Bist du bereit für die DSGVO (Datenschutz-Grundverordnung)?

Datenschutz wird in Deutschland und der EU immer größer geschrieben. Aus diesem Grund wurde am 25. Januar 2012 die EU-Datenschutzreform vorgestellt. Ein Teil dieser Datenschutzreform ist die sogenannte Datenschutz-Grundverordnung kurz DSGVO, welche am 25. Mai 2016 in Kraft getreten ist und ab dem 25. Mai 2018 angewendet werden muss.

Mithilfe der EU-DSGVO sollen die Datenschutzrechte innerhalb der EU vereinheitlicht werden, da aktuell überall andere Gesetze und Standards gelten. Auch wenn jetzt vielleicht viele denken, dass dieses „neue“ Datenschutzrecht nur große Firmen und Shops betrifft – das ist leider nicht so, denn die DSGVO betrifft wirklich JEDES Unternehmen, welches im Internet aktiv ist. Durch die umfangreichen Änderungen bedarf es auch Änderungen an nahezu jeder Website. Ich möchte hier einen kleinen Einblick in die wichtigsten Anpassungen geben, welche für die meisten Websites und Webshops zutreffen.

Vorab zur Info: Ich bin kein Rechtsberater und alle Informationen sind ohne Gewähr.

Werden auf meiner Website personenbezogene Daten übertragen?

Findet auf deiner Website ein Kontaktformular Anwendung oder gibt es eine Newsletter-Funktion? Gibt es vielleicht einen Loginbereich? Werden auf andere Art und Weise personenbezogene Daten übertragen?

Falls eines der Punkte auf deine Website zutrifft, muss diese auf jeden Fall mit SSL verschlüsselt werden. Ob deine Website SSL verschlüsselt ist, erkennst du an einem „grünen Schloss“ in deinem Webbrowser. Falls diese nicht vorhanden ist oder gelb, besteht hier auf jeden Fall Handlungsbedarf.

Ferner sollte deine Datenschutzerklärung entsprechende Texte zur Datenverarbeitung bei Kontaktformularen, Newslettern und Co. beinhalten. Es ist hier zudem wichtig, dass der Benutzer eine Einwilligung zur Datenverarbeitung abgibt und über seine Rechte informiert wird. Das sollte am besten direkt am entsprechenden Formular mit einer verpflichtenden Checkbox gelöst werden. Zudem sollte man in dieser Checkbox nochmals auf die Datenschutzerklärung verweisen, in der das Thema detaillierter erläutert wird.

Übrigens sind Server-Log-Files auch schon personenbezogene Daten 😉

Benötigt mein Unternehmen einen Datenschutzbeauftragten?

Nach Artikel 35 ff der DSGVO wird die Bestellpflicht für einen Datenschutzbeauftragten geregelt und zwar europaweit.

So müssen zum Beispiel Unternehmen einen Datenschutzbeauftragten bestellen, wenn mindestens 10 Personen regelmäßig personenbezogenen Daten verarbeiten. Eine Ausnahme gibt es hier allerdings bei der Verarbeitung bestimmter Kategorien von personenbezogenen Daten, wie etwa die Rasse, die ethnische Herkunft, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben oder politische Meinungen. In diesem Sonderfall ist die Anzahl an Personen irrelevant und die Bestellung eines Datenschutzbeauftragten Pflicht!

Gleiches gilt für Unternehmen, bei denen das Kerngeschäft aus der Verarbeitung von personenbezogenen Daten besteht. Bei diesen Unternehmen ist ebenfalls die Anzahl an Personen, die Zugriff auf die personenbezogenen Daten haben, irrelevant und die Bestellung eines Datenschutzbeauftragten in jedem Fall verpflichtend!

Benötigt meine Website einen Hinweis zur Verwendung von Cookies?

Nahezu jede Website verwendet Cookies, sei es durch das angebundene CMS, durch Tracking-Tools wie Google-Analytics oder zur besseren Benutzerführung. Der Umgang mit Cookies wird in der EU durch die „Cookie-Richtlinie“ geregelt. In Deutschland wurde die Richtlinie, welche eine zwingende Einwilligung des Nutzers bei der Verwendung von Cookies vorsieht aber gar nicht umgesetzt.

Sollte deine Website Google Analytics oder Google Adsense verwenden, sieht das ganze aber schon wieder anders aus. Google hat nämlich bereits im September 2015 eine entsprechende Richtlinie zur Einwilligung von Nutzern innerhalb der EU veröffentlicht. Hier heißt es „Wenn Google-Produkte genutzt werden, bei denen diese Richtlinie Anwendung findet, müssen Endnutzern in der Europäischen Union bestimmte Informationen offengelegt und Einwilligungen von ihnen eingeholt werden, sofern das Datenschutzrecht der Europäischen Union diese Offenlegungen und Einwilligungen erfordert.“

Die aktuelle Rechtslage ist nicht 100 % klar, ob man auch einen Cookiehinweis bei Websites ohne Google Adsense oder Google Analytics integrieren muss oder sogar die Einwilligung des Benutzers zur Verwendung von Cookies einholen sollte. Die optimale Umsetzung ist daher noch etwas unklar, man sollte aber lieber auf Nummer Sicher gehen und eine entsprechende Hinweisbox integrieren, die den Benutzer über die Verwendung von Cookies informiert.

Brauche ich eine neue Datenschutzerklärung auf meiner Website?

In der Regel sind die auf Websites zu findenden Datenschutzerklärung nicht ausreichend für die DSGVO und zum Großteil stark in die Jahre gekommen. Ich empfehle daher die Datenschutzerklärung, falls überhaupt vorhanden, inhaltlich zu prüfen und ggf. anzupassen. Eine Datenschutzerklärung sollte übrigens über jede Unterseite der Website mit nur einem Klick erreichbar sein und auf einer eigenen Seite Platz finden, also z.B. nicht innerhalb der Seite „Impressum“. Datenschutzerklärungen sind für jede nicht private Website Pflicht!

Das ist mir alles zu viel – was passiert wenn ich die DSGVO nicht beachte und meine Website entsprechend anpasse? Gibt es hier Gefahren?

Unwissenheit schützt vor Strafe nicht und diese können ziemlich kostspielig werden. Bei Verstößen gegen die DSGVO können Bußgelder in einer Höhe von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Vorjahresumsatzes verhängt werden! Man sollte das Thema also nicht unbedingt auf die leichte Schulter nehmen, auch wenn am 25. Mai 2018 wahrscheinlich nicht direkt eine Abmahnwelle losgehen wird. Aber lieber zu früh darum kümmern, als später das ganze zu vergessen und irgendwann mit einer Abmahnung überrascht zu werden.

Wie du merkst ist das Thema Datenschutz bzw. DSGVO sehr komplex und ich habe hier wirklich nur einen kleinen Einblick gegeben. Neben der technischen Anpassungen benötigen viele Unternehmen nämlich auch ein Verarbeitungsverzeichnis, datenschutzoptimierte Prozesse und müssen auf Unterrichtungs- und Löschungspflichten acht geben. Im Zweifel sollte hier auf jeden Fall ein Anwalt oder Rechtsberater zur Seite gezogen werden. Für die technischen Anpassungen an der Website oder z.B. den Abschluss eines Auftragsdatenverarbeitungsvertrag mit deinem Provider stehe ich dir gerne zur Seite. 😉

Ich wünsche euch noch einen schönen Feiertag und stehe bei Fragen wie immer gerne für euch zur Verfügung

Euer Simon 🙂