Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist eine europäische Verordnung zum Schutz der Privatsphäre natürlicher Personen in der Europäischen Union. Sie betrifft alle Unternehmen, Organisationen, Vereine, ... die personenbezogene Daten von natürlichen Personen in der EU verarbeiten.
Um DSGVO-konform zu sein, müssen Datenverarbeitungen von personenbezogenen Daten dokumentiert werden. Zusätzlich müssen Sie u.a. mittels Datenschutzerklärungen die betroffenen Personen ausführlich informieren. In Fällen, wo ein hohes Risiko für den Schutz und die Freiheit der natürlichen Personen besteht, muss weiteres eine Risiko-Folgenabschätzung (DSFA) erfolgen. Diese ist auf Datensicherheit und -risikomanagement fokussiert. Wenn die Kerntätigkeit eines Unternehmens in der Verarbeitung von Daten liegt, dann muss ein Datenschutzbeauftragter ernannt werden. Alle diese Schritte sind für die Erfüllung der Vorgaben der EU DSGVO notwendig.
Wer muss sich an die DSGVO halten?
Jede Organisation, die sich in der EU befindet oder die personenbezogene Daten von Personen mit Sitz in der EU sammelt, aufzeichnet, organisiert, strukturiert, speichert, anpasst oder ändert, abfragt, verwendet, überträgt, verbreitet oder anderweitig verfügbar macht, veröffentlicht oder verknüpft, löscht oder auch vernichtet muss der DSGVO entsprechen.
Die Verordnung ist verpflichtend für Organisationen mit mehr als 250 MitarbeiterInnen. Sie ist jedoch auch für verpflichtend für kleinere Unternehmen (auch EPU), die personenbezogene Daten mit einem bestimmten System (digital oder analog) verarbeiten (z.B. auch Aktenordner mit ausgedruckten Kundendaten in alphabetischer Reihenfolge). Daher sind im Prinzip alle Unternehmen, aber auch Vereine, Ärzte, EPU, Schulen,... von der DSGVO betroffen.
Hier sind einige Beispiele von Datenverarbeitungen genannt, die im Zuge der DSGVO betrachtet werden müssen. Wenn Sie auch nur eine dieser Datenanwendungen verwenden, müssen Sie die Grundsätze der DSGVO beachten:
Was sind personenbezogene Daten?
Personenbezogene Daten sind "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen" (Artikel 4, Begriffsbestimmung)
Personenbezogene Daten
Beispiel:
- - Name
- - Adresse
- - Postleitzahl + Ort
- - Wohnsitz
- - Telefonnummern
- - E-Mail-Adressen
- - Geburtsdatum
Aber auch Daten, mit denen eine Person online bzw. digital verfolgt werden kann:
- - IP-Adressen
- - MAC-Adressen
- - Cookies
Was ist der Inhalt einer Datenschutzerklärung?
Immer wenn Sie Daten von einer natürlichen Person erhalten, müssen Sie diese Person darüber informieren, wer Sie sind, wofür die Daten verwendet werden, wem Sie die Daten weitergeben, wie lange Sie die Daten aufbewahren. Eine Möglichkeit für all diese Informationen ist eine Datenschutzerklärung.
Es gibt zwei Fälle, wann Sie die betroffenen Personen über die Datenverarbeitung informieren müssen:
- dann, wenn Sie die Daten direkt von der betroffenen Person erhalten oder
- wenn Sie die Daten nicht direkt von der betroffenen Person übermittelt bekommen, dann müssen Sie die Person vor der ersten Verarbeitung (spätestens jedoch innerhalb eines Monats) darüber informieren.
Untenstehend finden Sie Informationen wie Sie die Betroffenen mit einer Datenschutzerklärung z.B. direkt auf Ihrer Webseite informieren können. Aber auch bei allen anderen Fällen müssen Sie die Personen informieren (z.B. Vertragsabschluss).
Was Sie in Ihrer Datenschutzerklärung angeben müssen
- für welchen Zweck Sie die Daten verwenden
Webseitenanalyse, Newsletter,... - Kontaktdaten des Verantwortlichen oder Vertreters
Name, E-Mail-Adresse, Telefon,... - die Rechtsgrundlage
Vertragserfüllung, Einwilligung, berechtigtes Interesse, ... - ob Sie die Daten auch an Dritte übermitteln
Cloud Speicher, Newsletter-Anbieter, Steuerberater, IT-Provider, .. - ob Sie die Daten an Empfänger außerhalb der EU übermitteln und mit welchen Garantien, die Sicherheit der Daten gewährleistet wird
Privacy Shield, Corporate Binding Rules,...
Diese Datenschutzerklärung müssen Sie auf Ihrer Webseite veröffentlichen.
Welche Webseiten sind von der DSGVO betroffen?
Nahezu alle Webseiten sind betroffen. Ausgeschlossen sind nur Internetseiten, die ausschließlich familiären oder persönlichen Zwecken dienen. Alle anderen Webseitenbetreiber müssen sich mit der neuen EU-Datenschutzgrundverordnung beschäftigen – selbst dann, wenn sie überhaupt keine Daten der Nutzer abfragen. Denn wenn ein Besucher eine Website aufruft, dann wird seine IP-Adresse übertragen. Und IP-Adressen gehören zu den personenbezogenen Daten.
Acht Punkte müssen erfüllt sein, damit Ihre Internetseite DSGVO-konform ist und Sie Abmahnungen und Bußgelder vermeiden:
1. Webseiten Verschlüsselung
Internetseiten, auf denen personenbezogene Daten erhoben werden, müssen grundsätzlich verschlüsselt sein. Dies gilt in jedem Fall dort, wo es um Kontaktformulare oder Newsletter Anmeldungen geht. Verschlüsselte Seiten erkennt man daran, dass die URL mit https anfängt. Viele Browser zeigen dann ein Schloss vor der URL an oder das Wort „sicher“.
Überprüfen Sie, ob das auf allen Ihren Seiten und Unterseiten der Fall ist. Nicht nur die DSGVO fordert verschlüsselte Internetseiten – auch in den Google-Suchergebnissen werden verschlüsselte Seiten bevorzugt angezeigt.
2. Datenschutzerklärung Überarbeitung
Eine Datenschutzerklärung mussten Internetseiten schon bisher haben, durch die DSGVO sind neue Informationspflichten dazugekommen: Alle Dienste und Plug-ins, die Sie auf der Seite verwenden und die dafür sorgen, dass Daten einer dritten Partei zugänglich gemacht werden, müssen in der Datenschutzerklärung aufgeführt werden. Personenbezogene Daten werden beispielsweise vom Facebook-Like-Button weitergegeben. Auch wer das Google Captcha nutzt, um zu verhindern, dass Roboter Kommentare auf der Seite hinterlassen, gibt personenbezogene Daten weiter – zum Teil an einen amerikanischen Server. Das ist vielen nicht bewusst.
Zudem muss die Datenschutzerklärung nun deutlich mehr Informationen darüber enthalten, welche Rechte die Nutzer laut DSGVO haben. Wie Ihre Datenschutzerklärung aussehen muss, damit Sie keine Abmahnung fürchten müssen, lesen Sie in unserem Artikel.
3. Überprüfung der Formulare auf der Webseite
Kann man auf der Webseite einen Termin vereinbaren? Oder sich für einen Newsletter anmelden? Oder Ihnen über ein Formular eine Nachricht schreiben? Dann müssen Sie das Kontaktformular überarbeiten. Sie dürfen in ihren Formularen nämlich nur die personenbezogenen Daten erheben, die Sie tatsächlich brauchen, um eine Anfrage zu beantworten. Was am Ende tatsächlich als erforderlich gilt, hängt von der jeweiligen Situation ab. Für eine Newsletter-Anmeldung benötigt man beispielsweise grundsätzlich nur die E-Mail-Adresse, nicht aber den Vor- und Zunamen. Daher dürfen die Felder für den Vor- und den Nachnamen keine Pflichtfelder sein.
Pflichtfelder in Formularen – in diesem Fall nur das Feld für die E-Mail-Adresse – müssen gekennzeichnet sein. Wenn Sie noch weitere Daten erheben wollen, dann muss für den Nutzer klar sein, dass diese Angaben freiwillig sind.
Weisen Sie darauf hin, warum Sie die Daten benötigen, auf welcher Rechtsgrundlage Sie sie verarbeiten und was Sie damit machen. Das kann zum Beispiel so aussehen:
„Wir verarbeiten Ihre Vertragsdaten (z.B. in Anspruch genommene Leistungen, Namen von Kontaktpersonen, Zahlungsinformationen), um unsere vertraglichen Verpflichtungen und Serviceleistungen gemäß Art. 6 Abs. 1 lit b. DSGVO zu erfüllen. Die in Onlineformularen als verpflichtend gekennzeichneten Angaben sind für den Vertragsschluss erforderlich.“
Überprüfen Sie, ob Sie für jeden Zweck, für den Sie Daten benötigen, eine separate Einwilligung haben. Wenn Sie zum Beispiel einem Kunden, der mit Ihnen online einen Termin vereinbart hat, auch Ihren Newsletter schicken wollen, dann brauchen Sie dafür eine zusätzliche Einwilligung. Und vor dem Absenden des Formulars sollten Sie auf die Datenschutzerklärung verlinken.
4. Überprüfung der Social-Media-Plugins und Videos
Die Social-Media-Plugins, die Facebook und Co. zur Verfügung stellen, sammeln vom Webseitennutzer unbemerkt personenbezogene Daten und können so detaillierte Persönlichkeitsprofile erstellen. Dasselbe gilt, wenn Sie Videos, beispielsweise von Youtube oder Vimeo, auf Ihrer Seite einbetten. Das bedeutet: Haben Sie zum Beispiel Youtube-Videos auf Ihrer Seite eingebaut, dann übertragen Sie automatisch Daten Ihrer Websitebesucher an Youtube (und damit Google) – egal ob der Nutzer das Video anklickt oder nicht. Datenschützer kritisieren diese Plug-ins schon lange, ihre Verwendung war auch bisher rechtlich riskant. Mit der DSGVO wird die Verwendung noch kritischer.
Wie können Sie Ihre Websitebesucher davor schützen – und ihre Website damit DSGVO-konform machen?
Social-Media-Plugins
Eine Möglichkeit ist, zum Beispiel den Facebook-Like-Button einfach zu entfernen. Wer darauf nicht verzichten will, kann auf Lösungen wie Shariff zurückgreifen. Bei denen können Besucher erst nach Aufruf der Webseite frei entscheiden, ob ihre Daten durch die Plug-ins an die Sozialen Netzwerke übertragen werden sollen oder nicht.
Videos
Wenn Sie Youtube-Videos auf Ihrer Seite einbetten, dann verwenden Sie dafür den „erweiterten Datenschutzmodus“. Sie finden ihn nach der Wahl von „Teilen, „Einbetten“ und „Mehr anzeigen“. Für Vimeo gibt es momentan noch keine DSGVO-konforme Lösung.
5. Überprüfung der Statistik-Tools
Die meisten Website-Betreiber nutzen Dienste wie Google Analytics, um zu analysieren, wie viele Besucher auf ihre Seite kommen und was sich diese dort anschauen. Dabei werden IP-Adressen gesammelt. Diese müssen so gekürzt, das heißt anonymisiert werden, dass kein Personenbezug mehr möglich ist. Wenden Sie sich dafür an Ihren Webadministrator, er kann den „anonymizeIP“-Befehl in den Quellcode Ihrer Website einbauen.
Zudem müssen Sie mit Google einen Vertrag zur Auftragsverarbeitung schließen und in der Datenschutzerklärung darauf hinweisen, dass Sie das Statistik-Tool verwenden. Zusätzlich muss dort ein Link zu den Google Analytics Nutzungs- und Datenschutzbestimmungen rein, und es muss eine Widerspruchsmöglichkeit integriert sein, die so genannte Opt-out-Funktion. Das bedeutet: Mit einem Klick in den Datenschutzerklärungen kann ein Nutzer dafür sorgen, dass seine Daten nicht mehr an Google weitergegeben werden. Wie man diese Opt-out-Funktion integriert, ist hier bei Google beschrieben.
6. Information über Cookies
Fast alle Webseiten verwenden Cookies. Das sind kleine Dateien, die Daten lokal auf dem Gerät speichern. Sie dienen dazu, den Nutzer wiederzuerkennen und ihm das Surfen auf der Webseite zu erleichtern. In Bezug auf Cookies ist die rechtliche Lage nach Inkrafttreten der Datenschutzgrundverordnung noch unklar. Um Abmahnungen zu vermeiden, sollte man von den Webseitennutzern beim ersten Aufruf der Seite in der so genannten Cookie-Warnung die Einwilligung einholen. Der Text der Cookie-Warnung sollte so konkret wie möglich sagen, um welche Daten es geht, wofür diese genutzt werden und an wen sie gegebenenfalls weitergegeben werden. Er kann beispielsweise so formuliert werden:
„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.“
Auch in die Datenschutzerklärung gehört ein Abschnitt zu Cookies. Die DSGVO verlangt nämlich, dass dort die Rechtsgrundlagen für das Verwenden von Cookies genannt werden. Außerdem muss ein Hinweis für die Nutzer in die Datenschutzerklärung, wie sie das Setzen von Cookies verhindern können. Lesen Sie hier, was Sie noch über den Cookie-Hinweis wissen müssen.
7. Überprüfung Newsletter
Wer Newsletter-Dienste wie MailChimp, CleverReach und Newsletter2Go verwendet, muss mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung schließen. Fragen Sie Ihren Dienstleister nach einer solchen Vereinbarung.
Außerdem müssen Sie gegebenenfalls das Anmeldeformular überarbeiten. Dort muss stehen, welchem Zweck der Newsletter dient und welche Informationen Abonnenten erhalten, wenn sie sich dafür anmelden. Als Pflichtfeld dürfen Sie lediglich die E-Mail-Adresse abfragen.
Beim Anmeldeformular sollte auch eine Verlinkung zur Datenschutzerklärung eingebaut sein. Dort müssen weitere Hinweise dazu stehen, wie und warum der Versanddienstleister Daten verarbeitet. Wenn beispielsweise ausgewertet wird, wie viele Nutzer Links im Newsletter anklicken, dann müsste in der Datenschutzerklärung darüber informiert und erklärt werden, warum dies geschieht – nämlich um den Newsletter für die Nutzer zu optimieren.
Nutzer müssen zudem deutlich darauf hingewiesen werden, dass sie ihre Einwilligung widerrufen können. Setzen Sie also auch auf der Seite mit dem Anmeldeformular einen Link auf das Abmeldeformular.
Damit nicht jemand gegen seinen Willen als Abonnent eingetragen wird und Sie die Einwilligung rechtssicher nachweisen können, müssen Sie das Double-Opt-in-Verfahren nutzen. Das heißt, bevor Sie eine E-Mail-Adresse für den Newsletterversand aktivieren, muss der Nutzer über einen personalisierten Bestätigungslink (sogenannte Check-Mail) nochmals bestätigen, dass er tatsächlich Inhaber dieses Postfachs ist.
8. Prüfung, ob Sie mit Ihrem Webhoster einen Vertrag zur Auftragsverarbeitung schließen müssen
Der Webhoster (Provider) stellt Webseiten bereit und übernimmt den Betrieb von Webservern und die Netwerkanbindung. Ist mit solchen Dienstleistungen nur der Internet-Zugangsdienst ohne die Verarbeitung von personenbezogenen Daten verbunden, dann liegt keine Auftragsverarbeitung vor. Übernehmen solche Webhoster allerdings auch Aufgaben, bei denen sie personenbezogene Daten verarbeiten, wie beispielsweise die E-Mail-Verwaltung oder die E-Mail-Archivierung, dann liegt eine Auftragsverarbeitung vor und Sie müssen einen Vertrag zur Auftragsverarbeitung schließen.