Am 25.05.2018 tritt die neue Datenschutzgrundverordnung - kurz DSGVO - in Kraft und bei uns überhäufen Sie die Emails im Postfach mit Fragen diesbezüglich.
Aus diesem Grund haben wir uns dafür entschieden, diesen Beitrag zu schreiben, um etwas Licht ins Dunkel zu bringen.
1.) Betrifft die DSGVO nur größere Vermieter/Agenturen?
Nein, die DSGVO betrifft jeden Vermieter von Ferienobjekten, da bei jeder Anfrage, Angebot oder Buchung personenbezogene Daten gespeichert werden.
2.) Benötige ich eine Auftragsdatenverarbeitung mit fungiwo?
Ja, es ist eine ADV (Auftragsdatenverarbeitung) abzuschließen. Diese können Sie im internen Vermieterbereich Ihres Accounts schließen.
3.) Muss meine Datenschutzerklärung angepasst werden?
Ja, Ihre Datenschutzerklärung ist anzupassen und es muss noch ein Passus über die Datenverarbeitung mit fungiwo eingebunden werden. Den Passus für die Datenschutzerklärung finden Sie ebenfalls im internen Vermieterbereich.
4.) Muss ich als Vermieter meine Webseite anpassen?
Ja, mit in Kraft treten der DSGVO benötigen Sie eine geänderte Datenschutzerklärung. Diese können Sie sich z.B. bei:
https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/
oder
https://www.e-recht24.de/muster-datenschutzerklaerung.html
selber erstellen. WICHTIG: Der Passus (siehe Punkt 3.) natürlich noch ergänzt werden.
5.) Sind noch weitere Änderungen an meiner Webseite nötig, abseits von der Nutzung von fungiwo?
Ja, Sie sollten Ihre Webseite auf jeden Fall gründlich prüfen! Zuerst sollten Sie prüfen, ob Ihre Seite über ein SSL-Zertifikat verfügt. Zum Einen ist dies ein (wenn auch kleines) Ranking-Kriterium von Google (siehe: https://www.sistrix.de/frag-sistrix/google-algorithmus-aenderungen/https-ranking-faktor-update/) und zum Anderen ist eine SSL-Verschlüsselung Pflicht, wenn Sie ein Kontakt-Formular auf Ihrer Webseite haben.
Bitte prüfen Sie nach der Integration Ihres SSL-Zertifikats, ob die fungiwo Module noch korrekt laden und integrieren Sie ggf. das Formular neu, sodass es mit SSL geladen werden kann.
Des Weiteren wird in fast allen Browsern darauf hingewiesen, dass die Verbindung zu dieser Webseite "nicht sicher" ist:
Ist SSL-Zertifikat auf der Webseite installiert UND gibt es keine Fehler, die die Verschlüsselung zerstört (näheres dazu gleich), wird diese Webseite als "sicher" gekennzeichnet:
Wenn Sie auf Ihrer SSL-verschlüsselten Webseite Daten (Bilder, CSS-Dateien, Javascript-Dateien..etc) laden, welche NICHT über https geladen werden, ist die Verschlüsselung nicht mehr gewährleistet, die Verschlüsselung wird quasi "gebrochen", da "unsichere" Daten per http, anstelle von https, geladen werden. Dies sieht dann so aus im Browser:
Nun müssen Sie prüfen, welche Dateien die Verschlüsselung "brechen". Sie können dies mit fast jedem Browser manuell prüfen. Wir nutzen Google Chrome als Browser und zeigen Ihnen dies exemplarisch daher anhand von Google Chrome. Machen Sie einen Rechtsklick auf der Webseite und klicken dann auf "Untersuchen":
Jetzt erscheint am rechten Rand oder am unteren Rand die Konsole von Google Chrome (hier bei uns am unteren Rand):
Hier klicken Sie jetzt auf "Console" und sehen sofort die Fehler, die dazu führen, dass Ihre Webseite als "nicht uneingeschränkt sicher" bewertet wird:
Sie sehen hier die Fehlermeldungen:
- 1.) The SSL certificate used to load resources from https://www.fungiwo.de will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.
- 2.) Mixed Content: The page at 'https://www.fungiwo.de/_webseite_bricht_verschluesselung.html' was loaded over HTTPS, but requested an insecure stylesheet 'http://www.fungiwo.de/_webseite_bricht_verschluesselung.css'. This request has been blocked; the content must be served over HTTPS.
- 3.) Mixed Content: The page at 'https://www.fungiwo.de/_webseite_bricht_verschluesselung.html' was loaded over HTTPS, but requested an insecure image 'http://www.fungiwo.de/images/fungiwo-logo-final-289x100.png'. This content should also be served over HTTPS.
Zu Punkt 1.) Google Chrome entzieht älteren Symantec-Zertifikaten das Vertrauen. Hier sollten Sie unbedingt ein neues Zertifikat für Ihre Webseite ausstellen lassen. Nähere Informationen finden Sie unter: https://www.heise.de/security/meldung/Chrome-entzieht-in-Zukunft-10-Prozent-der-wichtigsten-SSL-Seiten-das-Vertrauen-3962976.html
Dies "bricht" zwar nicht die SSL-Verschlüsselung, jedoch wird dieser Hinweis (aktuell) allen Chrome nutzen angezeigt. Ob Google mit Chrome noch weitere Schritte, z.B. eine Kennzeichnung als "nicht sichere Verbindung" (siehe Bild oben), gehen wird, ist aktuell nicht bekannt.
Zu Punkt 2.) Hier wird eine CSS Datei (http://www.fungiwo.de/_webseite_bricht_verschluesselung.css) OHNE https geladen, welche in diesem Fall GEBLOCKT wurde. D.h. die Seite ist geladen worden, die CSS-Datei wurde NICHT geladen. Dies "bricht" die Verschlüsselung nicht, da der Inhalt (auf Grund des fehlenden https) nicht geladen wurde. Wäre dies der einzige Fehler, käme kein Hinweis auf die "nicht uneingeschränkt sichere"-Webseite, aber alle CSS-Styles Ihrer Webseite wären ungültig, das Layout wäre quasi zerstört.
Zu Punkt 3.) Hier wird eine Bild Datei (http://www.fungiwo.de/images/fungiwo-logo-final-289x100.png) OHNE https geladen, welche in diesem Fall NICHT GEBLOCKT wurde. D.h. das Bild würde zwar angezeigt werden, aber es würde sofort der Hinweis auf die "nicht uneingeschränkt sichere"-Webseite erscheinen.
Sie müssen also in diesem Fall ein neues SSL-Zertifikat ausstellen lassen und die URLs der CSS- und der Bild-Datei anpassen, damit Ihre Webseite wieder aus "sicher" gekennzeichnet wird.
Wir empfehlen Ihnen nach der Bearbeitung und entfernen eventueller Fehler auf Ihrer Webseite, ein HTTPS-Checker-Tool (z.B.: https://httpschecker.net/guides/https-checker) zu nutzen, ob auch ALLE Unterseiten Ihrer Webseite fehlerfrei sind.
Bei dem genannten Tool handelt es sich um eine lokale Software, die auf Ihrem Windows-PC oder auch Mac heruntergeladen und installiert werden kann und jede Seite Ihrer Website prüft. Denn was für die Startseite gilt, muss nicht für die Unterseiten gelten.
Haben Sie ein Logo eines befreundeten Restaurants direkt eingebunden und die Restaurant-Seite hat keine SSL-Verschlüsselung, würde auf dieser Unterseite die SSL-Verschlüsselung gebrochen sein. Wenn es jetzt ganz dumm kommt, und Sie auf exakt dieser Unterseite (Ihrer Webseite) auch noch ein Kontaktformular zu Ihnen integriert haben, ist das Kontaktformular nicht mehr verschlüsselt und Sie können diesbezüglich abgemahnt werden.
weitere Problematiken
Neben den genannten Problem der SSL-Verschlüsselung gibt es aber noch weitere Probleme bezüglich der DSGVO.
Wenn man die DSGVO streng auslegt, dann sollten Sie keine externen Dateien auf Ihrer Webseite laden. Denn Sie wissen nicht, was der "Inhaber" der externen Dateien (mit dem simplen Aufruf der Datei) mit den übermittelten Daten macht.
Beispiel: Sie laden das Logo der o.a. Restaurant-Seite direkt von der Restaurant-Seite www.beispiel-wirtshaus.de/logo.jpg. Allein mit diesem Aufruf werden personenbezogene Daten (IP, Betriebssystem, Browser, Zeitpunkt des Aufrufs) des Besuchers (IHRER Webseite) an die Restaurant-Seite übermittelt.
Ob und was www.beispiel-wirtshaus.de mit diesen Daten anfängt, können Sie nicht mehr nachvollziehen. Lieber daher das Logo von www.beispiel-wirtshaus.de herunterladen und auf Ihrer Webseite direkt einbinden (vorher natürlich das Einverständnis einholen), damit die Übermittlung zu www.beispiel-wirtshaus.de gar nicht erst erfolgt.
Was jetzt anhand dieses Beispiels mit einem Logo von uns aufgezeigt wurde, betrifft aber noch andere Dateien! Und im größeren Umfang auch weltweit agierende Unternehmen. Beispiele:
- Integration von Google-Fonts
- Nutzung der FontAwesome-Dateien aus deren CDN
- Nutzung der jQuery-Dateien aus deren CDN
- autom. Laden des Gravatar-Bildes
- andere Dienste (Plugins, Widgets) die externe Inhalte laden
Wir empfehlen Ihnen soweit es möglich ist, auf externe Dateien zu verzichten und diese lieber herunterzuladen und lokal einzubinden. Es gibt natürlich noch vor der DSGVO keine Gerichtsurteile, dies wird sich erst mit der Zeit ergeben, allerdings ist man mit lokal eingebundenen Dateien (wo man selbst die Datenhoheit hat) schonmal auf der sicheren Seite.
Google Analytics
Nutzen Sie Google Analytics? Dann auf jeden Fall eine Auftragsdatenverarbeitung mit Google abschließen und die IP-Adresse anonymisieren mit dem Hinzufügen des "ga('set','anonymizeIp',true)" im Javascript Quelltext von Google Analytics.
Cookies
Ein noch etwas heikler Punkt sind Cookies. Im Grunde müssen Sie unterscheiden zwischen der DSGVO und der ePrivacy-Verordnung (welche erst 2019 in Kraft tritt). In der ePrivacy-Verordnung werden die Cookie-Richtlinien genau deklariert. Da diese noch gar nicht fertig erstellt wurde, kann man aktuell auch noch nichts darüber sagen.
Für einen kurzen Schock-Moment sorgte die "Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden desBundes und der Länder" am 26. April 2018 (siehe:https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf), welche besagt:"[..] Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von TrackingMechanismen,die das Verhalten von betroffenen Personen im Internetnachvollziehbar machen und bei der Erstellung von Nutzerprofilen.[..]".(Stellungnahme WBS-LAW siehe: https://www.wbs-law.de/internetrecht/dsk-viele-cookies-schon-ab-dem-25-mai-nicht-mehr-einsetzbar-ra-solmecke-erlaeutert-die-konsequenzen-77046/)
Dies bedeutet streng genommen, dass Google Analytics (oder jedes andere Tracking-System) nicht geladen werden darf, BEVOR nicht die Einwilligung des Besuchers eingeholt wurde. Wenn dieser dem Tracking nicht zustimmt, darf Google Analytics NICHT geladen werden.
simpler Cookie-Hinweis reicht dann nicht!
Wichtig: Ein einfacher Hinweis "Wir verwenden Cookies, näheres dazu finden Sie auf unserer Datenschutzerklärung" wäre demnach NICHT ausreichend. Es muss sichergestellt werden, dass das Tracking erst aktiviert wird, wenn der Besucher zustimmt.
Dies wäre aber gedanklich schon eine Vorziehung der ePrivacy-Verordnung. Was also tun? Ehrlich gesagt: Keine Ahnung!
Es gibt die Argumentationskette, die besagt "Die aktuelle Aussage der Datenschutzkonferenz, dass Tracking grundsätzlich immer einer Einwilligung (Opt-In) bedarf, widerspricht damit den Regelungen und den Erwägungsgründen der DSGVO."
Daher: "Bei Analysewerkzeugen wie Google Analytics (mit IP-Masking) oder Matomo (früher Piwik) lässt sich eine Legitimation über berechtigte Interessen aufgrund der pseudonymen Datenverarbeitung und der Erwartbarkeit eines solchen Trackings mit guten Argumenten begründen. Wer dem Art.13 DSGVO entsprechend dann noch in der Datenschutzerklärung über diese Datenverarbeitung aufklärt und eine Widerspruchsmöglichkeit anbietet, dürfte auch in datenschutzrechtlicher Hinsicht gut aufgestellt sein." (siehe:http://www.rechtzweinull.de/archives/2553-ist-tracking-nach-25-mai-2018-nur-noch-mit-einwilligung-bewertung-der-stellungnahme-der-datenschutzbehoerden-zu-tracking-targeting-co.html)
Und Retareting?
Wir würden Ihnen raten ab dem 25.05.2018 von Retareting-Maßnahmen (Facebook-Tracking-Pixel für Retargeting, Google-Retargeting oder auch das Retargeting von anderen Suchmaschinen) erstmal abzusehen und dort entsprechende Gerichtsurteile abzuwarten. Oder sich im Vorfeld konkret diesbezüglich rechtlich beraten zu lassen und auch eine Cookie-Einwilligung mit Offenlegung der Datenverarbeitung auf Ihrer Webseite zu integrieren.
Kurz: Retargeting bedeutet, dass Sie ein Script/Zählpixel auf Ihrer Webseite verwenden anhand dessen Besucher z.B. erneut beworben werden können via Facebook oder per Google Adwords auf anderen Webseiten. Man kann eine z.B. eine Werbekampagne bei Facebook oder Google erstellen, wo man sagen kann: "Zeige bitte diese Werbung oder jedes Banner bei allen Besuchern an, die in den letzten 30 Tagen auf meiner Webseite waren". Loggt sich der Benutzer bei Facebook ein, sieht er dann die Werbung für Ihre Webseite. Oder besucht der User irgendeine Webseite wo der Betreiber Google Adsense aktiviert hat, kann dort über Ihre Adwords-Kampagne die Werbung dargestellt werden.
Facebook-Likebox, Twitter Tweet, Google +1, ..etc..
Wenn Sie auf Ihrer Webseite den Besucher dazu animieren möchten Ihre Webseite auch auf den sozialen Medien zu liken oder zu teilen, sollten Sie auf jeden Fall eine Zwei-Klick-Lösung (wie z.B.: Shariff, siehe https://github.com/heiseonline/shariff) nutzen, sodass erst nach dem "Freischaltungs-Klick" die jeweiligen Plugins der sozialen Netzwerke nachgeladen werden und erst dann eine Datenübertragung zwischen Ihrer Webseite und dem jeweiligen sozialen Netzwerk hergestellt wird.
Cookie-Hinweis
Wenn Sie einen Cookie-Hinweis auf Ihrer Webseite integriert haben, achten Sie auf JEDEN FALL darauf, dass Ihr Link zum Impressum und Ihr Link zum Datenschutz davon NICHT VERDECKT wird. Hier ein Beispiel eines großen Unternehmens für touristische Meldescheinsysteme, wie man es NICHT machen sollte:
Das Impressum und auch der Datenschutz muss von jeder Unterseite aus leicht zugänglich und mit nur einem Klick zu erreichen sein. Bei diesem Cookie-Hinweis muss zuerst der Hinweis weggeklickt werden und danach kann erst auf das Impressum geklickt werden.
Erbsenzählerei? Nunja einer Ihrer Konkurrenten oder ein Abmahn-Anwalt reibt sich sicherlich schon die Hände: https://www.e-recht24.de/news/abmahnung/10373-cookies-banner-abmahnung.html
Ebenfalls zu bedenken: Ist Ihre Webseite responsive? Dann surfen Sie mal mit einem Smartphone UND auch mit einem Tablet Ihre Webseite an und prüfen ob evtl. DORT der Cookie-Banner das Impressum oder den Datenschutz verdeckt!
6.) Andere Software die Sie im Einsatz haben
Haben Sie ein Massen-Mail-System im Einsatz, um Ihren Gästen z.B. eine Weihnachtsemail zu schicken? Sollte es sich dabei um einen Drittanbieter handelt, ist auch hier eine Auftragsdatenverarbeitung abzuschließen.
Gerne können Sie uns kontaktieren, wenn Sie mit den unter Punkt 5 - Sind noch weitere Änderungen an meiner Webseite nötig, abseits von der Nutzung von fungiwo? - genannten Punkten Probleme oder Fragen haben (auch wenn Sie kein Kunde von uns sind).
Wir können Ihnen gerne ein Angebot für eine Prüfung Ihrer Webseite oder den Umbau der Webseite erstellen, wenn Sie sich darum nicht kümmern möchten oder können. Bitte bedenken Sie jedoch, dass wir sowohl für die Prüfung als auch für den Umbau Ihrer Webseite keine Haftung übernehmen können, da wir nicht berechtigt sind, Sie zu juristischen Fragen zu beraten.
Bei diesem (unvollständigen) Leitfaden handelt es sich um eine persönliche Einschätzung. Diese kann keine rechtliche Beratung darstellen oder ersetzen. Wir sind keine Anwälte und können daher keine rechtsverbindlichen Auskünfte erteilen. Bei Fragen sollten Sie sich an einen Rechtsanwalt wenden.