Informationsbeitrag: DSGVO für Webseitenbetreiber

Seit Mai 2018 schafft die Datenschutzgrundverordnung einen flächendeckenden Schutz von personenbezogenen Daten in der EU. Für Unternehmen hat die DSGVO drastische Folgen, vor allem in Bezug auf die Kommunikation über die Webseite.

Auch bei uns hat das Thema Datenschutz seit jeher einen wichtigen Stellenwert und zieht sich wie ein roter Faden durch unsere Serviceleistungen. Wir unterstützen unsere Kunden umfangreich in der Erfüllung und Einhaltung der nun in Kraft getretenen DSGVO. Insbesondere im Bereich Datenschutzerklärung auf der Kunden-Webseite und Auftragsverarbeitung stehen wir gerne tatkräftig zur Seite.

Die Auswirkungen der ePrivacy Verordnung behalten wir selbstverständlich ebenfalls im Auge, um unseren Dienst und unsere Kampagnen entsprechend zu gestalten.

Um eine gute Übersicht zu schaffen, zeigen wir hier auf, was sich vor allem für Webseitenbetreiber geändert hat, und was gleich bleibt.

 

Grundprinzipien

Die bisherigen Grundprinzipien des Datenschutzes bleiben erhalten und sind im Wesentlichen in Art. 5 DSGVO geregelt: Rechtmäßigkeit und Richtigkeit der Datenverarbeitung, Integrität und Vertraulichkeit der Datenverarbeitung, Transparenz der Datenverarbeitung, Zweckbindung, Datensparsamkeit und Pseudonymsierung. Dazu gekommen sind im Wesentlichen: Recht auf Vergessenwerden, Data protection by design, Data protection by default und die Datenübertragbarkeit.

Der traditionelle Datenschutzgrundsatz, das sog. „Verbot mit Erlaubnisvorbehalt“ gilt nach wie vor und bedeutet, dass die automatisierte Datenverarbeitung generell verboten ist, es sei denn, die betroffene Person hat in die Verarbeitung eingewilligt oder die Verarbeitung ist ansonsten von einer in Art. 6 DSGVO aufgeführten gesetzlichen Ausnahme legitimiert, z.B. weil die Datenverarbeitung zur Erfüllung eines Vertrages, im Rahmen der Vertragsanbahnung, durch eine gesetzliche Verpflichtung (z.B. Aufbewahrungsfristen nach der AO) oder ein sog. „berechtigtes Interesse“ gedeckt ist. Bei der Verarbeitung von Daten in der Unternehmenskommunikation kommen generell die Einwilligung, ein Vertragsverhältnis oder das „berechtigte Interesse“, z.B. im Rahmen von Direktmarketing als Legitimationsgrundlage, in Betracht.

 

Datenschutzerklärung

Die Informationspflichten werden in zwei umfangreich formulierten Artikeln geregelt, und zwar in Art. 13 und 14 der DSGVO. Werden die personenbezogenen Daten beim Betroffenen erhoben, hat der Verantwortliche gemäß Art. 13 zu informieren, beispielsweise über die verantwortliche Stelle, die Kontaktdaten des Datenschutzbeauftragten, die Rechte der Betroffenen, den Verarbeitungszweck oder die eventuelle Übermittlung in Drittstaaten.

Die Datenschutzerklärung muss danach über alle Verarbeitungsprozesse in Verbindung mit der Webseite und den personenbezogenen Nutzerdaten aufklären. Die Datenschutzerklärung muss deutlich und klar auf der Webseite ersichtlich sein, im besten Fall unter einem eigenen Link, der von jeder Unterseite aus zugänglich ist. In der Datenschutzerklärung ist deswegen zum Beispiel auch über die Verarbeitung von Social Media Plugins, über die Einbindung von Newslettern, Kontaktformularen und von Analyse- oder Marketing-Tools (Akanoo, Google Analytics, Google Adwords/Retargeting, Piwik/Matomo) und über weitere eingebunden Dienste, wie z.B. Google Maps, YouTube, Chatprogramme umfassend zu informieren. Die DSGVO verstärkt die Informationspflichten insoweit, als dass die Nutzer zudem deutlich auf die Möglichkeit des Widerrufs ihrer Einwilligungen hinzuweisen sind.

Unsere Datenschutzerklärung finden Sie hier.

 

Konfiguration, Cookies und to do’s im Back-Office

Die Erfüllung von bloßen Informationspflichten ist allerdings nicht ausreichend, auch der Einsatz von Tools auf der Webseite muss datenschutzkonform sein. Unter Umständen sind Tools entsprechend zu konfigurieren bzw. zu erweitern. Beim Einsatz von Cookies ist die Regelung nach wie vor nicht eindeutig. So ist nicht abschließend geklärt, ob ein Besucher beim Aufruf der Webseite in die Verwendung von Cookies einwilligen muss (Opt-in), oder ob es ausreicht, wenn er nachträglich der Cookiesetzung widersprechen kann (Opt-out). Falls personenbezogene Daten über eine Webseite (zum Beispiel über ein Kontaktformular) verarbeitet werden, ist zwingend an eine SSL-Verschlüsselung zu denken. Mit Dienstleistern, die z.B. die Webseite hosten oder den Newsletterversand übernehmen oder mit Analysetoolanbietern muss ein Vertrag zur Auftragsverarbeitung geschlossen werden.

Sämtliche Prozesse auf der Webseite, bei denen personenbezogene Daten verarbeitet werden, müssen im sog. Verzeichnis über die Verarbeitungstätigkeiten erfasst werden. Auch Mitarbeiter eines Unternehmens dürfen auf der Seite nicht einfach genannt werden – lediglich Beschäftigte, die nach außen hin für das Unternehmen auftreten, müssen die Veröffentlichung ihrer Kontaktdaten hinnehmen. Fotos von Mitarbeitern dürfen zudem nur mit entsprechender Einwilligung veröffentlicht werden.

 

Ausblick

Webseitenbetreiber stehen in Bezug auf den Datenschutz vor großen, aber nicht unüberwindbaren Herausforderungen. Wenn diese gemeistert sind, ist allerdings an eine anstehende weitere Gesetzesnovelle zu denken. Zum Inkrafttreten, vermutlich ab 2019, der sich derzeit im Trilog-Verfahren befindlichen ePrivacy Verordnung, sind die dann neu bzw. abgeändert geltenden Datenschutzvorschriften speziell für Telemediendienste, sprich Webseiten, erneut auf den Prüfstand zu stellen. Diese Verordnung soll insbesondere zur Klarheit bei der Verwendung von Cookies beitragen.

Kommen Sie bei Fragen gerne jederzeit auf uns zu!

Wir bedanken uns bei unserer Datenschutzbeauftragten Frau Carola Sieling von der Rechtsanwaltskanzlei Sieling für das Erstellen dieses Beitrags.

Leave a Reply

Your email address will not be published. Required fields are marked *