Monats Archiv: Mai 2018

  • -

DSGVO – Was muss ich als Webseitenbetreiber wissen?

Kategorie : News

Erst mal tief durchatmen.

Die DSGVO (Datenschutz-Grundverordnung) gilt offiziell seit dem 25.Mai 2016, die Übergangsfrist zur Realisierung der geforderten Maßnahmen endet am 25. Mai 2018.

Verletzt ein Webseitenbetreiber die Pflichten, die aus der neuen Datenschutzgrundverordnung für ihn entstehen, kann das sanktioniert werden. In diesem Fall sind Strafen von bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Konzernjahresumsatzes möglich – im Zweifel der höhere Betrag, hierbei handelt es sich allerdings um den worst-case. Wie die Gerichte hierzu entscheiden werden wir wohl exakt erst ab dem 25. Mai 2018 wissen.

Zunächst einmal betrifft die DSGVO jedes Unternehmen, welches personenbezogene Daten in irgend einer Art und Weise – automatisiert, teilautomatisiert oder nicht automatisiert – verarbeitet oder speichert.

Die DSGVO definiert in Artikel 2 Absatz 2 einige, wenn auch wenige Ausnahmen. Nicht betroffen ist zum Beispiel die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Die DSGVO gilt sowohl für die Verarbeitung personenbezogener Daten innerhalb der EU, egal ob die Person EU Bürger ist oder nicht, als auch für die Verarbeitung personenbezogener Daten von EU Bürgern. Ob also die Datenverarbeitung meiner personenbezogenen Daten als EU Bürger innerhalb oder außerhalb erfolgt ist egal.

Artikel 4 definiert hier die einzelnen Begriffe deutlicher, so sind „personenbezogene Daten“ wie folgt definiert:

  • „personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;
  • als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Ob im Einzelfall die DSGVO zu berücksichtigen ist können wir in einem persönlichen Gespräch besser klären. Vereinbaren Sie dazu am besten einfach einen Termin mit uns via Mail an die info@phi.de oder telefonisch unter der 0 24 61 593 60.

Was muss ich nun als Webseitenbetreiber beachten?

Bin ich Betreiber einer Website, betrifft mich die DSGVO, da meine Website im Regelfall schon mal mit Cookies arbeitet (außer wir reden hier von einer statischen Website aus den Neunzigern) und dem Webserver mindestens die IP Adresse des Anfragenden, dessen User Agent (mindestens welcher Browser, im Regelfall aber auch welches Betriebssystem, ob Mobile Endgerät oder nicht etc.) so wie die angeforderte Website bekannt ist. Aus diesen paar Daten könnte ich schon ableiten, wer der User ist, der dahinter steckt. Ob mein Webserver Log Dateien schreibt oder nicht, ist für die Hinweise, die ich auf meiner Website geben muss, erst mal nicht relevant. Denn selbst wenn ich die Daten nicht gezielt in eine Log Datei speichere, muss mein Server die Daten (wenigstens die IP Adresse) verarbeiten, um die Website ausliefern zu können. Herausreden kann man sich also im Zweifelsfall nicht, hier sollte man also lieber Vorsicht als Nachsicht walten lassen.

1. DER DATENSCHUTZHINWEIS

Nutzer haben einen Anspruch darauf, auf einer Webseite schnell und verständlich darüber informiert zu werden, wer seine Daten zu welchem Zweck wie und wo verarbeitet. Und genau diese Informationen gehören in den Datenschutzhinweis. Je nachdem, welche Daten erhoben werden und was damit geschieht, kann der Datenschutzhinweis unterschiedlich aussehen. Bei der Erstellung von DSGVO-konformen Datenschutzerklärungen helfen Rechtsanwälte und Datenschutzbeauftragte. Für Vereine und Kleinunternehmen wie Kfz-Werkstätten oder Handwerksbetriebe stellt beispielsweise das Bayerische Landesamt für Datenschutzaufsicht Mustererklärungen zur Verfügung.

2. DER COOKIE-HINWEIS

Wer auf seiner Webseite Cookies verwendet, muss unbedingt darauf hinweisen. Cookies werden nicht nur zu Marketingzwecken von großen Onlineshops verwendet, sondern z.B. auch standardmäßig von Content Management Systemen wie WordPress oder TYPO3 eingesetzt, mit denen Webseiten erstellt werden können. Es empfiehlt sich daher generell, einen Cookie-Banner einzubinden. Dieser muss beim ersten Aufruf der Webseite deutlich zu sehen sein und darf nicht die Links zu Impressum und Datenschutzerklärung verdecken.

3. DAS SSL-ZERTIFIKAT

Jede Webseite, die ein Kontaktformular, einen Newsletter oder einen Onlineshop anbietet, muss laut DSGVO mit SSL verschlüsselt werden. Eine so verschlüsselte Seite erkennt man daran, dass ihre URL mit „https://“ beginnt. SSL steht für „Secure Sockets Layer“ und verschlüsselt die Kommunikation von Daten, die zwischen Computern und einem Server transportiert werden.

SSL Zertifikate können bei uns käuflich erworben werden. Wir unterstützen Sie gerne bei der Auswahl und der Installation. Die Installation der Zertifikate auf Servern die bei uns gehosted werden ist im Preis des Zertifikates inklusive.

4. GOOGLE ANALYTICS

Wer Google Analytics nutzt, muss grundsätzlich in der Datenschutzerklärung darauf hinweisen. Außerdem muss der Nutzer eine Möglichkeit haben, der Erfassung seiner persönlichen Daten durch Google zu widersprechen: es sollte also eine sogenannte „Opt-Out-Option“ installiert sein. Der Webseitenbetreiber hat dafür zu sorgen, dass die IP-Adressen der Besucher von Google nur anonymisiert erfasst werden und muss einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen.

5. DIE KOMMENTARFUNKTION

Auch wenn Nutzer auf einer Webseite freiwillig etwas kommentieren, müssen sie darauf hingewiesen werden, dass ihre Daten in diesem Fall gespeichert werden. Hier empfiehlt sich eine Checkbox, um sicherzustellen, dass der Nutzer damit einverstanden ist.

6. NEWSLETTER

Verschicke ich Newsletter, muss ich mir von allen Empfänger eine Erlaubnis dafür einholen, dass ich ihre Daten weiterhin für diesen Zweck speichern darf. Dies erfolgt am sichersten über ein so genanntes Double-Opt-In Verfahren. Hierbei muss der User, der sich zum Newsletter anmeldet, zunächst im Anmeldeformular einen Hinweis dazu erhalten (und diesen mittels einer Check-Box anklicken – die Check-Box darf NICHT vorausgefüllt sein), dass seine Daten, wie zum Beispiel e-Mail Adresse, Name und Vorname so wie ggf. das Geschlecht für eine korrekte Anrede zum Zwecke des Mailversands der Newsletter verarbeitet und gespeichert werden bis der User diese Erlaubnis widerruft. Der User erhält dann eine e-Mail, in der er dies nochmals mittels Klick auf einen Link explizit bestätigen muss.

Neben diesen fünf möglichen Fallstricken gibt es für Webseitenbetreiber möglicherweise noch weitere Punkte zu beachten.

Die DSGVO kann hier eingesehen werden.

Share

Share