Bildnachweis: ©istockphoto.com/Alex5550
Technik , , , 25. August 2017

Datenschutz-Grundverordnung (DSGVO) für Webseitenbetreiber

Ab dem 25. Mai 2018 wird die neue EU Datenschutz Grundverordnung (EU-DSGVO) ausnahmslos in Kraft treten. Mit der neuen Verordnung macht sich Unsicherheit bei vielen Webseitenbetreibern breit.
Was muss nun beachtet werden, um nicht in die Abmahnfalle zu geraten?

Welche Strafen drohen?

Bei Verletzung der Pflichten aus der DSGVO sind Sanktionen von bis zu 20 Millionen Euro oder
4 % des weltweiten Konzernjahresumsatzes möglich. Der höhere Betrag ist dabei maßgeblich.

Das Risiko der Ahndung von Verstößen steigt ab 2018, da damit zu rechnen ist, dass nationale Datenschutzbehörden ihr Personal aufstocken werden.

Zudem werden Verbraucherschutzverbände berechtigt sein, die Rechte Betroffener wahrzunehmen, als auch in eigenem Namen datenschutzrechtliche Verstöße geltend zu machen.

Welche Anforderungen werden durch die DSGVO gestellt?

Die EU Datenschutz Grundverordnung (DSGVO) oder auch General Data Protection Regulation (GDPR) regelt weitaus mehr als nur die Erfassung personenbezogener Daten auf Webseiten.

In diesem Beitrag wollen wir uns auf die relevanten Elemente für Webseiten-, Blog- und Shopbetreiber beschränken.

Brauche ich einen Datenschutzhinweis?

Sofern es sich nicht um eine rein private Seite handelt, auf der nur Bilder für Freunde und Verwandte angeboten werden, ist eine Datenschutzerklärung notwendig.
Der Nutzer hat Anspruch auf klare und leicht verständliche Informationen darüber, wer seine Daten zu welchem Zweck wie und wo verarbeitet.

Wichtig ab 2018: Die Datenschutzerklärung muss eine individuelle Ausgestaltung vorweisen. Je nachdem ob und wie personenbezogene Daten erhoben werden. Somit muss nun auch auf den Einsatz externer Dienste, wie zum Beispiel Facebook und Google, hingewiesen werden, sofern diese durch den Aufruf der Website personenbezogene Daten erheben.

Wo muss der Datenschutzhinweis stehen?

Die Möglichkeit den Datschutzhinweis über einen Link zu erreichen sollte schon über den ersten Screen – also den Webseitenbereich, der beim Laden zuerst zu sehen ist – erreichbar sein.

Dies ist sicherlich nicht explizit so in der Verordnung verankert, kann aber sicherlich bei einer Prüfung positiv ausgelegt werden.

Brauche ich einen Cookiehinweis?

Sofern Cookies auf der Webseite, dem Blog oder einem Shop zu Marketingzwecken Verwendung finden ist ein Hinweis unbedingt erforderlich.

Viele der heute eingesetzten Content Management Systeme (WordPress, TYPO3, Drupal) nutzen standardmäßig Cookies ein, um den Nutzer über den Auftritt zu „identifizieren“.

Von daher ist der pauschale Einsatz eines Cookie-Banner angeraten. Dieser sollte deutlich beim ersten Aufruf der Webseite zu sehen sein.

Doch auch hier ergeben sich neue Fallstricke: Das Cookie-Banner darf nicht so eingebunden sein, dass dieser Pflichtangaben wie zum Beispiel den Link zum Impressum verdeckt. Meist werden die Cookie-Banner von Seitenbetreibern unten in der Seite eingebunden, wo oft auch das Impressum und die Datenschutzerklärung verlinkt sind.

Welche Daten darf ich erfassen?

Die Zweckgebundenheit bei der Verarbeitung personenbezogener Daten besteht seit jeher im Bundesdatenschutzgesetz (BDSG).

Wichtig ab 2018: Betreiber verpflichten sich zur Verwendung möglichst datenschutzfreundlicher Voreinstellungen.
Die Schlagworte „Privacy by Default“ und ebenso „Privacy by Design“ fordern neuerdings explizit, dass bei der Erfassung und/oder Verarbeitung die Abläufe (z.B. Eingabefelder, Auswahloptionen,..) so gestaltet werden oder voreingestellt werden, dass die Datenschutzbestimmungen eingehalten werden.

Wessen Daten darf ich erfassen?

Mit Eintritt der DSGVO im Mai 2018 ist eine datenschutzrechtliche Einwilligung erst ab 16 Jahren möglich.
Damit soll Teenagern die Anmeldung bei Internetdiensten wie Facebook und Instagram künftig deutlich erschwert werden.
Aktuell ist in der DSGVO nicht geregelt, wie eine Überprüfung diesbezüglich zu erfolgen hat.

Was ist bei Google Analytics zu beachten?

Grundsätzlich muss auf den Einsatz von Google Analytics und die Erfassung der persönlichen Daten im Datenschutzhinweis hingewiesen werden. Hier muss auch die Möglichkeit eines Widerrufs hinterlegt werden.

Natürlich muss auch weiterhin dafür Sorge getragen werden, dass der Google Programmcode die IP-Adressen nur gekürzt erfasst (Anonymisierungsfunktion).

Zudem sollte erst eine statistische Erfassung durch Google erfolgen, nachdem der Vertrag zur Auftragsdatenverarbeitung mit dem Dienstanbieter abgeschlossen wurde.

Darf ich Social Media Elemente auf der Webseite verwenden?

Bei dem Einsatz von Social Media (z. B. Facebook Timeline, Twitter Ffeed, LikeButtons) ist sicherzustellen, dass keine Daten des Webseitenbesuchers ohne dessen Zustimmung erhoben werden.

Auf die Verwendung von Social Media Angeboten und die Art des verwendeten Social Plugins (z. B. Like Button, Share Button, Custom Audiences etc.) ist im eigenen Datenschutzhinweis zu informieren. Gleichzeitig muss hier auf die Widerrufmöglichkeiten hingewiesen werden.
Gegebenenfalls ist sogar die „aktive“ Einwilligung des Besuchers notwendig. Dies sollte vor der Verwendung mit dem Datenschutzbeauftragten geklärt werden.

Darf ich Google Fonts verwenden?

Sofern die Schriftdateien von Google Fonts heruntergelden und lokal auf dem eigenen Server vorgehalten werden, spricht nichts gegen die Verwendung.

Doch sobald die Schriften zur Laufzeit direkt vom Google Server abgerufen werden, sollten Sie auf deren Verwendung in Ihrer Datenschutzerklärung hinweisen.
Google registriert jegliche Nutzung Ihrer Webseite bei der Einbindung der Fonts vom Google Server. Dazu gehört auch zum Beispiel die IP Adresse des Nutzers.

Gilt die DSGVO auch, wenn meine Webseite im Ausland liegt?

Sofern vom Unternehmen Produkte bzw. Dienste auf dem europäischen Markt angeboten werden, sind auch die Vorgaben des europäischen Datenschutz verbindlich zu berücksichtigen.

Fazit

Unternehmen sollten die weitere Entwicklung der DSGVO unbedingt beobachten. Aktuelle Vorgaben sollten durch die Unternehmen frühzeitig umgesetzt werden.

Hierzu sollte die fachliche Expertise des Datenschutzbeauftragten des Unternehmens herangezogen werden.

Links

Quelle:
Bei der Erstellung dieses Artikels wurde die Präsentation „Haftungsrisiko Blog: Datenschutz, Links und andere juristische Fallstricke„ von Herrn Dr. Johannes Struck der Brödermann Jahn Rechtsanwaltsgesellschaft mbH („Rock the Blog“ – CeBIT vom 24.03.2017) zugrunde gelegt.
http://www.german-law.com

Hinweis:
Dieser Artikel stellt keine rechtliche Beratung dar. Bei Fragen empfehlen wir die Einbeziehung eines Datenschutzbeauftragten bzw. Rechtsbeistands.

Über den Autor

Vom Kaufmann über die Landschaftsarchitektur gestalte ich nun den großen Garten des Internets.Für die VisionConnect GmbH arbeite ich im Webdevelopment Bereich an den Möglichkeiten und Visionen des digitalen Zeitalters. Für Marketing und Innovation bin ich immer zu haben und stehe mit meinen Erfahrungen unseren Kunden bei ihren Projekten zur Seite.