back to top

Blog

Die DSGVO im Überblick

 

Diese Anpassungen müssen Webseitenbetreiber vornehmen um eine DSGVO Konforme Webseite zu realisieren und Abmahnungen zu vermeiden.

Ab dem 25. Mai 2018 tritt die Datenschutzgrundverordnung in Kraft. Durch Diese kommt es EU – weit in fast allen Bereichen des Datenschutzrechts zu gravierenden Änderungen. Auch im Wvnderlab ist die DSGVO ein präsentes Thema. Webseitenbetreiber sind verunsichert darüber, welche Auswirkungen diese haben.

Dies haben wir uns zum Anlass genommen, noch einmal auf die wichtigsten Neuerungen einzugehen.

Wir klären euch darüber auf, wer von diesen Veränderungen betroffen ist, welche Folgen das Nichteinhalten der DSGVO haben kann und was zu tun ist, um Abmahnungen von vornherein zu vermeiden.

 

 

Wer ist von den Änderungen betroffen?

 

Die Bestimmungen der Datenschutzgrundverordnung treffen jeden Unternehmer und Webseitenbetreiber, sofern auf dessen Webseite personenbezogene Daten des Seitenbesuchers erhoben werden. Dies schließt auch private, nicht gewerbliche Webseiten nicht aus und dient dem Zweck, Seitennutzer und Mitarbeiter vor dem Missbrauch persönlicher Daten zu schützen. Aus diesem Grund wird das Datenschutzrecht im Zuge der DSGVO, erstmalig EU-weit vereinheitlicht, während bisher unterschiedliche Standards galten.

 

 

Inhalte der DSGVO

 

Um Seitenbesuchern gegenüber Transparenz im Umgang mit Ihren Daten gewährleisten zu können, gilt es einige Grundsätze zu beachten. So muss die Datenschutzerklärung für den Endverbraucher in leicht verständlicher, einfacher Sprache formuliert sein. Dies bedeutet gegebenenfalls im Datenschutzteil der Webseite eine vorgeschaltete, zusammenfassende Erklärung zu integrieren. Weiterhin sind die Kontaktdaten des Webseitenbetreibers sowie der Datenschutzbeauftragten (falls vorhanden) aufzuführen. Die Rechtsgrundlage der jeweiligen Datenerhebung/Verarbeitung (gesetzliche Regelung oder Einwilligung) muss konkret benannt werden.

 

Rechte des Dateninhabers – Pflichten des Webseitenbetreibers 

Im Zuge der Datenschutzgrundverordnung hat der Seitennutzer unter anderem das Recht auf Auskunft über erhobene Daten, deren Portierung und Übertragung, sowie das „Vergessen werden“, sprich die Löschung der Daten.  Letzteres muss beispielsweise geschehen, wenn der Erhebungszweck entfällt, eine Einwilligung widerrufen wurde oder ein Widerspruch des Nutzers erfolgt ist. Die Einwilligung des Seitennutzers darf nicht in der Datenschutzerklärung erklärt werden.

Weiterhin sind Webseitenbetreiber zur Auskunft über, den Umgang mit Bestelldaten, Tracking, Cookies, Social Media, Löschungsfristen, Newsletter, Auftragsverarbeitung (AV) sowie über die Dauer der Speicherung von Daten verpflichtet. Generell müssen alle Datenverarbeitungsvorgänge, die auf der Website stattfinden in der Datenschutzerklärung aufgeführt werden.

 

Verschlüsselung von Daten 

Die DSGVO verlangt die Verschlüsselung aller Daten, die bei der Interaktion zwischen Server und Webseite übermittelt werden. Dieser Austausch liegt unter anderem vor, wenn Bezahlungen getätigt, Kontaktformulare abgeschickt oder Google Maps Einbindungen genutzt werden. Hier ist es zwingend nötig eine SSL – Verschlüsselung mit gültigem Zertifikat zu integrieren.

 

 

Mit welchen Folgen muss bei nicht konformen Webseiten gerechnet werden?  

 

Aufgrund von Datenschutzverstößen können Webseiten abgemahnt werden und die DSGVO sieht hohe Bußgeldrahmen vor. Strafen können in Höhe von bis zu 20 mio € oder 4 % des weltweiten Jahresumsatzes ausfallen. Während dieser Rahmen bisher selten ausgeschöpft wurde, ist damit zu rechnen, dass Datenschutz Behörden ihr Personal aufstocken werden und das Risiko der Ahndung von Verstößen erheblich steigt.

Somit bekommt der Datenschutz wettbewerbsrechtliche Relevanz und das Risiko einer Strafe steigt auch dadurch, dass Konkurrenten auf diesem Wege erheblichen Schaden bei einander auslösen können. Ebenso werden Verbraucherschutzverbände berechtigt sein, sowohl in eigenem Namen als und auch zum Schutz der Rechte betroffener, Verstöße geltend zu machen.

Aufgrund der Beweislastumkehr sind Webseitenbetreiber im Schadensfall verpflichtet nachzuweisen, dass alle vorgeschriebenen Maßnahmen zur Prävention getroffen wurden und der Schaden somit nicht bei Ihnen entstanden sein kann. Aus diesen Gründen ist es besonders wichtig Anfragen und Beschwerden von Nutzern und Datenschutzbehörden von Anfang an sehr ernst zu nehmen.

 

 

3. Diese Änderungen müssen im Rahmen der DSGVO auf der Webseite vorgenommen werden.

 

Erneuerung des Impressums und der Datenschutzerklärung auf der Webseite.

Allgemein sollte die Datenschutzerklärung direkt auf der Startseite auffindbar und über wenige Klicks zu erreichen sein. Weiterhin ist es empfohlen, diese im Rahmen der DSGVO, anders als bisher, getrennt vom Impressum aufzuführen! Der Inhaltliche und strukturelle Aufbau der Datenschutzerklärung richtet sich individuell danach, ob, wie und in welchem Umfang personenbezogene Daten erhoben werden. Es gilt also beide Bereiche inhaltlich zu überarbeiten und technisch als gesonderte Felder auf der Startseite der Webseite zu integrieren.

 

Anpassung der Kontaktformulare

In diesem Zuge wird die Menge der abzufragenden Daten auf die wenigen benötigten Felder im Kontaktformular reduziert. Ergänzend muss auf die Datenschutzerklärung verwiesen und eine Einwilligungserklärung eingefügt werden.

Die einzelnen Formulare müssen ebenfalls Datenschutz konform gestaltet und SSL – verschlüsselt werden.

 

Vornehmen der SSL – Verschlüsselung

Die Verschlüsselung der Website wird durch ein SSL-Zertifikat vorgenommen. Hierbei wird die zur Website zugehörige Domain verschlüsselt. Das Zertifikat wird in den meisten Fällen vom Hosting-Anbieter implementiert und bereitgestellt. Aufgrund der verschiedenen Sicherheitsstufen von Zertifikaten empfehlen wir eine Beratung durch Ihre Agentur.

 

Überprüfung ausgewählter Plugins auf Datenschutz – Konformität

Ob die bestehenden Plugins weiter genutzt werden können, muss geprüft werden, andernfalls gilt es diese durch neue Datenschutz – konforme Plugins zu ersetzen.

Cookies und Tracking

In Bezug auf Cookies und Tracking ergeben sich im Zuge der Datenschutzgrundverordnung zunächst keine gravierenden Änderungen, diese werden erst in der ausstehenden ePrivacy-Verordnung (ePV) neu geregelt.

Bis dahin ist weiterhin der pauschale Einsatz eines Cookie Banners beim Aufruf der Seite anzuraten, da Content Management Systeme wie WordPress, TYPO3, Drupal etc. Cookies nutzen, um Nutzer beim Seitenbesuch zu identifizieren.

Google Analytics

Bei der Verwendung von Tools, wie Google Analytics, ist darauf generell im Datenschutz hinzuweisen. Weiterhin muss in diesem Rahmen auch die Möglichkeit des Wiederspruchs, z.B. durch Einbindung eines Opt-Out Cookies gegeben sein!

Social Media

Da Betreiber von Social Media Platformen, auch ohne Einverständniss, Cookies oder Pixel zum Usertracking verwenden, ist bei der Einbindung von Plugins darauf aufmerksam zu machen und eine Zustimmung des Users einzuholen.  Falls Daten per „iframe“ eingebunden werden, werden zwangsläufig Nutzerdaten zum Social-Network-Betreiber weitergegeben. Hier besteht die Möglichkeit, dass der Nutzer erst die Aktivierung der Plugins vornehmen muss und dabei auf die Datenschutzrechtlichen Folgen informiert wird. Andernfalls drohen Abmahnungen.

 

 

Was ist noch zu tun?

 

Datenschutzbeauftragten benennen – wenn nötig

Wenn in einem Unternehmen personenbezogene Daten von Kunden oder Mitarbeitern automatisiert (also von EDV Systemen) verarbeitet werden ist dieses verpflichtet einen Datenschutzbeauftragten zu benennen. Diesem muss ermöglicht werden, sich z.B. durch die Teilnahme an Weiterbildungen nötige Qualifikationen anzueignen.

Davon ausgenommen sind kleine Betriebe, in denen nicht mehr als 9 Mitarbeiter regelmäßig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. In diesen Fällen kann der Datenschutz beispielsweise von dem Geschäftsführer oder anderen berechtigten Personen umgesetzt werden.

Bei Daten die ein hohes Risiko für betroffene darstellen wie z.B. Sexualität, Gesundheit, Religion etc. gilt die Ausnahme nicht!

 

Datenschutz Folgenabschätzung – wenn nötig

Beim Umgang mit sensiblen Daten, wie es z.B. bei Arztpraxen der Fall ist, giltes, mit besonderer Vorsichtig vorzugehen und unter Umständen eine Datenschutz Folgenabschätzung vorzunehmen. Dies hängt stark von Art, Umfang und Erhebung der Daten ab. Zweck dieser ist es Risiken und mögliche Folgen frühzeitig erkennen und entsprechende Präventionsmaßnahmen treffen zu können. Inwiefern dies Ihre Website betrifft, muss ebenfalls im Einzelfall betrachtet werden.

 

Datenverarbeitungsverträge mit Drittdienstleistern schließen

Wie auch im alten Datenschutzrecht, muss die Erhebung und Verarbeitung Personenbezogener Daten durch Drittanbieter vertraglich geregelt werden. Dies ist beispielsweise bei externen Wartungsverträgen und Webhostings der Fall. Bei der ADV ergeben sich wenige inhaltliche Änderungen. Ab einer bestimmten Unternehmensgröße besteht die Pflicht ein Verarbeitungsverzeichnis (bisher: Verfahrensverzeichnis) zu führen. Das externe Unternehmen muss die Weisungen des verantwortlichen Auftraggebers protokollieren. Die Schriftform der ADV- Verträge an sich ist jedoch nicht mehr nötig.

 

Umgang mit Mitarbeiterdaten

Auch im Umgang mit Mitarbeiterdaten bringt die Datenschutzgrundverordnung zahlreiche Neuerungen und Pflichten mit sich, welche Arbeitgeber ab dem 25.05. einhalten müssen. Auch hier soll der Umfang der Datenerhebung zum Schutz der MA auf das nötigste reduziert werden. „Erforderliche“ Daten sind nur dann zu verarbeiten, wenn diese im Zusammenhang mit der Entscheidung über die Einstellung eines Bewerbers oder zur Ausübung bzw. Beendigung des Arbeitsverhältnisses erfasst werden. In welchem Maße und ob überhaupt die Erhebung und Verarbeitung bestimmter Daten erforderlich ist, hängt auch hier stark vom Einzelfall und weiteren Faktoren ab. Hier empfehlen wir, eine Rechtsberatung einzuholen. In jedem Fall muss der betroffene Arbeitnehmer der Verwendung seiner Daten, schriftlich zustimmen. Im Streitfall muss der Arbeitgeber die Einhaltung seiner Pflichten nachweisen können. (Dokumentationspflicht)

 

Einsicht und Meldepflicht

Laut Art.15 DSGVO haben betroffene Anspruch auf Auskunft über die Erhebung, Speicherung und Verwendung ihrer personenbezogenen Daten. Die Auskunft hat generell unverzüglich und spätestens innerhalb eines Monats nach Antragseingang zu erfolgen und ist sowohl schriftlich als auch elektronisch oder auf Verlangen, mündlich möglich. Bei Datenpannen gelten im Rahmen der Datenschutzgrundverordnung strengere Anforderungen als zuvor. Diese müssen möglichst innerhalb 72 h den Aufsichtsbehörden gemeldet werden. Art 33 DSGVO

 

Datenschutz bei Minderjährigen

Eine datenschutzrechtliche Einwilligung ist erst ab 16 Jahren oder mit Einwilligung eines Erziehungsberechtigten möglich. Damit soll Teenagern die Anmeldung bei Internetdiensten wie Facebook und Instagram künftig erschwert werden. Aktuell ist in der DSGVO nicht geregelt, wie eine Überprüfung diesbezüglich zu erfolgen hat.

 

Datenschutz bei Webseiten im Ausland

Wenn Dienste bzw. Produkte auf dem europäischen Markt angeboten werden, gilt das sogenannte Marktortprinzip, entsprechend sind hier die Bestimmungen der europäischen DSGVO zu berücksichtigen. Ebenso ist zu beachten, dass EU- Einwohner Ihre Rechte auf den Schutz von personenbezogenen Daten, im Rahmen eines Auslandsaufenthaltes nicht verlieren. Bei Daten die sich im Ausland befinden, gilt dieser Schutz gleichermaßen.

 

Newsletter

Newsletter Aktionen, Preisausschreiben – wenn keine gesetzliche Erlaubnis zum Speichern/ Übertragen bestimmter Daten vorhanden ist, muss vom Kunden die Einwilligung eingeholt und elektronisch gespeichert werden. Um die Einwilligung im Zweifel nachweisen zu können, sollte auch unter DSGVO das Double Opt – In beachtet werden. Die Einwilligung muss nach Art. 7 Abs.4 DSGVO freiwillig eingeholt werden.  – echtes Koppelungsverbot.

 

 

Fazit

 

Die DSGVO bringt komplexe Änderungen im Umgang mit personenbezogenen Daten von Kunden und Mitarbeitern mit sich. Die Bestimmungen gelten für jeden Webseitenbetreiber, der diese erfasst. Deshalb ist es für Unternehmer besonders wichtig, sowohl Unternehmensinterne Prozesse als auch die Webpräsens als solche entsprechend datenschutzkonform zu gestalten und sich kontinuierlich mit den Entwicklungen in diesem Bereich zu befassen. Andernfalls können für das Geschäft nicht nur reputative, sondern auch erhebliche finanzielle Schäden entstehen und die Webseite / der Shop abgemahnt werden.

Auch wenn nicht zwingend in jedem Fall ein Datenschutzbeauftragter zu benennen ist, sollten bestimmte Personen für datenschutzrelevante Themen zuständig sein. In komplexen Fällen sollte von einer Rechtsberatung nicht abgesehen werden. Die im Rahmen dieses Artikels vermittelten Informationen dienen lediglich als Einführung in das umfangreiche Thema der neuen Datenschutzgrundverordnung. Die letztendliche Ausgestaltung und Umsetzung ist stark vom individuellen Fall abhängig. Auf rechtlicher Seite arbeitet Wvnderlab hierzu eng mit Rechtsberatern zusammen um eine DSGVO – Konforme Umsetzung der Webseiten unserer Kunden realisieren zu können.

 

 

Johannes Bartelt

Johannes Bartelt

Kundenbetreuer

Sie finden dieses Thema spannend?

Kontaktieren Sie mich gern, ich beantworte Ihre Fragen.

E: johannes@wvnderlab.com
T: +49 152 34019051