joshua-fuller-676074-unsplash

neue DSGVO – ein kleiner feiner crashkurs

Von am 16.06.2018

Es gibt sie eigentlich schon recht lange (seid 2016) aber mit Ende Mai wurde es ernst!

In diesem Artikel versuche ich einen kleinen Überblick, über die wichtigsten Aspekte zur DSGVO, im Bezug auf kleinere Webseiten, zu geben. Garantie auf Vollständigkeit und Richtigkeit gibt es keine. 😉

Ab 25. Mai ist die DSGVO (Datenschutz-Grundverordnung) abmahnfähig. Sprich, man kann für das Nichteinhalten bestraft werden und das gar nicht so wenig: bis maximal 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.

„Mich betrifft das ja sowieso nicht!“ stimmt nur in den wenigsten Fällen, denn sobald mit personenbezogenen Daten handhabt und das passiert fast automatisch, wenn man eine eigene Webseite besitzt, fällt man in das Gesetz hinein. Schon unscheinbare Kleinigkeiten wie das verwenden von Google Fonts per CDN (die verwendet doch jeder!?) machen einen angreifbar für klagelustige Anwälte. Fazit: jeder Webentwickler sollte sich mit dem Thema beschäftigen und die Basics wissen.

Relevante Informationen der DSGVO in Bulletpoints:

  • Ja, jeder von uns Webdevelopern ist betroffen
  • Braucht mein Unternehmen einen Datenschutzbeauftragten?
    • Ja: öffentlichen Stellen und alle Unternehmen, deren Kerntätigkeit sich auf die Handhabung von Personendaten bezieht
    • Ja: wenn im Betrieb mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
  • Jede Webseite muss eine Datenschutzerklärung enthalten. Die Erklärung muss in verständlicher Sprache und inhaltlich nachvollziehbar erfolgen. Diese muss eine eigene Seite und leicht zu erreichen sein.
  • https statt http verwenden
  • Cookie Hinweis auf allen Seiten (OptIn)(Optout muss auch zur Verfügung stehen, z.B. auf der Datenschutzerklärungsseite)
  • Impressum und Datenschutzerklärung auf noindex setzen
  • Keine redundanten und älter als 90 alte Passwörter
  • Google Fonts sollten lokal gehostet werden
  • Social Media Plugins (Sharing buttons) mit Shariff verwenden
  • YouTube über youtube-nocookie.com statt youtube.com embedden
  • Google Analytics rechtskonform einsetzen
  • Formulare
    • dürfen nur mehr die notwendigen Daten abfragen
    • müssen darauf hinweisen wofür die Daten verwendet werden mit Checkbox
    • Formularversandt muss verschlüsselt sein
  • Kommunikationskanal einrichten für Datenschutzanfragen von Kunden
  • Nach dem Kopplungsverbot darf ein Webseiten-Betreiber seine potenziellen Kunden nicht zur Abgabe von Daten verpflichten, die für die eigentliche Leistung nicht notwendig sind. Ein Beispiel: Fordert man für das Zustandekommen eines Vertrages zugleich die Anmeldung für einen Online-Newsletter, so verstößt man gegen EU-Recht

Deine Pflichten

  • Meldepflicht: Sicherheitsvorfälle müssen innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden: Im Zweifel sowohl an die betroffenen Personen als auch an die zuständigen Behörden.
  • Dokumentationspflicht: Sie müssen den Behörden jederzeit durch Vorlage eines entsprechenden Verzeichnisses darlegen können, welche Daten zu welchem Zweck gespeichert und auf welche Weise verarbeitet werden und wann das Unternehmen sie löscht.
  • Privacy by Design: Produkte und Prozesse sollen also so konzipiert werden, dass sie mit möglichst wenig personenbezogenen Daten auskommen.
  • Privacy by Default: grundsätzlich muss die datenschutzfreundlichste Variante technisch voreingestellt sein.
  • Erlaubnisgrundlagen: Auch künftig müssen Individuen der Nutzung ihrer persönlichen Daten in den meisten Fällen ausdrücklich zustimmen.
  • Löschung von Daten: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist. Erlischt die Verarbeitungsbefugnis (etwa weil die Einwilligung widerrufen oder der Vertrag erfüllt wurde), müssen die Daten gelöscht werden.
  • Auskunftsrecht und Recht auf Löschung: EU-Bürger haben das Recht, auf Anfrage zu erfahren, über welche ihrer Daten ein Unternehmen verfügt und wie es diese verwendet. Außerdem können Verbraucher bei Unternehmen einfordern, ihre Daten zu löschen. Das „Recht auf Vergessenwerden“ wird damit gesetzlich festgelegt.

The comments are closed.