Datenschutz-Grundverordnung: Was Webseitenbetreiber in Zukunft beachten müssen
Die ab dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) setzt Betreiber von Webseiten unter massiven Zugzwang. Wichtige Änderungen bei Datenschutzerklärungen, Cookie-Warnungen sowie in zahllosen anderen Bereichen führen Webseitenbetreiber in weiten Teilen an die Grenze des Machbaren. Einige wichtige Punkte aus der DSGVO sollten zwingend eingehalten werden, um lästige Abmahnungen sowie empfindliche Bußgelder zu vermeiden.
Wer von der DSGVO verschont bleibt
Nahe „alle“ sind von der neuen DSVGO betroffen. Es sind lediglich Internetauftritte ausgeschlossen, welche persönlichen und/oder familiären Zwecken dienen. Wer zum Beispiel Bilder und Video aus dem Urlaub mit der digitalen Welt teilen möchte und sowohl auf Werbebanner als auch Analysetools verzichtet, unterliegt nicht der DSGVO. Im Mittelpunkt steht der Schutz personenbezogener Daten, worunter auch IP-Adressen der Webseitenbesucher fallen. Webseitenbetreiber fragen bereits ab diesem Moment also Daten von Besuchern ab und müssen den neuen Bestimmungen aus der DSGVO Folge leisten.
Vermeidbare Stolpersteine: Formulare, Social Media
Durch die kommende DSGVO wird die ohnehin vorhandene Datenschutzerklärung obsolet. Neue Informationspflichten müssen Sie in einem neuen Dokument erfassen, verständlich niederschreiben und Besuchern der jeweiligen Internetseite zur Einsicht zugänglich machen. Sofern eine dritte Partei durch Plug-ins Zugriff auf die gesammelten Daten bekommt, müssen sie diese in Ihrer Datenschutzerklärung aufführen. Sofern Sie beispielsweise Termin- oder Newsletter-Formulare auf Ihrer Internetseite anbieten, müsse Sie diese ebenfalls DSGVO-konform überarbeiten. Hier dürfen in Zukunft nur noch die Daten verlangt werden, welche dem Zweck entsprechen. Welche personenbezogenen Daten Sie also Sammeln, hängt hier von der jeweiligen Situation ab. Zudem sollten Sie den allseits beliebten „Like“-Button von Facebook vor dem Hintergrund der DSGVO einmal mehr unter einem völlig neuen Licht betrachten. Derartige Plug-ins übermitteln in der Regel überaus detaillierte Persönlichkeitsprofile. Datenschützen erachten diese Mechanismen seit jeher als äußerst Fragwürdig. Durch die DSGVO werden sie in ihrem Denken mehr als bestätigt.
Verschlüsselung und Auftragsverarbeitung
Nach §32 EU-DSGVO müssen personenbezogene Daten nach dem aktuellen Stand der Technik grundsätzlich und ohne Ausnahme verschlüsselt werden. Eine „https“-Verschlüsselung sollte von Ihnen in diesem Zusammenhang als Mindeststandard betrachtet werden. Wer hier Nachholbedarf sollte sich umgehend ein SSL-Zertifikat beschaffen. Indes hat sich Google bereits vor geraumer Zeit dazu entschlossen, verschlüsselte Webseiten in seinem Ranking bevorzugt zu behandeln. Sollten Sie mit Dienstleistern, wie zum Beispiel einem Webhoster zusammenarbeiten, müssen Sie nun prüfen, ob Sie einen Vertrag zur Auftragsverarbeitung mit diesem schließen müssen. Das ist dann der Fall, wenn die Dienstleistung die Verarbeitung personenbezogener Daten vorsieht. Das archivieren von E-Mail, die Speicherung und Verwaltung von E-Mail-Adressen oder auch die Fernwartung sind Beispiele, die mit hoher Wahrscheinlichkeit auf Sie zutreffen werden.