Die EU-Datenschutz Grundverordnung (DS-GVO) trat bereits am 24.5.2016 in Kraft. Sie ist nach einer Übergangsphase von zwei Jahren ab dem 25.5.2018 verbindlich einzuhalten. Die Europäische Verordnung regelt die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen. Der Datenschutz soll mit der Grundverordnung EU-weit vereinheitlicht werden. Die neue Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
Wen betrifft die Datenschutz-Grundverordnung?
Alle Unternehmen und Freiberufler, die eine Website, ein Forum oder einen Online-Shop betreiben, müssen die Vorgaben der DS-GVO befolgen. Ausgenommen sind lediglich rein private Angebote, wie zum Beispiel ein Archiv von Bildern für Freunde und Verwandte. Die Informationspflichten greifen, sobald personenbezogene Daten über natürliche Personen verarbeitet werden. Dies trifft bereits zu, wenn lediglich ein Lesezugriff auf eine Website erfolgt, da hierbei die IP-Adresse des Nutzers übermittelt wird. Denn die IP-Adresse zählt neben Name, Adresse, E-Mailadresse, Telefonnummer, Geburtstag, Kontodaten, Standortdaten und Cookies zu den personenbezogenen Daten. Alle diese Daten sind Informationen, die sich auf eine identifizierbare Person beziehen. Geschützt sind insbesondere Daten über Kunden-, Mitarbeiter- und Nutzer.
Auftragsverarbeitung (ehemals: Auftragsdatenverarbeitung)
Bislang war eine Auftragsverarbeitungsvereinbarung nur bei Nutzung von Webanalyse-Tools, wie Google Analytics oder Matomo (ehemals: Piwik), erforderlich. Neu ist, dass nun auch der Webhoster ein Auftragsverarbeiter ist. Zukünftig haften unter Umständen Websitebetreiber und Webhoster gegenüber den Betroffenen gemeinsam für Schäden, das heißt: Obwohl der Endkunde kein Vertragsverhältnis mit dem Webhoster hat, kann er diesen für Datenschutzverstöße belangen.
Was müssen Website-Betreiber beachten?
Erster Schritt zur Einhaltung der Datenschutz-Grundverordnung ist die Überarbeitung der Datenschutzerklärung, die jeder Website-Betreiber bereits heute neben dem Impressum zur Verfügung stellen muss. Der Text der Datenschutzerklärung muss deutlich verständlicher sein, als bisher. Neben Pflichtinformationen müssen sämtliche Informationen zur Verarbeitung personenbezogener Daten erläutert werden. Hierzu zählen unter anderem die Verwendung von Cookies und Analyse-Tools wie Google Analytics oder Piwik, Social-Media-Plugins ebenso wie die Verwendung von Nutzereingaben in Kontaktformularen und Newsletter.
Grundsätzlich gelten die Verpflichtung zur Datenminimierung und die verschlüsselte Übertragung von Daten aus Kontaktformularen.
Datenschutzerklärung-Generatoren:
Weitere Maßnahmen betreffen die Pseudonymisierung personenbezogener Daten, eine transparente Zuordnung aller Aufgaben, die mit personenbezogen Daten verbunden sind und die Möglichkeit für Nutzer, sich über die über sie erhobenen personenbezogen Daten zu informireren und diese löschen zu können.
Dokumentationspflicht – Verzeichnis von Verarbeitungstätigkeiten
Weiterhin besteht eine Dokumentationspflicht für sämtliche automatisierten Verarbeitungsvorgänge.
Weitere Informationen zum Verarbeitungsverzeichnis können aus einer Informationsbroschüre der BITkom (PDF) entnommen werden.
Cookies
Bislang wurde die Verwendung von Cookies durch die 2009 in Kraft getretene Cookie-Richtlinie geregelt. Die Cookie-Richtlinie ergänzt zusammen mit der ePrivacy-Richtlinie, die bereits 2002 erlassen wurde, die europäische Datenschutzrichtlinie 95/46/EG. Alle drei sind EU-Richtlinien, welche eines nationalen Umsetzungsgesetzes bedürfen. Die ePrivacy-Richtlinie und die Cookie-Richtlinie wurden vor allem durch Vorschriften im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) umgesetzt. EU-Verordnungen, wie die DS-GVO, gelten unmittelbar für alle Mitgliedsländer.
Bislang ist es üblich, Nutzer durch ein Popup auf die Verwendung von Cookies hinzuweisen. Der Nutzer, kann dies lediglich zur Kenntnis nehmen – eine echte Wahl hat er nicht. Die DS-GVO regelt den Cookie-Einsatz so, dass Cookies, die keine Auswirkungen auf die Privatsphäre haben, auch ohne Einwilligung oder Information des Nutzers gesetzt werden dürfen. Dies ist der Fall für Cookies, die z.B. dazu dienen, die Benutzeranzahl zu ermitteln. Cookies, die für den Nutzer relevante Daten speichern, bedürfen jedoch einer Zustimmung. Künftig soll dies durch eine Do-Not-Track-Einstellung im Browser geregelt werden. Da die Regelungen der Gesetze und Verordnungen sich allerdings überschneiden, wäre es sinnvoll, wenn alle betroffenen Verordnungen und Gesetze bis Mai 2018 angepasst werden würden. Dazu müssen sich jedoch EU-Kommission, EU-Parlament und der Rat der europäischen Union einigen. Da aber auch die Regierungsbildung in Deutschland aktuell noch nicht klar ist, kann es hier durchaus zu Verzögerungen kommen.
Quellen und weiterführende Literatur:
- www.datenschutz-grundverordnung.eu
- www.datenschutzbeauftragter-info.de
- www.datenschutz-praxis.de
- EU-Ratgeber zur Datenschutz-Grundverordnung: Bessere Vorschriften für kleine Unternehmen
- DrSchwenke: Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies, 20.12.2017
- eRecht24: Was sich 2018 im Datenschutz ändert. Und warum das für Sie wichtig ist
- Heise: Datenschutzgrundverordnung: Neue Abmahngefahren für Websites, 9.1.2018
- Loy.info: EU-Datenschutz-Grundverordnung 2018 – Wissen für Websitebetreiber, 2.6.2017
- OnlineSolutionsGroup: EU-Datenschutz-Grundverordnung: Die Uhr tickt für Website-Betreiber, 16.11.2017
- Datenschutz-Notizen.de: Was ist eigentlich die ePrivacy-Verordnung von der alle reden?
- Legal Tribune Online (LTO): Neue E-Privacy-Verordnung – Ein Pätzchen für Cookies, 18.1.2017
- Bayerisches Landesamt für Datenschutzaufsicht: Datenschutzkonferenz (DSK)-Kurzpapiere zur DS-GVO
Kostenloses eBook "Datenschutz im Online-Marketing" des Berufsverband der Rechtsjournalisten e.V.