Datenschutz in der digitalen Welt des Internets ist eine der größten Herausforderungen unserer Zeit. Das Europäische Parlament hat deshalb eine EU-weit einheitliche Datenschutz-Grundverordnung (DSGVO bzw. DS-GVO oder auch EU-DSGVO) zum Schutz personenbezogener Daten innerhalb der Europäischen Union verabschiedet, die bereits im Mai 2016 in Kraft getreten ist und ab dem 25.05.2018 mit allen Konsequenzen angewendet wird. Verstöße gegen die DSGVO können ab da an mit Abmahnungen und hohen Geldbußen geahndet werden. Sofern Sie Ihre Webseite noch nicht an die neuen Regelungen angepasst haben, sollten Sie dies schnellstmöglich tun.

Was ist das Ziel der DSGVO?

Die DSGVO wurde verabschiedet, um den ungehemmten Austausch personenbezogener Daten in der EU zu regulieren, um das Schutzrecht für personenbezogene Daten in Onlinediensten auszuweiten und so die Rechte von Internetnutzern zu stärken. Mit der DSGVO werden die Erhebung, die Speicherung, die Verarbeitung und die Weitergabe personenbezogener Daten erstmals europaweit einheitlich geregelt.

Was sind personenbezogene Daten?

Beginnen wir mit der wichtigsten Frage: Was sind eigentlich personenbezogene Daten? Personenbezogene Daten gemäß DSGVO sind alle Arten von Daten, die eine Person identifizierbar machen, darunter fallen in erster Linie klassische Angaben wie:

  • Vorname, Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstage, Kontoverbindungen etc.

Als personenbezogene Daten gemäß DSGVO gelten aber auch:

  • Online-Kennungen, wie z.B. Standortdaten, IP-Adressen, Cookies etc., da auch diese für eine personenbezogene Identifikation genutzt werden können.

 

Verschärfte Bestimmungen im Umgang mit personenbezogenen Daten

Für Deutschland galten bisher schon strenge Datenschutzrichtlinien. Die Bestimmungen der neuen EU-Datenschutz-Grundverordnung gehen in einigen Punkten aber noch einen Schritt weiter. Das betrifft zum Beispiel die folgenden Punkte:

Nutzung personenbezogener Daten nur mit Erlaubnis

Gemäß der DSGVO ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis des Kunden, die Sie z.B. bei Produktbestellungen oder Anmeldungen zu Newslettern oder Online-Diensten explizit einholen müssen. Es gilt dies auch: Nutzungsverbot mit Erlaubnisvorbehalt.

Das Gebot der Datensparsamkeit

Gemäß der DSGVO dürfen Sie nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich für Ihre Dienstleistungen benötigen.

Personenbezogene Daten müssen zweckgebunden verwendet werden

Sie dürfen personenbezogene Daten nur zu dem Zweck verarbeiten, für den Sie diese erhoben haben.

Die Richtigkeit der Daten

Personenbezogene Daten müssen inhaltlich und sachlich richtig sein und aktuell gehalten werden.

Das Recht auf Löschung

Die Erlaubnis für die Verwendung personenbezogener Daten kann von der betroffenen Person jederzeit auch wieder entzogen werden. Wenn die Person dieses Recht geltend macht, müssen die entsprechenden Daten umgehend gelöscht werden.

Die Rechenschaftspflicht

Auf Anforderung müssen Sie die Einhaltung der Datenschutzprinzipien nachweisen können. Deshalb sollten Sie ein Verzeichnis der Verarbeitungstätigkeiten anlegen.Dazu später mehr.

 

Welche Webseiten betrifft die DSGVO?

Der erweiterte Begriff von personenbezogenen Daten, unter den jetzt auch Online-Kennungen, wie Standortdaten, IP-Adressen, Cookies etc. fallen, hat weitreichende Konsequenzen, denn damit ist fast jede Webseite von der DSGVO betroffen. Warum?

IP-Adressen von Website-Besuchern

Bei jedem Aufruf einer Webseite wird die IP-Adresse des Besuchers übermittelt, diese kann z.B. in einer Logfile-Datei gespeichert werden.

Kommentarfunktionen

Wenn Besucher auf Ihrer Webseite Seiten oder Beiträge kommentieren können, werden E-Mail-Adressen und Benutzernamen/Nicknames auf Ihrer Seite gespeichert.

Kontaktformulare

In Kontaktformularen geben Besucher nicht nur persönliche Daten wie Name, Anschrift, E-Mail-Adresse etc., sondern auch sensible Daten wie Kreditkartennummern und Kontoverbindungen ein.

Newsletter-Anmeldungen

Bei Newsletter-Anmeldungen werden standardmäßig die E-Mail-Adresse und darüber oft auch weitere persönliche Daten wie Name und Vorname etc. erhoben.

Tracking und Cookies

Nutzen Sie Cookies, um das Nutzerverhalten auf Ihrer Webseite zu analysieren? Auch die mit einem Cookie gesammelten Daten können Rückschlüsse auf eine konkrete Person liefern und unterliegen daher ebenfalls der DSGVO.

Social Media Plugins

Viele Social Media Plugins übermitteln automatisch Benutzerdaten an Soziale Netzwerke. Nach der DSGVO ist dafür allerdings die ausdrückliche Einwilligung des Nutzers erforderlich. Achten Sie daher auf ein datenschutzkonformes Social Media Plugin.

Diese Beispiele zeigen, dass sich praktisch jeder Website-Betreiber auf die Anforderungen der neuen Datenschutz-Grundverordnung einstellen muss. Wir haben Ihnen die wichtigsten Punkte zusammengestellt.

 

Mehr Transparenz im Umgang mit personenbezogenen Daten

Mit der neuen Datenschutz-Grundverordnung wird der Umgang mit personenbezogenen Daten deutlich transparenter. Besucher einer Webseite haben am dem 25.05.2018 ein Recht darauf, zu erfahren:

  • ob personenbezogene Daten auf einer Webseite erhoben werden,
  • um welche Daten es sich handelt,
  • zu welchem Zweck sie erhoben werden,
  • wie diese Daten verarbeitet werden,
  • wo und wie lange sie gespeichert sind,
  • ob personenbezogene Daten an Dritte weitergegeben werden.

Außerdem hat jeder Besucher künftig ein Recht auf Einsicht in die über ihn gespeicherten Daten, ein Recht auf die Übertragung aller seiner personenbezogenen Daten sowie ein Recht auf die Löschung seiner personenbezogenen Daten.

 

Erstellen Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten

Ab dem 25.05.2018 müssen Sie im Zweifelsfall nachweisen, dass Sie datenschutzkonform handeln. Legen Sie daher ein Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten für Ihre Webseite an.

Darin sollten Sie verzeichnen:

  • wer für die Verarbeitung personenbezogener Daten verantwortlich ist – inklusive Kontaktdaten,
  • wie die Daten auf der Webseite erhoben werden,
  • zu welchem Zweck die Daten verwendet werden,
  • welche Datenkategorien es gibt,
  • wie die Daten gespeichert werden,
  • ob es Fristen für die Löschung von Daten gibt,
  • welche technischen und/oder organisatorischen Maßnahmen zum Schutz der Daten getroffen werden,
  • Notfallmaßnahmen im Fall eines Datenlecks,
  • etc.

Eine Aufstellung in Form einer Liste reicht im Allgemeinen. Das Verzeichnis der Verarbeitungstätigkeiten ist ein internes Dokument, mit dem Sie im Falle eines Falles (zum Beispiel bei einem Datenleck) nachweisen können, dass die Anforderungen der DSGVO umgesetzt haben. Je nach Unternehmensgröße und Geschäftsfeldern kann die Form des Verarbeitungsverzeichnisses eine kurze Auflistung sein oder zu einer komplexen Dokumentation werden, die auch eine umfangreiche Datenschutz-Folgeabschätzung enthalten sollte. Das ist insbesondere für Unternehmen aus dem Finanz- und Gesundheitsbereich wichtig, die zum Teil mit hochsensiblen Kundendaten arbeiten.

Hier finden Sie weitere Informationen und Muster für die Erstellung eines Verarbeitungsverzeichnisses.

 

Datenschutzerklärung

Jede Webseite, auf der personenbezogene Daten erhoben werden – und wie Sie sehen, sind das praktisch alle -, benötigen neben einem Impressum auch eine Datenschutzerklärung, die ebenfalls auf die Vorgaben der DSGVO abgestimmt sein muss.

Welche Informationen sollte Ihre Datenschutzerklärung liefern?

  • Legen Sie in einem allgemeinen Absatz dar, dass Sie personenbezogenen Daten erheben und wie Sie diese nutzen. Sie sollten außerdem erklären, dass Sie sich zur Einhaltung des Datenschutzes gemäß der DSGVO verpflichtet haben.
  • Kunden haben ein Auskunftsrecht, deshalb sollten Sie erklären, wie man dieses Recht wahrnehmen kann und eine Kontaktadresse angeben, zumindest eine E-Mail-Adresse an die man Auskunftsanfragen senden kann.
  • Führen Sie im Folgenden genauer aus, wie die Daten auf Ihrer Webseite erhoben werden, zu welchem Zweck die Daten verwendet werden, welche Datenkategorien es gibt, wie die Daten gespeichert werden, ob es Fristen für die Löschung von Daten gibt, etc.
  • Ein besonderes Thema sind Cookies und das Website-Tracking. Besucher sollten die Möglichkeit haben, die Verwendung personenbezogener Daten zu verhindert. Weisen Sie Ihre Besucher z.B. auf entsprechende Lösungen, wie das Browser-Add-on zur Deaktivierung von Google Analytics
  • Ein weiteres wichtiges Thema sind Social Media Plugins, denn auch diese können unter Umständen automatisch Informationen über Website-Besucher an Soziale Netzwerke übermitteln. Gemäß der DSGVO ist dafür allerdings eine ausdrückliche Einwilligung der Nutzer erforderlich. Verwenden Sie deshalb mindestens eine 2-Klick-Lösung. Für WordPress wurde mit Shariff Wrapper darüber hinaus ein datenschutzkonformes Social Media Plugin entwickelt.
  • Nutzen Sie Re-Targeting, sollten Sie auch zu diesem Thema – insbesondere zu den eingesetzten Verfahren – einen eigenen Absatz in Ihre Datenschutzerklärung einfügen.

 

Hinweis:

Bitte beachten Sie, dass Webseiten, die keine Datenschutzerklärung besitzen, obwohl auf ihnen personenbezogene Daten erhoben werden, künftig abgemahnt werden können.

 

Erstellung einer Datenschutzerklärung – leicht gemacht

Mittlerweile gibt es eine ganze Reihe von Online-Tools, mit denen Sie eine Datenschutzerklärung kostenlos generieren können. Sie werden Schritt für Schritt durch den Erstellungsprozess geführt und können individuell entscheiden, welche Punkte Sie in Ihrer Datenschutzerklärung aufnehmen wollen und welche nicht.

Interessante Online-Tools für die Erstellung einer Datenschutzerklärung gemäß DSGVO sind zum Beispiel:

Weitere Online-Tools finden Sie in unserem Artikel: So einfach erstellen Sie eine Datenschutzerklärung für Ihre Webseite – die besten Online-Tools im Überblick

 

Hinweis:

Die Anbieter dieser Online-Tools und auch wir übernehmen keine Haftung für die Vollständigkeit und Richtigkeit der erzeugten Datenschutzerklärungen. Sie sollten diese unbedingt selbst noch einmal überprüfen und gegebenenfalls weiter an Ihr Unternehmen anpassen und die Datenschutzerklärung abschließend von einem Anwalt bzw. einem Datenschutzbeauftragten prüfen lassen.

 

 

Online-Formulare müssen dem Zweck angemessen sein

Anmeldungen, Bestellungen oder die Angabe von Kontaktdaten auf Webseiten erfolgen in der Regel über ein Online-Formular.  Um die Integrität und Vertraulichkeit der personenbezogenen Daten gewährleisten zu können, sollte die Übertragung dieser Informationen grundsätzlich über eine geschützte, verschlüsselte Verbindung erfolgen. Das gilt für Newsletter-Anmeldungen ebenso wie für Kontaktdaten oder sensible Informationen, z.B. Kontoverbindungen und Passwörter. Nutzen Sie für Ihre Internetpräsenz deshalb ein SSL-Zertifikat und stellen Sie Ihre Webseite auf HTTPS um.

Tipps zur Umstellung von HTTP auf HTTPS haben wir Ihnen in diesem Artikel zusammengestellt

Grundsätzlich gilt auch für Online-Formularen der Grundsatz der Datenminimierung. Das heißt: die Datenerhebung muss „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ (vgl. Art. 5 – EU-DSGVO – Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten). Die wesentlichen Angaben müssen als Pflichtfelder gekennzeichnet sein. Denken Sie daran: Die Abfrage zusätzlicher Informationen, die für den Verwendungszweck nicht unbedingt erforderlich sind (Nice-to-have-Angaben wie z.B. die Angabe des Berufs bei einer Online-Bestellung) erhöhen nicht nur die Absprungrate Ihrer Interessenten, sondern diese Angaben müssen grundsätzlich freiwillig sein.

 

E-Mail-Marketing nur nach ausdrücklicher Zustimmung des Kunden/Interessenten

Auch die Anmeldung für einen Newsletter muss grundsätzlich freiwillig sein und darf keinesfalls automatisch mit dem Kauf z.B. eines Produktes oder mit der Anmeldung zu einem Service verbunden sein. Für den Kunden/den Interessenten muss darüber hinaus klar erkennbar sein, für welchen Zweck die personenbezogenen Daten eingesetzt werden. Auch hier gilt der Grundsatz der Datenminimierung. Für eine Newsletter-Anmeldung sollte nur die E-Mail-Adresse verpflichtend angegeben werden. Alle weiteren Angaben wie zum Beispiel Name und Vorname sollten freiwillig erfolgen. Nutzen Sie für die Newsletter-Anmeldung das Double-Opt-In Verfahren und speichern Sie die Anmeldedaten, denn gemäß der DSGVO müssen Sie jederzeit nachweisen können, dass der User die Verwendung seiner Daten bewilligt hat. Außerdem muss der User eine Widerruf-Möglichkeit haben, mit der er die Einwilligung zur Nutzung seiner Daten widerrufen kann, z.B. in Form eines Abmeldelinks im Newsletter.

 

Das Recht auf Löschung / das „Recht auf Vergessen werden“

Gemäß der DSGVO kann eine betroffene Person die Einwilligung zur Nutzung seiner personenbezogenen Daten jederzeit widerrufen. In diesem Fall kann die Person verlangen, „dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche dazu verpflichtet ist, personenbezogene Daten unverzüglich zu löschen …“. Das Gleiche gilt, wenn der Zweck, für den diese Daten erhoben oder verarbeitet wurden, nicht mehr vorhanden ist bzw., wenn die personenbezogenen Daten unrechtmäßig verarbeitet

Weitere Informationen zum Recht auf Löschung vgl. Art. 17 DSGVO – Recht auf Löschung

 

Recht auf Datenübertragbarkeit

Personen haben zudem das Recht, dass ihnen auf Anfrage sämtliche Daten ausgehändigt werden, die sie betreffen. Diese Regelung betrifft sowohl die Daten, die durch die Einwilligung des Nutzers oder durch einen Vertragsabschluss erhoben wurden. Die Übergabe hat in einem gängigen Format zu erfolgen.

Weitere Informationen zum Recht auf Datenübertragbarkeit vgl. Art. 20 DSGVO

In Ihrer Datenschutzerklärung muss dafür eine Kontaktadresse bzw. E-Mail-Adresse ausgewiesen sein.

 

Fazit

Sie erheben und nutzen personenbezogene Daten Ihrer Website-Besucher? Dann checken Sie jetzt Ihre Webseite. Stellen Sie sicher, dass Sie alle Anforderungen der neuen EU-Datenschutz-Grundverordnung erfüllen, denn ab dem 25. Mai 2018 können Verstöße mit Abmahnungen und hohen Geldbußen geahndet werden.

Wichtiger rechtlicher Hinweis!

Unser Artikel gibt Ihnen einen Überblick über die wichtigsten Punkte der DSGVO. Er ist allerdings kein Ersatz für eine Rechtsberatung. Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen sollten sie sich in jedem Fall von einem Anwalt oder Datenschutzbeauftragen beraten lassen.

 

Weitere Informationen zum Thema:

Bildnachweis: Pixabay Free Pictures

 

Wolf-Dieter Fiege

Wolf-Dieter Fiege ist Senior Specialist für Content Marketing & SEO und Chefredakteur des Blogs der Host Europe GmbH, einem der größten Anbieter von Domain- und Webhosting sowie Serverprodukten in Europa.

8 thoughts on “Ab dem 25.05.2018 gilt die DSGVO – Darauf sollten Sie jetzt achten!

  1. Sehr geehrter Herr Fliege,

    ein Artikel mehr im Netz der dasselbe erzählt. Als Hoster muss man das sicher so machen 😉
    So weit so gut. Der Link auf die Kanzlei Metzler, die einen Datenschutzgenerator „2015“ anbietet, birgt sicherlich noch einiges an Recherchepotential.

    Wie gut, dass man als HostEurope Kunde des Googelns mächtiger ist, als der Hoster seiner Wahl.

    Beste Grüße,
    M.Wolfert

    • Hallo Herr Wolfert,

      Sie sollten bedenken, dass die DSGVO bereits vor 2 Jahren (2016!) vom EU Parlament beschlossen und im Mai 2016 in Kraft getreten ist. Inhaltlich hat sich seitdem nichts an dieser Richtlinie geändert. Die Kanzlei Metzler war eine der ersten, die sich auf dieses Thema spezialisiert hat und deshalb schon rechtzeitig einen entsprechenden Generator entwickelt hat, da die entscheidenden Punkte, die die Datenschutzerklärung betreffen, schon 2015 bekannt waren. Das Thema DSGVO wird jetzt in einem anderen Sinne aktuell, da am 25.05.2018 die zweijährige Übergangsfrist abläuft und das Gesetz umgesetzt wird, d.h. Bussgelder drohen.

      Mit besten Grüßen
      Wolf-Dieter Fiege

  2. Sehr geehrter Herr Fliege,
    Der Artikel ist ja durchaus eine gute Zusammenfassung der Rechtslage.
    Was ich bisher allerdings vermisse ist etwas vorarbeit Seitens Host Europe.. ähnlich ihrer günstig Kollegen aus Karlsruhe (net…), welche durchaus darauf hinweisen das man auch mit Ihnen als Hoster einen Vertrag zur Auftragsdatenverarbeitung benötigt.
    Etwas vorarbeit hier in Sachen der Formulierung und Auflistung der Punkte welche man bei Ihren Hostingangeboten beachten muss.

    Falls ich das Ganze nur übersehen habe wäre es nett, wenn sie mir die Informationen dazu über die hier angegebenen Email-Adresse zukommen lassen.

    So ganz nebenbei, dieses Kontaktformular bedarf auch noch der Überarbeitung… ich wurde Nichtmal im Ansatz über die in Art.13 DSGVO aufgelisteten Punkte Informiert und wüsste natürlich gerne:
    Wer hat Einsicht darauf?
    Wozu wird sie genutzt?
    Wie lange wird sie denn gespeichert?

    Grüße

    • Hallo,

      unsere Kontaktformulare werden derzeit zum Teil noch aktualisiert. Alle Formulare sollten in der aktualisierten Version rechtzeitig verfügbar sein, bevor die DSGVO ab dem 25.5.2018 umgesetzt wird.

      Ob Sie einen Vertrag zur Auftragsdatenverarbeitung benötigen, hängt davon ab, wie und wofür Sie Ihr Hosting-Produkt von Host Europe nutzen. Holen Sie sich dazu am besten rechtskundige Beratung von einem Fachanwalt.

      Den Vertrag zur Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO zum Download finden Sie hier: https://www.hosteurope.de/download/AV_TOM_Host_Europe_V3.0.pdf

      Mit besten Grüßen
      Wolf-Dieter Fiege

  3. Sehr geehrter Herr Fliege, eigentlich hatte ich Google gebeten mir bei der Suche nach der Kombination Host Europe und Vertrag zur Auftragsverarbeitung zu helfen, da wir die Webseite für unseren Verein (36 Mitglieder) hier hosten. Dieser Punkt fehlt aber in Ihrer Aufzählung.
    Geht dieser Vertrag zur Auftragsverarbeitung über den normalen Vertrag hinaus ?
    Oder anders gefragt ist ein Webhosting Vertrag ein Vertrag zur Auftragsverarbeitung?

    Mit verwirrten Grüßen
    Christian Hartmann

  4. Hallo Herr Fiege,

    Ich finde das alles sehr informativ.

    Ich schreibe diesen Kommentar in erster Linie deswegen, weil offenbar keiner der Herren, die bislang etwas kommentier hatten, in der Lage war Ihren Namen richtig zu schreiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Die von Ihnen hier erhobenen Daten werden von der Host Europe GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.hosteurope.de/AGB/Datenschutzerklaerung/