Am 25.05.2018 tritt die neue EU Datenschutz-Grundverordnung (DSGVO) ausnahmslos in Kraft. Diese soll den Menschen die Kontrolle über die eigenen digitalen Daten gewährleisten. Das bedeutet für alle Webseiten-Betreiberinnen, dass die digitale Präsenz mit der DSGVO konform sein muss. Die Strafen für das zuwiderhandeln sind ziemlich empfindlich. Die Maximalstrafen liegen bei 20 Millionen Euro oder 4% des Jahresumsatzes, je nachdem welche Summe höher ausfällt.
Leider ist die DSGVO nicht eindeutig formuliert. Es ist zu diesem Zeitpunkt nicht klar, wie die Umsetzung der DSGVO genau aussehen muss. Viele erwarten daher eine Abmahnwelle, bei der großflächig Webseiten die nicht DSGVO konform sind belangt werden. Es ist daher wichtig, sich als Webseiten-Betreiberin so gut es geht abzusichern.
Denkt bitte daran: Die folgenden Tipps sind nicht als Rechtsberatung gedacht und stellen in keiner Weise eine umfassende Beratung dar.
Zuerst stellt sich natürlich die Frage, ist meine Webseite betroffen? Die Antwort ist: Sehr wahrscheinlich ja. Jede Webseite, die mit einem Content Management System (CMS) wie WordPress, TYPO3 oder ähnlichem betrieben wird, die einen Login hat oder auch nur ein Werbebanner installiert hat, verwendet Cookies. Cookies sind kleine Textdateien, die zwischen Browser und Server ausgetauscht werden, um Benutzer zu identifizieren. Das ist eine technische Notwendigkeit und kann nicht umgangen werden.
Da wir alle betroffen sind. Was muss ich nun machen?
Grundsätzlich sind zwei Schritte notwendig:
1. Informieren
2. Anonymisieren
Zu 1.: Die User auf der Webseite müssen informiert werden, was die Webseite macht, welche Daten erhoben werden und was mit den Daten geschieht. Außerdem muss dem User die Möglichkeit gegeben werden, die Daten zu verweigern. Das geschieht wieder in zwei Schritten a & b.
1.a: Sobald ein User das erste mal auf die Webseite kommt, müssen wir darauf hinweisen, dass die Webseite Cookies verwendet und warum. Das geht über einen Cookie Hinweis, der meist über eine Art Pop-Up mit ‚OK‘ Button einpflegt wird (diese Hinweise sind inzwischen sehr häufig zu finden). In dem Hinweis sollte es einen Verweis auf die Datenschutzerklärung bzw. weiterführende Informationen geben.
1.b: Wie in Deutschland das Impressum verpflichtend ist, so müssen ab dem 25.05.2018 alle Webseiten eine Datenschutzerklärung beinhalten. Darin muss darauf hingewiesen werden, welche Informationen des Users erhoben werden und wozu diese verwendet werden. Diese Seite muss inhaltlich individuell für die Webseite angepasst werden. Wenn man auf der Webseite Tracking-Programme wie Google Analytics, Matomo (ehem. Piwik) oder ähnliches verwendet, muss der User informiert werden wozu welche Daten erhoben werden. Zusätzlich muss dem User die Möglichkeit gegeben werden, sich nicht tracken zu lassen (eine sogenannte Opt-Out Funktion). Wenn auf der eigenen Webseite Social Media (Facebook, Twitter & Co.) in der Form eingebunden sind, muss sichergestellt sein, dass keine Daten ohne die Zustimmung des Users an die Social Media Plattform weitergeben werden. Es ist vielleicht nicht bekannt, aber Facebook kann über den ‚Like‘ Button, der auf Nicht-Facebook-Seiten eingebunden ist, die Aktivität von Usern über große Teile der Webseiten tracken.
Zu 2.: Wenn die eigene Webseite Daten erhebt, müssen diese anonymisiert werden. Tracken von Klarnamen, Emailadressen usw. ist daher nur mit guter Begründung und Einwilligung des Users möglich. Es gilt generell der Grundsatz, dass so wenige Daten wie möglich erhoben werden sollen. Außerdem muss die „Do Not Track“ Einstellung von Webbrowsern respektiert werden. Die Voreinstellung der Webseite sollte also so „datenschutzfreundlich“ wie möglich sein.
Wenn diese zwei Punkte „Informieren“ und „Anonymisieren“ vor dem 25.05.2018 umgesetzt werden, sollte es keine Komplikationen mit dem DSGVO geben. Da aber wie gesagt nicht klar ist, wie die Umsetzung ganz konkret aussieht, sollte auch in Zukunft das Thema DSGVO beobachtet werden.
Dies ist ein Hinweis-Text und erhebt keinen Anspruch auf Korrektheit oder Vollständigkeit. Bei konkreten Fragen oder Bedenken wendet euch bitte an eine Juristin oder einen Juristen.