Wir weisen darauf hin, dass der folgende Beitrag nur eine allgemeine Übersicht über die Anforderungen der DSGVO darstellt. Bitte beachten Sie den Disclaimer hierzu am Ende des Artikels.

DSGVO – was ist das und was hat das mit mir zu tun?

Hinter der Abkürzung „DSGVO“ verbirgt sich der Begriff „Datenschutzgrundverordnung“. Diese legt ein einheitliches Datenschutzrecht für die gesamte EU fest. Am 25. Mai 2018 tritt sie, nach zweijähriger Übergangsfrist, nun endgültig in Kraft. Die DSGVO soll Verbraucher und deren persönliche Daten schützen. Damit sich alle an die Regeln halten, drohen bei Nichtbeachtung der DSGVO empfindliche Strafen in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes des Unternehmens. Die DSGVO ist von allen einzuhalten, die personenbezogene Daten automatisiert erheben oder verarbeiten. Personenbezogene Daten können u. a. sein: Name, E-Mailadresse, Geburtstag, Geschlecht, aber auch die IP-Adresse oder Bankverbindung. Sobald Daten auf elektronischen Geräten wie Computern gespeichert werden, findet eine automatisierte Verarbeitung statt.
Achtung! Die DSGVO betrifft nicht nur, wie häufig angenommen, große Unternehmen ab einer gewissen Mitarbeiterzahl. Nein, die DSGVO gilt tatsächlich auch für Kleinunternehmer, Freelancer, Webseitenbetreiber, Vereine und mehr. Eben alle, die personenbezogene Daten verarbeiten.

Grundsätze der DSGVO

Grundsätzlich gilt, dass personenbezogene Daten nur unter der freiwilligen Zustimmung der jeweils betroffenen Personen gesammelt werden dürfen. Vereinfacht kann man auch sagen, dass in Bezug auf die Personendatenerhebung nichts erlaubt ist, außer es erfolgt eine ausdrückliche Zustimmung.
Folgende Grundsätze sind zu beachten:

  • Daten dürfen nur rechtmäßig erhoben und verarbeitet werden.
  • Daten dürfen nur für den Zweck genutzt werden, für den sie erhoben wurden (Beispiel: Eine E-Mailadresse die im Bestellvorgang zum Zweck der Versendung einer Bestellbestätigung erhoben wurde, darf nicht genutzt werden, um anderweitig Kontakt aufzunehmen oder sogar Werbung zu schicken!).
  • Grundsatz der Datensparsamkeit: Es dürfen nur die wirklich für den angegebene Zweck benötigten Daten erhoben werden.
  • Daten dürfen nur so lange wie absolut nötig gespeichert werden.
  • Die Sicherheit der Daten (z. B. vor Zugriff Dritter) muss jederzeit gewährleistet sein.
  • Die Verarbeitung der Daten muss umfassend dokumentiert werden.
  • Meldepflicht: Sollte es zu einer Datenschutzverletzung gekommen sein, besteht die Pflicht, dies innerhalb einer bestimmten Frist an Aufsichtsbehörden und ggf. an die betroffenen Personen zu melden.

Was muss in Bezug auf meine Webseite oder Online-Shop getan werden?

Bei der Nutzung von Webseiten und Online-Shops werden, gezielt und ungezielt, personenbezogene Daten der jeweiligen Besucher erhoben. Dies geschieht zum Beispiel durch Kontaktformulare, bei denen E-Mailadresse und Name hinterlegt werden, aber auch durch Software im Hintergrund, wie zum Beispiel Google-Analytics. Da die Benutzer aber Ihre Einwilligung zur Speicherung dieser Daten geben müssen, sollte die gesamte Webseite geprüft und an den notwendigen Stellen entsprechende Einwilligungsmöglichkeiten und Aufklärungstexte angebracht werden. Die Formulierung der Einwilligungsmöglichkeiten muss dabei ganz bestimmten Regeln folgen.

Datenschutzerklärung

Dass Webseiten über eine vollständige, gut zu erreichende Datenschutzerklärung verfügen müssen, ist nicht neu. Die Datenschutzerklärung informiert darüber, ob, wie und welche personenbezogenen Daten, zum Beispiel durch die Einbindung von Google-Analytics, von der Webseite erhoben werden. Durch die DSGVO wird eine Aktualisierung der Datenschutzerklärungen nötig.

Datenschutzbeauftragter

Je nach Unternehmensart und Mitarbeiterzahl können Sie dazu verpflichtet sein, einen Datenschutzbeauftragten zu benennen. Ist dies der Fall, müssen die Kontaktdaten des Datenschutzbeauftragten auf Ihrer Webseite, zum Beispiel im Impressum, ausgewiesen werden.

Formulare

Ganz besonders relevant ist die DSGVO für Formulare jeder Art. Dazu gehören zum Beispiel Kontaktformulare, Bestellformulare, Kommentarfunktionen und Gästebücher. In fast allen Formularen werden personenbezogene Daten abgefragt. Das können zum Beispiel Name, E-Mailadresse oder sogar die Anschrift sein. Der Nutzer bzw. der Absender des Formulars muss in Zukunft VOR dem Absenden seiner Daten darüber informiert werden, was mit seinen eingegebenen Daten genau passiert. Zudem muss er der Verarbeitung ausdrücklich zustimmen. Dies kann zum Beispiel über eine Checkbox geschehen, die vom Nutzer angeklickt werden muss. Des Weiteren ist der Webseitenbetreiber (Sie!) dafür verantwortlich, dass die Daten bei der Übertragung ebenfalls geschützt sind. Hier empfehlen wir, falls noch nicht vorhanden, eine SSL-Verschlüsselung zu verwenden.

Google-Analytics

Nutzen Sie Analysetools wie Google-Analytics, um zum Beispiel die Anzahl der Seitenbesucher und Klicks auszuwerten? Dann muss auf jeden Fall kontrolliert werden, ob es DSGVO-rechtskonform in den Quellcode eingebunden ist. Dass die Verwendung von Google-Analytics in der Datenschutzerklärung anzugeben ist, versteht sich dabei von selbst. Um Google-Analytics rechtssicher verwenden zu können, ist es zudem schon seit längerer Zeit nötig, mit Google einen Vertrag zur Auftragsverarbeitung abzuschließen.

Cookies

Cookies werden so gut wie bei allen Webseiten verwendet. Vereinfacht gesehen sind Cookies kleine Textdateien mit Informationen, durch die Webserver die Anwender einer Webseite wiedererkennen und deren Einstellungen speichern können. Das könnte zum Beispiel der Inhalt des Merkzettels eines Online Shops sein oder auch der Benutzername zum Anmelden. Auch hier ist es wichtig, in der Datenschutzerklärung über den Einsatz und die Verwendung der Cookies zu informieren. Zudem wird empfohlen, einen so genannten Cookie Banner einzusetzen, der den Besucher der Webseite über den Einsatz der Cookies direkt informiert.

Fazit

An der DSGVO führt kein Weg vorbei und gerade Webseiten und Online-Shops bieten großes Potenzial dafür, dass mit personenbezogenen Daten nicht korrekt verfahren wird. Vor allem Online-Shops, die neben Kontaktdaten auch Kontodaten der Kunden erheben, sind beliebte Ziele von Angriffen, bei denen Daten gestohlen und Kunden sowie Betreiber geschädigt werden.

Dieser Beitrag stellt natürlich nur eine Grundübersicht über die DSGVO in Bezug auf Webseiten dar. Weitere benötigte Handlungsschritte und Vorkehrungen müssen individuell anhand der jeweiligen Webseite oder des jeweiligen Online-Shops ermittelt und durchgeführt werden. Wir empfehlen daher jedem, sich intensiv über die DSGVO zu informieren und sich mit den nötigen Schritten auseinanderzusetzen.
Sie benötigen Hilfe bei der Umsetzung der DSGVO für Ihre Webseite? Kontaktieren Sie uns! Wir unterstützen Sie dabei, Ihre Webseite oder Ihren Online-Shop fit für die DSGVO zu machen.

Disclaimer

Dieser Artikel wurde nach ausführlicher Recherche nach bestem Wissen und Gewissen erstellt. Er soll Ihnen einen allgemeinen Überblick über Punkte bieten, die in Bezug auf die DSGVO und das Betreiben von Webseiten und Webshops beachten werden müssen. Dieser Artikel stellt keine Rechtsberatung dar und kann eine Rechtsberatung durch einen entsprechenden Anwalt oder Sachverständigen für Datenschutz nicht ersetzen.

Weiterführende Links

Einen nützlichen und sehr ansprechend gestalteten Leitfaden zum Thema DSGVO hat der Händlerbund herausgebracht.
Diesen kann man als PDF unter folgendem Link abrufen: https://www.haendlerbund.de/de/downloads/ebook-dsgvo.pdf

Auch auf der Webseite der IT-Rechtskanzlei finden sich viele weiterführende Artikel zum Thema DSGVO:
FAQ Datenschutz-Grundverordnung E-Commerce:
https://www.it-recht-kanzlei.de/fragen-antworten-datenschutz-grundverordnung-e-commerce.html
Online Handel Neuerungen:
https://www.it-recht-kanzlei.de/neuerungen-datenschutzgrundverordnung-online-handel.html