• Agentur für Webdesign - Balance of Communication

Die neue EU-Datenschutz-Grundverordnung (DSGVO)

Die neue EU-Datenschutz-Grundverordnung (DSGVO)

1000 500 Face & Content

Als Webseitenbetreiber müssen Sie mit der neuen EU DSGVO Ihre Datenschutzerklärung anpassen und eventuell auch Teile Ihres Webangebotes. Die bereits 2016 verabschiedete Verordnung wird ab dem 25. Mai 2018 von allen EU-Ländern angewendet werden. Versäumen Sie bis zu diesem Termin nicht gemäß den Vorgaben Ihre Webinhalte auszugestalten.

Sie erfahren in diesem Beitrag, was neu ist und was es nun tatsächlich für Ihre Website bedeutet. Mithilfe einer Checkliste können Sie schneller Ihre Entscheidung treffen. 

Primär geht es in der Datenschutzgrundverordnung  um die Behandlung personenbezogener Daten, mit denen eine Person identifiziert werden kann. Die DSGVO regelt den Umgang mit diesen Daten. Unternehmen, Organisationen, beauftragte Dienstleister oder andere, die personenbezogene Daten sammeln, müssen diesen Vorgaben gerecht werden. Laut Verordnung zählen zu den personenbezogenen Daten:

  • Name
  • Geburtsdaten
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • IP-Adressen
  • Cookies
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten

 

Eine neue Verordnung wirft neue Fragen auf

Dieser Artikel kann Ihnen unterstützend helfen sich zum Thema eine klare Meinung zu bilden und daraus eigene Schlüsse zu ziehen. Beachten Sie bitte, dass dieser Beitrag keine rechtliche Beratung darstellt. Dazu bin ich als Nichtjuristin nicht befähigt. Alle Informationen kann ich nur ohne Gewähr anbieten. Ich möchte Sie auf Ihre Sorgfaltspflicht hinweisen und Sie darin erinnern, dass jeder Seitenbetreiber für die bereitgestellten Inhalte selbst verantwortlich ist. Es obliegt Ihnen zu entscheiden, wie Sie verfahren. Im Zweifelsfalle rate ich, nutzen Sie eine Beratung beim Juristen.

Eine professionelle Beratung erhalten Sie bei Fachjuristen, die sich auf diese Themen spezialisiert haben. In der Regel lässt sich ein entsprechender fachkundiger Jurist leicht im Internet ausfindig machen, da dieser sich auch meist sehr gut auf Onlinemarketing versteht und in den Suchergebnissen nicht weit hinten zu finden sein wird.

Wer sich zunächst selbst informieren möchte, hat dazu ausreichend Gelegenheit im Internet. Ich empfehle Ihnen dazu die Seiten der Deutschen Gesellschaft für Datenschutz (DGD). Dort finden Sie auch einen Datenschutzgenerator der DGD, der Ihnen Ihre Datenschutzerklärung erstellt und wenn erforderlich, den Text auch in Englisch generiert. (Weitere Links zu Datenschutzgeneratoren finden Sie in meiner Auflistung verschiedener Links ganz am Ende dieses Blogbeitrages.) Sehr nutzerfreundlich und sprachlich gut umgesetzt emfinde ich die Aufbereitung des Themas Datenschutzes durch den Berufsverband der Rechtsjournalisten e.V.. Schauen Sie am Ende meines Beitrags in die Linkliste zum Thema. Hier habe ich alle Links, die ich empfehle, übersichtlich gelistet .

DSGVO

 

Datenschutz-Grundverordnung

Informieren Sie sich über die DSGVO immer erst auf offiziellen Seiten. Meinungen jeglicher Autoren und Blogautoren (mich eingeschlossen) sind subjektive Einschätzungen, trotz aller sachlicher und objektiver Bemühungen. Am Ende meines Artikels habe ich Ihnen Links zusammengestellt, die Ihren Wissendurst auf spezielle Sachverhalte befriedigen werden. Allumfänglich werden Sie natürlich auch informiert, wenn Sie sich die Datenschutz-Grundverordnung selbst vornehmen und lesen. Sie ist, wie ich finde, in einem allgemeinverständlichen Deutsch verfasst. Sicher wird sie nicht zur Lieblingslektüre, aber der Inhalt betrifft Sie als Webseitenbetreiber in besonderem Maße. Geben Sie sich einen Ruck. Es schadet nicht, sich ab und an auf den Stand zu bringen. Viele Vorschriften sind einem zwar bekannt aber dämmern halbvergessen im Hinterstübchen.

Was genau ist nun aber neu in der EU DSGVO? Welche Bestimmungen hat man neu oder in besonderer Weise zu berücksichtigen? Eins fällt sofort ins Auge – die deutliche Bußgelderhöhung! Damit soll sichergestellt werden, dass bei jedem Einzelfall die Strafzahlung wirksam, verhältnismäßig und abschreckend ist. Wer über die Bußgeldhöhen mehr lesen möchte, folgt diesem Link.

Die deutschen Datenschutzbestimmungen waren schon zuvor streng verfasst. Das kann Ihnen ein kleiner Trost sein. Die neue DSGVO, die nun für alle EU-Mitgliedstaaten gelten soll, stellt für deutsche Unternehmen keine sehr große Hürde in der Berücksichtigung der Datenschutzbestimmungen dar, da viele Aspekte bereits jetzt schon erfüllt werden. Aber lesen Sie selbst, was es neu zu beachten gibt!

Für eine Vollständigkeit meiner Listenpunkte übernehme ich keine Haftung.

 

1.       Die Rechenschaftspflicht

Artikel 5 Absatz 2


2.       Neudefinierung der Vorgaben zur Einwilligungserklärung egal ob sie online oder offline umgesetzt wird, Beschreibung des sogenannten Kopplungsverbotes sowie Ausformulierung bei Einwilligungserklärungen von Minderjährigen

Artikel 7

Artikel 8


3.       Recht auf Vergessenwerden (Recht auf Löschung eigener Nutzerdaten)

Artikel 17


4.       Recht auf Datenübertragbarkeit (Datenportabilität)

Artikel 20


5.       Verpflichtung zur Führung eines Verzeichnisses aller Tätigkeiten, die der Datenverarbeitung zuzuschreiben sind

Artikel 30


6.       Neuformulierter Grundsatz der Datensicherheit

Artikel 32


7.       Ausformulierung und Erweiterung der Vorgaben für Ihre Datenschutzerklärung auf der Website

Datenschutzgenerator

 

 

Checkliste: Was bedeutet das konkret für Ihre Website?

Wenn es datenschutzrechtlich konkret um Ihren Webauftritt geht, sollten Sie sich zunächst folgende Fragen stellen ungeachtet dessen, ob es bestehende oder neue Regelungen einzuhalten gilt.

  • Biete ich Kontaktmöglichkeiten, wie es z.B. das klassische Kontaktformular darstellt, an und erfüllen diese in ihrer technischen Umsetzung die Vorgaben der Datenschutzrichtlinien?
  • Erhebe ich personenbezogene Daten über Anmelde- oder Bewerbungsformulare? Wie umfänglich sind sie und erfüllen sie die Vorgaben der Datenschutzrichtlinien?
  • Sammle ich über meine Website in anderer Form personenbezogene Daten, wie z.B. über die Kommentarfunktion von Blogbeiträgen?
  • Können sich Seitenbesucher für einen Newsletter eintragen?
  • Verwende ich ein Analysetool, das ermöglicht Besucherströme auszuwerten?
  • Ist meine Website verschlüsselt?
  • Über Dienste Dritter, wie beispielsweise durch Social Media Buttons, können Schlupflöcher entstehen, die das unbemerkte Abgreifen personenbezogener Daten ermöglichen. Sind auf meiner Website Social Media Button installiert?
  • Betreibe ich Affiliate Marketing und kommt zur Provisionierung von Werbeleistung das bislang gängige Cookie Tracking zur Anwendung?
  • Sind Einwilligungen gekoppelt an Download-Optionen sogenannter Freebees?
  • Läuft die Website mit einem CMS wie z.B. WordPress und nutze ich Dienste/Plugins?

Erkennen Sie sich in diesen Fragen, dann sind Sie den Datenschutzrichtlinien verpflichtet und müssen als Website-Betreiber dafür Sorge tragen, dass Ihr Angebot den Vorgaben der DSGVO entspricht.

Ich will versuchen auf die oben gestellten Fragen Antworten zu geben. Nicht für jeden Fall kann hier eine individuell skizzierte Lösung angeboten werden. Und schlussendlich ist es an jedem mündigen Bürger über die eigenen Risiken seines Angebotes und Handelns abzuwägen.

 

Was muss ich in Bezug auf meine Website unternehmen?

 

Anpassen der Datenschutzerklärung

Erneuern Sie den Inhalt Ihrer Datenschutzerklärung. Achten Sie darauf, dass nicht alle im Internet angebotenen Datenschutzgeneratoren tatsächlich schon nach den neuen Vorgaben der Datenschutz-Grundverordnung Ihnen eine Datenschutzerklärung generieren. Der Generator der Deutschen Gesellschaft für Datenschutz ist auf die neue Verordnung eingerichtet.

 

Kontaktmöglichkeiten, wie z.B. ein Kontaktformular

Wer ein Kontaktformular einsetzt, muss seine Website verschlüsseln, damit die versendeten Daten nicht abgegriffen werden können. Man kann (ob es ein Muss ist, wird diskutiert) dem Versender der Daten das Setzen eines Häkchens (Checkbox) zur Datenverwendung/-speicherung anbieten. Zumindest sollte man jedoch darauf hinweisen, dass die versendeten Daten verarbeitet und gespeichert werden, indem man auf seine Datenschutzerklärung verlinkt. Durch anklicken der Checkbox kann der Hinweis zur Datenschutzerklärung nicht mehr  übersehen werden.

 

Anmelde- und Bewerbungsformulare

Anmeldeformulare oder Bewerbungsformulare werden gerne eingesetzt. Widerstehen Sie der Versuchung mehr Details zu einem Sachverhalt oder einer Person abzufragen, als es als zweckmäßig einzuschätzen ist. Halten Sie sich an das Gebot der Datenminimierung. Dabei sollen nur Informationen abgefragt werden, die dem Zweck angemessen und erheblich sind. Beschränken Sie sie auf das notwendige Maß. Auch hier müssen die technischen Einstellungen wie beim Kontaktformular (Zustimmungshäkchen und Link zur Datenschutzerklärung) umgesetzt werden.

 

Kommentarfunktion von Blogbeiträgen

Content Management Systeme, also Websites mit eigenständig vom Seitenbetreiber editierbaren Inhalten, speichern die Mailadresse und oft auch die IP der Kommentatoren. Damit ist faktisch die Identifizierung einer Person möglich. Hier sollte zumindest in der Datenschutzerklärung darauf hingewiesen werden, dass der Kommentator personenbezogene Daten hinterlässt. Weitere Maßnahmen finden Sie im Gastautorenbeitrag ‚Checkliste WordPress: Den Datenschutz wahren!‚ von Jenna Eatough.

 

Newsletter

Wer schon zuvor den hierbei strengen Vorgaben gerecht wurde, hat bei der Verwendung eines Newsletters seine Pflicht getan. Es ist darauf zu achten, dass der Versand des Newsletter eine eindeutige Einwilligung  durch Double Opt-In erfordert. Prüfen Sie, ob Ihr verwendeter Newsletter-Services die Anforderungen der DSGVO erfüllt. Erörtern Sie in Ihrer Datenschutzerklärung mit welchem Newsletter-Service Sie arbeiten und verweisen wiederum auf deren Umgang mit personenbezogenem Daten.

Schließen Sie mit dem Newsletter-Service einen Auftragsdatenverarbeitungs-Vertrag (ADV-Vertrag), auch Auftragsverarbeitungs-Vertrag (AVV). Dieser ist erforderlich, wenn ein Unternehmen in Ihrem Auftrag Daten verarbeitet und somit ein „Auftragsverarbeiter“ ist. Das trifft bei Newsletterdiensten zu. Informieren Sie sich bei Ihrem Dienst über die Umsetzung des Vertragsabschlusses. Einige bieten ihn direkt im Anwender-Account zum Abschließen an.

 

Analysetools

Grundsätzlich ist festzuhalten, dass jeder Analyse-Service nur mit der Bereitstellung von Daten funktioniert. Die Daten der Besucher müssen also zur Verfügung gestellt werden. Gehen Sie den Vorgängen nach und bringen Sie in Erfahrung, was mit diesen Daten geschieht. Werden die Daten durch diesen Service genutzt, weitergeleitet und zu weiteren Erhebungen verwendet? Die Datenschutzerklärung des Analyseservice gibt darüber Auskunft. Dieser eingesetzte Service, der das Weiterleiten personenbezogener Daten beinhaltet, muss per Vertrag geregelt werden (Auftragsdatenverarbeitungsregelung). Nicht erst die neuen Richtlinien beschreiben Vorgaben in der Verwendung solcher Services wie Google Analytics. Schon lange gibt es dafür eine Regelung, die den Einsatz nach aktuellem Datenschutzrecht ermöglicht. Eine Weitergabe der IP-Adresse z.B. muss hierbei anonymisiert stattfinden. Schaffen Sie dafür die technischen Grundlagen.

 

Verschlüsselte Website

Eine verschlüsselte Website gilt inzwischen als Mindestanforderung, wenn Sie  personenbezogene Daten abrufen über Kontaktformulare und weitere. Es stehen einer verschlüsselten Website keine Gründe mehr entgegen. Es entspricht dem aktuellen Stand der Technik, die Einrichtungskosten sind verhältnismäßig und die Art, der Umfang, die Umstände und Zwecke der Verarbeitung fordern in der Regel eine Verschlüsselung. Somit gibt es keine haltbaren Gründe mehr, die eine unzumutbare Hürde darstellen, wenn es um verschlüsselte Websites geht. Inzwischen bietet jeder Webhoster eine Umstellung auf HTTPS an mit entsprechenden Anleitungen zur selbstständigen Umsetzung.

 

Social Media Buttons

Die Share-Buttons der Social Media Plattformen sind selten datenschutzkonform. Achten Sie darauf, dass Sie Plugins an dieser Stelle verwenden, die Ihnen diese Datenschutzkonformität garantieren.

Facebook beispielsweise sammelt über herkömmliche Like-Buttons Daten ohne Wissen der Nutzer und das bereits mit einfachem Aufrufen einer Website. D.h. Sie müssen gar nicht den Button klicken, um den Datenabruf anzuschieben. Das geschieht automatisch mit dem Aufrufen einer Website, die herkömmliche Social Media Buttons einsetzt. Ein Hinweis auf Funktionen der Social Media Buttons in der Datenschutzerklärung reicht schon längst nicht mehr aus.

Ich empfehle für WordPress-Anwender das Plugin Shariff Wrapper. Es verspricht Datenschutzkonformität.

 

Affiliate Marketing

Im Art. 6 Abs. 1 f in der DSGVO wird sich zum Thema geäußert: die Verarbeitung personenbezogener Daten ist auch ohne Einwilligung des Users zulässig, wenn die Datenverarbeitung zur Wahrung berechtigter Interessen erfolgt und nicht die Interessen der Betroffenen überwiegen.

Onlinemarketing müsste demnach als berechtigtes Interesse eingestuft werden, damit diese Klausel greift.

Die Darstellung dieses Sachverhaltes in der DSGVO empfinde ich als ungenügend. Es obliegt jedem Einzelnen zu einer Entscheidung zu kommen, Gerichtsprozesse abzuwarten oder sich anwaltliche Hilfe zu organisieren.

Mindestmaßnahme sollte jedoch ein Hinweis zu den Onlinemarketing-Aktivitäten in der Datenschutzerklärung sein.

 

Freiwillige Einwilligung und Kopplungsverbot

Ob die Einwilligung freiwillig erteilt wurde, entscheidet der Umstand des Zustandekommens. Freiwilligkeit ist nicht mehr gegeben, wenn mit Lockangeboten eine Datenfreigabe motiviert wird. Solche Verlockungen sind mannigfaltig ausgestaltet und können heute als Gewinnspiel oder Download eines digitalen Angebotes daherkommen. Haben Sie bisher mit dieser Methode Ihren Emailverteiler gefüllt, müssen Sie umdenken. Diese Vorgänge werden nicht mehr gestattet sein. Ändern Sie Ihre Strategie.

 

Google Fonts

Tatsächlich sind hierzu die Informationen sehr unterschiedlich. Somit ergeben sich zwei mögliche Entscheidungsvarianten – eine für das Sicherheitsbedürfnis hoch 10 (1.) und die andere für Minimalerfordernisse (2.) in Bezug auf die DSGVO.

  1. Einbinden genutzter Google Fonts lokal auf dem eigenen Server, um die Verbindungen zu Google zu verhindern. Wie das genau gemacht wird, erfahren Sie hier.
  2. Es wird vielerseits angenommen, dass Google die Nutzung der Google Fonts DSGVO konform ausgestalten wird. Führen Sie die Verwendung von Google Fonts in der Datenschutzerklärung auf.

 

Besondere Anforderungen an WordPress-Installationen beachten

Das Content-Management-System WordPress ist für jedermann leicht anwendbar. Doch vergessen Sie über die einfache Handhabung hinaus nicht die Datenschutzfallen, in die Sie hineintappen können. Zukünftig wird man hinsichtlich der neuen DSGVO WP-Plugins gründlicher klären müssen, ob ein Einsatz datenschutzkonform ist. Schauen Sie sich die Plugins genauer an. Fragen Sie die Datenschutzkonformität direkt beim Plugin-Entwickler ab, falls sich das nicht aus den Plugin-Detailangaben zweifelsfrei nachvollziehen lässt. Im Blogbeitrag von Finn Hillebrandt auf BLOGMOJO wird auf die beliebtesten Plugins eingegangen und sehr übersichtlich in einer Tabelle dargestellt, wie die entsprechenden Plugins einzuschätzen sind.

 

Webhoster & ADV-Vertrag

Als Websitebetreiber hat man gewöhnlich ein Webpaket bei einem Webhoster gebucht. Auch dieser tritt als Auftragsdatenverarbeiter auf. In welchem Umfang das geschieht, ist ganz unterschiedlich. Mitunter werden sogar im Kundenpanel integierte Statistiktools angeboten. Keine Statistik ist ohne Daten möglich. Spätenstens hier wird die Rolle des Webhosters deutlich. Somit muss auch mit dem Webhoster eine Auftragsdatenverarbeitungsvertrag geschlossen werden. Die allermeisten Webhoster bieten diesen inzwischen per Mausklick im Kundenpanel auffindbar an. Eine detailierte Übersicht der Hoster mit Nennung des Serverstandortes und Infos zum Vertrag und zu IP-Logging finden Sie HIER im Blogbeitrag von Finn Hillebrandt auf BLOGMOJO.

 

Datenschutz – offline

Datenschutz sollte auch außerhalb Ihrer Onlineaktivitäten eine Rolle spielen. Die Dokumentationspflicht stellt Ihnen eine konkrete bürokratische Aufgabe. Sie sind verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten personenbezogener Daten zu erstellen. Das ist ganz wichtig. Mehr zum Thema und wie Sie ein Verzeichnis anlegen können finden Sie auf der Website von Regina Stoiber, der freundlichen Datenschützerin. Stellen Sie sich dem Datenschutzthema!

Firmen, die keine Ein-Mann-Unternehmung darstellen, sollten zudem sich auch auf dem Stand zu den Themen Datenschutzbeauftragter, Datenschutz-Folgenabschätzung bringen. Und wenn bei Diensten Dritter relevant auch die Auftragsdatenverarbeitung nicht außer Acht lassen.

Informieren Sie sich allumfänglich. Dabei rate ich immer erst die Auswertung der Gesetzestexte selbst, auch wenn Sie jetzt stöhnen mögen. Die Überschriften und ersten Absätze verraten Ihnen meist schon, ob der Folgeinhalt für Sie von Interesse ist. So können Sie sich effizient durch die Texte arbeiten und sich in Ihren Kernthemen vertiefen.

 

 

DSGVO – derzeit ein großes Thema

Im Internet findet man aufgrund der bevorstehenden Anwendung der DSVGO zum Thema gerade viele Beiträge. Manche schätzen die Neuerungen meiner Ansicht nach zu lax ein und andere verbreiten regelrecht Panik. Versuchen Sie zunächst mit Ihrem Urteilsvermögen sich dem Thema zu nähern. Im Zweifelsfall kann man datenschutzkritische Webinhalte einfach entfernen. Wer aber auf Inhalte nicht verzichten kann, sollte nach eigener Prüfung und mit weiter bestehenden Zweifeln sich um eine effektive Rechtsberatung bemühen, um Rechtssicherheit zu schaffen.

 

Alle Links im Überblick

Website: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit


Info-PDF zur DSGVO, Herausgegeben von: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit


Berufsverband der Rechtsjournalisten e.V. – kostenfreies eBook zu EU-Datenschutz-Grundverordnung!


Berufsverband der Rechtsjournalisten e.V.  – EU-Datenschutzgrundverordnung: Verbindliches Datenschutzrecht für alle!


Datenschutzkonferenz veröffentlicht Kurzpapiere zum neuen Datenschutzrecht als erste Orientierung


Amtsblatt der Europäischen Union: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016


Datenschutz-Grundverordnung (EU-DSGVO) als übersichtliche Website, erstellt durch intersoft consulting services AG


Deutsche Gesellschaft für Datenschutz (DGD)


Datenschutzgenerator der DGD


Datenschutzgenerator von Mein-Datenschutzbeauftragter.de


Datenschutzgenarator von activeMind


Eintrag zur Datenschutz-Grundverordnung (EU-DSGVO) in der freien Enzyklopädie Wikipedia


Thema: WP Plugins und DSGVO-Konformität im Blogbeitrag von Finn Hillebrandt auf BLOGMOJO


Datenschutz Verfahrensverzeichnis mit Muster auf der Website von Regina Stoiber


Übersicht der Hoster und Infos zum ADV-Vertrag  im Blogbeitrag von Finn Hillebrandt auf BLOGMOJO