EU Datenschutz-Grundverordnung

Zeit zu handeln: Die Datenschutz-Grundverordnung der EU (DSGVO) und was sie für die Betreiber von Websites bedeutet

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. Alle Unternehmen und Organisationen müssen die Einhaltung der Verordnung sicherstellen. Bei Nichteinhaltung ist mit schweren Strafen zu rechnen. Dies gilt auch für Websites, die oft das Fenster einer Organisation zur Welt sind und ein Werkzeug, mittels dem oft persönliche Daten gesammelt und gespeichert werden. Webseiten sind ein exponierter Ort, den Behörden wohl zuerst prüfen werden.

 

Die EU-Datenschutz-Grundverordnung (DSGVO) ist die wichtigste Änderung im Bereich der Datenschutz-Regulierung seit 20 Jahren.

Konform gehen mit der Datenschutz-Grundverordnung stellt Betriebe und Organisationen vor Herausforderungen, zumal die vollständige DSGVO ein sehr detailliertes Dokument voller juristischer und technischer Terminologie ist, da es komplexen, vielschichtigen Gegebenheiten gerecht werden muss.

An der Umsetzung führt allerdings kein Weg vorbei. Letztendlich wird die DSGVO den Schutz der Privatsphäre für alle verbessern - und auch zum Schutz der internen Prozesse und Systeme Ihres Unternehmens bzw. Ihrer Organisation beitragen.Dies ist ein guter Grund, bei der Umsetzung der DSGVO von Anfang an gründlich vorzugehen. Es liegt in der Natur der sich schnell entwickelnden Internet-Technologien, dass die damit zusammenhängenden rechtlichen Implikationen zunächst verwirrend erscheinen.

 

Was bedeutet die DSGVO für Ihre Website und was ist die beste Lösung?

Zunächst ein Haftungsausschluss unsererseits. Wir können hier nur einen allgemeinen Überblick über die Situation und mögliche Lösungen für Ihre Website bieten. Die Regelungen der DSGVO sind sehr detailliert. Eine endgültige Lösung erfordert Evaluierung, Planung und eine Ausführung, die speziell für Ihr Unternehmen bzw. Ihre Organisation angepasst ist.

Unsere Agentur besteht aus einem Team von Fachleuten in der EU, die Experten in den Bereichen Design, Entwicklung, Inhalt, SEO und Online-Marketing-Kommunikation sind. Wir sind also gut positioniert, um Ihnen frühzeitige Tipps zu DSGVO-Lösungen für Ihre Website zu geben und auch eine für Sie relevante Lösung zu erarbeiten.

In den meisten Fällen kann die Lösung ziemlich einfach sein - Vermeiden Sie die Speicherung von persönlichen Daten auf Ihrer Website, und voilà - das Problem ist gelöst!

Natürlich sollten Website-Lösungen an die Art und die Größe der Website – welche Daten gespeichert werden und wie mit den Daten gearbeitet wird – angepasst sein.

Zur Umsetzung der Datenschutz-Grundverordnung kommen unterschiedliche Maßnahmen in Frage:

  • Verbesserung der Sicherheit der Website und zwar sowohl der Website- Infrastruktur bzw. Plattform und der enthaltenen Daten als auch des Servers, der die Website im Internet hostet.

  • Der Grund für die Sammlung von Nutzerdaten sollte klar dargelegt werden sowie in leicht verständlicher Sprache übersichtlich dargestellt sein. Beim Speichern von Daten ist immer die aktive Zustimmung des Benutzers einzufordern.

  • Benutzer brauchen einfache Möglichkeiten für den Zugriff, die Änderung oder Löschung ihrer Daten bzw. das Abbestellen für die Zusendung von Informationen.

  • Überprüfen Sie für jeden der von Ihnen verwendeten Datenprozessoren von Drittanbietern deren jeweilige Datenschutzrichtlinien und stellen Sie sicher, dass diese auch DSGVO-konform sind. Ist das nicht der Fall benutzen, Sie Alternativen.

  • Die Website-Analyse, also die Überwachung des Datenverkehrs und des Nutzerverhaltens, muss ebenfalls der DSGVO entsprechen, da sie IP's und einige personenbezogene Daten erfasst.

Im Allgemeinen erlauben Internetbrowser einem Benutzer, seine Cookies entsprechend anzupassen und die Verfolgung zu verhindern. Als Betreiber einer Website sollten Sie die Benutzer verständlich darüber informieren und ihnen Optionen aufzeigen, wie sie dies kontrollieren können. Diese einfache und effiziente Lösung wenden viele Unternehmen und Organisationen in der EU und weltweit an.

Dennoch sollten Besucher der Website jederzeit die Möglichkeit haben, ihre Zustimmung zur Speicherung von Daten zu widerrufen. Es sollte genauso einfach sein eine Einwilligung zu geben wie sie zu widerrufen. Eine Opt-out-Funktion für Ihr Traffic- Analyse-Tool wäre etwa eine einfache Lösung.

Um Beschwerden bestmöglich zu vermeiden ist es wichtig, Ihre vorhandene Website darauf hin zu überprüfen, inwieweit sie die Anforderungen erfüllt und ob die derzeit verwendete Technologie, Plattform und Serversicherheit den Anforderungen entspricht – oder eben nicht.

Bei bestehenden Websites kann es unter Umständen kompliziert sein, alle vorhandenen Features an die Vorschriften der DSGVO anzupassen. In manchen Fällen kann es sogar besser und günstiger sein, eine komplett neue Website zu erstellen.


Was ist die DSGVO? ─ Überblick

Nach vierjähriger Vorbereitung und Debatte wurde die DSGVO am 14. April 2016 vom EU-Parlament verabschiedet. Am 04. Mai 2016 wurde die EU Datenschutz-Grundverordnung im EU-Amtsblatt veröffentlicht und tritt zwei Jahre später am 25. Mai 2018 in Kraft. Ab diesem Datum müssen Unternehmen bzw. Organisationen bei Nichteinhaltung mit hohen Geldstrafen rechnen.

Die Datenschutz-Grundverordnung der EU ersetzt die Datenschutzrichtlinie 95/46 / EC und soll die Datenschutzgesetze in ganz Europa harmonisieren, den Datenschutz für alle EU-Bürger stärken und die Art und Weise, wie Organisationen in der gesamten EU den Datenschutz angehen, neu gestalten.

Ziel der Datenschutz-Grundverordnung ist es, allen EU-Bürgern die Möglichkeit zu geben, sich gegen Verstöße zu schützen. Jedes Unternehmen oder jede Organisation, das Kunden in der EU Dienstleistungen oder Produkte anbietet, muss deren persönliche Daten schützen und darf diese nicht missbrauchen. Dies gilt sowohl für das Erheben und Sammeln von Daten, z. B. Unternehmen und Organisationen, als auch Datenverarbeiter, z. B. Cloud-Software-Anbieter.

Behörden und und Organisationen, die personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten benennen, der für die Überwachung der Einhaltung der DSGVO innerhalb der Organisation verantwortlich ist.

Sanktionen: Schwerwiegende Verstöße gegen die DSGVO können mit bis zu 4% des jährlichen Umsatzes oder 20 Mio. EUR bestraft werden.

Die DSGVO trägt dazu bei, den Datenschutz für Menschen sowohl innerhalb der EU als auch weltweit zu stärken.

 

Die wichtigsten Regelungen der DSGVO

Erstmals rückt mit der DSGVO die Person in den Vordergrund die Daten generiert, das sogenannte Datensubjekt. Das Datensubjekt ist eine Person, die direkt oder indirekt identifizierbar ist.

 

Verstoßmeldung

Im Rahmen der Datenschutz-Grundverordnung wird die Meldung von Verstößen in allen Mitgliedsstaaten einheitlich verbindlich vorgeschrieben, wenn ein Verstoß gegen die Datenschutzbestimmungen die Rechte und Freiheiten des Datensubjektes bedroht. Eine Meldung muss innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes erfolgen. Die Datenverarbeiter (z.B. Anbieter von Webdiensten, Betreiber von Webseiten) sind außerdem verpflichtet, ihre Kunden und die jeweilige nationale Kontrollbehörde zu benachrichtigen, nachdem sie einen Verstoß gegen die DSGVO bemerkt haben.


Zugangsrecht

Zu den durch die DSGVO erweiterten Rechte der betroffenen Personen gehört das Recht, von den für die Datenverarbeitung Verantwortlichen Auskunft zu erhalten, ob personenbezogene Daten über sie verarbeitet werden und wenn ja, wo und, zu welchem Zweck dies geschieht. Ferner muss der für die Verarbeitung Verantwortliche dem Betroffenen kostenlos eine Kopie der personenbezogenen Daten in elektronischer Form zur Verfügung stellen. Diese Änderung bedeutet eine grundlegende Veränderung der Datentransparenz und der Stärkung der Rechte betroffener Personen.


Datenlöschung: Das Recht auf vergessen

Betroffene Person können die für die Verarbeitung ihrer personenbezogenen Daten Verantwortlichen zwingen, diese Daten zu löschen sowie deren Weiterverbreitung einzustellen; auch Dritten kann die Verarbeitung der Daten untersagt werden. Daten, die für die ursprünglichen Zwecke, etwa die Verarbeitung, nicht mehr relevant sind, müssen gelöscht werden, ebenso wenn die betroffenen Personen ihre Zustimmung zur Verwendung der Daten zurückziehen. Dies verlangt von den für die Verarbeitung der Daten Verantwortlichen, die Rechte der Datensubjekte gegenüber dem öffentlichen Interesse an der Verfügbarkeit der Daten abzuwägen.


Datenportabilität

Betroffene Personen haben das Recht, die sie betreffenden personenbezogenen Daten, von einem Datenverarbeiter in einem "allgemein verwendbaren und maschinenlesbaren Format" zur Verfügung gestellt zu bekommen und ggf. die Weiterleitung an einen neuen Dienstleister zu veranlassen, wenn hierdurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.


Datenschutz durch Design

Das Konzept Privacy by Design existiert bereits seit Jahren, wird aber erst mit der DSGVO Teil gesetzlicher Anforderungen. In seinem Kern verlangt Privacy by Design die Einbeziehung allgemeiner Grundsätze des Datenschutzes in die Entwicklung von Systemen von Anfang an und nicht als bloße Ergänzung.

Genauer gesagt: "Der für die Verarbeitung Verantwortliche setzt geeignete technische und organisatorische Maßnahmen in wirksamer Weise um, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen“. Nach Artikel 23 DSGVO dürfen die für die Verarbeitung von Daten Verantwortlichen nur die die für die Erfüllung ihrer Aufgaben unbedingt notwendigen Daten speichern und verarbeiten (Datenminimierung), außerdem müssen sie den Zugang zu personenbezogenen Daten auf diejenigen beschränken, die für die Verarbeitung zuständig sind.

 

Datenschutzbeauftragte

Bis zum Inkrafttreten der DSGVO müssen die für die Verarbeitung von personenbezogenen Daten Verantwortlichen ihre Datenverarbeitungsaktivitäten den lokalen Datenschutzbehörden melden, was für multinationale Unternehmen einen hohen bürokratischen Aufwand bedeuten kann, da in den meisten Mitgliedsstaaten unterschiedliche Meldeanforderungen gelten. Im Rahmen der DSGVO ist es nicht mehr erforderlich, Meldungen bzw. Registrierungen zu Datenverarbeitungstätigkeiten an jede lokale Datenschutzbehörde zu übermitteln. Stattdessen ist der Betreiber einer Website zur ordnungsgemäßen Dokumentation verpflichtet. Jeder Datenverarbeiter ist zur Ernennung eines Datenschutzbeauftragten dann verpflichtet, wenn seine Kernaktivitäten in Datenverarbeitungsvorgängen bestehen, die eine regelmäßige und systematische Überwachung des Umgangs von personenbezogenen Daten erfordern oder wenn besondere Arten von Daten verarbeitet werden, etwa Daten zu strafrechtlichen Verurteilungen und Straftaten.

Die wichtigsten Anforderungen an den Datenschutzbeauftragten:

  • Datenschutzbeauftragte müssen aufgrund ihrer beruflichen Qualifikationen und insbesondere ihres Fachwissens über geltende Datenschutzgesetze und - Praktiken ernannt werden.

  • Das Amt des Datenschutzbeauftragten kann ein Mitarbeiter oder ein externer Dienstleister ausüben.

  • Seine Kontaktdaten müssen der zuständigen Datenschutzbehörde mitgeteilt werden

  • Der Datenschutzbeauftragte muss mit geeigneten Ressourcen ausgestattet sein, um seine Aufgaben zu erfüllen und sein Fachwissen zu bewahren sowie zu erweitern

  • Der Datenschutzbeauftragte berichtet direkt an die oberste Managementebene

  • Der Datenschutzbeauftragte darf keine anderen Aufgaben ausführen, die zu einem Interessenkonflikt führen könnten.

Für eine erste kostenlose und unverbindliche Prüfung Ihrer Website sowie eine anschließende professionelle Beratung, wie eine neue Website-Lösung zur Einhaltung der DSGVO und zur Verbesserung Ihrer Online-Präsenz beitragen kann, wenden Sie sich bitte an unsere Agentur. Wir sind in der EU ansässig und organisieren gerne direkte persönliche Kontakte.

 

Die Vorteile unserer maßgeschneiderten Lösung 

Wir entwickeln seit über 15 Jahren maßgeschneiderte Website-Lösungen – Erfahrung, die sich für Sie auszahlt

Unsere Agentur bietet Ihnen maßgeschneiderte Dienstleistungen, die ideal für die Einhaltung der DSGVO sind. Wir verwenden keine vorgefertigten Content Management-Systeme (CMS), sondern stellen hybride Lösungen mit vollständig maßgeschneiderten Backoffices für den jeweiligen Bedarf zusammen. Das hat zwei entscheidende Vorteile:

    1. Wir können das Backoffice der Website so aufbauen, dass es vollständig mit den Regelungen der DSGVO konform ist, keine persönlichen Daten der Besucher hostet und dennoch die Verwaltung bestimmter dynamischer Seiten und Inhalte für das Frontend Ihrer Website erlaubt.

    1. Auch wenn das Backoffice, das vollständig mit unserer eigenen Programmierung erstellt wurde, darauf ausgelegt ist, einige personenbezogene Daten von Nutzern zu speichern, bietet es weit weniger Schwachstellen als einige fertige Lösungen, die allzu oft gehackt werden. Darüber hinaus können wir Inhalte in der Datenbank verschlüsseln und so die Informationen noch besser schützen.

Unsere Website-Lösungen werden auf einem von uns verwalteten und sicheren privaten Server gehostet. Dies ist ideal für kleine bis mittlere Unternehmen und Organisationen und bietet Ihnen eine stabile Hosting-Lösung zu einem erschwinglichen Preis.

Größere Unternehmen bzw. Organisationen, die hohe Verantwortung für den Schutz sensibler Daten tragen, sollten in Betracht ziehen, einen eigenen internen Server vollständig von unseren Diensten verwalten zu lassen. Durch erweiterte Firewalls, Intrusion Prevention und DDoS-Angriffsschutz bieten wir mit unseren Lösungen zusätzliche Sicherheit.

Business und Digitalisierung »