Grundsätzlich gilt, dass wir als Agentur, die auch Webseiten erstellt, keine rechtliche Beratung bieten können. Wir können aber unsere Kunden bei der Umsetzung einer korrekten Datenschutzerklärung nach DSGVO und beim Thema ‚Impressum‘ unterstützen und Ihre Website mit anwaltlich geprüften Inhalten zur DSGVO aktualisieren. Im Einzelfall sollten Sie in jedem Fall Ihre Internet-Präsenz von einem Fachanwalt prüfen lassen, wobei wir hier gerne auch bei einer Vermittlung behilflich sind.
Seit Mai 2018 gilt die neue Datenschutz-Grundverordnung. Deren Umfang und Auswirkungen hier in einem kurzen Blog-Artikel zusammenfassen zu wollen, wäre wohl ein vermessenes Unterfangen. Daher möchte ich an dieser Stelle nur die wichtigsten Punkte aufgreifen, die bei Ihrer Website und der korrekten Anwendung der DSGVO eine zentrale Rolle spielen. Die DSGVO betrifft dabei JEDES Unternehmen, das im Web aktiv ist: Kontaktformulare mit Kundendaten, Nutzer-Tracking, Newsletter-Anmeldung, Facebook-Werbung – vieles ändert sich durch das neue Datenschutzrecht.
Datenschutzerklärung
Jede Website benötigt eine Datenschutzerklärung, die den Vorgaben der DSGVO entspricht. Dabei soll eine einfache und verständliche Sprache und eine allgemein zusammenfassende Erklärung formuliert werden. Die Kontaktdaten des Seitenbetreibers müssen ebenso aufgeführt werden, wie die des Datenschutzbeauftragten. Weiterhin muss die Rechtgrundlage der jeweiligen Datenerhebung bzw. Verarbeitung korrekt benannt werden. Die folgenden Punkte sollten mindestens behandelt werden:
- Aufführung der Datenverarbeitungsvorgänge auf der Website
- Umgang mit Kunden- und Bestelldaten
- Angaben zu Tracking und Cookies
- Social Media-Kanäle
- Angaben zum Newsletter
- Dauer der Speicherung mit Löschungsfristen
- Angaben zu Auskünften, Berichtigung, Löschung und Widerspruch
- Informationen zur Datenherausgabe und Übertragbarkeit
Die Einwilligung darf nicht innerhalb der Datenschutzerklärung erfolgen.
Nach Art. 17 DSGVO müssen Daten gelöscht werden, wenn der Erhebungszweck weggefallen ist, eine Einwilligung widerrufen wurde oder ein Widerspruch des Nutzers erfolgt und keine gesetzlichen Speicherpflichten, wie Ausbewahrungspflichten entgegenstehen.
Es ist im nächsten Jahr zu erwarten, dass für Auskunfts-, Berichtigungs- und Löschungsansprüche ein eigenes Kontaktformular für jede Website erstellt werden muss. Gerade deshalb ist es wichtig, mit einem Pflegevertrag für die eigene Website immer auf den neuesten Stand zu sein. Mit der korrekten Anwendung der DSGVO ist es für kein Unternehmen mehr möglich, monatelang die eigene Webpräsenz „ungepflegt“ im Netz stehen zu lassen.
Verarbeitungsverzeichnis
Verarbeiten Sie besondere Daten wie Personalbewerbungen oder Gewinnspiele über die Website benötigen Sie ein Verarbeitungsverzeichnis mit Name und Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung, Kategorien der personenbezogenen Daten, Fristen für Löschung, Angaben des Auftragsverarbeiters und vieles mehr. Allein zu diesem Thema könnte man einen eigenen Blog-Artikel schreiben. Beispiele für den Aufbau eines Verarbeitungsverzeichnisses können wir Ihnen bei Bedarf gerne zukommen lassen.
Cookies und Tracking
Der europäische Gerichtshof hat in einem Urteil entschieden, dass Tracking Cookies ohne ausdrückliche Einwilligung nicht erlaubt sind. Auch für Newsletter-Aktionen oder Preisausschreiben sind zum Speichern und Übertragen von Daten immer eine Einwilligung notwendig. Unter der DSGVO sollte das ‚double opt-in Prinzip‘ beachtet werden, um für die Einwilligung einen Nachweis erbringen zu können. Diese muss auch elektronisch dokumentiert werden. Das Einverständnis hierzu muss „freiwillig“ erfolgen und darf also nicht gegen Inhalte wie E-Books, Gewinnspiele und Whitepaper gekoppelt werden.
Datenschutzbeauftragter
Unternehmen, die mindestens zehn Mitarbeiter beschäftigen oder ständig personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten benennen. Dabei darf kein Geschäftsführer oder Inhaber die Funktion des Datenschutzbeauftragten übernehmen, da hieraus ein Interessenskonflikt entstehen könnte. Der Datenschutzbeauftragte kann daher auch extern bestellt werden, sollte aber sich Fachkenntnisse zu diesem Thema über entsprechende Seminare z. B. beim TÜV oder bei der IHK angeeignet haben und nachweisen können.
Mitarbeiterdaten
Auch der Mitarbeiterdatenschutz ist durch die DSGVO geregelt. Grundsätzlich sollen nur Daten erhoben werden, die ‚erforderlich‘ sind. Ob und wann die Erhebung bestimmter Daten erforderlich ist, muss dabei immer anhand des konkreten Einzelfalls bestimmt werden. Werden z. B. Mitarbeiterbilder und Kontaktdaten auf der Website veröffentlicht, sollte man dazu von jedem einzelnen Mitarbeiter eine schriftliche Einwilligung einholen. Zudem muss der Beschäftigte darauf hingewiesen werden, dass die Einwilligung jederzeit widerrufen werden kann. Jeder Arbeitgeber muss diese Pflichten im Zweifel nachweisen können und ist mit umfangreichen Informationspflichten bei Datenschutzverstößen konfrontiert.
Auftragsdatenverarbeitung
Erfolgt das Erheben und Verarbeiten personenbezogener Daten durch ein externes Unternehmen, muss dies vertraglich geregelt und dokumentiert werden. Jeder Auftragsverarbeiter muss ein Verfahrensverzeichnis führen und die Weisungen des Verantwortlichen protokollieren. Auf Wunsch können wir Ihnen gerne einen DSGVO-konformen Mustervertrag zur Verfügung stellen.
Datenschutz bei Minderjährigen
Bei Angeboten, die sich direkt an Kinder und Jugendliche richten, schreibt die DSGVO eine Einwilligung der Eltern vor. Bei Angeboten, die sich sowohl an Erwachsene wie auch an Jugendliche richten, sind keine spezifischen Vorgaben umzusetzen.
Datenschutz-Folgeabschätzung
In bestimmten Fällen wie Verarbeitung von Gesundheitsdaten, Religion, Sexualität, bei Geschäftsgeheimnissen, Profiling usw. sind Sie verpflichtet, die Folgen der Datenverarbeitung zu bewerten und eine Datenschutz-Folgeabschätzung festzuhalten. Es empfiehlt sich daraus in jedem Fall keine sensiblen Daten über ein Formular einer Website abzufragen.
Einsichtsrecht und Meldepflicht
Generell hat jeder Betroffene Anspruch auf Auskunft zu Ihren gespreicherten personenbezogenen Daten schriftlich, mündlich und elektronisch z. B. per E-Mail. Bei Datenpannen gelten strenge Anforderungen. So müssen diese innerhalb von 72 Stunden bei den zuständigen Aufsichtsbehörden gemeldet werden.
Bußgelder und Abmahnungen
Sie sollten in jedem Fall Anfragen und mögliche Beschwerden von Nutzern ernst nehmen und mit den Datenschutzbehörden aktiv zusammenarbeiten, denn Datenverstöße können mit erheblichen Konsequenzen abgemahnt werden. In der Regel droht die Gefahr auch besonders von unliebsamen Wettbewerbern. Die Website eines jeden Unternehmens ist dabei eine der größten Gefahrenquelle, da sie für jeden sichtbar ist. Die DSGVO sieht Bußgelder bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes vor. Deshalb sollte niemand die DSGVO auf die leichte Schulter nehmen. Ihre Website sollte in jedem Fall regelmäßig auf den neuesten Stand der Rechtsprechung angepasst und gewartet werden.
Im Rahmen unserer Kooperation mit dem anerkannten Rechtsdienstleister eRecht24 Premium betreuen wir Ihre Website mit Hilfe von aktuellen rechtssicheren Texten und konformen Tools & Plug-ins. Jeder Kunde mit einem Webpflegevertrag wird hier von unserem Webteam nach besten Wissen und Gewissen unterstützt. Doch die Rechtslage ändert sich ständig. Im Zweifel empfehlen wir dann auch den Gang zu einem Fachanwalt, um wirklich auch Rechtssicherheit zu erreichen.
Bildnachweis:
Bild-Nummer: 251990457 von Chris; 245049136 von DOC RABE Media; 65013055 von Manuel Schönfeld; 223101680 von M.Dörr & M.Frommherz – stock.adobe.com
