Rechtliches

Die neue DSGVO: Was Sie für Ihre Webseite jetzt beachten müssen

Am 25. Mai tritt die Datenschutzgrundverordnung (DSGVO) in der EU in Kraft. Sie gilt für jedes noch so kleine Unternehmen, jeden Verein und jeden Blogbetreiber, sobald personenbezogene Daten verarbeitet werden. Das Ziel: Die Daten des Einzelnen sollen besser geschützt sein. Das Problem: Für die Betroffenen ist die Umsetzung mit einer Menge Arbeit verbunden.

Aber was sind eigentlich in diesem Zusammenhang personenbezogene Daten?

Dazu zählen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt
oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Zusammengefasst also insbesondere folgende:

  • Bestandsdaten (z. B. Namen, Adressen).
  • Kontaktdaten (z. B. E-Mail, Telefonnummern).
  • Inhaltsdaten (z. B. Texteingaben, Fotografien, Videos).
  • Nutzungsdaten (z. B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten).
  • Meta-/Kommunikationsdaten (z. B. Geräte-Informationen, IP-Adressen).

Diese Daten werden verarbeitet, sobald ein Kunde oder Seitenbesucher z. B. ein Kontaktformular ausfüllt oder sich für einen Newsletter anmeldet. Das gleiche gilt für Onlineshops mit Registrierungsfunktion, Online-Bezahlmöglichkeiten; aber auch für kleine Handwerker und Kaufleute, die Rechnungen an ihre Kunden schreiben.

Wen betreffen die neuen Regelungen?

Website-Betreiber müssen, sofern ihre Seite nicht ausschließlich persönlichen oder familiären Zwecken dient, jeden Besucher darüber aufklären, welche personenbezogenen Daten sie zu welchem Zweck erheben und wie lange speichern.

Auch Blogger, Onlineshop-Betreiber, niedergelassene Ärzte und Krankenhäuser, Schulen und Sportvereine müssen bestimmte Anforderungen erfüllen und Maßnahmen ergreifen – ebenso wie die großen Internet-Unternehmen wie Google oder Facebook, die in der EU tätig sind und deren Geschäftsmodelle auf der Verwertung von Nutzerdaten beruhen.

Besonders schwierig wird es künftig für Firmen, deren Dienste sich explizit oder in großem Maße an Minderjährige richten – sie müssen bei Nutzern unter 16 Jahren künftig Einwilligungen der Eltern einholen – oder aufs Speichern von Daten verzichten.

Worauf müssen Webseiteninhaber jetzt achten?

Es können weitere, über die genannten hinausgehende Schritte notwendig sein. Bitte beachten Sie, dass dieser Artikel keine Rechtsberatung darstellt.

Viele Website-Betreiber und Blogger müssen sich mit der DSGVO auseinandersetzen – ansonsten drohen womöglich Abmahnungen. Sobald mit Hilfe der Website auch nur indirekt das Geschäft gefördert wird, verläßt der Webseitenbetreiber schon den rein privaten Bereich und muss auf die DSGVO-Vorgaben achten. Das gilt auch, wenn auf der Seite Werbung oder Affiliate-Links geschaltet werden.

Generell gilt: Wer mit seinem Online-Angebot in irgendeiner Form Nutzerdaten verarbeitet – und sei es, weil etwa WordPress-Plug-ins Nutzerdaten erfassen oder Nutzer in Kommentaren ihren Namen hinterlassen -, der sollte davon ausgehen, von der DSGVO betroffen zu sein. Im Zweifel kann man seine Datenschutzbehörde fragen, ob und welche Vorkehrungen man bis zum 25. Mai treffen muss.

Personen mit Handlungsbedarf sollten als Erstes ihre Website DSGVO-fit zu machen – vor allem als Absicherung gegen etwaige Abmahnungen von Mitbewerbern oder Abmahnvereinen. So sollte man sich zum Beispiel einen Überblick verschaffen, welche Plug-ins von Drittanbietern im Hintergrund laufen und welche Daten diese erfassen und ggf. weiterleiten.

Nicht dringend gebrauchte Plug-ins oder Social-Media-Buttons in ihrer Standardform sollten deinstalliert werden.

Ebenso wichtig ist es, zusätzlich zum Impressum eine DSGVO-konforme Datenschutzerklärung auf der Website zu haben, die sich von jeder Unterseite aus erreichen lässt. Bei ihrem Aufsetzen können Online-Generatoren helfen, wie zum Beispiel der Datenschutz-Generator von Rechtsanwalt Dr. Schwenke, der üfr die private und nicht kommerzielle Nutzung kostenlos ist.

Bei nicht selbstgehosteten Angeboten muss zudem eine gesonderte Auftragsverarbeitungs-Vereinbarung mit dem Host-Provider abgeschlossen werden, also jenem Anbieter, bei dem das eigene Blog oder die eigene Website liegt. Ein solches Papier müsse einem der Anbieter auf Aufforderung übersenden. Liegt die eigene Seite bei einem US-Hoster, ist es wichtig, dass die Firma am Datenschutzabkommen Privacy Shield teilnimmt, wie es zum Beispiel Google und Automattic – letzteres Unternehmen steht hinter WordPress.com – tun.

Jeder Webseitenbetreiber muss ein Verzeichnis der Verarbeitungstätigkeiten erstellen (etwa nach diesem Muster), das dokumentiert, wo welche Daten von Kunden oder Nutzern eingegeben und verarbeitet und wie lange sie gespeichert werden. Dieses bedeutet nach allen bisherigen Erfahrungen den größten Aufwandsposten bei der Umstellung einer Website auf die neue DSGVO.

Was sollten Webseiteninhaber jetzt auf keinen Fall tun?

Sich von der aktuellen Panik anstecken lassen oder gar womöglich ihre Website vom Netz nehmen oder sogar ihr Geschäft ganz einstellen.

Natürlich bedeutet die Umstellung auf die neuen Regelungen Aufwand. Aber dafür gibt es im Netz zahlreiche Checklisten, an denen man sich orientieren kann. Und wenn man nicht mehr weiter weiß, kann man immer noch Rechtsanwälte oder Webagenturen um Hilfe bitten.

Sind Sie auch Webseiteninhaber und von der DSGVO betroffen? Oder Sie wissen nicht, ob die neue DSGVO auf Sie zutrifft?

Wir prüfen Ihre Webseite, ob sie unter die Regelungen der DSGVO fällt und unterbreiten Ihnen dann ein Angebot für die eventuell notwendigen Anpassungen.

Sprechen Sie uns gern an.   >