EU-Datenschutzgrundverordnung – Hausaufgaben gemacht?

5 vor 12Es ist lange bekannt: ab dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (EU-DSGVO) anzuwenden.
In Kraft getreten war sie schon am 24. Mai 2016, nur hat das leider die wenigsten Verantwortlichen interessiert.

In den letzten Wochen und Monaten griff grosse Aufgeregtheit um sich.
Auf allen Kanälen wurde über das Inkrafttreten der Datenschutz-Grundverordnung berichtet. Von Alles nicht so schlimm. bis Sofort den Betrieb einstellen! war in den Berichten alles dabei.

So schreibt beispielsweise der Europa-Abgeordnete Jan Philipp Albrecht, der als Verhandlungsführer des Europäischen Parlaments maßgeblich am Gesetzgebungsprozess zur Datenschutz-Grundverordnung mitgewirkt hat, dass Betreibern kleiner Blogs oder Vereinen, in denen nur ehrenamtliche Mitglieder mit den Daten der Mitglieder umgehen, nichts zu befürchten hätten. [1]
Sein Tenor: Alles halb so wild.

Karsten Seibel von der WELT schreibt, dass sogar die Annahme eine Visitenkarte (Papier!) zu Problemen führen kann. [2]

Die Aktivistin Marina Weisband sieht das Internet kleiner werden, weil wegen der DSGVO viele Betreiber kleiner Blogs ihre Blogs schliessen werden. [3]

Thilo Weichert, Vorstand der deutschen Vereinigung für Datenschutz, sieht bessere Möglichkeiten für Private, ihre Daten zu schützen, sieht sie aber auch in der Pflicht, die Datenschutz-Einstellungen bei von ihnen benutzten Diensten aktiv zu kontrollieren und einzustellen. [4]

Michael Keck, Geschäftsführer des Karnevalsverein Hasi-Palau-Paderborn, hat beschlossen, zum 25. Mai die Vereins-Homepage vorübergehend offline zu nehmen und Klärung abzuwarten. Die Furcht vor Abmahnungen ist zu groß. [5]

Sehr vielen Verantwortlichen wurde durch die breite mediale Berichterstattung bewusst, dass sie die Umsetzung der DSGVO in ihrem Verantwortungsbereich komplett verschlafen oder verdrängt hatten.
Oder sie sind sich jetzt nicht mehr sicher, alles Notwendige zur rechtssicheren Umsetzung getan zu haben.

DSGVO
Was ist die Datenschutzgrundverordnung (DSGVO) [6] und was ist neu oder anders ab dem 25. Mai?

Bei der DSGVO handelt es sich um eine verpflichtende Verordnung der Europäischen Union, die alle Mitgliedsstaaten umsetzen müssen.
Im Gegensatz zur bisherigen Richtlinie 95/46/EG, die von den Mitgliedsstaaten in nationales Recht umgesetzt werden musste, ist die DSGVO für die Mitgliedsstaaten bindend.
Die DSVGO regelt in 99 Artikeln und 173 Erwägungsgründen die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit einheitlich.
Sie regelt nicht alles neu, sondern behandelt Datenschutz ähnlich wie das – in Deutschland schon länger ziemlich gut aufgestellte – Bundesdatenschutzgesetz [7].

Neu sind im Wesentlichen

  • die möglichen Strafen (bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatz können Bußgelder in bestimmten Fällen betragen),
  • die Grundsätze der Verarbeitung personenbezogener Daten,
  • das Marktortprinzip,
  • der innereuropäisch ungehemmte freie Verkehr personenbezogener Daten,
  • der Wechsel von der Datensparsamkeit zur Datenminimierung,
  • die Informationspflichten,
  • die weitergehenden Auskunftspflichten und das Recht auf Korrektur oder Löschung von (falsch oder unrechtmäßig verarbeiteten Personendaten),
  • die Prinzipien ‚Privacy by Design‘ und ‚Privacy by default‘ (die Datenverarbeitung muss so entworfen und voreingestellt sein, dass sie den Grundsätzen der Datenschutzes entspricht) und
  • die Festlegung von Standards für die Pflicht, einen Datenschutzbeauftragten zu bestellen,

auf die ich einzeln später genauer eingehe.

Neben der DSGVO kommen durch Öffnungsklauseln landesspezifische Regelungen des Datenschutzes sowie andere Gesetze wie beispielsweise das Kunsturheber-Gesetz (KUG) zum Tragen.

Was ist jetzt wichtig? Was muss zum 25. Mai umgesetzt sein oder dringend umgesetzt werden?
Vorab meine Einschätzung, dass von den Datenschutzbehörden vorläufig keine ‚Gefahr droht‘. Ich vermute, die haben mit der Flut an Eingaben und Anfragen erst einmal ausreichend zu tun.
Ob – wie an vielen Stellen angenommen wird – die Abmahnindustrie ‚Gewehr bei Fuß‘ steht, um ab dem 25. Mai ihre Schreiben wegen kleinster oder größerer offesichtlicher Fehler von Webseiten oder Formularen loszuschicken? Ich weiss es nicht. Es ist aber im Bereich des Vorstellbaren.

Für alle hier ausgesprochenen Empfehlungen gilt: sie entsprechen meiner Interpretation der Gesetzeslage und beinhalten meine Erfahrungen aus verschiedenen einschlägigen Fortbildungen. Da ich als IT-Security-Engineer Datenschutzberater und kein Jurist bin, handelt es sich bei den Empfehlungen NICHT um eine Rechtsberatung. Bei konkreten Fragen oder Problemen nehmen Sie bitte rechtsanwaltliche Hilfe in Anspruch.

Für Webseiten-Betreiber gilt:

  • Cookies: Wenn die Webseite Cookies benutzt (Cookies sind kleine Dateien, die Webseiten auf den Rechnern der Besucher speichern), sollten diese Cookies nur nach Einwilligung durch den Webseitenbesucher eingesetzt werden (Opt-In).
  • Wenn die Webseite Kommentare erlaubt, sollten diese entweder pseudonym möglich sein oder die Angabe von Daten wie Name oder Emailadresse sollte von der entsprechenden Information begleitet werden, wie und wozu diese Daten verarbeitet werden.
  • wer Tracking-Services nutzt, muss darüber detailliert informieren, IP-Adressen anonymisiert übertragen und ein Opt-Out anbieten.
  • Newsletter müssen per Opt-In bereitgestellt werden (vorhandene Abos sollten per Re-Opt-In erneuert werden) und die Abonnenten müssen über ihre Rechte informiert werden. (Diese Informationspflicht gilt auch für die verschickten Newsletter).
  • SocialMedia-Plugins, die beim Besuch der Webseite Nutzerdaten an den SocialMedia-Dienst übermitteln, sollten NICHT benutzt werden.
  • Das Impressum der Webseite muss an die DSGVO angepasst werden. Der Verantwortliche für die Webseite muss namentlich aufgeführt werden, Kontaktmöglichkeiten müssen klar aufgezeigt werden.
  • Datenschutzerklärung: Webseiten müssen eine (leicht zu findende) Datenschutzerklärung beinhalten.
    (die Datenschutzerklärung kann man mit Hilfe von ‚Generatoren wie beispielsweise der Datenschutzerklärungs-Generator der Deutschen Gesellschaft für Datenschutz‘ erstellen lassen.)
  • Verschlüsselung: der Webseiten-Abruf sollte möglichst verschlüsselt ausgeliefert werden (SSL). Wenn in Formularen Personendaten abgefragt werden, ist Verschlüsselung Pflicht.
    Viele Webhoster bieten SSL-Verschlüsselung an (gegebenenfalls gegen Aufpreis).
  • Verfahrensverzeichnis: die DSGVO verlangt, dass die Verarbeitung personenbezogener Daten in einem Verfahrensverzeichnis eindeutig beschrieben wird. Es muss also beschrieben werden, wie die Daten verarbeitet werden und was mit ihnen geschieht. (Dieses Verfahrensverzeichnis muss den Datenschutzbehörden auf Verlangen überstellt werden.)

Diese nicht abschliessende Aufzählung von ‚erste-Hilfe-Empfehlungen‘ für Webseiten ist eine gute Basis für den Weg zur DSGVO-konformen Webseite.

In kommenden Blog-Artikeln werde ich beschreiben, was Vereine, Selbständige Unternehmer, Freiberufler und insbesondere Ärzte oder Betreuer nach meiner Einschätzung beachten müssen und welche technisch-organisatorischen Maßnahmen (TOM) sie beachten müssen.

Auf Fragen und Anregungen an ms ( at ) securelay ( punkt ) de freue ich mich.

Links:
[1] Jan Philipp Albrecht zu den Auswirkungen der DSGVO
[2] WELT: Visitenkarte kann zum Problem werden.
[3] Marina Weisband: viele kleine Blogs werden schliessen.
[4] Thilo Weichert: bessere Datenschutz-Möglichkeiten für Private, Pflicht, Datenschutz-Einstellungen zu kontrollieren und einzustellen.
[5] Karnevalsverein will Homepage offline stellen
[6] Wikipedia: DSGVO
[7] Bundesdatenschutzgesetz

Artikel kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert. Mit der Nutzung dieses Formulars erklären Sie sich mit der Speicherung und Verarbeitung Ihrer Daten durch diese Website einverstanden. Weiteres entnehmen Sie bitte der Datenschutzerklärung.