Der 25. Mai steht vor der Tür und einiges ist noch ungewiss. Was wir aber wissen, ist, dass die DSGVO prinzipell nichts Schlechtes ist und von vielen Webseitenbetreibern auch schon ansatzweise seit einigen Jahren umgesetzt wird. Dazu zählen beispielsweise das Führen eines Impressums, Nutzen von HTTPS-Technologie sowie auch, dass Nutzer Cookies akzeptieren müssen

ACHTUNG! Trotz sorgfältiger Recherche, Teilnahme an entsprechenden Kursen, Stundenlangem Suchen in Gesetzestexten samt ihren Änderungen in der länderspezifischen Anpassung (z. B. im Österreichischen Parlament mit 20. April 2018 – Datenschutz-Deregulierungs-Gesetz 2018 (27/BNR) ) übernehme ich keine Gewähr hinsichtlich Genauigkeit, Aktualität und Vollständigkeit der Informationen sowie daraus resultierenden Rechtsstreitigkeiten.

WAS IST EIGENTLICH DIE DSGVO?

Die sogenannte Datenschutzgrundverordnung ist eine Verordnung der Europäischen Union mit dem Ziel, die Verarbeitung personenbezogener Daten durch Unternehmen zu regeln und verständlich abzubilden.

Im Prinzip ist der Grundgedanke nicht schlecht, da diese Regeln klären sollen, WANN, WIE und WO diese Daten zum Einsatz kommen – und den Kunden darüber informieren, sowie ihm auch die Möglichkeit geben, seine Daten zu löschen bzw. löschen zu lassen.

Unter anderem sind dabei folgende 6 Grundsätze ausschlaggebend:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
  • Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
  • Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
  • Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
  • Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)

Laut DSGVO darf auch nur das gespeichert werden, was UNBEDINGT für die aktuelle Datenverarbeitungstätigkeit gebraucht wird. Zusätzlich muss ein Verarbeitungsverzeichnis geführt werden.

  • Die Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen
  • Die Verarbeitung erfolgt nur gelegentlich
  • Es werden keine sensiblen Daten verarbeitet

Im Grunde klingt das sehr positiv, kann aber für Webseitenbetreiber schon mal sehr aufwendig werden: Zum Beispiel müsste ein Blogbetreiber ein Verarbeitungsverzeichnis führen, wenn Google Analytics, Newsletter oder Kommentarfunktion verwendet werden.

ALSO WEN TRIFFT DIE DSGVO NUN WIRKLICH?

Salopp gesagt: Prinzipell mal fast jeden, der eine Webseite betreibt.

  • Verwendung von Google Analytics
  • Speichern von Cookies
  • Kontaktformulare
  • LogIn bzw. Member-Bereich
  • Newsletteranmeldung & -versand
  • Bilder, Namen & weitere Informationen von Mitarbeitern auf der Webseite
  • Funktionen, die in irgendeiner Weise personenbezogene Daten speichern, mit denen die Identifizierung einer Person möglich ist (z. B. Name, IP-Adresse, Cookies, Kontaktdaten etc.)

Wie man sieht, trifft es eigentlich ALLE Seiten, da mindestens eine Funktion (etwa Cookies) von 99% der Webseiten verwendet wird. Umso wichtiger ist es, so schnell als möglich hier auf dem aktuellen Stand zu sein.

EINE KLEINE CHECKLISTE

Datenschutzerklärung

  • Wie bereits oben erwähnt, ist es schon einmal wichtig ein Impressum zu verwenden. Da dieses (genauso wie die Datenschutzerklärung) mit einem Direktlink versehen sein muss, ist hier die ideale Platzierung im Footer Ihrer Webseite.
  • Bei der Datenschutzerklärung reicht ein Standardtext nicht mehr aus. Jede Webseite muss eine individuelle Datenschutzerklärung verwenden, in der die verwendeten Komponenten beschrieben und für den Kunden erklärt werden.
  • Vorsicht also beim Kopieren von Datenschutzerklärungen aus anderen Seiten!

Google Analytics

Google Analytics wird gerne zu Analysezwecken des Besucherstroms auf der Webseite eingesetzt. Da damit Zugriffszahlen, demographische Daten u.v.m. erhoben werden, bedarf es eines eigenen Vertrag mit Google Inc.

Diesen kann man entweder unter folgendem Link herunterladen https://static.googleusercontent.com/media/www.google.com/de/analytics/terms/de.pdf oder alternativ über sein eigenes verifiziertes Google Analytics-Konto bestätigen.

Gehen Sie dazu auf Ihr Analytics-Konto, wählen Sie links im Menü die Kontoeinstellungen und dort den Abschnitt „Zusatz zur Datenverarbeitung“. Klicken Sie dann auf „Zusatz anzeigen“, dort zustimmen und abspeichern. Es wird daraufhin ein grünes Datum mit einem OK angezeigt.

Google Analyitcs Opt-Out-Option

Die Seitenbesucher müssen die Möglichkeit haben, die Datenerhebung durch Google Analytics zu unterbinden. Dafür gibt es entweder passende PlugIns für Ihre Seite oder alternativ das offizielle PlugIn von Google selbst. Dieses kann unter folgenden Link kostenlos heruntergeladen werden: https://tools.google.com/dlpage/gaoptout?hl=de

Google Analytics IP-Anonymisierung

Diese dient dazu, dass die IP-Adresse des Seitenbesuchers gekürzt wird und so keine Rückschlüsse auf seine Herkunft (personenbezogen) mehr gezogen werden können.

Diese IP-Anonymisierung kann auf zwei Arten durchgeführt/umgesetzt werden:

  • Wenn der Code (Entweder direkt oder über ein PlugIn) in der Seite eingesetzt wird, muss der Parameter [anonymizeIP] hinzugefügt werden.
  • Alternativ im Google TagManager die IP-Anonymisierung aktivieren, notwendig ist hier auch eine Übereinkunft zwischen den Verantwortlichen und Google als Auftragsverarbeiter. Diese Vereinbarung (gilt nur für EU-Staaten) können Sie im TagManager aktivieren unter Admin>Account>Account Settings.

Cookies

Einige haben es schon umgesetzt, mit der DSGVO wird es „schlagend“: Der User muss beim Betreten der Seite darüber informiert werden, dass Ihre Seite Cookies einsetzt. Dies lässt sich durch diverse PlugIns umsetzen. Wichtig dabei ist, dass dort auch ein Link zu sehen ist, der direkt zu Ihrer Datenschutzerklärung führt. Achtung! Auch hier ist es wichtig, die Art, Verwendung und Speicherung in der Datenschutzerklärung anzuführen.

Opt-Out der Datensammlung und Löschung sowie BERICHTE über gelöschte/gespeicherte Daten

Jeder User muss die Möglichkeit haben, eine Datensammlung zu verhindern (siehe oben). Der User hat das Recht auf die Löschung seiner Daten. Wichtig ist dabei, dies auch im Impressum zu vermerken und eine Kontaktmöglichkeit dafür zur Verfügung zu stellen.

ACHTUNG! Die betroffene Person ist zu informieren! Dies MUSS verständlich, klar und transparent erfolgen. Sollte der Antrag per E-Mail eingelangt sein, reicht es, auch ein E-Mail zu senden, in dem über die getroffenen Maßnahmen informiert wird. Kam der Antrag per Postweg, muss auch ein Brief (am besten eingeschrieben) mit den durchgeführten Maßnahmen zurückgesandt werden.


Newsletter

Versendet man Newsletter, werden dafür natürlich auch personenbezogene Daten wie Name, E-Mailadresse, etc. verwendet. Hier gilt es mehrere Punkte einzuhalten, die auch schon VOR dem Versand zu beachten sind. Diese Punkte sind bei der Gestaltung der Seite für die Anmeldung zum Newsletter zu beachten:

  • Eine AKTIVE Einwilligung des Users (der Nutzer muss selbst aktiv das Häkchen setzen oder sich eigens zum Newsletter anmelden). Es ist NICHT erlaubt, jemandem einen Newsletter zu senden, der nicht AUSDRÜCKLICH und AKTIV zugestimmt hat.
  • Beschreibung der Inhalte des Newsletters: Welche Informationen wird der Empfänger erhalten?
  • Die Möglichkeit zum Widerruf sowie das FREIWILLIGE Empfangen des Newsletters durch den User (z. B. nicht Gebunden an eine Registrierung für einen Mitgliederbereich)
  • Die Anmeldung muss protokolliert werden
  • Es muss ein „Double-Opt-In“ eingesetzt werden.

Hier ein Beispiel für die Formulierung:
Dieser Newsletter informiert Sie über unsere Firma und unsere Produkte. Nähere Informationen über die Inhalte, Ihre Daten, den Versand und die Auswertung dieser finden Sie in unserer Datenschutzerklärung unter folgenden Link: [LINK EINFÜGEN].

Formulare

Sollten Sie auf Ihrer Webseite Formulare einsetzen (egal in welcher Art) werden die eingegeben Daten gespeichert. Auch für diese Speicherung MUSS der User seine ausdrückliche Erlaubnis geben. Am besten wird das über ein Kästchen umgesetzt das der User AKTIV anklicken MUSS.

ACHTUNG! DIESES KÄSTCHEN DARF NICHT SCHON IM VORFELD AKTIVIERT SEIN!

Ein Beispieltext für diese Kästchen wäre:
[] Ich bin mit der Speicherung/Erhebung meiner eingegeben Daten zur Kontaktaufnahme einverstanden.


Bilder & Daten von Mitarbeitern

Sollten Sie auf Ihrer Seite Bilder und Daten von Mitarbeitern veröffentlicht haben, sollten Sie von diesen explizit die Erlaubnis dafür einholen, sofern die Verwendung nicht durch den Arbeitsvertrag geregelt wird.

„Share-Buttons“

In der DSGVO wird bestimmt, dass der User aktiv der Verarbeitung seiner Daten zustimmen muss. Da dies aktuell mit den „Share-Buttons“ nicht möglich ist, da in der Regel beim Laden der Seite schon eine Verbindung aufgebaut wird, ergeben sich dafür folgende Empfehlungen:

  • Verzicht auf „Share-Buttons“ und PlugIns von sozialen Netzwerken
  • Zwischenschaltung einer weiteren Seite, bei der der User explizit zustimmen muss.

Wir gehen davon aus, dass die großen Netzwerke in den nächsten Tagen/Wochen auch in diesem Bereich nachrüsten werden und können nur vom aktuellen Stand ausgehen.

User-Anmeldung/Registrierung

Sollte es auf Ihrer Seite einen Userbereich geben, dürfen zur Anmeldung nur Daten verwendet werden, die zur Anmeldung tatsächlich gebraucht werden. So reicht es bei den meisten Seiten aus, einen Benutzernamen, ein Passwort und eine E-Mailadresse (zur Verifizierung) zu verwenden. Sie dürfen (außer es ist relevant) den User aber nicht nach seinen Lieblingsbuch oder seinem Hund fragen. Auch hier gilt, dass der User explizit der Verarbeitung seiner Daten zustimmen muss.

FAZIT

Wie Sie sehen trifft, die DSGVO alle Seitenbetreiber – egal welchen Umfang die Seite hat. Natürlich wächst die Datenschutzerklärung, die Sie für Ihre Seite einsetzen müssen – je nachdem, welche Punkte für Sie zutreffen. Jedoch im Großen und Ganzen sind es Maßnahmen, die man finanziell überschaubar oder auch selbst binnen kurzer Zeit umsetzen kann. Es gibt in der DSGVO natürlich auch Punkte, die noch nicht restlos geklärt sind und durch die länderspezifischen Änderungen (dieses Recht steht allen EU-Ländern zu) wird es in den nächsten Wochen auch andere Auslegungen geben. Wir sind gespannt und informieren Sie gerne auch zukünftig über diese.

Wir stehen Ihnen gerne bei Ihrer Webseite mit
Rat & Tat zur Seite.

Webernig Alexander
Ihr Techniker von WeAppU.COM

Quellen:
datenschutz.org, wko.at, drschwenke.de, datenschmutz.net, div. Webinare, Kurse und Schulungen zur DSGVO zb. über UBIT.

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok