Datenschutzgrundverordnung

Datenschutz-
grundverordnung

Der 25. Mai 2018 ist für alle europäischen Website-Betreiber und diejenigen, die mit Daten von EU-Bürgern in Kontakt kommen, ein wichtiges Datum. Denn dann tritt die neue EU-Datenschutzreform, kurz DSGVO, in Kraft. Verstöße gegen die DSGVO können ab da an mit Abmahnungen und hohen Geldbußen geahndet werden. Sofern Sie Ihre Webseite nicht an die neuen Regelungen angepasst haben.

Wir geben Ihnen einen Überblick über die Datenschutznovelle und unterstützen Sie bei der Umsetzung in Ihrer Webseite.

Die DSGVO wurde verabschiedet, um den ungehemmten Austausch personenbezogener Daten in der EU zu regulieren, um das Schutzrecht für personenbezogene Daten in Onlinediensten auszuweiten und so die Rechte von Internetnutzern zu stärken. Mit der DSGVO werden die Erhebung, die Speicherung, die Verarbeitung und die Weitergabe personenbezogener Daten erstmals europaweit einheitlich geregelt.

Was sind personenbezogene Daten?

Personenbezogene Daten gemäß DSGVO sind alle Arten von Daten, die eine Person identifizierbar machen, darunter fallen in erster Linie klassische Angaben wie:
Vorname, Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstage, Kontoverbindungen etc.

Als personenbezogene Daten gemäß DSGVO gelten aber auch:
Online-Kennungen, wie z.B. Standortdaten, IP-Adressen, Cookies etc., da auch diese für eine personenbezogene Identifikation genutzt werden können.

Welche Webseiten betrifft die DSGVO?

Fast jede Webseite von der DSGVO betroffen. Warum?
Der erweiterte Begriff von personenbezogenen Daten hat die weitreichende Konsequenz, dass unter diesen Begriff jetzt auch Online-Kennungen, wie Standortdaten, IP-Adressen, Cookies etc. fallen.

IP-Adressen von Website-Besuchern
Bei jedem Aufruf einer Webseite wird die IP-Adresse des Besuchers übermittelt, diese kann z.B. in einer Logfile-Datei gespeichert werden.

Kommentarfunktionen
Wenn Besucher auf Ihrer Webseite Seiten oder Beiträge kommentieren können, werden E-Mail-Adressen und Benutzernamen/Nicknames auf Ihrer Seite gespeichert.

Kontaktformulare
In Kontaktformularen geben Besucher nicht nur persönliche Daten wie Name, Anschrift, E-Mail-Adresse etc., sondern auch sensible Daten wie Kreditkartennummern und Kontoverbindungen ein.

Newsletter-Anmeldungen
Bei Newsletter-Anmeldungen werden standardmäßig die E-Mail-Adresse und darüber oft auch weitere persönliche Daten wie Name und Vorname etc. erhoben.

Tracking und Cookies
Nutzen Sie Cookies, um das Nutzerverhalten auf Ihrer Webseite zu analysieren? Auch die mit einem Cookie gesammelten Daten können Rückschlüsse auf eine konkrete Person liefern und unterliegen daher ebenfalls der DSGVO.

Social Media Plugins
Viele Social Media Plugins übermitteln automatisch Benutzerdaten an Soziale Netzwerke. Nach der DSGVO ist dafür allerdings die ausdrückliche Einwilligung des Nutzers erforderlich. Achten Sie daher auf ein datenschutzkonformes Social Media Plugin.

Diese Beispiele zeigen, dass sich praktisch jeder Website-Betreiber auf die Anforderungen der neuen Datenschutz-Grundverordnung einstellen muss. Wir haben Ihnen die wichtigsten Punkte zusammengestellt.

Der 8-Schritte-Plan zur Umsetzung der EU-DSGVO auf Ihrer Website

1. Aktualisieren der Datenschutzerklärung!
Kurz zusammengefasst muss darin unter anderem über folgende Aspekte Auskunft geben werden:

  • alle Zwecke der Datenverarbeitung,
  • den Namen und Kontaktdaten des Verantwortlichen und auch des Datenschutzbeauftragten,
  • die gesetzliche Legitimation für die Datenverarbeitung,
  • die Empfänger der Daten,
  • die Speicherfrist oder Kriterien, um die Frist zu bestimmen,
  • die Absicht, die Daten an Dritte weiterzugeben, ev. auch in einem Drittland oder international,
  • die Rechte auf Auskunft, Löschung usw. und
  • das Beschwerderecht bei der Datenschutzaufsichtsbehörde.

2. Nutzen Sie ein SSL-Zertifikat und stellen Sie Ihre Website auf HTTPS um!

3. Stellen Sie Ihre E-Mail-Accounts auf SSL-Verschlüsselung um!

4. Erstellen eines Verzeichnises der Verarbeitungstätigkeiten! (Bei Unternehmen ab 250 Mitarbeiter)
Alle Unternehmer müssen dieses Verzeichnis führen. Ausgenommen sind hiervon lediglich Unternehmen mit weniger als 250 Mitarbeitern, die nur in beschränktem Umfang und unkritische Daten verarbeiten (Art. 30 Abs. 5 DS-GVO).

5. Bei Einsatz von Google Analytics - Schließen Sie mit Google einen Vertrag!
Neben dem verpflichtenden Hinweis auf den Einsatz von Google Analytics sowie einer inkludierten Opt-Out-Möglichkeit müssen Sie einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Die entsprechende PDF-Vorlage finden Sie hier. Den Vertrag drucken Sie zweimal aus und schicken ihn unterschrieben an Google Irland (Adresse im Dokument).

Es gibt aber auch eine einfachere Möglichkeit: Sie können die Vereinbarung direkt in Ihrem Google Analytics Account schließen. Dort gehen Sie in Ihre > Kontoeinstellungen, scrollen bis nach unten und klicken auf „Zusatz anzeigen“. Dann stimmen Sie dem Zusatz zu und speichern alles am Ende der Seite ab.

6. Installieren einer Google-Analytics-Opt-Out-Option! 
Die Opt-Out-Funktionalität lässt sich bei WordPress zum Beispiel mit einem Plugin wie GA Opt-Out realisieren, aber auch im Google Analytics Plugin findet man unter „Tracking Code“ eine Option dafür. Sinnvollerweise wird der entsprechenden Code an passender Stelle innerhalb der Datenschutzbestimmungen eingebaut.

7. Anonymisierund der Google Analytics IP!
Das anonymisieren der IPs, hängt von der Art der Tracking-Code-Einbindung ab. Ist der Tracking-Code direkt eingebunden, fügt man die Funktion anonymizeIP zu. WordPress Plugins (GA Dashboard for WordPress) verfügen in der Regel über eine entsprechende Option. Die dritte Möglichkeit ist die entsprechende Konfiguration des Tag Managers.

8. Nicht die Kommentarfunktion vergessen! (Nur bei Seiten mit Kommentarfunktion z.B. Blogs)
Ein Hinweis zur Datenspeicherung (idealerweise mit Link auf die Datenschutz-Policy) muss auch an dieser Stelle angebracht werden, obwohl Ihre User freiwillig kommentieren. Mit einer Checkbox, implementiert als Custom Field mit WP Discuz, gehen Sie auf Nummer sicher.

Einfach alle personenbezogenen Daten entfernen!
Dieser letzte Tipp ist natürlich eher als Scherz gemeint. Allerdings: Wer Fehlern und Abmahnungen vollkommen aus dem Weg gehen möchte, der entfernt am besten Banner, Analytics Features und Formulare. Gleichzeitig fallen damit auch alle Vorteile weg, die das Online-Marketing bietet.

Was ist das Ziel der DSGVO?

Das Ziel der Datenschutz-Reform ist es, europaweit einheitliche Rahmenbedingungen zu schaffen. So soll eine größere Rechtssicherheit beim Umgang mit personenbezogenen Daten entstehen, um mit Daten achtsamer umzugehen. Die Verordnung betrifft jeden Website-Betreiber, der mit personenbezogenen Daten arbeitet, vom Konzern bis zum Einzelunternehmen.

Kurze Einführung in die EU-DSGVO

Zwei Seiten der Medaille: wirtschaftliche und persönliche Interessen gleichermaßen im Blick
Obwohl die DSGVO zwar erhöhte Pflichten und hohe Bußgelder bei Verstoß mit sich bringt, berücksichtigt sie auch wirtschaftliche Interessen. So erschwert sie auf der einen Seite die Einholung einer Einwilligung, verpflichtet zur Datenportabilität und stellt klar, dass pseudonyme Cookies und IP-Adressen als „Online-Kennungen“ personenbezogene Daten sind.

Allerdings schreibt sie auf der anderen Seite den freien Verkehr von Daten und damit wirtschaftliche Interessen im Artikel 1 fest. Das Abwägen zwischen berechtigten wirtschaftlichen Interessen und dem Schutz von Personendaten wird zum entscheidenden Aspekt der zukünftigen gesetzlich erlaubten Datenverarbeitung.

Die Theorie der DSGVO: die Key-Facts
Basis der neuen Regelungen sind die bisherigen Grundprinzipien des Datenschutzes. Sie lauten:

„Jede Datenverarbeitung muss rechtmäßig erfolgen, anhand vorab festgelegter Zwecke, transparent, in möglichst geringem Umfang und soll die Daten vor unberechtigter Veränderung sowie Verlust schützen.“

Im Detail gehören zu den Grundsätzen für die Verarbeitung personenbezogener Daten laut Art. 5 DSGVO u.a. zudem:

  • Rechtmäßigkeit: Sie dürfen Daten nur entsprechend dem Gesetz verarbeiten.
  • Transparenz: Betroffene müssen die Verarbeitung ihrer Daten nachvollziehen können, was vor allem eine verständliche und vollständige Datenschutzerklärung erfordert. Die Informationspflichten wurden mit Art. 13 und 14 DSGVO erhöht.
  • Verbot mit Erlaubnisvorbehalt: Das bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer wenn sie per Gesetz erlaubt wurde.
  • Zweckbindung: Das Gebot der Zweckbindung soll dafür sorgen, dass Daten nur für den vereinbarten Zweck verarbeitet werden. Sie müssen also im Vorfeld definieren, wofür Sie Daten nutzen möchten. Dies wird dann dokumentiert. Eine nachträgliche Zweckänderung ist nur möglich, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art 6 Abs. 4 DSGVO).
  • Datenminimierung und Speicherbegrenzung: Unternehmen dürfen nur die Daten erheben, die sie für den jeweiligen Zweck brauchen. Daten auf Vorrat zu speichern, ist verboten. Eine Identifizierung der Personen darf nur solange ermöglicht werden, wie es für den entsprechenden Zweck nötig ist. (Art. 5 Abs. 1 lit. c und e DSGVO).
  • Integrität und Vertraulichkeit: Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

Privacy by Design und Privacy by Default per Gesetz festgeschrieben

Neu zu den genannten Grundprinzipien kommen im Artikel 25 DSGVO die Prinzipien „Privacy by Design“ und „Privacy by Default“ hinzu. „Privacy by Design“ bedeutet, dass Datenschutzmaßnahmen bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden müssen. „Privacy by Default“ meint, dass zum Beispiel die Voreinstellungen bei Geräten oder bei Onlineplattformen standardmäßig die höchste Datenschutzstufe haben sollen.

Sie müssen jederzeit Nachweise über Ihre Datenverarbeitungsprozesse führen und belegen, dass deren Zwecke, Art und Umfang und risikomindernde Maßnahmen wie „Privacy by Design“ dokumentiert und die Zulässigkeit geprüft worden sind. Denn eine der weitreichendsten Änderungen ist die Umkehr der Beweislast. So müssen Behörden nicht mehr Verstöße gegen den Datenschutz nachweisen, sondern Sie müssen als Unternehmen belegen, dass Sie die Regeln einhalten – eine 180-Grad-Wende.

In eigener Sache:

Rechtlicher Hinweis

Unser Artikel gibt Ihnen einen Überblick über die wichtigsten Punkte der DSGVO. Er ist allerdings kein Ersatz für eine Rechtsberatung. Dies gilt auch für die unterstützenden Maßnahmen. Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen lassen Sie sich am besten von einem Anwalt oder Datenschutzbeauftragten beraten.

Übrigens:

Wir empfehlen Ihnen, weniger sensible Personendaten nicht lockerer zu handhaben: Schon nach bisher geltendem Recht müssen Personen der Verwendung zustimmen, allerdings war die Zustimmung bei (Online-)Formularen bereits vorausgewählt. Neu: Dem Speichern auch nicht sensibler Daten müssen User durch eindeutige Handlung zustimmen.

Fazit:

Die EU-DSGVO ist umfangreich, so dass Sie schnellstens damit anfangen sollten Ihre Website umzustellen. Denn bei Verstößen oder Unterlassung drohen zum Teil drakonische Strafen, die bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes eines Unternehmens betragen können – je nachdem, welcher Betrag höher ist. Auch wenn die Umsetzung der Datenschutznovelle umständlich ist, nehmen Sie sie ernst, auch als Website-Betreiber ohne Onlineshop und Zahlungsverkehr.