<img height="1" width="1" src="https://www.facebook.com/tr?id=228279331375773&amp;ev=PageView &amp;noscript=1">
Newsletter

» EQS Industry Newsletter «

Subscribe to our newsletters to get a monthly update on industry related web articles straight to your inbox.
    Back to overview

    Was die neue Datenschutzgrundverordnung für Corporate Websites bedeutet

    Am 25. Mai 2018 tritt die die neue Datenschutzgrundverordnung (DSGVO) final in Kraft. Erfahren Sie, worauf Sie als Betreiber einer Corporate Website achten müssen.

    t
    l
    X

    Am 25. Mai 2018 tritt die die neue Datenschutzgrundverordnung final in Kraft. Konkret heißt das, wer ab dem Stichtag die neuen Anforderungen nicht umgesetzt hat, muss mit heftigen Bußgeldern rechnen. Auch Corporate Website Betreiber müssen daher aktiv werden.

    Personenbezogene Daten sind überall

    Jeder, der personenbezogene Daten verarbeitet (d.h. erhebt, speichert, analysiert, aktualisiert, löscht etc.), muss sich um den Schutz dieser Daten kümmern. Dabei geht es um alle Informationen, mit denen sich natürliche Personen potenziell identifizieren lassen. Es geht also um weit mehr als die besonders sensiblen Bank- oder Gesundheitsdaten. Namen und E-Mail-Adressen sind selbsterklärend, aber auch IP-Adressen sind personenbezogen.

    • Haben Sie einen geschlossenen Login-Bereich?
    • Kann man sich zu einem Newsletter anmelden?
    • Gibt es ein Kontaktformular?
    • Sind auf Ihrer Website Social Media oder Sharing Plugins implementiert?
    • Setzen Sie Cookies und Trackingtools wie etracker, Piwik oder Google Analytics ein?

    Wenn Sie mindestens eine dieser Fragen mit ‚Ja‘ beantworten können, sollten Sie weiterlesen.

    Newsletter

    Auch Newsletter müssen den Richtlinien der DSGVO entsprechen.

    Worauf sollten Sie jetzt Ihr Augenmerk richten?

    In Art. 5 DSGVO sind die Grundsätze verankert, die die Basis der Verordnung bilden. Auf alle davon einzugehen wäre an dieser Stelle weder sinnvoll noch praktikabel. Im Folgenden wollen wir uns daher auf die wichtigsten ‚Pain Points‘ von Corporate Websites beschränken.

    Art. 6 DSGVO beschreibt, wann eine Datenverarbeitung rechtmäßig ist. Für die meisten Corporate Websites kommen drei der genannten Bedingungen als Rechtfertigungsgrund in Betracht:

    1. Vorab wurde eine explizite und zweckgebundene Einwilligung zur Verarbeitung eingeholt. Diese kann jederzeit widerrufen werden.
    2. Die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
    3. Es bestehen berechtigte Interessen des Verantwortlichen oder eines Dritten und diese überwiegen die Interessen oder Grundrechte und -freiheiten der betroffenen Person.

    Lediglich eine dieser Bedingungen muss gegeben sein, damit die für die Erfüllung des Zwecks relevanten (!) Daten („Zweckbindung“ und „Datenminimierung“) verarbeitet werden dürfen.

    Handlungsempfehlungen für DSGVO-konforme Corporate Websites

    Nach juristischer Einschätzung ergeben sich folgende Handlungsempfehlungen:

    Login-Bereich
    Bei der Registrierung sollte neben E-Mail-Adresse und Name noch ein Benutzername gewählt oder vergeben werden, damit dieser bei Login statt der E-Mail-Adresse genutzt werden kann.

    Newsletter
    Lediglich die E-Mail-Adresse sollte bei der Newsletter-Anmeldung gefordert werden, da alle weiteren Angaben als überflüssig anzusehen wären.

    Registration-Form

    Webformular müssen ab dem 25. Mai DSGVO-konform sein.

    Formulare
    Als Pflichtangabe sollte nur die E-Mail-Adresse gefordert werden, maximal noch der Nachname. Alle weiteren Angaben sind nicht zur Kontaktaufnahme erforderlich und sollten daher als optional eingestellt werden.

    Social Media Plugins
    Da es unwahrscheinlich erscheint, ein „berechtigtes Interesse“ geltend zu machen, müsste man beim Einsatz von Social Media Plugins die explizite Einwilligung einholen. Hier ist allerdings das Problem, dass man dafür Informationen über die Datenverarbeitung bei Facebook & Co. machen müsste, die man vermutlich nicht machen kann.

    Cookies
    In der Regel sollten Cookies über das „berechtigte Interesse“ des Website-Betreibers zu rechtfertigen sein, wenn eine pseudonymisierte Datenerhebung stattfindet. Demzufolge sollte der herkömmliche Cookie-Hinweis vorerst ausreichen – vorausgesetzt der Cookie-Einsatz ist über die Interessensabwägung („berechtigtes Interesse“ vs. „schutzwürdiges Interesse“ des Besuchers) gerechtfertigt. Allerdings ist dennoch Vorsicht geboten, denn die angekündigte ePrivacy-Richtlinie kann hier einiges ändern.

    Trackingtools
    Hierbei muss man beachten, dass die Daten anonymisiert erfasst und verarbeitet werden. Außerdem muss in den Datenschutzhinweisen eine einfache und direkte Möglichkeit zum Widerspruch angeboten werden. Je nach Fall kann also eventuell auf eine explizite Einwilligung verzichtet werden, allerdings raten Webanalyse-Anbieter dennoch zum Einholen der Einwilligung, z.B. über ein Pop-Up.

     

    Datenschutzhinweise
    In den Datenschutzerklärungen muss klar, genau und leicht verständlich dargestellt werden, welche Daten erhoben und wie sie verarbeitet werden; dazu zählt u.a. auf die Dauer der Datenspeicherung. Außerdem muss auf die Möglichkeit und das Recht zum Widerspruch und zu Datenauskunft sowie -löschung hingewiesen werden. Genaueres zu den Inhalten findet man in Art. 13 DSGVO.

    Datenschutz

    In den Datenschutzerklärungen muss klar, genau und leicht verständlich dargestellt werden, welche Daten erhoben und wie sie verarbeitet werden.

    SSL-Verschlüsselung
    Alle personenbezogenen Daten sollten durch SSL geschützt werden. Besonders für die Übertragung von personenbezogenen Daten bei Newsletter-Anmeldung, Login-Registrierung und Formularen sollte dies unbedingt beachtet werden.

    Stichtag 25. Mai – werden Sie jetzt aktiv!

    Das Thema Datenschutz ist komplex und an einigen Stellen noch weit entfernt von „ausdefiniert“. Daher zögern Sie am besten nicht länger und konsultieren Sie Ihren Datenschutzbeauftragten sowie Ihre Rechtsabteilung und lassen Sie Ihre Prozesse, IT-Strukturen und Datenschutzhinweise auf Rechtssicherheit prüfen.

    Stellen Sie sicher, dass Datenerhebung, -haltung, -löschung und -auskunft schnell und rechtskonform durchgeführt werden. Die EU-DSGVO ist nämlich bereits geltendes Recht – ab 25. Mai 2018 werden Verstöße dann mit Bußgeldern bis zu 20 Millionen Euro bestraft.

    Für mehr Informationen sei Ihnen die t3n-Serie von Dr. Thomas Schwenke ausdrücklich empfohlen.


    Hinweis: In diesem Artikel sollen lediglich Anregungen und Hinweise gegeben werden. Dies ersetzt keinesfalls eine rechtliche Beratung, die nur Ihr Anwalt beziehungsweise Datenschutzbeauftragter leisten darf. Aufgrund der rechtlichen Komplexität der DSGVO empfehlen wir Ihnen ausdrücklich, Ihren Datenschutzbeauftragten bzw. Anwalt zu konsultieren.

    t
    X
    Released:
    April 30, 2018
    |
    Updated:
    April 30, 2018