Am 25. Mai 2018 tritt die neue EU-Datenschutzreform, kurz DSGVO, in Kraft, die zum Ziel hat, europaweit einheitliche Datenschutzbedingungen zu schaffen. Durch das in ihr verankerte Marktortprinzip gelten die Bestimmungen der DSGVO nicht nur in der EU, sondern weltweit für jeden, der Personen in der EU Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet.
Was für uns alle als Verbraucher sinnvoll sein mag, bedeutet für uns als Webseitenbetreiber aber auch Arbeit und Aufwand, weil nahezu alle bestehenden Seiten an die neuen Anforderungen angepasst werden müssen. Das trifft bspw. zu, wenn Sie:
- eine Besucherstatistik führen und dazu IP-Adressen erfassen
- ein Kontaktformular anbieten, mit dem Besucher Ihnen Nachrichten inkl. persönlicher Daten (=E-Mail-Adresse) senden können
- Besuchern die Möglichkeit geben, Kommentare auf Ihrer Seite zu hinterlassen
- mittels Cookies und Tracking das Nutzerverhalten analysieren
- einen Newsletter anbieten, für den sich Benutzer anmelden können
Bereits erhobene Daten (wie Newsletter-Abonnements etc.) dürfen weiterhin genutzt werden, sofern zum Stichtag die Anforderungen der DSGVO erfüllt sind.
Diese Anforderungen sollten ernst genommen werden ...
... denn bei Verstössen gegen die DSGVO können hohe Bussgelder fällig werden, zudem drohen (in Deutschland) kostspieliege Abmahnungen.
Die wichtigsten Massnahmen im Überblick:
- Erstellen oder aktualisieren Sie Ihre Datenschutzerklärung
Besucher müssen zukünftig über alle Vorgänge rund um die Erfassung uncv Verarbeitung personenbezogener Datenaufgeklärt werden. Dazu zählen u.a. die Zwecke der Datenverarbeitung, Namen und Kontaktinformationen des Verantwortlichen und des Datenschutzbeauftragten, die gesetzliche Grundlage der Erfassung, Empfänger der Daten, Speicherfrist der Daten, ggfs. Weitergabe der Daten, Recht auf Auskunft und Löschung sowie ein Hinweis auf das Beschwerderecht. Einen Online-Generator finden Sie bspw. unter e-recht24, eine Musterseite bspw. bei wko.at
- Stellen Sie den Zugriff auf Ihre Seite (sofern noch nicht geschehen) auf https um, indem Sie ein SSL-Zertifikat nutzen
Hintergrund: Die Übertragung personenbezogener Daten muss lt. DSGVO "sicher" erfolgen, darf also nicht von Dritten abgehört werden können. Das macht den Einsatz von https unumgänglich. Für die Einrichtung eines SSL-Zertifikats ist Ihr Hostinganbieter der richtige Ansprechpartner.
- Ergänzen Sie Formulare um einen (anklickbaren) Hinweis auf Ihre Datenschutzerklärung
Damit stellen Sie sicher, dass die Erfassung von personenbezogenen Daten nur mit der expliziten Einwilligung Ihrer Besucher erfolgen kann. Contao bietet hierfür entsprechende Erweiterungen an.
- Fügen Sie in jedem Newsletter eine direkte Abmeldefunktion hinzu
So geben Sie den Besuchern die Möglichkeit, ihre gegebene Einwilligung direkt und ohne Umwege zu widerrufen.
- Schliessen Sie einen Vertrag über die Auftragsdatenverarbeitung mit Ihrem Hostinganbieter ab
Da Ihr Hostinganbieter (in Ihrem Auftrag) personenbezogene Informationen verarbeitet, müssen Sie mit ihm eine Vereinbarung abschliessen, in welcher Art und Umfang, Rechte und Pflichten der Datenverarbeitung geregelt sind. Auch hierfür ist Ihr Hostinganbieter der richtige Ansprechpartner.
Der Einsatz von Analyse- oder Tracking-Funktionen wie Google Analytics oder Matomo (früher Piwik) erfordert weitere Massnahmen:
- Installieren Sie eine Opt-Out-Option
Auch hierfür existieren für Contao Erweiterungen bzw. Snippets, die dem Beuscher sinnvollerweise auf der Seite der Datenschutzerklärung die Möglichkeit geben, das Tracking zu unterbinden.
- Schliessen Sie einen Vertrag mit Google
Sofern Sie Google Analytics einsetzen, müssen Sie mit Google einen Vertrag über die Auftragsdatenverarbeitung abschliessen. Diesen können Sie entweder bei Google herunterladen, ausdrucken, unterschreiben und an Google senden, oder Sie schliessen diese Vereinbarung direkt in den Kontoeinstellungen Ihres Google Analytics-Kontos.
- Anonymisieren Sie die Google Analytics IP
Dies lässt sich i.d.R. über eine Anpassung des Trackingcodes oder in den Contao-Einstellungen bewerkstelligen.
Dokumentation der Verarbeitungstätigkeiten in einem Verarbeitungsverzeichnis
Von dieser Auflage sind lediglich Unternehmen befreit, die:
- weniger als 250 Mitarbeiter beschäftigen
- nur in beschränktem Umfang und gelegentlich Daten verarbeiten
- deren Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Besucher darstellt
Weitere Informationen zum Verarbeitungsverzeichnis hat u.a. der Branchenverband bitkom in einem PDF zusammengefasst, weitere Informationen gibt es ebenfalls bei der WKO.
Die Anforderungen der DSGVO lassen sich nicht pauschal erfüllen
Je nach den von Ihnen angebotenen Funktionen und Leistungen sind mehr oder weniger Massnahmen nötig, um Ihren Internet-Auftritt auf den Stichtag 256.05.2018 hin DSGVO-konform zu machen.
Für eine individuelle Auskunft zu Umfang und Aufwand stehe ich Ihnen natürlich gerne zur Verfügung - am einfachsten antworten Sie einfach auf diese E-Mail.
|