Informationen zur EU-Datenschutzgrundverordnung

Am 25. Mai 2018 wird für alle Mitgliedsstaaten der Europäischen Union eine neue, gemeinsame Datenschutzgrundverordnung (EU-DSGVO) wirksam, die den Umgang von Unternehmen mit personenbezogenen Daten einheitlich regelt. Da IP-Adressen neben weiteren Angaben wie dem Namen und Kontaktdaten als personenbezogene Daten gelten, die bereits bei einem reinen Lesezugriff auf eine Website automatisch ermittelt werden, betrifft die DSGVO jedes Unternehmen, das im Internet aktiv ist.

In diesem Newsletter möchten wir Sie als Website-Betreiber über einige wichtige Aspekte der Datenschutzgrundverordnung informieren und darauf hinweisen, dass mit Nicht-Durchführung der obligatorischen Datenschutzmaßnahmen teils empfindliche Geldstrafen zu erwarten sind.

Ausführliche Informationen zu diesem Thema finden Sie auf den Seiten des Bundesministeriums für Wirtschaft und Energie unter: http://www.bmwi.de/Redaktion/DE/Artikel/Digitale-Welt/europaeische-datenschutzgrundverordnung.html

Mit Eintreten der DSGVO ist gesetzlich vorgeschrieben, dass Website-Betreiber alle verfügbaren Maßnahmen treffen müssen, um Daten auf dem Weg von Formularen (z. B. Kontakt- und Bestellformulare sowie Newsletter-Anmeldungen), zum Webserver zu schützen und zu gewährleisten, dass sie während der Übertragung oder der Speicherung nicht unbefugt gelesen, modifiziert oder entfernt werden können. Hier wird der Einsatz von Verschlüsselungsverfahren nach dem Stand der Technik, einer SSL-Verschlüsselung (Secure Sockets Layer), obligatorisch. Zu erkennen ist diese durch das Beginnen der URL mit „https“ anstatt „http“.

Bei Bedarf übernimmt Panvision den Erwerb sowie das Einbinden der SSL-Zertifikate für Sie.

Die neue Datenschutzgrundverordnung ist nach dem Prinzip des Verbots mit Erlaubnisvorbehalt aufgebaut, was bedeutet, dass jede Verarbeitung personenbezogener Daten grundsätzlich verboten ist, solange das Gesetz sie nicht ausdrücklich erlaubt. Eine dieser Ausnahmen besteht darin, dass der Nutzer aktiv in die Erhebung und Verarbeitung seiner Daten einwilligt. Mit Wirksamwerden der DSGVO verschärfen sich jedoch die Anforderungen an die datenschutzkonforme Einholung der Erlaubnis des Nutzers, so dass diese immer zweckgebunden sein muss und die unterschiedlichen Verarbeitungszwecke separat aufgeführt werden müssen. Da die Einwilligung rechtlich nicht an eine bestimmte Form gebunden ist, steht es jedem Unternehmen frei, diese mündlich, schriftlich oder elektronisch einzuholen – aufgrund der Dokumentationsmöglichkeiten empfiehlt sich jedoch die elektronische Einholung und Speicherung der Erlaubnis, denn es muss jederzeit Auskunft darüber gegeben werden können, wann, wo und für welchen Zweck die Daten gespeichert werden. Zudem hat der Nutzer das Recht, die erteilte Einwilligung jederzeit zu widerrufen, wobei der Widerruf genau so einfach vonstattengehen muss, wie die Erteilung der Einwilligung. Hierfür ist es bedeutend, dass die Einwilligungserklärung hervorgehoben platziert wird. Sie darf dementsprechend nicht innerhalb der allgemeinen Datenschutzerklärung „versteckt“ werden, die der Nutzer pauschal mit „ich stimme zu“ zur Kenntnis nimmt.

Unser Tipp: Lassen Sie sich die Einwilligung des Nutzers mit einem Double-Opt-In-Verfahren geben. Formulieren Sie für jedes Online-Formular eine Einwilligungserklärung und verbinden Sie diese mit einer nicht vorausgefüllten Checkbox. Senden Sie dem Nutzer mit Abschicken des Formulars einen Bestätigungslink zu, mit dem er sein Einverständnis verifiziert. Achtung: Ein Opt-Out durch bereits vorangekreuzte Checkboxen ist nicht mehr ausreichend und stellt keine wirksame Einwilligung dar!

Mit der DSGVO wurde erstmals eine eigenständige Regelung zum Recht auf Vergessenwerden formuliert: Sie beansprucht, dass personenbezogene Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt. Dies kann etwa der Fall sein, wenn der Zweck für die Datenverarbeitung entfallen ist, der Betroffene seine Einwilligung widerrufen hat oder es keine legitimen Gründe für deren Speicherung gibt oder gab. Neu für Website-Betreiber ist, dass sie im Falle eines Löschanspruchs nicht nur auf ihrer eigenen Website die Datenquelle zu entfernen haben, sondern darüber hinaus auch angemessene Maßnahmen durchführen müssen, um Dritte über den Zwang zum Löschen von Links, Kopien etc. zu informieren.

Achtung: Das Recht auf Vergessenwerden beinhaltet auch Ausnahmen. So können zum Beispiel gesetzliche Aufbewahrungspflichten, das Zustandekommen eines Vertrags zwischen dem Nutzer und dem Unternehmen oder das legitime Interesse des Datenverarbeiters, sofern nicht die Rechte des Betroffenen überwiegen, die Speicherung personenbezogener Daten im Rahmen der DSGVO erlauben.

Bisher mussten Unternehmen ihre Datenschutzmaßnahmen nur auf gezielte Anfrage der Behörden oder im Falle eingetretener Störungen oder Verstöße nachweisen können, um ihrer Rechenschaftspflicht angemessen nachzukommen. Mit der Europäischen Datenschutzgrundverordnung müssen Unternehmen zukünftig jedoch aktiv und unabhängig davon, ob es zu Schäden oder Verstößen kam, die Einhaltung und Angemessenheit ihrer Datenschutzmaßnahmen nachweisen können. Dies bedeutet, dass die technischen und organisatorischen Voraussetzungen gegeben sein müssen, um die Konformität mit der DSGVO darzulegen und im Falle von Datenschutzverletzungen betroffene Personen unverzüglich darüber zu informieren, welche ihrer Daten verarbeitet werden und auf welche Weise dies geschieht.

Um ihrer Informationspflicht zur Datenerhebung und -verarbeitung nachzukommen, müssen alle Betreiber von Online-Angeboten eine Datenschutzerklärung (Privacy Policy) vorhalten, die über einen Link auf der Unternehmenswebsite eingesehen werden kann. Bei den meisten Unternehmen ist dies bereits der Fall, jedoch entspricht die bestehende Datenschutzerklärung in der Regel den neuen Vorgaben nicht mehr vollständig.

Besonders wichtig ist, dass alle notwendigen Informationen zukünftig präzise, transparent, leicht zugänglich und verständlich unter Benennung der Rechtsgrundlage für die Datenverarbeitung aufgeführt werden. Zusätzlich ist der Nutzer über Art und Umfang der Verarbeitung zu unterrichten sowie darüber, dass er eine dazu erteilte Einwilligung jederzeit widerrufen kann.

Wie eine gesetzeskonforme Datenschutzerklärung im Einzelfall aussehen muss, hängt vor allem davon ab, welche Dienste und Services auf der Website angeboten werden. Bitte informieren Sie sich genau, welche Informationen Sie dem Nutzer in ihrem individuellen Fall zur Verfügung stellen müssen. Hierfür gibt es im Web geeignete Muster und Generatoren, die unterstützend genutzt werden können.

Welche Maßnahmen die Fachpresse zum Thema „Datenschutzerklärung“ empfiehlt (inkl. Checkliste) erfahren Sie hier: https://www.heise.de/ix/heft/Informationsverpflichtet-3920059.html

Der Betreiber einer Website ist verantwortlich dafür, dass Webanalyse-Tools datenschutzkonform nach der DSGVO in die jeweilige Website eingebunden werden und der Website-Nutzer ausreichend in der Datenschutzerklärung über diesen Einsatz sowie sein Recht, sich davon auszuschließen, informiert wird. Zudem muss z. B. beim Einsatz von Google Analytics ein Vertrag zur Auftragsdatenverarbeitung mit Google abgeschlossen werden. Desweiteren müssen die IP-Adressen der Nutzer gekürzt und somit anonymisiert werden. Hierfür bietet z. B. Google die Funktion „anonymizeIP“ an.

Mehr Informationen zum Thema Einsatz von Webanalysetools unter Einhaltung der DSGVO erhalten Sie hier: https://www.e-recht24.de/artikel/datenschutz/6843-google-analytics-datenschutz-rechtskonform-nutzen.html

Auf vielen Websites wird bereits durch einen Banner oder ein Pop-up auf der Startseite auf den Einsatz von Cookies hingewiesen und eine Einwilligung des Nutzers eingeholt. Das Thema wird derzeit verstärkt diskutiert, jedoch können sich durch die zukünftig in Kraft tretende ePrivacy-Verordnung zusätzlich bestimmte Anforderungen ändern. Unser Tipp: Bitte halten Sie sich diesbezüglich stets auf dem Laufenden.

Die oben aufgeführten Informationen sind ein Service von Panvision. Sie sollen als Hilfestellung dienen, um eine Website rechtskonform nach der DSGVO zu betreiben, erheben jedoch aufgrund der Komplexität des Themas keinen Anspruch auf Vollständigkeit. Desweiteren möchten wir darauf hinweisen, dass dies keine Rechtsberatung ist. Bitte informieren Sie sich eigenständig nochmals über alle für Sie notwendigen Schritte zum Einhalten der DSGVO.

Ihr Team von Panvision