• Datenschutzgrundverordnung DSGVO

Die neue Datenschutzgrundverordnung – EU-DSGVO

Die wichtigsten Schritte für Website-Betreiber, um die neue Datenschutzgrundverordnung umzusetzen.

Der 25. Mai 2018 ist der Tag, an dem die DSGVO, die neue EU-Datenschutzreform in Kraft tritt. Die Reform hat ein klares Ziel.  Der Datenschutz soll europaweit vereinheitlicht werden.  Was dafür zu tun ist, erfahren Sie in diesem Beitrag.

Experten sind sich in dem Punkt einig, dass ein abschließendes Regelwerk wie die DSGVO für den europaweiten Datenschutz notwendig ist. Wie immer bei solchen großen Gesetzesprojekten, finden sich an vielen Stellen Grauzonen. Das bedeutet, dass es vielfach noch keine finale Rechtssicherheit gibt, vieles Auslegungssache ist und vermutlich die Gerichte in nächster Zeit beschäftigen wird. Weil die Reform eben so umfassend ist, ist der große Durchblick noch weit weg.

Die bisherige Datenverarbeitung und damit verbundene Einwilligungen muss ab 25. Mai 2018 DSGVO-konform sein.

Sonst sind sie nicht mehr gültig. Punkt. Sie sollten deshalb so schnell wie möglich mit der Umsetzung beginnen.

BCvision marketing&communication als Marketingagentur und Experte für Onlinemarketing übernimmt das für seine Kunden.

Überblick über die DSGVO

Ziel der Datenschutzgrundverordnung:

In Europa soll es einheitliche Rahmenbedingungen und damit eine größere Rechtssicherheit beim Umgang mit personenbezogenen Daten geben.

Betroffen ist damit jedes Unternehmen aber auch jeder Websitebetreiber, sofern er kein Unternehmer ist. Sobald personenbezogenen Daten erhoben und verarbeitet werden, ist die DSGVO umzusetzen.

Abwägung gegenläufiger Interessen

Zum einen werden die Unternehmen durch die DSGVO mehr Pflichten haben. Bußgelder werden schon mal in entsprechender Höhe angedroht und sorgen mit knapper werdender Zeit für Panik. Anwälte auf beiden Seiten haben wieder ein lukratives Betätigungsfeld. Der beabsichtigte achtsamere Umgang mit personenbezogenen Daten wird die Einholung einer Einwilligung des Nutzers deutlich erschweren. Vor allem wird klargestellt, was personenbezogene Daten überhaupt sind und dass z.B. IP-Adressen und Cookies darunterfallen.

Auf der anderen Seite wird in Artikel 1 der freie Verkehr von Daten festgeschrieben und damit verbundenen wirtschaftliche Interessen festgeschrieben.

Berechtigte wirtschaftliche Interessen und der Schutz von Personendaten stehen oft im Widerspruch. Somit ist schon abzusehen, dass Gerichte noch vielfach zur zukünftigen gesetzlich erlaubten Datenverarbeitung Stellung nehmen werden.

Die Grundprinzipien des Datenschutzes

 „Jede Datenverarbeitung muss rechtmäßig erfolgen, anhand vorab festgelegter Zwecke, transparent, in möglichst geringem Umfang und soll die Daten vor unberechtigter Veränderung sowie Verlust schützen.“

Im Detail gehören zu den Grundsätzen für die Verarbeitung personenbezogener Daten laut Art. 5 DSGVO u.a.:

  • Rechtmäßigkeit: Daten dürfen nur entsprechend dem Gesetz verarbeitet werden.
  • Transparenz: Die Informationspflichten wurden mit Art. 13 und 14 DSGVO erhöht. Die Verarbeitung personenbezogener Daten muss nachvollziehbar sein.
    Erfordernis einer verständlichen und vollständigen Datenschutzerklärung

  • Verbot mit Erlaubnisvorbehalt: Jede Verarbeitung personenbezogener Daten ist erstmal verboten , es sei denn, sie wurde per Gesetz erlaubt.
  • Zweckbindung: Daten sollen nur für den vereinbarten Zweck verarbeitet werden. Unternehmen müssen also im Vorfeld definieren, wofür Sie Daten nutzen möchten und dies  dann dokumentieren. Nur wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art 6 Abs. 4 DSGVO) ist eine nachträgliche Zweckänderung möglich.
  • Integrität und Vertraulichkeit: Unternehmen müssen technisch und organisatorisch sicherstellen, dass personenbezogene Daten vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.
  • Datenminimierung und Speicherbegrenzung: Vorratsdatenspeicherung ist verboten. Eine Identifizierung der Personen darf nur solange ermöglicht werden, wie es für den entsprechenden Zweck nötig ist. (Art. 5 Abs. 1 lit. c und e DSGVO). Unternehmen dürfen nur die Daten erheben, die sie für den jeweiligen Zweck brauchen.

Artikel 25 DSGVO

Privacy by Design und Privacy by Default

Was bedeutet das?

„Privacy by Design“ bedeutet, dass Datenschutzmaßnahmen bereits in der Entwicklungsstufe von Produkten und Verfahren einbezogen werden müssen.

„Privacy by Default“ betrifft z.B. auch die Website. Bedeutet, dass bereits bei Geräten oder bei Onlineplattformen standardmäßig die höchste Datenschutzstufe voreingestellt ist.

Umkehr der Beweislast

Die Umkehr der Beweislast ist eine der weitreichendsten Änderungen in der DSGVO. Sie müssen ab 25.5.2018 als Unternehmen belegen, dass Sie die Regeln einhalten. Es reicht also nicht, zu warten, dass Ihnen irgendjemand einen Verstoß nachweist. Bedeutet Aufzeichnungspflicht Ihrer Datenverarbeitungsprozesse.  Im Zweifel müssen Sie Zweck, Art und Umfang der Datenverarbeitung belegen können.

Umsetzung der DSGVO

für Website-Betreiber in der Praxis

Erster Schritt ist die Definition und Erfassung, bei welchen Daten es sich um personenbezogene Daten handelt und auf der Website verarbeitet werden. Z.B. :

Vorname, Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstage, Kontoverbindungen etc.

Wichtig zu wisssen ist, dass sogenannte Online-Kennungen, wie zum Beispiel Standortdaten, IP-Adressen, Cookies etc. ebenso personenbezogene Daten nach DSGVO sind.

Fast jede Website ist somit von der DSGVO betroffen, wenn

  • IP-Adressen von Website-Besuchern übermittelt und gespeichert werden.
  • Sie mit Tracking und Cookies das Nutzerverhalten analysieren, z.B. mit google analytics
  • sie Kontaktformulare enthält.
  • die Möglichkeit besteht, sich für einen Newsletter anmelden zu können.
  • sie über eine Kommentarfunktion mit E-Mail-Angabe verfügt. Sobald Besucher z.B. auf Ihrem Blog Beiträge kommentieren können, werden Benutzername, E-Mail-Adressen und Website  auf Ihrer Seite gespeichert.
  • Social Media Plugins benutzt werden, die nicht datenschutzkonform sind.

Umsetzung der DSGVO auf Ihrer Website

Die wichtigsten Schritte

BCvision marketing&communication setzt in jedem Fall die folgenden Schritte bei allen Websites der betreuten Kunden um:

Aktualisieren der Datenschutzerklärung nach DSGVO

Hierzu gibt es bereits viele Generatoren und Mustertexte. Bei BCvision marketing&communication werden auf Rechtssicherheit geprüfte Texte eingesetzt. Entsprechend den auf der jeweiligen Website verwendeten personenbezogenen Daten wird jede Seite individuell angepasst.

Fakt ist, dass für eine DSGVO-konforme Datenschutzerklärung jede bisherige Datenschutzerklärung erneuert werden muss.

Umstellung der Website auf HTTPS

Ab sofort werden alle Websites, sofern noch nicht geschehen, mit einem SSL-Zertifikat versehen. Damit werden Daten in jedem Fall verschlüsselt übertragen. Damit die Website hinterher das kleine Schloss-Symbol im Browser anzeigt und vor allem die Linkstruktur auch künftig funktioniert, sind ein paar weitere technische Anpassungen notwendig.

Verträge zur Auftragsdatenverarbeitung gemäß DSGVO

Es reicht z.B. nicht, nur auf auf den Einsatz von Google Analytics in der Datenschutzerklärung hinzuweisen. Sie müssen dem User auch eine zusätzliche Opt-Out-Möglichkeit anbieten. Zusätzlich müssen Sie einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. BCvision marketing&communication nimmt z.B. die notwendigen Einstellungen hierfür direkt in Ihrem Google Analytics Account vor. Niemand muss dafür noch einen Brief nach Irland schicken. Anderenfalls bekommen Sie von uns einen Hinweis.

Wir empfehlen übrigens auch, einen Vertrag zur Auftragsverarbeitung gemäß DSGVO mit Ihrem Hoster (DomainFactory, Strato, 1&1 etc.)  abzuschließen, wenn Sie personenbezogene Daten auf deren Servern speichern und verarbeiten. Für unsere Kunden bei Domain Factory steht der Vertrag hier unter Punkt 16 zum Download zur Verfügung.

Weitere Anpassungen auf der Website gemäß DSGVO

Die Website wird von BCvision marketing&communication entsprechend angepasst. Dazu ersetzen wir Plugins, die nicht mehr DSGVO konform sind durch Alternativen. Oder wir bauen zusätzliche Plugins ein, z.B. um die Opt-Out-Funktionalität für Google Analytics zu ermöglichen, den Einsatz von Social Media Buttons rechtssicher zu machen oder das Kommentarfeld mit einer Checkbox zu ergänzen, durch deren Anklicken der User den Datenschutzbedingungen zustimmt, etc etc.

Anonymisierung der IP-Adresse

Auch hier genügt es nicht, in der Datenschutzerklärung eine entsprechende Formulierung stehen zu haben, sondern es muss auch technisch umgesetzt werden!

Fazit

…und wann beginnen Sie mit der Umstellung Ihrer Website?

Die EU-DSGVO ist umfangreich. Es ist ratsam, jetzt schnellstens die Anpassungen an der Website vorzunehmen. Wir verzichten mal auf die Nennung der Konsequenzen, insbesondere die Höhe der Bußgelder. Das machen schon die meisten Anwälte im Netz. Allerdings sollten Sie das Thema ernst nehmen, auch wenn das wieder zusätzliche Arbeit bedeutet.

Wenn Sie bedarf für Ihren Internetauftritt haben, dürfen Sie BCvision marketing&communication gerne ansprechen. Wir helfen gerne weiter.

Dieser  Artikel gab Ihnen einen Überblick über die wichtigsten Punkte der DSGVO. Er ersetzt jedoch  keine Rechtsberatung. Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen nicht nur die, die ihre Website betreffen,  lassen Sie sich am besten von einem darauf spezialisierten Anwalt beraten.

Quellen:

Datenschutzgrundverordnung – Gesetz

0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert