⯈ Dieses Projekt steht zum Verkauf!

www.datenschutzbetreuer.de steht zum Verkauf! Mit diesem Projekt können Sie SOFORT als Datenschutzbeauftragter starten. Details:

  • Das Portal besteht aus 26 redaktionellen Texten (geschrieben von einem Datenschutzexperten/Juristen – Gesamt Wortanzahl ~ 22000 Wörter
    Ausführlicher theoretischer Bereich: https://www.datenschutzbetreuer.de/wie-funktioniert-datenschutz/
    Ausführlicher praktischer Bereich: https://www.datenschutzbetreuer.de/wie-datenschutz-umsetzen/
    Branchenspezifisch: https://www.datenschutzbetreuer.de/branchenspezifisch/
    Ratgeber ePrivacy- Webseiten Check: https://www.datenschutzbetreuer.de/dsgvo-eprivacy-webseiten-check/ (inkl. Infografik: https://www.datenschutzbetreuer.de/wp-content/uploads/dsgvo-webseite-infografik.png)
  • Das Portal besteht aus ca. 1800 Unterseiten (Städtebezogene Landingpages). Wurden erstellt um via Adwords zu werben. Beispiel: https://www.datenschutzbetreuer.de/nordrhein-westfalen/krefeld/. Die Inhalte der StädteLandingpages können einfach (Massen)bearbeitet werden. So ist es beispielsweise möglich branchenspezifisch & regional (zb. Datenschutzbeauftragter für Physiotherapeuten in Krefeld) zu werben.
  • Mitgliederbereich (digimember derzeit kostenlos)  https://www.datenschutzbetreuer.de/registrierung/ (derzeit 50 registrierte Nutzer).
    Im Mitgliederbereich befinden sich:
    Vorlage/Muster Auftragsdatenverarbeitungsvertrag
    Vorlage/Muster DSGVO Einwilligungserklärung
    Vorlage/Muster Information über die Erhebung von Kundendaten
    Vorlage/Muster Einverständniserklärung Verwendung Fotos & Videos
    Vorlage/Muster DSGVO Checkliste
    Vorlage/Muster Datenschutzvorfall melden 16 Punkte DSGVO-Checkliste Tool um die Webseite auf ePrivacy Cookies zu checken: https://cookiecheck.datenschutzbetreuer.de/de/
  • Projektinhalte:
    Webprojekt
    Domain
    Logo
    Texte

Pro Monat besuchen das Projekt rund 400 Besucher. Ein Projekt um als Datenschutzbeauftragter SOFORT zu starten. Bei Interesse und weiteren Infos kontaktieren Sie uns bitte per Kontaktformular.

Anforderungen von Webseiten an die DS-GVO

Die Vorschriften der DS-GVO sind mittlerweile für all die Unternehmen gültig, für welche keine Sonderregelungen vorgesehen sind. Berücksichtigen im EU-Raum ansässige Firmen die Maßgaben der DS-GVO nicht, drohen hohe Geldstrafen von bis zu 20 Millionen Euro. Im Regelfall müssen alle Internetseiten die datenschutzrechtlichen Bestimmungen einhalten, da diese Websites stets auf eine Verarbeitung personenbezogener Daten ausgerichtet sind. Generell gilt die Faustregel: laut Datenschutzrecht besteht ein generelles Verbot zur Verarbeitung von Informationen natürlicher Personen. Ausnahmen liegen nur dann vor, falls das Gesetz die Datenverarbeitung ausdrücklich erlaubt.

Hinweis

Datenschutzkonforme Internetauftritte unterliegen speziellen Vorschriften. Unter anderem ist eine rechtskonforme Datenschutzerklärung notwendig, die der DS-GVO entsprechende erweiterte Angaben enthalten muss.

Gängige Tools und Webseiten-Techniken im Überblick

Seit Mai 2018 sind Unternehmen verpflichtet, ihren Webauftritt den neuen Anforderungen anzupassen. Die datenschutzrechtlichen Bestimmungen müssen eingehalten werden, falls verarbeitete bzw. erhobene Informationen personenbezogene Daten sind. Gemäß Artikel 4 Nr. 1 DS-GVO gelten all die Informationen als personenbezogen, die identifizierbaren bzw. identifizierten natürlichen Personen zugeordnet werden können. Diese Regelung schließt folgende Daten ein:

1. Name bzw. Anschrift der Person
2. Informationen wie Einkommen, Geschlecht, Alter
3. IP-Adressen bzw. anderweitige Nutzerdaten
4. Informationen über Surfverhalten (Browserverlauf, Suchanfragen etc.)
5. auf Nutzung von Tracking-Software basierende Daten
6. Videos, Fotos, E-Mails
7. Verlauf von Bestellungen in Online-Shops

Durch die DS-GVO sind alle Webseitenbetreiber verpflichtet, ihre Internetpräsenz auf Konformität zu kontrollieren. Ist der Newsletter-Versand in den Internetauftritt integriert, ist dieser Teilbereich ebenfalls von der DS-GVO betroffen.

1. Wichtige Informationen für Hoster und rund um Website-Hosting

Häufig ist es der Fall, dass ein im Internet vertretenes Unternehmen die auf der Webseite verarbeiteten Daten nicht auf dem eigenen Server speichert. Es kommt wesentlich häufiger vor, dass diese Informationen über IT-Hoster – externe Dienstleister – abgespeichert werden. Der Content der Webseiten kann über die Server des Providers öffentlich abgerufen werden. Eine zweite Option besteht für die Firmen darin, den eigenen Server über eine eigene IT-Abteilung verwalten zu lassen.

Welche Probleme treten bei einer Inanspruchnahme von Website-Hosting auf?

Wird das Hosting durch einen Provider betrieben, speichert der Dienstleister die Angaben der Webseite sowie Kunden- und Zahlungsdaten (bei einem Internetshop) auf den eigenen Servern ab. Partiell sind ebenfalls Tracking-Daten zum Nutzer- und Besucherverhalten auf den Websites von der Verpflichtung betroffen. Die Verarbeitung der Informationen bezieht sich in erster Linie auf eine Übermittlung und Erhebung personenbezogener Informationen.

Muss mit dem Hoster ein AV-Vertrag abgeschlossen werden?

Im Falle einer Auftragsverarbeitung beauftragt ein Unternehmen eine externe Stelle, um die personenbezogenen Informationen verarbeiten zu lassen. Allein bestimmt der verantwortliche Auftraggeber den Zweck sowie die Instrumente der Verarbeitung. Nimmt ein IT-Hoster die Datenverarbeitung im Auftrag eines Unternehmens vor, wird dieser Dienstleister als sogenannter Auftragsverarbeiter eingestuft. Ein Auftragsverarbeiter fokussiert sich auf eine weisungsgebundene Verarbeitung von kundenbezogenen Informationen. Dieses Auftragsverhältnis bedarf eines Vertrags über die Auftragsverarbeitung, eines sogenannten AV-Vertrags.

Tipp

Aktivitäten wie nach der DS-GVO eingesetzte Back-Ups, Datenkonvertierungen oder Tätigkeiten des Webdesigns werden ebenfalls als Auftragsverarbeitung definiert. Werden keinerlei personenbezogene Daten verarbeitet, ist kein AV-Vertrag notwendig, da keine Auftragsverarbeitung vorliegt.

Sonderregelungen bei der Wartung eines Servers

Unter bestimmten Umständen müssen AV-Verträge ebenfalls mit den Dienstleistern geschlossen werden, die mit der Wartung der Server beauftragt wurden. Dieser Fall tritt ein, falls der Dienstleister aufgrund der Wartung Zugriff auf die personenbezogenen Informationen hat. Der Abschluss eines AV-Vertrags ist bereits notwendig, wenn ein theoretischer Zugriff auf die Daten erfolgt. Eine Auftragsverarbeitung ist nur dann ausgeschlossen, wenn ein Zugriff auf die Informationen unmöglich ist.

2. Besonderheiten der SSL-Verschlüsselung

Die SSL-Verschlüsselung zielt darauf ab, eine sichere Datenübertragung zwischen Client und Server zu gewährleisten. Ein typisches Beispiel für eine SSL-Verschlüsselung ist ein Online-Shop, in dem eine Kundenregistrierung sowie der Einkauf auf sicherem Wege erfolgen sollen.

Nachteile nicht verschlüsselter Webseiten

Bei einer Inanspruchnahme nicht verschlüsselter Webseiten können für Kunden Probleme entstehen. Sobald die Besucher Kontaktformulare ausgefüllt und versendet haben, erfolgt automatisch eine Datenübertragung vom Client des Anwenders zum Server. Werden die Daten unverschlüsselt über http übertragen, können sich Cyberkriminelle Zutritt zu diesen Informationen verschaffen.

Optionen zur Problemlösung

Als Lösungsansätze kommen folgende Möglichkeiten in Betracht:

  1. Eine Verschlüsselung ermöglicht eine sichere Ende-zu-Ende Datenübertragung. In der Praxis hat sich eine Verschlüsselung durch TLS 1.2 via https als SSL-verschlüsselte Transportverbindung bewährt. Eine wichtige Voraussetzung zum Erhalt der Verschlüsselung ist der Erhalt eines SSL-Zertifikats. Dieses Zertifikat ist entweder in das Angebot eines Hosting-Providers inkludiert oder kostenpflichtig.
  2. Eine andere Option sind auf einen bestimmten Zeitraum befristete Angebote von Dienstleistern, die bei Bedarf manuell verlängert werden können. Diese Option ist für Webseiten-Betreiber von kleinen Plattformen sinnvoll, denen ein kostenfreies und zeitlich limitiertes Zertifikat ausreicht. In diesem Fall ist es besonders wichtig, die Vertrauenswürdigkeit der Dienstleister zu überprüfen.

Generell sollten Webseitenbetreiber darauf Acht geben, einen Datenaustausch personenbezogener Informationen über https abzusichern. Für Internet-Shops ist eine Verschlüsselung verpflichtend, weil auf diesen Portalen stets Zahlungsinformationen sowie Kontaktdaten verarbeitet werden.

3. Wie werden Log-Dateien auf dem eigenen Server verwaltet?

Log-Dateien haben die Funktion, die Aktivitäten der Website-Besucher zu überprüfen und zu analysieren. Sämtliche Anfragen sowie Zugriffe auf Unterseiten samt Statusmeldungen werden abgespeichert. Administratoren verarbeiten die gesammelten Informationen weiter. Schließlich ist über die Log-Dateien jeder erfolglose bzw. erfolgreiche Zugriff nachvollziehbar. Protokolle zum Nutzungsverhalten haben sich bewährt, um Fehler herauszufiltern oder sogenannte 404-Fehler zu entfernen.

Probleme im Umgang mit Log-Dateien

Durch eine Log-Datei werden nachfolgende personenbezogene Daten abgespeichert:

  • URL der besuchten Webseite
  • Uhrzeit während des Seitenzugriffs
  • Informationen zum Browser
  • Angabe über Quelle, über welche Nutzer auf Webseite gelangt sind
  • Menge übertragener Daten (in Byte)
  • Angaben zum Betriebssystem
  • Speicherung von IP-Adresse der Website-Besucher (anonymisiert)

Falls keine anderen rechtlichen Vorgaben bestehen, erfolgt eine Datenverarbeitung nach dem üblichen Schema.

Lösungsvorschläge für eine Anwendung von Log-Dateien

Die jeweiligen Datenschutzerklärungen sind darauf ausgelegt, Website-Besucher über die entsprechend Rechtsgrundlage in Kenntnis zu setzen. Diesbezüglich ist zu beachten, dass Daten erhoben und ausgewertet werden dürfen, falls die Angaben nicht für die Funktionstüchtigkeit und Sicherheit von Webseiten erforderlich sind. Die Daten dürfen nicht für eine Analyse des Nutzerverhaltens oder einer Profilbildung der Besucher verwendet werden.

Tipp

Generell sind Log-Dateien auf eine Verarbeitung von Informationen wie IP-Adressen von Seitenbesuchern ausgerichtet. In der Datenschutzerklärung muss auf eine Verwendung von Log-Dateien hingewiesen werden. Diese Erklärung bezieht sich auf den Nutzungszweck von Server-Logfiles sowie dort vermerkten Daten.

4. Wichtige Informationen zu Kontaktformularen

Das Kontaktformular hat sich auf vielen Webseiten als kundenfreundlicher Service bewährt. Dieses Formular erleichtert Besuchern der Webseite den Kontakt zum Webseitenbetreiber oder zum Kundenservice von Firmen. Indem Informationen die Kontaktdaten oder der Name abgefragt werden, erhebt das Dokument automatisch persönliche Daten. Aus dem Grund müssen die Internetnutzer schon zu Beginn der Nutzung über den Zweck, Umfang sowie die Art der Datenerfassung informiert werden. Folgende Vorschriften gelten in Bezug auf die Kontaktformulare:

  1. Grundsatz der Datenminimierung: es dürfen nur tatsächlich erforderliche Angaben abgefragt werden
  2. Datenschutzerklärung muss auf Kontaktformular verweisen
  3. optionale Angaben müssen bei Abfrage als freiwillig gekennzeichnet werden
  4. Datenübermittlung erfolgt nach Möglichkeit verschlüsselt (über https)

Richtlinien für Kontaktformulare laut DS-GVO

Da Datenschutzrichtlinien für personenbezogene Daten notwendig sind, sind diese Informationen auch für auf Webseiten aufgeführten Kontaktformularen interessant. Diese Formulare müssen allen inhaltlichen Vorgaben entsprechen. Aus technischer Sicht muss eine verschlüsselte Datenverbindung ermöglicht werden.

Wichtige Lösungsansätze in der Übersicht

Liegt gemäß Artikel 6 Abs. 1 DS-GVO eine rechtliche Grundlage wie ein Vertrag oder eine Einwilligung vor, ist eine Verarbeitung personenbezogener Daten gestattet. Ein Versand personenbezogener Daten wird verschlüsselt via https vorgenommen. Eine Verschlüsselung über das SSL-Protokoll muss aktuellen Anforderungen an die Technik gerecht werden. Mindestanforderungen beruhen auf TLS 1.2.

Generell sind Kontaktformulare eine einfache Form der Kontaktaufnahme, die mittlerweile durch viele Anbieter von Internetseiten angeboten wird. Webseiten-Betreiber müssen darauf Acht geben, dass die Vermittlung personenbezogener Daten stets über eine angemessen verschlüsselte Verbindung erfolgt. Die Datenschutzerklärung inkludiert Angaben zum Zweck und der Art der Datenverarbeitung.

5. Tracking- sowie Analyse-Software

Tracking- und Analyse-Software ist darauf ausgerichtet, die Besucher einer Website zu analysieren. Software-Varianten wie Matomo oder Google Analytics zielen auf eine zielgruppenspezifische Optimierung eines Internetauftritts ab. Mit dieser Software sind mehrere Besonderheiten verbunden. Sobald Analyse- oder Tracking-Software auf einer Webseite aktiviert wird, überfolgt eine Übertragung personenbezogener Daten an Dritte. Für eine rechtskonforme Gestaltung der Servicedienste müssen folgende Richtlinien beachtet werden:

  • Integration eines Opt-Out-iFrames (zur Deaktivierung des Trackens)
  • Nutzung von Tracking-Tools sind bei Reichweitenmessung ausschließlich für statistische Analyse zulässig

Darauf basierend, setzen rechtskonforme Einsätze eine Anonymisierung der IP-Adresse sowie einen in der Datenschutzerklärung aufgeführten Hinweis voraus. Eine Option zum Widerspruch gegen anonymisiertes Tracken muss vorhanden sein.

6. Nähere Informationen zur Nutzung von Social Media Plugins

Ein typisches Beispiel eines Social Media Plugins ist der Share- und Like-Button von Facebook. Plugins wie diese werden auf Webseiten aller Art angewendet. Betreiber von Websites möchten durch diese Features ihre Reichweite vergrößern. Ein erhöhter Traffic wird erhofft, indem Seitenbesucher die Inhalte “liken” und dadurch innerhalb sozialer Netzwerke teilen. Allerdings ist eine Nutzung von Social Media Plugins nicht ganz unkompliziert.

Seit geraumer Zeit stehen Plugins im Fokus der Kritik. Indem die Plugins personenbezogene Informationen verarbeiten, werden automatisch Persönlichkeitsprofile erstellt. Internetnutzer werden über diese “Analyse” jedoch nicht in Kenntnis gesetzt. Sobald eine Webseite mit integriertem Social Media Plugin aufgerufen wird, werden automatisch Daten an Social Media Anbieter übertragen. Ganz gleich, ob Website-Besucher auf den Social Media Kanälen registriert sind oder nicht – die Daten über die Internetnutzer werden automatisch beim Laden der Homepages übertragen. Diesem Problem sollen mehrere Ansätze Abhilfe schaffen:

  1. 2-Klick-Lösung: zur Aktivierung des Social Media Plugins müssen Seitenbesucher zuerst ein Symbol aktivieren; erst beim erneuten Klick auf das Social Media Plugin erfolgt die Datenübertragung an die Social Media Anbieter
  2. Shariff-Lösung: Weiterentwicklung der 2-Klick-Lösung; Skript informiert über Häufigkeit des Twitterns oder Likes einer Website; durch Übertragung der IP-Adresse eines Webseiten-Servers erfolgt Verbindungsaufbau zwischen Seitenbesuchern und Social Media Anbietern erst nach aktiver Nutzung der Plugins; kein zweiter Klick ist notwendig
  3. kompletter Verzicht: aufgrund minimierter Marketing-Optionen für Webseitenbetreiber eher ungeeignet
Tipp

Social Media Plugins erhöhen die Marketing-Optionen von Website-Betreibern drastisch. Besonders empfehlenswert ist die Shariff-Lösung. Eine Nutzung von Social Media Plugins bedarf in der Datenschutzerklärung einer Erläuterung.

7. Von YouTube oder Vimeo integrierte Videos

Wer Internetseiten anschaulich gestalten und Informationen bereitstellen möchte, sollte neben Bildern auch auf Videos setzen. Allerdings ist es wichtig, dass die Videos in Webseiten datenschutzkonform integriert werden. Als problematisch erweist sich jedoch, dass Webseiten mit eingebundenen Videos die IP-Adresse von Website-Nutzern schon beim Ladeprozess der Internetseiten speichern. Für diese Speicherung spielt es keine Rolle, ob die Website-Besucher die Videos anklicken oder nicht. Datenschutzrichtlinien müssen beachtet werden, da die IP-Adressen ein Teil der personenbezogenen Daten sind. Webmaster haben Wahlmöglichkeiten aus zwei Optionen, um ein Setzen von Cookies zu umgehen und ein Abspeichern der IP-Adresse beim Laden von Webseiten zu vermeiden.

Erste Option: die Zwei-Klick-Lösung

Bei einer Anwendung der Zwei-Klick-Lösung wird der Cookie erst nach dem Klick und nicht nach der Aktivierung der Webseite gesetzt. Plugins wie diese sind beispielsweise für Content Management Systeme wie Joomla! oder WordPress konzipiert.

Zweite Option: Einbettung von Videos mit erweiterter Datenschutzeinstellung

Partiell räumen Videoanbieter wie YouTube die Möglichkeit ein, ein Video ohne ein Setzen von Cookies zu integrieren. Der erweiterte Datenschutzmodus wird erreicht, indem auf YouTube die jeweilige Seite zum Video geöffnet und anschließend über die Modi “Teilen”, “Einbetten” sowie “Mehr anzeigen” angeklickt wird. Hier erscheint die Option “erweiterten Datenschutzmodus aktivieren”, bei deren richtiger Verwendung der Einbettungs-Code „www.youtube-nocookie.com“ erscheint.

Hinweis

Wenn Videos auf einer Webseite eingebunden werden, erfolgt eine Speicherung der IP-Adresse der Internetnutzer schon beim Laden der Internetseiten. Da eine IP-Adresse eine personenbezogene Information ist, muss dieser Prozess datenschutzkonform gestaltet werden. Für eine Einbindung auf Websites stellen einige Anbieter bereits Videos mit erweiterter Datenschutzeinstellung zur Verfügung. Optional kommt die Zwei-Klick-Lösung in Betracht. Hinweise über die Form der Video-Einbindung müssen in die Datenschutzerklärung eingefügt werden.

8. Informationen zu Cookies und Cookie-Hinweisen

Heutzutage sind Cookies ein fester Bestandteil der meisten Internetseiten. Die Aufgabe der kleinen Textdateien ist es, Informationen auf Rechnern von Webseitenbesuchern abzulegen. Besucher können durch diesen Service nicht nur identifiziert, sondern auch wiedererkannt werden. Ein Vorteil für User besteht darin, Anmeldedaten bei einem Seitenbesuch nicht wieder eingeben zu müssen. Obwohl die Cookie-Banner bei einem Besuch von Webseiten mittlerweile zum Standard gehören, fühlen sich viele Nutzer davon gestört.

Probleme bei der Nutzung von Cookies

Über Cookies werden personenbezogene Informationen erhoben, deren Verarbeitung ohne eine Erlaubnis von Website-Besuchern zumeist nicht erfolgen darf. Allerdings hat Deutschland die EU-Cookie-Richtlinie nicht in nationales Recht umgewandelt. Deshalb ist weitgehend ungeklärt, inwiefern sich die DS-GVO auf eine Nutzung von Cookies bezieht.

Die wichtigsten Lösungsoptionen

In erster Linie wird nach der Art des Cookies differenziert. Grundsätzlich gilt: ein Cookie gilt als zulässig, falls dieses für eine notwendige oder nützliche Funktion vorgesehen ist. Darüber hinaus wird Webseiten-Betreibern angeraten, sich die Einwilligung der Nutzer für eine Verwendung von Cookies einzuholen. Dieser Fall tritt unter anderem ein, wenn auf einer Grundlage von Cookies geräte- oder webseitenübergreifende Nutzerprofile angefertigt und übertragen werden sollen. Über diese Auslegung gibt es allerdings geteilte Meinungen. Partiell besteht die Auffassung, dass eine Verwendung dieser Cookies auf der Rechtsgrundlage “Vertrag” oder “berechtigtes Interesse” basiert.

9. Nutzung externer Schriften und Dateien

Klassische Standardschriften werden durch weitere Schriften ergänzt, die im Internet kostenpflichtig oder kostenfrei offeriert werden. Ein Beispiel für einen Anbieter einer solchen Schrift ist Google mit Google Fonts. Ein Problem bei der Anwendung externer Schriften tritt jedoch auf, wenn die Schriften beim Laden einer Seite vom Google Server nachgeladen werden. Dieser Vorgang verursacht automatisch einen Datenaustausch zwischen Google sowie der Webseite.

Informationen zur rechtskonformen Nutzung externer Dateien und Schriften

Aus datenschutzrechtlicher Sicht ist eine Datenübermittlung nicht gewollt. Das Problem wird umgangen, indem externe Schriften nicht vom Server nachgeladen, sondern auf dem eigenen Server abgespeichert werden. In dem Fall muss ein Website-Betreiber zuerst alle erforderlichen Schriften identifizieren, um diese im Anschluss auf den eigenen Server hochzuladen. Daraufhin wird der CSS-Code entsprechend angepasst, um die neue Quelle der Fonts einzutragen.

Generell muss erwähnt werden, dass bei einem Nachladen von Dateien ein aus datenschutzrechtlicher Sicht unerlaubter Datenaustausch erfolgt, wenn auf Webseiten externe Dateien oder Schriften verwendet werden. Um den Richtlinien der DS-GVO gerecht zu werden, sollte ein Datenaustausch mit externen Servern unterbunden werden. Alternativ werden die Informationen stattdessen im Webspace abgespeichert und verwendet.

10. Nähere Informationen zur Datenschutzerklärung

Wenn über eine Webseite personenbezogene Daten verarbeitet werden, sind ein Impressum sowie eine Datenschutzerklärung dringend erforderlich. Diese Erläuterung setzt Internetbesucher über die Art der Verarbeitung personenbezogener Daten in Kenntnis. Zudem müssen die Verarbeitungszwecke näher erläutert werden. Als problematisch erweist sich in diesem Zusammenhang, dass schon relativ einfache Webseiten personenbezogene Daten verarbeiten. Aus dem Grund sind Datenschutzregelungen für nahezu alle Internetauftritte gültig. Falls die Bestimmungen nicht korrekt umgesetzt werden, müssen Website-Betreiber eine Abmahnung oder Geldbuße in Kauf nehmen.

Tipps zur richtigen Umsetzung der Datenschutzerklärung

Die neue Datenschutzverordnung muss die gemäß Artikel 13 DS-GVO bestehenden Informationspflichten berücksichtigen. Nachfolgende Pflichten sollten erfüllt sein:

  1. Nennung der Rechtsgrundlage für Datenverarbeitung: Beachtung des Grundsatzes des Verbots mit Erlaubnisvorbehalt; personenbezogene Informationen dürfen nur durch explizite Zustimmung des Nutzers sowie bei gesetzlicher Erlaubnis erhoben werden
  2. Regelung von Ausnahmen durch Artikel 6 DS-GVO: Ausnahme besteht beispielsweise zur “Wahrung berechtigter Interessen”
  3. Rechtsgrundlage “Wahrung berechtigter Interessen” ist Grundlage für Verarbeitung personenbezogener Daten, die für Erhalt der Website-Sicherheit nötig sind: Beispiel ist temporäre Speicherung von IP-Adressen; IP-Speicherung nicht länger als 14 Tage
  4. neue Informationspflichten für Rechte von Webseiten-Besuchern: Datenschutzerklärung bezieht sich auf alle Rechte Betroffener, zum Beispiel Recht auf Beschwerde bei Aufsichtsbehörde
  5. falls Datenschutzbeauftragter für Unternehmen zuständig ist: Aufführung der Person in Datenschutzerklärung sowie Angabe einer Kontaktmöglichkeit; Funktionsangabe genügt

Verallgemeinernd sollte erwähnt werden, dass Datenschutzerklärungen ein obligatorischer Bestandteil eigener Webseiten sind. Allerdings sind die Anforderungen an die Erklärung seit Einführung der DS-GVO wesentlich detaillierter und umfangreicher. Inzwischen gibt es im World Wide Web verschiedene Anbieter, mit denen Betreiber von Websites maßgeschneiderte Datenschutzerklärungen generieren können.

11. Wie erfolgt eine Weitergabe personenbezogener Daten an externe Dienstleister?

Eine Übermittlung der Weitergabe von Daten an dritte Personen geschieht schnell. Dieser Vorgang erfolgt beispielsweise schon dann, wenn eine Bearbeitung von Rechnungen in der Cloud externer Anbieter vorgenommen wird. Ein klassischer Fall für eine Weitergabe von Daten ist ein Online-Shop, der im Regelfall auf Servern von Webseiten-Hostern betrieben wird. Problematisch ist eine Datenweitergabe personenbezogener Informationen, da die theoretische Möglichkeit einer Kenntnisnahme durch Dritte bereits ausreicht. Schon in diesem Fall liegt eine Datenverarbeitung mit Erlaubnispflicht vor. Eine Weitergabe ist gestattet, sobald dieser Vorgang auf irgendeiner rechtlichen Grundlage basiert. Folgende Optionen kommen für eine Datenweitergabe an Dritte in Betracht:

  1. Vertragserfüllung: Weitergabe von Daten ist gestattet, falls diese für Vertragserfüllung notwendig ist; Interessen Betroffener muss entsprochen werden
  2. Einwilligung: Einwilligung für eine Datenweitergabe kann von Betroffenen eingeholt werden; Betroffene dürfen Weitergabe gemäß Artikel 6 Abs. 1 lit. a DS-GVO zustimmen
  3. berechtigte Interessen an Weitergabe: Datenweitergabe ohne Vertrag und Einwilligung; wird durch Art der Daten, Zweck für Weitergabe und Risiken für Betroffene beeinflusst; als berechtigte Interessen gelten Gewinnmaximierung, Verbesserung der Nutzerfreundlichkeit oder Optimierung von Diensten

Letztendlich ist eine Weitergabe von personenbezogenen Informationen an dritte Personen gemäß DS-GVO nur gestattet, falls für diesen Fall eine gesetzliche Regelung vorgesehen ist. In der Unternehmenspraxis besteht dieser Anspruch zumeist, wenn berechtigtes Interesse besteht, eine Weitergabe zur Vertragserfüllung erforderlich ist oder eine explizite Einwilligung durch Betroffene existiert.

Hinweise zu Datenverarbeitungsverträgen mit Auftragsverarbeitern

Webseiten-Betreiber verwenden verschiedene Tools und Dienste, um personenbezogene Daten zu verarbeiten. Klassische Dienstleister sind Newsletter-Provider oder Hosting-Anbieter, die nach Möglichkeit einen Vertrag zur Auftragsverarbeitung zur Verfügung stellen sollten. Diese Vereinbarungen sind notwendig, falls ein Unternehmen im Auftrag des Datenverarbeiters Daten verarbeitet. Der Dienstleister agiert als Auftragsverarbeiter.

Fazit

In aller Regel sind Betreiber von Websites mittlerweile verpflichtet, bei der Verarbeitung personenbezogener Daten die DS-GVO zu beachten. Nur in spezialgesetzlichen Ausnahmefällen werden sie von der Pflicht entbunden. Anderenfalls droht eine hohe Geldbuße. Diese Richtlinien beziehen sich auf die Zusammenarbeit mit einem Hosting-Anbieter, die hohe Bedeutung verschlüsselter Datenübertragung oder die exakte Anwendung mit Kontaktformularen, Tracking-Software oder anderen Tools. Eine Schlüsselrolle nimmt die Anpassung der obligatorischen Datenschutzerklärung ein. Im Internet stehen Datenschutz-Generatoren zur Verfügung, durch welche eine kostenfreie Datenschutzerklärung für die eigene Webseite kreiert werden kann.