Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung. Dadurch wird sich vieles in Sachen Datenschutz bei Websites, sowie hinsichtlich der Dokumentation von Datenverarbeitung in Unternehmen ändern. Daher raten wir jedem Unternehmen, sich mit dem Thema genauer zu befassen. Das gilt es unter Anderem für Websites und Webshops zu beachten.
Information:
Wir sind kein Rechtsexperten, sondern Software-Entwickler. Dieser Artikel soll für das Thema sensibilisieren und kann keine individuelle Rechtsberatung ersetzen.
Die EU Datenschutz Grundverordnung (DS-GVO) oder in der internationalen Form die General Data Protection Regulation (GDPR) regelt weitaus mehr als nur die Erfassung personenbezogener Daten auf Internetseiten. Es geht auch über Protokollierungen von Abläufen innerhalb eines Unternehmens, Protokollierungen von Backup-Prozessen und vieles mehr.
Dieser Blog reißt nur Themen an, die für Betreiber von Web- und Shop-Seiten wichtig sind.
Bei fahrlässiger oder vorsätzlicher Verletzung der Pflichten aus der DS-GVO sind Sanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten Konzernjahresumsatzes möglich; der höhere Betrag ist dabei maßgeblich.
Zudem kann es zu zusätzlichen Schadensersatzansprüchen der betroffenen Personen kommen.
Wir denken, dass das Risiko der Ahndung von Verstößen ab 2018 erheblich steigt. Nationale Datenschutzbehörden haben bundesweit ihr Personal aufgestockt und die Mitarbeiter werden an ihrer Daseinsberechtigung arbeiten.
Es ist weiter damit zu rechnen, dass auch Wettbewerber durch die DS-GVO Schaden bei Ihrer Konkurrenz anrichten können. Die Beispiele aus der eingeführten Impressumspflicht, Bildrechte-Recherchen, falschen Facebook-Like-Buttons u.v.m. lassen da keinen Zweifel. Hier hat sich eine ganze Abmahnindustrie gebildet, die mit automatisierten Suchprogrammen im Internet nach potenziellen Verstößen recherchiert.
Hinzu kommt die Beweislastumkehr: Unternehmen sind mit dem neuen Gesetz in der Pflicht, nachzuweisen, dass der Schaden nicht durch sie entstanden ist. Verbraucherschutzverbände werden ab dem 25. Mai 2018 berechtigt sein, die Rechte Betroffener wahrzunehmen. Sie können aber auch in eigenem Namen datenschutzrechtliche Verstöße geltend machen.
Seit einigen Jahren haben unsere Kunden schon einen Datenschutzhinweis in ihrem Internetangebot. Dabei handelt es sich um eine Information für den Besucher über den Betreiber, welche Daten auf der Webseite gesammelt werden und ob bzw. welche weiteren Analyse-Programme zum Einsatz kommen. Darüber hinaus informiert die Seite darüber, welche Daten anonym und welche Daten personenbezogen gespeichert werden. Der Besucher findet auch Informationen, wie er seine Daten beim Seitenbetreiber wieder löschen kann.
Die alten Datenschutzhinweise reichen für die Änderungen durch die neue Datenschutz-Grundverordnung (DS-GVO) ab dem 25. Mai 2018 nicht mehr aus!
In der Regel: Ja. Natürlich gibt es Ausnahmen, wie zum Beispiel rein privat betriebene Seiten, sofern sie keine privaten Daten von Freunden erheben. Doch wir sehen diesen Korridor als sehr schmal an. Denn schon die Sammlung von IP-Adressen, wie sie bei jeder Surfverbindung zwischen Website und Besucher aus technischen Zwängen erfolgen muss, wurde schon richterlich als Sammlung von privaten Daten eingestuft.
Generell hat jeder Nutzer das Recht zu erfahren, zu welchem Zweck seine personenbezogenen Daten benötigt werden und an welchem Ort die Daten gespeichert und (wie) verarbeitet werden. Die betroffenen Personen sollen sogar bereits zum Zeitpunkt der Erhebung darüber informiert werden. Bei einem Kontaktformular muss diese Information z.B. hinzugefügt werden.
Daher raten wir jedem Website-Betreiber, im besonderen Betreiber von kommerziellen Webseiten, zu einer Datenschutzerklärung.
Der Datenschutzhinweis muss mit maximal 2 Mausklicks vom Besucher erreichbar sein. Aus rechtlicher Sicht ist er ideal platziert, wenn sich der Hinweis im zuerst geladenen Bereich der Website befindet (meist das obere Drittel der Internetseite). Er darf sich aber auch weiter unten befinden, sofern die 2-Klick-Regel eingehalten wird.
Viele Internetseiten zeigen beim Erstbesuch schon einen Cookie-Hinweis mit einem Link zum Datenschutzhinweis. Das empfehlen wir auch in Zukunft einzusetzen. Denn fast alle Shop-, Redaktions- und Content Management Systeme (TYPO3, WordPress, Drupal, Magento, Shopware) verwenden Cookies, um den Besucher auf der Website individuell zu identifizieren (z.B. für den eigenen Warenkorb).
Der Cookie-Banner sollte beim ersten Aufruf der Website deutlich sichtbar sein und darf dabei nicht den Impressum-Link verdecken! Mehr zum Thema erfahren Sie in unserem Blog-Beitrag zur Umsetzung der Cookie-Richtlinien.
Hier gilt der Grundsatz "nur so viel wie nötig". Es dürfen nur die Daten erfasst werden, die für die Nutzung des Dienstes wirklich notwendig sind. Sie müssen als Internetseiten-Betreiber zudem sicherstellen, dass Ihr Webangebot mit einem datenschutzfreundlichen Internetbrowser prinzipiell verwendet werden kann. Zwar nicht mit dem Bedienkomfort, aber Ihre Seite muss damit erreichbar sein.
Denken Sie außerdem daran, dass sie personenbezogene Daten vor dem Zugriff Dritter schützen müssen. Das gilt auch für den Datentransfer zwischen Server und Browsers des Besuchers. Wir empfehlen daher, unbedingt ein SSL-Zertifikat für das gesamte Internetangebot einzusetzen. Positiver Nebeneffekt: Google belohnt Website mit einem SSL-Zertifikat durch eine bessere Bewertung und damit bessere Platzierung in den Suchergebnissen.
Ab dem 25. Mai 2018 ist eine datenschutzrechtliche Einwilligung erst ab dem vollendeten 16. Lebensjahr möglich. Ansonsten ist eine Einwilliigung eines Erziehungsberechtigten einzuholen. Wie das in der Praxis auzusehen hat, ist bisher vom Gesetzgeber nicht beschrieben.
Sofern mindestens zehn Personen im Unternehmen mit personenbezogenen Daten arbeiten, muss ein Datenschutz-Beauftragter benannt werden. Die Fachkunde muss dabei sichergestellt sein, z.B. durch die nachgewiesene Teilnahme an entsprechenden Fortbildungsveranstaltungen. Für Unternehmen, die keinen expliziten Datenschutzbeauftragen benennen müssen, kann der Geschäftsführer diese Aufgabe selbst übernehmen.
Falls es einen Datenschutz-Beauftragten gibt, muss dieser auf der Website explizit genannt und eine Kontaktmöglichkeit vorhanden sein, am besten mit der E-Mail-Adresse. Wenn es keinen benannten Datenschutz-Beauftragten gibt, sollte dennoch eine Kontaktmöglichkeit auf der Datenschutz-Seite hinzugefügt werden.
Grundsätzlich muss auf die Verwendung von jedem Analyse-Tool und die personenbezogene Datenerhebung im Datenschutzhinweis namentlich hingewiesen werden. Hier muss auch die Möglichkeit eines Widerrufs gegeben sein. In der Regel erfolgt diese mit einem "Opt-Out-Cookies". Beachten Sie die "Privacy by Default" Grundeinstellung. Die IP-Adressen sollten natürlich gekürzt und ein ADV-Vertrag (zukünftig AV-Vertrag) mit dem Dienstanbieter sollte vorliegen.
Das Einbinden von Social-Media-Komponenten, z.B. über die Facebook-Aktivitäten, sollte wohlüberlegt erfolgen. Durch das Einbinden dieser Komponenten mittels "iframe" werden ungefragt personenbezogene Daten Ihres Website-Besuchers an den Betreiber des Services weitergereicht. Der Social-Media-Anbieter setzt zudem ungefragt einen Cookie im Browser Ihres Besuchers. Das kann bereits für eine Abmahnung ausreichen.
Die einzige Möglichkeit, diese zu umgehen, ist eine manuelle Aktivierung des Plugins durch den Benutzer, wobei er vorher über die Folgen der Aktivierung genau aufgeklärt wird.
Nehmen Sie die neuen Datenschutzregelungen nicht auf die leichte Schulter, sondern überprüfen Sie die notwendigen Änderungen auf Ihrer Website und in der Organisationsstruktur Ihres Unternehmens. Ansonsten können empfindliche Strafen die Folge sein.
Wir empfehlen jedem Unternehmen, auch wenn es keinen Datenschutzbeauftragten haben muss, einen mit dem Thema gut vertrauten Mitarbeiter abzustellen. Denn auch die Behörden werden bei Unternehmensprüfungen auf diese Thema schauen. Für diesen Zweck sind öffentliche Gelder zur Verfügung gestellt worden, die von nahezu jedem Bundesland abgerufen werden können.
Die erheblich erhöhten Strafzahlungen werden eine weitere Motivation zur Kontrolle darstellen. Hinzu kommt die erhöhte Gefahr einer Abmahnung, die durch einen Wettbewerber angestoßen werden kann.
All das sind genug Gründe, sich dem Thema des verschärften Dateschutzes im Unternehmen und auf Ihrer Website intensiver zu widmen.
Sie brauchen Informationen, wie wir Ihre personenbezogenen Daten behandeln, sichern, neu aufspielen (z.B. nach Hardware-Schaden) und vor dem Zugriff Dritter schützen?
Sie benötigen einen Vertrag zur Auftragsdatenverarbeitung gemäß § 11 BDSG bzw. den Vertrag i.S.d. Artikel 28 der Verordnung (EU) 2016/679 DSGVO von uns?
Schreiben Sie uns einfach eine E-Mail an datenschutz@softpearls.de