Datenschutz-Grundverordnung (DSGVO)

Was gilt es zu beachten?

Der Gesetzgeber hat mit der ab 25.05.2018 gültigen EU-Datenschutzgrundverordnung (DSGVO) den Druck auf Unternehmen, einen professionellen Datenschutz und IT-Sicherheitsmanagement zu betreiben und nachzuweisen, entscheidend verschärft.

Die Folgen für die Website

Weitere Auflagen für Websites ergeben sich aus der Verpflichtung zur Datenminimierung und aus dem in der DSGVO festgeschriebenen Grundsatz der Integrität und der Vertraulichkeit, der beispielsweise eine verschlüsselte Übertragung der Daten aus Kontaktformularen erzwingt. Der Einsatz von Social Media Plug-ins ist z.B. zustimmungspflichtig, um für Rechtskonformität zu sorgen.

Bei Verstößen gegen das neue Datenschutzrecht drohen nicht nur hohe Bußgelder. Juristen gehen davon aus, dass es zu Abmahnungen durch Konkurrenten, Verbraucherschutz- und Wettbewerbsverbände kommen wird.

Alle Informationen in diesem Beitrag habe ich mit größter Sorgfalt recherchiert. Diese Zusammenfassung soll sensibilisieren und wichtige Punkte hinsichtlich der DSGVO verdeutlichen.
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen und nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollten Sie sich an einen Anwalt wenden (z.B. IT-Fachanwältin). Ich übernehme ausdrücklich keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen sondern informiere meine Kunden hiermit ganz allgemein als Service.

Weitere Informationen zur DSGVO

Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind und hier ihre Niederlassungen haben (auch Betriebe außerhalb der Europäischen Union, die EU-Bürgern Waren oder Dienstleistungen anbieten) sowie für Freiberufler, Vereine und öffentliche Stellen unabhängig von ihrer Größe.

Mit der Datenschutz-Grundverordnung wird das Datenschutzrecht an das digitale Zeitalter angepasst und eine einheitliche Regelung für die Verarbeitung von personenbezogenen Daten in den EU-Mitgliedsstaaten vorgenommen. Zu den personenbezogenen Daten zählen z. B. folgende:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Kontodaten
  • Standortinformationen
  • IP-Adressen

Allgemeine Grundsätze der DSGVO

Mit einer Website werden im Allgemeinen immer persönliche Daten verarbeitet. Dies verpflichtet Unternehmen dazu „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“:

  1. Prüfung der eingesetzten Systeme und Dienste bezüglich ihrer Vertraulichkeit, Integrität und Belastbarkeit.
  2. Schnelle Wiederherstellbarkeit nach technischem Zwischenfall
  3. Pseudonymisierung und Verschlüsselung personenbezogener Daten
  4. Dokumentation aller getroffenen Maßnahmen – auch hinsichtlich Auftragsdatenverabeitung

Demnach muss die Datenverarbeitung den allgemeinen Grundsätzen der Datenschutz-Grundverordnung entsprechend rechtmäßig und transparent sein. Der Zweck dahinter muss für die betroffene Person stets verständlich, nachvollziehbar und eindeutig sein.

Wichtig ist auch eine Zustimmung zur Datenverarbeitung durch die betroffene Person mit einem Recht auf Auskunft ob und wie ihre personenbezogenen Daten verarbeitet werden. Ebenso muss eine Löschung der Daten machbar sein und auf Wunsch ausgeführt werden. Ebenso ist das Sammeln von Daten auf das Nötigste zu beschränken. Kommt es zu einer „Datenpanne“, weil etwa die Website gehackt wurde, ist eine Meldung dieses Vorkommnisses bei der zuständigen Aufsichtsbehörde binnen 72 Stunden erforderlich.

Mehr Informationen bei IT-Fachanwältin.
Bei Änderungswünschen auf Ihrer Website senden Sie mir Ihre Anfrage.

Datenschutz für Ihre Website

Webseiten mit einem Analysetool wie Google Analytics, Piwik oder eTracker, müssen die IP-Adressen der Nutzer anonymisieren (übrigens schon vor der Datenschutz- Grundverordnung).

Bei Erhebung von Daten über ein Kontaktformular – wie beim Kauf in einem Online-Shop muss eine SSL-Verschlüsselung für den Schutz vor Datendiebstahl sorgen. Eine Umstellung der Website auf “https” ist demnach zwingend notwendig.

Einige Beispiele bei denen personenbezogene Daten erhoben werden:

  • Anmeldung für Newsletter,
  • Nutzung der Website in Werbenetzwerken wie Google AdSense oder Amazon-Partnerprogrammen
  • Verwendung eines durch Log-in geschützten Kundenbereichs
  • Verwendung der Kommentarfunktion
  • Anbieten von Social-Media-Plug-ins (da Sie von der E-Mail-Adresse bis zum Klarnamen gelangen und über diese Wege an personenbezogene Informationen gelangen, die es zu schützen gilt.)

Nachweispflichten zur Umsetzung der DSGVO

Wichtig zum Nachvollziehen Ihrer wahrgenommenen Maßnahmen, die Sie zum Datenschutz treffen, sollten gut dokumentiert sein, so dass Sie den dafür zuständigen Aufsichtsbehörden auf Anfrage entsprechende Nachweise vorlegen können.

  • führen Sie ein Verzeichnis von Verarbeitungstätigkeiten
  • dokumentieren Sie den Umgang mit personenbezogenen Daten

Die Pflicht dazu kann entfallen, wenn Ihr Unternehmen weniger als 250 Mitarbeiter zählt – es sei denn, Sie führen Verarbeitungen personenbezogener Daten durch.

Da die meisten Unternehmen zumindest regelmäßig Kunden- oder Beschäftigtendaten verarbeiten, wird es voraussichtlich nur wenige Betriebe geben, die auf eine Befreiung hoffen können. Weiterführende Informationen dazu erhalten Sie in Form von Kurzpapieren der Aufsichtsbehörden. Ein Muster-Dokument zur Dokumentation der Verarbeitungstätigkeit .

Datenschutz in WordPress – Schritt für Schritt

  1. Halten Sie WordPress, Ihr Theme sowie Ihre Plug-ins auf einem aktuellen Stand. Regelmäßige Aktualisierungen verhindern, dass Hacker Sicherheitslücken ausnutzen, die in veralteten Versionen bestehen.
  2. Verwenden Sie eine aktuelle Servertechnik (PHP, MySQL, Linux, Apache), auf dem Ihre WordPress-Installation liegt. Sprechen Sie mit Ihrem Provider.
  3. Nehmen Sie regelmäßige Datensicherungen (Backups) Ihrer Website vor, um Ihre Website schnell wieder herstellen zu können. (BackWPUp).
  4. Prüfen Sie die verwendeten Plug-ins, ob Sie personenbezogene Daten erheben und speichern – als Beispiele können an dieser Stelle Erweiterungen wie Google Fonts, WooCommerce, MailPoet, Download Monitor und Gravity Forms dienen. Fügen Sie diese Erweiterungen Ihren Datenschutzbestimmungen zu.
  5. Nutzen Sie Plugins und Dienste von europäischen Anbietern und vermeiden Sie Plug-ins von Diensten, die personenbezogene Daten (meist IP-Adressen) auf Server außerhalb der EU weiterleiten, wie zum Beispiel JetPack (einige Funktionen), MailChimp (Newsletter), Akismet (Anti-Spam), iThemes Security (Website-Schutz).
  6. Passen Sie Ihre Datenschutzerklärung an und weisen Sie leicht verständlich auf alle möglichen Fälle hin, in denen die Besucher Ihrer WordPress-Website personenbezogene Daten hinterlassen.
  7. Impressum und Datenschutzerklärung müssen für den Besucher Ihrer Website leicht über einen eigenen Link zu erreichen sein und je nachdem, welche Datenerhebungsprozesse durchgeführt werden, müssen diese individuell ausgestaltet sein. Von Facebooks Gefällt-mir-Button über den Einsatz von Cookies bis hin zur Newsletter-Registrierungsmaske: Nutzer müssen stets darüber informiert sein, was und unter welchen Voraussetzungen mit ihren Daten passiert.
  8. Anonymisieren Sie die IP-Adressen in Ihrer Analyse-Software, sofern Sie eine solche einsetzen.
  9. Kümmern Sie sich um die Einrichtung eines SSL Zertifikates vor allem dann, wenn Sie ein Kontaktformular anbieten. Integrieren Sie eine Checkbox, über die die Nutzer der Datenverarbeitung zustimmen müssen. Da Sie nur notwendige Daten möglichst kurz aufbewahren dürfen, könnten Sie auf die Datenlöschung hinweisen. Hier ist ein individuelles Vorgehen sinnvoll.
  10. Datenpannen sind unverzüglich zu melden und zwar innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde.
  11. Führen Sie ein Verzeichnis von Datenverarbeitungstätigkeiten.
  12. Wichtig: Nehmen Sie die Datenschutz-Grundverordnung nicht auf die leichte Schulter. Beachten Sie aber, dass viele Punkte schon länger gelten und dass jetzt, ab dem  25. Mai 2018, verstärkt Kontrollen durchgeführt werden.

Prüfung der Datenschutzerklärung hinsichtlich DSGVO

Künftig müssen Websitebetreiber ihre Angaben in der Datenschutzbelehrung weiter konkretisieren. Ebenso besteht die Pflicht, dass die Informationen leicht wahrnehmbar, verständlich und klar in nachvollziehbarer Form abgebildet und vermittelt werden. Insgesamt besteht der Grundsatz der Datenminimierung. Die Informationspflichten sollten mit weiteren Rechtstexten ergänzt werden, auch wenn sich manche Punkte erst nach dem 25. Mai 2018 klären oder konkret werden:

  1. Internetverantwortliche mit Namen und Kontaktdaten angeben
  2. Besondere Funktionen der Website auflisten mit Erwägungsgrund
  3. Datenschutzbeauftragten auf der Website benennen mit Namen und Kontaktdaten
  4. Rechtsgrundlage für die jeweilige Datenverarbeitung verständlich angeben – samt Zweck und Interesse
  5. Empfänger von personenbezogenen Daten nennen samt Kategorie
  6. Informationen über Verarbeitung von Daten außerhalb der EU
  7. Datentransfer an Drittländer – auch wenn unbeabsichtigt – mitteilen (Auftragsdatenerfassung)
  8. Unterrichtung zu Datenaustausch mit anderen Websites
  9. Hinweis auf genutzte Skripte und Plugins falls diese dem Zweck des Datenaustausches dienen
  10. Unterrichtung über Cookie-Nutzug
  11. Speicherdauer der Daten angeben
  12. Sollte ein Profilling (bei Shops z.B. Rückschluss auf Zahlungen o. ä.) möglich sein, sind die betroffenen Personen zu informieren
  13. Recht auf Beschwerde bei der Aufsichtsbehörde benennen
  14. Recht auf Auskunft, recht auf Berichtigung, Recht auf Vergessenwerden/Löschung
  15. Recht auf Einschränkung der Datenverarbeitung, Klärung zu möglichen datenschutzrechtlichen Einwänden
  16. Angaben zur Nutzung von Webtracking
  17. Verschlüsselung der Website über SSL/TLS – für angemessene Sicherheit sorgen
  18. Einwilligung zu Datennutzung einfordern und Aufklärung zu Widerruf
  19. Datenherkunft benennen falls diese von Dritten kommen
  20. Möglichst Nennnug der zuständigen Aufsichtsbehörde

Einige Punkte können direkt umgesetzt werden und andere Inhalte müssen je nach Nutzung und Anforderung auf Ihr Unternehmen abgestimmt werden. Ebenso ist Einiges bis heute auch noch nicht abschließend geklärt, sodass von weiteren Anpassungen in den nächsten Jahren auszugehen ist. Bitte beachten Sie, dass ich keine Rechtsanwältin bin, ich gebe Ihnen hiermit nur wichtige Informationen weiter. Bitte holen Sie sich zur sicheren und individuellen Klärung ggf. anwaltliche Hilfe (Fachanwältin) ein und lassen Sie sich bei Fragen und offenen Punkten beraten.

Eine kleine Hilfe könnte auch diese Veröffentlichung einer Rechtsanwältin im Netz sein.