Unsere Shop-Tarife
Massgeschneidert von Mini bis XXL
24Jan '18

Die neue EU Datenschutz-Grundverordnung (DSGVO)

Handlungsbedarf für Website-Betreiber bis 25.5.2018

 

Die neue Datenschutz-Grundverordnung (DSGVO) ist ja seit Wochen in aller Munde. Ihnen ist der ein oder andere Beitrag sicher auch schon über den Weg gelaufen. Wir sind von vielen Kunden bereits angesprochen worden und möchten die Gelegenheit ergreifen, etwas „Licht ins Dunkel“ zu bringen. Vielleicht ist der ein oder andere Hinweis für Sie dabei.

Bitte beachten sie: Bei dem vorliegenden Beitrag handelt es sich um eine persönliche Einschätzung des Autors und soll Ihnen lediglich einen kurzen Überblick über die DSGVO geben. Bitte recherchieren Sie auch über diesen Artikel hinaus und legen die für Ihre Webseite notwendigen Schritte fest. Die unten angeführten Links sind Ihnen dabei eine gute Hilfe. Ansonsten wenden Sie sich bitte an die entsprechend zuständige Stelle für Landesdatenschutz in dem Bundesland, in dem Sie ansässig sind (Link weiter unten im Artikel).

Bitte beachten Sie:
Dieser Artikel hat keinen Anspruch auf Vollständigkeit und stellt keine Rechtsberatung dar.

1 Einführung und Notwendigkeit

Die im Frühjahr 2016 verabschiedete Datenschutz-Grundverordnung (DSGVO) wird am 25. Mai 2018 in Kraft treten. Sie schafft in allen EU-Mitgliedsstaaten einen einheitlichen Rechtsrahmen für die Verarbeitung personenbezogener Daten. Im Gegensatz zu anderen Richtlinien ist sie direkt rechtswirksam.

Daneben regelt eine Neufassung des Bundesdatenschutzgesetzes (BDSG), die gleichzeitig in Kraft tritt, ergänzende oder abweichende Bestimmungen. Zukünftig wird eine vom EU-Parlament im Entwurf bereits verabschiedete E-Privacy-Verordnung die DSGVO speziell im Bereich der elektronischen Kommunikation ergänzen. Diese wird für Websitebetreiber ebenfalls äußerst relevant sein.

Der folgende Beitrag soll einen Überblick vermitteln, welche Änderungen sich für Website-Betreiber für ihre Online-Angebote ab 25. Mai 2018 ergeben. Unbedingt zu beachten ist, dass neben diesen nach außen wirkenden Maßnahmen weitere vielfältige interne Bestimmungen zu beachten sind (z.B. verschärfte Dokumentationspflichten). Weitergehende Hinweise dazu finden Sie am Schluss des Beitrags.

DSGVO - EU-weiter, einheitlicher Rahmen für die Verarbeitung von personenbezogenen Daten

2 Anwendungsbereich

Nicht nur Name, Adresse, Kontaktinformationen oder soziodemografische Daten, sondern auch IP-Adressen als „Online-Kennungen“ sind als personenbezogene Daten zu betrachten. Selbst dynamische IP-Adressen gehören dazu, wie Bundesgerichtshof (BGH) im Mai 2017 entschied. Damit sind alle Arten von Websites und natürlich Online-Shops datenschutzrelevant. Ausgenommen sind lediglich Webangebote, die rein familiären oder persönlichen Zwecken dienen.

3 Webhosting

Der Datenschutz beginnt bereits beim Hosting. Wer keine eigenen Webserver und keine ausdrückliche Einwilligung der Kunden zur Speicherung auf fremden Servern hat, bedient sich eines sogenannten Auftragsverarbeiters (Webhoster). Für diese Auftragsverarbeitung gelten nach dem DSGVO ganz spezielle Vorschriften und Vertragsbestimmungen.

Der Webhoster ist kein außenstehender Dritter, sondern ist den Verantwortungsbereich und in die Haftung des Websitebetreibers integriert. Bei der Auswahl des Hosters sollte also verstärkt auf dessen datenschutzkonformes Verhalten geachtet werden. Er sollte dies entsprechend dokumentiert haben.

Von Bedeutung ist auch der Standort des Hosters. Eine Datenverarbeitung außerhalb der EU ist möglich, allerdings sind hier mit jedem Staat gesonderte Abkommen notwendig (sog. Privacy Shields). Mehr denn je sollten also EU-Hoster im Verantwortungsbereich der DSGV bevorzugt werden.

DSGVO - Datenschutzkonformes Verhalten auch vom Webhoster erforderlich

4 Informationspflichten

Zu den wichtigsten Betroffenenrechten im Rahmen der DSGVO zählt das Informationsrecht. Umgesetzt wird dies in Websites durch die Datenschutzerklärung (Privacy Policy). Aufgrund der neuen rechtlichen Anforderungen ist eine inhaltliche Überarbeitung zwingend notwendig.

Eine Neuerung ist die Pflicht zur Nennung der Rechtsgrundlage für die Datenverarbeitung. Es gilt nach wie vor der Grundsatz des „Verbots mit Erlaubnisvorbehalt“. In bestimmten Fällen ist eine Erhebung und Verarbeitung personenbezogener Daten auch ohne vorherige Erlaubnis notwendig. Beispiele sind die Vertragserfüllung (z.B. kostenpflichtige Angeboten, insbes. Online-Shops) oder eigene Interessenwahrnehmung (z.B. Direktwerbung, Betriebssicherheit der Website). In jedem Fall sind neben der entsprechenden Rechtsgrundlage auch die verfolgten Interessen anzugeben.

Wie bisher nehmen die Informationspflichten zu den Rechten des Betroffenen den Hauptteil ein. Dazu gehören das Recht auf Auskunft über gespeicherten Daten zu seiner Person, die Korrektur oder Löschung dieser Daten oder der Widerrufshinweis.

Neu hinzugekommen und damit zu ergänzen sind Hinweise auf folgende Betroffenenrechte:

  • Recht auf Einschränkung der Verarbeitung
  • Widerspruchsrecht (getrennt bzw. hervorgehoben von anderen Informationen)
  • Beschwerderecht bei einer Aufsichtsbehörde (aber ohne Nennung dieser)
  • Recht auf sog. Datenübertragbarkeit
  • Nennung der Kontaktdaten eines ggf. vorhandenen Datenschutzbeauftragten (mindestens E-Mail-Adresse)
  • Nutzung von Servern im Nicht-EU-Ausland und existierende Privacy-Shield-Abkommen
  • Wie lange welche Daten und warum gespeichert werden (z.B. aus Sicherheitsgründen Nutzer-IP-Adressen 14 Tage lang)
  • Bestehen einer sog. automatisierten Entscheidungsfindung (z.B. Bonitätsprüfung)

 

DSGVO - Informationspflichten - erweiterte und neu hinzugekommene

Weitere Inhalte, über die Websitebetreiber in der Datenschutzerklärung informieren sollten, sind:

  • Erfassen allgemeiner Daten wie Logfiles und deren etwaige Speicherung
  • Registrierungsmöglichkeiten, Kommentarfunktionen, das Abonnieren von Newslettern
  • Verwendung von Cookies
  • Nutzung von Social-Sharing Funktionen
  • Einsatz von Analyse- oder Trackingdiensten

 

Diese durchaus umfangreichen Erweiterungen sollten präzise, strukturiert, transparent und verständlich („in einfacher und klarer Sprache“) sowie leicht zugänglich übermittelt werden. Auch dies ist eine noch deutlichere Forderung der neuen DSGVO. Wie bisher können zur Aktualisierung der Texte auch online verfügbare Datenschutzerklärungs-Generatoren genutzt werden.

5 Anpassungen von Online-Angeboten

Der verschlüsselte Aufruf von Webseiten (https) ist schon aus SEO-Gründen ein Muss, sonst droht ein Herabstufen in den Suchergebnissen von Google.  Die sichere Verschlüsselung der Daten kann sehr einfach über ein SSL-Zertifikat und die entsprechende Umstellung der Webseite erreicht werden. Damit wären zugleich auch die Anforderungen aus der DSGVO für eine sichere Übertragung personenbezogener Daten erfüllt (z.B. bei Kontakt- oder Bestellformularen). Soweit noch nicht erfolgt, sollte eine Umstellung unbedingt erfolgen.

In Formularen müssen gemäß dem Grundsatz der Datenminimierung Pflichtfelder auf ein nachvollziehbar notwendiges Maß reduziert und deutlich gekennzeichnet werden.

  • Beispielsweise ist die verbreitete Pflichtangabe einer Telefonnummer bei gleichzeitig erhobener E-Mail-Adresse nicht notwendig und damit anfechtbar (und abmahnfähig).
  • Ebenso ist bei einer Newsletter-Anmeldung kein Geburtsdatum oder die postalische Adresse erforderlich.

 

Nicht notwendige Daten darf man allenfalls freiwillig, nicht aber über ein Pflichtfeld abfragen.

Für das Versenden von Newslettern gelten die bekannten Regeln. Eine freiwillige, wirksame Einwilligung des Nutzers (Double-Opt-in-Verfahren) und die Widerrufsmöglichkeit sind zwingend erforderlich.
Bei Verwendung von Social-MediaPlug-ins ist künftig die ausdrückliche Einwilligung der Nutzer notwendig. Daten von Nutzern dürfen erst abgefragt werden, wenn diese auf den entsprechenden Button klicken (Lösung: Shariff-Projekt der ct).

DSGVO und social Media - was ist zu beachten?

6 Betroffenenrechte

Die von der personenbezogenen Datenverarbeitung Betroffenen sind zum einen in der Datenschutzerklärung entsprechend zu informieren. Über diese Informationsrechte hinaus stehen den Betroffenen eine Reihe weiterer Rechte zu:

  • Auskunftsrecht über die Datenverarbeitung
  • Recht auf Berichtigung
  • Recht auf Datenlöschung und auf Vergessenwerden
  • Recht auf Datenübertragbarkeit

 

Neu sind insbesondere die beiden letzten Punkte. Das Recht auf Vergessenwerden bedeutet, dass Websitebetreiber im Falle eines Löschanspruches nicht nur die selbst gespeicherten Daten entfernen. Sie müssen auch verbundene Dritte in angemessenen Umfang über den Zwang zum Löschen von Links, Kopien etc. informieren (z.B. bei Social Media Dienstleistungen, Portaleinträgen).

Völlig neu ist das Recht auf Datenübertragbarkeit. Der Betroffen kann die Herausgabe seiner personenbezogenen Daten in einer strukturierten, gängigen und maschinenlesbaren Form verlangen und damit zu einem anderen Anbieter „umziehen“. Vorerst werden solche Nachfragen noch die Ausnahmen darstellen und durch einen individuelle Datenexport/-import zu realisieren sein. Gegebenenfalls werden CMS- und Shopanbieter entsprechende Funktionen für den Kunden nachrüsten.

DSGVO - Betroffenenrechte - welche haben Sie?

7 Zusammenfassung und weiterführende Quellen

Die Regelungen in der neuen Datenschutz-Grundverordnung (DSGVO) und in der Neufassung des Bundesdatenschutzgesetzes (BDSG) bringen keine völlig veränderte Situation mit sich. Neben den Neuerungen wirken sie vor allem verschärfend. Bekannte Forderungen werden ausgeweitet, erhalten eine stärkere Bedeutung und Tiefe, und der Umsetzungsdruck wird größer. Dazu tragen auch deutlich gestiegene Bußgelder und erhöhte Abmahngefahren durch Konkurrenten oder Verbraucherverbände bei.

Ziel dieses Beitrags ist es, einen Überblick für Website-Betreiber zu geben. Damit wurden nur die nach außen wirkenden Aspekte thematisiert, nicht aber die sicher noch viel weitreichenderen Konsequenzen bezüglich der internen Prozesse. Auch hier gilt, vieles bislang schon gültiges wurde vernachlässigt und erlangt jetzt eine aktuelle Bedeutung.

Für weitere Informationen kann durchaus der direkte Gesetzestext empfohlen werden, wo viele Punkte konkret und verständlich beschrieben sind. Praktische Erläuterungen, Hilfestellung und Vorlagen finden Sie in den weiteren angegebenen Quellen.

HTML-Versionen der DSGVO und des BDSG (neu):

https://dsgvo-gesetz.de/
https://dsgvo-gesetz.de/bdsg-neu/

Offizieller Download der DSGVO und des BDSG (neu) als PDF beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)

https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2017/18_Info6.html

Informationen, Leitfäden, Vorlagen von bitkom, Branchenverband der Digitalwirtschaft

https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz/EU-DSGVO/Datenschutzkonforme-Datenverarbeitung.html

Praxishilfen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)

https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

Informationen und Checklisten der Datenschutz Nord Gruppe

https://www.datenschutz-nord-gruppe.de/eu-datenschutzverordnung/checkliste-datenschutz-grundverordnung.html

Online Generator für eine DSGVO konforme Datenschutzerklärung:

https://dg-datenschutz.de/muster-datenschutzerklarung/

c’t-Projekt Shariff: Social-Media-Buttons mit Datenschutz

https://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html

Zum Abschluss dieses Informationsartikels weise ich noch einmal darauf hin, dass dieser Artikel keine Rechtsberatung darstellt oder ersetzt.

Auch Ihr/e Landesdatenschutzbeauftragte/r (je nach Bundesland unterschiedlich) steht Ihnen gern für Fragen zur Verfügung. Anfragen können dort direkt gestellt werden. Eine Liste der zuständigen Landesdatenschutzbeauftragten finden Sie unter folgendem Link:

https://www.datenschutz-wiki.de/Aufsichtsbeh%C3%B6rden_und_Landesdatenschutzbeauftragte

 

Es grüßt Sie herzlichst

Ihr
Dr. Matthias Koch
E-Mail: m.koch@online-werbung.de

Tel: +49 (451) 280 80-0

 

Keine Kommentare


Kommentieren

Protected by WP Anti Spam