Datenschutz-Grundverordnung (DSGVO)
für Webseitenbetreiber
Am 25. Mai 2018 ist die die neue EU Datenschutz Grundverordnung (DSGVO) ausnahmslos in Kraft getreten. Die Übergangsphase ist vorbei. Mit der neuen DSGVO-Verordnung macht sich Unsicherheit bei vielen Webseitenbetreibern breit.
Was muss beachtet werden, um Ihre Webseite DSGVO konform auszugestalten und nicht in die Abmahnfalle zu geraten?
Empfindliche Strafen drohen!
Bei Verletzung der Pflichten (fahrlässig oder vorsätzlich) der DSGVO, sind Sanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten Konzernjahresumsatzes möglich. Der höhere Betrag ist dabei maßgeblich. Zusätzlich kann es zu Schadensersatzansprüchen von betroffenen Personen kommen.
Das Risiko der Ahndung von Verstößen steigt, da damit zu rechnen ist, dass die Datenschutzbehörden ihr Personal aufstocken werden. Außerdem steigt die Gefahr dadurch, dass auch Wettbewerber dadurch Schaden bei Ihrer Konkurrenz anrichten können, erheblich. Ihr Unternehmen ist durch die Beweislastumkehr in der Pflicht nachzuweisen, dass der Schaden gar nicht durch Ihr Unternehmen entstanden sein kann.
Zudem werden Verbraucherschutzverbände berechtigt sein, die Rechte Betroffener wahrzunehmen und auch in eigenem Namen datenschutzrechtliche Verstöße geltend zu machen.
Anforderungen durch die DSGVO:
Die EU Datenschutz Grundverordnung (DSGVO) regelt allerdings weitaus mehr, als nur die Erfassung personenbezogener Daten auf Webseiten.
Hier möchten wir nur auf die relevanten Elemente für Webseiten-, Blog- und Shopbetreiber eingehen.
Brauchen Sie einen Datenschutzhinweis?
Sofern es sich nicht um eine rein private Seite handelt, auf der nur Bilder für Freunde und Verwandte angeboten werden, ist eine Datenschutzerklärung notwendig.
Die Nutzer haben Anspruch auf klare und leicht verständliche Informationen darüber, wer ihre Daten zu welchem Zweck wie und wo verarbeitet. Auch private Webseiten, die personenbezogene Daten (es zählen auch IP-Adressen dazu) verarbeiten, müssen eine Datenschutzerklärung aufweisen. Auch wenn die Webseiten weder geschäftlich noch kommerziell genutzt werden. Weiterhin wird gefordert, dass die Nutzer zum Zeitpunkt der Datenerhebung zu informieren sind.
Wichtig ab 2018:
Die Datenschutzerklärung muss eine individuelle Ausgestaltung vorweisen. Ob, wie und welche personenbezogenen Daten erhoben werden. Es muss nun auch auf den Einsatz externer Dienste, wie zum Beispiel Facebook und Google, hingewiesen werden, sofern diese durch den Aufruf der Website personenbezogene Daten erheben. Falls Ihr Unternehmen einen Datenschutzbeauftragten benötigt, ist es wichtig, dessen Kontaktdaten einfach erreichbar zu veröffentlichen. Zum Beispiel in der Datenschutzerklärung.
Wo soll der Datenschutzhinweis stehen?
Die Möglichkeit, den Datenschutzhinweis über einen Link zu erreichen, sollte schon über den ersten Screen erreichbar sein. Das ist der Webseitenbereich, der beim Laden zuerst zu sehen ist. Die Nutzer sollten maximal 2 Klicks tätigen müssen, um die Datenschutzhinweise sehen zu können.
Dies ist zwar nicht explizit so in der Verordnung niedergeschrieben, kann aber bei einer Prüfung sicherlich positiv ausgelegt werden.
Brauchen Sie einen Cookiehinweis?
Sofern Cookies auf Ihrer Webseite zu Marketingzwecken Verwendung finden, ist ein Hinweis darauf angeraten. Die endgültige Entscheidung darüber, ob ein Hinweis Pflicht wird, wird die ePrivacy Verordnung vermutlich am 25.05.2018 publizieren.
Viele der heute eingesetzten Content Management Systeme (WordPress, TYPO3, Drupal) nutzen standardmäßig Cookies, um den Nutzer über den Auftritt zu identifizieren. Einen Mechanismus, wie z.B. einen Cookie-Banner zu nutzen, schadet aber auch nicht. So sind Sie auf der sicheren Seite. Dieser sollte deutlich beim ersten Aufruf der Webseite zu sehen sein.
Wichtig ab 2018:
Welche Daten dürfen sie erfassen? Webseiten-Betreiber verpflichten sich zur Verwendung möglichst datenschutzfreundlicher Voreinstellungen. Mit dem "Privacy by Default" dürfen nur die Daten verarbeitet werden, die für den bestimmten Verarbeitungszweck unbedingt erforderlich sind. Jeder Nutzer muss einen einfachen Zugang zu einem datenschutzfreundlichen Webbrowser erhalten. Ihre Webseite muss auch über einen solchen erreichbar sein.
Wessen Daten dürfen Sie erfassen?
Mit dem Ende der Übergangsphase, also dem Eintritt der DSGVO im Mai 2018 ist eine datenschutzrechtliche Einwilligung erst ab 16 Jahren oder mit Einwilligung eines Erziehungsberechtigten möglich. So soll Teenagern die Anmeldung bei Internetdiensten wie Facebook und Instagram künftig deutlich erschwert werden.
Allerdings ist zur Zeit in der DSGVO nicht geregelt, wie eine Überprüfung diesbezüglich zu erfolgen hat.
Besonderheiten bei GOOGLE-Analytics
Es muss auf den Einsatz von GOOGLE-Analytics und die Erfassung der persönlichen Daten im Datenschutzhinweis hingewiesen werden. Hier muss auch die Möglichkeit eines Widerrufs hinterlegt werden. Dieser ist technisch oft durch ein Opt-Out Cookie umgesetzt. Auch hier ist „Privacy by Default“ zu beachten.
Selbstredend muss auch weiterhin dafür Sorge getragen werden, dass Google die IP-Adressen nur gekürzt erfasst (Anonymisierungsfunktion).
Zudem sollte eine statistische Erfassung durch Google erst erfolgen, nachdem der Vertrag zur Auftragsdatenverarbeitung mit dem Dienstanbieter abgeschlossen wurde.
Social Media Plugins
Dem Einsatz von Social Media Plugins muss der Nutzer zustimmen. Falls Daten per iframe eingebunden werden, werden zwangsläufig Nutzerdaten zum Social-Network-Betreiber weitergegeben. Diese Betreiber setzen außerdem Cookies bei den Usern, ohne dass diese einverstanden sind.
Sorgen Sie dafür, dass der Nutzer die Plugins erst aktivieren muss und dabei auf die Folgen hingewiesen wird. Ansonsten drohen Abmahnungen.
Fazit
Sie sollten die weitere Entwicklung der DSGVO für Ihr Unternehmen unbedingt beobachten.
Aktuelle Vorgaben, wie z.B. SSL-Verschlüsselung, Cookie-Banner, individuell ausformulierter Datenschutzhinweis, ggf. ein Verfahrensverzeichnis, sollten frühzeitig umgesetzt werden.
Nicht jedes Unternehmen benötigt einen Datenschutzbeauftragten. Es sollte sich jedoch stets ein im Datenschutz fachkundiger Mitarbeiter mit relevanten Themen befassen.
Sie haben Fragen?
Dann zögern Sie nicht – wir freuen uns auf Ihre Nachricht.
Bestandteil unserer umfangreichen Leistungen im Bereich Webseitenerstellung ist selbstverständlich auch die Unterstützung bei der Umsetzung einer DSGVO-konformen Datenschutzerklärung. Als eRecht24 Agentur-Partner können wir Sie bei der Umsetzung unterstützen.
- Adresse: Werksstraße 15, 45527 Hattingen
- Telefon: +49 (0)2324 - 977 23 60
- E-Mail: kontakt@5th-floor.de