DSGVO-Infos

Disclaimer: Diese Informationen werden ohne Gewähr abgegeben und stellen keine Rechtberatung oder -belehrung dar. Sie sind lediglich eine Zusammenfassung branchenüblicher Maßnahmen zur DSGVO.

Kurze Einführung: Es geht um personenbezogene Daten (PD)

  • Personenbezogene Daten (PD) sind es dann, wenn eine natürliche Person direkt oder indirekt (durch Zuordnung weiterer Daten, zB ein Login-Name oder eine IP-Adresse) identifizierbar ist.
  • Ausgenommen sind nur rein private Seiten, die ausschließlich persönlichen oder familiären Zwecken dienen.
  • Grundlegendes Prinzip ist die Datensparsamkeit.
  • Datenerhebung ist grundlegend untersagt und darf nur mit einer rechtlichen Grundlage erfolgen, zB Zustimmung des Nutzers oder berechtigtes Interesse für die Erfüllung vertraglicher Pflichten. Rechtsgrundlagen sind besonders in den Paragraphen 6 – 9 der DSGVO geregelt.  

Best Practice für die Website (soweit mir bekannt)

  • HTTPS/SSL-Zertifikat ist ein Muss, sofern PD übertragen werden. Dazu gehören auch Online-Formulare oder Newsletter-Anmeldungen, in denen PD vorkommen
  • Datenschutzerklärung:
    • Es besteht eine Informationspflicht über alle Dienste, die verwendet werden und dafür sorgen, dass PD einer dritten Partei zugänglich gemacht werden. Dritte Partei, das ist zB der Webhoster oder auch eine Webanalyse wie Google Analytics. Genauso betroffen sind SocialMedia-Plugins (wie Facebook-Elemente) und eingebettete Videos (zB Youtube), weil diese jeweils Daten versenden. Diese Aufzählung ist bei weitem nicht vollständig. Hier gibt es rechtliche Unklarheiten, weil einige Plugins bereits beim Seitenaufruf Daten übertragen, also bevor der Nutzer davor gewarnt werden bzw. dem zustimmen konnte.
    • Nutzer müssen umfassend über ihre Rechte aufgeklärt werden, zB zu Widerspruchsrecht/ Widerrufsrecht, Recht auf Auskunft, Recht, dass ihre Daten berichtigt oder gelöscht werden, Beschwerderecht bei einer Aufsichtsbehörde, Recht auf Datenübertragbarkeit
  • Vertrag zur Auftragsdatenverarbeitung mit allen Dienstleistern, zu denen Daten übertragen werden
  • In Webformularen dürfen nur solche Daten Pflichtfelder sein, die man unbedingt zur Bearbeitung des Vorgangs braucht. Zudem muss darauf hingewiesen werden, nach welcher Rechtsgrundlage die Daten erfasst werden und was man damit tut.
  • Information über Cookies (Cookie-Warnung). Hier ist die rechtliche Lage unklar, ob man nur darüber informieren muss oder ob eine Zustimmung eingeholt werden muss, bevor diese gesetzt werden. Der Text in der Cookie-Warnung sollte so konkret wie möglich sagen, um welche Daten es geht, wofür diese genutzt werden und an wen sie gegebenenfalls weitergegeben werden.  

Mir bekannte rechtliche Unklarheiten bzw. Probleme

  • In welcher Konstellation muss die Cookie-Warnung informieren und wann muss die Zustimmung eingeholt werden, bevor die Website dazugehörigen Code ausführt?
  • Formulierungen in Cookie-Warnungen und in der Datenschutzerklärung können aus rechtlicher Sicht unzureichend sein.
  • Welche Rechtsgrundlage für eine Datenerhebung ist in welchem Fall korrekt?
  • Wie wird sich das nächste EU-Gesetz (E-Privacy-Verordnung) auf diese Regelungen auswirken?