EU-Datenschutzgrundverordnung (DSGVO)

Am 25.05.2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Dies hat grosse Auswirkungen auf alle Unternehmen, gewerblich tätige, Freiberufler, Vereine, Selbständige und öffentliche Organisationen.

Für alle Unternehmen, egal welche Grösse, hat dies drastische Änderungen zur Folge. Wenn sich nicht an die neuen Regelungen gehalten wird, drohen drastische Geldbußen und Abmahnungen.

Wir haben in den folgenden Ausführungen die wichtigsten Kriterien zusammengestellt. Sie sind aber nicht abschliessend und ersetzen KEINESFALLS einen fachkundigen Rat durch einen Datenschutzbeauftragten oder Rechtsbeistand. Diese Informationen stellen KEINE rechtliche Beratung dar.

Die DSGVO soll europaweit ein gleich hohes Datenschutzniveau für Unternehmen herstellen. Alte Datenschuzuregelungen die aus den 90er Jahren stammen werden hierdurch ersetzt.

Nehmen Sie die Geldbussen nicht auf die leichte Schulter. Die zuständigen Landesdatenschutzbehörden wurden massiv mit Personal aufgestockt, um entsprechend reagieren zu können. Die Geldbussen müssen wirksam und verhältmismässig sein, werden aber auf bisher ungeahnte Höhe schnellen. Geldbussen sind bis zu 4 % des Konzernjahresumsatzes oder bis zu 20 Millionen Euro möglich. Natürlich werden nicht alle Verstösse so geahndet, aber die Drohkulisse ist real. Beschwerden von Verbrauchern können nun auch "ganz bequem" per Webformular gemeldet werden. Für Unternehmen kann es also sehr schnell schwierig werden.

Theoretisch sind laut Gesetz nur Unternehmen mit mehr als 250 Mitarbeitern betroffen, da aber auch kleine Unternehmen regelmässig mit privaten Daten zu tun haben, tritt diese Ausnahme nicht ein. Alle Unternehmen, auch private Webseiten bei denen nur ein einziger Banner oder Affiliate Link zu sehen ist, sind betroffen.

Mehr Informationen auch bei der GDD - Gesellschaft für Datenschutz und Datensicherheit e.V..

Welche Daten sind betroffen?
Alle Daten die sich auf eine natürliche Person beziehen und die identifizierbar ist sind betroffen. Dazu zählen:

-Vor-/Nachname
-Adresse
-Geburtsdatum
-Standortdaten
-IP Adressen (!!)
-Gesundheitsdaten
-Kontonummern
-biometrische Daten
-Geschlecht


Welche Daten darf ich nutzen?
Grundsätzlich dürfen nur die Daten gespeichert werden, für die es einen bestimmten Zweck gibt. Wer z.B. IP Adressen sammelt (z.b. unsere Logfiles auf dem Webserver) muss dafür einen Grund angeben. Dies ist in im Falle der Websites dahin gegeben, das IT System darauf angewiesen sind, über IP Adressen Angriffe abzuwehren. Eine Speicherung über 14 Tage hinaus ist aber nicht mehr notwendig, daher entfällt der Zweck.


Dokumentationspflichen
Für eine Ordnungsgemässe Handhabung von dem Datenschutz unterliegenden Daten ist es notwendig entsprechende Dokumentationen anzulegen die die Handhabung der Daten beschreibt und deren Löschung nach dem Wegfall des Zwecks dokumentiert.


Aktualisierung der Website
Wer bis zum 25.05.2018 seine Webseite nicht auf die neuen Gesetzesregelungen der DSGVO angepasst hat, muss nicht nur mit Geldbussen der Datenschutzbehörden rechnen sondern auch mit dem altbekannten Abmahnungen. Daher ist es zwingend erforderlich folgende Massnahmen zu treffen:

1. Verschlüsselung (SSL-Zertifikat)
Wenn Sie ein Kontaktformular, einen Webshop oder ein ähnliches betreiben mit dem Sie Personendate übertragen MUSS dies über ein SSL Zertifikat abgesichert sein. Zahlungsdaten (Bankverbindung) müssen grundsätzlich verschlüsselt übertragen werden. Wenn Sie ein Domainhostingpaket A gebucht haben, kostet dies 1,19 Euro im Monat. Beim Domainhostingpaket B, C und D sind SSL Zertifikate für die gebuchten Domains inbegriffen.

2. Anpassung der Datenschutzerklärung
Alle alten Datenschutzerklärungen nach altem Recht sind unwirksam. Nutzen Sie einen " Datenschutzerklärung(DSGVO)-Dienst" der die folgenden Daten abfragt und für Sie zusammenstellt:
-Name und Kontakt des Betreibers der Webseite
-Rechtsgrundlage der Verarbeitung der Daten
-Rechte der Betroffenen (Besucher)
-Aufführung des Zwecks der Verarbeitung der Daten
-Aufführung der Rechtsgrundlagen der Datenverarbeitung

Hinzu kommt unter Umständen
-Name und Adresse des zuständigen Datenschutzbeauftragten
-Wenn Daten weitergegeben werden, Name des Empfängers der Daten und Art der Verarbeitung (auch ein eventueller Auftragsverarbeiter gehört hinzu)
-Wenn die Absicht besteht die Daten ausserhalb der EU zu speichern, inkl Nennung des Datenschutzabkommens
-wie werden die Daten gespeichert und bereitgestellt

Wir haben recht gute Erfahrungen mit www.e-recht24.de gemacht.


Auskunftsrechte
Alle Verbraucher haben das Recht zu erfahren, welche Daten beim Unternehmen gespeichert sind. Diese Fragen haben es in sich! Das Unternehmen MUSS diese Fragen innerhalb eines Monats beantworten.


Vertrag zur "Auftragsverarbeitung" nach §25 DSGVO
Der Betreiber einer Webseite darf nicht ohne den Besucher zu befragen seine persönlichen Daten speichern. Da zu den persönlichen Daten auch die IP Adresse des Besuchers gehört die immer auf dem Webserver gespeichert wird, kann man dies nicht leisten. Daher kann mit uns eine "Auftragsverarbeitung" nach §25 DSGVO geschlossen werden, die regelt, das der Webhoster gemäss Ihren Anweisungen z.B. die IP Adressen für eine Zeit von max 14 Tagen speichert. Der Webhoster, also wir, wird damit rechtlich gesehen nicht mehr ein Dritter sondern gehört Ihrer Organisation an, sodass Sie "Herr der gesammelten und verarbeiteten Daten" bleiben.

Im Kundenlogin kann mit uns ein Vertrag zu "Auftragsverarbeitung" nach §25 DSGVO eingegangen werden.


GoogleAnalytics / Matomo (früher Piwik)
Wenn Sie eins dieser Tools einsetzen, müssen Sie darauf hinweisen. Der Besucher muss die Möglichkeit haben dem zu wiedersprechen. Es werden derzeit Seitenbetreiber abgemahnt, die Google Analytics ohne IP Anonymisierung nutzen.