Stichtag ist der 25.05.2018 – ab dann gilt die neue EU Datenschutz Grundverordnung DSGVO.
Diese neue EU Datenschutzverordnung dient dem Schutz natürlicher Personen bei der Verarbeitung deren personenbezogener Daten. Also im Prinzip, welche Daten des Internetbesuchers bei dem Aufruf Ihrer Website abgegriffen und wie diese weiterbehandelt werden. Es handelt sich dabei nicht um ein uneingeschränktes Recht auf personenbezogene Daten, sondern viel mehr um die Verhältnismäßigkeit in Bezug auf den eigentlichen Zweck und die Wahrung der Grundrechte.
Auch das bisherige Bundesdatenschutzgesetz (BDSG) der Bundesrepublik verfolgte diesen Ansatz. Daher kann die EU Datenschutz Grundverordnung DSGVO als Fortschreibung des bisherigen Rechts gesehen werden.
Was müssen Sie im Detail wissen? Um der Abmahngefahr und den damit hohen Bußgeldern vorzubeugen, sollte Sie Ihre Webseite weiterhin datenschutzkonform betreiben. Detailliert in Bezug auf die neue EU Datenschutz Grundverordnung DSGVO bedeutet dies Folgendes:
- Jede Webseite MUSS eine Datenschutzerklärung beinhalten.
- Diese darf nicht im Impressum integriert sein, sondern eine eigene Unterseite darstellen.
- Die Datenschutzerklärung muss aus ALLEN Unterseiten direkt aufrufbar sein. (Also durch einen Button im Header oder Footer).
- Der Button muss klar mit DATENSCHUTZ angegeben sein.
- Die Datenschutzerklärung muss leicht verständlich alle Rechtsgrundlagen und deren Verarbeitungen der Website erklären.
Name und komplette Kontaktdaten des Webseitenbetreibers, sowie des betrieblichen Datenschutzbeauftragen
Sämtliche Informationen zur Erhebung und Speicherung personenbezogener Daten, deren Verwendungszweck und auch deren Löschfristen – aufgeschlüsselt nach:
Webseitenbesuch
Newsletteranmeldung
Kontaktformularverwendung
Vertragsabschlüssen
Verwendung von Kunden-/Mitgliedskonten
Cookie-Verwendungshinweis
Informationen zu Analyse-Tools, wie z. B. Google Analytics oder sonstige Trackingtools
Informationen zu Plugins zu Social-Media-Kanälen, wie z. B. Facebook, Instagram, Twitter etc.
Angaben zu weiteren Diensten, wie z. B. Google Maps oder Google Fonts
Informationen zu den jeweiligen Datenverarbeitungs-Rechtsgrundlagen, die meist in den folgenden Absätzen enthalten:
6 Abs. 1 Satz 1 lit. a) = Einwilligung der betroffenen Person
6 Abs. 1 Satz 1 lit. b) = Verarbeitung ist für die Erfüllung eines Vertrages oder Durchführung einer vertraglichen Maßnahme erforderlich
Angaben zur Weitergabe der personenbezogenen Daten an Dritte
Rechtsaufklärung der Besucher (Löschung, Berichtigung, Auskunftsrecht, Widerspruchsrecht, Widerruf Einwilligung)
Die Einwilligung des Seitenbesuchers muss bei folgenden Interaktionen explizit eingeholt werden:
- Newsletterbestellung
- Nutzung des Kontaktformulars
- Erstellen eines Kontos
Die jeweiligen Einwilligungen müssen in einer Datenbank gespeichert werden. Zudem sollte bei jeder dieser Aktionen auf die Datenschutzerklärung hingewiesen und verlinkt werden.
Im Falle der Weitergabe von personenbezogenen Daten an Dritte, sollten Sie einen Vertrag zur Auftragsverarbeitung vorliegen haben.
Der Standort des Host-Servers spielt zudem eine Rolle. Idealerweise befindet sich dieser in Deutschland oder im EU-Raum. Falls nicht, sind besondere Vereinbarungen nötig.
Sind in Ihrem Unternehmen mindestens 10 Personen mit der Datenverarbeitung betraut, dann muss ein betrieblicher Datenschutzbeauftragter bestellt werden.
Mit der neuen EU Datenschutzverordnung 2018 sind alle Unternehmen verpflichtet, ein „Verzeichnis von Verarbeitungstätigkeiten“ zu führen, in dem alle Datenverarbeitungen aufgeführt werden, wie z. B. Kundenstämme, Urlaubs-/Personallisten, Buchhaltungsprogramme bzw. weitere Programme mit Datenbezug, Email-Programme, Webseiten, Social-Media-Accounts etc.
Gap-Analyse: Im Soll-/Istvergleich der bereits genannten Verzeichnisse werden Lücken erkannt und Abhilfemaßnahmen eingeleitet. Zu den Problempunkten zählen Zugriffsrechte, Zugangskontrolle, Schutzmechanismen gegen Malware und Hacker, Löschfristen, Datensparsamkeit, Richtigkeit/Rechtmäßigkeit der Daten.
Weiterhin verlangt die EU Datenschutz Grundverordnung (DSGVO) technische und organisatorische Maßnahmen (TOMS). Diese beinhalten die Daten-Verschlüsselung, Daten-Stabilität, Wiederherstellbarkeit und die regelmäßige Überprüfung.
Keine Frage, mit Sicherheit sind derartige, immer wieder auftretende und notwendige Anpassungen mehr als nervig – aber ignorieren bzw. sich darüber ärgern hilft nicht wirklich weiter.
Zusammengefasst: Nahezu alle Datenschutzerklärungen auf Webseiten müssen mit Geltung der DSGVO neu erstellt oder überarbeitet werden.