CRM Software

Unternehmen

Sofortkontakt

Folgen Sie uns

AMTANGEE bei Facebook AMTANGEE bei Twitter AMTANGEE bei Youtube AMTANGEE bei Google+
AMTANGEE bei LinkedIn AMTANGEE bei XING AMTANGEE bei Instagram AMTANGEE bei SlideShare
DSGVO-Check-up: Daran sollten Sie unbedingt denken!
Not-OP DSGVO

DSGVO-Check-up: Daran sollten Sie unbedingt denken!

Ist Ihre Website fit für die Datenschutz-Grundverordnung (DSGVO) oder hat der Patient noch Probleme? Wenn ja, wird es höchste Zeit, denn ab morgen gilt die neue Verordnung. Wenn Sie hingegen die folgenden Punkte zeitnah beachten und entsprechend umsetzen, ist kein Infarkt zu befürchten.

Im Zusammenhang der DSGVO gibt es mehrere kritische Bereiche. Zwingend benötigt wird eine an die DSGVO angepasste Datenschutzrichtlinie. Neben den insbesondere für Online-Unternehmen relevanten Punkten müssen auch zahlreiche Anforderungen an den internen Datenschutz erfüllt sein. Hierzu zählen auch Leitlinien zur privaten Internetnutzung durch Mitarbeiter oder die ordnungsgemäße Entsorgung von Unterlagen mit personenbezogenen Daten. Wir schieben das für den Augenblick beiseite und konzentrieren uns ausschließlich auf jene Datenschutzaspekte, die missliebige Personen schnell einsehen können und bei denen der größte Handlungsbedarf besteht. Los geht's!

Benötigt man tatsächlich einen Datenschutzbeauftragten?

Die Beantwortung dieser Frage hängt nicht ausschließlich von der Unternehmensgröße ab und sollte von Ihnen genau geprüft werden! Generell gilt: Sobald in einem Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu bestellen (Quelle). Und über diese Regelung hinaus: Sobald die Verarbeitung personenbezogener Daten einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegt, wird ein Datenschutzbeauftragter sogar zwingend benötigt, egal wie viele Mitarbeiter Sie beschäftigen. Dieser Datenschutzbeauftragte kann intern oder extern bestellt werden. Selbstredend muss auch ein interner Datenschutzbeauftragter über die entsprechenden Kenntnisse verfügen, was insbesondere bei kleinen Teams kaum der Fall sein dürfte. Aber es wird noch komplizierter: Wenn Sie Auftragsverarbeiter für Ihre(n) Kunden sind, müssen Sie z.B. ebenfalls einen Datenschutzbeauftragten bestellen, wenn auf Ihren Kunden nur eine Sonderregel nach 35 DSGVO zutrifft (Quelle).

Dürfen wir Google Analytics nutzen?

Die Gretchenfrage schlechthin. Google Analytics ist wohl der gebräuchlichste Tracking-Dienst – und zudem gespickt mit datenschutzrechtlichen Tücken. So wird z.B. die IP-Adresse eines Besuchers auch dann übertragen, wenn die Adresse im Tracking-Schnipsel anonymisiert wird. Ob die Verwendung von Google Analytics im Zusammenhang mit der DSGVO überhaupt noch möglich ist, wird derzeit heiß diskutiert. Google selbst delegiert die Verantwortung zur Einholung einer Einwilligungspflicht an die Betreiber der entsprechenden Website – was zur Vorsicht mahnen sollte! Grundsätzlich bieten sich hier nur zwei Möglichkeiten: Entweder man holt sich beim Nutzer die Zustimmung (Opt-In) zum Tracking mit Google Analytics und bietet zur Abschaltung ein Opt-Out an oder man wählt gleich ein alternatives Tracking-Tool. Die Firma etracker z.B. betreibt ausschließlich Server in der EU und hat eine lesenswerte Stellungnahme zum Thema Tracking auf der Grundlage einer Stellungnahme des Düsseldorfer Kreises verfasst.

Dürfen weiterhin Social Media Buttons verwendet werden?

Social Media Buttons sind beliebt, keine Frage! Im Lichte der Datenschutzgrundverordnung sind sie allerdings kritisch zu bewerten, da Nutzerdaten an einen entsprechenden Dienst übertragen werden. Hier muss unbedingt eine Erweiterung genutzt werden, die erst bei einem Klick auf den entsprechenden Button Userdaten überträgt (wie z.B. im Falle der von uns verwendeten Shariff-Buttons). Zudem muss die Verwendung im Rahmen der Datenschutzerklärung erläutert und gerechtfertigt werden. Generell gilt: Je weniger Buttons man verwendet, um so kürzer wird die Datenschutzerklärung. So lassen sich auch Korrekturen im Fall von rechtlichen Änderungen minimieren.

Was muss generell bei Cookies beachtet werden?

Cookies, die für den Betrieb Ihrer Seite technisch notwendig sind, können Sie weiterhin – auch im Rahmen der DSGVO – setzen. Typische Anwendungsfälle für „technisch notwendige“ Cookies, die eine Identifikation des Nutzers auf Folgeseiten gewährleisten, sind Mitgliederbereiche oder Warenkörbe. Wenn Sie hingegen Cookies zur Beobachtung des Surfverhaltens von Website-Besuchern nutzen, wird die Sache schon schwieriger. Laut DSGVO ist dies nicht erlaubt, es sei denn der Einsatz von Cookies wird in der Datenschutzerklärung explizit erläutert und gerechtfertigt. Dafür lässt die DSGVO sogar ein kleines Hintertürchen offen – und zwar in Form des sog. „berechtigten Interesses“. Allerdings: Was genau „berechtigt“ meint, ist derzeit Gegenstand kontroverser Diskussionen und lässt sich leider abschließend erst nach den ersten Gerichtsurteilen oder nach Klarstellungen der Aufsichtsbehörden genau definieren. Zusammenfassend: Cookies, die das ordnungsgemäße Funktionieren eines Webshops gewährleisten, dürften „berechtigt“ sein – mit Sicherheit konstatieren lässt sich dies nach derzeitigem Kenntnisstand allerdings nicht.

Wann ist ein Formular DSGVO-konform?

Wenn Sie auf Ihrer Website Daten über Formulare erheben, benötigen Sie zwingend eine verschlüsselte Datenübertragung. Das bedeutet: die Website muss auf https umgestellt werden. Darüber hinaus sind aber auch noch andere Aspekte zu beachten:

  • Jedes Formular darf nur die notwendigsten Daten erheben.
  • Das Formular muss einen Hinweis auf die Datenschutzerklärung enthalten.
  • Die Datenerfassung über das Formular sollte detailliert in der Datenschutzerklärung erläutert werden. Vor allem muss dem Nutzer vermittelt werden, dass er die Einwilligung gemäß Datenschutzerklärung jederzeit widerrufen kann (soweit Ihre Prüfung ergeben hat, dass Sie eine Einwilligung benötigen).

Datenschutzerklärung: Das Wichtigste zuletzt

Ihre neue, ggf. aktualisierte Datenschutzerklärung muss zwingend folgende Bestandteile enthalten:

  • Name und Anschrift des Datenschutzverantwortlichen
  • Name und Anschrift des Datenschutzbeauftragten (falls benötigt)
  • Allgemeine Angaben zur Datenverarbeitung wie Umfang, Rechtsgrundlage, Dauer der Datenspeicherung, Datenlöschung)
  • Angaben zur Bereitstellung der Website sowie zur Erstellung von Logiles
  • Angaben zur Cookie-Verwendung
  • Angaben zu Newslettern
  • Hinweise zu Kontaktformularen
  • Angaben zur Registrierung (falls es einen Mitgliederbereich gibt)
  • Angaben zu verwendeten Social Media-Elementen (z.B. eingebettete Videos, Twitter Streams)
  • Rechte der betroffenen Personen

Wichtig: Der Einsatz jedes laut DSGVO kritischen Elements, sei es ein Tracking-Tool, ein Formular oder ein Social Media-Control, muss begründet werden. Wichtig sind die folgenden Angaben:

  • Was macht ein bestimmtes Element und welchen Umfang hat diese Datenverarbeitung?
  • Erläuterung der Rechtsgrundlage der Datenverarbeitung für das entsprechende Element
  • Zweck der Datenverarbeitung
  • Wie lange werden Daten durch dieses Element gespeichert?
  • Welche Möglichkeiten des Widerrufs gegen den Einsatz hat der Nutzer?

In der Konsequenz bedeutet dies: Der Datenschutzerklärung kommt künftig eine zentrale Rolle zu. Art und Umfang hängen von der Anzahl verwendeter Elemente auf der Website ab. In jedem Fall sollte ein Link auf die Datenschutzerklärung überall auf der Website gut sichtbar sein. Und vergessen Sie nicht: Ihre Datenschutzerklärung ist kein Dokument, dass dann nach Veröffentlichung eine Dekade oder noch länger auf Ihrer Website vor sich hinmüffelt. Vielmehr ist es in seiner Tragweite mit Allgemeinen Geschäftsbedingungen vergleichbar und sollte regelmäßig geprüft und ggf. an veränderte Bedingungen angepasst werden.

No risk – no fun?

Keine gute Idee! Verstöße gegen die DSGVO können in Zukunft streng geahndet werden. Und so mancher Abmahnanwalt hat schon im Voraus Champagner geordert, denn für ihn beginnen wahrscheinlich rosige Zeiten! Sollten Sie unter Zeitdruck stehen, kann es unter Umständen sinnvoll sein, kritische Fragen zu vertagen und eine bestimmte Funktionalität temporär zu deaktivieren. Wer hingegen der Ansicht ist, ohne Google Analytics und Analytics-Opt-In nicht leben zu können, sollte sich einen guten Anwalt suchen. Gerade dieses Thema ist heißer Kandidat für die erste Abmahnwelle!

Bitte beachten Sie: Dies ist ein redaktioneller Betrag, der das komplexe Thema der Datenschutz-Grundverordnung allgemein verständlich aufbereitet. Wir haben hierbei unterschiedliche Informationen und Deutungen frei verfügbarer Quellen zusammengetragen und nach bestem Wissen und Gewissen sorgfältig ediert. Die Lektüre soll und kann keine Rechtsberatung ersetzen! Jede Entscheidung, die ein Unternehmen fällt, um den gesetzlichen Maßgaben zu entsprechen, muss in technischer und organisatorischer Hinsicht auf das jeweilige Unternehmen angepasst sein und sollte in jedem Fall von einem rechtlichen Beistand geprüft werden. Als Anbieter einer CRM-Lösung sind Datenschutz und IT-Sicherheit für uns von größter Bedeutung. Bitte beachten Sie daher auch zukünftige Blog-Beiträge zum Thema IT-Sicherheit sowie kommende Software-Releases, die bestimmte Gesichtspunkte der DSGVO adressieren.

Verwandte Beiträge, die Sie interessieren könnten: