Neue DSGVO und eigene Websites

Zusammenfassung

Eine Schonfrist gibt es nicht: Seit dem 25. Mai 2018 gelten die Vorgaben der neuen Datenschutzgrundverordnung (DSGVO). Wer dagegen verstößt, kann kräftig zur Kasse gebeten werden. Die Neuregelungen der Datenschutzvorgaben betreffen dabei auch (fast) alle Betreiber einer Website. Wenn Sie nicht von Behörden mit Bußgeldern belegt oder von Konkurrenten abgemahnt werden möchten, sollten Sie Ihre Websites schnellstens an die neuen Anforderungen anpassen.

1 Wer ist betroffen?

Am 25. Mai 2018 endete die zweijährige Übergangsfrist für die europäische Datenschutzgrundverordnung (DSGVO, s. Abb. 1). Unternehmen, die personenbezogene Daten in den Mitgliedsstaaten der EU speichern, verarbeiten oder verwalten, mussten die Anforderungen der DSGVO nachweisbar umgesetzt haben. Bei Nichteinhaltung und Datenschutzverstößen drohen drastische Strafen in Höhe von bis zu 4 Prozent des weltweiten Unternehmensumsatzes.

Abb. 1: Nach einer Übergangsfrist von 2 Jahren tritt die neue DSGVO nun in Kraft. Grafik: Bitkom

Von den Änderungen, die die neue Datenschutzgrundverordnung mit sich bringt, ist nahezu jeder Betreiber eines Internetangebots, und sei es noch so klein, betroffen. Nicht nur Angebote mit klar erkennbar kommerziellem Charakter müssen sich umstellen. In aller Regel sind auch schon einfachste Web-Präsenzen von Vereinen oder simple Blogs von Privatpersonen betroffen.

1.1 IP-Adressen sind personenbezogene Daten

Der Grund, weshalb selbst simple Webseiten bereits unter den Anwendungsbereich der DSGVO fallen, liegt darin, dass auch hier beim Zugriff über den Browser des Website-Besuchers dessen IP-Adresse an den Webserver des Website-Betreibers übertragen wird.

 
Hinweis

Diese IP-Adressen gelten als Online-Kennung und sind daher personenbezogene Daten. Dies gilt nicht etwa nur für feste IP-Adressen. Über den Internetprovider kann auch eine dynamisch vergebene IP-Adresse, die nur vorübergehend genutzt wird, einem bestimmten Nutzer zugeordnet werden.

Da sich ohne die Übermittlung der IP-Adresse auch keine einfachen Webangebote bereitstellen lassen, gibt es grundsätzlich betrachtet keine Ausnahmen. Allerdings fallen Angebote, die ausschließlich rein persönlichen Zwecken dienen, nicht unter die Vorgaben der neuen DSGVO. Jedoch muss man auch hier sehr genau aufpassen, denn wenn auf den persönlichen Seiten eine Bannerwerbung eingeblendet wird oder über Affiliate-Links Einnahmen mittels Provisionen erzielt werden sollen, gilt das Webangebot bereits als kommerzielles Angebot und fällt damit doch unter die Vorgaben der DSGVO.

 
Hinweis

Auch Vereine sollten bei ihren Webauftritten unbedingt die neuen Anforderungen beachten, um nicht unliebsame Überraschungen erleben zu müssen.

Verstöße gegen die neuen Vorgaben können jetzt weitreichende Folgen haben. Wurden Datenschutzverstöße bislang mit eher geringen Strafen belegt, sofern dies überhaupt geschah, werden künftig deutlich höhere Bußgelder fällig, die nach dem Willen des Gesetzgebers eine abschreckende Wirkung erzielen sollen. So sollen Strafen bis zu 20 Millionen EUR bzw. bis zu 4 Prozent des weltweit erzielten Umsatzes möglich sein, was dann auch Großkonzerne wie Google oder Facebook nicht mehr aus der Portokasse zahlen können.

1.2 DSGVO und E-Privacy-Verordnung

Die neue Datenschutzgrundverordnung zielt zum einen darauf ab, das Datenschutzrecht in Europa zu vereinheitlichen, zum anderen erweitert es die Rechte der Verbraucher im Hinblick auf den Schutz ihrer Daten. Für Unternehmen bzw. die datenverarbeitenden Stellen gelten damit in vielerlei Hinsicht strengere Vorgaben.

Neben der Datenschutzgrundverordnung wird demnächst noch eine weitere Verordnung auf europäischer Ebene in Kraft treten, die ebenfalls vor allem für Website-Betreiber von Bedeutung ist. Die kommende E-Privacy-Verordnung wird einige der eher allgemeinen Vorgaben der DSGVO im Hinblick auf das Tracking der Surfer auf den Webseiten konkretisieren. So sollen Cookies künftig nur noch nach expliziter Zustimmung durch die Nutzer erlaubt sein und die Informationspflichten zum Einsatz solcher Tracking-Tools sollen erweitert werden.

 
Hinweis

Die Verabschiedung der Richtlinie, die eigentlich zusammen mit der DSGVO in Kraft treten sollte, hat sich verzögert, sodass man hier noch etwas abwarten muss, wie die Regelungen im Detail aussehen werden. Was es bereits gibt, ist ein Gütesiegel für die ePrivacy-Konformität, das Unternehmen verwenden dürfen, die einen entsprechenden Zertifizierungsprozess durchlaufen haben (s. Abb. 2).

Abb:

2 Datenschutzerklärung

Website-Betreiber, die personenbezogene Daten verarbeiten, mussten auch schon vor dem 25. Mai 2018 eine Datenschutzerklärung auf Ihren Internetseiten veröffentlichen. Diese Informationspflichten sind mit dem Inkrafttreten der neuen DSGVO nun aber deutlich umfangreicher geworden. Sie sollten die Datenschutzerklärung daher in jedem Fall kontrollieren und die notwendigen Anpassungen und Ergänzungen schnellstens vornehmen.

 
Hinweis

Die Vorgaben für die Datenschutzerklärung sind im Artikel 13 der DSGVO zu finden. Gegenüber den alten Vorgaben des § 13 des Telemediengesetzes gibt es hier zahlreiche Erweiterungen.

2.1 Alte und neue Informationspflichten

Alle Betreiber, die p...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge