DSGVO – ein Kürzel, das viele Webseiten-Betreiber derzeit beunruhigt. Denn die ab dem 25. Mai EU-weit gültige Datenschutzgrundverordnung nimmt den Online-Business-Bereich beim Thema Speichern und Verarbeiten personenbezogener Daten stärker in die Pflicht als bisher. checkdomain liefert Euch einen Überblick über das Thema und zeigt, worauf Ihr achten müsst.
Wichtiger Hinweis: Wir sind keine Juristen. Die in diesem Beitrag gesammelten Informationen und Tipps sind keine Rechtsberatung. Bei konkreten juristischen Fragen oder Problemen wendet Euch bitte an einen Anwalt. Ergänzend zu diesem Artikel wird Euch das checkdomain-Team aber in den kommenden Wochen gemeinsam mit einem Juristen ein Webinar zur DSGVO anbieten.
Inhaltsverzeichnis:
Was ist die DSGVO?
Was ist das Ziel der DSGVO?
Mit der neuen Verordnung reagiert die Europäische Union darauf, dass Daten als Rohstoff zunehmend an Wert gewinnen. Der Datenhunger wächst weltweit, zugleich werden die Erhebungs- und Speichermethoden immer ausgefeilter. Mit der DSGVO möchte die EU die Rechte der Verbraucher im Netz stärken, indem die Sammlung personalisierter Daten – etwa Postadressen, Kontoverbindungen, IP-Adressen oder Geburtstage – durch Unternehmen und öffentliche Stellen erstmals europaweit einheitlich geregelt wird.
Die DSGVO ersetzt ab dem 25. Mai das Bundesdatenschutzgesetz (BDSG) und weitere Regelungen, die bisher für Website-Betreiber gegolten haben. Dabei zielt die EU in erster Linie auf große Unternehmen und Behörden, weniger auf Betreiber kleiner Webauftritte wie etwa Blogger. Trotzdem sollte sich auch diese Gruppe darum kümmern, ob ihr Webauftritt konform ist mit den neuen Datenschutzanforderungen.
Viele der in der DSGVO enthaltenen Vorschriften galten auch bisher schon, wurden aber häufig nur unzureichend berücksichtigt, da kaum Strafen drohten. Das ändert sich mit der Neuregelung drastisch: Wer als Webseitenbetreiber den Datenschutz auch künftig auf die leichte Schulter nimmt, muss mit empfindlichen Strafen rechnen. Bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes des gesamten Konzerns kann die maximale Geldbuße betragen. Zum Vergleich: Im BDSG waren 300 000 Euro als höchstes Bußgeld vorgesehen.
Was sind die wichtigsten Punkte der DSGVO?
Die DSGVO bietet weniger konkrete Vorschriften als allgemeine Grundsätze – sie ist damit eher ein Gerüst, an dem sich Webseiten-Betreiber datenschutztechnisch entlanghangeln können. Als Grundlage für die Speicherung und Verarbeitung personenbezogener Daten in der EU gelten dabei:
- die Rechtmäßigkeit der Verarbeitung: Personenbezogene Daten dürfen nur verarbeitet werden, wenn es eine entsprechende Rechtsgrundlage dafür – also die Einwillung der betroffenen Person – gibt.
- Transparenz: Nutzer müssen ihr Recht auf informelle Selbstbestimmung wahrnehmen können und erhalten ein Auskunftsrecht. Ab dem 25. Mai haben Webseiten-Besucher beispielsweise ein Recht darauf zu erfahren, ob und welche personenbezogene Daten auf einer Seite erhoben werden, zu welchem Zweck die Daten gesammelt werden, wie sie verarbeitet und wo sie gespeichert werden und ob die Daten an Dritte weitergegeben werden.
- Datenminimierung: Webseiten-Betreiber sollten nicht mehr Daten einholen als unbedingt nötig.
- Zweckbindung: Einfach ins Blaue hinein Kundendaten sammeln? Das soll in Zukunft nicht mehr möglich sein. Denn der Grundsatz der Zweckbindung besagt, dass Unternehmen personenbezogene Daten nur zu dem Zweck bearbeiten dürfen, zu dem sie erhoben wurden. Das heißt: Selbst innerhalb eines Unternehmens dürfen Kundendaten nicht einfach von der Abrechnung ins Marketing weitergereicht werden.
- Speicherbegrenzung: Gespeicherte Daten müssen gelöscht werden, sobald der Zweck der Verarbeitung entfällt.
- Richtigkeit der Datenverarbeitung: Personenbezogene Daten müssen korrekt und auf dem neuesten Stand sein. Wenn nicht, müssen sie sofort berichtigt oder gelöscht werden.
- Integrität und Vertraulichkeit: Firmen oder Behörden müssen dafür Sorge tragen, dass personenbezogene Daten sicher sind – also beispielsweise nicht unrechtmäßig an Dritte oder verloren gehen.
Das ändert sich durch die DSGVO konkret
Auf Basis der genannten Grundsätze ergeben sich aus der DSGVO auch einige ganz konkrete Änderungen. Dazu zählt unter anderem, dass künftig der Grundsatz „Wohnort statt Unternehmenssitz“ gilt. Heißt: Nutzt ein Bürger in der EU ein Online-Angebot, gilt die DSGVO, auch wenn der Anbieter seinen Sitz außerhalb der EU hat. Das soll vor allem die Rechte der Nutzer gegenüber globalen Internetkonzernen wie Google oder Facebook stärken.
Ebenfalls neu sind das Recht auf Vergessenwerden (wenn ein Betroffener es verlangt, müssen die personenbezogenen Daten gelöscht werden) sowie das Recht auf Datenübertragbarkeit. Nutzer können dadurch künftig Daten von einem Unternehmen zum anderen übertragen, ohne wieder neu Auskunft geben und Daten an zwei Stellen hinterlassen zu müssen.
Verschärft wurden außerdem die Dokumentationspflichten. Für Unternehmen ab 250 Mitarbeitern ist ab dem 25. Mai vorgeschrieben, dass sie ein Verzeichnis aller Datenverarbeitungsvorgänge führen. Hier muss unter anderem festgehalten werden, welche Art von personenbezogenen Daten gesammelt, wie sie verarbeitet und wie lange sie gespeichert werden. Wer zu diesem Punkt mehr wissen möchte: Dieses Musterverzeichnis bietet eine erste Orientierung.
Was bedeutet die DSGVO für Webseiten-Betreiber in der Praxis?
Tatsächlich ändert sich durch die neue Verordnung erst einmal gar nicht so viel – zumindest für alle, die sich mit ihrer Webseite an die bisherigen Datenschutzvorschriften gehalten haben. Denn in Deutschland galten schon bisher vergleichsweise strengen Datenschutzrichtlinien. Es gibt aber einige Punkte, die jeder Betreiber einer Webseite beachten und gegebenenfalls bei seinem Online-Auftritt anpassen sollte:
- Cookies: Datenschützern sind Cookies schon seit Jahren ein Dorn im Auge. Die von vielen Webseiten aktuell genutzte Opt-Out-Lösung erfüllt nicht die Anforderung der DSGVO. Allerdings ist eine vorausgehende Einwilligung der Nutzer praktisch nicht umsetzbar. Für Cookies bedeutet das im Prinzip das Aus – würde die DSGVO nicht ein paar Schlupflöcher lassen. Ausnahmen gelten beispielsweise bei „berechtigtem Interesse“ des Webseiten-Betreibers. Und was berechtigt ist, ist zumindest derzeit noch nicht wirklich festgelegt.
- Blog-Kommentare: Im Prinzip sind auch Blog-Kommentare problematisch, weil hier personenbezogene Daten wie die Mail-Adresse und die IP-Adresse des Kommentierenden gespeichert werden. Aber auch hier steht dem Datenschutz das berechtigte Interesse des Seitenbetreibers entgegen, der im Falle eines Falles die Möglichkeit haben muss, Personen zu identifizieren – etwa, wenn es zu Beleidigungen kommt.
- Tracking-Services: Wer Google Analytics und/oder andere Tracking-Dienste nutzt, sollte überprüfen, ob alle Einstellungen DSGVO-konform sind. So sollten IPs anonym übertragen und die User per Opt-Out informiert werden.
- Social Media: Künftig gilt noch stärker als bisher: Finger weg von den offiziellen Plugins von Facebook und Co., denn diese übermitteln unkontrollierbar Daten an den entsprechenden Anbieter.
- Datenschutzerklärung: Sollte eigentlich sowieso schon auf jeder Webseite stehen. Ist das noch nicht der Fall, sollte umgehend gehandelt werden. Bei der Erstellung hilft zum Beispiel dieser Online-Generator.
Soweit die wichtigsten Punkte im kompakten Überblick. Da – wie bereits gesagt – vieles in der DSGVO sehr allgemein gehalten ist, wird sich erst über längere Sicht zeigen, was Webseitenbetreiber genau tun müssen beziehungsweise welche praktischen Lösungen gefunden werden. Dennoch ist es empfehlenswert, sich schon jetzt gründlich mit dem Thema zu beschäftigten und die eigene Webseite zumindest auf die wichtigsten Punkte hin abzuklopfen.
Weiterführendes Material – Gratis PDF
Die Firma „lexoffice“ hat ein ausführliches Premium eBook zur DSGVO zusammengestellt. Folgende Inhalte werden in dem PDF behandelt:
- Fachwissen zur DSGVO (eBook) – Erfahren Sie, wie Sie die neuen Regelungen sicher im Betrieb anwenden
- Maßnahmenplan DSGVO – Sichere und korrekte Umsetzung mit dem 6-Punkte-Maßnahmenplan
- Experten geben Rat zur DSGVO – Experten-Interview mit RA Michael Rohrlich, Datenschutzbeauftragter
- Fragen & Antworten zur DSGVO – Antworten auf die wichtigsten Fragen zur DSGVO
- Muster & Vorlagen zum Download – Antworten auf die wichtigsten Fragen zur DSGVO
DSGVO-Checkliste: WordPress datenschutzkonform einsetzen
Der heise Verlag hat einen umfassenden Artikel aus der IX veröffentlicht, in dem der datenschutzkonforme Einsatz von WordPress beleuchtet wird.
