Wissenswertes zu den Themen Webdesign, Responsive Webdesign, Web-Entwicklung, Homepage Erstellung und Contao

Der Dockmedia Blog

Die neue Datenschutzgrundverordnung (DSGVO)

Ab dem 25. Mai 2018 gilt die neue Datenschutzgrundverordnung (DSGVO). Auf jeden Unternehmer und Webseitenbetreiber, der personenbezogene Daten verarbeitet, kommen Neuregelungen im Bereich des Datenschutzrechts zu.

Bis zum 25.05.2018 muss jede Website hinsichtlich der neuen Datenschutzgrundverordnung überprüft und aktualisiert werden. Ansonsten drohen Abmahnungen und Bußgelder.

„Da ich kein Jurist bin, ist dieser Artikel keine Rechtsberatung, sondern lediglich ein Hinweis auf die bevorstehenden Änderungen. Für die hier dargebotenen Informationen wird kein Anspruch auf Vollständigkeit, Aktualität und Richtigkeit erhoben.“

 

Die DSGVO

Bislang gab es in der EU kein einheitliches Datenschutzrecht, die neue Datenschutzgrundverordnung gilt europaweit gleich und regelt den Umgang von Unternehmen mit personenbezogenen Daten. Das bislang geltende Bundesdatenschutzgesetz wird neu aufgesetzt, viele der aktuellen Bestimmungen ändern sich oder gelten dann nicht mehr.

Zu den personenbezogenen Daten gehören:

  • Name, Anschrift, Geburtsdatum und E-Mail-Adresse
  • Einkommen und Ausbildung
  • Kauf- Surf- und Klick-Verhalten
  • IP-Adressen
  • Bewertungen, Fotos, Videos, Audio

Unternehmer können also ab dem 25. Mai 2018 darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt. Die DSGVO gilt dann für JEDES Unternehmen und jede Website, die mit personenbezogen Daten arbeitet.

Neues bei Websites:

  • Erweiterte Vorgaben bei der Datenschutzerklärung
  • Prinzip des One-Stop-Shops.
  • privacy by design und privacy by default
  • Änderungen beim Nutzertracking
  • Umgang mit Kundendaten
  • Änderungen bei Newsletter oder Werbemails
  • Der Umgang mit Werbung auf facebook

Allgemeine Neuerungen:

  • Es gibt online und offline neue Vorgaben für Einwilligungserklärungen
  • Die Auftragsdatenverarbeitung wurde ebenfalls neu geregelt
  • Recht auf Löschung von Nutzerdaten
  • Neuregelung bei personenbezogene Daten von Kindern
  • Meldepflicht bei Datenpannen
  • Neue Haftungsregelungen und höhere Bußgelder
  • Verstärkte Dokumentationspflicht
  • Umgang mit Mitarbeiterdaten

Einwilligung von Daten:

  • zweckmäßig
  • informiert
  • für den bestimmten Fall
  • freiwillig
  • unmissverständlich
  • widerruflich
  • nachweisbar
  • Zustimmung der Eltern?

Datenschutzerklärung und Impressum

Jede Webseite benötigt eine neue, der DSGVO entsprechenden, Datenschutzerklärung. Auflagen sind eine verständliche und einheitliche Sprache und eine einleitende zusammenfassende Erklärung. Die Kontaktdaten des Seitenbetreibers sind obligatorisch, ein Datenschutzbeauftragter muss, wenn vorhanden, genannt sein. Die Rechtsgrundlage der jeweiligen Datenerhebung und Verarbeitung (gesetzliche Regelung oder Einwilligung) muss konkret benannt werden.

Folgende Punkte, die eine Datenschutzerklärung nach DSGVO beinhalten muss:

  • Alle Datenverarbeitungsvorgänge auf der Webseite müssen genannt werden.
  • Der Umgang mit Kunden- und Bestell-Daten muss erklärt sein.
  • Tracking, Cookies, Social Media
  • Newsletter, A(D)V
  • Dauer der Speicherung, Löschungsfristen
  • Auskunft, Berichtigung, Löschung, Widerspruch
  • Recht auf Datenherausgabe und Übertragbarkeit

Wenn Daten auf der Website erhoben werden, muss dafür eine Einwilligung des Nutzers vorliegen. Eine Einwilligung darf nicht innerhalb der Datenschutzerklärung erfolgen.

Daten müssen wieder gelöscht werden, wenn der Nutzer die Einwilligung widerruft (z.B. durch Newsletter-Abmeldung), oder wenn er widerspricht im Sinne von „löschen Sie meine Daten“, und es keine gesetzliche Pflicht zum Speichern der Daten gibt (z.B. steuerlich). Des Weiteren besteht eine Pflicht zum Löschen, wenn der Erhebungszweck verfallen ist.

Im Impressum sind keine Änderungen notwendig. Allerdings wird momentan diskutiert, dass für Auskunfts-, Berichtigungs- und Löschungsansprüche ein spezielles Kontaktformular geschaffen werden soll, das in die allgemeine Menüstruktur (bei Datenschutzerklärung und Impressum) integriert werden soll.

Cookies und Tracking

Cookies dürfen keine personenbezogenen Daten speichern. Wenn ein Anbieter wie z.B. Google Analytics personenbezogenen Daten speichert, muss der Nutzer der Website die Möglichkeit haben dem zu widersprechen.

Ab 2019 werden Cookies durch die ePrivacy-Verordnung (ePV) neu geregelt. Nach Inkrafttreten der ePrivacy-Verordnung muss die Website nochmal auf Richtigkeit überprüft werden.

Newsletter und Einwilligungen

Die von Nutzern bislang gegebenen Einwilligungen, z.B. für Newsletter, gelten weiter. (Nach double opt-in-Prinzip) Ausnahmen:

  • Das Koppelungsverbot bei alten Einwilligungen wurde nicht beachtet
  • Die Einwilligungen erfolgte durch Minderjährige

Ist keine gesetzliche Erlaubnis zum Speichern und Übertragen von Daten vorhanden, ist eine Einwilligung nötig. Das double opt-in Prinzip ist wichtig, um die Einwilligung im Zweifel auch nachweisen zu können. Die Einwilligung muss elektronisch dokumentiert sein und „freiwillig“ erfolgen. Echtes Koppelungsverbot in Art. 7 Abs. 4 DSGVO: Keine Daten gegen Inhalte (z.B. E-Books, Gewinnspiele, Checklisten) und keine Koppelung von Newsletter-Versand an Vertragsschluss.

Google Analytics bleibt nach der DSGVO unter folgenden Voraussetzungen erlaubt:

  • ADV-Vertrag mit Google
  • IP Anonymisierung aktiviert
  • Opt-out Möglichkeiten für Desktop und Mobil

Mit Google müssen Sie ab dem 25. Mai 2018 einen DSGVO-konformen ADV-Vertrag abschließen! Dies muss nicht wie bisher schriftlich gemacht werden, sondern kann im Google-Analytics Account ab sofort auch digital erfolgen.

Hier noch ein paar interessante Links zu diesem Thema.

www.rechtzweinull.de
www.diercks-digital-recht.de
www.datenschutz-guri.de

Auftrags(daten)verarbeitung

Werden personenbezogene Daten durch ein externes Unternehmen erhoben und verarbeitet, muss das, wie vorher auch, vertraglich geregelt sein.
Mit jedem externen Dienstleiter wie z.B. Provider, Google (Analytics), externe Newsletter-Anbieter, Agenturen, Freelancer usw., die Zugriff auf Ihre Daten haben, müssen ADV Verträge abgeschlossen werden. Es besteht keine Pflicht mehr für Verträge in schriftlicher Form abzuschließen.

Verarbeitungsverzeichnis (bisher: Verfahrensverzeichnis)

Sie benötigen ein Verarbeitungsverzeichnis, wenn Sie mehr als 250 Mitarbeiter beschäftigen und wenn Sie besondere Datenkategorien verarbeiten.

Die Pflicht gilt auch für Unternehmen unter 250 Mitarbeitern, wenn die Verarbeitung „nicht nur gelegentlich“ erfolgt. Es ist aber noch nicht abschließend geklärt, was dies genau bedeutet. Bis die Voraussetzungen abschließend geklärt sind, sollten Sie im Zweifel ein solches Verzeichnis anlegen.

Welche Inhalte gehören hinein?

  • Angaben des Verantwortlichen
  • Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und personenbezogener Daten
  • Kategorien von Empfängern
  • Übermittlungen von personenbezogenen Daten an ein Drittland
  • Fristen für Löschung
  • Beschreibung der technischen und organisatorischen Maßnahmen
  • Angaben des Auftragsverarbeiters
  • Name und Kontaktdaten des Auftragverarbeiters und des Verantwortlichen, ihrer Vertreter und des Datenschutzbeauftragten
  • Kategorien von Verarbeitungen
  • Übermittlungen von personenbezogenen Daten an ein Drittland

Beispiele und Aufbau eines solchen Verarbeitungsverzeichnis finden Sie z.B. bei der Bitkom:

https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf

Datenschutzbeauftragter

Unternehmen, die in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen oder zu einer Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO verpflichtet sind (Einzelheiten unten bei Ziff. 9.), müssen einen Datenschutzbeauftragten benennen.

Interessenskonflikte

Bei der Besetzung des Datenschutzbeauftragten dürfen keine Interessenkonflikte bestehen. Daher kann ein Vorstandsmitglied, ein Geschäftsführer oder der Unternehmensinhaber nicht Datenschutzbeauftragter sein. Diese Personen können im Fall von Konflikten zwischen den Unternehmensinteressen und den datenschutzrechtlichen Vorschriften nicht vermitteln.

Sie können auch einen externen Datenschutzbeauftragten bestellen, um Konflikte zu vermeiden.

Qualifikationen des Datenschutzbeauftragten

Der Datenschutzbeauftragte muss zuverlässig sein. Juristische sowie technische Fachkunde sind ebenfalls unumgänglich für die Position des Datenschutz- beauftragten. Schulungen/Seminare inkl. Prüfung werden bundesweit angeboten, um die entsprechenden Qualifikationen zu erwerben, z.B. beim TÜV.

Mitarbeiterdaten

Die DSGVO ändert den Mitarbeiterdatenschutz. Arbeitgeber müssen folgende Pflichten und Zulässigkeiten beachten:

  • Verarbeitung besonderer Kategorien personenbezogener Daten
  • Datenverarbeitung nach Einwilligungen durch den Beschäftigten
  • Datenverarbeitung zum Zwecke der Aufdeckung von Straftaten
  • Verarbeitung auf Grundlage von Betriebsvereinbarungen
  • Datenverarbeitung nach Interessensabwägung

Datenschutz bei Minderjährigen

Sind die Nutzer unter 16 Jahre alt, müssen die Eltern einwilligen, wenn die DSGVO eine Einwilligung vorschreibt. Das gilt z.B. für Werbung und Angebote, die sich direkt an Kinder und Jugendliche wenden. Bei Angeboten für Erwachsene und Jugendliche gibt es keine neuen Vorgaben.

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgeabschätzung (DSFA) ist grundsätzlich nichts anderes, als die bisher im deutschen Datenschutzrecht bereits bekannte Vorabkontrolle (§ 4d Abs. 5 BDSG). Sie ist immer bei sensiblen Daten nach § 3 Abs. 9 BDSG anzuwenden, oder wenn die Datenverarbeitung die Persönlichkeit (Fähigkeiten, Leistung, Verhalten) des Betroffenen bewertet.

Einsichtsrecht, Meldepflicht und löschen von Daten

Betroffene haben einen Auskunfts-Anspruch zu ihren gespeicherten personenbezogenen Daten (Art. 15 DSGVO). Diese Auskunft kann postalisch, elektronisch (per E-Mail) oder auch mündlich erfolgen. Die Auskunft erfolgt unverzüglich oder spätestens einen Monat nach Eingang des Antrages.

Personenbezogene Daten müssen gelöscht werden wenn:

  • eine Einwilligung widerrufen wird und bei Widerspruch des Nutzers
  • der Erhebungszweck weggefallen ist
  • keine gesetzlichen Speicherpflichten bestehen

Bußgelder und Abmahnungen

Eine Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst innerhalb von 72 Stunden, sobald ihm die Verletzung bekannt ist. Das maximale Bußgeld beträgt 20 Millionen Euro oder 4% des gesamten Jahresumsatzes.

 

Was ändert sich für Sie als Webseitenbetreiber, was muss konkret auf der Homepage überprüft und gegebenenfalls angepasst werden?

SSL Zertifikat und Verschlüsselung

Generell sollte auf jeder Website ein SSL Zertifikat eingebunden sein. Sobald personenbezogene Daten auf einer Website erhoben und verschickt oder gespeichert werden, ist ein SSL-Zertifikat Pflicht.

Weitere Informationen zum Thema SSL-Verschlüsselung in meinem Blog

Kontaktformulare mit Einverständniserklärung

Es muss ein Hinweis an der jeweiligen Stelle der Website eingebunden werden, an der die Daten erhoben werden.

„Die Angaben aus dem Kontaktformular werden zur Beantwortung Ihrer Anfrage erhoben und verarbeitet. Die Daten werden nach abgeschlossener Bearbeitung Ihrer Anfrage wieder gelöscht.
Detaillierte Informationen zum Umgang mit Nutzerdaten finden Sie in unserer Datenschutzerklärung (Link).“

Google Analytics

Der Google Analytics Code muss rechtssicher eingebunden sein.

  • Anonymisierung der IP-Adressen
  • ADV-Vertrag mit Google, jetzt auch in elektronischer Form erlaubt
    (Auf den Zusatz zur Datenverarbeitung gelangt man nach dem Log-In im Google-Analytics-Konto unter Verwaltung / Kontoeinstellungen.)
  • Datenschutzerklärung anpassen mit Opt-Out Cookie Link
  • Browser PlugIn für Desktop

Google Maps

Wenn eine Google Map in die Website eingebunden wurde, werden von Google beim Aufruf der Karte Cookies gesetzt. Der Nutzer der Website muss dem widersprechen können, was momentan von Google nicht vorgesehen ist.
Man könnte einen Hinweis auf Google Maps in der Datenschutzerklärung unterbringen, der den Umgang mit google Maps erläutert, aber ob das reicht, wird sich erst zeigen.

Youtube Videos

Wenn ein Youtube-Video in die Website eingebunden wurde, werden von Google beim Aufruf des Videos Cookies gesetzt. Die von Google vorgeschlagene Herangehensweise ist folgende:

Youtube-Videos können im „erweiterten Datenschutzmodus“ eingebunden werden. (Auf Youtube beim Video „teilen / einbetten / erweiterten Datenschutzmodus“ aktivieren.)

Auch hier wird sich erst zeigen, ob das ausreicht.

Google Webfonts, Adobe Typekit und sonstige externe Anbieter

Google Webfonts sollten nicht mehr über den Google-eigenen Server, sondern lokal gehostet werden. Bei anderen Anbietern muss geprüft werden, welche Möglichkeiten dort bestehen.

Share-Buttons und Socialmedia Plugins

Share-Buttons und Socialmedia Plugins von Facebook, Twitter und Co sind nicht mehr rechtssicher. Falls solche Tools auf der Website eingesetzt sind, muss über Alternativen nachgedacht werden.

Folgende externe Links, die z.B. auf die Facebook-Seite verlinken, können ohne Probleme eingesetzt werden. Beispiel: https://www.facebook.com/sharer/sharer.php?u=www.domain.de

Datenschutzerklärung

Jede Website benötigt eine neue Datenschutzerklärung, die mit der DSGVO konform ist und über einen eigenen Link z.B. im Footer aufgerufen werden kann.

Die Datenschutzerklärung sollte von einem Anwalt erstellt bzw. überprüft werden.

Cookies

Auf der Website sollte ein Hinweis erscheinen, der auf die Speicherung von Cookies aufmerksam macht. Es muss überprüft werden, ob auf der Website Cookies im Einsatz sind die personenbezogene Daten speichern.

Newsletteranmeldung

  • ADV-Vertrag mit externen E-Mail-Marketing Dienstleistern abschließen.
  • Der Dienstleister sollte den gesetzlichen Anforderungen entsprechen.
  • Der Empfänger muss auf die Datenschutzerklärung hingewiesen werden.
  • Es muss nachgewiesen werden können (mit E-Mail, Datum, Uhrzeit), dass die Einwilligung erfolgt ist.
  • Double-Opt-Out

Auftragsdatenverarbeitung (ADV)

Wurden mit Ihren Dienstleistern ADV-Vertrag abgeschlossen?

Koppelungsverbot

Der Download eines PDF darf nicht mit der Bedingung verknüpft sein, einen Newsletter zu bekommen.

 

Die neue Datenschutzgrundverordnung (DSGVO)

Zurück

„SEMPER PARATUS“ MORSEN SIE MICH AN!

Die Angaben aus dem Formular werden zur Beantwortung Ihrer Anfrage erhoben und verarbeitet. Die Daten werden nach abgeschlossener Bearbeitung Ihrer Anfrage wieder gelöscht.

Detaillierte Informationen zum Umgang mit Nutzerdaten finden Sie in unserer Datenschutzerklärung.

 

Was ist die Summe aus 8 und 6?

Am besten per Telefon 040 - 48409613 oder E-Mail.
Ich stehe Ihnen jederzeit zur Verfügung.

Nach oben