Die neue DS-GVO als Website-Betreiber umsetzen
Der 25. Mai 2018 ist für alle europäischen Website-Betreiber und diejenigen, die mit Daten von EU-Bürgern in Kontakt kommen, ein wichtiges Datum. Denn dann tritt die neue EU-Datenschutzreform, kurz DSGVO, in Kraft. Das Ziel der Reform: europaweit einheitliche Datenschutzbedingungen zu schaffen. Hier ein Überblick über die Datenschutznovelle und Tipps, wie Sie sie auf Ihrer Website umsetzen.
Die Novelle birgt viel Diskussionsstoff. Experten sehen sie zwar als nötig an, da sie ein abschließendes Regelwerk für den europaweiten Datenschutz schafft. Allerdings finden sich an vielen Stellen Grauzonen, die keine finale Rechtssicherheit geben. Vor allem, weil die Reform so umfassend ist, dass kaum jemand durchblickt. Trotzdem sollten Sie sich schnellstmöglich daran machen, Ihre Website „DSGVO-dicht“ zu gestalten. Denn bisherige Datenverarbeitungen und Einwilligungen sind ab dem 25. Mai nur gültig, wenn sie der DSGVO entsprechen.
Kurze Einführung in die EU-DSGVO
Erst einmal: Das Ziel der Datenschutz-Reform ist es, europaweit einheitliche Rahmenbedingungen zu schaffen. So soll eine größere Rechtssicherheit beim Umgang mit personenbezogenen Daten entstehen, um mit Daten achtsamer umzugehen. Die Verordnung betrifft jeden Website-Betreiber, der mit personenbezogenen Daten arbeitet, vom Konzern bis zum Einzelunternehmen.
Zwei Seiten der Medaille: wirtschaftliche und persönliche Interessen gleichermaßen im Blick
Obwohl die DSGVO zwar erhöhte Pflichten und hohe Bußgelder bei Verstoß mit sich bringt, berücksichtigt sie auch wirtschaftliche Interessen. So erschwert sie auf der einen Seite die Einholung einer Einwilligung, verpflichtet zur Datenportabilität und stellt klar, dass pseudonyme Cookies und IP-Adressen als „Online-Kennungen“ personenbezogene Daten sind.
Allerdings schreibt sie auf der anderen Seite den freien Verkehr von Daten und damit wirtschaftliche Interessen im Artikel 1 fest. Das Abwägen zwischen berechtigten wirtschaftlichen Interessen und dem Schutz von Personendaten wird zum entscheidenden Aspekt der zukünftigen gesetzlich erlaubten Datenverarbeitung.
Die Theorie der DSGVO: die Key-Facts
Basis der neuen Regelungen sind die bisherigen Grundprinzipien des Datenschutzes. Sie lauten:
„Jede Datenverarbeitung muss rechtmäßig erfolgen, anhand vorab festgelegter Zwecke, transparent, in möglichst geringem Umfang und soll die Daten vor unberechtigter Veränderung sowie Verlust schützen.“
Im Detail gehören zu den Grundsätzen für die Verarbeitung personenbezogener Daten laut Art. 5 DSGVO u.a. zudem:
- Rechtmäßigkeit: Sie dürfen Daten nur entsprechend dem Gesetz verarbeiten.
- Transparenz: Betroffene müssen die Verarbeitung ihrer Daten nachvollziehen können, was vor allem eine verständliche und vollständige Datenschutzerklärung erfordert. Die Informationspflichten wurden mit Art. 13 und 14 DSGVO erhöht.
- Verbot mit Erlaubnisvorbehalt: Das bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer wenn sie per Gesetz erlaubt wurde.
- Zweckbindung: Das Gebot der Zweckbindung soll dafür sorgen, dass Daten nur für den vereinbarten Zweck verarbeitet werden. Sie müssen also im Vorfeld definieren, wofür Sie Daten nutzen möchten. Dies wird dann dokumentiert. Eine nachträgliche Zweckänderung ist nur möglich, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art 6 Abs. 4 DSGVO).
- Datenminimierung und Speicherbegrenzung: Unternehmen dürfen nur die Daten erheben, die sie für den jeweiligen Zweck brauchen. Daten auf Vorrat zu speichern, ist verboten. Eine Identifizierung der Personen darf nur solange ermöglicht werden, wie es für den entsprechenden Zweck nötig ist. (Art. 5 Abs. 1 lit. c und e DSGVO).
- Integrität und Vertraulichkeit: Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.
Privacy by Design und Privacy by Default per Gesetz festgeschrieben
Neu zu den genannten Grundprinzipien kommen im Artikel 25 DSGVO die Prinzipien „Privacy by Design“ und „Privacy by Default“ hinzu. „Privacy by Design“ bedeutet, dass Datenschutzmaßnahmen bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden müssen. „Privacy by Default“ meint, dass zum Beispiel die Voreinstellungen bei Geräten oder bei Onlineplattformen standardmäßig die höchste Datenschutzstufe haben sollen.
Sie müssen jederzeit Nachweise über Ihre Datenverarbeitungsprozesse führen und belegen, dass deren Zwecke, Art und Umfang und risikomindernde Maßnahmen wie „Privacy by Design“ dokumentiert und die Zulässigkeit geprüft worden sind. Denn eine der weitreichendsten Änderungen ist die Umkehr der Beweislast. So müssen Behörden nicht mehr Verstöße gegen den Datenschutz nachweisen, sondern Sie müssen als Unternehmen belegen, dass Sie die Regeln einhalten – eine 180-Grad-Wende.
DSGVO: Die Praxis für Website-Betreiber
Da es sich bei der DSGVO vor allem um den Schutz personenbezogener Daten handelt, ist erst einmal wichtig, zu definieren, welche Daten bei Ihnen auf der Website verarbeitet werden. Das können sein:
- Vorname, Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstage, Kontoverbindungen etc.
- Online-Kennungen, wie zum Beispiel Standortdaten, IP-Adressen, Cookies etc.,
Genau diese Erweiterung der Personendaten betrifft die meisten Website-Betreiber, auch wenn sie keine Onlineshops haben. Fast jede Website ist somit von der DSGVO betroffen, wenn
- IP-Adressen von Website-Besuchern übermittelt und gespeichert werden.
- sie über eine Kommentarfunktion mit E-Mail-Angabe verfügt.
- Besucher auf Ihrer Webseite Seiten oder Beiträge kommentieren können. Dann werden E-Mail-Adressen und Benutzernamen/Nicknames auf Ihrer Seite gespeichert.
- sie Kontaktformulare enthält.
- sich Ihre Leser für einen Newsletter anmelden können.
- Sie mit Tracking und Cookies das Nutzerverhalten analysieren.
- Sie Social Media Plugins nutzen, die nicht datenschutzkonform sind. (Shariff Wrapper wäre hier eine gute Variante zum Erstellen von datenschutzkonformen Teilen-Buttons)
Der 8-Schritte-Plan zur Umsetzung der EU-DSGVO auf Ihrer Website
1. Aktualisieren Sie Ihre Datenschutzerklärung!
Sie müssen darin unter anderem über folgende Aspekte Auskunft geben:
- alle Zwecke der Datenverarbeitung,
- den Namen und Kontaktdaten des Verantwortlichen und auch des Datenschutzbeauftragten,
- die gesetzliche Legitimation für die Datenverarbeitung,
- die Empfänger der Daten,
- die Speicherfrist oder Kriterien, um die Frist zu bestimmen,
- die Absicht, die Daten an Dritte weiterzugeben, ev. auch in einem Drittland oder international,
- die Rechte auf Auskunft, Löschung usw. und
- das Beschwerderecht bei der Datenschutzaufsichtsbehörde.
2. Nutzen Sie ein SSL-Zertifikat und stellen Sie Ihre Website auf HTTPS um!
Was as ist und wie das geht erfahren Sie hier.
3. Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten!
Alle Unternehmer müssen dieses Verzeichnis führen. Ausgenommen sind hiervon lediglich Unternehmen mit weniger als 250 Mitarbeitern, die nur in beschränktem Umfang und unkritische Daten verarbeiten (Art. 30 Abs. 5 DS-GVO).
Ein gutes Beispiel für ein einfaches Verzeichnis gibt wko.at.
4. Schließen Sie mit Google einen Vertrag!
Neben dem verpflichtenden Hinweis auf den Einsatz von Google Analytics sowie einer inkludierten Opt-Out-Möglichkeit müssen Sie einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Die entsprechende PDF-Vorlage finden Sie hier. Den Vertrag drucken Sie zweimal aus und schicken ihn unterschrieben an Google Irland (Adresse im Dokument).
Es gibt aber auch eine einfachere Möglichkeit: Sie können die Vereinbarung direkt in Ihrem Google Analytics Account schließen. Dort gehen Sie in Ihre > Kontoeinstellungen, scrollen bis nach unten und klicken auf „Zusatz anzeigen“. Dann stimmen Sie dem Zusatz zu und speichern alles am Ende der Seite ab.
5. Installieren Sie eine Google-Analytics-Opt-Out-Option!
Die Opt-Out-Funktionalität lässt sich bei WordPress zum Beispiel mit einem Plugin wie GA Opt-Out realisieren, aber auch im Google Analytics Plugin finden Sie unter „Tracking Code“ eine Option dafür. Sinnvollerweise bauen Sie den entsprechenden Code an passender Stelle innerhalb der Datenschutzbestimmungen ein.
6. Anonymisieren Sie die Google Analytics IP!
Wie Sie die IPs anonymisieren, hängt von der Art der Tracking-Code-Einbindung ab. Wer den Tracking-Code direkt einbindet, fügt die Funktion anonymizeIP zu. WordPress Plugins (GA Dashboard for WordPress) verfügen in der Regel über eine entsprechende Option. Die dritte Möglichkeit ist die entsprechende Konfiguration des Tag Managers.
7. Nicht die Kommentarfunktion vergessen!
Ein Hinweis zur Datenspeicherung (idealerweise mit Link auf die Datenschutz-Policy) muss auch an dieser Stelle angebracht werden, obwohl Ihre User freiwillig kommentieren. Mit einer Checkbox, implementiert als Custom Field mit WP Discuz, gehen Sie auf Nummer sicher.
8. Einfach alle personenbezogenen Daten entfernen!
Dieser letzte Tipp ist natürlich eher als Scherz gemeint. Allerdings: Wer Fehlern und Abmahnungen vollkommen aus dem Weg gehen möchte, der entfernt am besten Banner, Analytics Features und Formulare. Gleichzeitig fallen damit auch alle Vorteile weg, die das Online-Marketing bietet. Wenn Sie personenbezogene Daten auf unseren Servern speichern und verarbeiten, dann empfehlen wir Ihnen einen Vertrag zur Auftragsverarbeitung gemäß DSGVO mit uns abzuschließen. Der Vertrag steht Ihnen hier zum Download zur Verfügung.
Übrigens:
Wir empfehlen Ihnen, weniger sensible Personendaten nicht lockerer zu handhaben: Schon nach bisher geltendem Recht müssen Personen der Verwendung zustimmen, allerdings war die Zustimmung bei (Online-)Formularen bereits vorausgewählt. Neu: Dem Speichern auch nicht sensibler Daten müssen User durch eindeutige Handlung zustimmen.
Fazit
Die EU-DSGVO ist umfangreich, so dass Sie schnellstens damit anfangen sollten Ihre Website umzustellen. Denn bei Verstößen oder Unterlassung drohen zum Teil drakonische Strafen, die bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes eines Unternehmens betragen können – je nachdem, welcher Betrag höher ist. Auch wenn die Umsetzung der Datenschutznovelle umständlich ist, nehmen Sie sie ernst, auch als Website-Betreiber ohne Onlineshop und Zahlungsverkehr. Vorteil und Nachteil zugleich: Viele Bestimmungen sind bislang nicht bis ins Kleinste für die Praxis durchdekliniert, sodass erst einschlägige Gerichtsurteile wirkliche Orientierung bieten werden.
Rechtlicher Hinweis!
Dieser Artikel gibt Ihnen einen Überblick über die wichtigsten Punkte der DSGVO. Er ist allerdings kein Ersatz für eine Rechtsberatung. Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen lassen Sie sich am besten von einem Anwalt oder Datenschutzbeauftragten beraten.