Bild vom Deckblatt der EU-Datenschutz-Grundverordnung (DSGVO)

Deckblatt der Verordnung (EU) 2016/679

Sie sind Unternehmer, betreiben eine Webseite oder bloggen? Dann haben Sie hoffentlich bereits von der DSGVO (engl.: GDPR) gehört! Hinter diesem Kürzel verbirgt sich die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten […]. Kurz: die EU-Datenschutz-Grundverordnung (engl.: General Data Protection Regulation). Gültig ist Sie für den gesamten europäischen Wirtschaftsraum (EWR) bereits seit dem 25.05.2016. Aktuell befinden wir uns allerdings noch in der zweijährigen Übergangsfrist, die bis zum 25.05.2018 läuft. Ab dann – also in genau sechs Monaten – wird die DSGVO endgültig für alle verpflichtend.

Gute Gründe für eine europäische Datenschutz-Grundverordnung.

Die Sicherheit von Daten und deren Schutz ist in der zunehmend digitalisierten Welt wichtiger denn je. Lesen Sie hierzu auch unseren Blogpost: Ihre Sicherheit ist uns wichtig. Gerade große Unternehmen sammeln Unmengen von Daten und haben somit eine hohe Verantwortung, damit diese nicht in die falschen Hände geraten.

In der EU-Datenschutz-Grundverordnung werden Anforderungen an das Datenschutzmanagement von Unternehmen geregelt. Die Rechte natürlicher Personen werden zudem gestärkt und die Kontrollmöglichkeiten verschärft. Die DSGVO ersetzt dabei die bisher nur national geltenden Datenschutzgesetze und andere Regelungen. Genau genommen sind sämtliche EU-Mitgliedsstaaten dazu verpflichtet, nationale Gesetze den Mindestanforderungen der DSGVO anzupassen. Ziel ist eine Vereinheitlichung der Regelungen in Europa – für mehr Sicherheit und Transparenz beim Datenschutz. Auch für große Konzerne, wie Facebook, Twitter, Apple oder Google, sind diese Regelungen dann in Europa bindend.

Betroffenen Personen bzw. Nutzern verhilft die DSGVO zu höheren Datenschutzstandards und Transparenz; Webseitenbetreiber stehen jedoch meist vor einer großen Herausforderung, die DSGVO umzusetzen. Dies liegt darin begründet, dass die DSGVO kein auf den praktischen Einsatz ausgelegter Gesetzestext ist. Vielmehr ist sie sehr allgemein gehalten. Konkreten Vorschriften oder gar Checklisten, an denen sich Webseitenbetreiber orientieren können, finden sich in der Verordnung nicht. Mit diesem Blogbeitrag wollen wir ein wenig Licht ins Dunkel bringen und die wichtigsten Punkte herausgreifen.

Bitte beachten Sie: Bei den Ausführungen auf dieser Webseite handelt es sich um nach bestem Wissen und Gewissen zusammengestellte Informationen und persönliche Erfahrungen. Dieser Beitrag, unsere Empfehlungen und angebotene Leistungen im Zusammenhang mit der DSGVO stellen jedoch weder eine Rechtsberatung dar, noch wurden sie juristisch geprüft. Bei konkreten Fragen oder Problemen wenden Sie sich daher bitte immer an Ihren Datenschutzbeauftragten und/oder einen Anwalt.

Die DSGVO sollte unbedingt beachtet werden.

Beim Besuch von Webseiten sind Ihnen sicherlich schon einige Male der berühmte „Cookie-Hinweis“ und ausführliche Datenschutzerklärungen ins Auge geschossen – auf anderen Seiten jedoch nicht. Warum sollten Sie sich also Gedanken zur DSGVO machen, wenn diese offenbar noch gar nicht überall berücksichtigt wird?

Grundlegende Punkte rund um den Datenschutz ändern sich aus unserer Sicht mit der DSGVO in Deutschland nicht. Das Bundesdatenschutzgesetz war auch vor der DSGVO eines der strengsten in der Europäischen Union. Die Anforderungen an den Datenschutz werden allerdings deutlich umfassender und in allen Bereichen unternehmerischer Tätigkeit zu einem Kernelement erklärt. Somit ist er nicht mehr nur ein wichtiges Extra, sondern wird zum zentralen Punkt unternehmerischen Handelns. Hält man sich nicht daran, können künftig deutlich erhöhte Bußgelder verhängt werden. Auch die zivilrechtliche Haftung wird verschärft. Teure Abmahnungen sind diesbezüglich in Zukunft somit nicht auszuschließen.

Die wichtigsten Punkte für Webseitenbetreiber im Überblick:

Beim Datenschutz stehen die personenbezogenen Daten im Fokus. Wer sich bisher an die deutschen Datenschutzvorschriften gehalten hat, sollte mit der DSGVO nichts zu Befürchten haben. Im Zusammenhang mit dem Betrieb einer Webseite oder Blogs verdienen es einige Punkte dennoch, erneut betrachtet zu werden.

1. SSL-Verschlüsselung

Google hat angekündigt, alle Webseiten, die nicht mit SSL verschlüsselt sind, im Ranking ab 2018 abzustrafen. Auch Browser markieren Webseiten ohne SSL-Verschlüsselung immer deutlicher. Nicht ohne Grund, denn mit der DSGVO wird die Verschlüsselung wohl endgültig zur Pflicht: Datenschutz „by design“ bzw. „by default“ (also der geforderte, von vornherein geplante Datenschutz) legt nahe, dass sämtlicher Datenverkehr über das Internet in Zukunft nur noch verschlüsselt erfolgen sollte.

Für unsere Kunden haben wir bereits kostenlose SSL-Zertifikate ausgestellt, sodass deren Webseiten (auch) über SSL – erkennbar an dem Schloss oder dem vorangestellten „https://“ in der Adresszeile – erreichbar sind. Hosten Sie Ihre Webseite bei benicsolutions, können Sie an diesen Punkt also bereits beruhigt einen Haken machen.

2. Online-Formulare (Gästebücher, Blog-Kommentare, Kontaktformulare, etc.)

Gibt man Nutzern die Möglichkeit Daten in ein Online-Formular einzugeben, handelt es sich hierbei oft auch um personenbezogene Daten wie Namen und Kontaktadressen. Wichtig hierbei ist stets, den Nutzer über die Art und den Zweck der Verarbeitung zu informieren und sich im besten Fall eine ausdrückliche Einverständniserklärung für die Verarbeitung einzuholen.

In der Praxis ergibt sich der primäre Zweck der Datenverarbeitung oft aus dem Kontext: Bei einem Kontaktformular ist dies beispielsweise die Kontaktaufnahme bzw. Beantwortung einer Anfrage. Bei einer Kommentarfunktion die Veröffentlichung des Kommentars. Grundsätzlich empfehlen wir dennoch, genau anzugeben wofür die Daten konkret verwendet werden. Werden auch Daten gespeichert, die sich nicht in den sichtbaren Formularfeldern widerspiegeln – beispielsweise die IP-Adresse des Nutzers -, ist auch hierauf hinzuweisen.

Tipp: Informieren Sie den Nutzer über den Umfang der erhobenen Daten und den Zweck der Erhebung am besten direkt in unmittelbarer Nähe zum Formular, um einen hohen Grad an Transparenz zu erreichen und so Vertrauen zu schaffen. Außerdem sollte über eine Checkbox die Kenntnisnahme der Datenschutzerklärung bestätigt werden, bevor das Formular abgesendet und die Daten durch den Nutzer übermittelt werden können.

3. Cookies und Tracking

Ohne vorausgehende Einwilligung eines Nutzers dürfen Cookies in Zukunft nur noch auf dessen Computer gespeichert werden, wenn bestimmte Anforderungen erfüllt werden. Klar ist dies, wenn Cookies aus technischen Gründen oder zur Vertragserfüllung notwendig sind. In einem Onlineshop würde der Warenkorb beispielsweise sonst nicht funktionieren.

Daneben gibt es in der DSGVO jedoch auch die Formulierung „berechtigte Interessen“, um Cookies setzen zu dürfen. Damit ist gemeint, wenn der Website-Betreiber gute Gründe hat, die über den Interessen der Nutzer stehen. Hierunter könnten aus unserer Sicht z.B. Marketingzwecke fallen.

In jedem Fall sollten Sie Ihre Nutzer über die Verwendung von Cookies in Kenntnis setzen. Zusätzlich empfehlen wir einen Opt-in, also die aktive Einwilligungsmöglichkeit zur Nutzung von nicht-funktionalen Cookies, zu implementieren. Durch die ePrivacy-Verordnung im Jahr 2019 wird es dann vermutlich detailliertere Regelungen geben.

Bild vom Cookie-Hinweis mit dem Text "Diese Seite verwendet Cookies zu Funktions-, Komfort- und Statistikzwecken. Wenn Sie diese Webseite weiterhin besuchen, stimmen Sie der Nutzung von Cookies zu."

So oder so ähnlich sieht ein Cookie-Hinweis in der Regel aus.

Nachtrag 10.02.2018: Rund um das Thema Cookies haben die Kollegen von eRecht24 einen aus unserer Sicht sehr empfehlenswerten Beitrag verfasst, auf den wir an dieser Stelle gerne verlinken möchten: Cookie-Hinweis auf Webseiten: Quatsch oder Pflicht?

4. Drittanbieter-Plugins, insbesondere Google (Analytics) und Social Media

Drittanbieter-Plugins sind beliebt. Egal ob zur Erhebung von Nutzungsstatistiken via Google Analytics, der Erweiterung der eigenen Webseite um den Like-Button von Facebook oder für kostenlose Schriftarten von Google Fonts. Doch Vorsicht: Bei der Einbindung von Drittanbieter-Plugins werden oft bereits beim alleinigen Aufruf der Seite personenbezogene Daten – insbesondere die IP-Adresse – übermittelt. Gemäß DSGVO ist dies nur dann zulässig, wenn der Nutzer dem vorab zugestimmt hat. In der Datenschutzerklärung muss zusätzlich darüber informiert werden.

Google hat glücklicherweise schon in der Vergangenheit Vorkehrungen getroffen, um Webseitenbetreibern die Einhaltung der Datenschutzanforderungen etwas zu vereinfachen. Konkret muss der Tracking-Code so eingestellt werden, dass die IP-Adresse ausschließlich anonymisiert übertragen wird. Eine Anleitung hierzu gibt es direkt bei Google. Geben Sie den Nutzern zusätzlich die Möglichkeit eines Opt-Outs und schließen den Auftragsverarbeitungsvertrag (siehe Punkt 6) mit Google ab. So sollte die Nutzung von Google Analytics auch in Zukunft kein Problem darstellen.

Datenschutz-Grundverordnung beachten mit Shariff für DSGVO

2-Klick-Lösung – Datenschutz mit Shariff

Für Social Media Plugins empfehlen wir eine 2-Klick-Lösung wie Shariff, um erst nach ausdrücklichem Einverständnis des Nutzers eine Datenübermittlung zuzulassen. Dies gilt im Übrigen auch für andere Drittanbieter-Plugins wie Google Maps oder YouTube.

5. Datenschutzerklärung

Jede Webseite sollte eine Datenschutzerklärung beinhalten. In dieser erfährt der Nutzer genau, welche Daten zu welchen Zwecken verarbeitet werden und welche Rechte ausgeübt werden können. Die Datenschutzerklärung ist im besten Fall, genau wie das Impressum, mit nur einem Klick von jeder Seite des Internetauftritts aus erreichbar. Zahlreiche Generatoren bieten die Möglichkeit, sich eine Datenschutzerklärung zu erstellen – wir haben den Generator der Deutschen Gesellschaft für Datenschutz (DGD) getestet und für gut befunden.

6. Auftragsverarbeitung

Die bisherige Begriff der Auftragsdatenverarbeitung (ADV) im Sinne des Bundesdatenschutzgesetzes (BDSG) wird im Zuge der DSGVO durch den Begriff Auftragsverarbeitung ersetzt werden. Ein Auftragsverarbeitungsvertrag sollte immer dann mit Dienstleistern geschlossen werden, wenn personenbezogene Daten durch diese in Ihrem Auftrag verarbeitet werden. Dies ist beispielsweise der Fall, wenn Sie Ihre Homepage, E-Mails, etc. auf dem Server eines Hostinganbieters gespeichert haben.

Prüfen Sie bestehende Auftragsdatenverarbeitungsverträge auf Konformität zur DSGVO. Seriöse Anbieter bieten Ihnen die Möglichkeit, einen (neuen) Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO zu schließen und halten oft entsprechende Vordrucke bereit. Auch bei benicsolutions besteht die Möglichkeit, einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO zu schließen.

Die oben genannten Aspekte sind bei weitem nicht alle, auf die die DSGVO Einfluss hat. Aus unserer Sicht sind es jedoch die wichtigsten, mit denen sich Webseitenbetreiber und Blogger bis zum 25.05.2018 beschäftigt haben sollten.

Gerne unterstützen wir Sie bei der technischen Umsetzung der relevanten Punkte und stehen für Rückfragen zu Verfügung. Haben Sie Detailfragen oder wünschen eine rechtliche Beratung, empfehlen wir Ihnen einen Anwalt zu konsultieren.