DSGVO: Neue Regeln. Neue Pflichten. Hohe Strafen.

Was Website-Betreiber über die neue Datenschutz-Grundverordnung (DSGVO) wissen sollten

Europaflagge mit darüberliegendem Text »§ DSGVO« Am 25. Mai 2018 tritt nach zweijähriger Übergangszeit die neue EU-Datenschutz-Grundverordung (DSGVO) unmittelbar und ausnahmslos in Kraft. Sie schafft einen EU-weit einheitlichen, datenschutzrechtlichen Rahmen und stärkt diesbezüglich die Rechte der EU-Bürger (Gegenstand und Ziele).

Und auch wenn die DSGVO sich in vielen Punkten mit den bisherigen Vorgaben des Bundesdatenschutzgesetzes (BDSG) deckt, lohnt der gründliche Blick auf die demnächst gültige Ordnung. Schließlich werden Verstöße zukünftig deutlich härter bestraft – bis zu 4% des weltweiten Jahresumsatzes eines Unternehmen oder 20 Millionen Euro!

Anforderungen an Ihre Datenschutzerklärung
  • Sofern Ihre Website keine rein private Seite ist, ist eine Datenschutzerklärung Pflicht! Ohne Wenn und Aber.
  • Die Datenschutzerklärung sollte zu jeder Zeit und von jedem Ort, also von jeder Internetseite mit einem Klick erreichbar sein.
  • Sie müssen die Nutzer Ihrer Website in klarer und leicht verständlicher Weise darüber informieren, wer personenbezogene Daten (dazu gehört auch die IP-Adresse) zu welchem Zweck wo und wie verarbeitet. In Ihrer Datenschutzerklärung muss klar beschrieben werden, wie die auf Ihrer Website eingesetzten Tools und Services Daten erfassen und weiterverarbeiten. Zu diesen Tools und Services gehören zum Beispiel:
    – Social Media Buttons und Social-Plugins
    – Kontaktformulare, Newsletter etc.,
    – Cookies
    – Analyse-Tools wie Google Analytics, Matomo (Piwik), etc.
    – Targeting-Tools wie AddThis etc.
    – Marketing Automation Tools
    Für die genannten Tools müssen Möglichkeiten für den Widerruf und eine Opt-Out-Möglichkeit angelegt werden. IP-Adressen dürfen zukünftig nur noch gekürzt (anonymisiert) eingesetzt werden.
  • Ihre ADV-Verträge mit den Anbietern sollten Sie unbedingt prüfen und gegebenenfalls anpassen!
  • Zukünftig ist eine datenschutzrechtliche Einwilligung erst ab 16 Jahren möglich (bzw. ab 13 Jahren, wenn es das nationale Recht vorsieht) oder bedarf der Einwilligung einer erziehungsberechtigten Person. Teenager sollen somit geschützt werden und Ihnen der Zugang und die Anmeldung zu Internetdiensten künftig deutlich erschwert werden. Hier muss die Überprüfung genauer geklärt und beachtet werden.
Privacy by Default oder Datenschutz per Voreinstellung

Website-Betreiber verpflichten sich, die Nutzer durch angemessene technische Maßnahmen und datenschutzfreundliche Grundeinstellungen, zu schützen. Dazu gehören:

  • Transparenz in Bezug auf Nutzerdaten und die Zuordnung aller damit verbundenen Aufgaben im Unternehmen
  • Datensparsamkeit: Es gilt die minimal notwendige Speicherung von personenbezogenen Daten
  • Die Anonymisierung und Pseudonymisierung von Daten
  • Möglichkeit, dass Nutzer, ihre gespeicherten Daten einsehen und berichtigen können
  • Recht auf Löschung
Pflege eines Datenverarbeitungsverzeichnises

Website-Betreiber müssen zukünftig nach Artikel 30 DSGVO über alle Tätigkeiten im Zuge der Datenverarbeitung ein Verzeichnis erstellen.


Folgende Punkte sollten Sie bei der Erstellung eines Verzeichnisses unter anderem beachten:

  • Kontaktdaten von verantwortlichen Personen im Unternehmen und vom Datenschutzbeauftragten
  • Angaben zum Zweck der Verarbeitung
  • Kategorien erstellen zu
    – personenbezogenen Daten
    – Informationen zu Adressaten, an die personenbezogene Daten 
 weitergeleitet werden
  • Information zu Daten, die in ein Drittland weitergeleitet werden
  • Beschreibung aller getroffener Datenschutzmaßnahmen (technisch und organisatorisch)
  • Herkunft der Daten
  • Berechtigung der Verarbeitung
  • Regelfristen der Datenlöschung
  • etc.1
ePrivacy-Verordnung

Das EU-Parlament hat Ende Oktober 2017 die neue ePrivacy-Verordnung beschlossen, die die allgemeine elektronische Kommunikation im Netz regeln soll. Die ePrivacy-Verordnung ist allerdings noch nicht endgültig verabschiedet.

Geregelt wird zum Beispiel Handhabung und technische Ausgestaltung der Cookie-Hinweisboxen. Die heute übliche Umsetzung mit dem Hinweis auf Verwendung von Cookies und einem dazugehörigen OK-Button sind laut der neuen E-Privacy-Richtlinie dann bald nicht mehr zulässig. Begründet wird dies damit, dass der Nutzer damit noch keine echte Wahl treffen kann, im Sinne der Abgabe einer konkreten Einwilligung. Auch nicht ausreichend wäre es, den Nutzer darauf hinzuweisen, selbständig entsprechende Änderungen in den Browser-Einstellungen vorzunehmen. Vielmehr müssen mit der Privacy-by-Default-Regel die Datenschutzbestimmungen bereits in den Grundeinstellungen umgesetzt sein. Nutzer können erst per Opt-in-Verfahren ihre Zustimmung erteilen.

Zusammenarbeit mit Aufsichtsbehörde

Laut Artikel 31 DSGVO sind Website-Betreiber verpflichtet auf Verlangen mit der jeweiligen Aufsichtsbehörde zusammenzuarbeiten.

Gut zu wissen:
Wir bei der dkd unterstützen unsere Kunden bei der Implementierung datenschutzfreundlicher Lösungen nach DSGVO.

Anmerkungen:

  1. Eine vollständige Liste aller im Datenverarbeitungsverzeichnis zu erfassenden Informationen, erhalten Sie von Ihrem Datenschutzbeauftragten.