Damoklesschwert EU-DSGVO? Das bedeutet die Verordnung für Ihre Website!

Am 25.05.2018 endet eine zweijährige Übergangsfrist und die neue EU-Datenschutzgrundverordnung (EU-DSGVO) verbindlich in Kraft. Doch was bedeutet das eigentlich für Sie als Website-Betreiber? Wir zeigen Ihnen, wie Sie Ihre Website vorbereiten können und beantworten wichtige Fragen:

Worum geht es bei der EU-DSGVO eigentlich genau?

Die neue EU-DSGVO regelt erstmals einheitlich den Umgang mit personenbezogenen Daten innerhalb von Unternehmen die in der Europäischen Union ansässig sind oder Daten von EU-Bürgern verarbeiten. Hierbei ist jedes Unternehmen betroffen, egal ob Kleinstbetrieb oder global agierender Konzern. Die EU-DSGVO macht keine Unterschiede.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die eine Person identifizierbar machen, sei es durch Zuordnung eines Namens, einer E-Mail-Adresse oder auch übermittelter IP-Adressen und Standortdaten. Insofern ist in der heutigen Zeit auch fast jeder Website-Betreiber von der EU-DSGVO betroffen.

Was passiert, wenn Sie sich nicht an die EU-DSGVO halten?

Früher lag das maximale Strafmaß bei einem Bußgeld von bis zu 300.000 Euro für sehr schwere und kontinuierliche Verstöße. Dies wird nun aufgestockt auf bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes. Solche Bußgelder treffen natürlich nicht jeden, geschweige denn sofort, aber man sollte es aus unserer Sicht dennoch nicht riskieren sich angreifbar zu machen.

Die zuständigen Behörden stellen derzeit mehr Personal ein, so dass keineswegs nur die großen Unternehmen auf Einhaltung der Verordnung geprüft werden. Fachanwälte gehen jedoch davon aus, dass bei einer aktiven Mitarbeit auch weiterhin mit Augenmaß gearbeitet wird, wenn es wirklich zu Verstößen kommt.

Was ist zu tun, damit Ihre Website die EU-DSGVO erfüllt?

Die EU-DSGVO gilt nicht nur online, sondern für jede Form der personenbezogenen Datenverarbeitung. Aber als Digitalagentur liegt unser Fokus natürlich auf Ihrer Website. Was sind also die wichtigsten Punkte, die es zu beachten gilt? 

Anpassung Ihrer Datenschutzerklärung

In der Datenschutzerklärung müssen alle Informationen transparent und präzise aufgeführt, gleichzeitig jedoch in einer leicht verständlichen Sprache verfasst sein. Zudem gilt, es die Datenschutzerklärung separat klickbar zu machen. Insbesondere durch die sprachlichen Anforderungen sind sehr viele Datenschutzerklärungen auszutauschen. Da auch wir keine Anwälte sind und nicht anwaltlich beraten dürfen, arbeiten wir mit entsprechenden Experten zusammen.

Verschlüsselung von Formularen

Was bislang bereits oft getan wird, wird ab Ende Mai zur gesetzlichen Pflicht. Formulare zur Übertragung von Daten müssen SSL-verschlüsselt werden. Unsere Empfehlung ist, direkt die komplette Website zu verschlüsseln, da es keinen Mehraufwand darstellt und es zudem positive Auswirkungen auf das Suchmaschinenranking hat. Details zu diesem Thema haben wir in unserem Blog-Beitrag “Ist Deine Website gesichert? SSL-Zertifikate als Teil des Markenvertrauens” betrachtet.

Aktive Einverständniserklärung

Bei der Übertragung von Daten sollte künftig nicht mehr stillschweigend von einem einvernehmlichen Einverständnis zur Datenverarbeitung und -speicherung ausgegangen werden. Um sich nicht angreifbar zu machen, empfiehlt es sich, jegliche Übertragung von Daten, auch wenn diese verschlüsselt ist, aktiv durch den User bestätigen und das Einverständnis speichern zu lassen. Dies ist durch das aktive Klicken auf eine entsprechende Checkbox in Verbindung mit einem Hinweis auf die Nutzung der Daten und der Datenschutzerklärung einfach umzusetzen.

Hierbei ist nach dem Grundsatz der Datensparsamkeit vorzugehen und nur die für den Verwendungszweck wirklich erforderlichen Daten abzufragen und zu verarbeiten.

Cookie-Hinweis

Viele Websites arbeiten mit Cookies, also kleinen Datenschnipseln, die auf dem Computer des Website-Nutzers gespeichert werden, um diesen wiederzuerkennen oder Daten schneller bereitzustellen. Zwar ist es derzeit noch keine gesetzliche Pflicht diesen Hinweis zu setzen, aber da dies 2019 erfolgen wird, empfehlen wir, diesen bereits mit aufzunehmen. Technisch ist ein solcher Hinweis schnell eingebaut.

Datenlöschung und Datenweitergabe ermöglichen

Einem Nutzer steht es offen jederzeit einen Anbieterwechsel oder dergleichen vorzunehmen. Während dies in der Vergangenheit oft hieß, dass man quasi bei Null anfangen muss, ist dies künftig anders. Das Recht auf Datenmitnahme macht es möglich, dass seitens der Website-Betreiber eine Weitergabe von Daten ermöglicht werden muss. Dies heißt aber nicht, dass auf Knopfdruck alles bereit zu stellen ist, sondern dass die Daten in einer angemessenen Zeit in maschinenlesbarer Form bereit gestellt werden müssen.

Zudem gibt es das Recht auf Löschung bzw. Recht auf Vergessenwerden von personenbezogenen Daten, welches durch die Website-Betreiber zu berücksichtigen ist. Besteht ein User auf diese Löschung, muss gewährleistet sein, dass sie vollumfänglich durchgeführt werden kann.

Dokumentation

Mit der EU-DSGVO werden auch neue Anforderungen an die Dokumentationspflichten von Website-Betreibern gestellt, da die Beweispflicht umgekehrt wurde und nun zu jedem Zeitpunkt nachgewiesen werden muss, dass die Verarbeitung der Daten rechtmäßig war.

Die Dokumentation erfolgt in einem erweiterten Verfahrensverzeichnis und weist folgende Punkte auf:  

• Name und Kontaktdaten der Verantwortlichen
• Zweck der Datenverarbeitung
• Beschreibung der betroffenen Personengruppen
• Empfänger der Daten (insbesondere wenn dies Dritte sind)
• geplante Datenübermittlungen an Drittstaaten
• Beschreibung der technischen und organisatorischen Maßnahmen zur Wahrung der EU-DSGVO

Dieses Verzeichnis darf digital geführt werden und ist nicht schwer anzulegen. Es muss lediglich in einem gängigen Format ausgedruckt werden können. Zeit für das Anlegen und die Pflege braucht es natürlich trotzdem.

Die Verarbeitung von Daten sollte auch in einem “Vertrag zur Auftragsverarbeitung” zwischen Kunde und Dienstleister festgehalten werden. Sofern noch nicht geschehen, werden auch wir dies in Kürze an unsere Kunden versenden und da es nur der Textform zu Bestätigung bedarf, reicht eine einfache E-Mail als Antwort.

Datenschutzbeauftragte

Im Rahmen der EU-DSGVO stellt sich immer wieder die Frage, ob nun jedes Unternehmen einen Datenschutzbeauftragten benennen muss (auch in der Datenschutzerklärung). Die Antwort ist: nein, aber die meisten Unternehmen. Die Pflicht zur Benennung eines Datenschutzbeauftragten besteht für Unternehmen dann, wenn zehn oder mehr Mitarbeiter regelmäßig mit der Erfassung oder Verarbeitung von personenbezogenen Daten zu tun haben. Diese Zahl erreicht man je nachdem aber natürlich sehr schnell, weil es keine Rolle spielt, ob dies Mitarbeiter im Vertrieb, der Buchhaltung, im Personalwesen oder an anderer Stelle im Unternehmen sind.

Fazit: Die EU-DSGVO kommt, also heißt es sie umzusetzen

An der EU-DSGVO führt kein Weg vorbei und angesichts der Höhe möglicher Bußgelder lautet unsere Empfehlung, sich mit der Umsetzung zu befassen und gerüstet zu sein für den 25. Mai 2018. Gerne unterstützen wir Sie dabei, die technischen Voraussetzungen zur Einhaltung der EU-DSGVO zu schaffen oder inhaltliche Aspekte zu behandeln. Im Zweifel stellen wir den Kontakt zu Fachanwälten und Datenschutzbeauftragten her, mit denen wir zusammenarbeiten.

Bei Fragen, ob Ihre Website bereits fit ist für die DSGVO, nehmen Sie einfach Kontakt mit uns auf. Wir helfen Ihnen gerne bei der Umsetzung!