Ein Beitrag von  Dorothea Heymann-Reder (digitalHUB Aachen)

 

Am 25. Mai tritt die neue Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Sie harmonisiert das europäische Datenschutzrecht und geht in einigen Belangen über das bisher geltende Bundesdatenschutzgesetz (BDSG-alt) hinaus.

Während größere Unternehmen ihren DSGVO-Change längst auf die Zielgerade gebracht haben, hinken kleine Betriebe oft noch hinterher.

Doch auch einfache Website-Betreiber und Blogger müssen die DSGVO einhalten. Sonst riskieren sie eine Abmahnung oder Geldbuße.

DSGVO auch für kleine Internet-Unternehmer relevant

Dieser Beitrag gibt einen Überblick über Elemente der DSGVO, die auch für kleine Internet-Unternehmer und Startups wichtig sind.

Der Artikel kann und soll keine Rechtsberatung geben oder ersetzen. Datenschutz ist ein komplexes Thema. Bei aller Sorgfalt, die wir auf unsere Recherche verwenden, kann ein Blogbeitrag nicht alle Aspekte des Themas Datenschutz und Datensicherheit würdigen. Sicherheitshalber sollten Sie die Details daher mit einem Anwalt oder Datenschutzexperten erörtern.

Trotzdem: Wenn Sie vorläufig die folgenden Punkte beachten, sind Sie auf dem richtigen Weg:

Rechtssicherheit

  • Als Erstes sollten Sie Ihre Datenschutzerklärung überarbeiten. Diese muss alle Details aufführen, welche personenbezogenen Daten Sie wo, zu welchem Zweck und auf welche Weise übertragen, speichern und verarbeiten. Am besten lassen Sie sich bei der Formulierung von einem Fachanwalt oder Datenschutzexperten helfen.
  • Wussten Sie, dass z. B. auch IP-Adressen personenbezogene Daten sind? Schließlich lassen sie sich zu einer Person zurückverfolgen.
  • Die Datenschutzerklärung muss von jeder Seite der Website aus mit einem Klick erreichbar sein.
  • Sie benötigen für jeden Verarbeitungszweck (also z. B. wenn Sie Newsletter zu mehreren Themen versenden, für jeden dieser Newsletter) eine Einwilligung der betroffenen Nutzer. Die Einwilligung müssen Sie mit Zeitstempel speichern.
  • Wenn der Betroffene seine Einwilligung widerruft, muss der Widerruf ebenfalls mit Zeitstempel protokolliert werden.
  • Seien Sie darauf vorbereitet, auf Verlangen eines Nutzers dessen sämtliche Daten aus Ihrem System zu löschen (Stichwort „Recht auf Vergessenwerden“) oder an einen anderen Dienstleister herauszugeben (Stichwort „Datenportabilität“). Es sei denn, die Daten unterliegen einer gesetzlichen Aufbewahrungspflicht.

Meldepflichten

  • Betriebe, in denen mehr als zehn Mitarbeiter ständig mit Datenverarbeitung beschäftigt sind, müssen einen Datenschutzbeauftragten benennen.
  • Datenlecks müssen binnen 72 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden. Wenn der Vorfall Einfluss auf das Persönlichkeitsrecht von Betroffenen hat, müssen auch diese innerhalb desselben Zeitfensters informiert werden.

Datensicherheit

  • Für die Datensicherheit benötigt Ihre Website an erster Stelle ein SSL-Zertifikat.
  • Dann ist es wichtig, State-of-the-Art-Technologien zu verwenden. Das bedeutet, dass Sie immer die aktuellsten Versionen sowohl Ihrer Web-Software (z. B. WordPress) als auch der verwendeten Plugins verwenden müssen. Selbstredend müssen Sicherheitsupdates und Patches ebenfalls sofort installiert werden.
  • Die DSGVO fordert darüber hinaus „technische und organisatorische Maßnahmen“, so genannte TOMs, die den Datenschutz gewährleisten. Falls Sie Software anbieten, so müssen Sie bei der Entwicklung die Grundsätze von Privacy by Design und Privacy by Default beachten, d. h. etwa bei Zugriffsberechtigungen ab Werk immer die höchste Sicherheitsstufe einstellen.
  • Einige Änderungen enthält die DSGVO auch für die Auftragsverarbeitung (früher „Auftragsdatenverarbeitung“). Wenn Sie beispielsweise mit Cloud Software arbeiten (oder selber eine solche anbieten) müssen Sie einen Vertrag zur Auftragsverarbeitung schließen, der mit der neuen DSGVO kompatibel ist.
  • Ihre Internetpräsenzen – Website, Blog, Shop oder Ähnliches – müssen adäquat vor Hackern und Datendieben geschützt sein.
  • Der Zugriff auf personenbezogene Daten muss auf das notwendige Maß beschränkt werden. Am besten schützen Sie diese Daten durch Berechtigungen und Passwörter.

Formulare (falls vorhanden)

  • Haben Sie Formulare auf Ihrer Website, in die Nutzer ihre Daten eintragen? Dies sind zum Beispiel Registrierungsformulare, Bestellformulare, Kommentar- und Bewertungsformulare usw. Neben den jeweiligen Datenfeldern sollten Sie in verständlicher Form darauf hinweisen, was mit den übertragenen Daten geschieht. Außerdem sollten Ihre Formulare einen Verweis und Link auf Ihre Datenschutzerklärung enthalten.
  • Bei der Registrierung sollten Sie von den Nutzern verlangen, ein komplexes Passwort einzustellen. Akzeptieren Sie z. B. nur Passwörter mit einer bestimmten Mindestlänge und einem Mix von Buchstaben, Zahlen und / oder Sonderzeichen.

Newsletter (falls einer versandt wird)

  • Newsletter-Bestellungen sollten nur mit einem Double-Opt-In möglich sein. Das bedeutet, dass der Benutzer als Erstes ein Bestell-Formular ausfüllt, in dem er auch anhakt, dass er Ihre Datenschutzerklärung akzeptiert, und als Zweites daraufhin eine E-Mail von Ihnen erhält, in der er einen Link anklicken muss, um seine Bestellung zu bestätigen.
  • Erklären Sie dem Nutzer genau, was er bekommt. Wenn Ihr Newsletter neben Informationen auch Angebote enthält, sollten Sie das transparent erklären.
  • Bei mehreren Newslettern muss für jeden eine separate Einwilligung eingeholt werden.
  • Der genaue Zeitpunkt der Einwilligung muss protokolliert werden (ebenso natürlich der Zeitpunkt eines eventuellen Widerrufs seitens des Nutzers).

Wird ein Newsletter- Service verwendet?

  • Wenn ja, dann muss auch mit dem betreffenden Dienstleister ein Vertrag zur Auftrags(daten)verarbeitung geschlossen werden.
  • Dienstleister außerhalb der EU müssen adäquate Datenschutzvorkehrungen nachweisen und vertraglich zusichern. US-Anbieter müssen EU-US Privacy Shield-zertifiziert sein.

Bezahldienste

  • Wenn PayPal oder sonstige Dienstleister für die Online-Zahlungsabwicklung genutzt werden, muss in der Datenschutzerklärung genau beschrieben sein, welche Daten zu welchem Zweck wohin übertragen werden und von wem sie gespeichert werden.

Eingebundene Technologien

Unter diesem Oberbegriff sind Plugins, Widgets, iFrames, Skripte und Schnittstellen gemeint. Wenn diese Elemente personenbezogene Daten der Website-Besucher oder -Nutzer speichern, muss folgendes gewährleistet sein:

  • dass das Element DSGVO-konform ist (wird normalerweise vom Anbieter angegeben)
  • dass nicht mehr Daten gesammelt werden, als für den Verarbeitungszweck (z. B. Bestellung, Newsletter-Versand) notwendig sind
  • dass alle übrigen, hier aufgeführten Punkte beachtet werden (Erwähnung in der Datenschutzerklärung, sichere Speicherung der Daten, Zugriffsbeschränkung, Vertrag für Auftragsverarbeitung der Daten, eventuelle zusätzliche Zertifizierung und vertragliche Absicherung bei Anbietern außerhalb der EU).

Einen Beitrag über die DSGVO-Konformität von WordPress-Plugins finden Sie hier.

Außerdem geben die Entwicklertools von Chrome Auskunft, welche Daten Ihre Plugins senden. Sie erreichen diese im Menü des Chrome Browsers. Dieses öffnen Sie über den Button neben der Adresszeile ganz rechts oben. Klicken Sie dann Weitere Tools > Entwicklertools (Strg+Umschalt+I).

Auch andere Webtols, wie z. B. Ghostery, spüren Tracking-Technologien auf.

Fazit

Die EU-DSGVO tritt am 25. Mai in Kraft. Sie gilt auch für kleine Internet-Unternehmen und Startups. Unser Beitrag erklärt, welche Aspekte Sie dabei beachten sollten.