DATENSCHUTZ-GRUNDVERORDNUNG (EU-DSGVO)


ab dem 25. Mai 2018 gilt die neue EU Datenschutz-Grundverordnung (EU-DSGVO) auch in Deutschland. Diese Verordnung wird umfangreiche und tiefgreifende Auswirkung für Ihr Unternehmen zur Folge haben. Wir wollen uns hier jedoch auf die Aufklärungspflicht (Datenschutzerklärung) auf Ihrer Webseite und technische Anpassungen von Cookies, Log-Dateien und Tracking beschränken, da hier ab Ende Mai mit groß angelegten Abmahnungswellen zu rechnen ist. Dazu Ihnen die wichtigsten Eckpunkte zur Anpassung Ihrer Webseite auf dieser Seite zusammengefasst. Außerdem stellen wir ihnen zwei Formulare zur Auftragsdatenverarbeitung zur Verfügung.

Ihr Ansprechpartner

GREEN-M INTERFACE DESIGN GmbH

Elias Grösel
Gustav-Adolf-Str. 39
04105 Leipzig

Tel.: +49 341 249 60 58
E-Mail: elias.groesel@green-m.de

Datenschutzvereinbarung zur Verarbeitung personenbezogener Daten

Die GREEN-M INTERFACE DESIGN GmbH verarbeitet für Endkunden oder im Auftrag von Endkunden sehr häufig personenbezogene Daten. Bereits die Erstellung und Pflege einer Webseite oder eines Onlineshops erfordert üblicherweise den Umgang mit solchen Daten. In diesen Fällen ist die Agentur also Auftragsverarbeiter für ihre Kunden. Allerdings nutzen auch Agenturen wiederum externe Dienstleister zur Erledigung ihrer Aufgaben. Werden hierbei personenbezogene Daten verarbeitet, wird der Dienstleister zum Auftragsverarbeiter für die Agentur.

Die Datenschutzvereinbarung und die Anlage A konkretisieren die datenschutzrechtlichen Verpfichtungen zwischen unseren Auftraggebern und der GREEN-M INTERFACE DESIGN GmbH. Sie regelt den Umgang mit personenbezogenen Daten zwischen den Parteien.

Ab dem 25. Mai 2018 sind alle Unternehmen dazu verpflichtet, diese bereits notwendigen Vereinbarungen nach den Vorgaben der DSGVO neu zu schließen.
Daher bitten wir alle Auftraggeber die Datenschutzvereinbarung und die Anlage dazu herunterzuladen und uns unterschrieben in zweifacher Ausführung per Fax oder Post zuzusenden.

DOWNLOAD

Haftungshinweis

Das nachfolgende Dokument dient als erster Leitfaden von potentiellen Problemen innerhalb der Datenschutz-Grundverordnung (DSGVO). Es wird darauf hingewiesen, dass viele der hier behandelten Probleme noch nicht abschließend, insbesondere durch höchstrichterliche Rechtsprechungen, geklärt wurden und teilweise auch noch keine Stellungnahmen der Landes-Datenschutzbehörden vorliegen, weshalb zu einigen Punkten unterschiedliche Auffassungen vertreten werden. Durch den Verfasser wird daher keine Haftung auf Richtigkeit und Vollständigkeit übernommen. Insbesondere ist darauf hinzuweisen, dass jeder Fall gesondert zu prüfen ist und keine individuelle Rechtsberatung ersetzt. Bitte lassen Sie Ihren Datenschutzhinweis in jedem Fall von einem Anwalt prüfen.


Tipp: Anbieter wie e-recht24 und janolaw bieten Tools für die Erstellung entsprechender Datenschutzbestimmungen.

Datenerfassung

Betreiber verpflichten sich zur Verwendung möglichst datenschutzfreundlicher Voreinstellungen. Mit dem Privacy by Default dürfen unter Anderem nur die Daten verarbeitet werden, die für den bestimmten Verarbeitungszweck erforderlich sind. Des Weiteren muss jeder Nutzer einen einfachen Zugang zu einem datenschutzfreundlichen Internetbrowser erhalten, sprich Ihre Webseite muss auch über einen solchen erreichbar sein.

Mit Eintritt der DSGVO im Mai 2018 ist eine datenschutzrechtliche Einwilligung erst ab 16 Jahren oder mit Einwilligung eines Erziehungsberechtigten möglich. Damit soll Teenagern die Anmeldung bei Internetdiensten wie Facebook und Instagram künftig deutlich erschwert werden. Aktuell ist in der DSGVO nicht geregelt, wie eine Überprüfung diesbezüglich zu erfolgen hat.

Cookie-Hinweis

Sofern Cookies auf der Webseite, dem Blog oder einem Shop zu Marketingzwecken Verwendung finden, ist ein Hinweis darauf angeraten. Die endgültige Entscheidung darüber, ob ein Hinweis Pflicht ist, wird die ePrivacy Verordnung vermutlich am 25.05.2018 publizieren.
Viele der heute eingesetzten Content Management Systeme (WordPress, TYPO3, Drupal) nutzen standardmäßig Cookies, um den Nutzer über den Auftritt zu „identifizieren“. Von daher ist der pauschale Einsatz eines Cookie-Banners angeraten. Dieser sollte deutlich beim ersten Aufruf der Webseite zu sehen sein.

Datenschutzerklärung

Die Möglichkeit, den Datenschutzhinweis über einen Link zu erreichen, sollte schon über den ersten Screen – also den Webseitenbereich, der beim Laden zuerst zu sehen ist – erreichbar sein. Der Nutzer sollte maximal 2 Klicks tätigen müssen, um die Datenschutzhinweise zu sehen. Dies ist zwar nicht explizit so in der Verordnung verankert, kann aber sicherlich bei einer Prüfung positiv ausgelegt werden.

SSL-Zertifikat

Nur so können die Daten vom Nutzer zum Webserver verschlüsselt übertragen werden. Besonders bei der Erfassung von personenbezogenen Daten durch Formulare kommt ein SSL-Zertifikat zum Tragen.

Tracking

Grundsätzlich muss auf den Einsatz von Tracking-Tools (Google Analytics, Adobe Analytics, Matomo bzw. Piwik u.a.) und die Erfassung der persönlichen Daten im Datenschutzhinweis hingewiesen werden. Hier muss auch die Möglichkeit eines Widerrufs hinterlegt werden. Dieser ist technisch oft durch ein Opt-Out Cookie umgesetzt. Auch hier ist „Privacy by Default“ zu beachten.

Natürlich muss auch weiterhin dafür Sorge getragen werden, dass die Tracking-Tools die IP-Adressen nur gekürzt erfassen (Anonymisierungsfunktion).
Zudem sollte erst eine statistische Erfassung durch einen Anbieter wie Google erfolgen, nachdem ein Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag, künftig AV-Vertrag) mit dem Dienstanbieter abgeschlossen wurde (Google AV-Vertrag).

Cookies

Betreiber einer Webseite sollten sich von ihren Besuchern das Einverständnis einholen, dass diese einer Speicherung von Informationen zustimmen. Dieser Cookie-Hinweis muss beim ersten Aufruf der Seite angezeigt werden und durch einen Klick bestätigt werden. Im Datenschutzhinweis muss die Art der verwendeten Cookies und die Funktion aufgeführt werden.
Die von Ihnen eingesetzten Cookies teilen wir Ihnen auf Anfrage hin gerne mit.

Social Media Plugins

Der Einsatz von Plugins zum Teilen von Beiträgen über Social-Media-Kanäle wie Facebook, Google Plus oder Twitter ist grundsätzlich auf Webseiten erlaubt, sofern der Besucher der Nutzung zugestimmt hat.
Der vom heise Verlag entwickelte und als Open Source kostenlos zum Download bereitgestellt Shariff-Button stellt eine aus Datenschutzsicht geeignete Lösung für die eigene Webseite dar. Das Programm stellt die Verbindung zwischen Webseitenbesucher und sozialem Netzwerk erst dann her, wenn dieser den Button gezielt anklickt. Es werden also nicht schon beim Laden der Seite im Hintergrund Daten abgerufen.

Eine weitere datenschutzkonforme und zudem einfach zu implementierende Alternative zur Social Media Integration ist die reine Verlinkung der eigenen Profile bei Facebook, Google Plus oder Twitter. Auch in diesem Fall werden keine Daten übertragen und der Besucher der eigenen Webseite kann selbst entscheiden, ob er dem jeweiligen Link folgen möchte.

Formulare

In Kontaktformularen dürfen nach dem Grundsatz der Datensparsamkeit nur die Informationen abgefragt werden, die zum Zweck der weiteren Verarbeitung zwingend erforderlich sind. Pflichtfelder müssen entsprechend als solche gekennzeichnet werden. Eine verschlüsselte Übertragung der über ein Kontaktformular versendeten Informationen muss ebenfalls sichergestellt werden. Zudem muss der Nutzer vor Aktivierung des Formulars explizit belehrt werden, was mit den über ein Kontaktformular versendeten Daten geschieht.

Newsletter-Anmeldung

Bieten Sie auf Ihrer Webseite die Möglichkeit, sich zu einem Newsletter anzumelden, sollten Sie unterhalb der Schalt äche zum Abonnieren kurz erläutern, was mit den Daten des Anmelders geschieht, z. B. an welche externen Dienstleister die hinterlegten Daten weitergeleitet werden. Auch eine Verlinkung der Datenschutzerklärung ist ratsam. Informationen zum Nachweis einer Newsletter-Anmeldung (E-Mail-Adresse, Datum, Uhrzeit) sollten gespeichert werden.

Log-Dateien

Die vom Webserver in Log-Dateien abgespeicherten personenbezogenen Daten, müssen im Datenschutzhinweis aufgeführt werden und die IP-Adressen müssen anonymisiert werden. Wenn Sie das Hosting durch die Profihost AG durchführen lassen, so werden folgende Daten in den Log-Dateien gespeichert:


  • Anonymisierte IP-Adresse des Endgeräts, von dem aus auf die Webseite zugriffen wird (die letzten beiden Stellen der IP-Adresse werden nicht gespeichert)
  • Name des Service-Providers, über den der Zugriff auf das Online-Angebot erfolgt
  • Name der abgerufenen Dateien bzw. Informationen
  • Datum und Uhrzeit
  • Betriebssystem und Informationen zum verwendeten Internet-Browser einschließlich installierter Add-Ons (z. B. für den Flash Player)
  • http-Status-Code (z. B. “Anfrage erfolgreich” oder “angeforderte Datei nicht gefunden”)

Die Speicherung erfolgt für 4 Wochen.

Angabe zu Drittanbietern

Geben Sie Daten an Dritte weiter, so müssen diese und die Art der übermittelten Daten in der Datenschutzbestimmung aufgeführt werden. Mit den Drittanbietern muss ein AV-Vertrag bestehen.

Allgemeine Informationen zu personenbezogenen Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Dauer der Speicherung von personenbezogenen Daten

Geben Sie die Dauer der Speicherung personenbezogener Daten an.

Rechte des Nutzers

Klären Sie den Nutzer über seine Rechte zur Auskunft Berichtigung, Löschung, Einschränkung der Verarbeitung seiner Daten bzw. den Anspruch auf Widerspruch auf.

Schlichtungsstelle

Nennen Sie die zuständige Datenschutzbehörde Ihres Bundeslandes, bei der sich der Nutzer beschweren kann.

Datenschutzbeauftragter

Sollte Ihr Unternehmen verpflichtet sein, einen Datenschutzbeauftragten zu berufen, so muß dieser im Datenschutzhinweis mit Kontaktdaten aufgeführt werden.

Best Practice

Unsere Kunden Nucom und Donkey haben die Datenschutzmaßnahmen bereits vorbildlich umgesetzt.

Ihr Ansprechpartner

GREEN-M INTERFACE DESIGN GmbH

Elias Grösel
Gustav-Adolf-Str. 39
04105 Leipzig

Tel.: +49 341 249 60 58
E-Mail: elias.groesel@green-m.de