Umsetzung der EU Datenschutz Grundverordnung auf der Webseite.
Am 25. Mai 2018 ist es soweit: Nach einer zweijährigen Übergangsfrist wird die EU- Datenschutz-Grundverordnung (DSGVO) in allen EU-Mitgliedstaaten zu geltendem Recht. Die DSGVO regelt erstmal europaweit den Umgang mit personenbezogenen Daten. Wir haben für Sie zusammengestellt, was Sie ab Mai dabei in Bezug auf Ihre Webseite beachten müssen.
Die DSGVO enthält „Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“ (Kap. 1 Art. 1.1 DSGVO).
In fast 100 Artikeln definiert die DSGVO, was persönliche Daten sind (Kap 1 Art.4), wie diese erhoben und gespeichert werden dürfen und welche Vorkehrungen zu treffen sind, um diese zu schützen. Die Bestimmungen gehen weit über das hinaus, was Thema dieses Beitrags ist. Da mit der DSGVO gleichzeitig auch die Höhe der möglichen Bußgelder neu festgelegt wurde (mögliche Bußgelder und Sanktionen) ist auf jeden Fall zu empfehlen, sich mit den neuen Bestimmungen vertraut zu machen und die erforderlichen Maßnahmen umzusetzen.
Die Umsetzung der DSGVO auf der Webseite
Einwilligung zur Verarbeitung der Daten nötig Grundsätzlich gilt, dass Sie für die Nutzung und Verarbeitung personenbezogener Daten, die sich nicht aus rechtlichen, vertraglichen oder sonstigen Regelungen ergeben, eine Einwilligung benötigen ( Kap. 2 Art. 6 DSGVO). Diese Einwilligung müssen Sie bei einer etwaigen Überprüfung nachweisen können.
Verschlüsselung der Daten Erfassen Sie auf Ihrer Webseite persönliche Daten, z.B. über ein Kontaktformular oder über die Anmeldung zu einem Newsletter, müssen diese Daten verschlüsselt sein. Dazu müssen Sie Ihre Webseite auf https umstellen. Falls dies noch nicht geschehen ist und Sie weiterhin persönliche Daten erfassen wollen, kontaktieren Sie Ihren Webmaster.
Cookie-Hinweis Muss es einen Cookie-Hinweis geben oder nicht? Hier scheint die Rechtslage schwammig zu sein und keine genaue Richtlinie vorzugeben.(vgl. dazu den Beitrag im Blog der it-recht kanzlei, münchen). Wie auch in unserem Artikel zum Cookie-Bar bereits angesprochen, empfehlen wir auf Nummer sicher zu gehen und einen entsprechenden Hinweis aufzunehmen.
Einbindung Social plugins Die Einbindung von Social Plugins wie Sie von den Social Media Betreibern zur Verfügung gestellt werden, ist bereits heute rechtlich umstritten. Das Thema: In vielen Fällen werden bereits mit dem Aufruf einer Seite auf der sich Plugins befinden, Daten an den Betreiber gesandt.
Wer dennoch nicht auf die Plugins verzichten möchte, für den ist „Shariff“ eine mögliche Lösung. Shariff wurde von c’t und heise online entwickelt. Im Gegensatz zu den üblichen Share-Buttons stellt Shariff den Kontakt zwischen Social Network und Besucher erst dann her, wenn der Share-Button aktiv geklickt wird. Zur Einbindung von Shariff sprechen Sie bitte mit Ihren Webmaster.
Datenschutzerklärung Auch der Inhalt der Datenschutzerklärung wird vom neuen DSGVO konkret geregelt. Art. 13definiert welche Informationen in der Datenschutzerklärung enthalten sein müssen. Da die Bestimmungen teilweise doch in Juristendeutsch verfasst sind, empfehlen wir, bei der Anpassung oder Erstellung der Datenschutzbestimmung einen der zahlreichen Online-Datenschutz-Generatoren zu nutzen (z. B. der DGD).
Ein kleiner Tipp am Rande: Die meisten Generatoren fügen am Ende der Erklärung einen Link auf den Generator ein. Löschen Sie diesen Link bitte nicht, da Sie dafür abgemahnt werden können.
Exkurs Newsletter/E-Mail-Marketing:
Grundsätzlich gilt auch hier, dass Sie niemanden ohne Einwilligung einen Newsletter zuschicken dürfen. Um dies sicherzustellen, wird die Einwilligung heute allgemein über das Double-Opt-in-Verfahren abgesichert. Künftig kommt auch hier, wie oben bereits einmal erwähnt, die Vorschrift hinzu, dass Sie die Einwilligung auch belegen können müssen. Dies gilt für alle Empfänger, auch die Listen, die Sie bereits heute anschreiben.
Darüber hinaus bleibt die DSGVO schwammig, wenn es darum geht, ob Sie z.B. Käufer anschreiben dürfen. Hier gibt es sicherlich noch weiteren Klärungsbedarf. Einen umfassenden Beitrag zu diesem Thema finden Sie auf der Mailjet-Webseite.
Weitere Entwicklung Datenschutz
Ab dem 25. Mai 2018 sind die Vorschriften der DSGVO geltendes Recht. In einigen Bereichen gibt es dennoch weiteren Klärungsbedarf, mit dem sich sicherlich das ein oder andere Gericht beschäftigen werden. Der nächste große Schritt wird die ePrivacy Verordnung sein. Diese sollte ursprünglich gemeinsam mit der DSGVO Inkrafttreten, im Augenblick geht man allerdings von Anfang 2019 aus.