EU-Datenschutz-Grundverordnung (DSGVO)
Was bedeutet die EU-Datenschutz-Grundverordnung?
Seit dem 25.05.2018 gilt die EU-Datenschutz-Grundverordnung, kurz DSGVO. Verstöße gegen die neue Regelung werden mit hohen Strafen und Abmahnungen geahndet. Die bisherige Regelung von 1995 hatten die europäischen Staaten nicht einheitlich umgesetzt, wodurch ein Flickenteppich aus unterschiedlichen Datenschutzbestimmungen entstanden ist. Mit der neuen Verordnung soll nun für alle EU-Bürger ein einheitliches Datenschutz-Niveau geschaffen werden. Für Webseiten-Betreiber bedeutet das, dass sie ihre Web-Angebote genauestens unter die Lupe nehmen sollten. Es muss sichergestellt werden, dass die Internet-Auftritte nach dem 25.05.2018 datenschutzkonform nach DSGVO-Standards sind.
Wir möchten Sie an dieser Stelle über die grundlegenden Änderungen informieren und die notwendigen Maßnahmen aufzeigen, die ergriffen werden müssen. Es handelt sich hierbei lediglich um eine Information ohne Anspruch auf Vollständigkeit. Details sollten Sie unbedingt mit Ihrem Datenschutzbeauftragten oder Ihrem Rechtsanwalt besprechen.
Die ePrivacy-Verordnung wird die DSGVO ergänzen. Dieses weitere Gesetzeswerk der EU wird den Schutz der elektronischen Kommunikation sicherstellen und ist somit ebenfalls relevant für die Online-Aktivitäten von Unternehmen. Ursprünglich sollten die DSGVO und die ePrivacy-Verordnung zeitgleich in Kraft treten. Da sich das Gesetzgebungsverfahren für die ePrivacy-Verordnung verzögert, tritt zunächst nur die DSGVO in Kraft.
Wichtige Grundprinzipien der DSGVO
Hier eine Übersicht über elementaren Grundsätze aus der neuen Datenschutz-Grundverordnung.
Personenbezogene Daten:
Personenbezogene Daten sind die Daten, mit denen ein Nutzer direkt oder indirekt identifiziert werden kann. Direkte Daten sind beispielsweise Name, Adresse, E-Mail-Adresse, Kontodaten oder das Geburtsdatum. Auch die IP-Adresse kann einer Person zur Identifikation zugeordnet werden (Vgl. Art. 4 EU-DSGVO). Indirekte Daten sind Einzeldaten, die in ihrer Gesamtheit Rückschlüsse auf eine Person zulassen. Die DSGVO will mit der Regelung Profiling / Big Data-Analysen verringern.
Die EU-Datenschutz-Grundverordnung regelt Grundsätze für die Verarbeitung personenbezogener Daten (Vgl. Art. 5 EU-DSGVO). Es geht dabei um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie um Vorschriften zum freien Verkehr jener Daten (Vgl. Art. 1 EU-DSGVO). Die Regularien der DSGVO greifen auch bei Nicht-Nutzung von gesammelten personenbezogenen Daten.
Rechtmäßigkeit der Verarbeitung:
Personenbezogenen Daten dürfen nur mit Einwilligung der betroffenen Person erhoben werden, nur zur Erfüllung eines Vertrages oder bei rechtlicher Pflicht. Die Einwilligung muss nachweisbar sein, der Zweck der Datenerhebung muss klar definiert, leicht verständlich formuliert und unternehmens- bzw. aufgabenbezogen sein (Vgl. Art. 6 EU-DSGVO).
Auskunftsrecht der betroffenen Person:
Betroffenen Personen, also all jenen, deren Daten gesammelt werden, werden umfangreiche Rechte eingeräumt. Verantwortliche, d.h. diejenigen, die Daten erfassen, müssen auf Anfrage von betroffenen Personen alle Informationen innerhalb von einem Monat zur Verfügung stellen (Vgl. Art. 15 EU-DSGVO). Betroffene Personen haben das Recht, jederzeit die über sie gesammelten Daten ausgehändigt zu bekommen. Darüber hinaus können Sie verlangen, dass ihre Daten korrigiert werden (Vgl. Art. 16 EU-DSGVO), sowie eine sofortige Löschung (Recht auf Löschung, Vgl. Art. 17 EU-DSGVO), ihrer Daten vorgenommen wird (sofern dies im Einklang mit anderen Gesetzen steht). Ebenso kann die betroffene Person verlangen, dass die Datenverarbeitung beschränkt wird (Recht auf Einschränkung der Verarbeitung, Vgl. Art. 18 EU-DSGVO) oder gar Widerspruch gegen die Verarbeitung der personenbezogenen Daten eingelegt wird (Recht auf Widerspruch, Vgl. Art. 21 EU-DSGVO). Erlischt der Verwendungsgrund für die erhobenen Daten, müssen diese übrigens ebenfalls gelöscht werden (Vgl. Art. 17 DSGVO).
Privacy by Design:
Dies bedeutet so viel wie „Datenschutz durch Technikgestaltung“. Bei der Entwicklung eines Projektes soll die Datenerhebung durch Voreinstellungen auf das Nötigste reduziert werden. Durch das Ergreifen technischer und organisatorischer Maßnahmen wird schon frühzeitig im Entwicklungsstadium eingegriffen und so der Datenschutz gewährleistet (Vgl. Art. 25 EU-DSGVO), ganz im Sinne der Datenminimierung (Vgl. Art. 5 EU-DSGVO). Artikel 32 schreibt zudem die Sicherheit der Verarbeitung durch Technikgestaltung vor, z.B. durch SSL-Zertifikate (Vgl. Art. 32 EU-DSGVO).
DSGVO und was nun?
Verwenden Sie ein Webanalyse-Tool wie Google Analytics oder Piwik und/oder haben Social Media Plugins eingebunden? Versenden Sie einen Newsletter an Ihre Kunden über eine Newsletter-TYPO3-Extension? Verwendet Ihre TYPO3-Website ein Kontaktformular? Bei der Verwendung solcher oder ähnlicher Produkte, sollten Sie beim Thema DSGVO aktiv werden.
Betrachten Sie Ihren Internetauftritt zunächst genauestens. Welche Anwendungen kommen zum Einsatz? Erfassen diese Anwendungen oder Extensions personenbezogene Daten? Erheben eventuell sogar Drittanbieter wie Google oder Soziale Netzwerke Daten auf Ihren Seiten?
Begutachten Sie nicht nur Ihre Website: Auf Ihrem Handy sind eventuell dienstliche Kontakte gespeichert und Sie haben einen Messengerdienst wie WhatsApp installiert. Dies ist seit dem 25.05.2018 nicht mehr datenschutzkonform. Wir beraten Sie gerne zu Alternativen.
Was sollten Sie prüfen und beachten?
Datenschutz: Passen Sie Ihre Datenschutzbestimmungen an
Rechtmäßigkeit der Verarbeitung: Haben Sie die Einwilligung Ihrer User?
Auskunftsrecht: Können Sie Informationnachfragen innerhalb der gesetzten Frist nachkommen?
Recht auf Löschung: Können Sie Lösch-Anfragen nachkommen?
Privacy by Design: Prüfen Sie Ihre Website auf Voreinstellungen bei der Technikgestaltung
Verschlüsselung: Sorgen Sie für Sicherheit der Datenverarbeitung, z.B. mit einem SSL-Zertifikat
Drittanbieter: Erhalten Drittanbieter Daten Ihrer User?
Social Media Plugins und die DSGVO
Social Media Plugins sind auf vielen Websites eingebunden und laden zum schnellen Teilen und Verbreiten des Artikels und der Informationen ein. Haben Sie ein solches Plugin, z.B. von Twitter oder Facebook, auf Ihrer Seite eingesetzt, erhebt ein Drittanbieter Daten Ihrer User. Nicht nur in das entsprechende Netzwerk eingeloggte User werden hier von Facebook & Co. getrackt, auch personenbezogene Daten von Usern, die gar nicht aktiv in dem Netzwerk sind, werden erhoben. Das widerspricht ganz klar den Datenschutzvorschriften.
Natürlich müssen Sie das Social Media Plugin nicht von Ihren Seiten entfernen, Sie müssen die Anwendung allerdings datenschutzkonform gestalten, indem Sie den Usern die Gelegenheit geben, der Datenerhebung einzuwilligen noch bevor das Plugin aktiv ist. Möglich ist dies durch ein Double-Opt-in: mit zwei Klicks bestätigt der User, dass er einverstanden ist, von dem sozialen Netzwerk getrackt zu werden. Dann ist das Plugin z.B. beim Besuch der Seite zunächst ausgegraut. Während des Opt-In-Verfahrens bestätigt der User die Datenschutzbestimmungen von Facebook, Twitter o.ä. und erklärt sich einverstanden, dass seine Daten durch Drittanbieter erfasst werden. Bewusst kann sich der User nun dafür entscheiden, dass seine Daten verwendet werden dürfen und das Plugin aktivieren. Es gibt diverse Anwendungen, die Ihre Social Media Plugins datenschutzkonform gestalten. Bitte erwähnen Sie den Drittanbieter, z.B. Twitter oder Facebook, in ihren Datenschutzbestimmungen! Normale „Share“-Buttons erzeugen übrigens nur einen Link zum Teilen, erheben aber keinerlei Daten Ihrer Nutzer. „Share“-Buttons sind somit datenschutzkonform.
Google Analytics und die DSGVO
Weitere Dienste, bei denen Drittanbieter über Ihren Internetauftritt personenbezogene Daten sammeln, sind Webanalyse-Tools wie Google Analytics oder Piwik. Solche Tools analysieren das Verhalten der Website-Besucher und sind ein wichtiges Werkzeug im Online-Marketing. Dazu erheben Google Analytics und Piwik personenbezogene Daten wie die IP-Adressen Ihrer User. Vergessen Sie dabei nicht, dass Google ein Drittanbieter ist. Erwähnen Sie dies also auch wieder unbedingt in Ihren Datenschutzbestimmungen. Des Weiteren müssen Sie durch Anonymisierung die IP-Adresse und andere personenbezogene Daten Ihrer User schützen. Durch dieses Verfahren sind die Daten nicht länger personenbezogen und können in dieser anonymisierten Form an Drittanbieter weitergegeben werden. Zusätzlich können Sie ein Opt-In -Verfahren anwenden, so dass User der Datenanalyse einwilligen können. Machen Sie Ihre Webanalyse in jedem Fall datenschutzkonform und gewinnen Sie weiter Erkenntnisse aus dem Nutzerverhalten auf Ihrer Website.
TYPO3 Extensions und die DSGVO
Als Inhaber einer TYPO3-Website sollten Sie in jedem Fall alle eingesetzten Extensions prüfen oder prüfen lassen. Gegebenenfalls müssen organisatorische und technische Maßnahmen ergriffen werden, die sicherstellen, dass die Datenschutzvorschriften eingehalten werden. Nicht alle Extensions gehen grundsätzlich korrekt mit personenbezogenen Daten um. Newsletter-Extensions beispielsweise, die Newsletter nicht nur versenden, sondern auch deren Abonnenten verwalten, arbeiten mit personenbezogenen Daten. Meldet sich ein Abonnent vom Mailing ab, müssen seine Daten in der Datenbank der Extension dauerhaft gelöscht werden, da das Recht auf Löschung besteht. Überprüfen Sie, ob dies die Extension wirklich tut oder ob der Datensatz in der Datenbank nur als gelöscht markiert wird.
Machen Sie Ihre Website datenschutzkonform
Nachhaltige Digitalisierung bedeutet für uns, dass wir technisch und rechtliche sichere Webseiten planen, gestalten und umsetzen. Wir können prüfen, welche Extensions oder Plugins zum Einsatz kommen und wir wissen, wie sich diese Anwendungen verhalten. Wir kennen die rechtssicheren Social Media Plugins und wir können Google Analytics und Piwik korrekt konfigurieren. Als Internetagentur für nachhaltige Digitalisierung unterstützen wir Sie aktiv dabei, Ihre Webseite datenschutzkonform zu machen.
Sprechen Sie uns an, damit wir Ihre Website datenschutzkonform machen können.
