Ab 25.05.2018 tritt die die neue Europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Warum gerade kleine Webseitenbetreiber einige Dinge berücksichtigen sollten:
Es klingt zunächst plausibel, dass im Fokus der DSGVO als erstes große Unternehmen wie Facebook und Co. stehen. In Bezug auf die Anwendung bei Internetpräsenzen gilt dies möglicherweise nicht:
- Internetpräsenzen sind nach aussen sichbar und die Anwendung grundlegender Datenschutzmaßnahmen relativ einfach von Dritten zu prüfen.
Durch die zunehmende Sensibilität in der Bevölkerung werden auch Besucher verstärkt auf den Datenschutz achten. - Die Gefahr einer Abmahnung, z. B. durch geschäftstüchtige Kanzleien, welche durch Algorithmen automatisch breit das Internet nach auffälligen Webseiten durchsuchen, ist nicht kalkulierbar und im Zweifel teuer. Die Vergangenheit hat gezeigt, dass sich hier schnell ein Geschäftsfeld entwickeln kann.
Aus diesem Grund sollten grundsätzlich ein paar wesentliche Punkte beachtet werden:
- Datenschutzhinweis
Webseitenbetreiber (das ist bereits heute so) müssen Nutzer verständlich und leicht auffindbar darüber aufklären, wer seine Daten zu welchem Zweck wie und wo verarbeitet. Diese Informationen gehören in den Datenschutzhinweis. Dabei wird z. B. übersehen, dass auch eine IP-Adresse im Sinne des Gesetzes ein personenbezogenes Datum ist, weil sie Rückschlüsse über den Webseitenbesucher zulässt. Im Internet findet man unterschiedliche Muster für Datenschutzhinweise. - Cookies
Werden Cookies auf einer Webseite verwendet, muss darauf hingewiesen werden. Uneinigkeit herrscht, ob ein Hinweis beim Aufruf der Webseite reicht, oder von dem Nutzer eine Einwilligung eingeholt werden muss.
Zu bedenken ist: Viele Content Management Systemen (z. B. WordPress, Joomla etc.) verwenden von Hause aus Cookies!
- Google Analytics und Co
Bei der Verwendung obiger oder vergleichbarer Analysedienste muss grundsätzlich in der Datenschutzerklärung darauf hingewiesen werden. Weiterhin muss der Besucher die Option haben, der Erfassung personenbezogener Daten durch Google o.ä. zu widersprechen. Der Webseitenbetreiber muss darauf achten, dass IP-Adressen von Google und Co. nur anonymisiert erfasst werden.
Viele Webseitenbetreiber setzen diese Tools zwar ein, nutzen sie aber erfahrungsgemäß oft nicht - Es lohnt sich als erstes also die Frage nach der Notwendigkeit - und im Zweifel der Ausbau.
- Kontakformular, Newsletter, etc.
Sehr beliebt: Ein Kontaktformular oder das Angebot zum Newsletter.
Wer auf seiner Webseite ein Kontaktformular, Anmeldung zum Newsletter, oder gar einen Onlineshop verwendet, muss ab dem Stichtag die Daten mit SSL verschlüsselt haben. Dies ist auch für Aussenstehende recht leicht zu erkennen: Die URL beginnt dann mit "https://" und oft zeigen die Browser ein grünes Schloss oder ähnliches an.
Ziel ist die Kommunikation zwischen Benutzer und der Webseite zu verschlüsseln um Datenabgriff durch Dritte zu verhindern.
Neben den angeführten, aus meiner Sicht wichtigsten und schnell zu umsetzbaren Punkten, gibt es möglicherweise noch weitere Dinge zu beachten. Für eine korrekte Umsetzung ist die Beratung von Datenschutzexperten angeraten.
[UPDATE 07.06.2018]
Die Union plant per Gesetzentwurf eine teure Abmahnwelle zu verhindern. Das würde dafür sorgen, dass der wirtschaftliche Anreiz von Abmahnanwälten etc. entfällt. Gleichwohl bedeutet dies nicht, dass die Umsetzung der obigen Maßnahmen nicht weiterhin notwendig ist. Dazu muss man verstehen, dass die aktuellen Abmahnungen ihre Berechtigung aus dem Gesetz gegen den unlauteren Wettbewerb (UWG) ableiten. Das ist damit die eigentliche Basis der vielkritisierten Abmahnungen, nicht die DSGVO. Die Gültigkeit der DSGVO bleibt davon unberührt und die oben erwähnten damit verbundenen Maßnahmen (z.B. die verschlüsselte Datenverbindung bei Kontaktformularen sowie die dezidierten Anforderungen für Newsletter) sind weiterhin notwendig - das Gesetz gilt, Verstöße bleiben Verstöße und das Recht auf Auskunft des Bürgers etc. besteht weiterhin - vermutlich hilft der Gesetzentwurf auf der einen Seite, stiftet aber neue Unsicherheit, bzw. falsche Sicherheit auf der anderen Seite.