Welche Folgen kann eine nicht ausreichende oder korrekte Umsetzung haben?

Verbraucherschutzverbände werden ab 2018 datenschutzrechtliche Verstöße vermehrt ahnden und die Rechte betroffener Webseitenbetreiber vertreten. Datenschutzbehörden werden sich breiter aufstellen. Eine nicht ausreichende oder korrekte Umsetzung der DSGVO sind Strafen von 4% des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro möglich – je nachdem welcher Betrag höher ausfällt.

Wann muss ich einen Datenschutzhinweis angeben?

Einen Datenschutzhinweis benötigen Sie immer dann auf Ihrer Webseite, wenn es sich nicht um eine private Homepage über Sie und Ihre Freunde handelt. Die Idee hinter der Datenschutzrichtlinie ist einfach, dass der Webseitenbesucher auf klare und übersichtliche Weise nachvollziehen kann, welche Daten von ihm wo und wozu erfasst werden. Der Datenschutzhinweis muss ab 2018 klar aufzeigen, ob und wenn ja wie personenbezogene Daten aufgezeichnet werden. Externe Leistungen von Webseiten wie Facebook und Google müssen also explizit benannt und aufgelistet werden, wenn Sie diese Dienste auf Ihrer Homepage nutzen.

Die Platzierung des Datenschutzhinweises

Schon auf der ersten sichtbaren Darstellung der Webseite sollte der Datenschutzhinweis angezeigt werden. Eine genaue Definition dafür gibt es aber nicht, so ist es nicht eindeutig geregelt, ob auch der Link im Footer dazu zählen kann. Wer sichergehen möchte, macht mit einer Platzierung im Kopf sicherlich nichts falsch.

Und was ist mit dem Cookie-Hinweis?

Wenn auf Ihrer Seite Cookies verwendet werden, ist ein Hinweis notwendig. Wenn Sie unsicher sind ob Ihre Seite Cookies setzt, dann ist der pauschale Einsatz eines Cookie-Banners keine schlechte Idee. Dieser sollte beim ersten Aufrufen zu sehen sein.

Wie müssen die Daten erfasst werden?

Es zählt der Grundsatz: Privacy by default. Das bedeutet, dass man die Voreinstellungen der Datenerfassung so einstellen muss, dass sie für den Besucher möglichst datenschutzfreundlich sind.

Was ist mit Statistik-Trackern wie Google Analytics oder Matomo (vormals Piwik) zu beachten?

Wenn man Google Analytics oder andere Webseitenstatistikprogramme benutzt, muss der Einsatz im Datenschutzhinweis angezeigt werden. Hier muss auch eine Möglichkeit des Widerrufs hinterlegt werden, oftmals anhand einer Opt-In-Möglichkeit, also der Anzeige einer Checkbox zum abwählen. Eingestellt werden müssen diese Tools auch so, dass erfasste IP-Adressen gekürzt erfasst werden, also anonymisiert. Schließen Sie mit Google  einen Vertrag zur Auftragsdatenverarbeitung ab. Hier finden Sie den auszufüllenden Vertrag mit Google. Füllen Sie die Angaben zu Ihrem Unternehmen aus und schicken Sie das Dokument mit der Post an Google Irland, anschließend erhalten Sie eine gezeichnete Ausführung zurück.

Was muss bei Social Sharing Tools auf der Webseite beachtet werden?

Benutzen Sie Social Media auf ihrer Homepage wie den Facebook Like-Button, Twitter Feeds, dann müssten Sie sicherstellen dass diese keine Daten des Besuchers ohne dessen Zustimmung erheben. Im Datenschutzhinweis muss auf eine Nutzung dieser Tools ebenso hingewiesen werden.
Diese Sharing-Tools zeichnen aber schon automatisch den Besucher Ihrer Webseite auf, wenn er sich z.B. bei Facebook angemeldet hat. Was kann man also tun?
Webmaster finden zum Beispiel eine Hilfe mit Shariff. Das c't-Projekt Shariff ersetzt die üblichen Share-Buttons der Social Networks und schützt das Surf-Verhalten vor neugierigen Blicken, indem die Zähler nicht auf den Servern von Facebook & Co. gesetzt werden, sondern auf dem eigenen. Damit verhindert man auf elegante Weise den für die DSGVO datenschutzbedenklichen Teil.

Welche Punkte muss man nun überprüfen und umsetzen?

• Überprüfen und aktualisieren der Datenschutzerklärung!

Es gibt auf vielen Seiten Musterseiten und Generatoren.

• Ein SSL-Zertifkat zur verschlüsselten Übertragung der Formulare einrichten

• Einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen

In der Datenschutzerklärung muss ein Hinweis auf die Nutzung von Google Analytics und eine eingebaute Opt-Out-Möglichkeit bestehen. Die IP-Adressen von Google Analytics müssen auch noch anonymisiert werden. Hier steht wie das geht: Anleitung.

• Verzeichnis der Verarbeitungstätigkeiten

Laut Art. 30 Abs. 5 DS-GVO müssen alle Unternehmer ein Verzeichnis der Verarbeitungstätigkeiten führen, es sei denn es handelt sich um Unternehmen mit weniger als 250 Mitarbeitern, die nur in beschränktem Umfang und unkritische Daten verarbeiten. Wie man das genau spezifizieren soll, ist hier unklar.

Zusammenfassend kann man sagen, dass es einige Punkte sind, die man aktuell berücksichtigen muss. Im Grunde muss man sie nur wissen und anwenden. Unternehmen, Webmaster und Webdesigner sollten auf jeden Fall die weitere Entwicklung der Datenschutz Grundverordnung im Auge behalten und rechtzeitig handeln.
(Alle Angaben ohne Gewähr)