Die Datenschutzgrundverordnung (DSGVO) tritt am 25.05.2018 in Kraft und bringt für Unternehmer viele Änderungen mit sich. Die Umsetzung sollte vor dem 25.05.2018 erfolgen, ansonsten drohen bei Verstößen hohe Bußgelder.
Wir zeigen Dir wesentliche Punkte, die Du im Rahmen der DSGVO für Deine Webseite beachten solltest.
Was ist das Ziel der DSGVO?
Die DSGVO wurde verabschiedet, um ein einheitliches Datenschutzrecht in der EU zu schaffen und so den Austausch personenbezogener Daten zu regulieren. Somit stärkt man die Rechte natürlicher Personen europaweit.
Was sind eigentlich personenbezogene Daten?
Gem. DSGVO sind personenbezogene Daten „alle Angaben über eine bestimmte oder bestimmbare Person“, demnach alle Arten von Daten, die eine natürliche Person identifizierbar machen. Das sind klassische Angaben, wie
◾ Vorname, Nachname, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontoverbindung, etc., aber auch
◾ Online-Kennungen wie IP-Adressen, Standortdaten, Cookies, da man diese Daten einer natürlichen Person zuordnen kann.
Wie ist mit personenbezogene Daten umzugehen?
Für Deutschland galten bisher ohnehin schon strenge Datenschutzrichtlinien. Die DSGVO geht aber in einigen Punkten noch weiter.
◾ Erlaubnis für Nutzung personenbezogener Daten
Gem. DSGVO ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten, es sei denn, man hat hierfür eine Erlaubnis vom Kunden. Diese Erlaubnis muss explizit eingeholt werden, bspw. bei Bestellungen von Produkten oder Anmeldung zum Newsletter.
◾ Gebot der Datensparsamkeit
Du darfst nur so viele Daten erheben und verarbeiten, die Du tatsächlich in Ausübung Deiner Dienstleistungen benötigst. Für eine Auftragsverarbeitung benötigst Du bspw. nur Namen und Anschrift Deines Kunden und nicht noch zusätzliche Daten wie Konfektionsgröße, Gewicht oder Sonstiges.
◾ Zweckgebundenheit personenbezogener Daten
Du darfst personenbezogene Daten nur für den Zweck, für die Du sie erhoben hast, verarbeiten, d.h. Du hast Kundendaten zur Auftragsabwicklung gespeichert, darfst die Daten aber nicht zu Werbezwecken verwenden, sofern Du hier keine Einwilligung hast.
◾ Richtigkeit der Daten
Die von Dir erhobenen und verarbeitenden Daten müssen richtig und aktuell sein, sowohl inhaltlich auch sachlich.
◾ Recht auf Löschung
Der Kunde kann seine Erlaubnis für die Verwendung seiner personenbezogenen Daten jederzeit widerrufen. Du musst den Kunden auch darüber informieren, dass er diese Möglichkeit hat. Sofern er von seinem Recht Gebrauch macht, musst Du seine Daten sofort löschen.
◾ Rechenschaftspflicht
Du musst jederzeit Auskunft geben können und auch nachweisen, dass Du die Datenschutzbestimmungen einhältst. Am besten Du legst Dir ein Verzeichnis der Verarbeitungstätigkeiten an. Hierzu später noch mehr.
Welche Webseiten betrifft die DSGVO?
Fast jede Webseite ist von der DSGVO betroffen. Durch den erweiterten Begriff der personenbezogenen Daten fallen nun auch Online-Kennungen wie IP-Adresse, Standortdaten, Cookies, etc. darunter.
Deine Webseite ist von der DSGVO betroffen, wenn Du folgende Funktionen nutzt:
◾ IP-Adresse von Webseitenbesuchern
Die IP-Adresse von Besuchern auf Deiner Webseite wird übermittelt und Du speicherst diese in einer Logfile-Datei.
◾ Kommentarfunktion
Du nutzt die Kommentarfunktion. Wenn Besucher Deine Seite oder einen Beitrag kommentieren können, wird deren E-Mail-Adresse und Benutzername auf Deiner Seite gespeichert.
◾ Kontaktformular
Du bietest dem Besucher die Möglichkeit, Dich auf Deiner Webseite zu kontaktieren. Im Kontaktformular geben Besucher sensible Daten wie Name, Adresse, E-Mail-Adresse, Kreditkartennummern und Kontoverbindung an.
◾ Newsletter-Anmeldung
Für die Newsletter-Anmeldung fragst Du standardmäßig nach der E-Mail-Adresse oder auch nach persönlichen Daten wie Name und Vorname, etc.
◾ Tracking und Cookies
Um das Nutzerverhalten der Besucher Deiner Webseite zu analysieren, nutzt Du Cookies. Auch mit diesen Daten kann man Rückschlüsse auf eine bestimmte Person schließen und unterliegt daher der DSGVO.
◾ Social Media Plugins
Du nutzt Social Media Plugins auf Deiner Webseite. Diese übermitteln automatisch Nutzerdaten an das jeweilige soziale Netzwerk. Hierfür benötigst Du allerdings eine ausdrückliche Einwilligung des Users.
Mehr Transparenz mit dem Umgang personenbezogener Daten
Durch die DSGVO wird der Umgang mit personenbezogenen Daten erheblich transparenter. Die Besucher Deiner Webseite haben jederzeit das Recht zu sehen, welche Daten erhoben und verarbeitet werden. D.h. sie haben das Recht darauf zu erfahren:
◾ ob Du personenbezogene Daten auf Deiner Webseite erhebst,
◾ um welche Daten es sich hierbei handelt,
◾ zu welchem Zweck Du diese Daten erhebst,
◾ wo Du diese Daten speicherst,
◾ wie lange Du diese Daten speicherst und
◾ ob Du diese Daten an Dritte weitergibst.
Die Rechte Deiner Besucher sind:
◾ Recht auf Einsicht in die über ihn gespeicherten personenbezogenen Daten,
◾ Recht auf Übertragung seiner personenbezogenen Daten und das
◾ Recht auf die Löschung seiner personenbezogenen Daten.
Verzeichnis Deiner Verarbeitungstätigkeiten
Wir haben Dir schon empfohlen, ein Verzeichnis Deiner Verarbeitungstätigkeiten zu erstellen, da Du jederzeit nachweisen musst, dass Du die Datenschutzbestimmungen einhältst und jederzeit in der Lage sein musst, Auskunft darüber zu geben.
Am Besten Du erstellst ein Verzeichnis im Excel-Format, welches folgende Punkte beinhaltet:
◾ Wer ist verantwortlich für die Verarbeitung personenbezogener Daten, inkl. Kontakdaten?
◾ Wie werden die personenbezogenen Daten auf Deiner Webseite erhoben?
◾ Zu welchem Zweck werden die Daten erhoben?
◾ Welche Datenkategorien gibt es?
◾ Welche Daten werden gespeichert?
◾ Gibt es Fristen für die Löschung der Daten?
◾ Welche technischen und organisatorischen Maßnahmen werden von Dir getroffen, um die Daten zu schützen?
◾ Welche Notfallmaßnahmen ergreifst du im Fall eines Datenlecks?
◾ Welche Daten werden an Dritte weitergeben und an wen?
Update Deine Datenschutzerklärung!
Deine Webseite, in der Du personenbezogene Daten erhebst, braucht neben dem Impressum auch eine separate Datenschutzerklärung, die DSGVO konform sein muss.
Achtung: Webseiten, die keine Datenschutzerklärung haben, aber personenbezogene Daten erheben, können abgemahnt werden!
Welche Informationen müssen in der Datenschutzerklärung vorhanden sein?
◾ Erläutere in einem Absatz, dass Du personenbezogene Daten erhebst und wie Du diese nutzt. Erkläre, dass Du Dich zur Einhaltung der DSGVO verpflichtest.
◾ Informiere Deine Besucher, dass sie ein Auskunftsrecht haben und kläre sie auf, wie sie dieses Recht wahrnehmen können. Am besten Du gibst ihnen eine E-Mail-Adresse, an die sie ihre Auskunftsfragen schicken können.
◾ Gib genaue Auskunft, wie die Daten auf Deiner Webseite erhoben werden, zu welchem Zweck sie verwendet werden, welche Datenkategorien es gibt, wie und wo Du die Daten speicherst, ob es Fristen zur Löschung dieser Daten gibt, etc.
◾ Kläre den Besucher darüber auf, ob Du Cookies und Website-Tracking verwendest. Der Besucher sollte die Möglichkeit haben, die Verwendung seiner personenbezogenen Daten zu vermeiden. Kläre ihn darüber auf, wie er dies verhindert, bspw. durch das Browser-Add-on zur Deaktivierung von Google Analytics.
◾ Informiere den Besucher, ob Du Social Media Plugins verwendest. Solltest Du dies tun, brauchst Du unbedingt die ausdrückliche Einwilligung des Users. Verwende hier das Double-Opt-in Verfahren. Es gibt hierzu schon ein paar Lösungen auf dem Markt, für WordPress bspw. das Plugin „Shariff Wrapper“.
◾ Verwendest Du Re-Targeting, solltest Du auch dieses Verfahren in einem eigenen Absatz in Deiner Datenschutzerklärung einfügen.
Es gibt mittlerweile einige gute Tools auf dem Markt, mit denen du Deine Datenschutzerklärung DSGVO konform erstellen kannst, bpsw.
◾ der Generator von eRecht 24 oder
◾ der Generator der Kanzlei Metzler
Achtung: wir und die Anbieter der Tools übernehmen keine Haftung für die Vollständigkeit und Richtigkeit der erzeugten Datenschutzerklärungen! Du solltest Deine Datenschutzerklärung selbst noch einmal überprüfen oder am besten von einem Rechtsanwalt prüfen lassen!
Wie schaut es mit meinen Online-Formularen aus?
Meist verwendet man für Anmeldungen, Bestellungen oder Angabe von Kontaktdaten ein Online-Formular auf der Webseite. Da es sich oftmals um personenbezogene und sensible Daten handelt, solltest Du darauf achten, dass die Datenübertragung über eine geschützte und verschlüsselte Verbindung erfolgt. Du solltest Dir bei Deinem Webhoster ein SSL-Zertifikat holen und Deine Webseite auf https umstellen.
Achte bei Deinem Online-Formular, dass Du nur Daten erhebst, die „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind“ (gem. Art. 5 DSGVO).
Kennzeichne die wesentlichen Angaben als Pflichtfelder. Beachte, dass zusätzliche Informationen stets freiwillig sein müssen. Zudem erhöhen zusätzliche Abfragen meist die Absprungrate.
Ist E-Mail-Marketing noch möglich?
E-Mail-Marketing ist auch weiterhin möglich, sofern Du eine Einwilligung des Interessenten oder Kunden hast.
Beachte, dass die Anmeldung zum Newsletter immer freiwillig erfolgen muss und nicht bspw. automatisch gekoppelt mit dem Kauf eines Produktes sein darf.
Für den Anmelder muss klar erkennbar sein, für welchen Zweck seine personenbezogenen Daten verwendet werden. Auch hier solltest Du so wenig Daten wie möglich sammeln (Stichwort: Grundsatz der Datenminimierung).
Für die Newsletter-Anmeldung sollte nur die Angabe E-Mail-Adresse verpflichtend sein, alle anderen Angaben wie Vorname und Nachname sollten freiwillig erfolgen.
Achte darauf, das Double-Opt-In Verfahren zu nutzen. Du solltest jederzeit nachweisen können, dass der Anmelder in die Speicherung und Verwendung seiner personenbezogenen Daten eingewilligt hat. Informiere den User, dass er jederzeit die Einwilligung zur Nutzung seiner Daten widerrufen kann. Hier kannst Du bspw. einen Abmeldelink in Deinen Newsletter einfügen.
Das „Recht auf Vergessen werden“
Gem. Art. 17 DSGVO muss die betreffende Person ihre Einwilligung zur Nutzung ihrer personenbezogenen Daten jederzeit widerrufen können und hat ein Recht darauf, dass ihre Daten sofort gelöscht werden.
Dies gilt auch, wenn der Zweck, für den diese Daten erhoben und verarbeitet wurden, nicht mehr gegeben ist, bpsw. wenn der Kunde seinen Vertrag gekündigt hat.
Das Recht auf Datenübertragbarkeit
Gem. Art. 20 DSGVO hat die betroffene Personen das Recht, dass ihr auf Anfrage sämtliche sie betreffende personenbezogene Daten ausgehändigt werden.
Dies gilt für Daten, wo eine Einwilligung der betroffenen Person vorliegt oder bei Vertragsschluss erhoben wurden.
Du kannst die Daten auf einem gängigen Format zur Verfügung stellen.
Du musst hierfür in Deiner Datenschutzerklärung eine E-Mail-Adresse zur Verfügung stellen, an die der Betroffene seine Anfrage richten kann.
Fazit
Du erhebst und nutzt personenbezogene Daten Deiner Webseite-Besucher? Dann checke jetzt Deine Webseite und stelle bis spätestens 25.05.2018 sicher, dass du die Anforderungen der DSGVO erfüllst!
Unser Artikel und unsere Empfehlung sind keine Rechtsberatung und ohne jegliche Gewähr. Du solltest Dich in jedem Fall von einem Rechtsanwalt oder Datenschutzbeauftragten beraten lassen!
