Zeit
zu handeln: Die Datenschutz-Grundverordnung der EU (DSGVO) und was
sie für die Betreiber von Websites bedeutet
Am
25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) der
Europäischen Union in Kraft. Alle Unternehmen und Organisationen
müssen die Einhaltung der Verordnung sicherstellen. Bei
Nichteinhaltung ist mit schweren Strafen zu rechnen. Dies gilt auch
für Websites, die oft das Fenster einer Organisation zur Welt sind
und ein Werkzeug, mittels dem oft persönliche Daten gesammelt und
gespeichert werden. Webseiten sind ein exponierter Ort, den Behörden
wohl zuerst prüfen werden.
Die
EU-Datenschutz-Grundverordnung (DSGVO) ist
die wichtigste Änderung im Bereich der Datenschutz-Regulierung seit
20 Jahren.
Konform
gehen mit der Datenschutz-Grundverordnung stellt Betriebe und
Organisationen vor Herausforderungen, zumal die vollständige DSGVO
ein sehr detailliertes Dokument voller juristischer und technischer
Terminologie ist, da es komplexen, vielschichtigen Gegebenheiten
gerecht werden muss.
An
der Umsetzung führt allerdings kein Weg vorbei. Letztendlich wird
die DSGVO den Schutz der Privatsphäre für alle verbessern - und
auch zum Schutz der internen Prozesse und Systeme Ihres Unternehmens
bzw. Ihrer Organisation beitragen.Dies ist ein guter Grund, bei der
Umsetzung der DSGVO von Anfang an gründlich vorzugehen. Es liegt in
der Natur der sich schnell entwickelnden Internet-Technologien, dass
die damit zusammenhängenden rechtlichen Implikationen zunächst
verwirrend erscheinen.
Was
bedeutet die DSGVO für Ihre Website und was ist die beste Lösung?
Zunächst
ein Haftungsausschluss unsererseits. Wir können hier nur einen
allgemeinen Überblick über die Situation und mögliche Lösungen
für Ihre Website bieten. Die Regelungen der DSGVO sind sehr
detailliert. Eine endgültige Lösung erfordert Evaluierung, Planung
und eine Ausführung, die speziell für Ihr Unternehmen bzw. Ihre
Organisation angepasst ist.
Unsere
Agentur besteht aus einem Team von Fachleuten in der EU, die Experten
in den Bereichen Design, Entwicklung, Inhalt, SEO und
Online-Marketing-Kommunikation sind. Wir sind also gut positioniert,
um Ihnen frühzeitige Tipps zu DSGVO-Lösungen für Ihre Website zu
geben und auch eine für Sie relevante Lösung zu erarbeiten.
In
den meisten Fällen kann die Lösung ziemlich einfach sein -
Vermeiden Sie die Speicherung
von persönlichen Daten auf Ihrer Website, und voilà -
das Problem ist gelöst!
Natürlich
sollten Website-Lösungen an die Art und die Größe der Website –
welche Daten gespeichert werden und wie mit den Daten gearbeitet wird
– angepasst sein.
Zur
Umsetzung der Datenschutz-Grundverordnung kommen unterschiedliche
Maßnahmen in Frage:
- Verbesserung der Sicherheit der Website und zwar sowohl der Website- Infrastruktur bzw. Plattform und der enthaltenen Daten als auch des Servers, der die Website im Internet hostet.
- Der Grund für die Sammlung von Nutzerdaten sollte klar dargelegt werden sowie in leicht verständlicher Sprache übersichtlich dargestellt sein. Beim Speichern von Daten ist immer die aktive Zustimmung des Benutzers einzufordern.
- Benutzer brauchen einfache Möglichkeiten für den Zugriff, die Änderung oder Löschung ihrer Daten bzw. das Abbestellen für die Zusendung von Informationen.
- Überprüfen Sie für jeden der von Ihnen verwendeten Datenprozessoren von Drittanbietern deren jeweilige Datenschutzrichtlinien und stellen Sie sicher, dass diese auch DSGVO-konform sind. Ist das nicht der Fall benutzen, Sie Alternativen.
- Die Website-Analyse, also die Überwachung des Datenverkehrs und des Nutzerverhaltens, muss ebenfalls der DSGVO entsprechen, da sie IP's und einige personenbezogene Daten erfasst.
Im
Allgemeinen erlauben Internetbrowser einem Benutzer, seine Cookies
entsprechend anzupassen und die Verfolgung zu verhindern. Als
Betreiber einer Website sollten Sie die Benutzer verständlich
darüber informieren und ihnen Optionen aufzeigen, wie sie dies
kontrollieren können. Diese einfache und effiziente Lösung wenden
viele Unternehmen und Organisationen in der EU und weltweit an.
Dennoch
sollten Besucher der Website jederzeit die Möglichkeit haben, ihre
Zustimmung zur Speicherung von Daten zu widerrufen. Es sollte genauso
einfach sein eine Einwilligung zu geben wie sie zu widerrufen. Eine
Opt-out-Funktion für Ihr Traffic- Analyse-Tool wäre etwa eine
einfache Lösung.
Um
Beschwerden bestmöglich zu vermeiden ist es wichtig, Ihre vorhandene
Website darauf hin zu überprüfen, inwieweit sie die Anforderungen
erfüllt und ob die derzeit verwendete Technologie, Plattform und
Serversicherheit den Anforderungen entspricht
– oder
eben nicht.
Bei
bestehenden Websites kann es unter Umständen kompliziert sein, alle
vorhandenen Features an die Vorschriften der DSGVO anzupassen. In
manchen Fällen kann es sogar besser und günstiger sein, eine
komplett neue Website zu erstellen.
Die
Vorteile unserer maßgeschneiderten Lösung
Wir
entwickeln seit über 15 Jahren maßgeschneiderte Website-Lösungen –
Erfahrung, die sich für Sie auszahlt.
Unsere
Agentur bietet Ihnen maßgeschneiderte Dienstleistungen, die ideal
für die Einhaltung der DSGVO sind. Wir verwenden keine
vorgefertigten Content Management-Systeme (CMS), sondern stellen
hybride Lösungen mit vollständig maßgeschneiderten Backoffices für
den jeweiligen Bedarf zusammen. Das hat zwei entscheidende Vorteile:
- Wir können das Backoffice der Website so aufbauen, dass es vollständig mit den Regelungen der DSGVO konform ist, keine persönlichen Daten der Besucher hostet und dennoch die Verwaltung bestimmter dynamischer Seiten und Inhalte für das Frontend Ihrer Website erlaubt.
- Auch wenn das Backoffice, das vollständig mit unserer eigenen Programmierung erstellt wurde, darauf ausgelegt ist, einige personenbezogene Daten von Nutzern zu speichern, bietet es weit weniger Schwachstellen als einige fertige Lösungen, die allzu oft gehackt werden. Darüber hinaus können wir Inhalte in der Datenbank verschlüsseln und so die Informationen noch besser schützen.
Unsere
Website-Lösungen werden auf einem von uns verwalteten und sicheren
privaten Server gehostet. Dies ist ideal für kleine bis mittlere
Unternehmen und Organisationen und bietet Ihnen eine stabile
Hosting-Lösung zu einem erschwinglichen Preis.
Größere
Unternehmen bzw. Organisationen, die hohe Verantwortung für den
Schutz sensibler Daten tragen, sollten in Betracht ziehen, einen
eigenen internen Server vollständig von unseren Diensten verwalten
zu lassen. Durch erweiterte Firewalls, Intrusion
Prevention und DDoS-Angriffsschutz bieten wir mit
unseren Lösungen
zusätzliche
Sicherheit.
Was
ist die DSGVO? ─ Überblick
Nach
vierjähriger Vorbereitung und Debatte wurde die DSGVO am 14. April
2016 vom EU-Parlament verabschiedet. Am 04. Mai 2016 wurde die EU
Datenschutz-Grundverordnung im EU-Amtsblatt veröffentlicht und tritt
zwei Jahre später am 25. Mai 2018 in Kraft. Ab diesem Datum müssen
Unternehmen bzw. Organisationen bei Nichteinhaltung mit hohen
Geldstrafen rechnen.
Die
Datenschutz-Grundverordnung der EU ersetzt die Datenschutzrichtlinie
95/46 / EC und soll die Datenschutzgesetze in ganz Europa
harmonisieren, den Datenschutz für alle EU-Bürger stärken und die
Art und Weise, wie Organisationen in der gesamten EU den Datenschutz
angehen, neu gestalten.
Ziel
der Datenschutz-Grundverordnung ist es, allen EU-Bürgern die
Möglichkeit zu geben, sich gegen Verstöße zu schützen. Jedes
Unternehmen oder jede Organisation, das Kunden in der EU
Dienstleistungen oder Produkte anbietet, muss deren persönliche
Daten schützen und darf diese nicht missbrauchen. Dies gilt sowohl
für das Erheben und Sammeln von Daten, z. B. Unternehmen und
Organisationen, als auch Datenverarbeiter, z. B.
Cloud-Software-Anbieter.
Behörden
und und Organisationen, die personenbezogene Daten verarbeiten,
müssen einen Datenschutzbeauftragten benennen, der für die
Überwachung der Einhaltung der DSGVO innerhalb der Organisation
verantwortlich ist.
Sanktionen:
Schwerwiegende Verstöße gegen die DSGVO können mit bis zu 4%
des jährlichen Umsatzes oder 20 Mio. EUR bestraft werden.
Die
DSGVO trägt dazu bei, den Datenschutz für Menschen sowohl innerhalb
der EU als auch weltweit zu stärken.
Die
wichtigsten Regelungen der DSGVO
Erstmals
rückt mit der DSGVO die Person in den Vordergrund die Daten
generiert, das sogenannte Datensubjekt. Das Datensubjekt ist eine
Person, die direkt oder indirekt identifizierbar ist.
Verstoßmeldung
Im
Rahmen der Datenschutz-Grundverordnung wird die Meldung von Verstößen
in allen Mitgliedsstaaten einheitlich verbindlich vorgeschrieben,
wenn ein Verstoß gegen die Datenschutzbestimmungen die Rechte und
Freiheiten des Datensubjektes bedroht. Eine Meldung muss innerhalb
von 72 Stunden nach Bekanntwerden des Verstoßes erfolgen. Die
Datenverarbeiter (z.B. Anbieter von Webdiensten, Betreiber von
Webseiten) sind außerdem verpflichtet, ihre Kunden und die jeweilige
nationale Kontrollbehörde zu benachrichtigen, nachdem sie einen
Verstoß gegen die DSGVO bemerkt haben.
Zugangsrecht
Zu
den durch die DSGVO erweiterten Rechte der betroffenen Personen
gehört das Recht, von den für die Datenverarbeitung
Verantwortlichen Auskunft zu erhalten, ob personenbezogene Daten über
sie verarbeitet werden und wenn ja, wo und, zu welchem Zweck dies
geschieht. Ferner muss der für die Verarbeitung Verantwortliche dem
Betroffenen kostenlos eine Kopie der personenbezogenen Daten in
elektronischer Form zur Verfügung stellen. Diese Änderung bedeutet
eine grundlegende Veränderung der Datentransparenz und der Stärkung
der Rechte betroffener Personen.
Datenlöschung:
Das Recht auf vergessen
Betroffene
Person können die für die Verarbeitung ihrer personenbezogenen
Daten Verantwortlichen zwingen, diese Daten zu löschen sowie deren
Weiterverbreitung einzustellen; auch Dritten kann die Verarbeitung
der Daten untersagt werden. Daten, die für die ursprünglichen
Zwecke, etwa die Verarbeitung, nicht mehr relevant sind, müssen
gelöscht werden, ebenso wenn die betroffenen Personen ihre
Zustimmung zur Verwendung der Daten zurückziehen. Dies verlangt von
den für die Verarbeitung der Daten Verantwortlichen, die Rechte der
Datensubjekte gegenüber dem öffentlichen Interesse an der
Verfügbarkeit der Daten abzuwägen.
Datenportabilität
Betroffene
Personen haben das Recht, die sie betreffenden personenbezogenen
Daten zu erhalten, die sie zuvor einem Datenverarbeiterin einem in
einem "allgemein verwendbaren und maschinenlesbaren Format"
zur Verfügung gestellt haben und das Recht, diese Daten ggf. an
einen Dritten zu übermitteln.
Datenschutz
durch Design
Das
Konzept Privacy by Design existiert bereits seit Jahren, wird aber
erst mit der DSGVO Teil gesetzlicher Anforderungen. In seinem Kern
verlangt Privacy by Design die Einbeziehung allgemeiner Grundsätze
des Datenschutzes in die Entwicklung von Systemen von Anfang an und
nicht als bloße Ergänzung.
Genauer
gesagt: "Der für die Verarbeitung Verantwortliche setzt
geeignete technische und organisatorische Maßnahmen in wirksamer
Weise um, um die Anforderungen dieser Verordnung zu erfüllen und die
Rechte der betroffenen Personen zu schützen“. Nach Artikel 23
DSGVO dürfen die für die Verarbeitung von Daten Verantwortlichen
nur die die für die Erfüllung ihrer Aufgaben unbedingt notwendigen
Daten speichern und verarbeiten (Datenminimierung), außerdem müssen
sie den Zugang zu personenbezogenen Daten auf diejenigen beschränken,
die für die Verarbeitung zuständig sind.
Datenschutzbeauftragte
Bis
zum Inkrafttreten der DSGVO müssen die für die Verarbeitung von
personenbezogenen Daten Verantwortlichen ihre
Datenverarbeitungsaktivitäten den lokalen Datenschutzbehörden
melden, was für multinationale Unternehmen einen hohen
bürokratischen Aufwand bedeuten kann, da in den meisten
Mitgliedsstaaten unterschiedliche Meldeanforderungen gelten. Im
Rahmen der DSGVO ist es nicht mehr erforderlich, Meldungen bzw.
Registrierungen zu Datenverarbeitungstätigkeiten an jede lokale
Datenschutzbehörde zu übermitteln. Stattdessen ist der Betreiber
einer Website zur ordnungsgemäßen Dokumentation verpflichtet. Jeder
Datenverarbeiter ist zur Ernennung eines Datenschutzbeauftragten dann
verpflichtet, wenn seine Kernaktivitäten in
Datenverarbeitungsvorgängen bestehen, die eine regelmäßige und
systematische Überwachung des Umgangs von personenbezogenen Daten
erfordern oder wenn besondere Arten von Daten verarbeitet werden,
etwa Daten zu strafrechtlichen Verurteilungen und Straftaten.
Die
wichtigsten Anforderungen an den Datenschutzbeauftragten:
- Datenschutzbeauftragte müssen aufgrund ihrer beruflichen Qualifikationen und insbesondere ihres Fachwissens über geltende Datenschutzgesetze und - Praktiken ernannt werden.
- Das Amt des Datenschutzbeauftragten kann ein Mitarbeiter oder ein externer Dienstleister ausüben.
- Seine Kontaktdaten müssen der zuständigen Datenschutzbehörde mitgeteilt werden
- Der Datenschutzbeauftragte muss mit geeigneten Ressourcen ausgestattet sein, um seine Aufgaben zu erfüllen und sein Fachwissen zu bewahren sowie zu erweitern
- Der Datenschutzbeauftragte berichtet direkt an die oberste Managementebene
- Der Datenschutzbeauftragte darf keine anderen Aufgaben ausführen, die zu einem Interessenkonflikt führen könnten.
Weitere
Informationen finden Sie auf der offiziellen DSGVO-Website:
https://www.euddpr.org
Wilfried
Zimmermann
Kommentare