Webseiten und Onlineshops bei der DSGVO

Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) wird sich einiges in Deutschland nochmal in Sachen Datenschutz ändern. Zwar haben wir mit dem BDSG schon ein sehr gutes Datenschutzniveau, allerdings erweitern sich einige Anforderungen, die es zu erfüllen gilt. In diesem Artikel gehen wir darauf ein, was sich für Webseiten und Onlineshops bei der DSGVO in Zukunft ändern wird.

Was ändert sich durch die Datenschutzgrund-verordnung im Mai 2018

Generell kann man hierzu keine Aussage treffen. Es ändern sich viele Kleinigkeiten, so dass eigentlich alle Prozesse mit personenbezogenen Daten kontrolliert werden müssen. Wie bereits erläutert, stellen wir hier die Änderungen dar, die sich auf Webseiten und Onlineshops beziehen.

Insbesondere ist hier in Zukunft eine andere Herangehensweise bei folgenden Punkten zu beachten:

Grundsätze der DSGVO

Mit der DSGVO werden einige bisherige Grundsätze ein wenig verändert bzw. erweitert.

Datensicherheit

In der DSGVO ist in Artikel 32 die Datensicherheit als Grundsatz niedergeschrieben. Dieser umfasst, dass Verarbeiter von Daten unter Berücksichtigung des Stands der Technik, der Implementierung dieser Technik und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau für die Daten im Vergleich zum Risiko zu gewährleisten.

Dies bedeutet im Einzelnen, dass sich die geeigneten Maßnahmen für den Schutz der personenbezogenen Daten nach der Schutzbedürftigkeit dieser richten.

Rechenschaftspflicht

Vor drohenden Bußgeldern hilft nach Inkrafttreten der DSGVO nur ein effektives Datenschutzmanagement und eine stetige Dokumentierung der Einhaltung der Datenschutzanforderungen. So können Sie die datenschutzrechtliche Umsetzung gegenüber nationaler und europäischer Aufsichtsbehörden nachweisen.

Verbot mit Erlaubnisvorbehalt

Der uns schon bekannte Grundsatz des Verbots mit Erlaubnisvorbehalt lautet, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten ist, es sei denn es erfolgt eine Erlaubnis aus

  • dem Gesetz, z.B. derzeit aus dem BDSG, aus dem TMG, aus der DSGVO oder
  • aus der Einwilligung der betroffenen Person.

Datensparsamkeit

Dieser Grundsatz bedeutet, dass Sie nur so viele Daten erheben und verarbeiten dürfen, wie Sie tatsächlich zur Erfüllung Ihrer Verpflichtung benötigen.

Zweckbindung

Wie auch bisher dürfen Daten unter dem Grundsatz der Zweckbindung nur zu dem Zweck verarbeitet werden, zu dem Sie erhoben wurden.

Was sind die nötigen Arbeitsschritte nach der DSGVO?

Nach dem Inkrafttreten der DSGVO im Mai 2018 müssen hinsichtlich einiger Bereiche ein paar Voraussetzungen beachtet werden.

Cookies

Bisher findet man die “Cookie-Bar” beim Aufruf einer Homepage. Dies hat sich bisher in der Anwendung des Rechts durchgesetzt. Bei einem Besuch auf der Webseite öffnet sich ein Feld, in dem der Besucher der Homepage über den Einsatz von Cookies informiert wird. In dieser Form wird derzeit das Einverständnis des Besuchers eingeholt.

Doch wie wird dies in Zukunft aussehen?

Im Mai nächsten Jahres werden die Vorschriften des Telemediengesetzes (TMG) nicht mehr anwendbar sein. Die DSGVO hält diesbezüglich aber keine Ausnahmeregelung für pseudonymisierte Daten bereit. Nach der neuen Rechtsprechung ist die Verarbeitung von personenbezogenen Daten erstmal unzulässig. Ausnahme bilden die Bedingungen aus Art. 6 DSGVO.

Sind für Cookies nun vorab immer Einwilligungen zuerst einzuholen ?

Art. 6 Abs. 1 Satz 1 lit. f DSGVO gibt eine Möglichkeit für eine zulässige Verarbeitung von personenbezogenen Daten. Im Hinblick auf Cookies wird dieser Vorschrift eine große Bedeutung zukommen. Nach dieser Vorschrift ist eine Verarbeitung zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten notwendig ist. Dies ist allerdings nur möglich,

 

sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“

 

Dies führt bei der DSGVO dazu, dass in jedem Fall eine Interessensabwägung durchgeführt werden muss.

Diese Interessensabwägung führt zu folgenden Fragestellungen, die es zu klären gilt:

  1. Hat der Online Händler ein berechtigtes Interesse an einem Einsatz von Cookies ?
  2. Wird der Cookieseinsatz zur Wahrung dieses Interesses wirklich benötigt ?
  3. Überwiegen in der Interessensabwägung die Interessen des Betroffenen am Schutz seiner Rechte oder die Interessen des Online Händlers ?

Konsequenz aus der Interessensabwägung

Der Einsatz von Cookies zur Webseitenanalyse kann in der DSGVO über eine Interessensabwägung aus Art. 6 Abs. 1 Satz 1 lit. f DSGVO gerechtfertigt werden. Genau wie nach bisheriger Rechtssprechung sollten hier die Interessen des Händlers dem Schutz den Interessen des Betroffenen überwiegen.

Ebenso wird dies wohl bei Cookies zu sehen sein, die der Bedienerfreundlichkeit auf der Webseite dienen. Dies kann beispielsweise eine Spracheinstellung sein, die es dem Online Händler ermöglicht, dem Besucher der Webseite per Cookie eine beim ersten Besuch ausgewählte Sprache nicht erst erneut wieder auswählen zu müssen. In die schutzwürdigen Interessen des Besuchers wird nicht so stark eingegriffen, wenn eine pseudonymisierte Datenerhebung stattfindet.

Wenn in den Fällen somit der Einsatz der Cookies über die Interessensabwägung gerechtfertigt ist, muss keine gesonderte Einwilligung erfolgen. Mithin muss die oben angesprochene Cookie-Bar nicht mehr angewendet werden.

Aber es ist Vorsicht geboten. Bisher haben die Gerichte und die Behörden noch keine eindeutige Stellungnahme zum Thema Cookies abgegeben.

 

Derzeit wird vor allem an einer ePrivacy Verordnung gearbeitet. Diese Verordnung der europäischen Union kann dann in diesem Bereich nochmal alles neu gestalten. Geplant ist dort eine Cookie-Richtlinie.

 

Datenschutzerklärung

Es wird weiterhin notwendig sein, dass Webseitenbetreiber eine Datenschutzerklärung führen müssen. Es gibt nun über die DSGVO in Art. 13 Abs.1 DSGVO inhaltliche Punkte, die dem Besucher als Informationen definitiv zur Verfügung gestellt werden müssen.

 

Datenschutzerklärungen müssen für jeden leicht verständlich sein. Es muss für jeden ersichtlich sein, welche Erhebung von Daten stattfindet, welcher Zweck hinter der Erhebung steht und wie diese Daten weiterverarbeitet werden. Webseiten, die sich an Kinder richten, müssen in einer kindgerechten Sprache abgefasst sein.

 

Art. 13 Abs. 1 DSGVO enthält folgende Informationen, die in jeder Datenschutzerklärung aufgelistet sein müssen:

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Formulare, wie z.B. das Kontaktformular

Bei Formularen werden auch jetzt häufig noch viele Angaben von Besuchern der Webseite gefordert. Dies wird sich mit der DSGVO ändern. Für die Kontaktaufnahme zu einem Besucher reicht die Angabe der Email aus. Um gegebenenfalls eine persönlichere Ansprache zu ermöglichen, sollte neben der Email Adresse maximal noch der Nachname als Pflichtangabe hingenommen werden. Alle anderen Angaben sollten im Ermessen des Besuchers liegen. Es sollte also gemäß dem Grundsatz der Datensparsamkeit und der Zweckbindung nur die nötigsten Daten erhoben werden. Formulare, die personenbezogene Daten erheben, sollten über eine SSL Absicherung verfügen.

Login-Bereichen

Nach bisheriger Rechtsprechung wird häufig bei Login-Bereichen mit Emails, Benutzernamen und Passwörtern gearbeitet. Aufgrund der strengeren Datenschutzvorschriften sollte auf einen Gebrauch von Benutzernamen umgestellt werden, da diese meist anonymisiert sind. Aus dem Grundsatz der Datensparsamkeit sollte auch hier dazu angeraten werden, die Pflichtangaben auf das Nötigste zu minimieren. Des Weiteren sollte auch hier der Login Bereich zwingend über eine SSL Funktion abgesichert sein. Daten, die der Besucher freiwillig gibt, dürfen auch weiterhin genutzt werden.

Newsletter

Um sich für einen Newsletter anmelden zu können, sollte auch eine SSL Funktion genutzt werden. Bei der SSL gesicherten Übertragung sollte für eine Newsletteranmeldung lediglich die Email als Pflichtangabe herangezogen werden. Weitere Informationen wären nicht mehr vom Zweck umfasst und somit eine überflüssige Erhebung von Daten, die dem Grundsatz der Datensparsamkeit widersprechen.

Social Media Plugins

Heutzutage stellen Social Media Plugins schon ein Problem dar. Niemand weiß, wie Facebook etc. arbeiten und was für Informationen bei einem Besuch über die Plugins erfolgen. Nach der DSGVO muss für die Erhebung von Daten ohne Einwilligung letztendlich eine Rechtfertigung zur Datenerhebung vorliegen. Bei Social Media Plugins werden keine rechtfertigenden Gründe zu finden sein. Demnach sollte vor dem Anzeigen der Plugins eine Einwilligung vom Besucher der Webseite eingeholt werden. Aber diese Einwilligung zur Datenerhebung wird man nicht einholen können, da dem Besucher keine Information über die Datenverarbeitung gemacht werden kann.

 

Wer rechtlich hierbei sicher auftreten möchte, sollte nach Inkrafttreten der DSGVO auf die Social Media Plugins verzichten. Eine derzeit sichere Lösung ist die Shariff-Lösung. Genauere Informationen zu dieser Lösung finden Sie unter diesem Link, der auf die Seite heise.de führt.

 

Fazit

Mit dem Wirksamwerden der DSGVO treten einige Neuerungen auf. Durch die uns bekannte Rechtslage im Hinblick auf das BDSG treten nicht zu viele Neuigkeiten auf. Die Stellschrauben werden lediglich ein wenig anders angesetzt. Falls Sie Hilfe für Ihre Stellschrauben im Unternehmen haben, so schreiben Sie uns eine Email an dsb@anka.eu oder rufen Sie uns an.