DSGVO: Die Datenschutz-Grundverordnung

DSGVO

DSGVO: Die Datenschutz-Grundverordnung

 

Am 25.05.2018 tritt die bereits vor 2 Jahren verabschiedete DSGVO (Datenschutz Grundverordnung) in Deutschland und der gesamten Europäischen Union in Kraft. Höchste Zeit also, noch einmal einen kritischen Blick auf den eigenen Internetauftritt und die interne Datenverarbeitung zu werfen.

Erfahren Sie, was unter personenbezogenen Daten verstanden wird, die mit der DSGVO nun besonderen Schutz genießen und durch welche Webfunktionen was für Daten generiert werden. Informieren Sie sich, welche Maßnahmen nun getroffen werden müssen und erhalten Sie nützliche Links. Schnellleser klicken direkt hier zur Checkliste, was nun auf Ihrer Website geprüft und geändert werden muss:

Alle anderen lesen gerne vorher noch einen zynischen Einleitungskommentar, erfahren was personenbezogene Daten sind und durch welche Webfunktionen Sie entstehen.

Zynischer Einleitungskommentar

Ich möchte mit diesem Artikel gar nicht erst versuchen, eine leicht verständliche Zusammenfassung  der DSGVO zur Verfügung zu stellen (dass haben schon etliche vor mir versucht ), sondern einen Praxisleitfaden bieten: Worauf kommt es nun wirklich an? Was ist zu tun. Den Schwerpunkt richtet dieser Artikel dabei auf den durchschnittlichen Internetauftritt. Für Webshopbetreiber verhält sich die Angelegenheit des Datenschutzes etwas komplexer und ist von zu vielen Faktoren abhängig, um allgemeingültige Aussagen treffen zu können. Dass heißt nicht, das der Webshopbetreiber hier nun gleich wieder aussteigen kann. Alle Informationen dieser Seite gelten auch für den Webshop – allerdings: nicht alle für den Webshop relevanten Aspekte werden hier abgehandelt.

Für die erwähnten Zusammenfassungen werde ich auf entsprechende Inhalte verlinken, wenngleich ich an dieser Stelle anmerken möchte, dass Qualität zu diesem Thema äußerst rar ist. Und dabei geht es weniger darum, dass die Artikel falsch wären, als vielmehr darum, dass überall das selbe Grundsätzliche erklärt wird, überall der selbe hysterisch mahnende Zeigefinger „20 Millionen Euro Bußgeld!“ in die Höhe schnellt, die offenen Fragen jedoch offene Fragen bleiben.

Die ernüchternde Antwort zu den offenen Fragen aber gleich vor weg: Warum so viele Menschen sich an dem Thema schon die Zähne ausgebissen haben, liegt darin begründet, dass die DSGVO ein Potpourri aus schwammigen und deutungswürdigen Paragraphen darstellt, die – um das Chaos perfekt zu machen – den Staaten an bestimmten Stellen in Form sogenannter Öffnungsklauseln einräumt, den ein oder anderen Paragraphen abzumildern oder strenger zu fassen (in Deutschland also durch das BDSG (Bundesdatenschutzgesetz). Wem das noch nicht genügt, darf sich auf die ePrivacy-Verordnung freuen. Sie ist ungefähr das, was 2016 für uns die DSGVO war und soll vermutlich ab 2019 eher wohl ab 2020 mit der DSGVO Hand in Hand gehen, an der Leine ein leise kläffendes BDSG hinter sich herziehend, welches ein altes zerfetztes TMG (Telemediengesetz) im Maul trägt.

Dog Zombie © Craig Mullins

Zynischer Einleitungskommentar Ende. Kommen wir zu den Fakten.

Was ist die DSGVO?

Zitat Wikipedia:
Die Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR), ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Termin

Die am 24.05.2016 verabschiedete DSGVO gilt ab dem 25.05.2018

Kernstück der DSGVO

Kernstück der DSGVO ist der Schutz personenbezogener Daten. Hierunter fallen:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtstag
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten
  • IP-Adressen
  • Cookies

Welche Bereiche des Internetauftritts sind dadurch betroffen?
Nutzer- und Kundendaten entstehen durch:

  • Tracking
  • Cookies
  • Newsletteranmeldung
  • Kontaktformulare
  • (Blog)Kommentare

Die nachfolgende Tabelle stellt in einer Übersicht dar, bei welchen personenbezogenen Daten es in welchem Websystem (Webseite oder Shop) üblicherweise zu einer Datenerfassung kommt. Der rechte Teil klärt näher darüber auf, welche jeweilige Funktion dafür verantwortlich sein kann.

DSGVO: Die Datenschutz-Grundverordnung

Änderungen auf Ihren Webseiten

Was muss an Ihrem Internetauftritt geändert/aktualisiert werden?

Das hängt natürlich sehr davon ab, wie alt Ihr Internetauftritt ist bzw. wann das letzte Mal Aktualisierungen von Impressum & Co. durchgeführt worden sind. Prinzipiell können Sie davon ausgehen, dass Webseiten, die vor weniger als 2 Jahren von André Morre Grafik-Design umgesetzt wurden, es nur sehr wenig – unter Umständen sogar gar nichts – zu aktualisieren gibt. Älteren Seiten fehlt möglicherweise das ein oder andere. Der nachfolgende Abschnitt bieten Ihnen dazu eine gute Checkliste:

1. Datenschutzerklärung

Die Datenschutzerklärungen müssen an die DSGVO angepasst werden und wesentlich umfangreicher auf die Art der Datensammlung und die Rechte des Besuchers hinweisen. Aktualisierung notwendig!

Relevanz 0
KOMMENTAR

Das Herzstück ist die Datenschutzerklärung. Insgesamt jedoch enthält die DSGVO nirgends eine grundlegende Neuausrichtung des Datenschutzes – vielmehr bleiben die bereits bekannten Datenschutzprinzipien gültig und werden von der Datenschutz-Grundverordnung fortgeführt. Sie sind die Grundlage für die Neuregelungen, werden allerdings deutlicher ausformuliert und ausgebaut. Die wichtigsten dieser Prinzipien lauten:

Verbot mit Erlaubnisvorbehalt: Dieses Prinzip meint: Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, sie ist erlaubt. Dies war schon bisher so und ist nicht unumstritten. Schließlich sind nicht alle Daten gleich wichtig. Das Verbotsprinzip gilt nach der DSGVO jedoch unterschiedslos für alle Daten mit Personenbezug.

Zweckbindung: Unternehmen dürfen Daten nur zweckgebunden erheben und verarbeiten. Dafür müssen zu Beginn der Erhebung die Zwecke ausformuliert und die zukünftige Verwendung der Daten muss dokumentiert werden. Ein Beispiel aus der Arbeitswelt: Daten, die ein Unternehmen für die Erfüllung eines Vertrages erhoben hat und zu Recht speichert, dürfen nicht für Werbezwecke verwendet werden. Dies ist ein anderer Zweck, der gesondert rechtfertigungsbedürftig ist. Nachträgliche Zweckänderungen sind nur unter bestimmten Umständen zulässig.

Datenminimierung: Das Prinzip der Datenminimierung fordert, dass Unternehmen so wenig Daten wie möglich erheben. Es gilt: So wenig wie möglich, soviel wie nötig. Es darf nicht mehr gesammelt werden, als für die Ausführung des Erhebungszwecks notwendig ist. Damit untersagt dieses Prinzip die „blinde“ Datenerhebung auf Vorrat.

Transparenz: Die Datenverarbeitung soll für die Betroffenen nachvollziehbar sein. Dies erfordert einerseits verständliche Datenschutzerklärungen, andererseits erhalten Nutzer mit den Neuerungen der DSGVO umfangreiche Rechte: Wie bisher müssen Unternehmen auf Anfrage mitteilen, welche Daten ihnen vorliegen und wie sie diese verwenden.

Vertraulichkeit: Unternehmen haben dafür zu sorgen, dass sie die personenbezogenen Daten ihrer Kunden technisch und organisatorisch schützen – sei es vor unbefugter Verarbeitung oder Veränderung, vor Datendiebstahl oder Vernichtung. Die ausdrückliche Pflicht zu technischen Schutzmaßnahmen ist neu. Dennoch sind diese Maßnahmen in der Datenschutz-Grundverordnung nicht präzise ausformuliert und bieten Auslegungsspielraum. Im Falle eines Datendiebstals kommt es darauf an, ob die technischen und organisatorischen Schutzmaßnahmen dem Risiko und der Art der gespeicherten Daten angemessen waren.

2. Tracking

Analysetools können i.d.R. mit kleinen Anpassungen weiterlaufen wie bisher.

Relevanz 0
KOMMENTAR

Eine von André Morre Grafik-Design erstellte Website wird standardmäßig von dem Tracking-Tool Matomo (ehemals PIWIK) analysiert. Oftmals ergänzt durch Google Analytics. Auf Basis der neuen DSGVO wird erwartet, dass die IP-Adresse der einzelnen Besucher nicht erfasst bzw. anonymisiert werden.

Des Weiteren wird selbstverständlich vorausgestzt, dass in den Datenschutzbestimmungen ausgiebig auf die verwendeten Analysetools hingewiesen wird. Eine Verlinkung auf die AGB der Tools kann dabei sinnvoll sein. Wer es perfekt machen möchte, gibt dem Anwender auch noch die Möglichkeit, die Analysetools per Optionsfunktion zu deaktivieren, wenngleich er dies auch in seinen Browsereinstellungen selbst vornehmen könnte.

3. Cookies

Ein Cookiehinweis in der Datenschutzerklärung ist ausreichend. Wer auf Nummer Sicher gehen möchte, setzt einen optischen Störer mit Buttons auf die Webseite. Der macht allerdings nur Sinn, wenn man dort auch die Cookies ablehnen kann.

Relevanz 0
KOMMENTAR

Cookies sind kleine Codeschnippsel, die in dem Browser des Anwenders gespeichert werden. Beim nächsten Besuch des Anwenders erkennt die Website somit den Besucher wieder und kann ihn entsprechend individueller bedienen. Kaum eine Seite kommt heute noch ohne Cookies aus. Obgleich also 99 % aller in den letzten 2 Jahren erstellten Webseiten Cookies einsetzen, wird verlangt, darauf explizit hinzuweisen. Das ist ungefähr so, als würde per Gesetz verlangt, über jedem öffentlichen Wasserhahn ein Schild hinhängen zu müssen »Achtung! Ausfließendes Wasser ist nass! Mit der Benutzung dieses Wasserhahnes erklären Sie sich damit einverstanden, nass zu werden.«

Eine große Anzahl an Unternehmenswebseiten hat daher auf ihrer Startseite einen Cookiehinweis, der als eine Art Störer oben oder unten an der Seite „haftet“ und durch klicken „ich hab’s verstanden“ verschwindet. Besucht man dieselbe Seite einen Tag später wieder, erscheint der Hinweis i.d.R. nicht erneut. Warum? Ein Cookie wurde gesetzt. 😉 Da die meisten Webseiten jedoch schon einen Cookie setzen, bevor der Hinweis erschienen, geschweige denn gelesen ist und eine Funktion zum Ablehnen gänzlich fehlt, machen diese Hinweise keinen Sinn.

Die DSGVO erwartet sowieso nicht explizit einen Cookiehinweis auf der Startseite. Es reicht, wenn dies in der Datenschutzerklärung abgehandelt wird. Möglicherweise wird die ePrivacy-Verordnung etwas entsprechendes oder gar schlimmeres fordern. Die tritt allerdings frühestens 2019 in Kraft und bis dahin wird noch an ihr gefeilt. Man kann nur hoffen, dass bis dahin den Machern der ePrivacy-Verordnung die Cookiehinweise im Web selber so sehr auf den Cookie, äh Keks, gehen, dass sie sich vielleicht doch noch besinnen.

4. Newsletteranmeldung

Newsletter sollten nur per Double Opt-in beziehbar sowie leicht und direkt aus dem Newsletter wieder abbestellbar sein. In der Datenschutzerklärung muss die Newsletterfunktion abgehandelt werden.

Relevanz 0
KOMMENTAR

Für die Newsletteranmeldung ist ein Double Opt-in erforderlich. Das heißt, dass Sie, nachdem Sie sich auf einer Webseite für einen Newsletter angemeldet haben, erst eine Mail mit einem Bestätigungslink erhalten. Nur wenn Sie diesen ausführen, wird der Auftrag ausgeführt. Das war allerdings vor der DSGVO auch schon gefordert und ist in sofern nichts neues.

5. Kontaktformulare & (Blog)Kommentare

Formulare und Kommentare sollten in der Datenschutzerklärung erläutert sein. Es empfiehlt sich, bei jeder Art von Formularen, die personenbezogene Daten übermitteln, auf die Datenschutzerklärung zu verweisen. Wer auf Nummer Sicher gehen möchte, lässt die Formularbenutzung nur mit Kontrollkästchen zur Zustimmung der Datenschutzerklärung zu. 

Relevanz 0
KOMMENTAR

Das unter Punkt 4 angeführte Double Opt-in sichert ab, dass niemand fremdes einen Newsletter bestellen kann, nur weil er meine eMail-Adresse kennt. Prinzipiell kann man mit einem Kontaktformular oder einem Blogkommentar jedoch den selben missbrauch betreiben. Dennoch konnte ich bisher keinen Hinweis darauf finden, wie damit umzugehen sein soll – oder anders gesagt: Es herrscht großes Halbwissen und kollektive Uneinigkeit. Hinzu kommt das Problem, dass bei Blogkommentaren (bspw. in WordPress) die IP-Nummer mit gespeichert wird, womit man gleich doppelt gegen die DSGVO erstoßen hätte.

Aber keine Angst, noch ist dies nicht das Ende der Kontaktformulare und Blogkommentare. Es gibt noch den Passus „berechtigtes Interesse“. Was es damit auf sich hat, erfahren Sie weiter unten in Verboten? Erlaubt!

6. Datenverschlüsselung

Bei Webseiten ohne Kauf- oder Registrierungsoption nicht notwenig. Auf Grund der Entwicklung von Suchmaschinen und Browser sowie der immer strengeren Datenschutzbestimmungen aber mindestens langfristig zu empfehlen.

Relevanz 0
KOMMENTAR

Seit geraumer Zeit stellen immer mehr Webseitenbetreiber auf eine SSL-Verschlüsselung des gesamten Webauftritts um. Hierdurch werden alle Datenübertragungen zwischen der Hostinginstanz und dem Anwender verschlüsselt übertragen. Beim Betreiben eines Shops sollte SSL daher mittlerweile obligatorisch sein. Bei einem normalen Internetauftritt bei dem die brisanteste Datenübertragung eine Anfrage über das eher selten genutzte Kontaktformular ist, kann auf eine SSL-Verschlüsselung durchaus verzichtet werden.

Es gibt jedoch noch weitere Argumente für den Einsatz einer SSL-Verschlüsselung: Mit jedem Update reagieren die aktuellen Browser allergischer auf unverschlüsselte Webseiten und weisen mitunter den Anwender darauf hin, dass er sich soeben auf einer „unsicheren Webseite befindet“. Auch Suchmaschinen wie Google & Co. haben schon vor geraumer Zeit angekündigt, dass sie bereits jetzt oder in naher Zukunft unverschlüsselte Webseiten in ihren Suchrankings schlechter bewerten wollen als verschlüsselte.

7. Datenerfassung & Dokumentation

Der Datenerfasser muss nach DSGVO über Art und Umfang der zu einer Person gesammelten Daten Auskunft geben können und diese auf berechtigtes Verlangen hin löschen. Die Daten dürfen nur einen für den Einsatzzweck erforderlichen Umfang besitzen. Wie bereits zuvor, dürfen die Daten nur ihrem ursprünglichen Zweck entsprechend genutzt werden und selbstverständlich nicht weitergereicht werden.

Relevanz 0
KOMMENTAR

Zum Schuss noch das für viele Mittelstandsunternehmen wahrscheinlich schwierigste Thema: Die Datenorganisation. Denn hier verlassen wir zu einem Großteil den Servicebereich des Webentwicklers und auch ein System-Administrator kann u.U. hier im Alleingang nicht weiterhelfen, da so unterschiedliche Bereiche ineinandergreifen. Dies ist genau der Grund, warum (zumindest ab einer gewissen Unternehmensgröße) laut DSGVO ein Datenschutzbeauftragter verpflichtend wird, denn es gilt, die unterschiedlichen Bereiche zusammenzuführen und zu koordinieren.

Und wie soll der kleine Handwerker und Kaufmann nun damit fertig werden? Ruhe bewahren und ordnen. Machen Sie sich bewusst, wo in Ihrem Unternehmen überall personenbezogene Daten erfasst werden. In der Regel geschieht dies

  • auf der Website: über das Kontaktformular und über Blog-Kommentare
  • im Büro: per eMail, Post, über Telefon, oder direkt mündlich.

Wenn die Personendaten bei Ihnen nicht für Werbezwecke genutzt werden, wäre es mit Kanonen auf Spatzen schießen, wenn Sie nur der DSGVO zuliebe nun mit Hilfe komplexer Schnittstellen, neuer Software und erweiterten Betriebsabläufen eine digitale und zentrale Zusammenführung aller Daten umsetzen würden für den voraussichtlich unwahrscheinlichen Fall, dass im kommenden Jahr 1 oder 2 Personen auf Sie zukommen, die die Löschung Ihrer Daten bei Ihnen verlangen. Sie sollten sich aber bewusst machen, wo welche Daten im Bedarfsfall zu finden sind, sich ein bisschen mit dem jeweiligen System auskennen oder zumindest für jedes System einen zuverlässigen Ansprechpartner haben. Für Ihr Websystem könnte das z.B. schon einmal André Morre Grafik-Design sein. 😉

Gänzlich anders verhält es sich, wenn Sie die erfassten Daten zu Werbezwecken einsetzen. In diesem Fall benötigen Sie das Einverständnis des beworbenen. Für eMarketing ist das per Double Opt-in wie bereits oben unter „Newsletter“ beschrieben relativ leicht zu lösen. Auf dem analogen Weg bietet es sich an, das Einverständnis im Zuge eines Geschäftsablaufs einzuholen – bspw. beim Verkauf einer Ware, bei Übergabe von Rechnung und Angebot oder grundsätzlich bei der Erfassung der Kontaktdaten.

Des Weiteren lassen sich die Einverständnisse auch auf kreativem Wege einholen, bspw. über Gewinnspiele, Umfragen, Rabatt-Aktionen u.s.w. Hierbei muss allerdings zwingend auf Freiwilligkeit (Kopplungsverbot) geachtet werden. André Morre Grafik-Design berät Sie gerne, welche Maßnahmen für Ihr Unternehmen geeignet sein könnten.

Verboten! Erlaubt?

Cookies setzen und IP-Adressen speichern ist verboten!
Es sei denn, es ist erlaubt.

In der DSGVO gibt es allerdings auch die Formulierung „berechtigtes Interesse“. Damit ist gemeint, wenn der Websitebetreiber gute Gründe hat, die über den Interessen der Nutzer stehen, darf er Cookies auch in Zukunft einsetzen. Das gilt z.B. auch für Marketing und Einnahmen.

Und auch bei der Erfassung der IP-Adresse gibt es ein „berechtigtes Interesse“ des Betreibers, da ja z.B. bei Beleidigungen oder ähnlichem die Möglichkeit bestehen muss, die Person zu identifizieren, die den Kommentar hinterlassen hat. Natürlich könnte man Kommentare auch komplett anonym zulassen, aber dann trägt man selbst das komplette Risiko.

Fazit

Je nachdem, wie man das DSGVO interpretiert kann man damit zu dem Ergebnis kommen, dass man nun besser gar keine Datenerfassung mehr betreiben sollte oder das alles nicht so heiß gegessen wird, wie gekocht.

Ich persönlich gehöre eher zur letzteren Fraktion, die die DSGVO so interpretieren, dass ihr oberstes Ziel ist, der unbändigen Datensammelwut der Konzerne Einhalt zu gebieten und es nicht das Ziel ist, dem Durchschnittsunternehmen die vielen kleinen digitalen Helferlein auszuschalten.

Des Weiteren kann wohl davon ausgegangen werden, dass „normale“ Verstöße in absehbarer Zeit eher mit einer Ermahnung und Aufforderung zur umgehenden Korrektur als mit einem Bußgeld beantwortet werden.

Wie sehr es in der kommenden Zeit zu Klagen und Abmahnungen kommen wird, hängt allerdings davon ab, wie engagiert sich der private Nutzer verhalten wird, wie sehr Unternehmen sich damit beschäftigen werden, ihren Mitbewerbern eins auszuwischen und wie viele Abmahnanwälte sich nun daran machen, aus der DSGVO ihr Kapital zu schlagen. Dass sich die Gesetzgebung noch immer nicht darum gekümmert hat, letzteren das Handwerk zu legen, ist dabei ein ganz anderes Thema.

Allerdings fürchte ich auch, dass die DSGVO immer noch so schwammig und unvollständig ist, dass wohl noch viele Urteile notwendig sind, bis die Gesellschaft verstanden hat, wie der ein oder andere Paragraph der DSGVO zu interpretieren ist.

Links

Die offizielle Seite der kompletten DSGVO: LINK

Die offizielle Seite des kompletten BDSG: LINK

Umfangreiche Zusammenfassung der DSGVO des Internetanbieters 1&1: LINK

Kompakte Sicht auf die DSGVO von Selbstständig im Netz: LINK

Wie gut hat Ihnen der Artikel "DSGVO" gefallen?

Ergebnis ansehen

Loading ... Loading ...

André Morre

Selbstständiger Grafik-Designer und Inhaber dieser Internetseiten.
Konzeption, Design, Webdesign, Text, Fotografie

2 Kommentare

  • Meinhardt

    Antworten 26. März 2018 19:04

    Vielen Dank für diesen unaufgeregten und umfangreichen Artikel!
    Ich habe mal Ihre Datenschutzbestimmungen in die Zwischenablage kopiert und in Word eingefügt, um den Umfang zu zählen: über 1.700 Wörter! Wo soll das alles noch hinführen. Das ist doch der Wahnsinn, oder?

Kommentar verfassen

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.