Die DSGVO ab 25.05.2018 Grundlage für den Datenschutz

Ab 25. Mai 2018 tritt die nicht mehr ganz neue, aber dann verbindliche Datenschutzgrundverordnung DSGVO innerhalb der EU in Kraft. Die DSGVO wird bzgl. Datenschutz in der Europäischen Union eine Zeitenwende einläuten. Sie ersetzt nämlich nationale Verordnungen komplett und wird somit direkt zu geltenden Recht!

Die DSGVO:

http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679

betrifft viele Rechtsbereiche und beschreibt mehr als die Installation einer oder mehrerer technischer Lösungen. Das Konzept Ganzheitlichkeit im Sinne der Datensicherheit erfordert eine intensive Betrachtung datenschutzrechtlicher Vorgänge. Dafür muss sich jedes Unternehmen einige Fragen stellen, wie: „Wo erhebe ich personenbezogene Daten?“ bzw. „Wo kommen solche Daten in meinem Unternehmen her?“ Denn die Erhebung ist bereits ein erster Schritt der Verarbeitung im Sinne der DSGVO. Im weiteren Verlauf ist zu klären: „Was mache ich mit diesen Daten?“ beziehungsweise „Wo sind diese gespeichert?“ wobei letzteres auch die Frage nach externen Datenspeichern und Servern oder ggf. auch länderübergreifenden Verarbeitungen (Plattformen und Hostern) umfasst.
Zuletzt bleibt noch: „Wann lösche ich personenbezogene Daten?“, denn auch wenn es Aufbewahrungspflichten gibt, dürfen Daten während dieser nicht für jedermann im Unternehmen und schon gar nicht ausserhalb zugänglich sein.
Wir können und dürfen hier keine Rechtsberatung leisten, aber wer sich noch nicht mit dem Thema beschäftigt hat, der sollte jetzt damit anfangen. Einen guten Überblick zum Einsteig liefert das Heft oder Buch: „Erste Hilfe zur Datenschutz-Grundverordnung“ herausgegeben vom Bayerischen Landesamt für Datenschutzaufsicht. ISBN 978-3-406-71662-1. Erhältlich bei den üblichen Quellen.

Ihre Website ist jedoch mit Sicherheit betroffen denn: Die DSGVO hat bedeutende Auswirkungen auf WebSite Betreiber und das ist heute nahezu Jeder!

Artikel 1 und 2 der DSGVO allein besagen schon: Hier ist besonders dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und deren Recht auf Schutz personenbezogener Daten, zu entsprechen.

Bei Missachtung droht Abmahnung mit Abgabe einer strafbewehrten Unterlassungserklärung!

Eine systematische Suche nach Rechtsverstößen ist gerade im Internet sehr leicht festzustellen und einfach zu dokumentieren. Oft sind Abmahnungen Mittel zur Behinderung und Schädigung von Konkurrenten, aber keinesfalls zu unterschätzen:

Abmahnungen sind eine lukrative Einnahmequelle und oft ein Geschäftsmodell!

WebSite Betreiber müssen mit einer Abmahnung rechnen, wenn sie:

• Keine oder eine rechtlich unvollständige Datenschutzerklärung auf ihrer Webseite eingebunden haben. Diese Datenschutzerklärung sollte rechtssicher und von jeder Seite aus erreichbar sein.
• Formulare (Kontakt, Anfrage, Buchung ect.) einsetzen und diese nicht verschlüsselt übertragen werden! Generell müssen SSL – Zertifikate zukünftig als Standard dafür verwendet werden. Wir empfehlen die komplette WebSite mit einem Zertifikat zu verschlüsseln und auch den Aufruf von „https“ zu erzwingen. Ihre Seite ist dann nur noch verschlüsselt erreichbar.

Auch wenn dies nach Umsetzung mit kurzzeitigen Rankingverlusten verbunden sein sollte, steigt mittel- und langfristig das Vertrauen und die Reputation erheblich. Die Suchmaschinen (Google ect.) werten „https“ Seiten deutlich höher, während unverschlüsselte Seiten „http“ hingegen jetzt schon abgewertet werden, was sich nach dem 25.05.2018 nochmals dramatisch steigern dürfte. Browser wie der Mozilla Firefox und ab Mitte des Jahres auch Googles Chrome warnen wenn unverschlüsselte oder nur teilweise verschlüsselte Seiten aufgerufen werden.

• Dem Recht auf Anonymität muss entsprochen werden soweit dies möglich ist und keiner steuerlichen oder der ordentlichen Buchhaltung widersprechenden Anforderungen entgegen steht.
• Als Website Betreiber interessiert Sie natürlich, wie sich Besucher auf Ihren Seiten verhalten. Woher sie kommen, was sie interessiert und ja evtl. auch wer sie sind? Dazu wird am häufigsten Google Analytics eingesetzt. Ist dies nach Inkrafttreten der DSGVO noch erlaubt?

Webtracking mit Google Analytics erfordert dringend die Voraussetzung des Abschlusses eines Vertrags zur Auftragsdatenverarbeitung entsprechend § 11 BDSG. Dies  wurde von Aufsichtsbehörden mit Google so verabredet. Google stellt ein Vertragformular im Web dazu bereit:

http://www.google.com/analytics/terms/de.pdf

Momentaner Stand für Deutschland: Der Vertrag muss schriftlich erfolgen, eine elektronische Vereinbarung, wie dies in anderen Ländern teilweise möglich ist, gilt derzeit als nicht ausreichend. Jeder der Google Analytics einsetzt sollte sich das Formular laden und einsenden!

Aber Vorsicht! Zudem muss auch der Analytics Code angepasst, anonymisert werden.

Wird E-Mail – Verschlüsselung zur Pflicht?

Lt. Artikel 32 fordert die DSGVO „Pseudonymisierung und Verschlüsselung personenbezogener Daten“. Das lässt nicht viel Spielraum für Interpretationen. E-Mail Server die keine SSL- Verschlüsselung ermöglichen, sollten nicht mehr verwendet werden.

Fazit: Jedes Unternehmen hat sich idealerweise in den letzten Monaten umfassend darüber informiert, welche Neuerungen die DSGVO mit sich bringt und welche Sanktionen bei Verstößen drohen. Wer dies bisher versäumte hat dringenden Nachholbedarf. Die Uhr tickt bereits deutlich hörbar.

Als IT-Dienstleister und Web Agentur beraten wir sie und setzen geeignete Maßnahmen für Ihre Website oder Onlineshop auch um. Handeln müssen jedoch Sie als Unternehmer.