Datenschutz-Grundverordnung - Privacy by Design / Privacy by Default

(15.02.2018) Das jahrelang erarbeitete neue Rechtswerk zum EU-weiten Datenschutz (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Mit einher geht eine umfassende Reform des Datenschutzrechts für Betreiber einer Website, von der lediglich Internetpräsenzen, die ausschließlich familiären oder persönlichen Zwecken dienen, ausgeschlossen sind. - Bei Verstößen drohen nicht nur empfindliche Geldstrafen ...

Dem Verbraucher mehr Rechte - Dem Unternehmen mehr Pflichten

EU-Verordnungen, wie die DSGVO (Datenschutz-Grundverordnung), gelten für alle Mitgliedsstaaten gleich und haben vor nationalen Gesetzen Vorrang (eine Ausnahme bilden hierbei sogenannte Öffnungsklauseln). Das Ansinnen einer gemeinsamen Regelung der EU-Mitgliedsstaaten dient deshalb wohl zu einem guten Stück einer Gleichheit im Wettbewerb der Unternehmen. Auch öffentliche Einrichtungen und Unternehmen außerhalb der EU, die ihre Dienste innerhalb der EU anbieten, sind hiervon betroffen. Im Grundsatz geht es um den Schutz personenbezogener Daten, der Verpflichtung zur Datenminimierung und um den in der DSGVO festgeschriebenen Grundsatz der Integrität und der Vertraulichkeit. Die Anwendung der DSGVO zwingt damit wohl die überwiegende Mehrheit der Webseitenbetreiber, Anpassungen an der Website vorzunehmen.

Bitte beachten Sie:
Als Ihre Internet Agentur haben wir die Inhalte auf dieser Seite nach bestem Wissen und Gewissen für Sie recherchiert und zusammengefasst. - Aber wir sind juristische Laien! Wir können keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernehmen.

Beispiel: SSL-Verschlüsselung

• Eine vollständige Verschlüsselung von Websites ist aus Sicht der Suchmaschinenoptimierung schon seit längerem angezeigt. Inwiefern die neue Datenschutz-Grundverordnung diese jetzt weitergehend erzwingt, können wir nicht beurteilen. In jedem Fall bieten wir Ihnen für Websites, die auf Unix / Linux basierten Servern im Leistungsbereich der Internet Agentur Scherer liegen, schon seit geraumer Zeit kostenfreie Zertifikate von "Let’s Encrypt". Darüber hinaus können Websites im Hosting auf Windows-Server weiterhin auf unsere kostengünstigen Varianten (Domain- oder Adressvalidiert) der THAWTE-SSL-Zertifikate, sowie auf Extended Validation Zertifikate (gründe Adressleiste mit Firmennamen im Browser) vertrauen.
• Weitere Informationen hierzu: HTTPS-Verschlüsselung - Mit Sicherheit Punkten

Beispiel: Cookies

• Redaktionssysteme (CMS) wie auch Shops speichern mehrheitlich standardisiert kurze Textinformationen – Cookies genannt – im Browser der Anwender ab. Damit werden Einstellungen von Internetpräsenzen gespeichert oder Einkaufswagen in Online-Shops verwaltet. Fortan wird es wohl vorgeschrieben sein, dass beim ersten Aufruf der Site eine entsprechende "Cookie Warnung" eingeblendet wird und eine Einwilligung (klicken und bestätigen) einzuholen ist. Zum aktuellen Stand gibt es bereits eine vielzahl an Plugins für Content Management Systeme um dies zu bewerkstelligen.
• Weitere Informationen hierzu: Hinweispflicht für Cookies (eRecht 24)

Beispiel: Newsletter

• Aus dem Grundsatz der Datensparsamkeit heraus ergibt sich die Forderung nur tatsächlich benötigte Daten zu erheben. Im Falle eines Newsletters wird dies vermutlich bedeuten, dass lediglich die Mail-Adresse des Interessenten abgefragt werden darf. Dass gerade in diesem Bereich (Newsletter-Marketing) in diesem Zusammenhang noch viele weitere Aspekte mitspielen, sei an dieser Stelle nur erwähnt.
• Weitere Informationen hierzu: Die DSGVO - Worum es geht (eRecht 24)

Beispiel: Datenschutzerklärung

• Eine leicht erreichbare, rechtskonforme Datenschutzerklärung ist verpflichtend. Diese ist nunmehr sehr individuell und basierend nach den Funktionen der Website zu erstellen. Zu berücksichtigen sind dabei unter anderem Logfiles, Registrierungsmöglichkeiten, die Verwendung von Cookies und der Einsatz von Analyse- oder Trackingdiensten. Datenschutzerklärungs-Generatoren können bei der Erstellung hilfreich sein...
• Etwa hier: Muster - Datenschutzerklärung (DGD)

Beispiel: Webseiten-Statistik

• Um Reports über die Anzahl der Zugriffe, die Verweildauer der Besucher und ähnlichem auf der eigenen Site zu erhalten, wird gemeinhin gerne auf entsprechende Analyseprogramme (etwa Google-Analytics) zurückgegriffen. Für einen datenschutzkonformen Einsatz wird hier wohl zunächst der Vertrag zur Auftragsdatenverarbeitung mit dem Anbieter, die Anonymisierung der IP-Adressen und das Widerspruchsrecht der Besucher verpflichtend werden. Neu ist hierbei unseres Wissens, dass der Vertrag zur Auftragsdatenverarbeitung nunmehr auch auf elektronischem Weg abgeschlossen werden kann.
• Weitere Informationen hierzu: Google Analytics rechtssicher nutzen (eRecht 24)

Beispiel: Auftragsdatenverarbeitung

• Kommt ein Dienstleister bei seiner Tätigkeit mit personenbezogenen Daten seines Auftraggebers in Berührung, so darf er die Daten natürlich nicht weiter nutzen. Daten dürfen nur insoweit verwendet werden, wie es der Auftrag vorsieht und seine Tätigkeit verlangt. Das, und noch einiges mehr wird in einem Vertrag zur Auftragsdatenverarbeitung (kurz: ADV) festgelegt. Analog zu den Erfordernissen bei Website-Statistiken sind hierbei wohl auch der Webhoster und die betreuende Agentur mit einzubeziehen, um aus Sicht des Auftraggebers eine entsprechende Dokumentation hinsichtlich der Datensicherheit zu haben. Unseren Kunden stellen wir auf Anfrage gerne ein entsprechendes Formular zur Verfügung.
• Weitere Informationen hierzu: Auftragsdatenverarbeitung - ADV (eRecht 24)

Beispiel: IT-Sicherheit

• Im Vergleich zu der noch aktuellen Rechtslage bezieht die EU-DSGVO ab 25. Mai 2018 den Auftragsverarbeiter weitaus stärker in die Einhaltung datenschutzrechtlicher Vorschriften ein.
  
  „Unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; …“  (Artikel 32, Abs. 1).
  
  Hieraus könnte sich für Betreiber einer Website auch eine Verpflichtung zur ständigen Aktualisierung des verwendeten Content Management Systems (CMS) ableiten. - Denn auch wenn sich ein aktuelles, gepatchtes System ohnehin aus mannigfaltigen Gründen empfiehlt, ergibt sich hieraus eine weitaus größere Verpflichtung, die eigene Software-Umgebung der Website auf dem Stand der Zeit zu halten.
• Als Serviceleistung im Rahmen einer Administration übernehmen wir gerne die Sichtung anstehender Sicherheitsupdates Ihres CMS, deren Installation und eventuell Konfiguration. - Fragen Sie uns an. (Tel.: 08136 - 3579063)

Ein einstweiliges Fazit

Schon der erste grobe Überblick zeigt, dass das EU-DSGVO mit Wirkung vom 25. Mai 2018 eine Vielzahl an erweiterten Pflichten für die Betreiber von Websites mit sich bringt. An den Schnittstellen zu unserer Internet Agentur können wir Ihnen sicherlich hilfreich zur Seite stehen und geeignete Maßnahmen treffen oder Lösungen bieten. Bitte fragen Sie uns rechtzeitig an, damit wir Seite an Seite mit Ihnen die Herausforderungen meistern können. (Sofortkontakt Tel.: 08136 - 3579063)

• Zurück
• Weiter