Die GREEN-M INTERFACE DESIGN GmbH verarbeitet für Endkunden oder im Auftrag von Endkunden sehr häufig personenbezogene Daten.
Bereits die Erstellung und Pflege einer Webseite oder eines Onlineshops erfordert üblicherweise den Umgang mit
solchen Daten. In diesen Fällen ist die Agentur also Auftragsverarbeiter für ihre Kunden. Allerdings nutzen auch
Agenturen wiederum externe Dienstleister zur Erledigung ihrer Aufgaben. Werden hierbei personenbezogene Daten
verarbeitet, wird der Dienstleister zum Auftragsverarbeiter für die Agentur.
Die Datenschutzvereinbarung und die Anlage A konkretisieren die datenschutzrechtlichen Verpfichtungen zwischen
unseren Auftraggebern und der GREEN-M INTERFACE DESIGN GmbH. Sie regelt den Umgang mit personenbezogenen Daten
zwischen den Parteien.
Ab dem 25. Mai 2018 sind alle Unternehmen dazu verpflichtet, diese bereits notwendigen Vereinbarungen nach den
Vorgaben der DSGVO neu zu schließen.
Daher bitten wir alle Auftraggeber die Datenschutzvereinbarung und die Anlage dazu herunterzuladen und uns unterschrieben
in zweifacher Ausführung per Fax oder Post zuzusenden.
Das nachfolgende Dokument dient als erster Leitfaden von potentiellen Problemen innerhalb der Datenschutz-Grundverordnung (DSGVO). Es wird darauf hingewiesen, dass viele der hier behandelten Probleme noch nicht abschließend, insbesondere durch höchstrichterliche Rechtsprechungen, geklärt wurden und teilweise auch noch keine Stellungnahmen der Landes-Datenschutzbehörden vorliegen, weshalb zu einigen Punkten unterschiedliche Auffassungen vertreten werden. Durch den Verfasser wird daher keine Haftung auf Richtigkeit und Vollständigkeit übernommen. Insbesondere ist darauf hinzuweisen, dass jeder Fall gesondert zu prüfen ist und keine individuelle Rechtsberatung ersetzt. Bitte lassen Sie Ihren Datenschutzhinweis in jedem Fall von einem Anwalt prüfen.
Tipp: Anbieter wie e-recht24 und janolaw bieten Tools für die Erstellung entsprechender Datenschutzbestimmungen.
Betreiber verpflichten sich zur Verwendung möglichst datenschutzfreundlicher Voreinstellungen. Mit dem Privacy by Default
dürfen unter Anderem nur die Daten verarbeitet werden, die für den bestimmten Verarbeitungszweck erforderlich
sind. Des Weiteren muss jeder Nutzer einen einfachen Zugang zu einem datenschutzfreundlichen Internetbrowser
erhalten, sprich Ihre Webseite muss auch über einen solchen erreichbar sein.
Mit Eintritt der DSGVO im Mai 2018 ist eine datenschutzrechtliche Einwilligung erst ab 16 Jahren oder mit Einwilligung
eines Erziehungsberechtigten möglich. Damit soll Teenagern die Anmeldung bei Internetdiensten wie Facebook und
Instagram künftig deutlich erschwert werden. Aktuell ist in der DSGVO nicht geregelt, wie eine Überprüfung diesbezüglich
zu erfolgen hat.
Sofern Cookies auf der Webseite, dem Blog oder einem Shop zu Marketingzwecken Verwendung finden, ist ein Hinweis darauf angeraten.
Die endgültige Entscheidung darüber, ob ein Hinweis Pflicht ist, wird die ePrivacy Verordnung vermutlich am 25.05.2018
publizieren.
Viele der heute eingesetzten Content Management Systeme (WordPress, TYPO3, Drupal) nutzen standardmäßig Cookies,
um den Nutzer über den Auftritt zu „identifizieren“. Von daher ist der pauschale Einsatz eines Cookie-Banners
angeraten. Dieser sollte deutlich beim ersten Aufruf der Webseite zu sehen sein.
Die Möglichkeit, den Datenschutzhinweis über einen Link zu erreichen, sollte schon über den ersten Screen – also den Webseitenbereich, der beim Laden zuerst zu sehen ist – erreichbar sein. Der Nutzer sollte maximal 2 Klicks tätigen müssen, um die Datenschutzhinweise zu sehen. Dies ist zwar nicht explizit so in der Verordnung verankert, kann aber sicherlich bei einer Prüfung positiv ausgelegt werden.
Nur so können die Daten vom Nutzer zum Webserver verschlüsselt übertragen werden. Besonders bei der Erfassung von personenbezogenen Daten durch Formulare kommt ein SSL-Zertifikat zum Tragen.
Grundsätzlich muss auf den Einsatz von Tracking-Tools (Google Analytics, Adobe Analytics, Matomo bzw. Piwik u.a.) und die
Erfassung der persönlichen Daten im Datenschutzhinweis hingewiesen werden. Hier muss auch die Möglichkeit eines
Widerrufs hinterlegt werden. Dieser ist technisch oft durch ein Opt-Out Cookie umgesetzt. Auch hier ist „Privacy
by Default“ zu beachten.
Natürlich muss auch weiterhin dafür Sorge getragen werden, dass die Tracking-Tools die IP-Adressen nur gekürzt
erfassen (Anonymisierungsfunktion).
Zudem sollte erst eine statistische Erfassung durch einen Anbieter wie Google erfolgen, nachdem ein Vertrag
zur Auftragsdatenverarbeitung (ADV-Vertrag, künftig AV-Vertrag) mit dem Dienstanbieter abgeschlossen wurde
(Google AV-Vertrag).
Betreiber einer Webseite sollten sich von ihren Besuchern das Einverständnis einholen, dass diese einer Speicherung von Informationen
zustimmen. Dieser Cookie-Hinweis muss beim ersten Aufruf der Seite angezeigt werden und durch einen Klick bestätigt
werden. Im Datenschutzhinweis muss die Art der verwendeten Cookies und die Funktion aufgeführt werden.
Die von Ihnen eingesetzten Cookies teilen wir Ihnen auf Anfrage hin gerne mit.
Der Einsatz von Plugins zum Teilen von Beiträgen über Social-Media-Kanäle wie Facebook, Google Plus oder Twitter ist grundsätzlich
auf Webseiten erlaubt, sofern der Besucher der Nutzung zugestimmt hat.
Der vom heise Verlag entwickelte und als Open Source kostenlos zum Download bereitgestellt
Shariff-Button stellt eine aus Datenschutzsicht geeignete Lösung für die eigene Webseite dar. Das Programm
stellt die Verbindung zwischen Webseitenbesucher und sozialem Netzwerk erst dann her, wenn dieser den Button
gezielt anklickt. Es werden also nicht schon beim Laden der Seite im Hintergrund Daten abgerufen.
Eine weitere datenschutzkonforme und zudem einfach zu implementierende Alternative zur Social Media Integration
ist die reine Verlinkung der eigenen Profile bei Facebook, Google Plus oder Twitter. Auch in diesem Fall werden
keine Daten übertragen und der Besucher der eigenen Webseite kann selbst entscheiden, ob er dem jeweiligen Link
folgen möchte.
In Kontaktformularen dürfen nach dem Grundsatz der Datensparsamkeit nur die Informationen abgefragt werden, die zum Zweck der weiteren Verarbeitung zwingend erforderlich sind. Pflichtfelder müssen entsprechend als solche gekennzeichnet werden. Eine verschlüsselte Übertragung der über ein Kontaktformular versendeten Informationen muss ebenfalls sichergestellt werden. Zudem muss der Nutzer vor Aktivierung des Formulars explizit belehrt werden, was mit den über ein Kontaktformular versendeten Daten geschieht.
Bieten Sie auf Ihrer Webseite die Möglichkeit, sich zu einem Newsletter anzumelden, sollten Sie unterhalb der Schalt äche zum Abonnieren kurz erläutern, was mit den Daten des Anmelders geschieht, z. B. an welche externen Dienstleister die hinterlegten Daten weitergeleitet werden. Auch eine Verlinkung der Datenschutzerklärung ist ratsam. Informationen zum Nachweis einer Newsletter-Anmeldung (E-Mail-Adresse, Datum, Uhrzeit) sollten gespeichert werden.
Die vom Webserver in Log-Dateien abgespeicherten personenbezogenen Daten, müssen im Datenschutzhinweis aufgeführt werden und die IP-Adressen müssen anonymisiert werden. Wenn Sie das Hosting durch die Profihost AG durchführen lassen, so werden folgende Daten in den Log-Dateien gespeichert:
Die Speicherung erfolgt für 4 Wochen.
Geben Sie Daten an Dritte weiter, so müssen diese und die Art der übermittelten Daten in der Datenschutzbestimmung aufgeführt werden. Mit den Drittanbietern muss ein AV-Vertrag bestehen.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Geben Sie die Dauer der Speicherung personenbezogener Daten an.
Klären Sie den Nutzer über seine Rechte zur Auskunft Berichtigung, Löschung, Einschränkung der Verarbeitung seiner Daten bzw. den Anspruch auf Widerspruch auf.
Nennen Sie die zuständige Datenschutzbehörde Ihres Bundeslandes, bei der sich der Nutzer beschweren kann.
Sollte Ihr Unternehmen verpflichtet sein, einen Datenschutzbeauftragten zu berufen, so muß dieser im Datenschutzhinweis mit Kontaktdaten aufgeführt werden.
