

2. Analyse- und Trackingtools

Betreiber einer Konferenz-Website möchten gerne mehr über ihre Besucher wissen. Wie kommen diese auf die Website, wie bewegen sie sich dort und wie lange bleiben sie? Antworten geben entsprechende Tools wie Google Analytics. Deren Verwendung ist nach wie vor erlaubt – sofern Sie die folgenden zwei Punkte bejahen können:

IP-Anonymisierung
Code-Zeile zur IP-Anonymisierung, die auf der Website ergänzt werden muss
  • Anonymisieren Sie die IPs der Besucher?
    Analyse- und Trackingtools erfassen in der Regel IP-Adressen der Website-Besucher, die – wie vom BGH bestätigt – auch zu den personenbezogenen Daten gezählt werden. Diese können (und müssen!) anonymisiert werden. Dazu wird im Fall von Google Analytics eine kleine, unkomplizierte Änderung am Tracking-Code vorgenommen.
  • Können Nutzer dem widersprechen?
    Auch wenn Tracking nichts Illegales ist, finden es längst nicht alle gut. Gefallen lassen muss sich das seit der DSGVO niemand mehr, weshalb Sie einerseits alle Besucher darüber informieren müssen, ob und welche Tools Sie einsetzen und eine Möglichkeit anbieten sollten, dem zu widersprechen. Google hält für Letzteres ein Opt-out-Browser-Addon bereit, das nur heruntergeladen werden muss.

3. Externe Dienste und Plugins

Ein bisschen perfide sind sie schon, die Methoden, die Unternehmen wie Facebook und Google einsetzen. Über deren Social-Plugins wie etwa den Like-Button, der auf einer Konferenz-Website eingebaut werden kann, werden personenbezogene Daten gesammelt und Nutzerprofile erstellt – dafür muss der Button nicht mal betätigt werden. Das ist längst nicht allen bewusst und schon alleine deshalb aus datenschutzrechtlicher Sicht extrem bedenklich.

  • Nutzt Ihre Website Social-Plugins?
    Die Social-Media-Buttons sind praktisch, keine Frage. Weisen Sie aber zumindest unbedingt in der Datenschutzerklärung darauf hin, dass Sie diese einsetzen. Noch besser ist die datenschutzfreundlichere Variante, mit der sich Inhalte genauso teilen lassen, und die Nutzer erst erfasst, wenn diese den Button wirklich nutzen möchten.
  • Verwenden Sie den erweiterten Datenschutzmodus für Videos?
    Ein ähnliches Problem tritt auf, wenn Sie Videos auf der Website einbetten. Dann werden Daten eines Besuchers an die jeweilige Videoplattform übermittelt, auch wenn die Person das Video gar nicht abgespielt hat. Die beste Lösung dazu liefert YouTube mit dem erweiterten Datenschutzmodus, mit dessen Hilfe Videos auch in Zeiten der DSGVO problemlos auf der Website eingebaut werden können.
Erweiterter Datenschutzmodus YouTube
Der erweiterte Datenschutzmodus lässt sich unter der „Teilen“-Option eines Videos aktivieren

4. Cookies

Ein Cookie ist eine kleine Datei, die sich bestimmte Details merkt, die mit dem Besuch einer Website in Verbindung stehen, und in denen Einstellungen gespeichert sind, die ein Nutzer bei seinem Besuch dort vorgenommen hat. Beim nächsten Besuch werden die Einstellungen dann wieder geladen, sodass die Website dann etwa gleich in der richtigen Sprache angezeigt wird. Bislang hat es ausgereicht, die Nutzer lediglich darauf hinzuweisen, dass Cookies im Browser gesetzt werden. Das sind die Meldungen, die mittlerweile auf so ziemlich jeder Website aufpoppen und immer bestätigt werden müssen.

  • Holen Sie sich eine Einwilligung zum Setzen von Cookies?
    Laut DSGVO-Grundsätzen dürfen Nutzer allerdings nicht einfach vor vollendete Tatsachen gestellt werden, wenn es um ihre persönlichen Angaben geht, sondern müssen explizit einwilligen. Bezogen auf Cookies bedeutet das, dass theoretisch jeder Nutzer beim Besuch einer Website für jeden einzelnen Cookie festlegen müsste, ob dieser gesetzt werden soll oder nicht. Auf Dauer ist das nicht praktikabel, weil dann oft nicht mehr sichergestellt werden kann, dass die Website überhaupt noch funktioniert. Deshalb gibt es eine Cookie-Ausnahmeregelung, die besagt, dass so genannte „berechtige Interessen“ des Website-Betreibers das Setzen von Cookies erlauben. Welche Interessen das genau sind und wie der Hinweis auf Cookies künftig erfolgen soll, ist bislang noch nicht abschließend geklärt. Bis dahin gilt: Informieren Sie die Besucher beim Aufruf der Konferenz-Website, welche Cookies Sie setzen.

5. Auftragsdatenverarbeitung

Die DSGVO schreibt vor, dass Unternehmen, die personenbezogene Daten von Dienstleistern verarbeiten lassen, einen Vertrag zur Auftragsdatenverarbeitung abschließen müssen. Erstellen Sie sich dazu eine Liste aller Tool-Anbieter und Dienstleister, mit denen Sie zusammenarbeiten und mit denen seit Inkrafttreten der DSGVO noch kein entsprechender Vertrag geschlossen wurde. Übrigens handeln sowohl der Dienstleister als auch Sie als Auftraggeber ordnungswidrig, wenn sich keine der beiden Seiten um das Aufsetzen eines ADV-Vertrags kümmert. Um Bußgeldern zu entgehen, sollten Sie einen Mustervertrag bereithalten.

  • Gibt es einen Vertrag mit dem Hoster der Konferenz-Website bzw. dem Anbieter der Konferenz-Software?
    Ein Vertrag ist immer dann notwendig, wenn der Anbieter theoretisch Zugriff auf die personenbezogenen Daten haben könnte. Wird ein Webspace dazu genutzt, Daten einzelner Personen zu erfassen, wie das etwa bei der Teilnehmeranmeldung oder der Beitragseinreichung der Fall ist, ist ein Vertrag unumgänglich. Läuft die Verwaltung und Kommunikation mit den Teilnehmern über eine Konferenz-Software, müssen Sie auch hier noch einen Vertrag aufsetzen.
  • Haben Sie einen Vertrag mit Google geschlossen?
    Website-Betreiber, die Analyse-Tools nutzen, sind verpflichtet, einen schriftlichen Vertrag über die ADV zu schließen. Seit Ende Mai kann das statt auf dem Postweg direkt online in den Kontoeinstellungen erledigt werden, da die DSGVO im Gegensatz zu früheren Regelungen auch ein elektronisches Format für einen solchen Vertrag erlaubt.
  • Arbeiten Sie mit Dienstleistern außerhalb der EU zusammen?
    Dann gestaltet sich das etwas schwieriger. Zusätzlich zum Auftragsdatenverarbeitungsvertrag müssen Sie den Anbieter nach detaillierten Informationen zum Datenschutz fragen, die in einem weiteren Vertrag festgehalten werden. Der Anbieter sollte zudem eine EU-US-Privacy-Shield-Zertifizierung vorweisen können. Selbst dann bleibt allerdings zweifelhaft, ob damit rechtlich wirklich alles abgesichert ist. Ziehen Sie daher eventuell europäische Alternativen in Betracht, bevor Sie sich auf unsicheres rechtliches Terrain begeben.
Google Analytics Zusatz zur Datenverarbeitung
Der Google-Zusatz zur Datenverarbeitung in den Analytics-Einstellungen

6. Einverständnis

Ohne unmissverständliche Zustimmung der Website-Nutzer und Konferenzteilnehmer geht seit der DSGVO gar nichts mehr. Können Sie keine Zustimmung vorweisen, könnte Sie das teuer zu stehen kommen, sobald jemand Zweifel daran hat, Ihnen je eine gegeben zu haben.

  • Verzichten Sie auf vorausgefüllte Kontrollkästchen?
    Welche Optionen Sie auch anbieten: Begehen Sie niemals den Fehler, nicht vorher danach zu fragen, ob der Nutzer sie wirklich in Anspruch nehmen will. In Bezug auf die Konferenz-Website bedeutet das, dass Nutzer gewünschte Optionen selbst ankreuzen. Ob jemand Ihren Newsletter abonnieren möchte, entscheidet die Person alleine. Kontrollkästchen dürfen Sie also nicht mehr automatisch abhaken.
  • Berücksichtigen Sie das Double-Opt-in-Verfahren?
    Damit nicht jemand auf die Idee kommt, irgendwelche Personen für Ihren Newsletter anzumelden, können Sie sich mit dem Double-Opt-in absichern. Die Besitzer der E-Mail-Adresse erhalten dann eine Nachricht mit einem Bestätigungslink. Erst nachdem dieser angeklickt wurde, wird der Newsletter-Verteiler um eine weitere Person ergänzt.
  • Haben Sie die Einwilligung der Nutzer dokumentiert?
    Eine Zustimmung bringt wenig, wenn sie nirgendwo hinterlegt ist. Beim Double-opt-in-Verfahren ist das etwas leichter: Sobald jemand auf den Bestätigungslink klickt, kann das erfasst und abgespeichert werden.
  • Können die Nutzer einfach Widerspruch einlegen?
    Vor der DSGVO war das An- meistens leichter als das Abmelden. Das war ja auch im Sinne des Anbieters. Und dieser kommt mit einem solchen Vorgehen nun nicht mehr weit. Um beim Newsletter zu bleiben: Jede Mail muss einen Link zum Deabonnieren enthalten. Beim Klick darauf wird der Nutzer aus der Empfängerliste ausgetragen. Das darf nicht komplizierter sein als das Eintragen.

7. Fotos und Videos

Wer Bildmaterial seiner Konferenz hat, kann sich glücklich schätzen. Das sieht auf der Website gut aus und kann außerdem zum Bewerben der nächsten Veranstaltung dienen. Oder Sie nutzen die Fotos schon jetzt, um ein paar Eindrücke zu teilen. Seit der DSGVO ist an dieser Stelle jedoch ebenfalls Vorsicht geboten.

  • Veröffentlichen Sie Fotohinweise?
    Aufnahmen während der Konferenz ganz ohne vorherige Ankündigung anzufertigen ist wahrscheinlich der Weg, über den Sie sich am ehesten Rechtsstreitigkeiten einhandeln. Der Rechtsanwalt Prof. Niko Härting weist darauf hin, deshalb schon vor der Veranstaltung Fotohinweise zu veröffentlichen. Daraus muss ersichtlich werden, wofür die Aufnahmen verwendet werden, wie lange diese gespeichert werden und welche Rechte die Konferenzbesucher in dem Zusammenhang haben. Damit alle Teilnehmer davon erfahren, empfiehlt es sich, die Hinweise gleich bei der Anmeldung zur Konferenz einzublenden.
  • Wie gehen Sie mit dem Widerspruch eines Teilnehmers um?
    Härting schlägt vor, sich beim Fotografieren und Filmen der Konferenz immer auf ein berechtigtes Interesse des Veranstalters zu berufen. Die Alternative dazu wäre, von allen Besuchern eine ausdrückliche Einwilligung einzuholen. Letztlich kann aber gerade eine solche dem Veranstalter zum Verhängnis werden. Dann kann diese nämlich ganz leicht wieder zurückgezogen werden, was dazu führt, dass das berechtigte Interesse des Veranstalters hinfällig wäre und von keiner Aufsichtsbehörde mehr akzeptiert würde.

Hinweis
Dieser Artikel soll Ihnen einen Überblick geben, welche Punkte beim Erstellen einer Konferenz-Website im Hinblick auf die aktuelle Gesetzeslage von Bedeutung sind. Der Text erhebt keinen Anspruch auf Vollständigkeit und ist keine Rechtsberatung. Für inhaltliche Fragen oder Sonderregelungen in Bezug auf Ihre Konferenz-Website sollten Sie sich individuell von einem Rechtsanwalt beraten lassen.