Als Webentwickler- oder designer müsst ihr viele Dinge im Kopf haben – von der Performance bis hin zu SEO und Web-Security – um nur die wichtigsten zu nennen. Es ist gut, dass ihr all das schon sehr gut meistert, denn ab dem 25. Mai 2018 kommt ein weiterer Punkt auf die Liste, den ihr bei eurer Arbeit dringend beachten müsst: Die neuen Bestimmungen zur EU-DSGVO.
DSGVO steht für Datenschutz-Grundverordnung, eine von der Europäischen Union (EU) erlassene Rechtsvorschrift, die nach zwei Jahren seine Rechtskraft erhält.
Obwohl es eine Angelegenheit der EU ist, müssen Webmaster überall – auch außerhalb der EU- aufpassen.
Die Datenschutz-Grundverordnung wurde geschaffen, um die Rechte der EU-Bürger bei der Erhebung und Nutzung ihrer personenbezogenen Daten zu stärken.
Warum die Einhaltung an die DSGVO so wichtig ist
Die DSGVO wurde geschaffen, um die Rechte der EU-Bürger in Bezug auf die Nutzung ihrer personenbezogene Daten zu stärken. Die DSGVO gilt für:
- Jedes Unternehmen oder jede Organisation, die den Personen in der EU kostenlose als auch kostenpflichte Waren oder Dienstleistungen anbieten.
- Jegliche Überwachung des Verhaltens der betroffenen Personen in der EU
Als betroffene Person gilt jede Person, sowohl Bürger, Einwohner als auch ein Besucher der EU. Die Vorschriften gelten für die Verantwortlichen, welche die Daten der betroffenen Personen aus der EU sammeln und für die Datenverarbeiter, welche die Daten im Auftrag eines Datensammlers verarbeiten.
Dies betrifft nicht nur Websites, die im EU-Raum gehostet sind, sondern jede Website, die potentiell Kunden in der EU dient oder Daten von ihnen nachverfolgt. Nach dem Wortlaut der DSGVO fallen diese Websites nicht unter den Datenschutz der Grundverordnung, wenn sie für EU-Datensubjekte zugänglich ist. Die Absicht, den Menschen dort Dienstleistungen anzubieten oder ihr Handeln zu verfolgen, gewährleistet die Verordnung. Die Missachtung der DSGVO könnten dem Unternehmen bzw. dem Verursacher bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes kosten.
Ihr fragt euch vielleicht, wie eine EU-Datenschutzbehörde Unternehmen, die ihre Tätigkeiten außerhalb der EU verfolgen, bei Missachtung bestrafen können? Die Antwort darauf ist derzeit noch ungeklärt, aber die Experten sind der Meinung, dass es plausibel ist, dass rechtliche Schritte eingeleitet werden müssen. EInem Nicht-EU-Unternehmen, das gegen die Verordnung verstößt, droht sogar die Schließung. Dann wäre noch die Frage der Geldbußen zu klären. Keiner möchte als erster gegen die neuen Regeln verstoßen, um nicht ein Präzedenzfall zu werden.
Was beinhaltet die DSGVO?
In der DSGVO finden sich Regeln zur Erhebung, Verwendung und Speicherung von personenbezogenen Daten.
Die Verordnung
- Gibt Einzelpersonen acht spezifische Rechte in Bezug auf ihre persönlichen Daten
- Enthält Grundsätze für den Schutz der Benutzerdaten, einschließlich der Sicherheit in der Softwareentwicklung und Meldungen bei Verstößen
- Legt Anforderungen an die Haftung und die Verantwortung, dass sie eingehalten wird.
Zusammenfassend gesagt, muss sich an die individuellen Rechte gehalten werden und es ist sicherzustellen, dass die personenbezogenen Daten ordnungsgemäß geschützt und dokumentiert werden.
Personenbezogene Daten sind alle Daten, die dazu genutzt werden können, eine lebende Person direkt oder indirekt zu identifizieren. Es beinhaltet Dinge wie Namen, ein Foto, eine E-Mail-Adresse, eine persönliche Bankverbindung oder medizinische Daten. Auch die IP-Adresse der Menschen fällt darunter.
8 individuelle Rechte der DSGVO
Im Zentrum der DSGVO stehen acht spezifische Rechte, die Einzelpersonen in Bezug auf ihre persönlichen Daten gewährt werden:
- Recht auf Information
Eine Transparenz der Daten ist Voraussetzung. Es muss klar ersichtlich sein, wie euer Unternehmen mit den persönlichen Daten umgeht. Dies wird in der Regel über die Datenschutzrichtlinie eurer Website abgewickelt, die ihr sehr wahrscheinlich aktualisieren müsst.
- Zugangsberechtigung
Wenn ein Kunde seine Daten anfordert, müssen diese ihm in einem gängigen Format , wie z. B. CSV zu Verfügung gestellt werden
- Recht auf Berichtigung
Ihr müsst dem Kunden gestatten, unvollständige oder ungenaue Informationen zu korrigieren.
- Recht auf Löschung
Der Kunde kann die Löschung seiner personenbezogenen Daten verlangen, auch, wenn kein zwingender Grund für deren Verbreitung vorliegt. Man nennt dies auch „Das Recht auf Vergessenwerden“.
- Recht, die Verarbeitung einzuschränken
Personen haben das Recht, die Verarbeitung personenbezogener Daten zu sperren. In solchen Fällen können die Daten gespeichert werden, aber nicht mehr bearbeitet werden.
- Recht auf Portabilität
Ihr müsst Einzelpersonen gestatten, ihre persönlichen Daten für ihre eigenen Zwecke zu erhalten und wiederzuverwenden. Das bedeutet, dass ihr den Kunden diese Daten in einem üblichen Format wie z. B. CSV zur Verfügung stellen müsst.
- Recht auf Widerspruch
Einzelpersonen können der Verwendung ihrer personenbezogenen Daten widersprechen. Dies gilt auch für Zwecke des Direktmarketings, der Forschung und für die Statistiken.
- Rechte im Zusammenhang mit der automatischen Entscheidungsfindung, einschließlich der Erstellung von Profilen
Diese Regel legt fest, wann ihr das Prodiling und die automatisierte Entscheidungsfindung nutzen könnt. Sie definiert auch Anforderungen, die erfüllt sein müssen, wie z.B. die ausdrückliche Einwilligung des Einzelnen.
Die Rechte der betroffenen Personen werden im offiziellen DSGVO-Leitfaden https://dsgvo-gesetz.de/kapitel-3/ näher erläutert.
Das „Security-by-Design“-Prinzip
Um die DSGVO zu erfüllen, muss nachgewiesen werden, dass der Datenschutz per integrierter Softwaresicherheit gewährleitet ist. Beispiele hierfür sind z.B. die Gestaltung von Datenbanken zur Verwendung von Pseudonymisierung und/oder Verschlüsselung. Es ist auch wichtig, die Zugriffskontrolle zu integrieren, damit nur die Person, die wirklich die Daten benötigen, auch darauf zugreifen können.
Unter der DSGVO muss nachgewiesen, dass der Datenschutz per integrierter Softwaresicherheit gewährleistet ist. Dies könnte alles von der Art und Weise wie man Datenbanken entwirft, verändern. Auch die Frage, wer Zugriff auf bestimmte Daten hat, muss geklärt werden.
Die DSGVO erstellt auch Richtlinien für die Berichterstattung über mögliche Datenverstöße. Wenn ein Verstoß ein Risiko für Einzelpersonen darstellt, muss er innerhalt von 72 Stunden gemeldet werden.
Die Zustimmung über die DSGVO dokumentieren
Die DSGVO verlangt, dass man die Einhaltung der Regeln nachweist. Das bedeutet, dass das Verfahren für den Umgang mit personenbezogenen Daten aufschreiben muss. Außerdem müssen die Methoden zur Datensicherheit und das Vorgehen bei der Handhabung von Missachtung dokumentiert werden. Es muss sichergestellt sein, dass die Datenverarbeitung auf einer gesetzlichen Grundlage basiert.
Die DSGVO-Checkliste
All das kann sehr kompliziert wirken, aber die folgenden Punkte werden euch dabei helfen, die Anforderungen zu erfüllen:
- Identifikation und Dokumentation der gesetzlichen Basis, auf der ihr euch bewegt, damit ihr eure Verarbeitungsaktivität einschätzen könnt.
- Bestimmt, welche personenbezogenen Daten ihr habt, woher diese stammen und mit wem ihr sie teilt.
- Überprüft und aktualisiert eure Datenschutzrichtlinien auf eurer Website um sicherzustellen, dass sie detailliert genug sind, um der DSGVO zu entsprechen. Dies sind vor allem Informationen über die Datenerhebung, die Verwendung der Daten und welchen Praktiken ihr zum Datenschutz ausübt.
- Führt einen Plan ein, wie ihr beim der Vorgang der Datenlöschung und -aktualisierung vorgeht. Er solltet auf Wunsch des Nutzers alle Daten in einem gängigen Format bereitstellen können.
- Stellt sicher, dass ihr vor der Erhebung von personenbezogenen Daten eine Einverständniserklärung der Nutzer habt – im Notfall müsst ihr das beweisen können. Das geht beispielsweise, indem die Nutzer vorab ein Kreuz setzen müssen, um die neuen Richtlinien auf eurer Seite zu akzeptieren.
- Plant und dokumentiert, wie ihr eine Missachtung der Datenschutzrichtlinien erkennen wollt, wie ihr darauf reagiert und wie der Meldevorgang aussieht.
- Macht euch mit dem neuen Datenschutz durch Designpraktiken vertraut und erarbeitet, wie ihr diese Prinzipien für eure Website umsetzen könnt.
- Erwägt es, einen Datenschutzbeauftragten bei euch einzustellen, jenachdem wie groß euer Unternehmen ist und wie viele Mitarbeiter ihr habt. Es ist auch entscheidend, wie viele Kundendaten bei euch liegen und ob ihr den Aufwand alleine stemmen könnt. Einige (große) Organisationen sind verpflichtet, einen Datenschutzbeauftragten zu benennen, aber für die meisten Unternehmen ist dies optional, auch wenn es empfohlen wird.
Die DSGVO hat Zustimmungsvorgaben für Websites, die für Kinder bestimmt sind, aber wenn das „Gesetz zum Schutz der Privatsphäre von Kindern im Internet“ (COPPA - Children's Online Privacy Protection Act) eingehalten werden, dann ist auch der Bereich für euch abgedeckt. In Deutschland kommt man vor allem mit COPPA in Berührung, wenn man sich in auf amerikanischer Software basierenden Websites registrieren möchte.
Beim Schutz der persönlichen Daten der Besucher geht es um Transparenz, Einwilligung und Sicherheit.
Es gilt drei wichtige Aspekte zu beachten: Transparenz, Zustimmung und Sicherheit. Macht deutlich, für was ihr die Daten der Nutzer verwendet und lasst euch von den Nutzern für jede spezifische Verwendung (auch für Cookies) ihrer Daten eine Einwilligung geben. Haltet die personenbezogenen Daten durch den Einsatz von einer von euch gewählten Vorgehensweise sicher verschlossen.
Die oben genannten Inhalte sind nicht als Rechts- oder Steuerberatung zu verstehen. Konsultiert immer einen Rechtsanwalt oder Steuerfachmann bezüglich eurer jeweiligen, rechtlichen oder steuerlichen Situation.
Weitere Informationen zur DSGVO:
Der Artikel ist von Anne Martinez und auf dem GoDaddy Garage Blog erschienen.
Bildnachweis: Jorden Esser und VisualHunt / CC BY-ND