Einleitung
Als Website-Betreiber ist es wichtig, die Datenschutz-Grundverordnung (DSGVO) zu kennen, um von den Datenschutzinvestitionen zu profitieren und sich vor rechtlichen Konsequenzen zu schützen. Die DSGVO ist eine EU-Verordnung, die schon 2018 in Kraft getreten ist und den Schutz personenbezogener Daten innerhalb der Europäischen Union (EU) gewährleistet. In diesem Artikel erklären wir, was die DSGVO ist, welche Anforderungen sie an Website-Betreiber stellt und wie man diese erfüllen kann.
Was ist die DSGVO?
Die DSGVO ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten innerhalb der EU gewährleisten soll. Sie trat am 25. Mai 2018 in Kraft und gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, wo sich das Unternehmen befindet.
Sie zielt darauf ab, den Schutz personenbezogener Daten innerhalb der EU zu verbessern und einheitliche Regeln für alle Mitgliedsländer für den Umgang mit Daten zu schaffen. Die Verordnung soll sicherstellen, dass personenbezogene Daten nur mit Einwilligung der betroffenen Person erhoben, gespeichert, verarbeitet und genutzt werden. Unternehmen müssen ihre Datenverarbeitung transparent und nachvollziehbar gestalten, sowie angemessene Sicherheitsvorkehrungen treffen. Die DSGVO stärkt zudem die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten.
Die DSGVO gilt für alle Arten von personenbezogenen Daten, einschließlich sensibler Daten wie Gesundheitsdaten oder politischen Meinungen.
Die wichtigsten Grundsätze der DSGVO sind:
- Rechtmäßigkeit,
- Transparenz und Zweckbindung der Datenverarbeitung,
- Datenminimierung,
- Richtigkeit und Aktualität der Daten,
- Speicherbegrenzung,
- Integrität und Vertraulichkeit, sowie
- Verantwortlichkeit und Rechenschaftspflicht.
Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um diese Grundsätze einzuhalten und personenbezogene Daten zu schützen.
Wer ist von der DSGVO betroffen?
Die Datenschutz-Grundverordnung (DSGVO) betrifft alle Personen (natürlichen und juristischen), die personenbezogene Daten verarbeiten, unabhängig von ihrer Größe oder ihrem Sitz. Dies umfasst Unternehmen, Behörden, Organisationen, Vereine und auch Einzelpersonen, die personenbezogene Daten automatisiert oder nicht automatisiert verarbeiten. Auch Unternehmen außerhalb der Europäischen Union, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen die Bestimmungen der DSGVO einhalten.
Jeder Website-Betreiber ist von der DSGVO betroffen. Das gilt schon alleine wegen der Verarbeitung von IP-Adressen. Aber auch Cookies, Digitale Assets (wie Google Fonts) oder Kontaktformulare auf der Website sind relevante Beispiele für die Anwendung der DSGVO. Auch wenn die Website keine kommerziellen Absichten verfolgt, sondern beispielsweise von einer Privatperson betrieben wird, muss der Website-Betreiber sicherstellen, dass er die Anforderungen der DSGVO erfüllt.
Die Nichteinhaltung der DSGVO kann zu hohen Bußgeldern führen. Die Höhe der Strafe hängt von der Art und dem Umfang des Verstoßes ab. Im schlimmsten Fall können Bußgelder in Millionenhöhe drohen. Abgesehen von den finanziellen Konsequenzen kann ein Verstoß gegen die DSGVO auch zu einem enormen Vertrauensverlust bei Deinen Kunden führen.
Dein Website-Radar Team.
Was sind personenbezogene Daten?
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen zum Beispiel Namen, Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten oder auch biometrische Daten wie Fingerabdrücke oder Gesichtserkennungsdaten. Auch Informationen zu persönlichen Interessen oder Vorlieben können personenbezogene Daten darstellen.
Besonders schützenswert sind sensible Daten wie Gesundheitsdaten oder Informationen zu religiösen oder politischen Überzeugungen. Die Verarbeitung personenbezogener Daten ist nur erlaubt, wenn sie auf einer rechtlichen Grundlage beruht, wie zum Beispiel einer Einwilligung der betroffenen Person oder einer gesetzlichen Verpflichtung.
Als Website-Betreiber sammelst Du unweigerlich personenbezogene Daten. Schon alleine die IP Adresse des Besuchers gilt als personenbezogen, da sie dazu verwendet werden kann, natürliche Person zu identifizieren (oder zumindest ein Gerät oder ein Netzwerk).
Was sind die Anforderungen der DSGVO für Website-Betreiber?
Es ist wichtig, die DSGVO korrekt umzusetzen! Wenn Kunden das Gefühl haben, dass Du nicht professionell mit Datenschutz und Sicherheit umgehst, werden sie sich möglicherweise dafür entscheiden, Deine Website nicht mehr zu besuchen oder Deine Dienstleistungen nicht in Anspruch zu nehmen.
Die Datenschutz-Grundverordnung (DSGVO) legt für Website-Betreiber bestimmte Anforderungen fest. Unter anderem müssen die Nutzer der Website umfassend über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Zudem muss der Betreiber sicherstellen, dass eine Einwilligung der Nutzer für die Verarbeitung von Daten vorliegt. Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um personenbezogene Daten zu schützen. Wenn personenbezogene Daten an Dritte weitergegeben werden, müssen die Nutzer hierüber informiert werden. Zudem stehen den Nutzern verschiedene Rechte wie das Recht auf Auskunft, Berichtigung oder Löschung ihrer Daten zu.
Informationspflicht / Erklärung zur Verarbeitung personenbezogener Daten
Die DSGVO verlangt von allen Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, dass sie den Nutzern eine klare und verständliche Erklärung zur Verarbeitung dieser Daten zur Verfügung stellen. Diese Erklärung muss leicht zugänglich sein und in verständlicher Sprache verfasst sein. In der Regel wird sie in Form einer Datenschutzerklärung auf der Website bereitgestellt.
In einem separaten Artikel beschreiben wir wie man eine Auskunftsanfrage richtig beantwortet.
Einwilligung zur Verarbeitung personenbezogener Daten
Die DSGVO verlangt außerdem, dass die Verarbeitung personenbezogener Daten nur mit der Einwilligung der betroffenen Person erfolgen darf. Diese Einwilligung muss freiwillig, informiert, spezifisch und eindeutig sein. Das bedeutet, dass die betroffene Person genau darüber informiert werden muss, welche Daten erhoben werden, wie diese verarbeitet werden und zu welchem Zweck. Die Einwilligung muss der Benutzer auch jederzeit widerrufen können.
Recht auf Auskunft, Berichtigung und Löschung
Die DSGVO gibt den betroffenen Personen das Recht, Auskunft über die von ihnen gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem das Recht, die Berichtigung unrichtiger Daten zu verlangen und unter bestimmten Umständen die Löschung ihrer Daten zu fordern. Als Website-Betreiber musst Du sicherstellen, dass die betroffenen Personen diese Rechte ausüben können.
Datensicherheit
Website-Betreiber müssen angemessene technische und organisatorische Maßnahmen ergreifen, um die Sicherheit und Vertraulichkeit personenbezogener Daten zu gewährleisten. Dazu zählt auch, dass der Datenaustausch mit Deiner Website verschlüsselt stattfindet. (Siehe HTTPS im Glossar)
Datenschutz-Folgenabschätzung
In bestimmten Fällen müssen Unternehmen und Organisationen eine Datenschutz-Folgenabschätzung durchführen. Das ist der Fall, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. In diesem Fall muss die Folgenabschätzung vor Beginn der Verarbeitung durchgeführt werden, also vor der Inbetriebnahme der Website.
Datenschutzbeauftragter
Unter bestimmten Umständen müssen Unternehmen und Organisationen einen Datenschutzbeauftragten ernennen. Dies ist der Fall, wenn Du personenbezogene Daten in großem Umfang verarbeitest oder in Deiner Tätigkeit eine umfassende Überwachung der betroffenen Personen erforderlich ist. Der Datenschutzbeauftragte ist für die Einhaltung der Datenschutzbestimmungen im Unternehmen verantwortlich.
Wie können Website-Betreiber die DSGVO-Anforderungen erfüllen?
Natürlich gibt es bei der Umsetzung der DSGVO viele Stolpersteine, die man als Website-Betreiber beachten sollte. Aber keine Sorge, wir haben alle wichtigen Punkte für Dich zusammengefasst.
Information ist alles
Zunächst einmal solltest Du wissen, welche Daten Du sammelst. Dies könnte folgendermaßen aussehen:
- Immer: Die IP Adresse des Besuchers
- Kontaktformular: Name, E-Mail, Telefonnummer
- Newsletter: E-Mail
- Statistik Tool: Von wo kommt der Besucher, womit browst er auf Deiner Website, etc.
Du musst Dich vergewissern, dass Du die Zustimmung des Besuchers (oder ein berechtigtes Interesse deinerseits) für alle gesammelten Daten hast.
„Privacy by Design“ und „Privacy by Default“: Gute Privacy ist Einstellungssache
Privacy by Design und Privacy by Default sind wichtige Grundsätze der DSGVO, die sicherstellen sollen, dass Datenschutz und Datensicherheit von Anfang an in die Gestaltung und Entwicklung von Produkten, Dienstleistungen und Systemen integriert werden.
Privacy by Design bedeutet, dass Datenschutz und Datensicherheit bei der Gestaltung und Entwicklung von Produkten, Dienstleistungen und Systemen von Anfang an berücksichtigt werden müssen.
Privacy by Default bezieht sich auf die Voreinstellungen, die ein Unternehmen für seine Produkte, Dienstleistungen und Systeme festlegt. Die Voreinstellungen sollten immer so gesetzt sein, dass die Datenverarbeitung so datenschutzfreundlich wie möglich erfolgt. Das bedeutet beispielsweise, dass nur die notwendigsten Daten erhoben werden sollten und dass die Speicherdauer der Daten begrenzt sein sollte. Die Nutzer sollten auch die Möglichkeit haben, die Voreinstellungen anzupassen und ihre Datenschutzeinstellungen individuell zu konfigurieren.
Verwende ein Zertifikat
Stelle sicher, dass Du für Deine Website ein Zertifikat verwendest und dass dieses auch richtig konfiguriert ist. Weiters muss Deine Website alle Seiten über HTTPS anbieten und auch Digital Assets über HTTPS nachladen. Dies kannst Du über HTTP Security Header sicherstellen.
Erstelle eine klare Datenschutzerklärung
Diese sollte alle Informationen über die Art, den Umfang und den Zweck der Erhebung und Verwendung personenbezogener Daten enthalten. Auch die Kontaktdaten des Verantwortlichen, sowie die Rechte der betroffenen Personen müssen aufgeführt werden.
In Deiner Datenschutzerklärung musst Du erläutern, welche personenbezogenen Daten Du sammelst, wie Du sie verwendest und wie Du sie schützt.
Mittels eRecht24 kannst Du sehr übersichtlich eine komplette Datenschutzerklärung erstellen.
Datensicherheit
Du solltest dafür sorgen, dass die Daten Deiner Nutzer sicher gespeichert werden und nicht in die Hände Unbefugter gelangen. Dazu gehört auch, dass Du regelmäßig Backups machst und Deine IT-Systeme auf dem neuesten Stand hältst.
Verwende geeignete Sicherheitsmaßnahmen, um sicherzustellen, dass die personenbezogenen Daten Deiner Benutzer geschützt sind. Dazu können unter anderem die Verschlüsselung von Daten (Zertifikat/HTTPS), die Verwendung sicherer Passwörter und die regelmäßige Aktualisierung Deiner Software gehören. Die regelmäßige Überwachung Deiner Website auf diese Aspekte ist für den Betrieb der Website maßgeblich.
Cookies
Auch bei der Verwendung von Cookies gibt es einiges zu beachten. Hier musst Du sicherstellen, dass der Nutzer aktiv in die Verwendung von Cookies einwilligt und auch die Möglichkeit hat, diese jederzeit wieder zu löschen.
Wenn Du keinen Webshop betreibst, gibt es eine einfache Regel: Am besten Du verwendest KEINE Cookies (das ist ohnehin die Zukunft) außer Session Cookies und musst Dich somit nicht um einen Cookie Dialog kümmern.
Dein Website-Radar Team.
Führe ein Verzeichnis über Verarbeitungstätigkeiten / Verarbeitungsverzeichnis
Man sollte als Website-Betreiber auch ein Verarbeitungsverzeichnis führen, in dem man alle relevanten Datenverarbeitungstätigkeiten dokumentiert. Dabei muss man Informationen wie wer, was, warum, wie, wo und wie lange personenbezogene Daten erfasst, festhalten. Das betrifft auch Betreiber von kleineren Websites und Bloggern, wie Rechtsexperten betonen. Es gibt keine spezifischen Vorgaben zur Form des Verzeichnisses, sondern es kommt vor allem auf den Inhalt an. Sowohl in Deutschland als auch in Österreich werden Vorlagen kostenlos zur Verfügung gestellt:
- Deutschland: Infos beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
- Österreich: Infos und Vorlagen bei der WKO
Auftragsverarbeitungsvertrag
Wenn Du als Website-Betreiber personenbezogene Daten an Dritte weitergibst, musst Du auch hierfür eine rechtliche Grundlage haben. Das kann zum Beispiel ein Vertrag mit dem Dritten (Auftragsverarbeitungsvertrag, AV-Vertrag oder einfach AVV) sein, der die Einhaltung der Datenschutzbestimmungen garantiert.
Nimm Anfragen von Besuchern ernst
Benutzer haben das Recht, ihre personenbezogenen Daten einzusehen, zu korrigieren und zu löschen. Stelle sicher, dass Du diesen Anforderungen nachkommst!
Fazit
Zusammenfassend lässt sich sagen, dass die DSGVO für Website-Betreiber viele Pflichten mit sich bringt, aber auch viele Chancen bietet. Indem Du Dich an die Bestimmungen hältst und die Daten Deiner Nutzer sicher und transparent verarbeitest, folgst Du nicht nur der gesetzlichen Lage sondern Du kannst das Vertrauen Deiner Nutzer gewinnen und somit langfristige Kundenbeziehungen aufbauen und – last but not least – hohe Bußgelder vermeiden.
FAQs
Was passiert, wenn ich gegen die DSGVO verstoße?
Bei Verstößen gegen die DSGVO können hohe Bußgelder drohen. Je nach Schwere des Verstoßes können diese bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. Darüber hinaus kann ein Verstoß gegen die DSGVO auch einen erheblichen Imageschaden für Dein Unternehmen bedeuten.
Muss ich meine Datenschutzerklärung in mehreren Sprachen zur Verfügung stellen?
Wenn Du eine internationale Website betreibst, solltest Du Deine Datenschutzerklärung auch in anderen Sprachen zur Verfügung stellen, wenn Du Deine Dienstleistungen auch in diesen Ländern anbietest.
Was ist ein Auftragsverarbeitungsvertrag?
Ein Auftragsverarbeitungsvertrag ist ein Vertrag zwischen einem Auftraggeber und einem Auftragnehmer, der regelt, wie der Auftragnehmer die Daten des Auftraggebers verarbeiten darf.
Muss ich einen Datenschutzbeauftragten bestellen?
Wenn Du regelmäßig und in großem Umfang personenbezogene Daten verarbeitest, musst Du einen Datenschutzbeauftragten bestellen.
Gilt die DSGVO auch für mich?
Die DSGVO betrifft alle Personen, Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, wo sich das Unternehmen befindet. Das bedeutet, dass auch Unternehmen außerhalb der EU von der DSGVO betroffen sind, wenn sie personenbezogene Daten von EU-Bürgern verarbeiten.
Muss ich eine Einwilligung von meinen Website-Besuchern einholen, bevor ich ihre Daten verarbeiten darf?
In vielen Fällen ist eine Einwilligung der betroffenen Person erforderlich, bevor man personenbezogene Daten verarbeiten darf. Es gibt jedoch auch Ausnahmen, zum Beispiel wenn die Verarbeitung der Daten für die Erfüllung eines Vertrags erforderlich ist.