Die europäische Datenschutzgrundverordnung (DSGVO)
Neue Datenschutzregeln für Betreiber von Websites
Die europäische Datenschutzgrundverordnung (DSGVO)
Am 25. Mai tritt sie in Kraft - die europäische Datenschutzgrundverordnung (DSGVO). Sie bringt neue Verpflichtungen für fast alle Betreiber von Websites: ausgenommen sind lediglich Websites die die ausschließlich familiären oder persönlichen Zwecken dienen. Für alle anderen ist Zeit zu handeln - das neue Datenschutzrecht soll ein Recht "mit Zähnen" sein. Bei Nichtbeachtung drohen Bußgelder von bis zu 4 % des Jahresumsatzes. Experten rechnen ab dem Stichtag zusätzlich mit einer Welle von Abmahnungen vom Mitbewerbern und findigen Anwaltskanzleien.
Wie bei allen neuen Regelungen werden sich in den kommenden Jahren die genauen Ausführungsbestimmungen mit unterschiedlichen Auslegungen in Gerichtsentscheidungen erst entwickeln - im Folgenden wird es daher um die bereits definitiv absehbaren Konsequenzen gehen.
Was ändert sich?
Die DSGVO erweitert für Unternehmen die bereits bekannten Pflichten und erhöht die Anforderungen an den Datenschutz. Dabei sind umfassende Informationspflichten und die Pflicht zur Datenschutz-Folgenabschätzung bei Datenverlust neu hinzugekommen. Viele Unternehmen werden einen Datenschutzbeauftragten benennen und auf der Webseite veröffentlichen müssen. Kunden erhalten weitgehende Rechte um die über sie gespeicherten Daten einzusehen. Viele Regelungen befassen sich mit der Datenverarbeitung innerhalb des Unternehmens - darum soll es hier weniger gehen. Schwerpunkt dieser Ausführungen sind die Änderungen für den Online Auftritt. Am Ende des Textes sind Links zu weiterführenden Webseiten angefügt - dort geht es dann auch um die Neuregelungen für den internen Ablauf der Datenverarbeitung.
Was bedeutet das für die Webseite?
Bei der Erhebung von Daten auf Internetseiten gelten ab dem Stichtag deutlich strengere Regeln. Das gilt für alle Daten die die Möglichkeit enthalten Rückschlüsse auf die Person des Besuchers der Webseite zu erhalten. Das betrifft unter anderem Logfiles, Kontaktformulare, die Verwendung von Cookies und der Einsatz von Analyse- oder Trackingdiensten (z.B. Google Analytics).
Dem Besucher sind verpflichtend mitzuteilen warum Daten erhoben werden. Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten und nur dann erlaubt, wenn der Betroffene einwilligt oder es gesetzlich ausdrücklich gestattet ist. So ist es zum Beispiel erlaubt Daten zu erheben die zur Erfüllung eines Vertrages notwendig sind. Dazu gehört die Bestellung einer Ware oder Dienstleistung aufgrund dessen der Verkäufer zum Speichern der Kundendaten wie Adresse und Konto berechtigt ist.
Wenn sich der Seitenbetreiber bei der Nutzung personenbedingter Daten auf eigene berechtigte Interessen (z.B. Protokollierung der IP Adresse) verweist hat er die Rechtsgrundlage dafür anzugeben (z.B. Schutz der Webseite).
Schon in der alten Rechtslage musste der Webseitenbetreiber den Besucher darauf hinweisen dass er ein Recht auf Auskunft über die zu seiner Person gespeicherten Daten sowie auf Korrektur oder Löschung dieser Daten hat. Neu ist das er auch ein Recht auf Einschränkung der Datenverarbeitung sowie über die Mitnahme der eigenen Daten (Datenübertragbarkeit) zu einem anderen Betreiber hat. Außerdem ist er auf sein Recht zum Widerspruch und Beschwerde bei einer Aufsichtsbehörde hinzuweisen.
Der Webseitenbesucher muss darüber informiert werden ob seine Daten Dritten (z.B. externen Dienstleistern) zur Verfügung gestellt werden und ob die Datenverarbeitung auf Servern im Nicht-EU-Ausland erledigt wird.
Wenn Daten gespeichert werden ist auf die Dauer der Speicherung hinzuweisen. Dabei gilt: Nicht mehr benötigte Daten sind zu löschen.
Zu den im Impressum zu nennenden Personen wie dem Betreiber der Seite ist mit der neuen Regelung auch die Nennung eines Datenschutzbeauftragten der Firma hinzu gekommen.
Alle diese Angaben müssen in verständlicher Form verfasst werden - juristische Fachbegriffe sollten vermieden oder wenigstens allgemeinverständlich erklärt werden. Der Link zur Datenschutzerklärung muß gut sichtbar von der Startseite zu erreichen sein.
Konkrete Maßnahmen
Abfassung einer gemäß DSVGO konformen Datenschutzerklärung. Diese läßt sich mithilfe eines Online Generators (Link unten) relativ einfach für das eigene Unternehmen erstellen. Die Länge kann je nach eingesetzter Technik auf der Webseite 10 gedruckte Seiten umfassen.
Jede Webseite mit einem Kontaktformular sollte auf jeden Fall auf SSL Verschlüsselung umgestellt werden. Kontaktformulare erfassen persönliche Daten die bei einer unverschlüsselten Übertragung von Dritten abgefangen werden können. Das ist auch schon nach altem Recht nicht zulässig. Auf der sicheren Seite ist ein Webseitenbetreiber wenn er statt eines Kontaktformulars seine Mailadresse über einen mailto Link zugänglich macht. Eine der Merkwürdigkeiten des neuen Gesetzes ist es das dieser Weg als gesetzeskonform eingestuft wird obwohl Mails in den wenigsten Fällen verschlüsselt übertragen werden und damit auch von Dritten zu lesen sind.
Ich erhebe keine Daten - das geht mich alles nichts an
Leider ist es nicht ganz so einfach. Nach allgemeiner Auffassung müssen selbst die Seiten, die keine persönlichen Daten erfassen, dies explizit auf der Webseite darstellen. Jedes CMS System setzt beim Besuch der Seite einen Cookie beim Benutzer und Hoster sammeln Informationen über den Besucher in den Logfiles - oft ohne das die eigentlichen Betreiber der Webseite etwas davon mitbekommen. Auch wenn man selbst diese Daten nicht erhebt - der Besucher der eigenen Seite muss über die Möglichkeit der Datenerhebung in einer Datenschutzerklärung hingewiesen werden.
Weiterführende Links
Im folgenden sind Webseiten verlinkt auf denen die Informationen dieses Textes vertieft und teilweise mit Videos auf verständliche Weise erläutert werden. Außerdem finden sich dort Checklisten für die Erstellung einer Datenschutzerklärung für die eigene Seite.
Allgemeine Infos bei Heise Online
Wer sollte tätig werden (mit einfachem Generator)?