Die Sache mit der DSGVO


Die Datenschutzgrundverordnung, kurz DSGVO ist momentan in aller Munde. Zuerst einmal hat sich allgemeine Panik breit gemacht, die sogar teilweise darin mündete, dass einige Webseiten-Betreiber Ihre Seiten geschlossen oder doch zumindest erst einmal offline gestellt haben. In Kraft getreten ist die DSGVO am 25. Mai 2018 und es herrscht allgemein immer noch sehr viel Unsicherheit darüber, was man nun auf seiner Webseite noch darf und was nicht und was vielleicht geändert werden muss. Ich versuche einmal aufzuklären, was sich nun für einen „normalen“ Webseitenbetreiber (kleine bis mittelgroße Website)  ändert, bzw. worauf man achten sollte:

Strafen drohen

Da das Gesetz nun auch ziemlich hohe Strafen vorsieht (bis zu 20 Millionen Euro bei großen Unternehmen oder bis zu 4% des Vorjahreseinkommen) ist die Angst sicherlich auch nicht ganz unberechtigt. Was viele allerdings nicht wissen, ist, dass viele Teile der DSGVO gar nicht so neu sind, sondern schon seit 2015 gültig sind. Bisher hat es aber niemand so richtig ernst genommen, was sich nun mit den angedrohten hohen Bußgeldern schlagartig verändert hat. Es gibt allerdings auch noch Teile, die immer noch nicht zu 100% gesetzlich geregelt sind und voraussichtlich im nächsten Jahr gesetzlich geregelt werden. Grundsätzlich ist eine nicht DSGVO-konforme Website auch abmahnfähig.

Worum geht es bei der DSGVO?

In erster Linie geht es hier um den Schutz der personenbezogenen Daten, wie z.B. Name, Anschrift, Email-Adresse, aber auch die IP-Adresse beispielsweise. Auch hat der User ab sofort das Recht auf Auskunft (wie und wo seine Daten gespeichert werden und was damit passiert) sowie das Recht auf Löschung derselben und das Recht auf Vergessen. Auch ist ab sofort jede Datenerhebung nur noch mit ausdrücklicher Einwilligung der Nutzer möglich. Es reicht also im Zweifelsfall oft nicht aus, einen erläuternden Text irgendwo hinzuzufügen, sondern dieser Text muss auch ausdrücklich akzeptiert und bestätigt werden. Besonders bei Webseiten geht es im Zusammenhang mit den personenbezogenen Daten natürlich auch sehr stark um die Sicherheit derselben.

Was kann ich als Webseitenbetreiber tun?

Nun, ganz allgemein sollte man natürlich erst einmal eine rechtsgültige Datenschutzerklärung einbinden. Dafür gibt es für kleine Webseiten und Vereine inzwischen allerhand Generatoren oder Mustertexte im Web. Weiterhin ist es sicher in jedem Fall ratsam, die Seite mit einem SSL-Zertifikat zu versehen, so dass eventuell übertragene Daten (z.B. über ein Kontaktformular) auch verschlüsselt werden können. Im nächsten Schritt sollte man einmal ganz genau überprüfen, wo man persönliche Daten erhebt und dies mit einem Hinweis und/oder Checkbox (Einwilligung) versehen. Für Social Media und Tracking Tools wie Google Analytics z.B. gelten noch einmal besondere Vorschriften, da diese in der Regel die IP Adresse auslesen und allerhand Daten zu Statistikzwecken erheben! In der Regel ist es gar nicht mehr erlaubt, irgendwelche Plugins von Social Media Anbietern einzubinden. Tut man es doch, so muss man sich vorher eigentlich die Einwilligung des Nutzers holen. Auch ein OptOut für Google Analytics ist zwingend notwendig, genau wie auch bei anderen Tracking Tools.

Vorsicht bei Plugins und anderen Erweiterungen

Jeder der ein CMS System wie WordPress oder Joomla nutzt, sollte nun also ganz genau hinschauen, welche Erweiterungen er nutzt und welche Daten dabei ggfs. gesammelt werden. Auch hier muss im Zweifelsfall immer erst eine Einwilligung des Nutzers vorliegen. Viele Plugins sammeln beispielsweise die IP-Adresse des Nutzers und das ist ja grundsätzlich erst einmal nicht erlaubt. Es gibt allerdings Ausnahmen, nämlich bei berechtigtem Interesse. Ob ein Solches vorliegt ist sicherlich von Fall zu Fall unterschiedlich. So z.B. kann ein berechtigtes Interesse schon ein technischer Grund, aber auch beispielsweise die Abwehr von Gefahren sein.

Wie behandele ich Cookies auf meiner Website?

Grundsätzlich sind nach wie vor, alle Session Cookies erlaubt. Das sind die Cookies, die sich nach Beenden der Browsersitzung automatisch wieder löschen, also auch technisch für die Website notwendig sind. Eine einheitliche Regelung zu den Cookies wird voraussichtlich 2019 in der ePrivacy Verordnung festgelegt. Grundsätzlich hat sich dort wohl erst einmal nichts geändert, was heißt, dass es nach wie vor ein schwammiger Bereich ist und eigentlich keine einheitliche Regelung dazu gibt.

Was ist eigentlich ein Auftragsdatenverarbeitungsvertrag?

Ab sofort muss man mit jedem Drittanbieter, wie z.B. einem Provider, oder Newsletteranbieter, einen Auftragsdatenverarbeitungsvertrag abschliessen! Also alle Anbieter, die man nutzt und die ebenfalls personenbezogene Daten der Websitebesucher speichern, sind demzufolge Drittanbieter. Normalerweise müsste hier auch wieder eine Extra Einwilligung des Nutzers erfolgen, da dies aber nun wohl doch etwas zu kompliziert erscheint, gibt es die sogenannte Auftragsdatenverarbeitungs-Regelung. Die meisten Provider bieten dies inzwischen von sich aus an und auch viele Newsletteranbieter haben inzwischen nachgezogen. Schwierig ist es sicherlich mit Anbietern, die im Ausland sitzen, da sollte man das vielleicht vorher nochmal genau abklären. Diesen Vertrag kann man dann also beispielsweise im Zweifel dem Nutzer der Website vorlegen, sofern er danach verlangt. Da er ja das Recht auf Auskunft hat, kann dies also tatsächlich sein.

Wie ist das jetzt mit dem Speichern von Daten?

Tja, also grundsätzlich darf nur noch gespeichert werden, was auch wirklich notwendig ist. Wenn ich als Webdesigner z.B. Kunden betreue und so meinen Kundenstamm habe, darf ich diese Daten sicherlich weiterhin speichern. Auch die Daten, die ich für meine Steuererklärung benötige oder (falls vorhanden) z.B. zur Buchhaltung dürfen natürlich den gesetzlichen Pflichten entsprechend gespeichert werden. Nicht mehr gespeichert werden dürfen z.B. Daten von Personen, die sich aus dem Newsletter ausgetragen haben oder explizit um Löschung Ihrer Daten gebeten haben.

Brauche ich jetzt einen Datenschutzbeauftragten?

Nur Unternehmen, die mehr als neun bzw. mindestens zehn Mitarbeiter haben, brauchen einen Datenschutzbeauftragten.

Und wie ist das mit dem Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis muss von allen Unternehmen angelegt werden, die mindestens 250 Mitarbeiter beschäftigen. Bei besonders intensiven Datenverarbeitungen muss allerdings auch ein solches Verzeichnis angelegt werden, egal ob man nun 250 Mitarbeiter hat oder weniger.

Links und Verweise:

Seite der Europäischen Kommision zur DSGVO

Seite der Bundesbeauftragten zu Datenschutz und Informationsfreiheit

Webbienes Linkliste mit weiterführenden Informationen zur DSGVO und verschiedenen Generatoren

 

Hinweis und Haftung:

Alle Informationen habe ich nach bestem Wissen und Gewissen aus meiner Meinung nach, zuverlässigen Quellen verschiedener Rechtsanwälte im Internet zusammen getragen. Natürlich übernehme ich keine Haftung für die Inhalte und auch nicht für eventuelle Schäden, die durch die Anwendung meiner Ratschläge entstehen. Auch erhebe ich keinen Anspruch auf Vollständigkeit der Informationen. Die Verantwortung für die Umsetzung der Hinweise liegt jeweils beim Leser selbst. Im Zweifel ist immer ein Rechtsanwalt hinzuziehen.

Teile dies:

5 thoughts on “Die Sache mit der DSGVO”

  1. Ja die DSGVO war im Grunde ein guter Gedanke. Wenn man bedenkt, das die letzen Richtlinien aus Zeiten kommen, wo Smartphones noch Handys hießen und Antennen hatte. Ich vermisse Snake, aber mal Spaß bei Seite. Die Umsetzung der DSGVO war wie Katastrophe. Ich habe das Gefühl die Hälfte aller Internetseiten in Europa wurde einfach geschlossen. Wenn nicht sogar mehr. Vorallem die ganzen kleinen Seiten und Blogs sind einfach weg. Wo große Firmen einfach drüber lachen. Facebook nutz die Auslegung der DSGVO sogar um an mehr Daten zu kommen von Whatsapp. Irgendwie ist das ganze doch ironisch.

    1. Das Problem, denke ich, ist, dass wie bei all diesen Dingen, die kleinen Unternehmen das immer sehr ernst nehmen, die aber sind in der Regel ja gar nicht angesprochen bzw. zumeist diejenigen, die eh immer alles richtig machen und in Sachen Datenschutz wohl die wenigstens Fehler machen. Diejenigen hingegen, die viele Daten sammeln, eben auch zu Werbezwecken, sind ja doch zumeist größere Unternehmen oder Firmen und bei denen ist es dann immer schwer, dagegen anzugehen bzw. sich dagegen zu wehren.

    2. Ich kann mich Marlon nur anschließen: Die Umsetzung der DSGVO ist doch sehr fragwürdig. Ich habe lange als Experte in diesem Umfeld gearbeitet und sehr als Hauptproblem, dass eigentlich die große Mehrzahl der Bevölkerung den Unterschied zwischen Datenschutz und Datensicherheit (noch) nicht richtig verstanden hat. Man versucht mit Unwissenheit Geld zu verdienen, was leider nur allzuoft gelungen ist bzw. Immer noch gelingt.

      1. Meiner Meinung nach ist die DSGVO ein verzweifelter Versuch, der Informationsflut im Netz Herr zu werden. Offen gestanden profitiere auch ich oftmals sehr davon, wenn ich z.B. sehe, dass ich von den 100 Newslettern nun nur noch 10 zugesendet bekomme. Es ist einfach zuviel des Guten und oftmals hat man auch gar nicht mehr die Zeit, sich von allem abzumelden, also landet es im Spam Ordner. Ich denke, dass die große Masse sowieso Ihre eigenen Regeln im Netz hat und sich kaum um irgendwelche Dinge schert. Du kannst insofern eigentlich nur Vorbeugen, z.B. in Form solcher Gesetze, aber die mangelnde Ahndung derselben zeigt ja auch, dass es mehr ein Warnschuss war, als dass es jetzt wirklich um die 100%ige Umsetzung geht. Ich denke, den Gesetzgebern war wahrscheinlich auch schon klar, dass nicht alle sich daran halten werden. Aber es hat doch zumindest schon mal eine gewisse abschreckende Wirkung auf Viele. Die die wirklich viel Geld mit dem Sammeln von Daten verdient haben, sind jetzt schon sehr vorsichtig auch geworden, da auf diese wohl auch ein besonders großes Augenmerk gelegt wird!

  2. Ach ja, die DSGVO. Es ist klar, dass das Internet immer und immer wieder Problematisch in Gesetzesfragen ist, natürlich, die meisten Gesetze sind ja noch aus einer Zeit in der das Internet noch gar nicht da war. Eine Neuorientierung ist also zwingend nötig. Super wie die Thematik in dem Artikel aufgegriffen und beleuchtet wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.