Europäische Datenschutzgrundverordnung – was sich ändert

Die Europäische Datenschutzgrundverordnung bereitet vielen Agenturen und Unternehmen Kopfzerbrechen. Denn um die Anforderungen pünktlich zum Inkrafttreten der DSGVO am 25. Mai 2018 umzusetzen, sind einige Vorbereitungen notwendig.

Die Europäische Datenschutzgrundverordnung tritt bald in Kraft

Am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung in Kraft. Für Agenturen und Unternehmen ändert sich einiges. (© Mimafoto / Adobe Stock)

Viele Agenturen oder kleinere Unternehmen sehen sich vor der großen Herausforderung, bis Ende Mai die neue Europäische Datenschutzgrundverordnung umzusetzen. Sinn der Verordnung ist es, Verbraucherdaten angemessen zu schützen. Denn wer kennt es nicht? Da hat man im Internet nach einer bestimmten Software gesucht und kurz darauf wird sie überall beworben – auf anderen Seiten, auf Facebook, in Foren und sogar im Messenger. Oder Sie haben in einem Onlineshop etwas gekauft und bekommen anschließend täglich einen Newsletter, für den Sie sich nicht angemeldet haben. Damit soll künftig Schluss sein, denn die Europäische Datenschutzrichtlinie will genau das in Zukunft verhindern. Schon jetzt müssen Webseiten-Betreiber darauf hinweisen, dass sie Cookies verwenden. Besucher der Seite müssen diese akzeptieren – eine Wahlmöglichkeit haben sie bisher nicht, was sich nun ändert. Und auch wer Im Internet surft und seine Mail-Adresse hinterlässt, soll bald genau wissen, was mit seinen Angaben passiert. Für Agenturen bedeutet dies, dass sie ihre Seiten umgestalten und ihre Datenschutzrichtlinien überarbeiten müssen. Doch auch in den internen Abläufen muss sich einiges ändern.

Die Missachtung der Europäischen Datenschutzgrundverordnung kann teuer werden

Schon immer konnten Bußgelder auf Unternehmen oder Agenturen zukommen, die die gesetzlichen Datenschutzbestimmungen nicht oder nur unzureichend umsetzen. Das bisherige bundesweit geltende Bundesdatenschutzgesetz (BDSG) sah eine Höchststrafe von 300.000 Euro vor. Im europäischen Kontext erhöht sich die Maximalstrafe auf 20 Millionen Euro oder maximal vier Prozent des Jahresumsatzes, der weltweit vom Unternehmen erzielt wird. Doch nicht nur Geldbußen drohen. Weitere Sanktionen sind möglich, beispielsweise der Einzug von Gewinnen, die nur durch einen Verstoß gegen die Europäische Datenschutzgrundverordnung erzielt werden konnten. Und noch etwas ist neu: Früher musste die Datenschutzbehörde den Unternehmen nachweisen, dass sie Datenschutzrichtlinien verletzt haben. Ab Mai müssen Unternehmen dokumentieren, dass sie die Europäische Datenschutzgrundverordnung korrekt umsetzen. Doch wie schützt man sich künftig gegen Abmahnungen und Geldbußen? Wie man die eigene Seite datenschutzkonform umgestaltet, hängt vom CMS ab. Für alle Systeme gibt es entsprechende Plugins, die dabei helfen, die Europäische Datenschutzgrundverordnung korrekt umzusetzen.

Künftig entscheiden Nutzer selbst, ob Cookies verwendet werden dürfen

Sicherlich verwenden Sie auf Ihrer Seite Cookies. Diese kleinen Textdateien merken sich beispielsweise, ob Besucher schon einmal bei Ihnen gewesen sind. Bisher müssen Sie Besucher zwar auf die Verwendung von Cookies hinweisen, daraus ergeben sich bis dato allerdings noch keine Konsequenzen. Doch das wird sich mit dem Inkrafttreten der DSGVO ändern. Künftig muss es Ihren Kunden möglich sein, der Verwendung von Cookies zuzustimmen oder diese abzulehnen. Die Ablehnung darf nicht dazu führen, dass der Nutzer Ihre Seite verlassen muss oder ihm bestimmte Bereiche nicht zugänglich sind. Unterschieden wird zwischen eigenen Cookies und solchen von Drittanbietern. Hier ist vor allem Google Analytics zu nennen, das sicher die meisten Agenturen für die Auswertung ihrer Seiten verwenden. Geändert werden die Cookie-Einstellungen im CMS, für das es auch passende Plugins gibt. Korrekterweise haben Ihre Besucher drei Wahlmöglichkeiten:

  • Keine Cookies zulassen
  • First-Party-Cookies zulassen
  • Google-Analytics-Cookies zulassen

Das Kontaktformular DSGVO-konform gestalten

Über das Kontaktformular Ihrer Webseite können Kunden und Interessenten Kontakt zu Ihnen aufnehmen. Dazu hinterlassen sie verschiedene Angaben, mindestens aber ihren Namen und die Mail-Adresse, die natürlich gespeichert werden. Das ist zwar jedem klar, muss aber nach der Europäische Datenschutzgrundverordnung ab Ende Mai explizit erwähnt werden. Mehr noch: Nutzer müssen über die Speicherung ihrer Daten informiert werden und dieser zustimmen. Am besten eignet sich hierfür ein Opt-in-Verfahren, bei dem der Nutzer das Kontaktformular erst absenden kann, wenn er ein Häkchen im entsprechenden Feld gemacht hat.

Externe Speicherung von Daten umgehen

Veröffentlichen Sie auf Ihren Seiten regelmäßig Blogs oder betreiben Sie einen Onlineshop, benutzen Sie sicher auch Social-Share-Buttons. Diese sollen den Nutzer dazu einladen, einen Artikel auf einer Plattform wie Facebook oder Twitter zu teilen. Diese Buttons werden jedoch von den jeweiligen Plattformen aus verlinkt und senden auch ohne tatsächlichen Klick Daten an den Betreiber, auf die Sie als Webseitenbetreiber keinen Einfluss haben. Um die Europäische Datenschutzgrundverordnung einzuhalten, müssen Sie auf die Einbettung von Direktlinks zu Social-Media-Kanälen aber zum Glück nicht verzichten. Das Plugin „Shariff“ wurde vom c’t-Magazin entwickelt und erlaubt die Einbettung von Social-Buttons, ohne dass eine ungewünschte Datenübertragung stattfindet. Denn die so generierten Buttons senden erst dann Daten, wenn sie aktiv geklickt werden.

Besucherdaten gegenüber Drittanbietern absichern

Besucher Ihrer Webseite stimmen der Nutzung ihrer Daten also nach der Europäischen Datenschutzverordnung von 2018 zu. Da aber alle Daten über Ihren Server beziehungsweite Ihren Host laufen, müssen Sie mit diesem einen Drittanbieter-Vertrag abschließen. Viele Hoster haben solche Verträge bereits als Vorlage, die unkompliziert online abgerufen werden kann. Bei anderen dauert es etwas länger, wenn die Verträge mit der Post verschickt werden. Einen solchen Auftragsverarbeitungs-Vertrag benötigen Sie von allen Diensten, die die Daten Ihrer Kunden weiterverarbeiten, also beispielsweise auch mit Ihrem Newsletter-Dienst oder einem Cloud-Dienst.

Verzeichnis von Verarbeitungstätigkeiten: Datenverarbeitung transparent machen

Damit die korrekte Umsetzung der Europäischen Datenschutzgrundverordnung auch dokumentiert werden kann, benötigen Sie als Agentur oder Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten. Dort werden zum einen die eigenen Daten eingetragen. Zum anderen enthält es verschiedene Kategorien von Kontakten, die Zwecke der Verarbeitung, mögliche Datenübertragungen in Drittländer und – ganz wichtig – vorgesehene Löschfristen. Außerdem muss das Verzeichnis Aufschluss über die technischen und organisatorischen Maßnahmen zur Datensicherheit enthalten. Am einfachsten ist es, für jeden einzelnen Verwendungszweck ein einzelnes Verzeichnis anzulegen. Hier ein Beispiel anhand der Verarbeitung eingehender Mails:

  • Verarbeitungsart: Mail
  • Verarbeitungszweck: Angebotserstellung
  • Beschreibung der erhobenen Daten: Name, Adresse, Mail-Adresse
  • Kategoriebeschreibung: Kunde für Einzelauftrag, Dauerkunde
  • Empfänger der personenbezogenen Daten: Ihre Agentur, Ihr Hoster, eventuelle Dritt-Dienstleister
  • Speicherort der personenbezogenen Daten: Innerhalb der EU oder außerhalb
  • Fristen für die Löschung der personenbezogenen Daten: Löschung nach Abschluss des Auftrags

Datenschutzerklärung überarbeiten: Ein Anwalt hilft!

Damit die Europäische Datenschutzgrundverordnung erfüllt ist, muss die Datenschutzerklärung auf der eigenen Webseite überprüft beziehungsweise neu verfasst werden. Hierfür gibt es drei Varianten:

  1. Sie schreiben die Erklärung selbst und lassen diese anschließend von einem Anwalt auf Rechtsgültigkeit überprüfen.
  2. Sie überlassen das Verfassen gleich einem Anwalt.
  3. Sie nutzen einen Generator wie eRecht 24, der Ihnen eine rechtssichere Datenschutzerklärung erstellt.

Fazit

Mit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung kommen einige Veränderungen auf Agenturen und Unternehmen zu. Vieles können Sie selbst machen, wenn Sie Ihre Webseite selbst betreuen, für andere Dinge wie die Datenschutzerklärung lohnt sich professionelle Unterstützung. Unerlässlich wird auch für kleine Agenturen ein Datenschutzbeauftragter, der sich mit dem Thema auskennt und das Datenschutzmanagement im Blick behält. Ein solcher Datenschutzbeauftragter kann entweder aus den eigenen Reihen stammen und entsprechend geschult werden oder auch extern bestellt werden. Haben Sie ein konkretes Problem mit der Umsetzung der Europäischen Datenschutzrichtlinie, können Sie bei der zuständigen Aufsichtsbehörde Hilfe einfordern. Grundsätzlich lohnt es sich für kleine Agenturen, sich mit der DSGVO auseinanderzusetzen. Denn zum einen kann die Umsetzung die internen Abläufe durch die genaue Dokumentation und die damit einhergehende Transparenz verbessern. Zum anderen betrifft die Datenschutzrichtlinie alle Unternehmen, sodass Agenturen ihre Expertise als Wettbewerbsvorteil nutzen können, indem sie kooperierende Unternehmen in der Umsetzung unterstützen.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (4 votes, average: 5,00 out of 5)
Beitrag teilen

Ihr Kommentar