Infos zur EU-DSGVO

Am 25.05.2018 tritt die neue EU-DSGVO (Datenschutz Grundverordnung) in Kraft.
Mit der neuen Verordnung machten sich Unsicherheiten bei vielen Webseitenbetreibern breit.
In diesem Beitrag möchten wir Sie über die wichtigsten Themen informieren, damit auch Ihre Webseite abmahnsicher bleibt.
In diesem Beitrag wollen wir uns auf die relevanten Elemente für Webseiten-, Blog- und Shopbetreiber beschränken.

 

Welche Strafen drohen für Webseitenbetreiber?

Bei Verletzung der Pflichten aus der DSGVO sind Sanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten Konzernjahresumsatzes möglich. Der höhere Betrag ist dabei maßgeblich.
Das Risiko der Ahndung von Verstößen steigt ab 2018, da damit zu rechnen ist, dass nationale Datenschutzbehörden ihr Personal aufstocken werden. Zudem werden Verbraucherschutzverbände berechtigt sein, die Rechte Betroffener wahrzunehmen, als auch in eigenem Namen datenschutzrechtliche Verstöße geltend zu machen.

 

Muss ich ab jetzt ein SSL Zertifikat benutzen?

Durch die EU-DSGVO muss jede Webseite ein SSL Zertifikat für alle Formulare (z. B: Kontaktformulare, Bestellformulare uvm.), sowie für die Newsletteranmeldung und den Online-Shops gesetzlich haben.
SSL steht für „Secure Sockets Layer“ und verschlüsselt die Kommunikation von Daten, die zwischen Computern und einem Server transportiert werden.

Wir können aber alle Kunden, die ein Webhosting Paket von uns beziehen, beruhigen. Alle Webhosting Pakete der Firma Kaster Development bzw. KD Hosting haben ein SSL Zertifikat schon enthalten. Bei Kunden die Ihre Webseite selber hosten kann es sein, dass diese noch kein SSL Zertifikat haben. Wir werden uns natürlich im laufe des Monats mit diesen Kunden auseinander setzen.

 

Wird jetzt ein Datenschutzhinweis gebraucht bzw. muss aktualisiert werden?

Sofern es sich nicht um eine rein private Seite handelt, auf der nur Bilder für Freunde und Verwandte angeboten werden, ist eine Datenschutzerklärung notwendig.
Der Nutzer hat Anspruch auf klare und leicht verständliche Informationen darüber, wer seine Daten zu welchem Zweck wie und wo verarbeitet.

Die Datenschutzerklärung muss eine individuelle Ausgestaltung vorweisen. Je nachdem ob und wie personenbezogene Daten erhoben werden. Somit muss nun auch auf den Einsatz externer Dienste, wie zum Beispiel Facebook, Google und Twitter, hingewiesen werden, sofern diese durch den Aufruf der Website personenbezogene Daten erheben.

 

Wo muss der Datenschutzhinweis stehen?

Ein Link zum Datenschutzhinweis muss von der Startseite sofort erreichbar sein. Hierbei reicht es einen einfachen Link zum Datenschutzhinweis auf der Startseite zu verlinken.

 

Wird ein Cookiehinweis benötig?

Sofern Cookies auf der Webseite, dem Blog oder einem Shop zu Marketingzwecken Verwendung finden ist ein Hinweis unbedingt erforderlich.
Viele der heute eingesetzten Content Management Systeme (WordPress, Joomla, Drupal) nutzen standardmäßig Cookies ein, um den Nutzer über den Auftritt zu „identifizieren“.
Von daher ist der pauschale Einsatz eines Cookie-Banner angeraten. Dieser sollte deutlich beim ersten Aufruf der Webseite zu sehen sein.
Doch auch hier ergeben sich Probleme. Das Cookie-Banner darf nicht so eingebunden sein, dass dieser Pflichtangaben wie zum Beispiel den Link zum Impressum verdeckt. Meist werden die Cookie-Banner von Seitenbetreibern unten in der Seite eingebunden, wo oft auch das Impressum und die Datenschutzerklärung verlinkt sind.

 

Wie sieht es mit Fotos auf der Webseite aus?

Eine ausdrückliche Einwilligung des Abgebildeten der sicherste Weg der rechtlichen Absicherung, aber in der Praxis nicht immer realisierbar. Denn streng genommen muss eine solche Einwilligung schon vor dem Druck auf den Auslöser erteilt werden, da bereits die Herstellung der Bilddatei eine Datenerhebung- und speicherung ist. Dies gilt übrigens auch bei Aufnahmen, auf denen der Abgebildete nicht erkennbar ist, wenn in den Bildbegleitdaten personenbezogene Informationen enthalten sind. Die DSGVO schreibt nicht vor, dass die Einwilligung schriftlich erteilt werden muss, den Fotografen (der unter der DSGVO jetzt als Datenverarbeiter angesehen wird) trifft aber eine Nachweispflicht, die in der Regel wohl nur durch eine schriftliche Erklärung erfüllt werden kann. Inhaltlich muss die Einwilligungserklärung präziser als früher den beabsichtigten Nutzungszweck und –umfang beschreiben. Das Transparenzgebot besagt auch, dass die Erklärung in einer einfachen und klaren Sprache abgefasst sein muss.
Eine betroffene Person kann jeder Zeit die Zustimmung widerrufen. Somit muss das Foto bzw. die Fotos wieder von der Webseite gelöscht werden.

Weiter Information zum Thema EU-DSGVO und Fotografie finden Sie auf der Folgenden Webseite:
https://www.fotomagazin.de/bild/kolumne/dsgvo-fuer-fotografen-eine-erste-fotorechtliche-einordnung

 

Von welchen Person darf ich Daten erfassen?

Mit Eintritt der DSGVO im Mai 2018 ist eine datenschutzrechtliche Einwilligung erst ab 16 Jahren möglich.
Damit soll Teenagern die Anmeldung bei Internetdiensten wie Facebook und Instagram künftig deutlich erschwert werden.
Aktuell ist in der DSGVO nicht geregelt, wie eine Überprüfung diesbezüglich zu erfolgen hat. 

 

Was muss ich beachten, wenn ich Google Analytics verwende?

Grundsätzlich muss auf den Einsatz von Google Analytics und die Erfassung der persönlichen Daten im Datenschutzhinweis hingewiesen werden. Hier muss auch die Möglichkeit eines Widerrufs hinterlegt werden.
Natürlich muss auch weiterhin dafür Sorge getragen werden, dass der Google Programmcode die IP-Adressen nur gekürzt erfasst (Anonymisierungsfunktion).
Zudem sollte erst eine statistische Erfassung durch Google erfolgen, nachdem der Vertrag zur Auftragsdatenverarbeitung mit dem Dienstanbieter abgeschlossen wurde. 

 

Darf ich Social Media Plattformen benutzen?

Bei dem Einsatz von Social Media (z. B. Facebook Timeline, Twitter Ffeed, LikeButtons) ist sicherzustellen, dass keine Daten des Webseitenbesuchers ohne dessen Zustimmung erhoben werden.
Auf die Verwendung von Social Media Angeboten und die Art des verwendeten Social Plugins (z. B. Like Button, Share Button, Custom Audiences etc.) ist im eigenen Datenschutzhinweis zu informieren. Gleichzeitig muss hier auf die Widerrufmöglichkeiten hingewiesen werden.
Gegebenenfalls ist sogar die „aktive“ Einwilligung des Besuchers notwendig. Dies sollte vor der Verwendung mit dem Datenschutzbeauftragten geklärt werden. 

 

Recht auf Auskunft der erhobenen Daten

Nach Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, haben die betroffenen Personen ein Recht auf Auskunft über diese Daten und darüber hinausgehende Informationen zu deren Verarbeitung.

Das Auskunftsrecht untergliedert sich demnach in zwei Stufen. Zunächst können betroffene Personen von dem Verantwortlichen eine Bestätigung darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Werden keine personenbezogenen Daten eines Antragstellers verarbeitet, ist der Antragsteller darüber zu informieren. Werden personenbezogene Daten eines Antragstellers verarbeitet, hat dieser grundsätzlich ein Recht auf Auskunft über diese Daten. Zusätzlich hat der Verantwortliche nach Art. 15 Abs. 1 DSGVO auch die folgenden Informationen bereitzustellen:

  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten, die verarbeitet werden
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig erhalten werden
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Widerspruchsrecht gegen diese Verarbeitung
  • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren

 

Wie sieht es aus mit Newslettern?

Versand an Bestandskunden

Sie dürfen auch weiterhin Newsletterwerbung für eigene Waren oder Dienstleistungen an Ihre Bestandskunden senden, ohne dass diese dem Versand zustimmen müssen, wenn Sie die verschiedenen Bedingungen aus §7 Abs. 3 UWG erfüllen. Die EU-DSGVO hat auch hierauf zunächst keinen Einfluss.

Einwilligung der Empfänger durch Double-Opt-In

Die Einwilligung der Empfänger wird wie bisher im UWG geregelt und Verstöße dagegen werden bis auf Weiteres durch Abmahnungen nach dem UWG geahndet. Daran ändert sich durch die EU-DSGVO zunächst nichts.

Sie dürfen weiterhin alle Empfänger anschreiben, von denen Sie bereits per Double-Opt-In die Einwilligung erhalten haben. Von diesen Empfängern benötigen Sie auch nicht erneut das Einverständnis dafür, wenn dieses Einverständnis nach bisherigem Recht rechtmäßig eingeholt wurde.

Anmeldung zum Newsletter

Wenn sich Empfänger für Ihren Newsletter anmelden, müssen Sie bereits bei der Erhebung der Daten (also z. B. im Anmeldeformular) darüber informieren, an wen und zu welchem Zweck die Daten übermittelt werden. Hier reicht auch ein Hinweis auf Ihre Datenschutzerklärung, in der Sie diese Informationen zur Verfügung stellen.

 

 

Wichtige Informationen für Kunden

Am 12.05.2018 und am 19.05.2018 werden alle Webseiten* mit einem neuen Impressum sowie Datenschutzhinweis ausgestattet. Auch werden bei allen WordPress Webseiten die passenden Cookiehinweise ergänzt.

(*) Für Kunden die Ihre Webseite von uns pflegen lassen (Übernehmen der Pflege Ihrer Webseite) haben bekommen dieser Service natürlich gratis.
Sollten Sie das Paket nicht haben, können Sie sich bei uns gerne melden. Für nur 19,90 € pro Webseite/Domain machen wir Ihre Webseite fit für die EU-DSGVO.

Sollten Sie noch Fragen bezüglich der EU-DSGVO in Zusammenhang mit Ihrer Webseite haben, können Sie uns gerne kontaktieren.
Wir beraten Sie gerne.

Leave a Comment