Categories:> How-to, Onlinemedien

DSGVO – Ein Überblick

 

Alle sind in heller Aufregung, treibt doch die neue EU-Datenschutzgrundverordnung (DSGVO) Webseitenbetreiber Schweißperlen auf die Stirn. Was muss noch umgesetzt werden? Ab wann tritt die Verordnung konkret in Kraft? Fragen über Fragen und Unsicherheiten beschäftigen die Online-Welt im Bezug auf die DSGVO. Hier soll ein kleiner Überblick geboten werden, der diese Sorgen besänftigen soll. Vorneweg ersetzt dieser Beitrag keine professionelle Rechtsberatung, sondern schildert nur die wichtigsten Aspekte der DSGVO aus einem persönlichen Blickwinkel.

 

Die DSGVO – Erläuterung

 

Die EU Datenschutzverordnung, kurz: DSGVO, ist eine Vorschrift der Europäischen Union zum einheitlichen Schutz personenbezogener Daten. Diese Verordnung ersetzt weitestgehend die in den jeweiligen Mitgliedsstaaten bestehenden Datenschutzverordnungen, in Deutschland das Bundesdatenschutzgesetz (BDSG) und zum Teil das Telemediengesetz (TMG).

 

Wann gilt die Verordnung?

 

Stichtag ist der 25. Mai 2018

Ab diesem Tag tritt die DSGVO bindend in Kraft. Bereits seit dem 25. Mai 2016 besteht die DSGVO, wobei es sich bisher um eine Übergangsfrist gehandelt hat, die diesen Mai abläuft. Da es sich um eine EU-Verordnung handelt, muss diese im Gegensatz zur EU Richtlinie nicht in nationales Recht überführt werden. Die DSGVO bietet jedoch den einzelnen EU Staaten in einigen Bereichen gewisse Gestaltungsräume, sodass nie eine einheitliche Rechtslage in den Mitgliedsländern erreicht wird.

 

Wen betrifft die DSGVO?

Verdutzte Eule

Jeden, der personenbezogene Daten verarbeitet. Ob der Online Shop oder der kleine Gartenverein, alle die mit personenbezogenen Daten zu tun haben, müssen die neue EU Datenschutzverordnung umsetzen. Um personenbezogene Daten handelt es sich dabei nicht nur um Name, Nachname oder E-Mail-Adresse des Nutzers, sondern auch um IP-Adressen, Browserkennungen, Cookies usw.

Was ändert die DSGVO für den Webseitenbetreiber?

 

Im Grunde ist durch das Bundesdatenschutzgesetz (BDSG) bereits vieles Gang und Gebe und wird bereits größtenteils umgesetzt. In der DSGVO geht es mehrheitlich um die Details wie Kundendaten weiterverarbeitet werden. Beispielhaft sollen hier die wichtigsten Änderungen der gängigsten Webseiteninhalte betrachtet werden.

  • Newsletter
  • Kontaktformular
  • Datenschutzerklärung
  • Social Media Plugins
  • Cookies

Nach diesen Grundsätzen gilt die DSGVO

 

Verbot mit Erlaubnisvorbehalt
Es ist grundsätzlich verboten personenbezogene Daten zu nutzen, zu erheben oder zu verarbeiten. Eine Erlaubnis diese zu nutzen entsteht durch das Einverständnis der betroffenen Person oder durch das Gesetz (BDSG;DSGVO).


Datensparsamkeit und Zweckbindung
Es werden nur die Daten verarbeitet, die auch tatsächlich benötigt werden und nur zu einem bestimmten Zweck erhoben.


Datensicherheit
Überall wo personenbezogene Daten erfasst werden, werden entsprechende Schutzmaßnahmen nötig. Das bedeutet den Einsatz von SSL auf Seiten mit Kontaktformularen.


Rechenschaftspflicht
Zum Nachweis gegenüber Aufsichtsbehörden der Umsetzung des Datenschutzrechts ist ein Datenschutzmanagement und die Dokumentation dessen vorzuweisen.

 

Handlungsempfehlungen zur Umsetzung der DSGVO

 

Newsletter


Hier ist als Pflichtfeld nur die E-Mail-Adresse relevant. Alle anderen Daten werden ausschließlich auf freiwilliger Basis des Nutzers angegeben.


Ein aktuelles Corrigendum der DSGVO beinhaltet folgende Passage:


„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“


Das „grundsätzlich“ wurde nun entfernt und das könnte Folgen für das gängige Newsletter Formular haben. Fraglich bleibt damit, ob weitere Daten als die E-Mail-Adresse abgefragt werden dürfen, da ansonsten gegen Art. 25. DSGVO verstoßen werden könnte. Das bisherige „grundsätzlich“ hat nämlich noch den Spielraum für das Erheben der freiwilligen Daten gewährt. Das ist nun rein spekulativ, weil die Interpretation des Textes auch auf diese Schlussfolgerung hinauslaufen kann.

Kontaktformulare


Das Kontaktformular sollte über SSL gesichert werden, da hier personenbezogene Daten erhoben werden. Alle bis auf die E-Mail-Adresse sind nur freiwillig anzugebene Daten.

Datenschutzerklärung


Nach Art. 13 Abs. 1 DSGVO ist eine exakte Auflistung der Informationspflicht in der Datenschutzerklärung nötig:

  • Name & Kontaktdaten des Verantwortlichen und ggf. dessen Vertreters
  • Kontaktdaten des Datenschutzbeauftragten
  • Rechtsgrundlage und Zwecke wofür die personenbezogenen Daten erhoben und verwendet werden.
  • Wenn zutreffend die Empfänger der personenbezogenen Daten.

Social Media Plugins


Diese sollten nicht genutzt werden, sondern nach Möglichkeit Verlinkungen zu den Social Media Portalen. Auf diese Weise wird der Datenaustausch verhindert und erst wenn der Nutzer sich auf der Social Media Plattform einloggt, liegt die Informationspflicht dann bei der jeweiligen Social Media Plattform.

Cookies


Die Cookie-Bar ist mittlerweile allgegenwärtig, aber steht sie auch im Einvernehmen mit der DSGVO? In der DSGVO findet sich nichts zu so genannten pseudonymisierten Daten. Deshalb gilt das gleiche wie für personenbezogene Daten, also beim Verbot mit Erlaubnisvorbehalt. Art. 6 DSGVO bietet dabei eine Lösung.

Die Verarbeitung ist dann rechtmäßig: „Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (ff)“ Es kommt also darauf an: Gibt es ein berechtigtes Interesse des Online-Händlers? Sind Cookies zur Wahrung dieses Interesses erforderlich? Überwiegen die Interessen der betroffenen Personen am Schutz Ihrer Daten dem Interesse des Online-Händlers?

Ok cool!
Im Interesse des Online-Händlers ist es, die Nutzerfreundlichkeit seiner Webseite stetig zu verbessern, was auch im Interesse des Webseitenbesuchers liegt, der von der optimierten Gestaltung profitiert. Werden zusätzlich nur pseudonyme Daten genutzt ist dabei der Schutz der personenbezogenen Daten weniger tiefgreifend. Damit wäre die Einwilligung des Nutzers nicht nötig und auch keine Cookie-Bar. Mit der ePrivacy-Verodnung der Europäischen Union kann sich das nochmals ändern. In dieser Verordnung, die sich noch im Entwurf befindet, werden die Inhalte aus der Cookie-Richtlinie im Einvernehmen mit der DSGVO neu geregelt.

Fazit


Im Allgemeinen gibt es für Webseitenbetreiber in Deutschland nur noch wenig Handlungsbedarf, da weitestgehend durch das Bundesdatenschutzgesetz bereits viele Punkte geregelt sind. Wie so oft kommt es bei der DSGVO auf die Details an. Bei Unklarheiten ist immer ein juristischer Rat wichtig und kann helfen das Wirrwarr um die DSGVO zu lösen.

Teilen

Ihr Kommentar