private

Die Datenschutzgrundverordnung (DSVGO)

Was du bei deiner Website oder deinem Blog beachten musst (1/2)

Im Mai tritt die Datenschutzgrundverordnung (DSGVO) der EU in Kraft. Sie bringt neue Verpflichtungen für fast alle Betreiber von Websites. Ausgenommen von den neuen Regeln sind lediglich Webangebote, die ausschließlich familiären oder persönlichen Zwecken dienen. Die DSGVO legt dabei genaue Maßstäbe fest, was als personenbezogenes Datum zu werten ist und welche Form der Einwilligung des Nutzers vorliegen muss, damit dieses (zu Marketingzwecken) verwendet werden darf.

Beachte: Wir sind keine Juristen und können mit diesem Beitrag auch keine Rechtsberatung leisten. Die im folgenden genannten Maßnahmen erheben daher keinen Anspruch auf Vollständigkeit.

Was ist die Datenschutzgrundverordnung (DSGVO)

 

Die DSGVO ist ein EU-Gesetz mit dem Ziel, einen EU-weiten, einheitlichen Rechtsrahmen für die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen zu schaffen.

Dabei wird die DSGVO immer dann anwendbar sein, wenn es um die Verarbeitung personenbezogener Daten geht. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Als identifizierbar wird eine Person angesehen, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind; die direkt oder indirekt zu einer Kennung zugeordnet werden kann.“

Entscheidend ist demnach allein die Möglichkeit der Identifizierung, unabhängig durch wen die Identifizierung stattfinden könnte. Nach der DSGVO handelt es sich also auch dann um personenbezogene Daten, wenn zwar nicht das datenverarbeitende Unternehmen, aber ein Dritter die Möglichkeit zur Identifizierung hat. Somit werden zukünftig auch pseudonymisierte Daten wie IP-Adressen und Cookies als personenbezogene Daten gelten. Für die Praxis bedeutet diese weitgefasste Begriffsdefinition, dass man im Zweifel immer von personenbezogenen Daten im Sinne der DSGVO ausgehen sollte, da nahezu jede Information als personenbezogenes Datum ausgelegt werden könnte.

Die Verordnung tritt ab dem 25. Mai 2018 in Kraft, ab dann können bei Verletzung der Pflichten Sanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten (Konzern-)Jahresumsatzes drohen. Mit dem immer näher rückenden Due Date macht sich auch Unsicherheit bei vielen Webseitenbetreibern breit. Was muss nun beachtet werden, um nicht in die Abmahnfalle zu geraten? Der folgende Beitrag soll dir Anhaltspunkte für die wichtigsten DSGVO-Maßnahmen auf deiner Website geben.

In diesem Artikel erklären wir dir, was du in puncto Webshosting (Datenverarbeitung im Auftrag) und bezüglich deiner Datenschutzerklärung beachten musst. Außerdem geben wir dir Praxistipps, wie du deine Kontaktformulare DSGVO-konform gestalten kannst.

Im zweiten Artikel zur DSGVO und der Änderungen behandeln wir folgende Themen:

  • Rechtssichere Newsletter-Anmeldung nach DSGVO
  • Alternativen für Social Plugins im Rahmen der DSGVO
  • Cookie Hinweise – ja oder nein?
  • Google Analytics und DSGVO
  • Google Fonts

Webhosting – Datenverarbeitung im Auftrag

 

Als Website-Betreiber darfst du nicht ohne bestehende Rechtsgrundlage personenbezogene Daten auf einem von Dritten bereitgestellten Webspace speichern. Du musst sicherstellen, dass du „Herr der Daten“ bleibst, oder deine Nutzer um Einwilligung bitten. Um nicht jeden einzelnen Visitor nach einer Einwilligung fragen zu müssen, ist ein Vertrag mit dem Webhoster zur Auftragsverarbeitung (zuvor Auftragsdatenverarbeitung) nach Artikel 28 DSGVO die eleganteste Lösung. Die Auftragsverarbeitung regelt, dass der Auftragsverarbeiter, also der Webhoster, personenbezogene Daten „gemäß den Weisungen des für die Verarbeitung Verantwortlichen“, also des Website-Betreibers, verarbeitet. Ein solcher Vertrag regelt u. a., dass der Auftragnehmer – in diesem Fall der Webhoster – die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Vor allem aber wird der Dienstleister verpflichtet, die Daten in entsprechendem Maße zu schützen. Um dies auch tatsächlich zu gewährleisten, werden dem Auftraggeber – in diesem Fall dem Website-Betreiber –  diesbezüglich Kontrollrechte eingeräumt. Eine Ausnahme bildet das sogenannte Housing: Mietest du nur Server in einem Rechenzentrum an, ohne dass der Hoster selbst die Daten verarbeitet, benötigst du keinen Vertrag zur Auftragsverarbeitung. Die großen Webhoster bieten auf Ihrer Website meist schon Formulare für die Auftragsverarbeitung an. Diese kannst du mittlerweile auch elektronisch abschließen. Dabei solltest du darauf achten, dass diese Formulare die Anforderungen der DSGVO berücksichtigen. Ist in dem Formular noch die Rede von „Auftragsdatenverarbeitung“ und kannst du auch keine explizite Nennung der DSGVO finden, ist das ein guter Indikator, dass das Formular noch nicht up to date ist. Werden die Daten deiner Website außerhalb der EU gehostet, bspw. in den USA, solltest du auf darauf achten, dass dein Hoster sich dem sogenannten Privacy Shield unterworfen hat. Mit diesem Abkommen zwischen der EU und den USA verpflichtet der Hoster sich, europäische Datenschutzstandards einzuhalten.

DSGVO konforme Datenschutzerklärung

 

Innerhalb deiner Datenschutzerklärung musst du deine Websitebesucher über alle Vorgänge aufklären, bei denen personenbezogene Daten verarbeitet werden. Der Artikel 13 DSGVO erweitert dabei die bisher nötigen Angaben des Telemediengesetzes erheblich:

Auffindbarkeit und Zugänglichkeit der Datenschutzerklärung

Dein Websitebesucher muss die Datenschutzerklärung einfach und intuitiv finden können. Daher sollte die Datenschutzerklärung im besten Fall von allen Seiten gut erreichbar sein, in jedem Fall aber über die Startseite verlinkt werden. Es bietet sich dabei an, die Erklärung standardmäßig über den Footer der Seite zu verlinken. Dabei solltest du darauf achten, dass eingesetzte Cookie-Meldungen oder ähnliche Pop Ups den Link zur Datenschutzerklärung nicht überdecken.

Des Weiteren muss die Datenschutzerklärung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ bereitgestellt werden. Ist die Ziel- und Nutzergruppe deiner Website international, so sollte die Datenschutzerklärung auch in allen notwendigen Sprachen vorliegen.

Inhalt der Datenschutzerklärung

 

Ab dem 25. Mai muss innerhalb der Datenschutzerklärung die Rechtsgrundlage für die Datenverarbeitung genannt werden. Solche Rechtsgrundlagen können bspw. ein Kaufvertrag in Onlineshops sein, auch das „berechtigte Interesse“ eines Website-Betreibers kann als Rechtsgrundlage dienen, hierbei muss allerdings auch das konkrete Interesse beschrieben werden.  Ein berechtigtes Interesse für die Speicherung von IP-Adressen kann bspw. die Betriebssicherheit der Website sein, um Angriffe durch Hacker zu erkennen und abwehren zu können. IP-Adressen sollten aber dennoch nicht länger als 14 Tage gespeichert werden, außerdem muss der Nutzer über diese Speicherung inklusive Begründung innerhalb der Datenschutzerklärung informiert werden. Du musst die Websitebesucher im Prinzip über alle Vorgänge auf deiner Website informieren, bei denen Daten erhoben und verarbeitet werden. Dazu zählen Cookies, Log-Files, Lokalisierungsfunktionen, Registrierungsoptionen wie Newsletter Anmeldungen, Kommentarfunktionen, Social Sharing Optionen aber auch die Verwendung von Analyse- oder Trackingtools. Neben der reinen Aufklärung, welche personenbezogenen Daten auf deiner Website erfasst und verarbeitet werden, musst du den User auch über seine Rechte bezüglich Auskunft, Löschung, Berichtigung von Daten sowie sein Widerrufsrecht informieren. Hinzu kommt künftig auch die Unterrichtungspflicht über das Recht auf Einschränkung der Verarbeitung, das Widerspruchsrecht, das Beschwerderecht bei einer Aufsichtsbehörde sowie das Recht auf Datenübertragbarkeit. Das Widerspruchsrecht muss laut DSGVO künftig auch optisch hervorgehoben werden, bspw. durch Fettdruck oder eine Umrandung.

TIPP: Mittlerweile gibt es einige Tools bzw. Generatoren, die dir dabei helfen, deine Datenschutzerklärung DSGVO-konform zu gestalten.

Kontaktformulare DSGVO-konform gestalten

 

Bei eingebundenen Kontaktformularen solltest du darauf achten, dass die Übertragung der Daten durch eine TLS- oder SSL-Verschlüsselung gesichert ist, damit sie dem Grundsatz der Integrität und Vertraulichkeit nach DSGVO entspricht.  Unverschlüsselte Formulare erkennst du meist daran, dass die entsprechende URL mit „http“ und nicht mit „https“ beginnt. Außerdem sollte in der Datenschutzerklärung auch die Datenverarbeitung via Kontaktformular geregelt sein. Im Idealfall verlinkst du die Datenschutzerklärung noch einmal in der Nähe des Absende-Buttons mit dem Hinweis „Bitte nehmen Sie unsere Datenschutzerklärung zur Kenntnis“.

Weitere Beiträge