Worum geht es?

Zum 25. Mai 2018 wird die EU Datenschutzgrundverordnung (EU-DSGVO) wirksam. Sie soll den Umgang von Unternehmen mit personenbezogenen Daten regeln. Darunter fallen Name, Anschrift, Email-Adresse, Telefon, Geo-Daten, IP-Adressen, Cookies uva.
Der Grundsatz: Personenbezogene Daten sind schützenswert und die Verarbeitung nur in engen Grenzen erlaubt. Artikel 5, Abs. 1 DSGVO legt Folgendes fest:

  • Rechtmäßigkeit: Es muss eine Einwilligung der betroffenen Person für die Verarbeitung geben.
  • Verarbeitung nach Treu und Glauben
  • Transparenz: Die Verarbeitung muss in einer nachvollziehbaren Weise erfolgen.
  • Zweckbindung: Der Zweck oder die Zwecke müssen vorher bestimmt sein.
  • Datenminimierung: Nicht mehr Daten als notwendig verarbeiten.
  • Speicherbegrenzung: Nicht mehr nötige Daten sind zu löschen.

Wen betrifft die DSGVO?

Wer personenbezogene Daten verarbeitet und das nicht ausschließlich zur »Ausübung persönlicher oder familiärer Tätigkeiten« (Art. 2 Abs. 2 Buchst. c DSGVO) tut, muss sich an die Regeln der DSGVO halten. Die DSGVO betrifft damit also jeden Webseitenbetreiber, der z.B. ein Kontaktformular hat und/oder Google Analytics und/oder eine Google Map eingebunden hat, einen Newsletter anbietet und/oder Werbung schaltet.

Alle Angaben ohne Gewähr! Die folgenden Informationen ersetzen keine Rechtsberatung und erheben keinen Anspruch auf Korrektheit oder Vollständigkeit. Zweck dieses Beitrags ist es, über die Notwendigkeit von Maßnahmen zur Einhaltung der DSGVO zu informieren. Es ist in jedem Fall ratsam, dass Sie sich zum Thema Datenschutz durch einen Datenschutzbeauftragten/-experten beraten lassen.

HOW TO START - einige wichtige Punkte


Data Mapping ist die Basisarbeit:
Dokumentieren Sie, wo Sie pbD speichern und auf welcher Rechtsgrundlage. Erstellen und pflegen Sie ein Verzeichnis der Verarbeitungstätigkeiten (VdV). Sie müssen ggf. der Behörde gegenüber offenlegen, wie Sie mit den Daten umgehen. Schließen Sie Verträge mit Auftragsverarbeitern (z.B. Google und ihrem Provider). Der Nutzer hat Informations-, Löschungs- und Berichtigungsansprüche. Passen Sie Ihre Datenschutzerklärung an. Weisen Sie auf ein Erfassungs-, Speicher- und Löschkonzept hin, das Sie auch umsetzen!

Allgemeines

  • Sie dokumentieren, wofür die personenbezogenen Daten verwendet werden.
  • Dokumentation der bestehenden Verträge/Vereinbarungen.
  • Erstellen eines Plans, für den Fall, dass ein Nutzer seine personenbez. Daten einsehen oder diese löschen möchte.

Website & Domain

  • Website auf https umstellen (SSL-Zertifikat beim Provider einrichten)
  • Ein Vertrag zur Auftragsverarbeitung (AV) mit dem Provider abschließen
  • Impressum und Datenschutzerklärung sind von jeder Seite aus gut erreichbar

Kontaktformular

  • Checkbox zur Zustimmung (Opt-in) der Datenschutzerklärung integrieren
  • Datenschutzerklärung anpassen
  • Über das Widerrufsrecht aufklären - es muss so einfach sein wie die Erteilung der Einwilligung
  • Nachweis der Einwilligung

Einbetten von YouTube Videos

  • Datenschutzmodus in YouTube aktivieren
  • Datenschutzerklärung anpassen

Einbetten von Facebook Like Buttons

Die Rechtslage ist hier noch nicht eindeutig. Daher die Empfehlung, den Like Button zunächst von der Website zu nehmen und ggf. nur die eigene Fb Seite zu verlinken.

Cookie Hinweis

  • Cookie-Hinweis bei Aufruf der Seiten einbauen? - nach meinem Kenntnisstand noch nicht zwingend notwendig. (Wird für Deutschland durch die ePrivacy VO voraussichtlich 2019 geregelt. Ein Hinweis darf den Link zum Impressum und zur Datenschutzerklärung nicht verdecken.
  • Datenschutzerklärung anpassen
  • weiterführender Link: Cookie-Hinweis auf Webseiten: Quatsch oder Pflicht?

Google Analytics

  • IP-Anonymisierung durch zusätzliches Script veranlassen
  • Vertrag zur Auftragsverarbeitung (AV) abschließen - ehem. Auftragsdatenverarbeitung (ADV)
  • Auf das Widerspruchsrecht in Datenschutzerklärung hinweisen
  • Die Datenschutzerklärung entsprechend anpassen (ggf. auch für Piwik)
    Opt Out Cookie und Link zu Browser Plugin nennen
  • weiterführender Link: Google Analytics datenschutzkonform einsetzen

Newsletter

  • Datenschutzerklärung anpassen
  • Einwilligungsformulare und Bestätigungsmails (Double-opt-in) erweitern um Hinweise auf die Datenschutzerklärung.
  • Nachweis der Einwilligung

Angebot an meine Kunden

Für die von Ihnen mit Ihren Rechtsberatern erarbeitete Umsetzung der erforderlichen Maßnahmen sprechen Sie mich gerne mit genügend Vorlauf an.

Nochmals der Hinweis: Diese Informationen erheben keinen Anspruch auf Richtigkeit und Vollständigkeit und ersetzen keine Rechtsberatung durch einen Juristen!

Hamburg, 29. März 2018