Sie sind hier

DSGVO: Was an Ihrer Website vorm Stichtag zu tun ist

DSGVO: Was an Ihrer Website vorm Stichtag zu tun ist

Wissenswertes zur DSGVO, Teil 3
19 April 2018

Grundlegendes zur DSGVO berichteten wir bereits und klärten auch über die neuen Rechte für Endnutzer auf. Welche Schritte sind bis zum 25. Mai dringend notwendig?

#Facegate: So jedenfalls nicht

Der liebe Datenschutz ist ja chronisch ein heikles Thema – Gerade im Rahmen des jüngsten Skandals rund um Facebook und Cambridge Analytica hat es derzeit erneut an Brisanz gewonnen. Da erscheint die neue Datenschutzgrundverordnung im Mai schon fast wie ein Hoffnungsschimmer am Horizont – Endlich gibt es verbindlichere Regeln und (hoffentlich effektive) Werkzeuge, auch internationale Firmen wie Facebook so zu bestrafen, dass es ihnen wehtut. So zumindest die Idee, die das Europa-Parlament in Straßburg hatte. Glück im Unglück für Facebook wohl also, dass das Datenleck vor dem 25. Mai 2018 passiert ist. Facebook-Gründer Mark Zuckerberg gelobte jedenfalls bei seiner Anhörung in Washington zu dem, was heute oft unter dem Hashtag #facegate diskutiert wird, dass sein Unternehmen die DSGVO-Richtlinien gewissenhaft umsetzen werde. Und das sogar auch außerhalb von Europa. Entsprechende neue Datenschutz-Einstellungen will Facebook noch in dieser Woche ausliefern (Stand: 19. April).

Ist Ihre Website fit für den Mai?

Wenn Sie eine Webseite betreiben, die Cookies verwendet, Newsletter verschicken, kommerziell ein Login-System verwenden oder auf sonst irgendeine Weise Daten speichern, die auf einzelne Personen rückführbar sind, dann speichern Sie personenbezogene Daten. Eine gespeicherte IP-Adresse erlaubt theoretisch Rückschlüsse auf die Identität von Nutzerin oder Nutzer – Das genügt, damit die DSGVO gilt und spezielle Sorgfalt geboten ist. Hoffentlich wurden diese Daten stets mit expliziter Einwilligung der betroffenen Personen eingeholt, denn das ist in Deutschland bereits vor der DSGVO schon dringend erforderlich. Vorteil davon ist, dass bereits bezogene Daten aus diesem Grund auch nach dem 25. Mai weiterverwendet werden dürfen – Newsletter, die per Double-Opt-In bestellt wurden, können z.B. also weiter verschickt werden ohne erneut nachfragen zu müssen.   

Sorgenkind Cookies

Cookies sind Datenschützern schon lang ein Dorn im Auge. Früher kamen sie völlig ungefragt auf den Rechner, heute gibt es wenigstens auf den meisten (deutschen) Websites eine Warnung, dass man mit der weiteren Nutzung der Seite die Cookies akzeptiert. Ein richtiger Opt-In ist das aber nicht und könnte in Zukunft daher problematisch werden. Das Ende der Cookies muss man deswegen aber noch nicht ausrufen: Wenn diese zwingend notwendig zur Vertragserfüllung sind, beispielsweise weil ohne sie der Online-shop nicht funktioniert, dürfen sie weiter verwendet werden. Außerdem gibt es „berechtigtes Interesse“, wenn Cookies z.B. für (Re-)Marketing und damit Einnahmengenerierung nötig sind. Schlupflöcher durch vage Formulierungen gibt es also weiterhin genug. Für Klarheit muss man wohl erste Urteile abwarten. Wer also Cookies nicht unbedingt braucht, sollte darüber nachdenken, sie vielleicht von der Webseite zumindest eine Weile lang nicht ausliefern zu lassen.

Das sollten Sie beachten

Sammeln Sie personenbezogene Daten nur dort, wo es nötig ist. Das bedeutet auch, etwaige Plugins und andere Aspekte der Seite daraufhin zu untersuchen, dass sie nicht Dinge abfragen, die gar nicht nötig sind. Nur weil Sie die Daten nicht verwenden, heißt es noch nicht, dass sie nicht gesammelt werden.

Wichtig: Verschaffen Sie sich einen Überblick, wo die Daten gespeichert werden. Zum einen sind Sie in der Pflicht, für deren Sicherheit zu sorgen, zum anderen müssen sie die Daten auf Verlangen geordnet an die betroffenen Personen aushändigen können.

Gehen Sie sicher, dass Sie ihre Hinweispflichten erfüllen – Gerade dort, wo Daten erhoben werden, muss möglichst eine informierte Einwilligung erfolgen.

Schaffen Sie klare Prozesse: Was ist zu tun, wenn jemand die Löschung seiner oder ihrer persönlichen Daten erbittet? Welche Daten sind dann zu löschen, welche dürfen (und müssen!) gespeichert werden? Wie erfolgt im Einzelnen die Herausgabe der persönlichen Daten, auf die Betroffene ab Mai ebenfalls ein Recht haben?

Die Liste der Aspekte, die sich mit der DSGVO offiziell ändern, ist lang. Entsprechend können wir hier auch keine allgemeingültige To-Do-List für Websitebetreiber bieten: Was zu tun ist, hängt immer vom jeweiligen Projekt im Speziellen ab. Im Zentrum stehen sollte jedoch immer Sparsamkeit bei der Datensammlung, ein nachweisbares berechtigtes Interesse dafür und Transparenz in der Datenverwaltung. Die Zukunft und auch erste Urteile werden zeigen, was für ein neuer Wind ab Mai beim Datenschutz in Europa weht.

zurück zur Übersicht