Wer eine Webseite betreibt sollte sich auch mit der Datenschutzgrundverordnung auseinandersetzen und die wesentlichen Bestimmungen kennen.

Seit dem 25.05.2018 ist die Datenschutz-Grundverordnung in Kraft und damit für alle EU Länder rechtsverbindlich . Das Regelwerk bezieht sich auf den Schutz personenbezogener Daten und deren grundsätzliche Behandlung.

Danach sollen persönliche Daten:

  • rechtmäßig, nach Treu und Glauben und nachvollziehbar verarbeitet werden,

  • für festgelegte, eindeutige und legitime Zwecke erhoben werden,
  • dem Zweck angemessen, erheblich und auf das notwendige Maß beschränkt sein,

  • sachlich richtig und wenn erforderlich auf dem neuesten Stand sein

  • zeitlich begrenzt nur so lange wie nötig gespeichert werden und

  • in einer Weise verarbeitet werden, die eine angemessen Sicherheit gewährleistet.

Diese Grundsätze verdeutlichen, mit welcher Maßgabe künftig mit personenbezogenen Daten umgegangen werden muss. Erweitert wurden die Vorgaben um eine umfassende interne Dokumentationspflicht, einer Auskunftspflicht gegenüber den betroffenen Personen und die Rechte der Betroffenen sind umfassender geworden.
Im Vergleich zu nationalem Recht hat sich die Höhe der Bußgelder bei Rechtsverstößen enorm erhöht. So beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Falle eines Unternehmens bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangen Jahr, bei besonders gravierenden Tatbeständen unter Art. 83 Abs. 5 DSGVO aufgelistet.

Anwendung findet die DSGVO

  • für Unternehmen oder Einrichtungen mit Sitz in der EU oder

  • für EU-ansässige Verbraucher oder

  • für Unternehmen welche Daten von EU-ansässigen Verbrauchern erfassen.

Die geänderten Vorschriften lassen sich in diesen Punkten zusammenfassen:

Darunter fallen alle Daten mit einem Bezug zu einer Person oder über welche sich ein Bezug zu einer Person herleiten lässt:
– Name, Anschrift
– IP-Adresse
– E-Mail-Adresse
– Tracking auf Webseiten
– Beiträge in Sozialen Medien
– physische, physiologische oder genetische Informationen
– medizinische Daten
– der Aufenthaltsort
– Bankverbindungen
– kulturelle Identität
Bei einer E-Mail-Adresse muss es sich um eine persönliche Mailadresse handeln (z. B. m.maier@domain.de), eine Unternehmens-E-Mail (z. B. info@domain.de) fällt nicht unter dieses Kriterium. Ebenso lassen sich über ein Webseiten-Tracking oder eingebundene Soziale Medien die Bewegungsdaten oder Ähnliches (z. B. GPS Daten) beim Besuch einer Webseite aufzeichnen und Rückschlüsse auf die Person ziehen.

Bei Datenerhalt muss der Betroffene unverzüglich, umfassend, in einer einfachen, verständlichen Sprache informiert werden. Grundlage dafür ist die Datenschutzerklärung und sollte folgendes beinhalten:
– die Rechtsgrundlage auf welcher die Daten gesammelt werden
– was mit den Daten passiert
– Dauer der Speicherung
– Kontaktinformationen des Unternehmens
– Hinweise für die Zuständigkeit im Datenschutz, z.b. Datenschutzbeauftragter
– Rechte des Betroffenen: Auskunft, Berichtigung, Löschung, Widerspruch.
– Recht auf Datenherausgabe und Übertragbarkeit
Zusätzliche Informationen auf der Webseite in der Datenschutzerklärung:
– Datenverarbeitung auf der Webseite (Serviceprovider, Hoster)
– Wie wird mit Kunden-/Bestelldaten umgegangen
– Warum werden Tracking, Cookies oder Soziale Medien eingesetzt
– Einbindung eines Newsletters oder Kontaktformular
– Abgeschlossener Auftragsverarbeitungsvertrag mit dem Hoster
Die Informationen sind sofort zu leisten, spätestens jedoch innerhalb eines Monats . Bei Nennung der Rechtsgrundlage soll dem Nutzer erklärt werden, warum für einen Trackingmechanismus wie z.b. die Einbindung von Facebook auf der Homepage oder die Einbindung eines YouTube Videos eingesetzt wird. Als mögliche Begründungen bietet sich ein „berechtigtes Interesse“ an.

Die Rechtmäßigkeit der Verarbeitung wird in Art 6 und 7 DSGVO erläutert. Definiert wird nach welchen Bedingungen personenbezogene Daten verarbeitet werden dürfen.
1) Persönliche Erlaubnis, Formvorschriften der Einwilligung:
– gesondert und umfassend
– freiwillig (kein Kopplungsverbot)
– nachweisbar
– Hinweis auf Widerruf
2) Gesetzliche Erlaubnis (DSGVO, UWG )
– „berechtigtes Interesse“ – Art 6 Abs. 1f)
3) Notwendige Daten (zur Vertragserfüllung, Steuern und Buchhaltung)
Die Verwendung der bezogenen Daten unterliegt zunächst dem Verbot mit Erlaubnis-vorbehalt. Dies bedeutet dass, die Verwendung grundsätzlich verboten ist, es sei denn es liegt eine Einwilligung vor. Diese Einwilligungen unterliegen bestimmten Form-vorschriften und sind gesetzlich geregelt oder z.b. für einen Vertragsabschluss not-wendig. Die Zustimmung muss freiwillig erfolgen und darf nicht an eine andere Bedin-gung geknüpft sein, z.b. das Abo eines Newsletters (Kopplungsverbot).

Eine wirksame Einwilligung erfordert folgende Kriterien nach Art. 7 DSGVO:
– gesonderte Einholung
– umfassend
– mündlich, elektronisch, schriftlich
– Hinweis auf Widerrufsrecht
Die Einwilligung darf nicht im Text oder in den AGBs versteckt werden, sie ist explizit einzuholen. Beispielsweise über ein Formular mit Unterschrift oder einer Checkbox auf der Homepage innerhalb eines Formulars, auf welcher Daten übermittelt werden. Umfassend bedeutet hier die Angabe wie, welche und wozu Daten genutzt werden. Die Einwilligung ist formfrei. Aus Beweisgründen ist jedoch die Schriftform anzuraten. Zwingend ist außerdem der Hinweis zum Widerruf in Verbindung mit der Einwilligung.

Die Verpflichtung zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten (VVT) ist in Art. 30 DSGVO definiert. Es erfüllt damit die geforderten, umfänglichen Dokumentations- und Transparenzpflichten. Weiterhin dient es für die Datenaufsichtsbehörden zu Kontrollzwecken gemäß Erwägungsgrund 82: „zum Nachweis der Einhaltung dieser Verordnung“ . Die Kriterien sind:
– ab 250 Mitarbeiter oder
– Verarbeitung besonderer Datenkategorien nach Art. 9 Abs. 1 DSGVO oder
– die Verarbeitung erfolgt nicht nur gelegentlich.

Kleinstunternehmer sind hiervon ausgenommen. Da das Kriterium einer nicht nur gelegentlichen Verarbeitung nicht näher definiert wird, ist davon auszugehen dass bei regelmäßiger Verarbeitung ein Verzeichnis zu führen ist. Aus Rechtskreisen wird daher angeraten, auch wenn die Kleinstunternehmergrenze zutrifft, ein Verzeichnis bei regelmäßigen Datenverarbeitungen zu führen. Zu den besonderen Datenkategorien zählen sensible oder risikobehaftete Daten z. B. Gesundheitsdaten. Nach Art. 30 Abs. 4 DSGVO ist das Verzeichnis bei Anfragen den Behörden vorzulegen. Verantwortlich für die Führung des VVT ist die Unternehmensleitung, nicht der Datenschutzbeauftragte, da die Geschäftsleitung über die Verarbeitung von personenbezogenen Daten letztendlich auch entscheidet im Rahmen der unternehmerischen Tätigkeit.

Bei der Auftragsverarbeitung oder Auftragsdatenverarbeitung handelt es sich um ausgelagerte Arbeiten oder Dienste innerhalb welcher personenbezogene Daten verarbeitet werden. Bspw. sind dies
– eine Agentur, die Werbemaßnahmen ausführt
– ein externer Newsletter-Anbieter
– eine Webhosting-Agentur
– externe Wartungsverträge (IT-Dienstleister)

In diesem Falle hat das Unternehmen einen Auftragsverarbeitungsvertrag (AVV) mit dem Auftragsverarbeiter abzuschließen. Der Auftragsverarbeiter soll gewährleisten, dass mit den übertragenen Daten verantwortungsvoll und sicher umgegangen wird. In diesem Falle ist der Auftragsverarbeiter verpflichtet ein VVT für diese Zwecke zu führen in dem dieser die Weisungen des Unternehmens protokolliert, und zwar in einem sogenannten Auftragsverarbeitungsverzeichnis (AVVZ). Eine Schriftform ist für den AVV nicht vorgeschrieben, dieser kann auch Online abgeschlossen werden.

Die Auskunftsansprüche der betroffenen Person sind im Art. 15 DSGVO vermerkt:
– welche Daten sind gespeichert
– zu welchen Zwecken
– Herkunft der Daten, wenn nicht selbst erhoben
– an wen wurden diese übermittelt
– geplante Speicherdauer
– Hinweis zu Widerspruch und Berichtigung
– ggf. automatisierte Profilerstellung (Profiling)
Die Form der Erteilung dieser Ansprüche ist nicht geregelt. Es empfiehlt sich in der Praxis die Form zu wählen in welcher die Anfrage gestellt wurde. Eine Anfrage per E-Mail kann per E-Mail beantwortet werden. Die Bearbeitung sollte möglichst unverzüglich folgen, spätestens 1 Monat nach Eingang des Antrages. Bei entsprechender Komplexität kann um weitere 2 Monate verlängert werden. Diese Informationen sind grundsätzlich kostenlos zur Verfügung zu stellen. Weitere Anfragen können jedoch berechnet werden nach Art. 12 Abs. 5 und Art. 15 (3) DSGVO.

Die Kriterien wann ein Datenschutzbeauftragter einzusetzen ist, sind im BDSG neu, § 38 BDSG ergänzend zum Art. 37 DSGVO definiert:
– wenn mindestens 10 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. (§38 BDSG) oder
– wenn es sich bei den Daten um sensible oder risikobehaftete Daten nach Art. 9 oder Art. 10 handelt (z. B. Gesundheitsbereich oder Single-Börse, Call-Center).
Unternehmen, welche Daten nach der Datenkategorie gemäß Art. 9 DSGVO verar-beiten sind dazu verpflichtet, zusätzlich eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO zu machen. Die Datenverarbeitung wird hier einer Risikobewertung unterzogen mit abschließender Stellungnahme des DSB . Welche Verarbeitungstätigkeiten davon betroffen sind, ist in den sogenannten Positivlisten oder Muss-Listen für die DSFA bei den jeweiligen Landesdatenschutzbeauftragten zu erfahren.

Ist Ihre Website dsgvo-konform und rechtssicher?

Wie sind diese Regelungen in meiner Website umzusetzen?

Welche Änderungen auf Ihrer Website zu machen sind um diese rechtskonform zu den neuen DSGVO Vorschriften zu gestalten, werden im Beitrag "die DSGVO-konforme Website" näher erklärt.
Ist Ihre Website dsgvo-konform und rechtssicher?