Was müssen Webseitenbetreiber mit Inkrafttreten der Datenschutz-Grundverordnung beachten?


Am 25.05.2018 ist es soweit - die Datenschutz-Grundverordnung (kurz DS-GVO) soll von allen europäischen Unternehmen verbindlich umgesetzt werden.

Die DS-GVO ist dabei nicht nur für Unternehmen interessant, welche im Internet aktiv sind und personenbezogene verarbeiten, sondern auch für Webseitenbetreiber: Websites, welche nicht ausschließlich für private Zwecke betrieben werden, und zum Beispiel ein Kontaktformular beinhalten, Newsletter versenden, IP Adressen Speichern oder Cookies verwenden sind von der neuen Regelung betroffen. Erfasste Daten sind gemäß der DS-GVO so zu anonymisieren, dass kein Rückschluss auf den einzelnen Nutzer möglich ist. Darüber hinaus müssen die Betreiber der Website ihre Datenverarbeitungstätigkeiten genauestens dokumentieren.

Im folgenden werden Hinweise über die Umsetzung der DSGVO auf der Website gegeben:

Datenschutzerklärung : Die Datenschutzerklärung sollte von nun an alle erhobenen personenspezifischen Daten beschreiben und den Nutzer über alle Vorgänge aufklären, bei denen seine Daten verarbeitet werden. Für jedes Werkzeug, mit dessen Hilfe personenbezogene Daten erhoben werden, muss der Zweck sowie die Rechtsgrundlage der Datenverarbeitung angegeben werden. Besonders umfangreich sind die neuen Informationspflichten im Hinblick auf die Rechte der Betroffenen. Über die genauen Pflichtinformationen in der Datenschutzerklärung gibt der Artikel 13 der Datenschutz-Grundverordnung Auskunft.

Datenschutzbeauftragter: Sobald ein Unternehmen personenbezogene Daten automatisiert verarbeitet, benötigt dieses laut DSGVO einen Datenschutzbeauftragten. Dieser muss in der Datenschutzerklärung der Website genannt werden. Ausnahme: Beschäftigt das Unternehmen weniger als 10 Mitarbeiter (Kleinstunternehmen), benötigt dieses keinen Datenschutzbeauftragten. SSL-Zertifikat: Jede Website, die personenbezogene Daten erhebt, muss ab inKrafttreten der DS-GVO mit dem Secure Sockets Layer (SSL) verschlüsselt sein. Dies ist der Fall, wenn die Webadresse mit „https://“ beginnt.

Kontaktformular: In Kontaktformularen dürfen von nun an nur personenbezogene Daten erhoben werden, welche zwingend benötigt werden, um die Kontaktanfrage zu beantworten. Weitere Angaben müssen deutlich als “freiwillig” gekennzeichnet werden.

Google Analytics: Mit Eintritt der DS-GVO müssen Tracking Daten der Website-Besucher (welche zum Beispiel über Google Analytics gesammelt werden) anonymisiert werden, sodass keine eindeutige Identifikation der Person mehr möglich ist. Darüber hinaus muss eine “Opt-Out-Option” gestellt werden, in welcher der Besucher der Erfassung seiner persönlichen Daten durch z.B. Google widersprechen kann.

Umgang mit Cookies: Beim Einsatz von Cookies, sollten Webseitenbetreiber weiterhin die Nutzer durch einen Banner oder ein PopUp auf die Verwendung von Cookies hinweisen darüber informieren, dass bei jedem weiteren Besuch der Webseite von der Einwilligung des Nutzers in die Verwendung von Cookies ausgegangen wird. Die rechtlichen Anforderungen an die Cookies, könnten sich jedoch mit inKrafttreten der ePrivacy Verordnung im Jahr 2020 ändern.

Da ab dem 25.05.2018 alle Firmen mit Sitz in der europäischen Union die gleichen Auflagen zur Einhaltung der DS-GVO auf ihrer Website zu befolgen haben, bringt die DS-GVO deutschen Firmen sogar einen kleinen Vorteil: In Deutschland regelt das Bundesdatenschutzgesetz den Datenschutz im Vergleich zu anderen EU-Ländern sehr streng. So wird mit Eintritt der DS-GVO einem möglichen Wettbewerbsnachteil gegenüber anderen Eu-ansässigen Firmen entgegengewirkt.