Achtung Handlungsbedarf: DSGVO & Cookie Regelungen betreffen alle Websitebetreiber

Was ist die DSGVO?

Die DSGVO ist eine neue EU-Verordnung, die am 25. Mai 2018 in Kraft getreten ist. Die Datenschutzstandards wurden damit in der kompletten Europäischen Union vereinheitlicht. Es wird hauptsächlich der Umgang mit personenbezogenen Daten geregelt.

Für wen gilt die DSGVO?

Die DSGVO gilt für alle Unternehmen, welche in der EU ansässig sind; eine Niederlassung in der EU haben oder nur Zugriff auf personenbezogene Daten von EU-Bürgern haben. Es gibt keine Ausnahme, egal ob Einzelunternehmer ohne Internetseite, ein Verein oder großes Business-Monopol. Jedoch beschränken wir uns in diesem Guide nur auf Internetseiten.

Welche Strafen gibt es für Verstöße?

Die Strafen werden individuell verhandelt. Grundsätzlich sind für Verstöße im Datenschutz Strafen in Höhe von bis zu 10 Mio Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich (je nachdem, welcher der Beträge höher ist). Zuletzt erhielt die "Deutsche Wohnung" zum Beispiel ein Bußgeldbescheid in Höhe von 14,5 Mio Euro für diverse Datenschutzverstöße. Aber auch kleinere Unternehmen hat es bereits getroffen. So musste das Hamburger Unternehmen "Kolibri Image" einen mittleren, vierstelligen Betrag zahlen.

Was sind personenbezogene Daten?

Personenbezogene Daten lassen sich immer auf eine Person zurückführen. Jedoch kann der Begriff in die Irre führen, da personenbezogene Daten sogar schon IP-Adressen und Cookies sind. Sobald die Möglichkeit besteht, dass man einzelne Daten einer Person zuweisen könnte (auch wenn die Person unbekannt ist und keine anderen Daten vorhanden sind), hat man mit personenbezogenen Daten zu tun.

Hier einige Beispiele:

• Name
• Adresse
• E-Mail-Adresse
• KFZ-Kennzeichen
• Telefonnummer
• Standortdaten
• IP-Adressen
• Cookies

Nutze ich personenbezogene Daten?

Oft wird fälschlicherweise angenommen, dass man selbst aktiv keine Daten in der Art sammelt und deswegen nicht betroffen ist. Deshalb hier einige alltägliche Beispiele für personenbezogene Daten in Unternehmen.

1. Sie bekommen eine Anfrage für Support/Dienstleistung/Produkt per E-Mail.
Auch wenn der Absender keinen Namen, Adresse oder Telefonnummer hinterlassen haben sollte sind Sie betroffen, die E-Mail-Adresse reicht aus. Es handelt sich ganz klar um personenbezogene Daten.

2. Sie haben einen Blog und ein Nutzer kommentiert einen Beitrag.
In den meisten Fällen muss eine E-Mail-Adresse beim Kommentieren angegeben werden, auch wenn diese nicht angezeigt wird. Auch hier werden personenbezogene Daten gespeichert.

3. Sie nutzen Google Analytics und ein Nutzer kommt auf Ihre Seite.
Google setzt Cookies, speichert die IP-Adresse und wertet den Standort und weitere Systemdaten des Nutzers aus. Hier werden personenbezogene Daten gespeichert. Zusätzlich werden die Daten noch an Dritte (nämlich Google) weitergegeben, was die Sache an sich komplizierter macht, aber dazu später mehr.

Worauf muss ich bei der Verarbeitung von personenbezogenen Daten achten?

Generell ist es immer wichtig genau zu wissen wann man personenbezogene Daten verarbeitet und warum man dies tut. Jedes Unternehmen sollte sich spätestens jetzt mit der DSGVO auseinandersetzen. Entspricht die Verarbeitung nicht mehr dem ursprünglichen Erhebungszweck, braucht man zwingend eine Einwilligung der Person.

Sollten für die Speicherung der Daten kein Erhebungszweck mehr vorhanden sein, müssen die Daten unaufgefordert gelöscht werden.Galt es vor einigen Jahren noch so viele Daten wie möglich zu sammeln, um Kundenprofile und Datenanalysen für Marketing & CO zu erstellen. sollte man heute zweimal darüber nachdenken, ob man die Daten wirklich benötigt und die Weiterverarbeitung auch zulässig ist.

Im Zweifelsfall sollte man immer eine freiwillige Einwilligung von Besucher einfordern, diese muss umfassend sein, also den Besucher darüber aufklären was genau mit den Daten passiert. Sollte der Besucher nicht zustimmen dürfen Sie die Daten nicht für weitere Zwecke nutzen.

Vermeiden Sie eine zwingende Einwilligung für andere Verwendungszwecke an Anmeldungen etc. zu koppeln, da dies ebenfalls nicht mehr erlaubt ist.

Was ist ein Verarbeitungsverzeichnis?

Ein Verarbeitungsverzeichnis soll die Prozesse dokumentieren, welche den Umgang mit personenbezogenen Daten nachvollziehbar machen.

Wer muss ein Verarbeitungsverzeichnis führen?

Wenn eines oder mehr der folgenden Szenarien zutrifft:

• Mehr als 250 Mitarbeiter
• Verarbeitung besonderer Datenkategorien (z.B. Krankenakten, Finanzdaten, Zugangsdaten, etc.)
• Verarbeung von personenbezogenen Daten erfolgt nicht nur gelegentlich
  

Während die ersten beiden Punkte noch gut nachvollziehbar sind, ist der letzte Punkt schwieriger zu fassen. Wann erfolgt eine Verarbeitung nicht nur gelegentlich? Auch hier sind einige Anwälte überfragt und raten die ersten Urteile abzuwarten. Im Zweifelsfall sollte man aber ein Verarbeitungsverzeichnis führen.

Wir gehen davon aus, dass eine Verarbeitung nicht nur gelegentlich ist sobald Daten gezielt gesammelt werden bzw. werden müssen.

Hier zwei Beispiele:

1. ein Shop zielt darauf ab Bestellungen zu generieren, dazu braucht der Shop Informationen wie Rechnungsadresse, Versandadresse, etc. Es ist nicht im Sinne des Shops nur gelegentlich zu verkaufen. Unserer Meinung nach wäre ein Verarbeitungsverzeichnis zu führen.

2. Eine Website nutzt ein Newsletter-Tool und schlägt den Nutzern vor sich in den Newsletter einzutragen. Auch hier ist das Ziel E-Mail-Adressen zu sammeln und E-Mails zu versenden. Da gezielt E-Mail-Adressen eingesammelt werden, ist auch hier unserer Meinung nach ein Verarbeitungsverzeichnis zu führen.

Auf Anfrage der zuständigen Behörde muss das Verarbeitungsverzeichnis vorgelegt werden, wenn es geführt werden muss.

Aufbau eines Verarbeitungsverzeichnisses

Ein Verarbeitungsverzeichnisses ist immer individuell auf das Unternehmen abgestimmt. Bisher gibt es noch keine amtlichen Vorlagen zu dem Thema, welcher aber sicherlich noch folgen werden.

Eine Vorlage und Leitfaden für den Aufbau eines Verarbeitungsverzeichnisses finden Sie bei Bitkom: https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html

Sobald man Daten für weitere Zwecke nutzt oder an Dritte weitergibt, braucht man eine aktive freiwillige Einwilligung vom Nutzer.

Eine Einwilligung darf nicht passiv per Datenschutzerklärung erfolgen, sondern immer an der Stelle, an welcher die Daten erhoben werden.

In der Theorie reicht eine mündliche, elektronische oder schriftliche Einwilligung aus. Jedoch ist der Seitenbetreiber im Zweifelsfall in der Beweislast. Wie genau der Beweis aussehen soll, weiß leider noch keiner, hier raten manche Anwälte auf die ersten Urteile zu warten. Eine Checkbox als Bedingung zur Einwilligung sollte aber mindestens vorhanden sein. Die Checkbox darf nicht vorausgewählt sein.

Eine Einwilligung muss ebenfalls umfassend sein. Man muss angeben welche Daten wozu genutzt werden und an wen diese weitergegeben werden. Bei der Weitergabe an Dritte muss man ebenfalls angeben, wie diese die Daten nutzen. Auch die Dauer der Nutzung und Speicherung muss erwähnt werden.

Es muss darauf hingewiesen werden, dass der Nutzer die Einwilligung widerrufen kann.

Neu: Das Kopplungsverbot

Neu mit der DSGVO ist das Kopplungsverbot.

DSGVO Art. 7 Abs. 4 sagt: „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Übersetzt heißt das ungefähr: „Man darf keine zwingende Einwilligung für eine Verarbeitung von personenbezogenen Daten einbauen, wenn das für das eigentliche Angebot nicht erforderlich ist.“

Dazu zwei Beispiele:

1. Es darf kein Download für ein freies E-Book mit der Einwilligung für Newsletter gekoppelt werden

2. Eine Bestellung in einem Shop, darf nicht automatisch per AGB oder andere zwingender Einwilligung an weitere Werbemaßnahmen gekoppelt sein.

3. Gewinnspiele dürfen die gesammelten Daten nicht mit einer Pflichteinwilligung für weitere Werbemaßnahmen koppeln.

Datenschutz-Folgeabschätzung

Wie der Name bereits erahnen lässt, müssen hier die Folgen von „Datenschutzpannen“ abgeschätzt werden.

Die Datenschutz-Folgeabschätzung betrifft meinst nur größere Unternehmen, welche Daten in großen Mengen oder kleinere Unternehmen, welche Daten besonderer Kategorien nutzen, wie Krankenakten, Steuerdaten, etc..

Hier müssen die Verarbeitungsvorgänge beschrieben, mögliche Risiken durchgespielt, Notwendig- und Verhältnismäßigkeit erklärt und mögliche Maßnahmen geplant werden.

Sobald man zu einer Datenschutz-Folgeabschätzung verpflichtet ist, braucht man ebenfalls einen Datenschutzbeauftragten. Wie eine Datenschutz-Folgenabschätzung aussehen soll, ist noch nicht klar. Die Behörden wollen dazu aber Beispiel-Listen veröffentlichen.

Meldepflicht bei Datenschutzverstößen

Bei Datenpannen, wie Datenbankhacks oder auch fahrlässigem Umgang mit den Daten, sind Sie nun verpflichtet diese der Aufsichtsbehörde innerhalb von 72 Stunden zu melden. Ebenfalls müssen die Betroffenen informiert werden. Sie sind außerdem zu einer umfassenden Dokumentation verpflichtet.

Eine praktische Vorgehensweise gibt es noch nicht. Wichtig ist es jedoch den Vorfall den zuständigens Behörden zu melden.

Datenschutzerklärung

Die Datenschutzerklärung muss in fast allen Fällen angepasst werden. Es wird nun eine einfache und verständliche Sprache für die Nutzer gefordert, welche über alle Datenverarbeitungsprozesse aufklären muss.

Des Weiteren muss noch ein Ansprechpartner genannt werden, an den sich die Nutzer wenden können. Sollte es einen Datenschutzbeauftragten geben, muss dieser ebenfalls genannt werden.

Folgende Punkte müssen beachtet werden (falls vorhanden):

• Die Verarbeitung der Daten auf der Seite
• Umgang mit Kunden-/Bestelldaten
• Nutzung von Tracking- und Social-Media-Tools
• Newsletter-Tool inkl. Hinweis auf Auftragsdatenverarbeitungsvertrag (ADV)
• Dauer der Speicherung
• Abschnitt zur Auskunft, Berichtung, Löschung und Widerspruch zu den Daten
• Pflicht auf Datenportabilität
  

Pflicht zur Datenportabilität

Der Besucher hat das Recht auf Herausgabe seiner Daten. Ein Beispiel dafür gibt es noch nicht. Man sollte jedoch davon ausgehen, dass die Daten der Person inkl. die Art und der Umfang der Verarbeitung gemeint ist.

Verschlüsselung von Daten

Sobald mit personenbezogenen Daten gearbeitet wird, müssen diese Daten verschlüsselt werden.

Generell kann man sagen, dass jede Seite mittlerweile ein SSL-Zertifikat haben sollte, da fast alle Seiten in irgendeiner Form personenbezogene Daten übertragen.

Hier einige Fallbeispiele, wann die Website verschlüsselt werden muss:

• Kontaktformular
• Kommentarfunktion
• Online-Shop
• Newsletter-Anmeldefeld
• Verwendung von Cookies

Recht auf Vergessenwerden / Löschpflicht

Daten müssen gelöscht werden, wenn

• diese nicht mehr dem eigentlichen Verwendungszweck dienen.
• Die Einwilligung widerrufen wurde bzw. der Besucher widerspricht
• Keine gesetzlichen Speicherpflichten verletzt werden
  

Dazu haben wir einige Beispiele für Sie:

1. Teilnahme am Gewinnspiel
Wenn das Gewinnspiel vorbei ist, müssen alle Daten der Teilnehmer gelöscht werden, es sei denn, die Nutzer haben freiwillig eingewilligt, dass die Daten noch für weitere Zwecke erhoben werden. Die Einwilligung darf nicht durch Teilnahme am Gewinnspiel erzwungen werden (siehe Kopplungsverbot weiter oben)

2. Newsletter-Abmeldung
Bei der Newsletter-Abmeldung widerruft die Person die Einwilligung zum Erhalt von Emails. In den meisten Fällen ist der Erhebungszweck zur Speicherung der E-Mail-Adresse damit weggefallen und die Daten müssen gelöscht werden.

3. Kundendaten im Online-Shop
Wenn ein Kunde sich in einem Shop angemeldet hat und kann er darauf bestehen, dass das Konto und seine Daten gelöscht werden.

Sollte der Kunde jedoch Bestellungen getätigt haben, haben Sie eine eventuelle Speicherpflicht von 10 Jahren, jedoch nur für die jeweiligen Rechnungs- bzw. Versanddaten. Alle anderen Daten müssen nach Aufforderung gelöscht werden.

Auftragsdatenverarbeitungsvertrag

Ein Auftragsdatenverarbeitungsvertrag (ADV) ist immer dann notwendig, wenn Personen bezogene Daten an Dritte weitergereicht werden, egal ob bewusst oder unbewusst.

Hier einige Beispiele:

1. Sie nutzen einen Newsletter-Anbieter wie KilckTipp, Cleverreach oder MailChimp. Da diese Email-Adressen Ihrer Kunden speichern, ist hier ein ADV notwendig.

2. Webhoster speichern in den allermeisten Fällen mindestens die IP-Adressen der Nutzer. Manche Hoster führen sogar eigene Statistiken. Auch hier ist ein ADV notwendig.

3. Auch Google Analytics speichert IP-Adressen sowie System- und Browser-Daten. Auch hier ist ein ADV notwendig.

Kein SSL-Zertifikat!

Die meisten Seiten nutzen keine SSL-Verschlüsselung. Fast alle Websites erheben Personen bezogene Daten

SSL-Zertifikate müssen meist kostenpflichtig bei dem eigenen Web-Hoster gebucht werden.

Sobald das SSL-Zertifikat aktiv ist muss darauf geachtet werden, dass die Website nur noch per HTTPS erreichbar ist. Bei WordPress ist dies relativ einfach. Gehen Sie dazu im Backend in Einstellungen -> Allgemein. Ersetzen Sie die Einträge für WordPress-Adresse (URL) und Website-Adresse (URL) durch die entsprechenden mit HTTPS.

Google Analytics wird falsch genutzt

Anonymisieren Sie die Daten. Dazu muss folgende fettgedruckte Zeile hinzugefügt werden.

 <script>
    (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
    (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
    m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
    })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');

    ga('create', 'UA-XXXXXXXXX-X', 'auto');
    ga('set', 'anonymizeIp', true);
    ga('send', 'pageview');
</script>

Fügen Sie folgend Abschnitt hinzu:  

ga('set', 'anonymizeIp', true);

Oder ersetzen Sie den Code als Ganzes. Achten Sie darauf das Muster-Tag durch ihr eigenes zu tauschen.

UA-XXXXXXXXX-X

Da die Einbindung von Google Analytics teilweise stark variiert, muss die Code für die Anonymisierung ggf. angepasst werden.

Trotz der Anonymisierung werden noch immer Personen bezogene Daten an Dritte (nämlich Google weitergegeben). Schließen Sie deshalb noch mit Google einen ADV-Vertrag ab:

Folgen Sie dazu den Anweisungen: https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf

Social Sharing Tools nutzen

Die meisten offiziellen Sharing Tool von Facebook und Co verstoßen gegen das Datenschutzrecht. Sobald man die Seite aufruft, werden etliche personenbezogene Daten an die Anbieter übermittelt ohne das diese eingewilligt haben. Auch ein allgemeiner Passus in der Datenschutzerklärung, welcher über das Vorgehen informiert, macht die Sache nicht legal.

Verzichten Sie unbedingt auf diese Tools!

Wenn Sie trotzdem den Nutzern die Möglichkeit geben möchten Inhalte zu teilen, nutzen Sie Tools wie „shariff“. Das Tool wurde von Heise Verlag entwickelt und ist datenschutzkonform.

Für Programmierer: https://github.com/heiseonline/shariff

Als WordPress-Plugin: https://de.wordpress.org/plugins/shariff/

Als Typo3-Extension: https://extensions.typo3.org/extension/rx_shariff/

Newsletter-Tools nutzen

Newsletter-Tools speichern die E-Mail-Adressen und somit ebenfalls personenbezogene Daten. Hier ist zwingend ein Auftragsdatenverarbeitungsvertrag mit den jeweiligen Anbietern erforderlich. Deutsche Anbieter sind zwingend mit den Datenschutz vertraut und halten die Richtlinien meist ein. Gerade von amerikanischen Unternehmen sollte man im Zweifelsfall Abstand halten.

a. Prüfen ob die Datenschutzrichtlinien vom Anbieter eingehalten werden.

b. Auftragsdatenverarbeitungsvertrag mit dem Anbieter abschließen.

Der richtige Umgang mit Cookies auf Ihrer Website

Ende September 2019 hat der Europäische Gerichtshof ein Urteil bzgl. Cookies auf Websites & Shops gefällt, das jeden Betreiber trifft. In diesem Beitrag haben wir Ihnen bereits alle nötigen rund um den korrekten Einsatz von Cookies auf Ihrer Website zusammengestellt.