18.07.2018 - Tags:

Fit für die DSGVO aus der Sicht von Webseitenbetreibern

Mit dem Inkrafttreten der europäischen Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 ist die Angst vor Abmahnungen und Bußgeldern besonders bei kleinen und mittelständischen Unternehmen (KMU) deutlich gestiegen. Die tatsächlichen Auswirkungen auf Webseitenbetreiber und KMU wird jedoch erst die Zeit zeigen. Risiken lassen sich allerdings minimieren, wenn man die neue Rechtsgrundlage kennt und gegebenenfalls auch kurzfristig darauf reagieren kann.

Am wichtigsten zu wissen ist: Die DSGVO betrifft jeden, also auch Sie! Ob privat oder beruflich, jeder hat in irgendeiner Art mit personenbezogenen Daten zu tun und sollte deswegen die europaweit nahezu einheitlichen Datenschutzregeln zumindest in groben Zügen kennen. Die gute Nachricht ist: Da große Teile der DSGVO auf dem strengen deutschen Datenschutzrecht basieren, sind Ihnen einige Regelungen sicherlich schon bekannt.

Unsere Empfehlung an Webseitenbetreiber ist, sich das Prinzip der Datensparsamkeit sehr zu Herzen zu nehmen. In diesem Zuge haben auch wir den Umfang der Erhebung und Verarbeitung personenbezogener Daten auf ein absolutes Minimum reduziert. Zusätzlich verzichten wir vollständig auf die Verwendung von externen Analysetools. Sollten Sie nicht auf das Erfassen bestimmter Daten und die Einbindung externer Dienste verzichten können, sollten Sie folgendes beachten:

Datenminimierung: Es dürfen nur personenbezogene Daten erhoben werden, die für den Zweck unbedingt notwendig sind. Zur Anmeldung eines Newsletters ist beispielsweise nur eine gültige Mailadresse zwingend nötig, also weder Name, noch Geburtsdatum oder ähnliches.

Zweckbindung: Der Zweck für das Erheben, Speichern und Verarbeiten von personenbezogenen Daten muss zuvor eindeutig festgelegt worden sein und darf ohne gesonderte Einwilligung nicht verändert oder erweitert werden.

Verbot mit Erlaubnisvorbehalt: Personenbezogene Daten dürfen nicht erhoben, gespeichert und verarbeitet werden, wenn hierfür nicht eine eindeutige Rechtsgrundlage oder die Zustimmung der betroffenen Person vorliegt.

Datenweitergabe: Persönliche Daten dürfen ohne ausdrückliche Einwilligung niemals mit Dritten geteilt oder an diese weitergegeben werden. Eine besondere Herausforderung in dieser Hinsicht ist für Webseitenbetreiber die Einbindung von außereuropäischen Diensten wie Google Analytics.

Auftragsverarbeitung: Sie sollten mit jeglichen externen Dienstleistern, die mit den von Ihnen erhobenen persönlichen Daten in Kontakt kommen, einen „Vertrag zur Auftragsdatenverarbeitung“ abschließen in dem diese sich verpflichten diese Daten ebenfalls DSGVO-konform zu behandeln.

Tracking: Sie müssen die Besucher Ihrer Webseite über jegliche Art des User-Trackings informieren. Hierzu zählt beispielsweise bereits das anonymisierte Speichern von IP-Adressen. Ebenfalls sollten Sie schon beim ersten Besuch Ihrer Webseite auf die Verwendung von Cookies aufmerksam machen und eine Opt-Out-Möglichkeit implementieren durch die der Nutzung von Cookies widersprochen werden kann.

Verschlüsselung: Persönliche Daten müssen bei Webformularen, Logins, Kontaktformularen oder Shop-Bestellungen verpflichtend mit einer SSL-Verschlüsselung (https://) übermittelt werden.

Klarheit und Transparenz: Sie müssen eine klar formulierte Datenschutzerklärung direkt auf der Homepage Ihrer Webseite bereitstellen, die Ihre Besucher über den Umgang mit ihren Daten aufklärt und für jeden verständlich ist. Außerdem müssen Sie Einwilligungstexte für das Erheben von Daten erstellen und deutlich darauf aufmerksam machen, dass Einwilligungen jederzeit widerrufen werden können.

Dokumentation und Rechenschaftspflicht: Als Webseitenbetreiber sind Sie dazu verpflichtet Vorgänge, die im Zusammenhang mit persönlichen Daten stehen, in Verzeichnissen zu dokumentieren und diese auf Anfrage von Aufsichtsbehörden bereitzustellen.

Auskunftspflicht und Meldepflicht: Als Webseitenbetreiber sind Sie grundsätzlich dazu verpflichtet unentgeltlich Auskunft über gespeicherte personenbezogenen Daten zu erteilen. Außerdem müssen Sie den Verlust personenbezogener Daten sofort den Aufsichtsbehörden melden, um Bußgelder zu minimieren oder zu vermeiden. Auch für die Nichteinhaltung der neuen Datenschutzregeln wird mit empfindlichen Geldbußen geahndet.

Datenschutzbeauftragter: Sollten in Ihrem Unternehmen mindestens zehn Mitarbeiter dauerhaft in die Verarbeitung personenbezogener Daten involviert sein, müssen Sie einen Datenschutzbeauftragten benennen, der alle Vorgänge überwacht und als Bindeglied zwischen Betreiber und Aufsichtsbehörde fungiert.

Mit diesen kurz zusammengefassten wichtigsten Regelungen möchten wir Sie bei deren Umsetzung unterstützen und hoffen, dass wir Ihnen einen guten Ein- und Überblick geben konnten. Für Fragen und Anregungen stehen wir Ihnen jederzeit gern zur Verfügung und wünschen Ihnen gutes Gelingen! [Quellle: Kompac’t 1/2018]

captcha
Geben sie die Buchstaben aus dem Bild ein

Tag-Filter

Gewählte Tags

Datenschutz

07.11.2019 - Urteil des EuGH zu (Tracking-)Cookies [mehr...]

11.06.2019 - Tracking-Cookies – Aktuell häufig noch rechtswidrig! [mehr...]

30.10.2018 - Informationelle Selbstbestimmung – das Konzept der Dezentralisierung als Alternative zu mächtigen Datenkraken [mehr...]

01.10.2018 - Nextcloud: Kontrolle ist der Schlüssel zur Sicherheit [mehr...]

24.08.2018 - DSGVO für Verbraucher: Power to the People [mehr...]

18.07.2018 - Fit für die DSGVO aus der Sicht von Webseitenbetreibern [mehr...]

13.04.2018 - Unser Vorschlag zur DSGVO: Datensparsamkeit ist Trumpf! [mehr...]

28.12.2017 - 2018 wird ganz im Zeichen der IT Sicherheit und Umsetzung der EU-DSGVO stehen [mehr...]

06.07.2017 - Ist die Nutzung der populärsten Social Media- & Messenger-Diensten alternativlos? Keineswegs! [mehr...]

25.03.2017 - So trägt aixVPN jederzeit und überall zu Ihrer Sicherheit bei [mehr...]