DSGVO nicht nur für große Unternehmen relevant

Was ist die DSGVO?

DSGVO ist die Abkürzung für die Datenschutz-Grundverordnung. Diese Verordnung wurde von der EU erstellt, um den Rechtsrahmen für die Verarbeitung und Speicherung personenbezogener Daten zu vereinheitlichen.

Die europäische Datenschutz-Grundverordnung, besser unter der gängigen Abkürzung DSGVO bekannt, trat bereits am 25. Mai 2016 in Kraft. Doch erst am 25. Mai 2018 muss die EU-Verordnung auch zwingend umgesetzt werden – sonst drohen hohe Strafen. Die DSGVO ist dabei nicht nur für große Unternehmen relevant, die im Internet aktiv sind und personenbezogene Daten erfassen und verarbeiten. Jeder Betreiber einer Webseite, die ein Kontaktformular enthält, einen Newsletter verschickt, IP-Adressen speichert oder Cookies verwendet, ist von der Verordnung betroffen. Insofern sollten sich alle Webseitenbetreiber, deren Angebot nicht ausschließlich private Zwecke abdeckt, spätestens jetzt genau über ihre Pflichten informieren, um trotz der Datenschutz-Grundverordnung auf der sicheren Seite zu sein. 

Auch interessant: 5 teure DSGVO-Fehler vermeiden

Homepage-Lösungen der Telekom

Die Telekom bietet Unternehmen verschiedene Pakete für die Gestaltung einer Webseite – passend zum eigenen Bedarf.

>> Zu den Homepage-Lösungen

Und um diese Pflichten umzusetzen, kommt auf viele Webseitenbetreiber einiges an Arbeit zu. Denn neben dem 99 Artikel umfassenden EU-Papier gilt es ebenfalls die Gesetze auf Bundes- und Länderebene zu beachten. Zusammengefasst geht es darum, die erfassten Daten so zu anonymisieren, dass kein Rückschluss auf einen einzelnen Nutzer möglich ist. Zudem müssen Webseitenbetreiber ihre Datenverarbeitungstätigkeiten künftig exakt dokumentieren. Im Einzelnen sollten Betreiber von Internetseiten folgende Dinge im Auge haben:

  • Datenschutzerklärung: Diese sollte umgehend auf den neuesten Stand gebracht werden, damit sie den Vorgaben der DSGVO genügt. Zunächst sollte sie alle erhobenen personenspezifischen Daten beschreiben und den Nutzer über alle Vorgänge aufklären, bei denen seine Daten verarbeitet werden. Für jedes Tool, mit dem personenspezifische Daten erhoben werden, muss der Zweck sowie die Rechtsgrundlage der Datenverarbeitung angegeben werden. Besonders umfangreich sind die neuen Informationspflichten im Hinblick auf die Rechte der Betroffenen. Über die genauen Pflichtinformationen in der Datenschutzerklärung gibt der Artikel 13 der Datenschutz-Grundverordnung Auskunft.
  • Datenschutzbeauftragter: Wer personenbezogene Daten automatisiert verarbeitet, benötigt laut DSGVO einen Datenschutzbeauftragten. Dieser muss in der Datenschutzerklärung genannt werden. Ausnahme: Wer weniger als zehn Mitarbeiter regelmäßig beschäftigt, benötigt keinen Datenschutzbeauftragten.
  • Das SSL-Zertifikat: Jede Webseite, die personenbezogene Daten erhebt, muss in Zukunft grundsätzlich mit dem Secure Sockets Layer (SSL) verschlüsselt sein. Das ist der Fall, wenn die Webadresse mit „https://“ beginnt. Ist das nicht der Fall, sollte der Administrator die Webseite schnellstens mit einem SSL-Zertifikat versehen.
  • Umgang mit Cookies: Hier bleibt zunächst alles beim Alten, auch wenn die neue Verordnung den Einsatz von Cookies etwas strenger regelt. Webseitenbetreiber sollten Nutzer des Angebots weiterhin durch einen Banner auf die Verwendung von Cookies hinweisen und ihn darüber informieren, dass bei weiterem Besuch der Webseite von seiner Einwilligung in die Verwendung von Cookies ausgegangen wird. Denn schon beim Erstellen von Webseiten mit Content-Management-Systemen wie WordPress oder TYPO3 kommen Cookies standardmäßig zum Einsatz. Die rechtlichen Anforderungen an Cookies könnten sich jedoch bald ändern, wenn die sogenannte ePrivacy-Verordnung verabschiedet werden sollte.
  • Kontaktformulare: Webseitenbetreiber sollten ihre Kontaktformulare einer Überprüfung unterziehen. Im Formular dürfen nur die personenbezogenen Daten erhoben werden, die tatsächlich benötigt werden, um eine Anfrage zu beantworten. Weitere Angaben müssen deutlich als „freiwillig“ gekennzeichnet sein.
  • Google Analytics: Webseitenbetreiber nutzen oft Tools wie Google Analytics, um die Besucher zu tracken. Dabei werden IP-Adressen gesammelt. Diese müssen künftig anonymisiert werden, sodass kein Personenbezug mehr möglich ist. Zudem muss dem Nutzer eine Möglichkeit eingeräumt werden, der Erfassung seiner persönlichen Daten durch Google zu widersprechen – eine sogenannte „Opt-Out-Option“.
Der Aspekt des Datenschutzes wird für Webseitenbetreiber immer wichtiger. Der Aspekt des Datenschutzes wird für Webseitenbetreiber immer wichtiger. (© 2018 Shutterstock / Rawpixel.com)

Hohe Strafen bei Missachtung der DSGVO möglich

Lag die Grenze des Bundesdatenschutzgesetzes für Bußgelder bisher bei 50.000 Euro beziehungsweise maximal 300.000 Euro für dauerhafte und schwerwiegende Verstöße, wird es nun unter Umständen deutlich teurer: Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes können verhängt werden. Dazu drohen Haftungsrisiken und Schadensersatzklagen. Diese Erhöhung wurde jedoch vor allem beschlossen, um Großunternehmen wirksam bestrafen zu können.

Auch interessant: DSGVO – guter Datenschutz spart Geld

Vorteil der DSGVO für deutsche Webseitenbetreiber

Für Webseitenbetreiber, die in Konkurrenz zu ausländischen Unternehmen stehen, bringt die DSGVO aber auch einen entscheidenden Vorteil: Ab dem 25. Mai 2018 müssen sich alle Firmen in der EU an dieselben datenschutzrechtlichen Spielregeln halten. Da Deutschland ohnehin schon vergleichsweise strikte Regelungen vorgegeben hatte, wird durch die Datenschutz-Grundverordnung einem möglichen Wettbewerbsnachteil entgegengewirkt.