Im Mai des kommenden Jahres ist es soweit: Die europäische Datenschutzgrundverordnung (kurz: EU-DSGVO) löst nach einer zweijährigen Übergangsfrist das aktuell in Deutschland geltende Bundesdatenschutzgesetz (kurz: BDSG) ab. Die Veränderungen sind auch für Website-Betreiber relevant, wenngleich das BDSG schon heute im Verhältnis zu anderen europäischen Datenschutzgesetzgebungen umfangreich ist.
Warum DSGVO? Was bedeutet Sie?
Die DSGVO hat im Prinzip das Ziel, das Datenschutzrecht in Europa zu vereinbaren. So können Unternehmen und Verbraucher in einer gemeinsamen Europäischen Union auch auf gemeinsamen europäischen Datenschutz pochen. Die Auswirkungen sind dabei zentral: Welches Unternehmen auch immer mit einem europäischen Bürger Geschäfte macht, muss sich dieser neuen Datenschutzgrundverordnung unterordnen. Das betrifft also alle Unternehmen und Website-Anbieter, die Services für EU-Bürger (und sei es auch nur in einer entsprechenden Sprache) anbieten.
Im Großen und Ganzen hat die Verordnung das Ziel, die persönlichen Daten ihrer Bürger zu schützen. Unternehmen müssen – vereinfacht gesagt – deutlich detaillierter im Vorfeld und Nachgang über Datenerhebung und -verwendung informieren. Darüber hinaus müssen sie jederzeit bereit sein, Auskunft zu geben (Stichworte Verfahrensverzeichnis und technische und organisatorische Maßnahmen), Daten wirklich zu löschen (Recht auf Vergessen) und schon im Vorfeld nur die Daten zu erheben, die wirklich notwendig und erforderlich sind.
Warum die DSGVO überhaupt umzusetzen ist, machen die drohenden Strafen deutlich. Strafen von bis zu 20 Millionen Euro (oder 4 Prozent des internationalen Umsatzes!) sind im schlimmsten Fall zu befürchten. Wichtig ist darüber hinaus, das weitere Schadenersatzforderungen durch Geschädigte denkbar sind. Die DSGVO greift auch deutlich weiter als nur den Umgang mit den Daten von einer Website. Hier beschäftigen wir uns jedoch nur mit diesem Teilbereich.
Umsetzung der DSGVO: Änderungen an Websites vermutlich erforderlich
Selbstverständlich kann die Erarbeitung und Auflistung der hier benannten Inhalte keine rechtliche Beratung oder die Zusammenarbeit mit einem zertifizierten Datenschutzbeauftragten ersetzen. Nichtsdestotrotz möchten wir auf Basis unseres Wissens und unserer Erfahrung mit der nicht mehr ganz so neuen Richtlinie weitergeben.
Datenschutzhinweis
Immer wieder stoßen wir bei von uns nicht betreuten Kunden auf fehlende Datenschutzhinweise; das ist bereits jetzt grob fahrlässig. Wer eine nicht zu 100 Prozent private Website für einen geschlossenen Adressatenkreis betreibt, muss eine Datenschutzerklärung auf der Website haben. Dabei müssen die Datenschutzhinweise von jeder Seite aus mit nur einem Klick erreichbar und auch als solche erkennbar sein.
In genau diesen Hinweis müssen mittlerweile sehr unternehmensspezifische Informationen stehen; wenn Website-Betreiber verschiedene Formen von Daten erfassen, müssen diese und ihre Verwendung hier erläutert werden. Benötigt das Unternehmen beispielsweise aufgrund seiner Größe einen externen Datenschutzbeauftragten, muss auch dieser hier genannt sein.
Privacy by Design und Privacy by Default
Im Rahmen der DSGVO tauchen zwei Begriffe immer wieder auf: Privacy by Design und Privacy by Default. Was das bedeutet, erläutern wir im Folgenden:
- Privacy by Design: Hiermit ist gemeint, bereits bei der Planung des Erfassens neuer Daten bereits daran zu denken, wie diese Daten generiert, gespeichert und verarbeitet werden und im Rahmen der technischen und organisatorischen Maßnahmen (kurz: TOM) entsprechend technisch auf dem besten Stand zu arbeiten. Gemeint ist hiermit die Art und Weise der technischen Übertragung (bspw. verschlüsselt via SSL-Zertifikat), aber auch der Speicherung. Die DSGVO liefert damit ein weiteres Argument für die Verwendung von SSL-Zertifikaten.
- Privacy by Default: Dieser Begriff bedeutet, dass in den Voreinstellungen etwa von Formularen nicht vorausgewählt sein darf, dass Nutzer ihre Daten für verschiedene Zwecke freigeben. Vielmehr müssen diese Häkchen freiwillig gesetzt und via Double-Opt-In (DOI) bestätigt werden.
In diesem Bereich ist ergänzend anzumerken, dass im Rahmen der Datenerhebung Website-Betreiber ihre Nutzer ausführlich darüber aufklären müssen, wofür sie diese Daten verwenden.
Cookie-Hinweis
Der Cookie-Hinweis taucht immer wieder im Rahmen der Webentwicklung auf; tatsächlich ist das der einzige Bereich, der hier nicht eindeutig geregelt ist. Experten gehen davon aus, dass es hier im Rahmen der ePrivacy-Verordnung zu einer Klärung kommt. Aktuell lautet die Empfehlung daher, den Cookie-Hinweis immer dann, wenn ein gängiges CMS wie WordPress oder Typo3 zur Anwendung kommen, die standardmäßig Cookies setzen, einen solchen Hinweis einzublenden. Dieser muss beim ersten Besuch der Website gut sichtbar (in der Regel im Kopf- oder Fußbereich des Viewports) angebracht sein. Cookies sollten gleichzeitig dadurch standardmäßig deaktiviert sein.
Verwendung von Google Analytics
Bei der Verwendung von Google Analytics ändert sich im Prinzip nichts zum bisherigen Vorgehen. Der Bundesdatenschutzbeauftragte hat hier bereits seit einigen Jahren eine einfache Anleitung zur Verfügung gestellt. Wir liefern hier eine kurze Übersicht der durchzuführenden Schritte:
- Nachdem Website-Betreiber ein neues Konto angelegt haben, sollten Sie eine ADV mit Google (Download vom Bundesdatenschutzbeauftragten hier) abschließen. Einfach zwei Exemplare ausfüllen, an Google schicken und nach ca. zwei bis vier Wochen eine unterschriebene Kopie zurückbekommen.
- In der Datenschutzerklärung der eigenen Website die Verwendung von Google Analytics erwähnen und idealerweise einen Opt-Out-Cookie setzen.
- Google Analytics in die Website einbinden und darauf achten, bei der Übermittlung der Daten die standardmäßig nicht anonymisierte IP-Adresse (ebenfalls ein personenbezogenes Datum!) anonymisieren.
Verwendung von Social Media
Auf zahlreichen Websites werden Angebot sozialer Medien eingebunden. Gemeint ist damit nicht etwa ein Logo im Footer, das auf das eigene soziale Angebot verweist, etwa auf die eigene Facebook-Seite. Gemeint ist die Möglichkeit, Beiträge auf der Website direkt auf sozialen Medien zu teilen, zu kommentieren, zu favorisieren oder andersartig zu interagieren. Hierbei entsteht eine direkte Verbindung zu dem jeweiligen sozialen Netzwerk. Die Lösung lautet hier denkbar einfach: Nutzer müssen zunächst den Einsatz sozialer Medien aktivieren und zulassen, ehe sie die jeweilige Funktion zu nutzen können. Im Rahmen der Aktivierung genau dieser Funktion müssen Website-Betreiber ihre Nutzer aufklären, was mit der Aktivierung und im Anschluss ihren Daten passiert.
Fazit: DSGVO zwingt zur intensiven Auseinandersetzung mit Daten
Die DSGVO verlangt eine intensive Auseinandersetzung mit dem eigenen Datenschutz. Datenschutzbeauftragter, Verfahrensverzeichnis, Auflistung von TOM – all das müssen die meisten Unternehmer ohnehin ab demnächst vorhalten. Wer das nicht tut, riskiert durch fahrlässiges Verhalten große Abmahnungen, da die zuständigen Aufsichtsbehörden (Landesdatenschutzämter) ihr Personal momentan massiv aufstocken. Im Rahmen dieser ohnehin erfolgenden Auseinandersetzung muss auch die eigene Website betrachtet werden: Verschlüsselung, sorgsamer Umgang mit Daten, Reduktion der abgefragten Daten und ausführliche Informationen zum Thema Datenschutz auf der eigenen Website dürften aber einen Großteil der entstehenden Risiken abdecken.
