Media Weekly

Datenschutz-Grundverordnung: das Wichtigste in Kürze

Datenschutz-Grundverordnung: das Wichtigste in Kürze

Mit Stichtag am 25. Mai, also in zweieinhalb Wochen, wird in Deutschland die Datenschutz-Grundverordnung (DSGVO) geltendes Recht. Vieler meiner Klienten haben bereits in den vergangenen Monaten ihre Websites angepasst. Für alle Auftraggeber, die dies noch nicht getan haben, halte ich in den kommenden Wochen Ressourcen bereit, um notwendige Änderungen an ihren Online-Projekten noch umzusetzen. Was die die neuen Regeln für das Web insgesamt bedeuten, hat der Hoster GoDaddy in diesem Blog-Beitrag (Update: Link ist leider nicht mehr gültig) ganz gut beschrieben. Was sie für Ihr Projekt bedeuten, versuche ich hier kurz zusammenzufasse. Das kann natürlich keine verbindliche Rechtsberatung sein; ich fasse in diesem Beitrag aber zusammen, was mir an Material im Moment zur Verfügung steht. 

Datenschutzerklärung auf der Website

Eine Grundprämisse der Datenschutz-Grundverordnung ist zu regeln, wie und wann personenbezogene Daten erhoben, gespeichert und gelöscht werden. Für die Speicherung muss es demnach entweder eine Rechtsgrundlage oder aber das Einverständnis der betreffenden Person geben. Was bei dieser Einwilligung zu beachten ist, beschreibt das Beratungsunternehmen activeMind AG hier ganz gut. Schon vorher benötigten Websites in Deutschland eine Datenschutz-Erklärung; dieser Text muss jetzt nach den speziellen Anforderungen der DSGVO geändert werden. Ein Beispiel ist diese Datenschutz-Erklärung der Anwaltskanzlei Lochmüller, die so auch auf anderen, allgemeinen Websites stehen könnte. Für Arztpraxen sind die Anforderungen noch etwas höher; diese Datenschutzerklärung meines Auftraggebers Dr. Achim Kümmel zeigt ein gutes Beispiel. Weitere Hinweise liefert hier auch ein Dokument der Kassenärztlichen Bundesvereinigung.

Falls Sie Hilfe benötigen, die Datenschutz-Erklärung auf Ihrer Website anzupassen, nehmen Sie bitte bis zum 20. Mai Kontakt mit mir auf. Für die meisten meiner Auftraggeber kann ich die notwendigen Änderungen zu einem günstigen Pauschalpreis erledigen. Das betrifft auch mögliche Änderungen an Webformularen.

Webformulare und CRM

Eine ausführliche rechtliche Würdigung des Themas „Webformulare und DSGVO“ habe ich hier gefunden. Wichtig ist aber zunächst, dass die Formular-Eingaben verschlüsselt übertragen werden (siehe „Verschlüsselung“ weiter unten; von mir betreute Business-Catalyst-Websites tun dies bereits). Darüber hinaus ist es wohl eine gute Idee, im Formular auf die (neue) Datenschutzerklärung nach DSGVO hinzuweisen und sich das Einverständnis zur Speicherung mit einem Klick in ein Feld bestätigen zu lassen. Möchten Sie das für Ihre Website umsetzen, sagen Sie mir bitte Bescheid.

Bitte vergessen Sie folgendes nicht: Alle Nutzer der Business-Catalyst-Pakete webMarketing und webCommerce (schauen Sie dazu in Ihre jährliche Service-Rechnung) verfügen über ein eingebautes Customer Relationship Management (CRM). Nimmt jemand mit Ihnen Kontakt über ein Webformular auf, werden dessen Eingaben zusammen mit Namen, E-Mail-Adresse und vielleicht auf Telefonnummern im CRM gespeichert. Bei allgemeinen Anfragen bedeutet dies zum Beispiel, dass diese Daten auch im CRM gelöscht werden müssen, wenn der ursprüngliche Grund der Speicherung entfällt. Bei Newslettern müssen persönliche Daten im CRM beispielsweise gelöscht werden, sobald sich ein Abonnent abmeldet.

E-Commerce

Onlineshops müssen sich noch intensiver mit der DSGVO auseinandersetzen. Daten, die während eines Bestellvorgangs anfallen, sind zum Beispiel nicht die gleichen, die für die Buchhaltung dauerhaft gespeichert werden müssen. Ich rate dazu, sich hierzu fachlich beraten zu lassen – entweder vom eigenen Anwalt oder auch bei Online-Services wie eRecht24.

Verschlüsselung

Wichtig für die DSGVO ist auch die Verschlüsselung. Der neueste Standard dafür ist TLS; hört man vom älteren Standard SSL, steht dies meist synonym für diese Technik. Das deutsche Telemediengesetz fordert bereits jetzt, dass personenbezogenen Daten, die Nutzer in ein Webformular eingeben, nach dem „Stand der Technik“ verschlüsselt übertragen werden (§13 Abs. 7 Telemediengesetz). Alle lochmüller.MEDIA-Projekte mit Support-Vertrag erfüllen diese Voraussetzung; alle Formulardaten werden SSL-verschlüsselt von der Website an den Web-Server übermittelt. Achten Sie aber auch darauf, dass die Übermittlung der Formularinhalte an Ihre E-Mail-Adresse ebenfalls über einen verschlüsselten Server-Aufruf erfolgen sollte. Die meisten E-Mail-Services inklusive dem von Business Catalyst tun dies.

Darüber hinaus ist es aber auch mittlerweile sinnvoll, die gesamte Website SSL-verschlüsselt zu übertragen – obwohl dies von der DSGVO meines Wissens nicht ausdrücklich verlangt wird. Google ist hier seit Jahren Vorreiter und propagiert die Verschlüsselung aller Onlineangebote, um Phishing und Trojaner-Attacken zu erschweren. Ab Version 68 (zurzeit ist Version 66 aktuell) sollen im Browser Google Chrome alle nicht verschlüsselten Websites als „unsicher“ in der Adresszeile markiert werden.

Adobe Business Catalyst verfügt bereits out-of-the-Box über SSL-Verschlüsselung mit einer Domain nach dem Schema https://seitenname.worldsecuresystems.com. Diese Domain wird dabei zum Beispiel für Kontaktformulare und in Online-Shops verwendet. Die Unterstützung für die SSL-Zertifizierung eigener Domain-Namen bietet BC gegen Aufpreis an. Mit dem Wechsel von BC auf ein Nachfolgesystem in den kommenden drei Jahren wird die SSL-Verschlüsselung von mir als Standard eingerichtet: Alle Systeme, die ich zurzeit evaluiere, bieten SSL für die eigene Domain bereits von Haus aus.

Update 17.5.18

Generatoren für Datenschutz-Erklärungen

Es gibt im Internet zwei Möglichkeiten, sich vermutlich DSGVO-konforme Datenschutz-Erklärungen automatisch erstellen zu lassen. "Vermutlich" deswegen, weil ich nicht meine Hand dafür ins Feuer legen kann, dass diese Texte rechtskonform sind. Auf jeden Fall erscheinen mir die Quellen informierter zu sein als ich es bin:

Update 18.5.17

Vertrags zur Auftragsdatenverarbeitung (ADV)

Nach einigen Tagen Arbeit mit den diversen Anforderungen der DSGVO hier noch einigen Zusätze: Verschiedene Webprojekte nutzen diverse Plugins - für Social Media, Google Maps, Web-Schriftarten oder eingebettete Videos. Obwohl mir aus technischer Sicht bei einigen dieser Dinge (z.B. Web-Schriftarten) auf Anhieb nicht klar ist, welche personenbezogenen Daten hier übertragen werden, gibt es dazu entsprechende Text-Passagen für die Datenschutz-Erklärung, die ich auf Anfrage gerne einpflege.

Ein besonderes Thema ist für Unternehmen und Freiberufler der Vertrags zur Auftragsdatenverarbeitung (ADV). Ein solcher ist nötig, wann immer Daten an einen Dienstleister gehen, um dort verarbeitet zu werden. Ein Beispiel ist Google Analytics. In Bezug der DSGVO-Umsetzung am 25.5.18 wird immer wieder auf die Notwendigkeit eines solchen Vertrages hingewiesen; diese Regel gilt allerdings schon länger. Google stellt einen solchen Vertrag hier zur Verfügung. Auch Interprovider wie 1&1 stellen ein entsprechendes Papier bereit. (Die direkte Verlinkung von hier funktioniert leider nicht, daher hier der Link zum Kopieren in die Adresszeile: https://hosting.1und1.de/hilfe/datenschutz/allgemeineinformationen/auftragsverarbeitung/)

Zu der Frage, ob hier die Schriftform zwingend notwendig ist, habe ich diesen Beitrag gefunden.

Auch Adobe Business Catalyst verarbeitet natürlich im Auftrag der Seiten-Betreiber Daten - nicht zuletzt auch im CRM. Bei Adobe habe ich zunächst nur die Möglichkeit gefunden, einen Vertrag für die Verarbeitung der Daten außerhalb der EU abzuschließen. Man kann diesen bei Adobe beantragen, und zwar hier. Ich kann nur vermuten, dass damit auch die generelle Datenverarbeitung vertraglich geregelt ist. Wer also auf "Nummer sicher" gehen möchte, sollte am besten selber einen solchen Vertrag mit Adobe abschließen - unabhängig davon, wie lange die Website noch bei Business Catalyst gehostet wird.