Da wir als Agentur keine rechtliche Beratung leisten können, dürfen und wollen, unseren Kunden aber dennoch Hilfestellungen in der Auseinandersetzung mit dieser Thematik bieten wollen, dokumentieren wir anhand unserer eigenen Unternehmensseite beispielhaft, wie sich die bevorstehenden Änderungen auf unser Unternehmen und auf die Website unseres Unternehmens auswirkt. Neben grundsätzlichen Informationen zeigen wir, wie unsere Schritte hin zur DSGVO-Konformität unserer Unternehmensseite aussehen.

Darüber hinaus haben wir unsere Rubrik "Datenschutz", die über den Footer von jeder Seite aus erreichbar ist, vollständig überarbeitet.  

Die Datenschutz-Grundverordung (DSGVO) ist eine Verordnung der Europäischen Union, die am 25. Mai in allen EU-Mitgliedstaaten in Kraft tritt, wobei Teile der Verordnung bereits am 24. Mai in Kraft getreten sind. Bisher stammten die Vorgaben zur Website Compliance hauptsächlich aus dem Telemediengesetz (TMG). Diese werden nun durch die EU-DSGVO vollständig abgelöst, wobei der Gültigkeitsbereich der DSGVO nicht mehr auf die bisherigen Telemedien beschränkt ist.

Die DSGVO soll Unternehmen dazu verpflichten, Nutzer über die Verarbeitung ihrer Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ über ihre Rechte zu informieren.

Dabei ist das Gesetz selbst in seiner Formulierung eher schwer verständlich. Wie oft bei Gesetzestexten, bedarf es ihrer Auslegung, um die DSGVO-Konformität einer Datenschutzerklärung letztlich einschätzen zu können. Inwieweit diese stimmig ist, geht am Ende erst aus der darauf folgenden Rechtsprechung hervor.

Ein umstrittener Sachverhalt im Zusammenhang mit der DSGVO ist derzeit auch die Erstellung und Nutzung von Fotografien, die in einen sehr sensiblen Teil des Geltungsbereiches der persönlichen Daten, der Recht am Bild fallen. Fotografen kommentierten die gesetzliche Neuregelung als "Das Ende der Hochzeits- und Event-Fotografie". Aber die Problematik, dass im Prinzip von allen abgebildeten Personen eine Einwilligung zur Nutzung der Bilder eingeholt werden müsste ist nicht neu. Der nächste Schritt auf dem Weg zur weiteren datenschutzrechtlichen Regulierung wird die bevorstehende "ePrivacy Verordnung (ePV)" sein, von der die DSGVO bereits einen Teil darstellt.

Obwohl sich die DSGVO nicht nur auf den Datenschutz im Hinblick auf den Website-Betrieb beschränkt, 
behandeln wir in diesem Artikel lediglich die (sichtbaren) Auswirkungen auf die Website selbst.

Aus der Sicht von Website-Betreibern hat die DSGVO einen weitaus umfangreicheren Wirkungsbereich, der über den Betrieb der Website selbst weit hinaus geht. Ihr Wirkungsbereich erstreckt sich auch auf die interne Verarbeitung von Personendaten, etwa zum Zweck der Angebots- und Auftragsabwicklung, der Teilnahme an Veranstaltungen, Nutzung von Diensten etc. sowie alle weiteren Vorgänge, die den Umgang mit Personendaten einschließen.

Der Begriff des Datenschutzes wird im Rahmen der DSGVO ferner von der bisherigen „Datensicherheit“ auf die „IT-Sicherheit“ erweitert und fordert eine Absicherung der personenbezogenen Daten „nach Stand der Technik“. Dies schließt auch die Qualität der verwendeten Systeme ein und deren Aktualität. Die Anpassungspflicht fordert von Unternehmen, ihre System permanent an den Stand der Technik anzupassen und ggf. nötige Updates durchzuführen. Darüber hinaus besteht ferner eine Dokumentationspflicht, welche die technischen Systeme und die Verarbeitungsprozesse der personenbezogenen Daten beschreibt.

Wichtig hierbei: Je sensibler die Daten, die erhoben wurden, desto höher sind auch die Anforderungen an den Datenschutz. In Hinblick auf die Beschreibung der Datenverarbeitung gilt hier: Je komplexer die verwendeten technischen Systeme, desto mehr Klärungsbedarf besteht in der Datenschutzerklärung. Je nachdem welche Dienste konkret zum Einsatz kommen, muss auch die Datenschutzerklärung gestaltet werden.

Hierbei ist außerdem zu beachten, dass die Rubrik "Datenschutz" von jeder Seite aus sichtbar und durch einen Klick erreichbar ist.  Zwar dürfen die Rubriken "Impressum/Datenschutz" zusammengefasst werden, aber es ist nicht mehr zulässig, die Datenschutzerklärung ausschließlich über den Link "Impressum" erreichbar zu machen.

Ein weiterer Unterschied zu den bisherigen Maßnahmen ist der, dass Verstößen mit hohen Geldbußen belegt werden können. Lag die bisher höchste denkbare durch die Behörden verhängte Konventionalstrafe noch bei 300.000,- Euro, so reicht die Spannweite nun bis zu 20 Mio. Euro (oder bei Konzernen bis zu 4% des weltweit erzielten Umsatzes).

Unabhängig von Geldbußen, die durch Behörden verhängt werden, besteht für Unternehmen natürlich auch die Gefahr, Opfer von Abwahnwellen zu werden, die etwa durch Mitbewerber oder Rechtsanwaltskanzleien erfolgen.

Für Bürger ergeben sich hieraus nicht nur Vorteile im Hinblick auf die allgemeine Informationspflicht der Unternehmen, sondern weitere darüber hinaus gehende Möglichkeiten. Für Unternehmer oder andere Institutionen entstehen daraus die entsprechenden Auskunftspflichten.

Der Anspruch von Nutzern auf Auskunft über gespeicherte Personendaten, deren Speicherdauer, Weitergabe, etc. Hier haben Nutzer in Zukunft die Möglichkeit im Rahmen einer Selbstauskunft die im Zusammenhang mit ihnen gespeicherten Daten anzufordern. Eine solche Anfrage müssen Anbieter im Laufe eines Monats beantworten.

Verfügt eine Internetseite über Webformulare, über die Nutzer ihre persönlichen Daten übertragen können, so besteht künftig die Pflicht die Formulardaten verschlüsselt zu übertragen. Die Verschlüsselung erfolgt dabei über ein SSL-Browserzertifikat (bzw. https-Protokoll).

Der Anspruch auf Löschung persönlicher Daten auch bei Dritten (an welche Daten weiter gegeben wurden). Durch den Widerruf der Einwilligung zur Weiterverarbeitung der Daten haben Nutzer die Möglichkeit ihre Daten beim Dienstleister endgültig löschen zu lassen.

Der Anspruch auf Auslieferung der personenbezogenen Daten (zum Zweck der Übertragung in andere Systeme).

Ebenfalls wurden mit der DSGVO erstmalig Paradigmen für den Umgang mit Daten eingeführt, die dem Datenschutz bei der Umsetzung von Lösungen einen gewissen Vorrang gewähren sollen. Unter der Prämisse "Privacy by default" soll im Normalfall, d.h. ohne Konfiguration durch den Nutzer, der verbesserte Datenschutz zur Grundeinstellung werden. Die Ergänzung "Privacy by design" soll sicher stellen, dass auch bei der Erstellung von Lösungen möglichst hohe Datenschutzstandards gewährleistet sein sollen.

Die statischen Seiten unserer metapublisher-Plattform haben den besonderen Vorteil, dass hier weder Cookies gesetzt, noch die Daten überhaupt an Dritte weiter geleitet werden. Hinzu kommt, dass wir als Analyse-Werkzeug "Piwik" verwenden, anstatt wie sonst häufig üblich "Google Analytics". Anstatt Daten weiter zu geben, analysiert Piwik die Zugriffe direkt auf dem Server die betreffende Seite, die analysiert werden soll. Ohne Einbindung der Social Media Buttons Like/Share, Tweet, besteht ferner nicht die Gefahr, dass Daten ungewollt bei den Social Media Plattformen landen. metapublisher ist somit bereits "privacy by design" und "privacy by default", ein System, dass in sich abgeschlossen, keine Daten an Dritte weiter gibt.

Wichtig: Unserer Server wird ab dem Stichtag die Website per SSL (Secure Socket Layer) ausliefern (grünes Schloss in der Browser-Adresszeile). Dafür werden wir ein SSL-Zertifikat installieren. Dies ist in unserem Fall notwendig, da wir auch zukünftig Formulare verwenden wollen, über die persönliche Daten übertragen werden. Würden wir nur E-Mail-Adressen zur Kontaktaufnahme hinterlegen, wäre eine SSL-Verschlüsselung nicht notwendig. Darüber hinaus wissen wir mittlerweile aber auch, dass sich die SSL-Verschlüsselung positiv auf das Google-Ranking auswirkt. Deshalb wechseln auch wir zum https-Protokoll.

Je nach eingesetztem Redaktionssystem kommen mitunter so genannte PlugIns zum Einsatz, welche Daten an Dritte übertragen. Hierbei muss natürlich ebenfalls sämtlicher Datenaustausch bzw. deren Weitergabe an Dritte in  der Datenschutzerklärung berücksichtigt werden.

An dieser Stelle möchten wir nochmals darauf hinweisen, dass dieser Artikel sich lediglich als Dokumentation versteht, welche auf die technischen Hintergründe eingeht und die Änderungen auf unserer Unternehmensseite beispielhaft vorstellt. Die inhaltliche Erstellung Ihrer individuellen Datenschutzerklärung sollten Sie in jedem Fall mit Ihrem Datenschutzbeauftragten bzw. Ihrem zuständigen Rechtsbeistand erstellen.

Die Datenschutzerklärung der metazoa GmbH finden Sie hier.

Link zum Download-Bereich EUR-Lex
Wikipedia-Artikel zur DSGVO