Das neue europäische Datenschutzrecht für Website-Betreiber

Auf Heise RegioConzept de ist ein Artikel über das:

DSGVO: Das neue europäische Datenschutzrecht für Website-Betreiber

Dort steht geschrieben:

Zitat

Ab dem 25. Mai 2018 gelten quasi über Nacht die Vorschriften der bereits in Kraft getretenen Datenschutzgrundverordnung (DSGVO). Diese europäische Verordnung gilt, anders als eine Richtlinie, die noch in den einzelnen Mitgliedsstaaten der Europäischen Union umgesetzt werden muss, unmittelbar. Die DSGVO sorgt so ab dem genannten Stichtag für ein EU-weit einheitliches Datenschutzrecht und ersetzt die bestehenden Regelungen.



Teure Bußgelder und drohende Abmahnungen

Unternehmen, Selbstständige und Vereine haben im Bereich des Datenschutzes weitreichende Neuerungen zu beachten und sollten sich daher intensiv mit dem Thema beschäftigen. Wer Ende Mai nicht einigermaßen DSGVO-konform aufgestellt ist, dem drohen ernstzunehmende Konsequenzen. Denn das neue Datenschutzrecht stellt den Aufsichtsbehörden ein empfindliches Instrument zur Ahndung von Datenschutzverstößen zur Verfügung. In bestimmten Fällen können sie Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Konzernumsatzes verhängen, je nachdem welcher Wert höher ist.



Auch der anwaltlichen Abmahnindustrie eröffnen sich neue Möglichkeiten. Wettbewerbsrechtliche Abmahnungen aufgrund von Verstößen gegen das neue Recht versprechen hohe Streitwerte und bieten somit ein lukratives Geschäftsfeld. Zuletzt können auch die mit dem Verbandsklagerecht ausgestatteten Verbraucherschutzverbände gegen unsaubere Datenverarbeitung vorgehen und Unternehmen abmahnen.



Die Zeit drängt

Da bis zum Wirksamwerden der DSGVO nicht mehr allzu viel Zeit bleibt, sollte das Hauptaugenmerk darauf gerichtet werden, das neue Datenschutzrecht dort priorisiert umzusetzen, wo Verstöße leicht nach Außen erkennbar sind. Websites werden das Haupteinfallstor für Abmahnungen sein und sollten daher genauestens unter die Datenschutz-Lupe genommen werden.



Grundsätzlich ist jede Website vom Anwendungsbereich der DSGVO betroffen, denn ohne die Verarbeitung personenbezogener Daten, also Informationen jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare natürliche Person beziehen, lässt sich keine Website betreiben. Zu den personenbezogenen Daten gehören nämlich auch IP-Adressen, deren Übermittlung bereits für reine Lesezugriffe auf Websites notwendig sind.



Ausgenommen von den Datenschutzvorschriften sind lediglich Webangebote, die ausschließlich familiären oder persönlichen Zwecken dienen. Doch wer Bannerwerbung oder Affiliate-Links in seinem sonst privat betriebenen Blog verwendet, gilt bereits als kommerzieller Anbieter und kann sich nicht auf diese Ausnahmeregelung berufen.



Verträge mit dem Webhosting-Anbieter prüfen

Website-Betreiber sollten zunächst die Verträge mit ihrem Webhosting-Anbieter erneuern. Da nicht ohne weiteres personenbezogene Daten auf einem von Dritten bereitgestellten Webspace gespeichert werden dürfen, war auch schon bislang der Abschluss einer Vereinbarung zur sogenannten Auftragsdatenverarbeitung mit dem Hosting-Anbieter notwendig. Dieses nach der DSGVO nur noch als Auftragsverarbeitung bezeichnete Konstrukt regelt, dass der Webhoster personenbezogene Daten nur „gemäß den Weisungen des für die Verarbeitung Verantwortlichen“ – also des Website-Betreibers – verarbeiten darf. Der Webhoster gilt dadurch rechtlich nicht mehr als außenstehender Dritter, wodurch die weitergehenden Anforderungen an eine Datenübermittlung entfallen. Bestehende Vereinbarungen müssen der neuen Rechtslage angepasst werden. Größere Anbieter werden hierfür eigene Muster-Verträge bereitstellen, im Übrigen kann man sich zum Beispiel der Vorlage der Gesellschaft für Datenschutz und Datensicherheit e.V. bedienen.



Datenschutzerklärung überarbeiten

Das Vorhandensein einer Datenschutzerklärung, die über alle Vorgänge aufklärt, bei denen auf der Website personenbezogene Daten verarbeitet werden, ist schon lange Pflicht. Nach der DSGVO wird sich allerdings der Umfang deutlich erhöhen. Ein schlanker One-Pager wird zur Erfüllung der vielen neuen Informationspflichten nicht mehr ausreichen. So muss nun etwa die konkrete Rechtsgrundlage für jede Datenverarbeitung genannt werden. Auch die Rechte der Betroffenen – also der Website-Besucher – sind vielfältiger geworden. Wer nicht gleich einen Datenschutzrechtler mit der Erstellung dieses auch Privacy Policy genannten Dokuments beauftragen will, kann sich grob an der Musterdatenschutzerklärung des Instituts für Informations-, Telekommunikations- und Medienrecht der Universität Münster orientieren. Wichtig ist, dass die Datenschutzerklärung leicht auffindbar ist. Bestenfalls sollte sie im Footer der Website platziert werden, damit sie mit einem Click auch von jeder Unterseite aus erreichbar ist.



Verschlüsseln

Wird auf der Website die Möglichkeit angeboten, personenbezogene Daten in Formulare einzugeben, sollte unbedingt eine SSL-Verschlüsselung eingerichtet werden. Bereits 2015 wurden durch das Bayrische Landesamt für Datenschutzaufsicht Websites beanstandet, die trotz der Verwendung von Kontaktformularen keine angemessenen Schutzmaßnahmen implementiert hatten. Die Pflicht zur Verschlüsselung ergibt sich aus dem in der DSGVO geregelten Grundsatz der Integrität und Vertraulichkeit. Demnach müssen personenbezogene Daten in einer Weise verarbeitet werden, „die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung.“



Newsletter

Wer seinen Website-Besuchern per E-Mail Newsletter zuschickt und nicht zum Spammer werden möchte, sollte die verwendete datenschutzrechtliche Einwilligungserklärung genau überprüfen. Nur wenn der Text den Vorgaben der DSGVO entspricht, haben Alt-Einwilligungen weiterhin ihre Gültigkeit. Der Einwilligungstext darf nicht zu pauschal formuliert sein, sondern muss erkennen lassen, welche personenbezogenen Daten zu welchem konkreten Zweck von wem verarbeitet werden. Wichtig ist auch der Hinweis auf das Widerrufsrecht. Auch für die Erstellung von Einwilligungstexten bietet die Gesellschaft für Datenschutz und Datensicherheit e.V. einen Praxisleitfaden an.



Zwingend ist die Verwendung des Double-Opt-In-Verfahrens, um die Erteilung einer Einwilligung gerichtsfest beweisen zu können.



Social-Media-Plug-ins

Social-Media-Plug-ins, wie der Facebook Like-Button, übertragen auch ohne Click auf die Schaltfläche ungefragt Informationen an die entsprechenden Anbieter. Das Landgericht Düsseldorf hatte im März 2016 daher im Falle von Facebook entschieden, dass die Einbindung derartiger Tools rechtswidrig ist. Abhilfe leistet die sogenannte Shariff-Lösung von c’t, die dafür sorgt, dass soziale Netzwerke erst dann die Daten abfragen können, wenn der Botton auch tatsächlich betätigt wird.



Cookies und Webtracking

Keine wirklich verbindlichen Aussagen können darüber getroffen werden, ob die Verwendung bestimmter Cookies zum Webtracking künftig nur noch mit ausdrücklicher Einwilligung des Nutzers möglich sein wird. Die ePrivacy-Verordnung, die eigentlich zeitgleich mit der DSGVO in Kraft treten sollte und genau diesen Bereich der elektronischen Kommunikation abdecken wird, steckt noch im Entwurfsstadium. Umstritten ist, ob die bisherigen gesetzlichen Regeln zum Webtracking des Telemediengesetzes (TMG) neben der DSGVO weiterhin gelten oder nicht. Zur Vermeidung von Haftungsrisiken sollten Websitebetreiber, die ein eigenes Webtracking z. B. zur Besuchermessung durchführen, weiterhin die Regeln des § 13 Abs. 3 TMG einhalten. Das Webtracking darf u. a. nur pseudonym durchgeführt werden, es muss in der Datenschutzerklärung darüber informiert werden und es muss eine Opt-Out-Möglichkeit geben. Im Falle des Einsatzes von Retargeting-Technologien sollte hingegen die Einwilligung der Nutzer eingeholt werden. Es bleibt abzuwarten, wie die Datenschutzbehörden dieses kontrovers diskutierte Thema beurteilen werden.



Fazit

Vieles von dem, was Websitebetreiber bislang an datenschutzrechtlichen Vorgaben erfüllen mussten, hat auch weiterhin Bestand. Deutsche Anbieter profitieren davon, dass auch vor der DSGVO hierzulande ein hohes Datenschutzniveau geherrscht hat. Dort, wo Anpassungen erforderlich sind, insbesondere bei der Datenschutzerklärung, sollte mit der Umsetzung nicht länger gezögert werden. Angesichts hoher Bußgelder und der neuen Möglichkeiten, Abmahnungen zu kassieren, sollte das Thema Datenschutz für Website-Betreiber keine untergeordnete Rolle mehr spielen.

Alles anzeigen

Was bedeutet das für mich als kleiner Webseitenbetreiber der eine Kleine Informationsseite über unseren 2 mal im Jahr stattfindenden Basar unterhält. In der HP ist ein Webformular für Fragen, wo auch die eMail Adresse des Users freiwillig abgegeben wird zur Kontaktaufnahme, mehr Daten werden von uns über den User nicht erfasst.

Kann mir das bitte jemand verständlich erklären was ich tun muss?, um nicht Opfer eines unseriösen Abmahn Anwalt zu werden.

Rabenstaub

> Basar Niederrieden < eine kleine Informationsseite mit der Möglichkeit Kontakt zu uns auf zu nehmen.

Wir versenden keine Newsletter oder sammeln eMailadressen.

Ich hoffe das mein Impressum soweit in Ordnung ist, kann mir das jemand sagen?

In meinem Impressum weise ich auf die Benutzung der eMail zur Kontaktaufnahme hin, das diese nicht an 3 Weitergeleitet wird, dennoch Sicherheitslücken aufweißen kann.,

siehe Impressum meiner Webseite.

In dem Moment wo der User über unser Kontaktformular seine eMail Adresse angibt, den diese ist eine Kontaktaufnahme nicht möglich, muss

ihm oder ihr das klar sein.

In der Konfiguration des System unter Cookies ist nichts eingetragen weder bei CookiesDomaincookie noch bei Cookie-Pfad.

Das muss doch reichen oder ?

hab 2 Generatoren, einen für das Impressum und einen für die Datenschutzerklärung benutzt, und die alten Einträge gelöscht. Den Besitzer der Seite gebeten dies durch einen

Anwalt prüfen zu lassen, mal sehen was dieser meint.