Eigentlich ist sie schon längst da. Aber am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) europaweit in Kraft. Ab 00.00 Uhr gelten dann neue und deutlich verschärfte Regeln für den Datenschutz, besonders für den Umgang mit personenbezogenen Daten. Achtung: diese Regelung betrifft praktisch jeden, der eine Website hat, egal ob Privatperson oder Verein, Freiberufler oder Unternehmer.

Themen wie die Datenschutzgrundverordnung (Hilfe, was für ein Wort!) erzeugen gleich mehrere Fragen: Worum geht es eigentlich? Hat das etwas mit mir zu tun? Muss ich aktiv werden – und wenn ja: wann und wie?

Die gute Nachricht ist, dass Sie hier einige Eckdaten und Grundlagen finden, die Ihnen sehr konkret weiterhelfen werden. Die schlechte Nachricht ist, dass Sie sie auch wirklich brauchen. Denn, um die Fragen oben aufzugreifen: Mit 99-prozentiger Wahrscheinlichkeit haben Sie etwas mit der DSGVO zu tun. Dann müssen Sie aktiv werden. Und zwar schnell.

Alles neu macht der Mai

Zum 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung in Kraft. Ohne weitere Übergangs- oder Karenzzeiten gilt dann europaweit ein völlig neuer Datenschutz. Die bisherigen deutschen Gesetze dazu im Bundesdatenschutzgesetz (BDSG) und im Telemediengesetz (TMG) werden aufgehoben.

Datenschutz, Transparenz, Persönlichkeitsrechte und die Möglichkeit zu Einsicht und Widerspruch durch Kunden/Nutzer sind wichtige Elemente der DSGVO. In der Praxis bedeutet dies jedoch große Umstellungen:

• Jeder Nutzer muss der Verwendung seiner personenbezogenen Daten im Detail zustimmen.
• Jede einzelne Zusammenarbeit mit externen Unternehmen, die Nutzerdaten erhalten, ist nicht nur anzugeben, sondern muss auf Wunsch unterlassen werden.
• Die Beweislast ändert sich. Bisher mussten Verstöße nachgewiesen werden. Jetzt muss man als Anbieter beweisen, dass man nicht gegen Datenschutzrichtlinien verstoßen hat.
• Das „Marktortprinzip“ erhält eine besondere Wichtigkeit. Ab sofort gilt innerhalb der EU nicht mehr, wo ein Angebot erstellt wurde, sondern für welche Region.
• Aufsichtsbehörden werden ab sofort auch zu Bußgeldstellen.

Jetzt heißt es handeln!

Die DSGVO enthält 99 Artikel. Einige davon entsprechen ziemlich genau den Datenschutzrichtlinien, die schon lange gelten. Andere betreten völliges Neuland. Neu sind in jedem Fall die möglichen Sanktionen. Wo das BDSG bisher ein maximales Bußgeld von 300.000 Euro vorsah (das praktisch nie verhängt wurde), stehen jetzt Strafen von 20 Millionen Euro im Raum oder vier Prozent des weltweiten Jahresumsatzes.

Dies ist allerdings nur die sprichwörtliche Spitze des Eisbergs. Denn wahrscheinlicher ist es, dass Betriebe, Vereine, Selbstständige oder auch Privatpersonen Abmahnungen von Kanzleien und Abmahnvereinen erhalten werden, die die neue Rechtslage gerade in der Anfangszeit in klingende Münze verwandeln wollen. Mit diesem Wissen im Blick erscheint es sehr blauäugig, erst einmal abzuwarten. Dieses Warten kann teuer werden!

 

IP heißt jetzt „intim persönlich“

Ein typisches Beispiel für die veränderte Großwetterlage im Bereich des Datenschutzes ist der Umgang mit der IP. Mit dem BGH-Urteil vom 16.05.2017 (Az.: VI ZR 135/13) wurde klargestellt: IP-Adressen gelten dann als personenbezogen, wenn es theoretisch möglich ist, von dieser Internetadresse aus eine Person zu bestimmen. Was praktisch immer der Fall ist. Denn die IP – die Internetprotokoll-Adresse – wird bei jedem Aufrufen einer Webseite automatisch angegeben. So funktioniert das Internet momentan.

Wenn Sie als Betreiber einer Webseite nun nicht nur die IP Ihrer Nutzer empfangen (was sowieso passiert), sondern sie auch noch weitergeben (was automatisch geschieht, sobald Sie zum Beispiel irgendeine Google-Komponente in Ihre Website eingebunden haben), dann missbrauchen Sie nach der DSGVO die personenbezogenen Daten der Besucher Ihrer Webseite.

Ganz wichtig: Stellen Sie klar, dass dies nicht ungefragt geschieht. Tatsächlich müssen Sie die Besucher Ihrer Seite nicht nur darüber informieren, dass Sie ihre IP empfangen, sondern auch darüber, dass Sie sie weitergeben. Und Sie müssen sie konkret fragen, ob sie damit einverstanden sind.

Datenschutzerklärung im Blick

Wichtiger Bestandteil der DSGVO ist die Datenschutzerklärung. Jede Webseite braucht diese Zusammenstellung und Erklärung. Das Problem ist nur, dass sie vollständig sein muss. Außerdem muss sie das abbilden, was Ihre Website tatsächlich beinhaltet. Es reicht also nicht, eine Standardlösung aus dem Internet herunterzuladen.

Jede Datenschutzerklärung muss beinhalten,

• welche personenbezogenen Daten festgehalten werden,
• warum diese Informationen gesammelt werden und was Sie damit tun,
• unter welchen Bedingungen diese Informationen an andere Organisationen weitergegeben werden können,
• dass Sie die Verantwortung dafür übernehmen, die gesammelten Daten zu schützen.

Allgemeine Informationen

Darüber hinaus muss jede Webseite eine ganze Reihe von Informationen zu Verfügung stellen. Zum Beispiel diese:

• Einen Hinweis auf die Server Logs. Welche Daten werden beim Aufruf einer Seite protokolliert?
• Den Hinweis auf das Auskunftsrecht über alle gespeicherten personenbezogenen Daten.
• Die Erklärung über das Widerrufsrecht zu diesen gespeicherten Daten.
• Den Hinweis auf das Recht zur Löschung der gespeicherten Daten.
• Und den Hinweis auf das mögliche Sperren gegen erneute Speicherung personenbezogener Daten.

Verwendete Komponenten

Die Vollständigkeit Ihrer Datenschutzerklärung misst sich auch daran, ob Sie alle auf der Website verwendeten Komponenten Dritter aufgeführt haben. Dies sind zum Beispiel:

• Landkarten: Google Maps, Bing Maps, OpenStreetMap.
• Videos: YouTube, Vimeo, Veeseo, Lemonwhale.
• Social Media Widgets: Facebook Like Button, Twitter Share Button, XING Share Button, AddToAny.
• Analyseprodukte: Google Analytics, eTracker, WebTrekk, Piwik, Quantcast, WebTrends, Outbrain, INFOnline, Wiredminds.
• Chat-Widgets zur Kundeninteraktion: Tawn Live Chat, Zendesk.
• Newsletter-Formulare: MailChimp, Cleverreach.
• Werbeeinblendungen: Google AdSense, AdTech, Meetrics, Affilinet, Adition, Adsnapper, Storify, Doubleclick.
• Alle über iFrame eingebundenen Inhalte wie Booking.com, Google Search API, Google Docs Formulare, Paypal Bezahlformulare.

Die Betonung liegt hier auf Vollständigkeit. Es geht nicht darum, einen Großteil der verwendeten Komponenten aufzulisten. Es müssen schon alle sein. Dies zeigt bereits, dass Lösungen „von der Stange“ hier nicht ausreichen. Es geht um Sie und Ihre Webseite.

Ein Impressum für jede Auflösung

Grundvoraussetzung für jede professionelle Webseite ist das Impressum. Doch wo soll es stehen? Und welche Voraussetzungen muss es erfüllen?

Basisinformationen

Bei jedem Impressum muss man direkt erkennen, wer für die dazugehörige Webseite verantwortlich ist. Wenn das betreffende Unternehmen keine Personengesellschaft mit dem Namen des Inhabers ist, muss auch die Firmierung erwähnt werden.

Außerdem gehören ins Impressum:

• Die Adresse des Betriebs mit Straße, Postleitzahl und Ort sowie dem Land, falls dies nicht eindeutig an der deutschen Domain-Endung zu erkennen ist.

• Je nach Rechtsform ist auch die Nennung des zuständigen Amtsgerichts mit Registernummer und die Umsatzsteuer-Identnummer (USt-ID) erforderlich.
• Bei einer GmbH muss der Geschäftsführer namentlich genannt werden.
• Eine Kontaktmöglichkeit per E-Mail-Adresse des Verantwortlichen (Achtung: ein Kontaktformular reicht nicht aus!).

• Eine Telefonnummer ist zwar nicht verpflichtend, sollte aber sicherheitshalber ebenfalls genannt werden.

Wichtiges darüber hinaus

Das Impressum selbst ist statisch aufgebaut. Seine Standardformulierungen reduzieren das rechtliche Risiko für den Betreiber einer Internetpräsenz. Eigentlich kann es jeder informierte Laie erstellen. Allerdings muss es einige Anforderungen erfüllen, die Arbeit bedeuten können.

Ein Impressum muss von jeder Unterseite der Homepage aus direkt erreichbar sein. Im Zeitalter des „Responsive Design“ gilt dies für jede Auflösung an jedem denkbaren Endgerät. Konkret heißt das, dass Sie als Betreiber einer Webseite sicherstellen müssen, dass jeder einzelne Seitenaufruf in jeder denkbaren Auflösung (vom Smartphone bis zum Desktop-PC)  den direkten Zugriff auf Ihr Impressum ermöglichen.

Dies erfordert übrigens wirklich Arbeit: Im Zweifelsfall sind Sie nämlich dafür verantwortlich, wenn die nötigen Informationen hinter irgendwelchen Elementen Ihrer Webseite verschwinden oder durch irgendeinen Automatismus im Menü Ihrer Webseite eingeordnet werden.

Gute und böse Tools

Wenn Sie eine Website betreiben, dann laufen dort sichtbar und unsichtbar jede Menge Programme, Scripte, Tools und Bibliotheken ab. Manche sind völlig unbedenklich, andere dürfen Sie im Hinblick auf den Datenschutz nicht mehr anwenden.

Dies gilt insbesondere für alle Programme, die in irgendeiner Form Daten beanspruchen, die niemand autorisiert hat.

„Gute“ Tools

Unbedenklich sind alle Tools und Programme, die keinerlei Daten Ihrer Besucher für sich beanspruchen und sie verwerten. Da die meisten Programme sich entweder über den direkten Kauf oder über die Nutzung der eingepflegten Daten finanzieren, fällt es nicht besonders leicht, sie zu identifizieren.

„Böse“ Tools

Google Analytics ist Marktführer, was die Untersuchung von Webseitenbesuchern angeht. Bis zu 80 Prozent aller Webseitenbesucher werden damit unter die Lupe genommen. Allerdings ist die Datensammelwut des Konzerns sprichwörtlich. Kritisch ist hier wie bei vielen andern Unternehmen und ihren Angeboten:

• Die Firma hat ihren Sitz außerhalb der EU. Dies ist im Rahmen der DSGVO bereits als kritisch zu beurteilen .
• Jedes Unternehmen muss im Verzeichnis der Verarbeitungstätigkeiten dafür bürgen, dass alle Datentransfers in Drittländer genannt werden – inklusive der Garantie, dass die Datenschutzgrundsätze der EU eingehalten werden.
• Der Dienst darf nur mit anonymisierten IP-Adressen verwendet werden.
• Es muss ein schriftlicher und beiderseits unterschriebener Vertrag zur Auftragsdatenverarbeitung vorliegen
• Jeder Besucher der Webseite muss eine Abwahlmöglichkeit für die Datenübertragung an den jeweiligen Anbieter enthalten, und zwar sowohl für Desktop-PCs (über ein Browser-Plugin) als auch für Smartphones (über ein Opt-Out-Cookie).

Ganz oder gar nicht

In der allgemeinen Wahrnehmung gibt es die Kategorie „hat sich Mühe gegeben“. Es ist klar, dass die betreffenden Personen ihr Ziel nicht erreicht haben. Aber sie waren immerhin auf dem Weg dorthin und das wurde gewürdigt. Dieser Aspekt fehlt deutlich in der DSGVO. Sie ist auf Vollständigkeit angelegt.

Sichtbare Komponenten

Diese Vollständigkeit betrifft erst einmal die sichtbaren Komponenten. Jede Webseite muss ein Impressum haben und eine Datenschutzerklärung. Alle äußerlichen Angaben müssen vorhanden sein: von der Adresse bis hin zur Rechtsform.

Unsichtbare Komponenten

Die sichtbaren Komponenten sind aber nicht alles. Dazu kommen die unsichtbaren Komponenten. Sie müssen in jeder Datenschutzerklärung genannt werden, sind aber nicht einfach zu identifizieren: Das beginnt bei Analysetools wie Google Analytics und hört bei PayPal Bezahlformularen noch längst nicht auf.

Das Problem

Die Schwierigkeit ist, dass Sie alle solche Komponenten in Ihrer Datenschutzerklärung auflisten müssen. Und mehr noch: Oft müssen Ihre Besucher bereits im Vorhinein festhalten, dass sie mit der Weitergabe ihrer Daten an diese Dienste einverstanden sind. All dies stellt einen erheblichen Aufwand dar.

Das Komplettpaket

All dies hört sich schwierig an – und das ist es auch. Im Endeffekt müssen Sie Ihre Webseite rechtssicher gestalten, wenn Sie weder Abmahnung noch Bußgelder kassieren möchten. Dazu gehört das Durchsehen der Inhalte auf offensichtliche Rechtsverstöße. Und es geht weiter mit einer Tiefenprüfung, ob auch die Programmcodes Ihrer Website rechtskonform sind. Bis dahin, ob externe Dienste, die im Hintergrund in Ihre Webseite eingebunden sind, der europäischen Datenschutzgrundverordnung entsprechen.

Dieses Überprüfen Ihrer Webseite ist allerdings nicht nur mühsam, sondern notwendig. Selbst, wenn es im Einzelfall bis zu 300 Unterseiten einer Internetpräsenz betrifft, kommen Sie nicht darum herum: Ihre Webseite muss der neuen Datenschutzgrundverordnung (DSGVO) entsprechen. Denn auch Sie wollen Datenschutz in Ihrem Verantwortungsbereich umsetzen. Und Sie wollen nicht empfindlich zur Kasse gebeten werden, weil Sie ihn missachtet haben.