Seit nunmehr rund anderthalb Jahren gilt die Datenschutzgrundverordnung (DSGVO) der Europäischen Union. Sie soll einerseits dafür sorgen, dass personenbezogene Daten innerhalb der EU geschützt sind, andererseits auch den freien Datenverkehr innerhalb des europäischen Binnenmarktes gewährleisten. Nicht nur Unternehmen sind von dieser Verordnung betroffen, auch private Webseitenbetreiber müssen sich an die DSGVO halten. Was gibt es diesbezüglich zu beachten?
Was sind überhaupt personenbezogene Daten?
Als personenbezogene Daten werden allgemein solche Informationen bezeichnet, anhand derer man eine Person zweifellos identifizieren kann. Das sind etwa der Name oder die Anschrift einer Person, eine Bankverbindung oder aber auch E-Mail- oder IP-Adressen. Sofern also Webseitenbetreiber die IP-Adressen ihrer Besucher speichern, sind sie unmittelbar von der DSGVO betroffen und müssen Maßnahmen ergreifen. Oftmals herrscht diesbezüglich ein gefährliches Halbwissen und private Betreiber von Webseiten sind sich dieses Umstands gar nicht bewusst und denken nur große Unternehmen oder Online-Shops wären von der Verordnung betroffen. Richtigerweise jedoch gilt sie für jeden, der personenbezogene Daten auf einer Webseite erhebt, speichert oder nutzt. Dies können neben Freelancern und Kleinunternehmern auch Vereine oder Blogger sein. Einzige Ausnahme bilden hier rein private Blogs welche weder Gewinnabsichten anstreben noch Analyse-Tools nutzen. Eindeutiges Indiz für kommerzielle Absichten sind beispielsweise Werbebanner, Affiliate-Links sowie die Verwendung von Google Analytics oder Adsense.
Welche Regeln sind bezüglich der DSGVO einzuhalten?
Bei der Verarbeitung von personenbezogenen Daten gilt es die Regelungen der DSGVO genau zu beachten um Verstöße und somit drohende Bußgelder zu vermeiden. Zunächst einmal dürfen die Nutzerdaten nur rechtmäßig erhoben und verarbeitet werden. Das bedeutet unter anderem, dass nur relevante Daten für einen bestimmten Zweck erhoben werden dürfen, und diese nur so lange wie nötig zu speichern. Weiterhin muss gewährleistet werden, dass die erhobenen Daten sicher sind, sprich nicht in fremde Hände geraten. Die gesamte Erhebung und Verarbeitung der Daten muss dokumentiert werden.
Webseitenbesucher müssen darüber hinaus ihr Einverständnis zur Erhebung / Speicherung und Verarbeitung ihrer persönlichen Daten geben. Dafür müssen sie vom Webseitenbetreiber genau darüber aufgeklärt werden, welche Daten erhoben und zu welchem Zweck sie gespeichert werden. Weiterhin muss dem Nutzer eingeräumt werden die erhobenen Daten einzusehen, zu berichtigen und im Zweifel auch löschen zu können. Jeder gewerbliche oder private Webseitenbetreiber sollte sich daher an folgende Regeln halten:
SSL Verschlüsselung einrichten
Werden auf der Webseite Kontaktformulare oder Blog-Kommentare zugelassen, muss eine sichere Datenübertragung gewährleistet werden. Eine SSL-Verschlüsselung ist oftmals kostenlos erhältlich und stellt die ordnungsgemäße Datenübertragung sicher.
Datenschutz-Hinweis
Der Datenschutz-Hinweis muss für den Seitenbesucher immer gut lesbar sein. Etabliert hat sich das Anzeigen ganz oben im Menü oder aber im Footer. Besonderen Wert sollte man dabei auf den Inhalt des Hinweises legen. Betreiber von WordPress-Seiten können sich unter folgendem Link informieren, was sie in Bezug auf den WordPress Cookie-Hinweis beachten müssen.
Auftragsverarbeitung mit Hoster abschließen
Sofern man die Webseite nicht über einen eigenen Server betreibt, gilt es in Zusammenhang mit der DSGVO einen Vertrag zur Auftragsverarbeitung mit dem Hoster abzuschließen. Dieser hostet nicht nur einfach die Webseite, sondern speichert darüber hinaus auch Seitenzugriffe oder Mails.
Es ist in jedem Fall ratsam, sich vollumfänglich über das Thema DSGVO zu informieren, noch immer weisen zu viele Webseiten Lücken in der Umsetzung auf. Gerade Personen die noch neu in der Selbstständigkeit sind und erst gründen, sind besonders gefährdet, in rechtliche Probleme zu laufen. Um das Risiko von Abmahnungen oder gar Strafzahlungen zu vermeiden, sollte die eigene Webseite in jedem Fall DSGVO-konform sein.