Leitfaden für die neue EU-DSGVO Das muss man zur neuen EU-DSGVO wissen:
Die EU-DSGVO bringt zahlreiche Änderungen beim Datenschutz mit sich. Am 25. Mai 2018 endete die „Schonfrist“ zur Umsetzung in den Unternehmen. Alle Unternehmen und Website-Betreiber sind davon betroffen – insbesondere, wenn sie personenbezogene Daten speichern und/oder verarbeiten.
Mit der Datenschutz-Reform sollen europaweit einheitliche Rahmenbedingungen geschaffen werden und soll eine größere Rechtssicherheit beim Umgang mit personenbezogenen Daten entstehen. Jeder Website-Betreiber ist von der Verordnung betroffen – vom Konzern bis zum Einzelunternehmen. Es geht bei der EU-DSGVO hauptsächlich um den Schutz personenbezogener Daten.
Das können folgende Daten sein:
- Vorname, Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstage, Kontoverbindungen etc., aber auch
- Online-Kennungen, wie zum Beispiel Standortdaten, IP-Adressen, Cookies etc.
Somit betrifft dies die meisten Website-Betreiber, auch wenn man eine kleine Website ohne Shop betreibt, wenn (was meist der Fall ist) …
- IP-Adressen von Besuchern übermittelt und gespeichert werden.
- eine Kommentarfunktion mit E-Mail-Angabe vorhanden ist.
- Beiträge von Besuchern kommentiert werden können.
- die Website Kontaktformulare enthält.
- man sich für einen Newsletter registrieren kann.
- Tracking und Cookies eingesetzt werden, um das Nutzerverhalten zu analysieren.
- Social Media Plugins genutzt werden.
Laut Art. 5 EU-DSGVO gehören zu den Grundsätzen für die Verarbeitung personenbezogener Daten u.a.:
- Rechtmäßigkeit: Sie dürfen Daten nur entsprechend des Gesetzes verarbeiten.
- Transparenz: Betroffene müssen die Verarbeitung ihrer Daten nachvollziehen können, was vor allem eine verständliche und vollständige Datenschutzerklärung erfordert. Die Informationspflichten wurden mit Art. 13 und 14 EU-DSGVO erhöht.
- Verbot mit Erlaubnisvorbehalt: Das bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer wenn sie per Gesetz erlaubt wurde.
- Zweckbindung: Das Gebot der Zweckbindung soll dafür sorgen, dass Daten nur für den vereinbarten Zweck verarbeitet werden. Sie müssen also im Vorfeld definieren, wofür Sie Daten nutzen möchten. Dies wird dann dokumentiert. Eine nachträgliche Zweckänderung ist nur möglich, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art 6 Abs. 4 EU-DSGVO).
- Datenminimierung und Speicherbegrenzung: Unternehmen dürfen nur die Daten erheben, die sie für den jeweiligen Zweck brauchen. Daten auf Vorrat zu speichern, ist verboten. Eine Identifizierung der Personen darf nur solange ermöglicht werden, wie es für den entsprechenden Zweck nötig ist. (Art. 5 Abs. 1 lit. c und e EU-DSGVO).
- Integrität und Vertraulichkeit: Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.
Checkliste
1. Datenschutzerklärung muss aktualisiert werden.
- Zwecke der Datenverarbeitung nennen
- Datenschutzbeauftragten: Namen und Kontaktdaten des Verantwortlichen (wenn es diese Person gibt – Achtung: Nicht jedes Unternehmen braucht einen eigenen!)
- Gesetzliche Legitimation für die Datenverarbeitung nennen
Empfänger der Daten - Speicherfrist oder Kriterien, um die Frist zu bestimmen
- Besteht eine Absicht, die Daten an Dritte weiterzugeben, evtl. auch in ein Drittland oder international.
- Rechte auf Auskunft, Löschung
- Beschwerderecht bei der Datenschutzaufsichtsbehörde
2. SSL-Zertifikat nutzen.
- Bei Strato, 1&1 ist immer ein Zertifikat inklusive. Bei manchen Hostern kann man eigene Zertifikate hinterlegen. Zum Beispiel bei All-Inkl.
3. Verarbeitungstätigkeiten erstellen.
- Alle Unternehmer müssen dieses Verzeichnis führen. Ausgenommen sind hiervon lediglich Unternehmen mit weniger als 250 Mitarbeitern, die nur in beschränktem Umfang und unkritische Daten verarbeiten (Art. 30 Abs. 5 DS-GVO).
4. Vertrag mit Google abschließen!
- Hinweis auf den Einsatz von Google Analytics & Opt-Out-Möglichkeit
- Vertrag zur Auftragsdatenverarbeitung mit Google abschließen PDF: https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf
- Oder etwas einfacher: Vereinbarung direkt im Google Analytics Account schließen. Dann muss man nichts ausdrucken und per Post senden.
5. Installieren der Google-Analytics-Opt-Out-Option!
6. Anonymisieren der IP beim Einsatz von Google Analytics!
7. Checkbox für Kommentarfunktionen und Kontaktformulare einrichten.
Falls eine Kommentarfunktion auf der Seite genutzt wird – auch wenn die User freiwillig kommentieren – muss es eine Checkbox geben mit dem Hinweis zur Datenspeicherung („Ich erkläre mich mit der Verarbeitung meiner Daten zum Zwecke . etc etc.“)
8. Vertrag zur Auftragsverarbeitung gemäß EU-DSGVO mit Hoster abschließen.
Wichtiger Hinweis
Verstöße gegen die EU-DSGVO, darauf begründete Schadensersatzklagen und selbst die zu erwartenden Abmahnungen durch darauf spezialisierte Anwälte und Abmahnvereine können erhebliche Kosten verursachen. Diese Hinweise ersetzen ausdrücklich keine juristische Beratung, sondern soll lediglich einen ersten Überblick über der wichtigsten Punkte der EU-DSGVO bieten. Wir empfehlen dringend für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen einen Fachanwalt zu konsultieren.
Stand: Mai 2018