Webseitenbetreiber und die EU-Datenschutzgrundverordnung

Alles, was Sie wissen müssen
Julia Kadauke
DSGVO neue EU-Datenschutverordnung

Vorsicht "angestaubt"!

Dieser Artikel ist bereits etwas in die Jahre gekommen und enthält möglicherweise Informationen, die nicht mehr dem aktuellen Stand des Themas entsprechen.

Das jahrelang erarbeitete neue Rechtswerk zum EU-weiten Datenschutz wurde 2016 beschlossen und tritt am 25. Mai 2018 in Kraft. Anders als EU-Richtlinien, die von den Mitgliedsstaaten in nationales Recht umgewandelt werden müssen, gelten EU-Verordnungen für alle Mitgliedsstaaten gleich und haben vor nationalen Gesetzen Vorrang. Ein Vorteil hierbei ist, dass der "Flickenteppich" der Regelungen der verschiedenen Mitgliedsstaaten durch eine gemeinsame Regelung verschwinden soll, sodass auch Wettbewerbsverzerrungen durch unterschiedliche Datenschutzgesetze beseitigt werden. Allerdings - und das wird auch kritisiert - enthält die Datenschutzgrundverordnung (kurz: DSGVO) viele Öffnungsklauseln (79 an der Zahl), die den nationalen Gesetzgebern die Möglickeit bieten, bzw. sie dazu zwingen, hier eigene Regelungen festzulegen. Deutschland hat hier auch schon Arbeit geleistet mit dem Datenschutz Anpassungs- und Umsetzungsgesetz (kurz: DSAnpUG-EU), welches dann das neue Bundesdatenschutzgesetz (BDSG) wird und über welches socialmediarecht.de umfassend informiert. Die E-Privacy Verordnung vervollständigt die DSGVO bezüglich digitaler Daten.

DIE ÄNDERUNGEN IN KÜRZE

Verbraucher haben mehr Rechte: Sie können die Verarbeitungsprozesse ihrer Daten einsehen und die Verarbeitung jederzeit untersagen oder beschränken. Vor allem das Recht auf Vergessenwerden, welches davor nur gerichtlich erfochten werden konnte, wurde nun in die Verordnung aufgenommen (Art. 17 DSGVO).

Unternehmen haben mehr Pflichten: Dazu gehört unter anderem, dass Geräte und Software eine datenschutzfreundliche Voreinstellung erhalten müssen. Wer sehr sensible Daten verarbeiten möchte (beispielsweise Gesundheitsdaten), oder Technologien verwendet, die “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge” haben, muss eine Datenschutz-Folgenabschätzung durchführen (Art. 35 DGSVO). Mehr Informationen dazu finden Sie auf https://datenschutz-grundverordnung.eu/dsgvo/art-35-dsgvo/. Unternehmen, die ihren Sitz nicht in der EU haben, den EU Bürgern aber ihre Dienste anbieten, müssen sich ebenfalls an die DSGVO halten.

Wer sich nicht an die neue DSGVO hält, dem drohen ab Mai erheblich höhere Bußgelder von 20 Mio Euro oder bis zu 4% des weltweiten Jahresumsatzes. Die Strafen des bisherigen BDSG sind dagegen lächerlich niedrig.

WAS MUSS ICH ALS WEBSEITENBETREIBER BEACHTEN?

Die DSGVO soll personenbezogene Daten schützen. Zu allererst sollten Sie sich also klarmachen, was personenbezogene Daten eigentlich sind. Es handelt sich hierbei um alle Daten, die mit einer Person in Verbindung gebracht werden können, also Name, Adresse, Bankdaten, GPS-Verbindungen, Online-Verhalten (Cookies), IP-Adressen, etc. - kurz: alle Daten, die erhoben und gespeichert werden können. Wenn Sie solche Daten erheben und / oder speichern und / oder diese weiterverarbeiten, betreffen die neuen Regelungen Sie. Und das ist schon der Fall, wenn Sie eine Webseite betreiben.

GRUNDSÄTZE

Die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten, es sei denn, es liegt eine Erlaubnis vor, indem der Betroffene einwilligt oder eine Rechtsschrift dies erlaubt. Die Daten, die Sie erheben, müssen an einen Zweck gebunden sein und auch nur erhoben werden, wenn Sie diese für diesen Zweck benötigen. Wenn Sie einen Newsletter anbieten, wird der Name beispielsweise nicht benötigt und darf nicht erhoben werden. Sie sind außerdem verpflichtet, für die Sicherheit der Daten zu sorgen.

Das Recht auf Vergessenwerden bedeutet, dass wenn eine Person seine Daten löschen lassen möchte, Sie dazu verpflichtet sind, dies unverzüglich durchzuführen. Ab Mai 2018 gilt dies dann für alle datenverarbeitenden Stellen und nicht mehr nur für Suchmaschinen.

Beispiel "Newsletter": Ein Nutzer kündigt Ihr Newsletter-Abo. Gemäß DGSVO sind Sie dazu verpflichtet, die Daten des Nutzers unverzüglich zu löschen. Aber auch alle Unternehmen, denen Sie diese Daten zur Verfügung gestellt haben (Newsletter-Dienst, Tracking-Dienst, CRM-Software) müssen ebenso unverzüglich diese Daten bei sich löschen. Um das zu gewährleisten, sind ADV-Verträge nötig (s. u.).

DATENSCHUTZERKLÄRUNG

Als Webseitenbetreiber werden Sie Ihre Datenschutzerklärung anpassen müssen, um mit der DSGVO konform zu sein. Dazu gehört, dass sämtliche notwendigen Informationen präzise, leicht verständlich, transparent und leicht zugänglich sein müssen. Ein sehr gutes Beispiel ist die Datenschutzerklärung von datenschutz-guru.de. Lesenswert auch, weil hier auf die Technik und Notwendigkeit von datenschutzfraglichen Methoden eingegangen wird.

Was gehört in die Datenschutzerklärung?

  • Name und Kontaktdaten des Unternehmens und ggf. des Datenschutzbeauftragten

  • Die Zwecke, für die personenbezogene Daten erhoben und verarbeitet werden sollen sowie die Rechtsgrundlage dafür (Einwilligung oder Legalisierung durch Rechtsschrift)

  • Wenn die Verarbeitung auf Artikel 6 Abs. 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden

  • Falls vorhanden die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe)

  • Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

  • Die Rechte der Betroffenen, wie z. B. das Auskunftsrecht über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie das Recht auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)

  • Jederzeit die Möglichkeit des Widerrufs der Einwilligung, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird

  • Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

  • Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, sowie ob der Betroffene verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen es hätte, wenn er die Daten nicht bereitstellt

RISIKEN MINIMIEREN - DAS KÖNNEN SIE TUN

1. HTTPS IST UNUMGÄNGLICH

Mit der Einführung der DSGVO werden Sie quasi dazu verpflichtet, eine SSL-Verbindung für Ihre Webseite zu nutzen, um Daten verschlüsselt zu versenden. Nur so kann sichergestellt werden, dass die Daten Ihrer Besucher, die sie beispielsweise über ein Kontaktformular versenden, nicht von Dritten abgegriffen werden können. Zum Umstieg auf HTTPS und was Sie dabei beachten müssen, haben wir bereits einen ausführlichen Artikel geschrieben: Umstieg auf HTTPS richtig gemacht.

2. CMS AKTUELL HALTEN (LASSEN)

Webseiten basieren in der Regel auf Content Management Systemen wie Drupal, Wordpress, Joomla o. Ä. Dafür gibt es immer wieder Security-Updates, um Hacker-Angriffe abzuwehren. Um Ihr System sicher zu halten, müssen diese Updates regelmäßig eingespielt werden. Falls Sie eine Agentur engagiert haben, sich um Ihr Web-CMS zu kümmern, sollten Sie sicherstellen, dass diese stets für Aktualität und die Sicherheit Ihrer Daten sorgen.

Wir gehen davon aus, dass nur 5-10% der CMS regelmäßig Security-Updates einspielen! Gehören Sie auch dazu?

3. CMS-Einstellungen aktuell halten

Mitarbeiter kommen und gehen. Wenn Benutzeraccounts des CMS nach dem Ausscheiden eines Mitarbeiters nicht gelöscht werden, haben ehemalige Mitarbeiter potenziell Zugriff auf das CMS. Sie sollten Ihre Mitarbeiter außerdem dazu anhalten, ihre Passworter sicher zu gestalten und sie regelmäßig zu ändern. Über sichere Passwörter haben wir bereits einen Artikel verfasst. Stellen Sie auch sicher, dass Benutzer des CMS nur diejenigen Rechte haben, die sie für ihre Arbeit benötigen.

Was ist mit AUFTRAGSDATENVERARBEITUNG?

Im Folgenden wird veranschaulicht, was alles passiert, wenn ein Besucher eine bestimmte Webseite besucht.

 
Request wird an Server gesendet

Ein Besucher ruft mit seinem Browser die Seite "/produkt1" auf. Dabei sendet der Browser einen Request, welcher unter anderem die IP-Adresse enthält, an die Webseite. Dieser Request erreicht aber mehrere Adressaten:

1: Der Request gelangt zum Server

2: Der Request gelangt zum Webserver

3: Der Request gelangt zur Applikationsebene mit der Webseite

4: Die Webseite antwortet auf den Request.

Auf dem Rückweg erreichen die Daten wieder alle 3 Ebenen.

Auf allen Ebenen werden Logfiles erstellt, um die Aktionen an Geräten bzw. Software zu protokollieren. Diese Logfiles können u. a. dazu genutzt werden, Fehler zu beheben, aber natürlich auch für Analysezwecke verwendet werden. Logfiles beinhalten unter anderem IP-Adresse, Datum, Uhrzeit, Request etc. Gedankenspiel: Wenn Server, Webserver und Webseite von unterschiedlichen Unternehmen betrieben werden (Firma A-C), ist die Menge an Menschen, die theoretisch Zugang zu den Request-Daten haben, unüberschaubar groß.

Und wer Wissen darüber hat, welche Person sich hinter einer IP-Adresse verbirgt, kann dann auch wissen, was diese Person wann gemacht hat.

 
Potentieller Zugriff auf Daten

In diesem Beispiel sind bislang nur 3 Unternehmen "im Spiel". Allerdings kann man davon ausgehen, dass diese Unternehmen weitere Unternehmen mit Dienstleistungen beauftragen. Der Serverbetreiber beauftragt einen IT-Administrator für Maintenance, der Webserverbetreiber nutzt einen Backup-Service, um Daten zu sichern und der Webseitenbetreiber trackt seine Besucher. Somit werden die Daten theoretisch an noch viel mehr Unternehmen weitergegeben, als man sich überhaupt bewusst ist.

Wenn Sie der Betreiber dieser Webseite sind, sind Sie dafür verantwortlich, dass sämtliche Daten, die auf Ihrer Webseite erhoben und weitergegeben werden, geschützt sind. Für diesen Fall gibt es ADV-Verträge (Auftragsdatenverarbeitungs-Verträge). Als Unternehmen müssen Sie mit allen Subunternehmen, die für Sie Daten verarbeiten, ADV-Verträge abschließen. Diese müssen beinhalten, dass auch weitere Unternehmen, die in Besitz dieser Daten kommen können (weitere Subunternehmer), ADV-Verträge abschließen. Bisher regelt dies §11 BDSG, ab Mai 2018 aber Art. 28 DSGVO. Hierbei handelt es sich um eine Verschärfung der Regelungen:

Als Auftraggeber sind Sie der erste Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig. Neu nach der DSGVO ist aber, dass der Auftragnehmer, der die Daten für Sie verarbeitet, mitverantwortlich ist.

Weitere Beispiele für Datenweitergabe:

  • Server

  • Newsletterdienste

  • Shop-Software

  • Bezahlsysteme

  • Rechnungssoftware

  • Cloudsysteme

etc. Sie sollten Sich also klarmachen, dass es potentiell viele Empfänger von personenbezogenen Daten gibt, mit denen ADV-Verträge abgeschlossen werden sollten.

Brauche ich einen Datenschutzbeauftragten?

Generell gilt: Jedes Unternehmen kann freiwillig einen Datenschutzbeauftragten benennen. Für manche Unternehmen ist dies aber Pflicht und zwar dann, wenn das Unternehmen Kerntätigkeiten nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedürfen. Dazu gehören Sie, wenn Sie beispielsweise mit Daten handeln (Adressdatenbanken etc.). Sie müssen dann auch die Kontaktdaten des Datenschutzbeauftragten in Ihre Datenschutzerklärung aufnehmen.

Art. 37 Abs. 1 DSGVO regelt, wann ein betrieblicher Datenschutzbeauftragter zu benennen ist. Die Regelungen werden aber wegen der Öffnungsklauseln durch das neue Bundesdatenschutzgesetz ergänzt. Während in der DSGVO die Anzahl der Mitarbeiter eines Unternehmens kein Grund ist, einen Datenschutbeauftragten zu benennen, regelt §38 BDSG(neu) ab dem 25. Mai 2018, dass ein Unternehmen einen Datenschutzbeauftragten benennen muss, wenn mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Es gibt die Möglichkeit, einen internen oder externen Datenschutzbeauftragten zu benennen. Er sollte bestimmte Anforderungen erfüllen, um das Unternehmen datenschutzrechtlich unterstützen zu können. Dazu gehört die berufliche Qualifikation, Fachwissen und Praxiserfahrung im Datenschutz und die Fähigkeit zur Erfüllung der gesetzlich definierten Aufgaben:

  • Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten

  • Überwachung der Einhaltung der DSGVO und nationalen Sonderregelungen

  • Sensibilisierung und Schulung

  • Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung

  • Zusammenarbeit mit der Aufsichtsbehörde

Fazit

Webseitenbetreiber müssen sich darauf einstellen, dass es mit einer neuen Datenschutzerklärung nicht getan ist. Eventuell müssen ganze Prozesse, die mit personenbezogenen Daten zu tun haben, komplett erneuert werden, um der neuen DSGVO gerecht zu werden. Wir haben Ihnen eine kleine Liste mit ToDos zusammengestellt, um Sie dabei zu unterstützen:

  1. Erfassen Sie alle Datenverarbeitungsprozesse in einem Verzeichnis.

  2. Prüfen Sie, ob alle Datenverarbeitungsprozesse nötig sind. Prüfen Sie auch, ob alle bisher verarbeiteten Daten wirklich dafür notwendig sind.

  3. Sensibilisieren Sie Ihre Mitarbeiter, das Thema Datenschutz zu verinnerlichen und setzen Sie sie in Kenntnis über die sie betreffenden Regelungen der DSGVO.

  4. Schließen Sie Verträge mit Subunternehmen und Dienstleistern, die konform mit der DSGVO sind. Achten Sie darauf, dass die gesamte Kette der datenverarbeitenden Unternehmen in diese Verträge eingeschlossen sind.

  5. Stellen Sie sicher, dass Informationspflicht sowie die Rechte auf Auskunft, Berichtigung, Löschung, und Beschränkung eingehalten werden können.

Die in diesem Artikel genutzten Bilder stammen teilweise von anderen Quellen. Sie finden die Quellenangaben im Impressum.

Themen