Datenschutz-Grundverordnung (DSGVO) für Websitebetreiber

Einleitung

Personenbezogene Daten spielen nicht nur für Unternehmen eine zunehmend wichtige Rolle. Sie sind längst ein Wirtschaftsgut geworden und werden alltäglich von internen wie externen Geschäftsprozessen erhoben und verarbeitet. Der jüngst bekanntgewordene Datenskandal von Facebook zeigt, das Privatsphäre zum Schutz der Rechte und Freiheiten der betroffenen Personen im Internet eine immer wichtigere Rolle spielt. Das Europäische Parlament hat deshalb eine EU-weit einheitliche Datenschutz-Grundverordnung (DSGVO) zum Schutz personenbezogener Daten innerhalb der Europäischen Union verabschiedet, die mit allen Konsequenzen ab dem 25.05.2018 in Kraft treten wird. In diesem Artikel möchten wir auf die wesentlichen Änderungen für Webseitenbetreiber eingehen.

Was sind personenbezogene Daten?

In der DSGVO handelt es sich bei personenbezogene Daten um alle Arten von Daten, die eine Person identifizierbar machen. Darunter fallen offensichtliche Angaben, wie Vorname, Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstage, Kontoverbindungen etc. Nicht ganz so offensichtlich, trotzdem als personenbezogene Daten gemäß DSGVO sind auch Daten, mit denen direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, eine personenbezogene Identifikation möglich ist. Dies sind z.B. Standortdaten, IP-Adressen oder Cookies.

Welche Webseiten betrifft die DSGVO?

Nahezu alle Unternehmen, die personenbezogene Daten auf Webseiten verarbeiten, sind zur Umsetzung der DSGVO verpflichtet. In der Praxis sind das fast alle Webseiten, denn schon die Nutzung eines Kontaktformulars oder eine Kommentar-Funktion auf der Webseite gehört genauso dazu, wie die Newsletter-Anmeldung oder die Nutzung von Social Media Plugins. Webseitenbetreiber sollten daher Besuchern klar und übersichtlich darstellen, welche Daten von ihm wo und wozu erfasst werden.

Checkliste – Die wichtigsten datenschutzrechtlichen Pfichten

Die Änderungen, die sich durch die DSGVO ergeben, sind umfangreich. Verträge, AGBs und Websites müssen angepasst und neue Prozesse in die Unternehmenskultur implementiert werden. Viele Unternehmen haben bereits entsprechende Maßnahmen, die das neue Gesetz fordert, umgesetzt. Die nachfolgende „Checkliste“ fasst die wichtigsten Pflichten nicht nur für datenverarbeitende Unternehmen zusammen.

Verzeichnis von Verarbeitungstätigkeiten

Unternehmen müssen Verzeichnisse über ihre Verarbeitungstätigkeiten führen. Diese Verzeichnisse müssen ordnungsgemäß umgesetzt und laufend aktualisiert werden, sodass eine korrekte Umsetzung bei Aufsichtsbehörden nachgewiesen werden kann. Die Verzeichnisse müssen unter anderem Informationen zum Verarbeitungszweck, den Kategorien der verarbeiteten personenbezogenen Daten sowie eine Beschreibung der eingesetzten technischen und organisatorischen Schutzmaßnahmen enthalten. In einem solchen Verzeichnis muss z.B. stehen, wie die Daten auf der Webseite erhoben werden, zu welchem Zweck die Daten verwendet werden, ob es Fristen für die Löschung von Daten gibt und welche technischen/organisatorischen Maßnahmen zum Schutz der Daten getroffen werden.

Datenschutzerklärung (Einwilligung und Widerspruchsrecht)

Zum Zeitpunkt der ersten Kommunikation müssen Sie Ihre Besucher über alle Vorgänge aufklären, bei denen Sie dessen personenbezogene Daten verarbeiten. Jede Datenschutzerklärung muss den Namen und die Kontaktdaten (Anschrift und E-Mail-Adresse) des Website-Betreibers enthalten. Sofern Sie die Daten an Dritte übermitteln (z.B. externen Newsletter-Service), müssen diese entweder namentlich aufgelistet werden oder zumindest die Kategorien von Empfängern, zu denen diese Stellen gehören, genannt werden. Ein besonderes Thema sind Cookies und das Website-Tracking. Besucher sollten die Möglichkeit haben, die Verwendung personenbezogener Daten zu verhindert. Weisen Sie Ihre Besucher z.B. auf entsprechende Möglichkeiten hin, wie das Tracking von Google Analytics deaktiviert werden kann.

Ebenso muss die betroffenen Person ausdrücklich auf ihr Widerspruchsrecht hingewiesen werden, wobei dieser Hinweis in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen hat. Inzwischen gibt es eine Reihe von Online-Tools, mit denen Sie eine DSGVO-konforme Datenschutzerklärung kostenlos generieren können.

Verschlüsselung und Datenminimierung

Das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) ist der Ansicht, dass Webseitenbetreiber die Übertragung sensibler Kundendaten mittels Kontaktformularen verschlüsseln müssen, um Daten auf dem Weg vom Kontaktformular des Webseitennutzers zum Webserver des Betreibers zu schützen. Das gilt für Newsletter-Anmeldungen ebenso wie für Kontaktdaten oder sensible Informationen, wie z.B. Login-Daten und Passwörter.

Unternehmen sollten daher die Webseite auf eine verschlüsselte Verbindung via „https“ umstellen. Kunden von Campusspeicher können hierzu ein kostenloses SSL-Zertifikate von Let’s Encrypt verwenden oder ein SSL-Zertifikat von Comodo beantragen, um die eigene Seite abzusichern.

Grundsätzlich gilt, dass so wenig Daten wie möglich erhoben werden sollten. Es besteht zwar keine Pflicht, die Datenverarbeitung auf ein absolutes Minimum zu limitieren, aber die Datenerhebung ist vielmehr im Verhältnis zum Verarbeitungszweck auf ein angemessenes Niveau zu beschränken. Unternehmen sollten sich dabei die Frage stellen, ob die erhobenen Daten zur Erreichung des Verarbeitungszwecks tatsächlich notwendig sind.

Auftragsverarbeiter

Grundsätzlich sind Unternehmen für die Erfüllung der Datenschutzverpflichtungen verantwortlich und haftbar. Das bedeutet aber nicht, dass Unternehmen die Datenverarbeitung selbst ausführen müssen. Er kann stattdessen ein Auftragsverarbeiter mit der Durchführung beauftragt werden. Ein solcher Auftragsverarbeiter ist auch Campusspeicher als Hosting- und Cloud-Anbieter, der im Auftrag des Kunden bestimmte Dienste erbringt (z.B. Bereitstellung von Speicherplatz). Im Vergleich zu Dritten genießt der Auftragsverarbeiter eine privilegierte Stellung, da seine Einbeziehung durch den Verantwortlichen keiner besonderen gesetzlichen Grundlage bedarf und eine vorherige Einwilligung durch die betroffenen Personen nicht erforderlich ist.

Um die Datenverarbeitung in Einklang mit den Anforderungen der DSGVO zu bringen sollten, betroffene Unternehmen sich daher für die Beauftragung eines Auftragsverarbeiters entscheiden, der ein hinreichendes Datenschutzniveau bieten kann. Um den Auftragsverarbeiter zur Einhaltung der vom Unternehmen aufgestellten Verarbeitungsvoraussetzungen zu verpflichten, schließen die Parteien einen Auftragsverarbeitungsvereinbarung (AVV). Der Vertrag ist schriftlich abzuschließen, wobei im Zuge der DSGVO auch ein elektronisches Format akzeptiert wird.

Eine solche Auftragsverarbeitungsvereinbarung können Kunden von Campusspeicher Anfang Mai kostenfrei mit uns schließen.

Fazit:

Die umfangreichen Vorschriften der neuen Datenschutz-Grundverordnung (DSGVO) bereiten gerade kleinen und mittleren Unternehmen Schwierigkeiten. Zur Umsetzung der Datenschutzvorgaben der DSGVO im Unternehmen gibt es viele verschiedene Möglichkeiten. Den Einstieg in die Planung zur Umsetzung der DSGVO erleichtern sog. Leitfäden, wie z.B. der vom Branchenverband BITKOM. Leitfäden können Unternehmen dabei unterstützen, möglichst zielgerichtet innerhalb des Unternehmens die richtigen Prozesse in Gang zu setzen. Wer auf Nummer sicher gehen möchte, wird aber um einen Jurist oder einem Datenschutzexperte nicht herum kommen.

 

Wichtiger rechtlicher Hinweis!

Der Artikel gibt Ihnen einen Überblick über wichtigste Punkte der DSGVO. Er ist allerdings kein Ersatz für eine Rechtsberatung. Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen sollten sie sich in jedem Fall von einem Anwalt oder Datenschutzbeauftragen beraten lassen.