Datenschutz in der digitalen Welt des Internets ist eine der größten Herausforderungen unserer Zeit. Das Europäische Parlament hat deshalb eine EU-weit einheitliche Datenschutz-Grundverordnung (DSGVO bzw. DS-GVO oder auch EU-DSGVO) zum Schutz personenbezogener Daten innerhalb der Europäischen Union verabschiedet, die bereits im Mai 2016 in Kraft getreten ist und ab dem 25.05.2018 mit allen Konsequenzen angewendet wird. Verstöße gegen die DSGVO können ab da an mit Abmahnungen und hohen Geldbußen geahndet werden. Sofern Sie Ihre Webseite noch nicht an die neuen Regelungen angepasst haben, sollten Sie dies schnellstmöglich tun.
Was ist das Ziel der DSGVO?
Die DSGVO wurde verabschiedet, um den ungehemmten Austausch personenbezogener Daten in der EU zu regulieren, um das Schutzrecht für personenbezogene Daten in Onlinediensten auszuweiten und so die Rechte von Internetnutzern zu stärken. Mit der DSGVO werden die Erhebung, die Speicherung, die Verarbeitung und die Weitergabe personenbezogener Daten erstmals europaweit einheitlich geregelt.
Was sind personenbezogene Daten?
Beginnen wir mit der wichtigsten Frage: Was sind eigentlich personenbezogene Daten? Personenbezogene Daten gemäß DSGVO sind alle Arten von Daten, die eine Person identifizierbar machen, darunter fallen in erster Linie klassische Angaben wie:
- Vorname, Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstage, Kontoverbindungen etc.
Als personenbezogene Daten gemäß DSGVO gelten aber auch:
- Online-Kennungen, wie z.B. Standortdaten, IP-Adressen, Cookies etc., da auch diese für eine personenbezogene Identifikation genutzt werden können.
Verschärfte Bestimmungen im Umgang mit personenbezogenen Daten
Für Deutschland galten bisher schon strenge Datenschutzrichtlinien. Die Bestimmungen der neuen EU-Datenschutz-Grundverordnung gehen in einigen Punkten aber noch einen Schritt weiter. Das betrifft zum Beispiel die folgenden Punkte:
Nutzung personenbezogener Daten nur mit Erlaubnis
Gemäß der DSGVO ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis des Kunden, die Sie z.B. bei Produktbestellungen oder Anmeldungen zu Newslettern oder Online-Diensten explizit einholen müssen. Es gilt dies auch: Nutzungsverbot mit Erlaubnisvorbehalt.
Das Gebot der Datensparsamkeit
Gemäß der DSGVO dürfen Sie nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich für Ihre Dienstleistungen benötigen.
Personenbezogene Daten müssen zweckgebunden verwendet werden
Sie dürfen personenbezogene Daten nur zu dem Zweck verarbeiten, für den Sie diese erhoben haben.
Die Richtigkeit der Daten
Personenbezogene Daten müssen inhaltlich und sachlich richtig sein und aktuell gehalten werden.
Das Recht auf Löschung
Die Erlaubnis für die Verwendung personenbezogener Daten kann von der betroffenen Person jederzeit auch wieder entzogen werden. Wenn die Person dieses Recht geltend macht, müssen die entsprechenden Daten umgehend gelöscht werden.
Die Rechenschaftspflicht
Auf Anforderung müssen Sie die Einhaltung der Datenschutzprinzipien nachweisen können. Deshalb sollten Sie ein Verzeichnis der Verarbeitungstätigkeiten anlegen.Dazu später mehr.
Welche Webseiten betrifft die DSGVO?
Der erweiterte Begriff von personenbezogenen Daten, unter den jetzt auch Online-Kennungen, wie Standortdaten, IP-Adressen, Cookies etc. fallen, hat weitreichende Konsequenzen, denn damit ist fast jede Webseite von der DSGVO betroffen. Warum?
IP-Adressen von Website-Besuchern
Bei jedem Aufruf einer Webseite wird die IP-Adresse des Besuchers übermittelt, diese kann z.B. in einer Logfile-Datei gespeichert werden.
Kommentarfunktionen
Wenn Besucher auf Ihrer Webseite Seiten oder Beiträge kommentieren können, werden E-Mail-Adressen und Benutzernamen/Nicknames auf Ihrer Seite gespeichert.
Kontaktformulare
In Kontaktformularen geben Besucher nicht nur persönliche Daten wie Name, Anschrift, E-Mail-Adresse etc., sondern auch sensible Daten wie Kreditkartennummern und Kontoverbindungen ein.
Newsletter-Anmeldungen
Bei Newsletter-Anmeldungen werden standardmäßig die E-Mail-Adresse und darüber oft auch weitere persönliche Daten wie Name und Vorname etc. erhoben.
Tracking und Cookies
Nutzen Sie Cookies, um das Nutzerverhalten auf Ihrer Webseite zu analysieren? Auch die mit einem Cookie gesammelten Daten können Rückschlüsse auf eine konkrete Person liefern und unterliegen daher ebenfalls der DSGVO.
Social Media Plugins
Viele Social Media Plugins übermitteln automatisch Benutzerdaten an Soziale Netzwerke. Nach der DSGVO ist dafür allerdings die ausdrückliche Einwilligung des Nutzers erforderlich. Achten Sie daher auf ein datenschutzkonformes Social Media Plugin.
Diese Beispiele zeigen, dass sich praktisch jeder Website-Betreiber auf die Anforderungen der neuen Datenschutz-Grundverordnung einstellen muss. Wir haben Ihnen die wichtigsten Punkte zusammengestellt.
Mehr Transparenz im Umgang mit personenbezogenen Daten
Mit der neuen Datenschutz-Grundverordnung wird der Umgang mit personenbezogenen Daten deutlich transparenter. Besucher einer Webseite haben am dem 25.05.2018 ein Recht darauf, zu erfahren:
- ob personenbezogene Daten auf einer Webseite erhoben werden,
- um welche Daten es sich handelt,
- zu welchem Zweck sie erhoben werden,
- wie diese Daten verarbeitet werden,
- wo und wie lange sie gespeichert sind,
- ob personenbezogene Daten an Dritte weitergegeben werden.
Außerdem hat jeder Besucher künftig ein Recht auf Einsicht in die über ihn gespeicherten Daten, ein Recht auf die Übertragung aller seiner personenbezogenen Daten sowie ein Recht auf die Löschung seiner personenbezogenen Daten.
Erstellen Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten
Ab dem 25.05.2018 müssen Sie im Zweifelsfall nachweisen, dass Sie datenschutzkonform handeln. Legen Sie daher ein Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten für Ihre Webseite an.
Darin sollten Sie verzeichnen:
- wer für die Verarbeitung personenbezogener Daten verantwortlich ist – inklusive Kontaktdaten,
- wie die Daten auf der Webseite erhoben werden,
- zu welchem Zweck die Daten verwendet werden,
- welche Datenkategorien es gibt,
- wie die Daten gespeichert werden,
- ob es Fristen für die Löschung von Daten gibt,
- welche technischen und/oder organisatorischen Maßnahmen zum Schutz der Daten getroffen werden,
- Notfallmaßnahmen im Fall eines Datenlecks,
- etc.
Eine Aufstellung in Form einer Liste reicht im Allgemeinen. Das Verzeichnis der Verarbeitungstätigkeiten ist ein internes Dokument, mit dem Sie im Falle eines Falles (zum Beispiel bei einem Datenleck) nachweisen können, dass die Anforderungen der DSGVO umgesetzt haben. Je nach Unternehmensgröße und Geschäftsfeldern kann die Form des Verarbeitungsverzeichnisses eine kurze Auflistung sein oder zu einer komplexen Dokumentation werden, die auch eine umfangreiche Datenschutz-Folgeabschätzung enthalten sollte. Das ist insbesondere für Unternehmen aus dem Finanz- und Gesundheitsbereich wichtig, die zum Teil mit hochsensiblen Kundendaten arbeiten.
Datenschutzerklärung
Jede Webseite, auf der personenbezogene Daten erhoben werden – und wie Sie sehen, sind das praktisch alle -, benötigen neben einem Impressum auch eine Datenschutzerklärung, die ebenfalls auf die Vorgaben der DSGVO abgestimmt sein muss.
Welche Informationen sollte Ihre Datenschutzerklärung liefern?
- Legen Sie in einem allgemeinen Absatz dar, dass Sie personenbezogenen Daten erheben und wie Sie diese nutzen. Sie sollten außerdem erklären, dass Sie sich zur Einhaltung des Datenschutzes gemäß der DSGVO verpflichtet haben.
- Kunden haben ein Auskunftsrecht, deshalb sollten Sie erklären, wie man dieses Recht wahrnehmen kann und eine Kontaktadresse angeben, zumindest eine E-Mail-Adresse an die man Auskunftsanfragen senden kann.
- Führen Sie im Folgenden genauer aus, wie die Daten auf Ihrer Webseite erhoben werden, zu welchem Zweck die Daten verwendet werden, welche Datenkategorien es gibt, wie die Daten gespeichert werden, ob es Fristen für die Löschung von Daten gibt, etc.
- Ein besonderes Thema sind Cookies und das Website-Tracking. Besucher sollten die Möglichkeit haben, die Verwendung personenbezogener Daten zu verhindert. Weisen Sie Ihre Besucher z.B. auf entsprechende Lösungen, wie das Browser-Add-on zur Deaktivierung von Google Analytics
- Ein weiteres wichtiges Thema sind Social Media Plugins, denn auch diese können unter Umständen automatisch Informationen über Website-Besucher an Soziale Netzwerke übermitteln. Gemäß der DSGVO ist dafür allerdings eine ausdrückliche Einwilligung der Nutzer erforderlich. Verwenden Sie deshalb mindestens eine 2-Klick-Lösung. Für WordPress wurde mit Shariff Wrapper darüber hinaus ein datenschutzkonformes Social Media Plugin entwickelt.
- Nutzen Sie Re-Targeting, sollten Sie auch zu diesem Thema – insbesondere zu den eingesetzten Verfahren – einen eigenen Absatz in Ihre Datenschutzerklärung einfügen.
Hinweis:
Bitte beachten Sie, dass Webseiten, die keine Datenschutzerklärung besitzen, obwohl auf ihnen personenbezogene Daten erhoben werden, künftig abgemahnt werden können.
Erstellung einer Datenschutzerklärung – leicht gemacht
Mittlerweile gibt es eine ganze Reihe von Online-Tools, mit denen Sie eine Datenschutzerklärung kostenlos generieren können. Sie werden Schritt für Schritt durch den Erstellungsprozess geführt und können individuell entscheiden, welche Punkte Sie in Ihrer Datenschutzerklärung aufnehmen wollen und welche nicht.
Interessante Online-Tools für die Erstellung einer Datenschutzerklärung gemäß DSGVO sind zum Beispiel:
Weitere Online-Tools finden Sie in unserem Artikel: So einfach erstellen Sie eine Datenschutzerklärung für Ihre Webseite – die besten Online-Tools im Überblick
Hinweis:
Die Anbieter dieser Online-Tools und auch wir übernehmen keine Haftung für die Vollständigkeit und Richtigkeit der erzeugten Datenschutzerklärungen. Sie sollten diese unbedingt selbst noch einmal überprüfen und gegebenenfalls weiter an Ihr Unternehmen anpassen und die Datenschutzerklärung abschließend von einem Anwalt bzw. einem Datenschutzbeauftragten prüfen lassen.
Online-Formulare müssen dem Zweck angemessen sein
Anmeldungen, Bestellungen oder die Angabe von Kontaktdaten auf Webseiten erfolgen in der Regel über ein Online-Formular. Um die Integrität und Vertraulichkeit der personenbezogenen Daten gewährleisten zu können, sollte die Übertragung dieser Informationen grundsätzlich über eine geschützte, verschlüsselte Verbindung erfolgen. Das gilt für Newsletter-Anmeldungen ebenso wie für Kontaktdaten oder sensible Informationen, z.B. Kontoverbindungen und Passwörter. Nutzen Sie für Ihre Internetpräsenz deshalb ein SSL-Zertifikat und stellen Sie Ihre Webseite auf HTTPS um.
Tipps zur Umstellung von HTTP auf HTTPS haben wir Ihnen in diesem Artikel zusammengestellt
Grundsätzlich gilt auch für Online-Formularen der Grundsatz der Datenminimierung. Das heißt: die Datenerhebung muss „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ (vgl. Art. 5 – EU-DSGVO – Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten). Die wesentlichen Angaben müssen als Pflichtfelder gekennzeichnet sein. Denken Sie daran: Die Abfrage zusätzlicher Informationen, die für den Verwendungszweck nicht unbedingt erforderlich sind (Nice-to-have-Angaben wie z.B. die Angabe des Berufs bei einer Online-Bestellung) erhöhen nicht nur die Absprungrate Ihrer Interessenten, sondern diese Angaben müssen grundsätzlich freiwillig sein.
E-Mail-Marketing nur nach ausdrücklicher Zustimmung des Kunden/Interessenten
Auch die Anmeldung für einen Newsletter muss grundsätzlich freiwillig sein und darf keinesfalls automatisch mit dem Kauf z.B. eines Produktes oder mit der Anmeldung zu einem Service verbunden sein. Für den Kunden/den Interessenten muss darüber hinaus klar erkennbar sein, für welchen Zweck die personenbezogenen Daten eingesetzt werden. Auch hier gilt der Grundsatz der Datenminimierung. Für eine Newsletter-Anmeldung sollte nur die E-Mail-Adresse verpflichtend angegeben werden. Alle weiteren Angaben wie zum Beispiel Name und Vorname sollten freiwillig erfolgen. Nutzen Sie für die Newsletter-Anmeldung das Double-Opt-In Verfahren und speichern Sie die Anmeldedaten, denn gemäß der DSGVO müssen Sie jederzeit nachweisen können, dass der User die Verwendung seiner Daten bewilligt hat. Außerdem muss der User eine Widerruf-Möglichkeit haben, mit der er die Einwilligung zur Nutzung seiner Daten widerrufen kann, z.B. in Form eines Abmeldelinks im Newsletter.
Das Recht auf Löschung / das „Recht auf Vergessen werden“
Gemäß der DSGVO kann eine betroffene Person die Einwilligung zur Nutzung seiner personenbezogenen Daten jederzeit widerrufen. In diesem Fall kann die Person verlangen, „dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche dazu verpflichtet ist, personenbezogene Daten unverzüglich zu löschen …“. Das Gleiche gilt, wenn der Zweck, für den diese Daten erhoben oder verarbeitet wurden, nicht mehr vorhanden ist bzw., wenn die personenbezogenen Daten unrechtmäßig verarbeitet
Weitere Informationen zum Recht auf Löschung vgl. Art. 17 DSGVO – Recht auf Löschung
Recht auf Datenübertragbarkeit
Personen haben zudem das Recht, dass ihnen auf Anfrage sämtliche Daten ausgehändigt werden, die sie betreffen. Diese Regelung betrifft sowohl die Daten, die durch die Einwilligung des Nutzers oder durch einen Vertragsabschluss erhoben wurden. Die Übergabe hat in einem gängigen Format zu erfolgen.
Weitere Informationen zum Recht auf Datenübertragbarkeit vgl. Art. 20 DSGVO
In Ihrer Datenschutzerklärung muss dafür eine Kontaktadresse bzw. E-Mail-Adresse ausgewiesen sein.
Fazit
Sie erheben und nutzen personenbezogene Daten Ihrer Website-Besucher? Dann checken Sie jetzt Ihre Webseite. Stellen Sie sicher, dass Sie alle Anforderungen der neuen EU-Datenschutz-Grundverordnung erfüllen, denn ab dem 25. Mai 2018 können Verstöße mit Abmahnungen und hohen Geldbußen geahndet werden.
Wichtiger rechtlicher Hinweis!
Unser Artikel gibt Ihnen einen Überblick über die wichtigsten Punkte der DSGVO. Er ist allerdings kein Ersatz für eine Rechtsberatung. Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen sollten sie sich in jedem Fall von einem Anwalt oder Datenschutzbeauftragen beraten lassen.
Weitere Informationen zum Thema:
- Datenschutzgrundverordnung (DSGVO) Gesetzestext
- Die Datenschutz-Grundverordnung – DSGVO
- DS-GVO: Checkliste für Datenschutzbeauftragte
Bildnachweis: Pixabay Free Pictures