- autor
- richard albrecht
- publiziert
- 25.09.2018
- tags
- dsgvo · datenschutz · website
Datenschutz
Die Datenschutz-Grundverordnung versetzte 2018 manche Geschäftsführung in Aufruhr. Nötig ist das nicht. Was DSGVO-konformes Handeln bedeutet, und was deine Website braucht.
// dsgvo · datenschutz · website
Deine Daten. Meine Daten. Unsere Daten. Der gemeinsame Nenner: die DSGVO
Voll in Kraft getreten ist die Datenschutz-Grundverordnung (DSGVO), eine für alle EU-Mitgliedstaaten bindende europäische Verordnung, am 25. Mai 2018, und versetzte manche Geschäftsführung in angsterfüllte Konfusion. Grund dafür gibt es nicht unbedingt.
Ziel der neuen Regelung ist, die Verarbeitung personenbezogener Daten zu vereinheitlichen, um so eine höhere Sicherheit der persönlichen Informationen zu gewährleisten.
Firmen, die sich bis dahin nicht oder nicht ausreichend mit dem bereits vorhandenen Bundesdatenschutzgesetz auseinandergesetzt und entsprechende Vorkehrungen getroffen hatten, standen nach der Verabschiedung vor der Notwendigkeit, einige Anpassungen an ihrer Prozess-, Dokumentations- und Informationsstruktur vorzunehmen.
Doch worum handelt es sich dabei im Detail?
Was bedeutet es, „DSGVO-konform" zu handeln?
Schlicht ist die Antwort auf diese Frage nicht, trivial umso weniger. Denn die DSGVO ist sehr vielschichtig und bezieht sich auf alle Bereiche und Handlungen eines Unternehmens, bei denen personenbezogene Daten entgegengenommen, verarbeitet und weitergeleitet werden. Das betrifft das ganze Spektrum von Daten-Schnittstellen, angefangen bei den Kunden über die eigenen Mitarbeiter bis hin zu externen Dienstleistern. Eine prägnante Antwort wäre also gewagt.
Dennoch unternehmen wir den Versuch und geben dir einige handliche Hinweise. Im Folgenden findest du praktische Fragen, die du dir stellen kannst, um deine aktuelle Unternehmenspraxis hinsichtlich der DSGVO und personenbezogener Daten zu hinterfragen.
FAQ zur DSGVO
Wann handelt es sich um personenbezogene Daten?
Per Definition fallen alle Informationen, die Rückschlüsse auf eine reale Person zulassen und sie identifizierbar machen, unter personenbezogene Daten. Hierzu zählen auch Standortdaten und Device-Tracking.
Wie werden personenbezogene Daten anonymisiert verarbeitet?
Anonymisiert bedeutet in diesem Kontext, dass auf das Individuum keine Rückschlüsse mehr gezogen werden können.
Wann ist die Nutzung personenbezogener Daten gemäß der DSGVO zulässig?
Es gibt gesetzlich erlaubte Umstände, die eine solche Datenverarbeitung legitimieren. Darunter fallen:
- Verträge mit und Anfragen von der betreffenden Person
- gesetzliche Verpflichtungen, etwa die Aufbewahrung von Rechnungen über einen gewissen Zeitraum
- das Vorliegen eines berechtigten Interesses, das jedoch immer gegen das Interesse des Nutzers am Datenschutz abzuwägen ist. So gilt die Abfrage von Informationen, die der Nutzer selbst als typischerweise eingeholte Informationen einstuft, als legitim. Sind jedoch relevante Nachteile für den Nutzer zu erwarten und überwiegt das rein wirtschaftliche Interesse, ist mit Konsequenzen zu rechnen, wenn diese Daten erhoben werden.
Habe ich Datenschutzverträge mit Subunternehmen aus der EU oder aus Drittländern?
Hier wird es wirklich knifflig, denn eine dritte Partei im Spiel macht die Sache nicht einfacher. Eine vertragliche Verpflichtung des Vertragspartners auf Datenschutz-Grundsätze ist zwingend. Weniger Komplikationen gibt es, wenn der Partner ebenfalls in der EU ansässig ist, doch auch hier sind weitere vertragliche Regeln festzuhalten, um den Datenschutz zu gewährleisten.
Verwende ich Daten von Personen unter 16 Jahren?
Ja, richtig gehört, auch diese Frage will wohl überlegt sein. Denn die Datenverarbeitung dieser Zielgruppe ist zunächst per se nicht erlaubt.
DSGVO-Anforderungen für Websites
Denken wir an Websites und die unvermeidliche Zwangshochzeit mit der DSGVO, könnte mancher Firmeninhaber oder Datenschutzbeauftragte die Hände über dem Kopf zusammenschlagen. Doch das ist nicht nötig. Im Grunde sind die DSGVO-Bestimmungen bei Websites sehr einfach umzusetzen.
Allgemein gilt: Aufklärung gehört nicht nur in eine gute Kinderstube, auch Website-Nutzer haben gemäß der EU-Datenschutzverordnung ein Recht darauf, umfassend, transparent und verständlich aufgeklärt zu werden.
Dafür braucht eine zeitgemäße Website eine Datenschutzerklärung und die aktive Opt-in-Einwilligung des Nutzers. Plugins, Pixel und andere Tools von Drittanbietern dürfen nur dann eingebunden werden, wenn entsprechende Rahmenbedingungen zur Datenschutzkonformität existieren oder geschaffen werden.
Datenschutzerklärung
Die Aufgabe der Datenschutzerklärung ist es, den Nutzer darüber aufzuklären, wie die Online-Datensammlung gestaltet ist (Art. 13 und 14 DSGVO). Im Klartext: Der Nutzer muss über Art und Weise der Verarbeitung aufgeklärt werden, ebenso darüber, welche Parteien und Tools beteiligt sind, wann die Daten wieder gelöscht werden und welche Rechte der Bereitsteller der Daten hat. Darüber hinaus muss die Erklärung leicht auf der Website zu finden sowie transparent und verständlich formuliert sein.
Opt-in-Einwilligung
Ein Cookie ist mehr als ein Keks, es ist das Eintrittstor zur Datenbereitstellung. Neben der Datenschutzerklärung ist die aktive Einwilligung in die Verarbeitung der Daten ein unabdingbarer Bestandteil jeder Website.
Kaum jemand kennt die aufpoppenden Cookie-Nachrichten nicht: „Diese Webseite benutzt Cookies zur Verbesserung der Servicequalität. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung der Cookies zu." Eine wichtige Voraussetzung dieser Einwilligungsabfrage ist die Freiwilligkeit. Das bedeutet:
- Freiwillig ist sie, wenn der Kunde eine echte Wahl hat. Das weist ihm einen proaktiven Part zu, denn er muss aktiv werden, um die Einwilligung abzugeben.
- Freiwillig ist sie, wenn der Kunde seine Einwilligung jederzeit widerrufen kann. Das setzt voraus, dass der Nutzer über die Behandlung seiner Daten sowie seine Rechte und Pflichten ausreichend aufgeklärt ist.
Etablierte Content-Management-Systeme wie WordPress und Co. greifen bereits auf ein automatisch generiertes Cookie-Banner zurück, auch in TYPO3 lässt es sich einfach integrieren. Ein solches Banner muss auch bei allen anderen Websites eingebunden werden.
Plugins, Pixel und andere Drittparteien
Auch bei der Einbindung von Plugins, Pixeln oder anderen Tools von Drittparteien, etwa von Facebook, müssen bestimmte Vorkehrungen getroffen werden, gerade weil die großen Datenkraken wie Facebook, Google und Co. nicht in der EU ansässig sind. Bereits definierte Regularien wie das „Privacy Shield" oder ein „Data Processing Agreement" zertifizieren und verpflichten Firmen aus Drittländern, die EU-Datenschutzvorgaben einzuhalten. Mit Organisationen, die eine solche Zertifizierung vorweisen, kann folglich kooperiert werden.
Darüber hinaus gilt es, sich vertraglich mit der Drittpartei auf ein gemeinsames Datenverarbeitungsvorgehen zu verständigen, einen sogenannten Auftragsverarbeitungsvertrag. Bei einer solchen grenzübergreifenden Zusammenarbeit ist sowohl diesem Vertrag als auch, und vor allem, der Informationspflicht Folge zu leisten, die Kunden über die Kollaboration aufzuklären. Dabei sind erneut die Grundlagen einer freiwilligen, proaktiven Einwilligung des Kunden zu berücksichtigen.
Fleiß hat seinen Preis
Neben den Anpassungen an die DSGVO gilt immer auch die Dokumentationspflicht über die Tätigkeiten, Prozesse und Vorkehrungen rund um den Datenschutz. Das wird als Rechenschaftspflicht (englisch Accountability) bezeichnet und ist eine wesentliche Komponente der DSGVO. Sich hierfür ein Verarbeitungsverzeichnis anzulegen, ist empfehlenswert und macht dich jederzeit auskunftsbereit.
Hilfreiche Links
Diese Links können dir helfen, deine Firma datenschutzkonform aufzustellen.
Allgemeines
- Allgemeine Informationen zur DSGVO: dsgvo-gesetz.de
- Standarddatenschutzklauseln beim Auftragsverarbeitungsvertrag: EU-Kommission
- Verarbeitungsverzeichnis: Bitkom
Deine DSGVO-konforme Website
- Einbindung von Facebook gemäß DSGVO: facebook.com/business/gdpr
- Einbindung von Google Analytics gemäß DSGVO: datenschutzbeauftragter-info.de
Fazit
Die Datenschutzverordnung ist ein umfangreiches und technisches Thema, das ein einzelner Artikel nicht erschöpfend behandeln kann. Dennoch haben wir versucht, dir ein Grundverständnis an die Hand zu geben, mit dem du arbeiten kannst. Denn die DSGVO ist für jeden ein Thema, ganz besonders, wenn man online präsent ist.
Du weißt vor lauter Artikeln und Klauseln nicht mehr, wo dir der Kopf steht? Melde dich gern. Wir bringen Ordnung und Struktur in deine Online-Präsenz und zeigen dir, dass die neuen Regelungen kein Buch mit sieben Siegeln sind. Mit hunderten DSGVO-Updates für Kundenprojekte seit Anfang des Jahres sind wir notgedrungen zu Datenschutz-Experten avanciert.
// Unsicher bei Datenschutz auf deiner Website?
Wir bringen Ordnung in deine Online-Präsenz.