Bitte BEACHTEN: Dieser Blog-Artikel ist das Ergebnis meiner Recherche und ist nicht als Rechtsberatung gedacht. Sein Inhalt spiegelt meine Gedanken und bisherigen Erfahrungen dazu und hat keinen Anspruch auf Richtigkeit und Vollständigkeit. Falls Sie konkrete oder tiefgreifendere Fragen haben, wenden Sie sich bitte an einen Rechtsanwalt.
Was ist die DSGVO?
Die DSGVO ist eine EU-Datenschutzgrundverordnung. Ihr Ziel ist es, die Regeln zur Verarbeitung personenbezogener Daten EU-weit zu vereinheitlichen. Die Verordnung ist bereits am 24. Mai 2016 in Kraft getreten, wurde aber erst jetzt, nach einer zweijährigen Übergangsfrist, endgültig zum 25. Mai 2018 in allen EU-Mitgliedsstaaten zur Pflicht.
Viele der DSGVO-Regelungen orientieren sich an der bisherigen, vergleichsweise strengen deutschen Datenschutzgesetzgebung. So sind die meisten der Regelungen für deutsche Unternehmen gar nicht so neu. Was wirklich neu ist: bei einem Verstoß gegen den Datenschutz können Bußgelder von bis zu 20 Millionen Euro oder aber von bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens drohen. Auch wenn die höchsten Bußgelder wohl eher für Großkonzerne gedacht sind, so sollte jeder Unternehmer die Vorordnung ernst nehmen und die Einhaltung in seinem Betrieb gewährleisten.
Für wen gilt die DSGVO?
Sie gilt für alle Unternehmen und Selbstständige, die automatisiert personenbezogene Daten verarbeiten. Als personenbezogene Daten zählen z. B. Name, Geburtsdatum oder die E-Mail-Adresse, aber auch Angaben wie IP-Adresse, Autokennzeichen, Kontoverbindung und die Steuernummer. Die DSGVO gilt für Großkonzerne wie Google, Amazon und Facebook aber auch für den kleinen Handwerksbetrieb um die Ecke. Betroffen sind ebenso Institutionen wie Vereine, die ihre Mitgliederverzeichnisse elektronisch z. B. mit Hilfe von Excel-Listen oder einer Excess-Datenbank verwalten. Ausgenommen von der DSGVO sind Privatpersonen, wenn sie Daten für persönliche oder familiäre Zwecke verwenden.
Was ändert sich konkret?
Noch umfassender als bisher müssen wir Bürger darüber informiert werden, welche Daten in welcher Form über uns gespeichert werden – und wie diese verwendet werden. Unternehmen sind damit in der Pflicht, die verschärften Dokumentations- und Rechenschaftspflichten einzuhalten. Bei Nichteinhaltung drohen die erwähnten Bußgelder.
Hat ein Kunde bzw. Nutzer seine ausdrückliche Zustimmung dazu gegeben, dass seine Daten gespeichert und verwendet werden dürfen, so muss der Unternehmer dies sorgfältig in einem „Verzeichnis von Verarbeitungstätigkeiten“ dokumentieren und auf Anfrage vorlegen können. Unternehmen dürfen in Zukunft nur noch die notwendigen personenbezogenen Daten einholen, die sie zum angegebenen Zweck benötigen. Für einen anderen Zweck dürfen die erhobenen Daten nicht verwendet werden. Ist der legitime Zweck, für den die Daten erhoben wurden, erfüllt, so müssen sie gelöscht werden.
Welche Auswirkungen hat nun die DSGVO für einen Webauftritt – was ist zu tun?
Verzeichnis von Verarbeitungstätigkeiten
Am Anfang der Todo‘s steht die Ermittlung, welche personenbezogenen Daten bzw. auf Personen beziehbare Daten über die Webseite wie und wann erfasst, verarbeitet und gespeichert werden. Das kann nicht nur wichtig für das Anlegen eines „Verzeichnisses von Verarbeitungstätigkeiten“ sein, sondern daraus lassen sich auch weitere Aufgaben ableiten. Zu den personenbezogenen Daten gehören – wie schon oben erwähnt – beispielsweise Name, Geschlecht, Adresse, E-Mail-Adresse, Bankdaten, Steueridentifikationsnummer etc. Zu den auf Personen beziehbare Daten gehören z.B. die Online-Daten wie die IP-Adresse, Browser-Daten, vorher besuchte Seiten, Standortdaten etc., die im Allgemeinen für statistische Zwecke eines Webseitenbesuches genutzt werden. Sollten Dritt- bzw. Subunternehmen potenziellen Zugriff auf diese Daten – also meine Kundendaten haben, so muss mit ihnen ein sogenannter Auftragsdatenverarbeitungsvertrag abgeschlossen werden. Dieser Vertrag regelt den Umgang mit den betroffenen Daten, die Verantwortlichkeiten sowie die Sorgfaltspflicht.
Beispiele von Drittunternehmen, die Zugriff auf bestimmte, personenbezogenen Daten haben könnte:
• Der Hoster der Webseite: speichert u.a. IP-Adressen, Kontaktnachrichten
• Google Analytics oder ein anderer Statistikdienstleister: IP-Adresse, Browserdaten
• Webagentur: sie administriert oder pflegt als Beauftragter einen Webauftritt
• Dienstleister Newsletterversand: er administriert oder steuert als Beauftragter den Newsletterversand für den Auftraggeber
Weiterreichende Infos zum Auftragsdatenverarbeitungsvertrag findet man unter den nachfolgenden Links:
Bayerisches Landesamt für Datenschutzaufsicht
Muster für einen Auftragsverarbeitungsvertrag
Nutzung von Trackingprogrammen
Webseitenbetreiber nutzen gerne sogenannte Tracking-Software wie Google Analytics, eTracker und Co. Diese Software sammelt alle möglichen Daten von den Besuchern einer Webseite. Diese können vom Seitenbetreiber analysiert werden und dienen zur Verbesserung der Webseite und/oder des Angebotes. Die DSGVO gibt strenge Richtlinien zur Verwendung und Speicherung der gewonnenen Daten vor, so müssen sie entweder anonymisiert oder pseudonymisiert werden. Außerdem muss der Webseitenbetreiber den Nutzer einen Opt-Out seiner Tracking-Software anbieten. D.h. der Webseitenbesucher kann das Tracking seiner Daten für diese Webseite abstellen. Wird das Webtracking benutzt, so muss weiter mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung und die eigene Datenschutzerklärung der Webseite anpassen werden.
Weiterführende Links:
E-Recht 24: Google Analytics rechtssicher nutzen
Google Analytics
Cookies
Tracking-Software oder -Tools, Marketingsoftware, Shops etc. nutzen Coockies, um Daten des Webseitenbesuchers zu speichern und sie bei Bedarf wieder abzurufen. Cookies sind kleine Textdateien, die temporär auf dem Rechner des Besuchers über den Browser gespeichert werden. Sie dienen in der Regel dazu, das Web-Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Ein gutes Beispiel sind Cookies beim Online-Einkauf. Hier sorgen die Cookies dafür, dass der befüllte Warenkorb des potenziellen Käufers gespeichert wird. Über eine Einstellung im Browser lässt sich die Verwendung von Coockies recht einfach abschalten. Nur leider sind dann mitunter verschiedene Dienste einer Webseite nicht mehr nutzbar.
Werden nun Coockies verwendet, so muss der Nutzer in der Datenschutzerklärung eindeutig auf Verwendung, Zweck, Widerspruch und Löschung hingewiesen werden. Stand heute ist keine ausdrückliche Einwilligung über einen Banner o. ä. erforderlich, wird aber verschiedentlich empfohlen.
Webseite auf HTTPS umstellen
Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) müssen – sobald personenbezogene Daten übermittelt werden – diese verschlüsselt übertragen werden. Das betrifft besonders die Verwendung von Formulare wie das Kontaktformular, LogIn-Bereiche und Eintragungen für Newsletter etc. Durch die Umstellung auf HTTPS und die Einrichtung eines gültigen SSL-Zertifikats wird die Übertragung der Daten zwischen Webservern und Besuchern verschlüsselt. Dem Missbrauch persönlicher Daten wird dadurch ein Ende gesetzt.
Grundsätzlich empfehle ich die Umstellung auf HTTPS für jede Webseite. So soll Google Websiten, die SSL-verschlüsselt sind, mit einem besseren Ranking belohnen. Außerdem kennzeichnen die Browser Firefox und Chrome HTTPS-übertragene Seiten zusätzlich mit einem grünen Schloss als sicher.
Datenschutzerklärung anpassen
Reichte bisher im Impressum vielleicht ein Absatz mit Informationen zum Datenschutz, so sollte jetzt eine separate Seite mit den relevanten Inhalten erstellt werden. Nur über was muss der Webseitenbetreiber alles informieren und sind meine Infos auch rechtssicher? Nun das können tatsächlich nur Rechtsanwälte auch rechtsverbindlich beantworten. Eine gute Hilfe sind einschlägig bekannte Webseiten von IT-Rechtsanwaltskanzleien, die dort kostenlose Textgeneratoren zum Thema Datenschutz anbieten. Doch Vorsicht, die Ergebnisse der Generatoren sind oft unvollständig oder zu allgemein gehalten. Besser – aber kostenpflichtig – sind die Angebote in geschlossenen Portalen der IT-Anwälte. Sollte man auch da unsicher sein, so hilft nur eine persönliche Beratung bei einem Anwalt.
Interessante Quellen rund um DSGVO und die Datenschutzerklärung:
E-Recht 24
RA Dr. Schwenke