DSGVO-Datenschutzgrundverordnung

Veröffentlicht am von Christian Balbach
Grafik zum Blogbeitrag DSGVO

DSGVO

Nach der ersten großen Aufregung rund um das Inkrafttreten der DSGVO (Datenschutz-Grundverordnung) ist es rund um dieses Thema relativ ruhig geworden. Dies wird damit zusammenhängen, dass die meisten Webseitenbetreiber, Newsletteranbieter etc. sich mittlerweile auf dieses Thema eingestellt haben.

Welche Auswirkung diese Verordnung mittelfristig haben wird, wird sich noch zeigen.

Überblick was sollte man beachten

Auch wenn die DSGVO von den meisten Webseitenbetreibern mittlerweile berücksichtigt wurde, so möchte ich dennoch nochmals kurz ein paar Basismaßnahmen auflisten, die ich in diesem Zusammenhang für sehr wichtig erhalte. Bitte beachten Sie, dass es sich hierbei um keine Rechtsberatung in irgendeiner Form handelt, es handelt sich lediglich um ein paar sinnvolle Vorschläge im Zusammenhang mit der DSGVO!

Auftragsverarbeitung

Jeder Webseitenbetreiber nutz mindestens einen Auftragsverarbeiter, den Hosting-Anbieter der die eigene Webseite bereitstellt.

Beim Besuch Ihrer Webseite werden für diese Dienstleistung einige Daten benötigt, die ebenfalls als personenbezogene Daten gelten. Dazu gehören unter anderem:

  • IP-Adresse des anfragenden Rechners,
  • Datum und Uhrzeit des Zugriffs,
  • Name und URL der abgerufenen Datei,
  • Website, von der aus der Zugriff erfolgt,
  • verwendeter Browser und ggf. das Betriebssystem des Rechners des Nutzers sowie der Name des Access- Providers.

Damit Sie sich nun diesbezüglich absichern können, sollten Sie von Ihrem Hostinganbieter eine Vereinbarung zur Auftragsverarbeitung anfordern (gemäß  Art.  28 DSGVO). Viele Anbieter machen Ihnen dies relativ einfach, bei meinem Anbieter Alfahosting konnte ich dies direkt im Kundencenter abwickeln und habe auf diesem Wege eine pdf-Datei mit der Vereinbarung runterladen können. Im Rahmen einiger Webseitenprojekte habe ich dies ohne Probleme über Strato ebenfalls abwickeln können. Ich bin mir sicher, dass dies bei allen größeren Anbieter möglich ist.

Darüber hinaus ist es sinnvoll auch von anderen „Datenverarbeitern“ solche Vereinbarungen einzufordern. Dies könnte z. B. ein Buchhaltungsanbieter wie Lexoffice oder Fastbill sein oder ein Anbieter für die Verwaltung von Newslettern.

Meine bisherige Erfahrung solche Vereinbarungen mit Cloudanbietern, wie z. B. Apple (iCloud) oder Microsoft (OneDrive), abzuschliessen, war bisher sehr ernüchternd. Diese Firmen sehen sich nicht als Auftragsdatenverarbeiter und sehen sich aus diesem Grunde nicht veranlasst solche Vereinbarungen anzubieten.

Diesen Punkt wird in der DSGVO ein eigener Artikel gewidmet, dabei handelt es sich um den Artikel 28. Es wird darauf hingewiesen, dass:

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Des weiteren heißt es dort:

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.

Es wird dort ganz klar darauf hingewiesen, dass nur eine Zusammenarbeit mit Auftragsverarbeitern stattfinden darf, die hinreichend Garantien dafür bieten, dass die Verarbeitung der Daten im Einklang mit dieser Verordnung stehen.

Die Verarbeitung durch den Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrages. Bei diesem Vertrag wird verbindlich:

  • die Verantwortlichkeit,
  • der Gegenstand und die Dauer der Verarbeitung,
  • Art und Zweck der Verarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorie der betroffenen Personen und 
  • die Rechte und Pflichten der Verantwortlichen

festgelegt.

Bitte achten Sie darauf mit allen potentiellen „Datenverarbeitern“ eine solche Vereinbarung bzw. einen solchen Vertrag zu schliessen!

Datenschutzerklärung

Eine Datenschutzerklärung darf auf Ihrer Webseite nicht mehr fehlen. Diese ist aus rechtlichen Gründen ein „Muss“, vergleichbar mit einem ordentlichen Impressum. Hier kann man sich entweder bei den Datenschutzerklärungen anderer „bekannten“ Seiten bedienen, nutzt einen entsprechenden Onlinedienst oder (um auf der sicheren Seite zu sein) zieht einen darauf spezialisierten Anwalt hinzu.

Wichtig sind hierbei die Hinweise auf die nicht zu vermeidende Erfassung von persönlichen Daten durch den Hostinganbieter, diese sollte Sie in der Datenschutzerklärung einfach aufzählen.

Sollte Sie Cookies für Ihre Webseite verwenden bzw. Dienste einsetzen die Cookies verwenden, so sollten Sie darauf ebenfalls in der Datenschutzerklärung hinweisen.

Sie sollten sich mit diesem Thema sorgfältig auseinandersetzen und das Thema Datenschutzerklärung nicht auf die leichte Schulter nehmen.

Kontaktformulare

Hier sollte unbedingt beachtet werden, dass die Seite mit dem Kontaktformular (am besten natürlich die komplette Webseite!) verschlüsselt ist (siehe dazu auch diesen weiteren Beitrag: Was bedeutet SSL und warum steht ein Schloss vor der Internetadresse). Mittlerweile gibt bereits erste Berichte über rechtliche Probleme in Bezug auf ein nicht verschlüsseltes Kontaktformular.

Bevor der Webseitennutzer das Kontaktformular abschliessen kann, sollte immer ein Link zur Datenschutzerklärung stehen. Wichtig ist auch die Integration einer Checkbox zur Einwilligung der Nutzung der Daten zum Zwecke der Kontaktaufnahme. Ähnlich sollte man auch bei einer Anmeldung für einen Newsletter verfahren.

Weitere Informationen

Zu diesem ganzen Thema gibt es eine Webseite mit vielen Informationen und der Option bestimmte Materialien und Online-Kurse zu erwerben, die Seite heisst lawlikes.de. Auf dieser Seite würde ich auf jeden Fall einmal vorbeischauen, dort wird eine kostenlose Checkliste zur DSGVO angeboten (ohne die Verpflichtung sich dort zu registrieren oder ähnliches!). Die Checkliste findet man auf der folgenden Unterseite: Lawlikes Checkliste.

Es gibt noch viele weitere Quellen zu diesem Thema. Auch die IHKs geben hierzu Informationen raus, unter anderem auch die IHK Nordwestfalen.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert