DSGVO Grundwissen: Was jetzt wichtig ist.

DSGVO Grundwissen: Was jetzt wichtig ist. - urbanstudio webdesign berlin

Ein Gespenst geht um in Europa*, es ist die DSGVO und sie lehrt Unternehmern das Fürchten. Vor empfindlichen Abmahnungen, hohen Kosten und gewaltigen Dokumentationspflichten. Ein Gespenst ist es nicht, zumindest kein Unbekanntes: Bereits seit 24. Mai 2016 ist die neue europäische Datenschutzgrundverordnung in Kraft, ab 25. Mai 2018 ist sie nun nach einer zweijährigen Übergangszeit unmittelbar anwendbar. Höchste Zeit für einen Beitrag über DSGVO Grundwissen.

Worum geht es bei der DSGVO überhaupt?

Die EU-Datenschutzs-Grundverordnung (DS-GVO) hat die Vereinheitlichung des Datenschutzrechts in der EU zum Ziel. Sie regelt den Schutz und die Verarbeitung personenbezogener Daten natürlicher Personen. Als Verarbeitung kann hier jedwede Verwendung verstanden werden.

Gleichzeitig tritt auch das neue Bundesdatenschutzgesetz (BDSG-NEU) in Kraft. Die DSGVO hat aber Vorrang vor den Regelungen der EU-Mitgliedsstaaten und erfordert nicht mal eine Umsetzung in nationales Recht. Das neue BDSG enthält spezielle nationale Regelungen für Deutschland, wo die DSGVO sog. Öffnungsklauseln vorgesehen hat oder Sachverhalte nicht abschließend regelt.

Anwendungsbereich der DSGVO

Die DSGVO richtet sich an:

  • Verantwortliche (im BDSG-NEU: Öffentliche und nichtöffentliche Stellen)
    Also natürliche oder juristische Personen, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Zum Beispiel Unternehmer.
  • Auftragsverarbeiter
    Natürliche oder juristische Personen die personenbezogene Daten im Auftrag von Verantwortlichen verarbeiten.

Es gilt das Niederlassungsprinzip (Sie verarbeiten die Daten innerhalb der EU) und das Marktortprinzip (Sie sind außerhalb der EU, Ihre Produkte / Dienstleistungen richten sich an Personen, die sich in der EU befinden).

Was sind eigentlich personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die eine natürliche Person direkt oder indirekt identifizierbar machen. Besonders, wenn Personen einer Kennung (Namen, Standort) oder mehreren besonderen Merkmalen (physischen, genetischen, wirtschaftlichen etc.) zugeordnet werden.

Als personenbezogene Daten werden auch Informationen angesehen, die unter Zuhilfenahme weiterer Daten oder technischer Mittel Rückschlüsse auf eine natürliche Person erlauben. Beispielsweise IP-Adressen, Telefonnummern oder auch ein KFZ-Kennzeichen.

Grundprinzipien für die Verarbeitung personenbezogener Daten

Die Grundprinzipien des europäischen Datenschutzrechts sind in Artikel 5 der DS-GVO geregelt und lauten:

  • Rechtmäßigkeit
    Daten dürfen nur entsprechend dem Gesetz verarbeitet werden. Grundsätzlich ist die Verarbeitung personenbezogener Daten untersagt. Eine Verarbeitung ist laut Art. 6 Abs. 1 DSGVO nur dann rechtmäßig, wenn sog. Erlaubnistatbestände vorliegen. Besonders sensibel ist die Verarbeitung persönlicher Daten bestimmter Kategorien wie zum Beispiel von Gesundheitsdaten.
  • Treu und Glauben
    Im Originaltext heißt es Fairly, gemeint ist also eine faire Verarbeitung direkter oder indirekter personenbezogener Daten. Eine gewisse Vorhersehbarkeit bei der Verarbeitung und die Beachtung bzw. Abwägung der gegenseitigen Interessen steht im Zentrum dieses Grundprinzips. Zu beachten ist hier eine besondere Verhältnismäßigkeit: Die Verarbeitung muss für den legitimen Zweck geeignet sein, sollte das mildeste aller gleich effektiven Mittel zur Erreichung des Zwecks sein und es muss nach der Interessenabwägung für den Betroffenen objektiv angemessen sein.
  • Transparenz
    Betroffene (also die Menschen, die geschützt werden) müssen die Verarbeitung ihrer Daten auf Anfrage nachvollziehen können. Grundlage hierfür ist eine transparente und allgemein verständliche Datenschutzerklärung (vgl. Informationspflichten aus Art. 13 und 14 DSGVO).
  • Zweckbindung
    Personenbezogene Daten dürfen nur für den vereinbarten Zweck erhoben und verarbeitet werden. Bereits im Vorfeld muss der Zweck definiert und die Definition dokumentiert werden. Eine spätere Zweckänderung der Datennutzung ist nur erlaubt, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art. 6 Abs. 4 DSGVO).
  • Datenminimierung
    Es dürfen ausschließlich Daten erhoben werden, die für den jeweiligen Zweck angemessen und relevant sind. Die Datennutzung muss auf das notwendige Maß im Hinblick auf Umfang und Intensität beschränkt sein. Daten auf Vorrat zu speichern ist grundsätzlich untersagt.
  • Richtigkeit
    Die personenbezogenen Daten müssen sachlich richtig und ggf. auf dem neusten Stand sein. Unternehmer müssen alle angemessenen Maßnahmen treffen um veraltete oder unrichtige Daten zu berichtigen oder zu Löschen. Die Betroffenen haben nach Art. 16 DSGVO einen Berichtigungsanspruch.
  • Speicherbegrenzung
    Verantwortliche (Unternehmer) dürfen Daten nur solange verarbeiten und speichern wie dies für den Zweck nötig ist. Genauso verhält es sich mit der Identifizierung einer Person (Art. 5 Abs. 1 DSGVO), es gilt das Gebot der frühestmöglichen Anonymisierung. Anschließend müssen die Daten protokolliert gelöscht werden.
  • Integrität und Vertraulichkeit
    Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden. Die Verantwortlichen und Auftragsverarbeiter müssen personenbezogene Daten besonders vor dem Zugriff Dritter schützen. Konkret in Art 32 DSGVO geregelt.

Über diese Grundprinzipien herrscht auf Seiten der Verantwortlichen Rechenschaftspflicht. Unternehmer müssen die Einhaltung der DSGVO also jederzeit nachweisen können.

Privacy by Design und Privacy by Default

Zu den oben genannten Grundprinzipien gesellen sich in Artikel 25 DSGVO die Prinzipien „Privacy by Design“ und „Privacy by Default“. Ersteres bedeutet, dass Datenschutzmaßnahmen schon bei der Konzeption umfassend einbezogen werden müssen. „Privacy by Default“ sieht die höchste Datenschutzstufe als Voreinstellungen vor – zum Beispiel bei Software und Online-Portalen.

Eine der weitreichendsten Änderungen durch die DSGVO ist die Umkehrung der bisherigen Beweislast. Unternehmen müssen nun nachweisen, dass sie die Regeln und Gesetze einhalten. Und dieser Nachweispflicht kommt man nur durch Dokumentation der Datenverarbeitungsprozesse nach. Anhand von Protokollen können Unternehmer beispielsweise belegen, welche Daten in Bezug auf Zweck, Art und Umfang verarbeitet und welche risikominimierenden Maßnahmen ergriffen wurden.

DSGVO für Webseitenbetreiber

Die DSGVO regelt die Nutzung personenbezogener Daten. Für den Betrieb einer Webseite ist es also wichtig, zu analysieren welche Daten auf der Webseite erhoben bzw. verarbeitet werden. Das können sein:

  • Vorname, Name, Anschrift, E-Mail-Adresse, Telefonnummer, Kontoverbindungen etc.
  • Online-Kennungen wie IP-Adressen, Cookies etc.

Das führt dazu, dass quasi alle Betreiber von Webseiten unmittelbar von der DSGVO betroffen sind, selbst wenn sie keine Online-Shops betreiben. Ganz besonders aber, wenn:

  • auf der Webseite ein Kontakt­formular eingebunden ist
  • Daten von Kunden und Interessenten erhoben und / oder verarbeitet werden
  • es einen Login gibt, man sich auf der Website registrieren kann
  • man sich auf der Webseite für einen E-Mail-Newsletter anmelden kann
  • die Seite Cookies nutzt
  • der Webhosting-Anbieter IP-Adressen in Server-Log-Files speichert
  • Statistik-Tools wie Google Analytics, Piwik oä. im Einsatz sind
  • externe Scripts und Tools wie Webfonts (Google Fonts uä.) eingebunden werden
  • Social-Icons wie der Like-Button von Facebook genutzt wird

Umsetzung der DSGVO auf Webseiten

Und jetzt geht’s ans Eingemachte: Wie wird eine Internetseite DSGVO-kompatibel?

  1. Erstellen oder Aktualisieren der Datenschutzerklärung
    Eine verständliche, gut strukturierte Datenschutzerklärung, welche den Benutzern der Webseite transparent aufzeigt, welche Daten in welcher Weise verarbeitet werden ist absolut Pflicht. Hier gilt der Transparenzgrundsatz und die Informationspflicht.
  2. SSL-Verschlüsselung der Webseite
    Gerade wenn personenbezogene Daten im Rahmen des Internetangebotes erhoben oder verarbeitet werden ist eine SSL-Verschlüsselung vorgeschrieben. Diese Zertifikate sind oft kostengünstig zu erwerben und von einem Experten unproblematisch einzurichten. Auch urbanstudio hilft gern beim Erwerb und der Einrichtung dieser Zertifikate.
  3. Verzeichnis der Verarbeitungstätigkeiten anlegen
    Alle Unternehmer müssen ein Verzeichnis über die Datenverarbeitungstätigkeiten führen. Ausgenommen hiervon sind ausschließlich Unternehmen mit weniger als 250 Mitarbeitern, die nur in beschränktem Umfang oder unkritische Daten verarbeiten.
  4. Auftragsverarbeitungsvertrag mit Google und anderen Dienstleistern
    Insofern Sie Google Anayltics oder andere Google Tools nutzen, müssen Sie mit Google einen sog. Auftragsverarbeitungsvertrag (Auftragsdatenverarbeitung) schließen. Diesen können Sie per Post mit Google schließen (Link zur Vorlage) oder einfach in den Kontoeinstellungen
  5. GoogleAnalytics Opt-Out-Option einsetzen
    Verschiedene Script ermöglichen die Ausschaltung von Google Analytics. Nutzen Sie diese im Rahmen Ihrer Datenschutzerklärung und ggf. bei einem (nicht unbedingt verpflichtenden) Cookie-Hinweis.
  6. Anonymisieren der IP-Adressen für Google Analytics
    IP-Adressen werden für Google durch die Art der Tracking-Code-Einbindung anonymisiert. Dem Standard Tracking-Code kann die Funktion anonymizeIP hinzugefügt werden. Manche WordPress-Plugins verfügen über eine entsprechende Option. Außerdem kann der Tag Manager entsprechend konfiguriert werden.
  7. Formulare, Kommentarfunktion
    Die Datenerhebung in Formularen oder auch der oft vergessenen Kommentarfunktion müssen dem Zweck angemessen sein. Personenbezogene Daten dürfen nur mit eindeutiger, bestenfalls nachvollziehbar dokumentierter Zustimmung verarbeitet werden. Bestenfalls wird den Formularen einer Webseite also eine Möglichkeit zur Zustimmung der Datenverarbeitung eingebaut. Wir beraten Sie hierzu gern und setzen diese Änderung auch direkt für Sie um!
  8. Weniger Daten erheben!
    Es sollten ganz grundsätzlich so wenig Daten wie möglich erhoben werden. Das eigene Internetangebot sollte kritisch hinterfragt werden und die Verarbeitung von Daten auf das nötige Minimum beschränkt werden.

Fazit

Der Schutz personenbezogener Daten ist immer schon ein wichtiges Ansinnen. Zumal in Deutschland, wo die Menschen spätestens seit dem Volkszählungsurteil von 1983 für den Schutz persönlicher Informationen sensibilisiert sind.

Auch wenn es für Unternehmer zunächst lästig scheint, so schaffen die DSGVO und das neue BDSG eine einheitliche, für alle verbindliche Grundlage der rechtssicheren Datenverarbeitung. Beide garantieren den sog. Betroffenen ihre informationelle Selbstbestimmung und räumen allen Verantwortlichen (Unternehmen) die gleichen (beschränkten) Rechte ein.

Unternehmen sollten den Schutz der personenbezogenen Daten nun besonders ernst nehmen, nicht zuletzt auch wegen der zum Teil horrenden Strafen: Bis zu 20 Millionen Euro oder 4 Prozent des globalen Umsatzes betragen die höchsten Strafgelder bei Unterlassung oder bei Verstößen gegen die DSGVO – je nach dem welcher Betrag höher ist.

Für den Alltag in Ihrem Unternehmen wird unser DSGVO Grundwissen sicher nicht genügen, kann aber eine gute Richtschnur für die wichtigsten Anpassungen sein.

DSGVO Beratung & Support

urbanstudio hilft gern bei der Umsetzung der neuen europäischen Datenschutzgrundverordnung mit einem DSGVO QuickCheck, einem Premium Service mit regelmäßigen Updates oder – wenn für Ihr Unternehmen nötig – mit einem externen Datenschutzbeauftragten. Zudem beraten wir Sie umfassend und persönlich zu den Themen Sicherheit und Datenschutz.

Als eRecht24 Agentur-Partner können wir bei der Umsetzung der DSGVO-Richtlinien behilflich sein und Interessenten mit weiterem Material zum Thema versorgen. Zudem können wir die technischen Voraussetzungen für eine Datenschutz­konforme Daten­verarbeitung schaffen und auch perspektivisch über Änderungen informieren.

Hinweis zur Haftung

Unser Artikel gibt einen Überblick über die wichtigsten Punkte der DSGVO. Er ist allerdings kein Ersatz für eine Rechtsberatung. Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen lassen Sie sich am besten von einem Anwalt oder Datenschutzbeauftragten beraten.

* diese kleine Anspielung auf Karl Marx muss zu seinem 200. Geburtstag erlaubt sein.
Zuletzt aktualisiert am 14.05.2018.