Ab dem 25. Mai tritt die neue DSGVO (Datenschutzgrundverordnung) der EU in Kraft. Zeitlich wird in Deutschland auch das BDSG-neu (Bundesdatenschutzgesetzt) eingeführt, welches sich jedoch der DSGVO untergeordnet sieht.
Warum kommt die DSGVO?
Ziel der Verordnung ist eine größere Transparenz, Kontrolle und Sorgfalt im Umgang mit personenbezogenen Daten. Darunter fallen auch Informationen wie Name, Anschrift, Geburtsdatum, E-Mail Adresse, Telefonnummer, Kleidergröße, Standort, IP Adresse, etc., also kurzum alle Daten, die Sie beim Online- Shoppen verwenden oder deren Erhebung Sie mit der Aktivierung Ihres PCs oder Smartphones bereits zugestimmt haben.
Mit fortschreitender Technologie und künstlicher Intelligenz können aus solchen Daten nicht nur aktuelle Verhaltensweisen abgeleitet werden, sondern auch Vorhersagen über zukünftiges Einkaufsverhalten, Krankheitswahrscheinlichkeit, Kreditwürdigkeit, etc. getroffen werden.
Was regelt die Verordnung?
Die Erhebung personenbezogener Daten ist nur dann zulässig, wenn sie gesetzlich erlaubt ist oder auf der Einwilligung der betroffenen Person beruht. Die Person ist darüber zu informieren, welche Daten für welchen Zweck erhoben werden. Des Weiteren dürfen die Daten allein für festgelegte, eindeutige Zwecke erhoben und nicht für andere Zwecke weiterverarbeitet werden.
Gleichzeitig gilt, nur Daten zu erheben, die für die Erfüllung des Zwecks notwendig sind.
Technisch gilt es Ihre Systeme so einzustellen, dass standardmäßig so wenig personenbezogene Daten wie möglich erhoben werden. „Datenschutz“ sollte immer die Voreinstellung sein. Das bedeutet, es muss eine aktive Zustimmung der Person vorliegen, keine aktive Ablehnung.
Wie sind die erforderlichen Maßnahmen umzusetzen?
An dieser Stelle müssen wir vorab erwähnen, dass wir keine Rechtsanwälte sind und daher keine Rechtsberatung leisten dürfen. Unsere Empfehlungen für eine rechtskonforme Webseite basieren auf den Angaben unseres Datenschutz Partners eRecht24.de. Die DSGVO erstreckt sich allerdings auch auf das gesamte Unternehmen. Idealerweise konsultieren Sie zusätzlich Ihren Rechtsanwalt oder Datenschutzbeauftragen. Falls Sie keinen haben können Sie intern einen Mitarbeiter bestellen oder einen externen beauftragen. Achten Sie aber auf eine entsprechende Qualifikation.
Um eine rechtskonforme Webseite zu erstellen, empfehlen wir, folgende Punkte zu beachten:
Geschützte Datenübertragung mittels SSL Zertifikat. Ein solches Zertifikat sichert die Kommunikation zwischen dem Browser des Nutzers und dem Server. So werden beispielsweise über ein Kontaktformular eingegebene Daten nicht mehr „wie eine Postkarte“ offen durchs Netz geschleust, sondern gesichert übermittelt. Auch das Telemediengesetzes (§13 Abs 7 TMG ) sieht vor, dass bei der Übertragung von personenbezogenen Daten zu einer Webseite ein „anerkanntes Verschlüsselungsverfahren zu implementieren“ ist. Google behaart bereits seit längerer Zeit auf den Einsatz solcher Zertifikate und bevorzugt nachweislich Webseiten mit Verschlüsselung.
Darstellung einer Webseite mit Verschlüsselung
Darstellung einer Webseite ohne Verschlüsselung
Anpassung der Datenschutzbestimmungen auf der Webseite. In Zusammenarbeit mit eRecht24.de prüfen wir Ihre aktuellen Datenschutzerklärungen und aktualisieren diese. Dabei kommt es auch auf die auf der Webseite eingesetzten Tools an. Bei Tracking Tools wie Google Analytics müssen besondere Vorkehrungen getroffen werden.
Gleichzeitig weisen wir an den relevanten Stellen, etwa bei Kontaktformularen, auf die Erhebung, Verarbeitung und Speicherung personenbezogener Daten hin, welche in den Datenschutzbestimmungen der Webseite geregelt sind. Der Nutzer muss dieser Erhebung, Verarbeitung und Speicherung aktiv zustimmen.
Was wären mögliche Konsequenzen?
Der Gesetzgeber sieht eine Strafe von bis zu 20 Millionen Euro oder 4% des Vorjahresumsatzes vor. Die Nichteinhaltung der Vorgaben ist durch Wettbewerber abmahnbar und kann zudem ein Gerichtsverfahren nach sich ziehen. Der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO, um auch gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen zur Hand zu haben.
