Am 25. Mai 2018 ist es soweit. Dann trifft die neue EU Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Und damit steigt auch das Risiko, bei Nicht-Einhaltung abgemahnt zu werden und das kann teuer werden. Nationale Datenschutzbehörden und Verbraucherschutzverbände werden ab Mai vermehrt auf die Einhaltung von Datenschutzbestimmungen achten und Verstöße werden u.U. mit hohen Geldstrafen geahndet.
Worauf Websitebetreiber achten sollten.
Ob Website, Blog oder Shop – sobald es sich nicht um eine rein private Seite handelt – ist eine Datenschutzerklärung unerlässlich. Aus ihr muss klar und verständlich hervorgehen, wer die Daten des Nutzers zu welchem Zweck wie und wo verarbeitet. Dabei darf die Datenschutzerklärung keine Verallgemeinerungen enthalten, sondern muss individuell auf die Website zugeschnitten sein. Sofern mit dem Aufruf der Website durch externe Dienste (Facebook, Google u.a.) personenbezogene Daten erhoben werden, muss auch hierauf hingewiesen werden.
Cookie-Hinweis
Moderne Content Management Systeme wie WordPress oder TYPO3 verwenden standardmäßig Cookies zur „Identifizierung“ des Website-Nutzers. Sobald Cookies auf einer Website, in einem Blog oder Shop Verwendung finden, muss deutlich darauf hingewiesen werden. Möglich ist dieses durch den Einsatz eines Cookie-Banners, der unverkennbar beim ersten Aufruf der Website angezeigt wird.
Welche Datenerfassung von wem ist erlaubt?
Grundsätzlich gilt ab Mai: Erlaubt ist nur, was wirklich benötigt wird. Soll heißen: Website-Betreiber werden durch die neue EU-DSGVO in die Pflicht genommen, nur solche Daten zu verarbeiten, die für den bestimmten Verwendungszweck erforderlich sind.
Eine altersabhängige datenschutzrechtliche Einwilligung ist aktuell nicht geregelt. Dieses ändert sich ab Mai und ist dann erst ab 16 Jahren erlaubt. Damit wird vor allem Teenagern unter 16 Jahren die Anmeldung bei Facebook, Instagram und Co. deutlich erschwert.
Einsatz von Google Analytics
Sowohl auf den Einsatz von Google Analytics als auch auf die damit verbundene Erfassung personenbezogener Daten muss im Datenschutzhinweis der Website hingewiesen werden. Auch muss dem Nutzer hier die Möglichkeit eines Widerrufs gegeben werden.
Die Anonymisierungsfunktion (gekürzte Erfassung der IP-Adresse durch den Google Programmcode) muss selbstverstänlich auch zukünftig bestehen bleiben.
Einsatz von Social Media Elementen
Ohne Zustimmung des Website-Nutzers dürfen durch den Einsatz von Social Media Elementen (Facebook, Like Button etc.) keine persönlichen Daten erhoben werden. Dies muss durch den Websitebetreiber sichergestellt werden. Ein Hinweis auf die Verwendung von Social Media Angeboten und die Art des verwendeten Social Plugins muss in der Datenschutzerklärung der Website zu finden sein. Auch hier muss dem Nutzer die Möglichkeit eines Widerrufs gegeben werden.
Es gibt jedoch einige Fälle, bei denen reicht eine Widerrufsmöglichkeit nicht aus. Hier ist die aktive Einwilligung des Website-Nutzers gefordert. Mit Hilfe eines Datenschutzbeauftragen kann dieses geklärt werden.
Website im Ausland?
Auch hier gelten die Vorgabe der EU-DSGVO, sobald Dienste und/oder Produkte auf dem europäischen Markt angeboten werden.
Wohin mit dem Datenschutzhinweis?
Der Datenschutzhinweis sollte – genau wie das Impressum – bereits auf der Startseite über einen Link zu erreichen sein. Beim Impressum ist dieses übrigens sogar Pflicht!
Insgesamt kommt mit der neuen EU-DSGVO eingies an Arbeit auf Websitebetreiber zu, denn kaum eine Datenschutzerklärung muss nicht überarbeitet oder sogar neu erstellt werden. Auch unser Beitrag zeigt nur einen Teil der Neuerungen und ist keine Rechtsberatung. Jeder Websitebetreiber sollte daher auf die Beratung eines Rechtsanwaltes oder Datenschutzbeauftragten zurückgreifen, um der Gefahr einer teuren Abmahnung aus dem Weg zu gehen.
Ein wichtiger Hinweis zum Schluss:
Der Einsatz einer SSL (Secure Socket Layer) Verschlüsselung für Websites gilt bereits verpflichtend seit dem 01.01.2016. Dazu zählen alle Websites, welche personenbezogene Daten erheben. Ein einfaches Kontaktformular auf der Website reicht dafür schon aus. Nach Einführung der neuen EU-DSGVO wird sicherlich auch auf die Einhaltung dieser Vorgabe verstärkt geachtet.
Eine SSL-verschlüsselte Website erkennen Sie an dem Zusatz „s“ hinter dem bekannten „http“. Mit dieser Verschlüsselung soll das Auslesen bzw. Manipulieren von Daten durch unbefugte Dritte verhindert werden.
Wenn Sie zu diesem Thema noch Fragen haben oder wir Ihnen bei der Einbindung Ihrer neuen Datenschutzerklärung in Ihre Website behilflich sein können, nehmen Sie gerne Kontakt mit uns auf. Wir helfen Ihnen gerne weiter.