Die Bedeutung der Datenschutzgrundverordnung für Websitebetreiber

Eine Zusammenstellung der wichtigsten To-Dos, mit Tipps und weiterführenden Links

Vieles ist klar, manches noch nicht. Sicher ist, dass ab dem 25. Mai 2018 die Datenschutz-Grundverordnung der EU (DSGVO) nach einer zweijährigen Übergangsfrist in Kraft tritt und damit die national gültigen Bestimmungen europaweit vereinheitlicht und ersetzt. Betroffen sind alle, die automatisiert personenbezogene Daten verarbeiten, also vor allem Unternehmen, Freelancer und Selbständige. Die Veränderungen betreffen den Umgang mit personenbezogenen Daten, sowohl im eigenen Unternehmen als auch im Austausch mit Dienstleistern und Kunden. Für Websitebetreiber ist Handlungsbedarf angesagt, auch wenn die deutschen Normen bereits sehr streng gefasst sind und wir mit dem Thema Datenschutz recht vertraut sind. 

Nachdem ich mich seit Wochen eingehend mit dem Thema beschäftige, unzählige Blogs, Handlungsempfehlungen und Mustervertragspakete studiert habe, möchte ich hier eine Übersicht der wichtigsten Punkte und anstehenden Aufgaben für Websitebetreiber bieten.

 

Personenbezogene Daten

Worum geht es eigentlich? Um die ausführliche Darstellung der Art und Weise, wie wir personenbezogene Daten unserer Websitebesucher erheben, verarbeiten und schützen. Alle Daten, die zweifelsfrei zur Identifikation einer natürlichen Person führen können, sind personenbezogene Daten. Hierzu zählen z.B. Name, Anschrift, Geburtsdatum, E-Mail-Adresse, Personalausweisnummer, Bankverbindung, Zeugnisse, Login-Daten und auch die IP-Adresse.

 

Vertrag zur Auftragsverarbeitung (AV-Vertrag)

Nach der DSGVO ist die Verarbeitung personenbezogener Daten dann zulässig, wenn diese rechtmäßig ist. Vereinbart wird dies im Vertrag zur Auftragsverarbeitung (AV-Vertrag), der mit allen Personen, Firmen und Serviceanbietern, die im eigenen Auftrag Daten verwalten und/oder verarbeiten abgeschlossen werden muss. Dabei soll sichergestellt werden, dass die Verarbeitung personenbezogener Daten datenschutzkonform erfolgt. Typischerweise sind das Firmen wie Google, wenn man z.B. Google Analytics für Statistikzwecke verwendet, der Serviceprovider, der letztlich die Daten verarbeitet, aber auch der Newsletter-Dienstleister wie z.B. Mailchimp.

 

Verzeichnis der Verarbeitungstätigkeiten (VV)

Ein wichtiger Hauptkern der DSGVO ist die verschärfte Dokumentations- und Rechenschaftspflicht. Es gilt zu belegen, dass ein Nutzer seine ausdrückliche Zustimmung für das Speichern und Verwenden seiner Daten zu einem bestimmten Zweck gegeben hat. Genau dies muss in Zukunft zweifelsfrei und nachweisbar sein. Hier kommt das Verzeichnis von Verarbeitungstätigkeiten (VV) ins Spiel, aus dem hervorgehen muss, wie personenbezogene Daten verarbeitet werden, wer Zugriff darauf hat und wie die Daten geschützt werden. Alle Prozesse, in denen personenbezogene Daten im Unternehmen verarbeitet werden, müssen hier dokumentiert und bei Verlangen den zuständigen Behörden vorgelegt werden.

 

TOM

Das Verzeichnis der technischen und organisatorischen Maßnahmen (TOM) ist ein weiteres Muss der Dokumentationspflicht. Hierin werden die getroffenen Schutzvorkehrungen festgehalten, die eine sachgemäße Verarbeitung personenbezogener Daten gewährleisten. Dies reicht bis hin zur Planung geeigneter Maßnahmen bei Datenpannen.

 

SSL – Verschlüsselung: Umstellung von HTTP auf HTTPS

In der Regel bieten Webseiten wenigstens ein Kontaktformular und/ oder die Möglichkeit, einen Newsletter zu abonnieren. In beiden Fällen werden personenbezogene Daten erhoben, für deren Sicherheit der Seitenbetreiber verantwortlich ist. Um eine sichere Verbindung vom Browser des Nutzers zum eigenen Server zu ermöglichen bedarf es der sogenannten SSL-Verschlüsselung. Hierfür erwirbt man ein entsprechendes Zertifikat bei seinem Hoster, bindet es in die eigene Website ein und richtet eine 301-Weiterleitung von http nach https ein. Solche Webseiten werden im Browser mit einen kleinen grünen Schloss in der Browserleiste als sicher gekennzeichnet. Ein weiterer Vorteil der SSL-Verschlüsselung ist das bessere Ranking solcher Seiten bei Google.

 

Impressum und Datenschutzerklärung

Jede Website, die nicht rein privat ist, braucht zwingend ein Impressum und eine Datenschutzerklärung. Beide Unterseiten müssen von jeder Seite aus direkt erreichbar sein.
Ins Impressum gehören die Angaben zum Seitenbetreiber im Sinne des § 5 Telemediengesetz (TMG) und die Bildnachweise. Neuen Empfehlungen zu Folge sollten die Themen Streitbeilegung und Streitschlichtung ebenfalls im Impressum erwähnt werden.
Die Datenschutzerklärung muss über Art, Umfang und Zweck der Erhebung und Verwendung von personenbezogenen Daten informieren. Sie muss Auskunft geben über Rechtsgrundlagen, Speicherdauer und Rechte der Betroffenen. Alle auf der Website integrierten Dienste müssen hier aufgelistet werden.
Falls Sie bereits ein Impressum und eine Datenschutzerklärung auf Ihrer Website integriert haben müssen Sie diese möglicherweise den neuen Bestimmungen anpassen.

 

Einwilligung des Nutzers bei der Newsletter-Anmeldung

Ein sogenannter „Double-Opt-In“ ist ein bewährtes Mittel um nachweisen zu können, dass man die Person auf die Nutzung seiner Daten und den Zweck der Nutzung hingewiesen hat, da die Nutzung bzw. Verarbeitung der Daten immer zweckgebunden sein muss. Darunter versteht man, dass die Verwendung der Daten ausschließlich zu dem Zweck geschieht, für den auch die Einwilligung eingeholt wurde. Beim Double-Opt-in muss zusätzlich zur eigentlichen Anmeldung eine Bestätigungs-E-Mail gesendet werden, die dem Anbieter als Nachweis zur Zustimmung der Verarbeitung der personenbezogenen Daten dient.

 

Kontaktformular

Hier dürfen nur noch die zwingend notwendigen Informationen nach dem Grundsatz der Datensparsamkeit abgefragt werden. Zusätzlich muss der Nutzer über die Verwendung seiner Daten vor Versenden aufgeklärt werden.

 

Kopplungsverbot

Die Angebote einer Website, wie z.B. der Download eines Freebies oder das Anschauen eines Videos darf nur noch zwangfrei erfolgen. Die übliche Praxis, diese Angebote gegen Herausgabe einer E-Mail-Adresse zu tauschen, ist nicht mehr erlaubt und stellt einen Verstoß gegen das Kopplungsverbot der DSGVO dar.

 

Cookies

Die Cookie-Richtlinie besagt, dass man sich vom Besucher einer Website die Zustimmung zur Speicherung von Informationen einholen muss, die beim Setzen von Cookies entstehen . Dies kann man mithilfe eines Cookie-Hinweises umsetzen, der beim ersten Aufruf einer Seite angezeigt wird und durch Klick bestätigt werden kann. Hier sind jedoch noch Änderungen im Zuge der geplanten ePrivacy-Richtlinie zu erwarten, die vermutlich erst 2019 in Kraft tritt.

 

Tracking und Onlinemarketing-Aktivitäten

Um das Tracking durch Google Analytics weiterhin nutzen zu können, muss in der Datenschutzerklärung gezielt auf die Nutzung des Dienstes hingewiesen und die erfassten IP-Adressen anonymisiert werden. Dem Nutzer muss aber zusätzlich eine Abmeldemöglichkeit geboten werden, ein sogenanntes Opt-Out. (Um herauszufinden, welche Tracking-Technologien auf einer Website eingesetzt werden, ist die Browsererweiterung „ghostery“ nützlich.)

 

Social Media

Der Einsatz von Social-Sharing-Buttons ist grundsätzlich erlaubt, sofern der Websitebesucher dem zustimmt. Problematisch ist allerdings, dass oft bereits beim Laden der Website im Hintergrund Daten abgerufen werden, also bevor noch die Einwilligung eingeholt werden kann. Es zeichnet sich daher der Einsatz des sogenannten „Shariff-Buttons“ ab, ein als Open Source kostenlos zur Verfügung gestelltes Plugin, das erst dann die Verbindung zwischen Websitebesucher und der Social-Media-Plattform herstellt, wenn dieser Button angeklickt wird.

 

Datenschutzbeauftragter

Und falls ihr Unternehmen mehr als 10 Personen beschäftigt, die personenbezogene Daten verarbeiten, und das sind in der Regel die meisten Mitarbeiter, dann müssen Sie ab dem 25. Mai einen eigenen Datenschutzbeauftragten benennen, der mit Namen und Kontaktdaten in der Datenschutzerklärung aufgelistet sein muss.

 

Was kann man nun tun?

Die Einhaltung der Datenschutzrichtlinien ist Chefsache. Entweder erledigen Sie oder ein Mitarbeiter alle anstehenden Aufgaben selbst, da Sie über das entsprechende rechtliche und technische Know-How verfügen, oder Sie bitten Ihren Webentwickler, Webdesigner oder Ihre Webagentur um Unterstützung. In beiden Fällen kann es hilfreich sein, den Rat eines Datenschutzbeauftragten einzuholen oder einen Fachanwalt für Datenschutz und IT-Recht zu Rate zu ziehen.

 

Weiterführende Links:

Gesetzestext DSGVO: https://dsgvo-gesetz.de
Fachanwalt Dr. Thomas Schwenke: https://drschwenke.de
Fachanwalt Dr. Carsten Ulbricht: http://www.rechtzweinull.de
Tools und DSGVO-Schnellstarter Paket: https://www.e-recht24.de
Datenschutzkonforme Social-Media-Buttons „shariff“: https://www.heise.de
Browsererweiterung zum Aufspüren verwendeter Tracking-Technologien: https://www.ghostery.com

 

Disclaimer: Da ich keine Juristin bin, stellt dieser Beitrag keine Rechtsberatung dar und kann diese auch nicht ersetzen. Eine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen kann ich daher nicht übernehmen. Die zur Verfügung gestellten Informationen und Linktipps werde ich nach Möglichkeit aktuell halten und über wesentliche Veränderungen berichten.

Gerne erstelle ich eine datenschutzkonforme Website für Sie!