Scroll Top

DSGVO für Webseitenbetreiber – Was ist zu beachten?

Seit Mai 2018 schafft die Datenschutzgrundverordnung einen flächendeckenden Schutz von personenbezogenen Daten in der EU. Für Unternehmen hat die DSGVO drastische Folgen, vor allem in Bezug auf die Kommunikation über die Webseite.

Um eine gute Übersicht zu schaffen, zeigen wir hier auf was sich geändert hat, und was gleich bleibt.

Grundprinzipien

Die bisherigen Grundprinzipien des Datenschutzes bleiben erhalten und sind im Wesentlichen in Art. 5 DSGVO geregelt: Rechtmäßigkeit und Richtigkeit der Datenverarbeitung, Integrität und Vertraulichkeit der Datenverarbeitung, Transparenz der Datenverarbeitung, Zweckbindung, Datensparsamkeit und Pseudonymsierung. Dazu gekommen sind im Wesentlichen: Recht auf Vergessenwerden, Data protection by design, Data protection by default und die Datenübertragbarkeit.

Der traditionelle Datenschutzgrundsatz, das sog. „Verbot mit Erlaubnisvorbehalt“ gilt nach wie vor und bedeutet, dass die automatisierte Datenverarbeitung generell verboten ist, es sei denn, die betroffene Person hat in die Verarbeitung eingewilligt oder die Verarbeitung ist ansonsten von einer in Art. 6 DSGVO aufgeführten gesetzliche Ausnahme gem. Art. 6 DSGVO legitimiert, z.B. weil die Daten zur Erfüllung eines Vertrages, im Rahmen der Vertragsanbahnung, durch eine gesetzliche Verpflichtung (z.B. Aufbewahrungsfristen nach der AO) oder ein sog. „berechtigtes Interesse“ gedeckt ist. Bei der Verarbeitung von Daten in der Unternehmenskommunikation kommen generell die Einwilligung, ein Vertragsverhältnis oder das „berechtigte Interesse“, z.B. im Rahmen von Direktmarketing als Legitimationsgrundlage, in Betracht.

Datenschutzerklärung

Die Informationspflichten werden in zwei umfangreich formulierten Artikeln geregelt, und zwar in Art. 13 und 14 der DSGVO. Werden die personenbezogenen Daten beim Betroffenen erhoben, hat der Verantwortliche gemäß Art. 13 zu informieren, beispielsweise über die verantwortliche Stelle, die Kontaktdaten des Datenschutzbeauftragten, die Rechte der Betroffenen, den Verarbeitungszweck oder die eventuelle Übermittlung in Drittstaaten.

Die Datenschutzerklärung muss danach über alle Verarbeitungsprozesse in Verbindung mit der Webseite und den personenbezogenen Nutzerdaten aufklären. Die Datenschutzerklärung muss deutlich und klar auf der Webseite ersichtlich sein, im besten Fall unter einem eigenen Link, der von jeder Unterseite aus zugänglich ist. In der Datenschutzerklärung ist deswegen zum Beispiel auch über die Verarbeitung von Social Media Plugins, über die Einbindung von Newslettern, Kontaktformularen und von Analyse- oder Marketing-Tools (Akanoo, Google Analytics, Google Adwords/Retargeting, Piwik/Matomo) und über weitere eingebunden Dienste, wie z.B. Google Maps, YouTube, Chatprogramme umfassend zu informieren. Die DSGVO verstärkt die Informationspflichten insoweit, als dass die Nutzer zudem deutlich auf die Möglichkeit des Widerrufs ihrer Einwilligungen hinzuweisen sind.

Konfiguration, Cookies und to do’s im Back-Office

Die Erfüllung von bloßen Informationspflichten ist allerdings nicht ausreichend, auch der Einsatz von Tools auf der Webseite muss datenschutzkonform sein. Unter Umständen sind Tools entsprechend zu konfigurieren bzw. zu erweitern. Beim Einsatz von Cookies ist die Regelung nach wie vor nicht eindeutig. So ist nicht abschließend geklärt, ob ein Besucher beim Aufruf der Webseite in die Verwendung von Cookies einwilligen muss (Opt-in), oder ob es ausreicht, wenn er nachträglich der Cookiesetzung widersprechen kann (Opt-out). Falls personenbezogene Daten über eine Webseite (zum Beispiel über ein Kontaktformular) verarbeitet werden, ist zwingend an eine SSL-Verschlüsselung zu denken. Mit Dienstleistern, die z.B. die Webseite hosten oder den Newsletterversand übernehmen oder mit Analysetoolanbietern muss ein Vertrag zur Auftragsverarbeitung geschlossen werden.

Sämtliche Prozesse auf der Webseite, bei denen personenbezogene Daten verarbeitet werden, müssen im sog. Verzeichnis über die Verarbeitungstätigkeiten erfasst werden. Auch Mitarbeiter eines Unternehmens dürfen auf der Seite nicht einfach genannt werden – lediglich Beschäftigte, die nach außen hin für das Unternehmen auftreten, müssen die Veröffentlichung ihrer Kontaktdaten hinnehmen. Fotos von Mitarbeitern dürfen zudem nur mit entsprechender Einwilligung veröffentlicht werden.

Ausblick

Webseitenbetreiber stehen in Bezug auf den Datenschutz vor großen, aber nicht unüberwindbaren Herausforderungen. Wenn diese gemeistert sind, ist allerdings an eine anstehende weitere Gesetzesnovelle zu denken. Zum Inkrafttreten, vermutlich ab 2019/2020, der ePrivacy Verordnung, sind die dann neu bzw. abgeändert geltenden Datenschutzvorschriften speziell für Telemediendienste, sprich Webseiten, erneut auf den Prüfstand zu stellen. Diese Verordnung soll insbesondere und hoffentlich auch zur Klarheit bei der Verwendung von Cookies beitragen.

Hilfreiche und weiterführende Links:

LDA Bayern:

Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine Unternehmen, Vereine, etc.
Muster – Verzeichnis von Verarbeitungstätigkeiten

Kurzpapiere der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK):

Zur Informationspflicht:

https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/KP_10_Informationspflichten.pdf

Zur Verarbeitung personenbezogener Daten für Werbung:

https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/KP_3_Werbung.pdf

Zum Verzeichnis der Verarbeitungstätigkeiten:

https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/KP_3_Werbung.pdf

Zur Auftragsverarbeitung:

https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/KP_13_Auftragsverarbeitung.pdf

Verwandte Beiträge