EU Datenschutz-Grundverordnung – Das sollten Sie wissen.

Am 25.5.2018 tritt die neue EU Datenschutz Grundverordnung in Kraft: Was Websitebetreiber wissen sollten.

Am 25.5.2018 tritt überall in Europa die Anwendbarkeit der EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Damit sind alle Betreiber von Websites gehalten, die festgehaltenen Regeln zu beachten. Was bedeutet das im Einzelnen für die Betreiber von Angeboten im Internet?

Für wen gilt die Datenschutz Grundverordnung (DSGVO)?

Artikel 2, Absatz 1 der DSGVO legt fest:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

In Artikel 4 der DSGVO wird dabei die Begrifflichkeit der „personenbezogenen Daten“ sehr weit gefasst und umfasst, wichtig für Websitebetreiber, neben Namen, Anschrift, Mailadressen auch die temporäre oder statische IP Adresse des Besuchers.

Jeder, der eine Website öffentlich betreibt, sollte die Anforderungen sehr ernst nehmen, zumal die Bußgelder bei Verstößen mittlerweile sehr drastisch ausfallen können.

Hinweis: Dieser Artikel soll in verständlicher Weise über Rechte und Pflichten des Betriebs von Webangeboten informieren, er stellt jedoch keine Rechtsberatung dar. Im Zweifelsfall sollten Sie einen hierfür qualifizierten Rechtsanwalt zu Rate ziehen.

Gilt die DSGVO auch für gemeinnützige Vereine und Verbände?

Definitiv ja, sofern personenbezogene Daten verarbeitet werden. Und dies geschieht schon alleine durch die Statistikaufzeichnungen von Webseiten auf Webservern. Die sogenannten Webserverstatistiken umfassen in aller Regel mindestens auch die IP-Adresse des Besuchers.

Welche Pflichten ergeben sich aus der DSGVO?

Die erste, wesentliche Pflicht ist die sogenannte Transparenzpflicht. Besucher der Website sind deutlich darauf hinzuweisen, welche Daten gespeichert werden. Von zentraler Bedeutung ist hierbei die Datenschutzerklärung. Diese muss von jeder Seite des Webauftritts mit einem einzigen Klick erreichbar sein. Es reicht also nicht, die Datenschutzerklärung im einem Submenüpunkt unterzubringen. Dies bedeutet in vielen Fällen eine Umstrukturierung der Menüführung, eventuell auch eine Veränderung von Templates/Themes von Content Management Systemen. Vereinzelt sind auch schon Stimmen zu hören, dass ein Link auf der oberen Menüebene bei Aufklappmenüs für mobile User nicht ausreichen dürfte. Empfohlen wird den Link zur Datenschutzerklärung in einem Footer, der auf allen Seiten sichtbar sein muss, einzubauen.

Ein Muster für eine Datenschutzerklärung, das Sie nach eigenen Bedürfnissen anpassen können und müssten, finden Sie auf dieser Seite.

Was ist mit meiner Fan-(Unternehmenspage) auf Facebook und anderen sozialen Netzwerken?

Dieses Kapitel stellt sich als kompliziert heraus, denn ohne Kenntnis der internen Abläufe und Speicherungen der Netzwerke kann Transparenz nicht hergestellt werden. Hier müssen die sozialen Netzwerke nacharbeiten, damit auch künftig ein einigermaßen risikofreier Betrieb eines Unternehmensseite oder Fanpage möglich bleibt. Auf jeden Fall gehört auch hier die Datenschutzerklärung sowie das Impressum in die Seite.

Bleibt es bei der Impressumpflicht?

Ja. Allerdings sind die Erreichbarkeitsanforderungen nicht ganz so streng, wie bei der Datenschutzerklärung, die einfache Einordnung in des Menü auf der oberen Ebene sollte ausreichend sein, auch für mobile User.

Inhalte des Impressums:

  • Name
  • Anschrift
  • ggf. Rechtsform des Unternehmenspage
  • Eintragung in die dazu gehörenden Register (Handelsregister, Vereinsregister etc.)
  • Mailadresse sowie zweiter Kommunikationsweg (Telefon/FAX)
  • falls gegeben, zuständige Aufsichtsbehörde
  • falls redaktionelle Inhalte: Name und Anschrift des verantwortlichen Redakteurs (§ 55 Abs. 2 RstV)

Was ist mit der Trackingsoftware?

Wer PIWIK, eTracker oder Google Analytics einsetzt, unterliegt hier klaren Regeln. Die Erfassung von Usern der Website mit voller IP-Adresse ist nicht erlaubt.

Andererseits ist der Verzicht auf eine vernünftige Auswertung der Website ohne Trackingsoftware nicht möglich. Für eine datenschutzkonforme Nutzung ist die Anonymisierung, beispielsweise durch die Streichung der letzten Stellen der IP Adresse, zwingende Voraussetzung.

Empfohlen von einigen Behörden wird die Nutzung von PIWIK, da hier die Daten auf einem eigenen Server gehostet werden können. Eine datenschutzkonforme Nutzung von Trackingsoftware mit Speicherung durch Drittanbieter ist prinzipiell möglich und bedarf einer entsprechenden Vertragsgestaltung. In jedem Fall muss die Trackingsoftware in die Datenschutzerklärung auf der Website aufgenommen werden.

Was ist mit Cookies?

Viele Websites setzen Cookies, kleine Textdateien, die auf dem Rechner des Besuchers gespeichert werden, ein, um bestimmte Funktionalitäten des Webangebots überhaupt realisieren zu können. Dazu zählen beispielsweise Cookies zur Speicherung von Waren in Onlineshops, Cookies zum Tracking bei Trackingsoftware und so weiter. Die EU Cookie Richtlinie wird innerhalb Europas hierbei sehr unterschiedlich umgesetzt, teilweise schreiben die nationalen Richtlinien für nicht zwingend technisch benötigte Cookies wie beispielsweise bei Onlineshops eine Opt-in Lösung vor, teilweise, wie in Deutschland derzeit, reicht eine Opt-out Lösung.

Zu unterscheiden sind zunächst technisch zwingend benötigte Cookies, um die Funktionalität des Angebots aufrecht zu erhalten, wie dies beispielsweise bei Onlineshops notwendig ist. Hier dürfte der Hinweis in der Datenschutzerklärung in Verbindung mit der Opt-out Lösung ausreichend sein.

Technisch nicht zwingend benötigte Cookies, wie beispielsweise beim Einsatz von Trackingsoftware, deren Fehlen die Funktionalität der Seite selbst in keiner Weise beeinträchtigen würde, erfordert dagegen in vielen Ländern der EU heute schon eine Opt-in Lösung, während aktuell (noch) in Deutschland eine Opt-out Lösung reicht. Bei der Opt-in Lösung darf das Cookie erst gesetzt werden, nachdem der Besucher ausdrücklich dem Setzen von Cookies zugestimmt hat. Bei der Opt-out Lösung wird per Popup darüber informiert, dass ein Cookie gesetzt wurde und eine Lösung zum Löschen des Cookies beigefügt wird. Es liegt durchaus im Bereich des Möglichen, dass sich hier noch Änderungen auch in Deutschland ergeben können.

Was ist mit den beliebten Social Media Buttons des Teilens und Likens?

Aus datenschutzrechtlicher Sicht ist der Einsatz der beliebten Plugins fragwürdig, die meisten Datenschutzbeauftragten lehnen die Nutzung dieser Plugins ab. Wichtig zu wissen: Bei Einsatz der Plugins werden persönliche Nutzerdaten, hierzu zählt auch die ungekürzte IP Adresse, direkt an die verbundenen Dienste wie Facebook oder Google plus übertragen. Dies gilt selbst für Besucher der Website, die die verlinkten Social Media Dienste gar nicht nutzen und dort keine Accounts besitzen. Der Datenhunger der Social Media Dienste ist immens, denn Daten sind deren Geschäftsmodell.

Schon seit einigen Jahren existiert, entwickelt von der C´t und dem Verlag Heinz Heise eine Lösung zur Nutzung der beliebten Plugins, die sich mit dem geltenden Datenschutzrecht vereinbaren lässt. Die Shariff-Lösung überträgt beim Aufruf einer Webseite mit dem Shariff Plugin die IP Adresse des Servers zu den Social Media Dienstleistern, nicht jedoch die Besucher-IP. Erst wenn der Besucher aktiv teilt, liked oder was auch immer seitens des Social Media Betreibers gewünscht wird, wird der Kontakt zum Besucher der Webseite geöffnet und die Daten übertragen. Dies setzt aber voraus, dass der Besucher der Website selbst aktiv wird und damit der Übertragung zustimmt. Sowohl für Joomla wie auch für WordPress existieren Plugins, die eine einfache Umsetzung der Shariff-Lösung ermöglichen.

Update:

Der Berufsverband der Rechtsjournalisten hat ein kostenfreies eBook im PDF Format zur Verfügung gestellt, das über die DSGVO und die mit der Verordnung betroffenen Blogger und Webdienstleister umfassen informiert. Das eBook finden Sie hier.

Möchten Sie regelmäßig weitere Informationen kostenfrei erhalten? Dann abonnieren Sie doch einfach meinen Newsletter.