Die Datenschutz-Grundverordnung (DSGVO), auch als General Data Protection Regulation (GDPR) bekannt, ist seit dem 25. Mai 2018 in Kraft und hat das Ziel, den Schutz personenbezogener Daten in der Europäischen Union zu stärken. Sie gilt nicht nur für Unternehmen innerhalb der EU, sondern auch für alle Organisationen weltweit, die Daten von EU-Bürgern verarbeiten. Für Unternehmen, die eine Website betreiben, ist die Einhaltung der DSGVO besonders wichtig, da Websites häufig personenbezogene Daten verarbeiten. Verstöße gegen diese Verordnung können zu erheblichen Geldstrafen führen – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist[1].
In diesem Artikel wird erläutert, welche Anforderungen die DSGVO an Websites stellt und wie die Deutsche Gesellschaft für Verbandsmanagement DGVM dabei unterstützen kann, diese Anforderungen zu erfüllen.
Was ist die DSGVO?
Die DSGVO ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten regelt. Sie legt fest, wie Unternehmen Daten sammeln, speichern und verarbeiten dürfen und welche Rechte Einzelpersonen in Bezug auf ihre Daten haben. Zu den wichtigsten Prinzipien der DSGVO gehören Transparenz, Zweckbindung, Datenminimierung und Sicherheit bei der Verarbeitung personenbezogener Daten[5].
Grundprinzipien der DSGVO
– Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: Unternehmen müssen klar und verständlich darüber informieren, welche Daten sie erheben und zu welchem Zweck.
– Zweckbindung: Die erhobenen Daten dürfen nur für den angegebenen Zweck verwendet werden.
– Datenminimierung: Es dürfen nur die unbedingt notwendigen Daten erhoben werden.
– Richtigkeit: Die gesammelten Daten müssen korrekt und aktuell sein.
– Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den angegebenen Zweck notwendig ist.
– Integrität und Vertraulichkeit: Unternehmen müssen sicherstellen, dass personenbezogene Daten sicher verarbeitet werden[4][5].
Anforderungen an Websites nach der DSGVO
Websites verarbeiten oft personenbezogene Daten – sei es durch Kontaktformulare, Cookies oder Analyse-Tools. Um datenschutzkonform zu sein, müssen Website-Betreiber verschiedene Anforderungen erfüllen:
- Datenschutzerklärung
Eine rechtskonforme Datenschutzerklärung ist auf jeder Website Pflicht. Diese muss klar und verständlich erklären:
– Welche Daten gesammelt werden,
– Zu welchem Zweck diese verarbeitet werden,
– Wer Zugriff auf diese Daten hat,
– Wie lange die Daten gespeichert werden,
– Welche Rechte Nutzer in Bezug auf ihre Daten haben[2][3].
2. SSL-Verschlüsselung
Die Verschlüsselung von Websites über SSL (Secure Socket Layer) ist eine grundlegende Anforderung der DSGVO. Eine verschlüsselte Verbindung schützt die Übertragung personenbezogener Daten zwischen dem Nutzer und dem Server vor unbefugtem Zugriff. Dies ist besonders wichtig bei Seiten mit Kontaktformularen oder Zahlungsabwicklungen[7].
3. Cookies und Tracking
Cookies sind kleine Textdateien, die auf dem Gerät des Nutzers gespeichert werden und oft zur Analyse des Nutzerverhaltens verwendet werden. Nach der DSGVO dürfen Cookies nur mit ausdrücklicher Zustimmung des Nutzers gesetzt werden (Opt-in). Dies muss über ein Cookie-Banner geschehen, das dem Nutzer erlaubt, spezifisch auszuwählen, welche Arten von Cookies er akzeptieren möchte[2][3].
4. Verzeichnis der Verarbeitungstätigkeiten
Jedes Unternehmen muss ein Verzeichnis führen, in dem alle Verarbeitungstätigkeiten von personenbezogenen Daten dokumentiert sind. Dieses Verzeichnis muss auf Anfrage der Datenschutzbehörde vorgelegt werden können[7].
5. Auftragsverarbeitungsverträge
Wenn externe Dienstleister (z.B. Hoster oder Analyse-Dienstleister) Zugriff auf personenbezogene Daten haben, muss ein Auftragsverarbeitungsvertrag abgeschlossen werden. Dieser Vertrag regelt die Pflichten des Dienstleisters im Hinblick auf den Datenschutz[4].
Wie DGVM Unternehmen bei der Einhaltung der DSGVO unterstützt
Der DGVM bietet umfassende Unterstützung für Unternehmen bei der Umsetzung der DSGVO-Anforderungen. Dies geschieht durch Beratungsleistungen, Schulungen und praxisnahe Hilfsmittel.
1. Beratung zur Datenschutzstrategie
DGVM unterstützt Unternehmen dabei, eine datenschutzkonforme Strategie zu entwickeln. Dies umfasst sowohl technische als auch organisatorische Maßnahmen zur Sicherstellung des Datenschutzes in allen Geschäftsprozessen[6]. Dazu gehört beispielsweise die Implementierung von Sicherheitsmaßnahmen wie Firewalls oder Verschlüsselungstechnologien sowie die Schulung von Mitarbeitern im Umgang mit personenbezogenen Daten.
2. Datenschutzfolgeabschätzung (DSFA)
In bestimmten Fällen schreibt die DSGVO eine Datenschutzfolgeabschätzung vor – insbesondere dann, wenn eine Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt[6]. DGVM bietet Unterstützung bei der Durchführung solcher Abschätzungen an und hilft Unternehmen dabei zu bewerten, ob eine DSFA erforderlich ist.
3. Erstellung von Datenschutzdokumenten
DGVM hilft bei der Erstellung aller notwendigen Dokumente zur Einhaltung der DSGVO – von Datenschutzerklärungen über Verzeichnisse von Verarbeitungstätigkeiten bis hin zu Auftragsverarbeitungsverträgen[6]. Diese Dokumente sind essenziell für den Nachweis gegenüber Aufsichtsbehörden.
4. Technologische Unterstützung
Die technische Umsetzung der DSGVO auf einer Website kann komplex sein. Hier bietet die DGVM Unterstützung bei der Implementierung von technischen Maßnahmen wie SSL-Verschlüsselung, Cookie-Bannern und sicheren Kontaktformularen. Eine SSL-Verschlüsselung ist besonders wichtig, da sie eine sichere Verbindung zwischen dem Nutzer und dem Server gewährleistet und somit verhindert, dass personenbezogene Daten während der Übertragung abgefangen werden können[9][10].
5. Externe Datenschutzbeauftragte
Unternehmen mit mehr als 20 Mitarbeitern sind verpflichtet, einen Datenschutzbeauftragten zu benennen[6]. DGVM bietet einen externen Datenschutzbeauftragten an, der sicherstellt, dass alle gesetzlichen Vorgaben eingehalten werden.
6. Risikobewertung und Datenschutzfolgeabschätzung
In Fällen, in denen eine Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, schreibt die DSGVO eine Datenschutzfolgeabschätzung (DSFA) vor. Die DGVM unterstützt Unternehmen bei der Durchführung dieser Bewertungen und hilft ihnen dabei festzustellen, ob eine DSFA erforderlich ist. Dies ist besonders relevant für Unternehmen, die sensible Daten verarbeiten oder innovative Technologien einsetzen.
Wichtige Schritte zur Sicherstellung einer DSGVO-konformen Website
Zusätzlich zur Unterstützung durch die DGVM gibt es mehrere Schritte, die jedes Unternehmen unternehmen sollte, um sicherzustellen, dass seine Website den Anforderungen der DSGVO entspricht:
1. Datenschutzerklärung aktualisieren
Eine umfassende Datenschutzerklärung ist unerlässlich[4]. Sie muss klar erklären:
– Welche Daten gesammelt werden,
– Zu welchem Zweck diese verarbeitet werden,
– Wer Zugriff auf diese Daten hat,
– Wie lange sie gespeichert werden,
– Welche Rechte Nutzer in Bezug auf ihre Daten haben.
Diese Erklärung sollte leicht zugänglich sein – idealerweise im Footer jeder Seite – und regelmäßig aktualisiert werden.
2. Cookie-Banner implementieren
Nach der DSGVO müssen Nutzer aktiv zustimmen (Opt-in), bevor Cookies gesetzt werden dürfen[2]. Ein Cookie-Banner sollte den Nutzern ermöglichen, spezifisch auszuwählen, welche Arten von Cookies sie akzeptieren möchten (z.B. notwendige Cookies vs. Marketing-Cookies). Es ist wichtig sicherzustellen, dass keine Cookies ohne Zustimmung des Nutzers gesetzt werden.
3. Sicherheitsmaßnahmen verstärken
Neben einer SSL-Verschlüsselung sollten weitere Sicherheitsmaßnahmen implementiert werden:
– Verwendung starker Passwörter,
– Regelmäßige Updates von Plugins und Software,
– Einschränkung des Zugriffs auf sensible Bereiche der Website (z.B. Admin-Bereich)[8].
4. Datenminimierung anwenden
Ein zentrales Prinzip der DSGVO ist die Datenminimierung – es sollten nur die Daten erhoben werden, die unbedingt notwendig sind[10]. Dies gilt insbesondere für Kontaktformulare: Es sollten nur Pflichtfelder abgefragt werden, die für den jeweiligen Zweck relevant sind.
5. Rechte der Nutzer gewährleisten
Die DSGVO gibt Nutzern das Recht auf Auskunft über ihre gespeicherten Daten sowie das Recht auf Löschung oder Berichtigung dieser Daten[11]. Unternehmen müssen sicherstellen, dass sie in der Lage sind, solche Anfragen zeitnah zu bearbeiten.
Die Einhaltung der DSGVO ist für jedes Unternehmen unerlässlich – insbesondere für solche mit einer Website oder Online-Diensten. Die Anforderungen sind umfangreich und erfordern sowohl technische als auch organisatorische Maßnahmen zum Schutz personenbezogener Daten.
Mit Unterstützung durch Organisationen wie die DGVM können Unternehmen sicherstellen, dass sie alle relevanten Vorschriften einhalten und das Risiko von Bußgeldern minimieren. Von Beratungsleistungen über Schulungen bis hin zur Bereitstellung eines externen Datenschutzbeauftragten bietet DGVM umfassende Lösungen für eine datenschutzkonforme Unternehmensführung.
Es ist wichtig zu betonen: Datenschutz ist kein einmaliges Projekt – es handelt sich um einen kontinuierlichen Prozess, bei dem regelmäßige Überprüfungen und Anpassungen notwendig sind.
Durch eine enge Zusammenarbeit mit Experten wie denen der DGVM können Unternehmen sicherstellen, dass sie nicht nur rechtlich abgesichert sind, sondern auch das Vertrauen ihrer Kunden stärken – ein entscheidender Faktor in einer zunehmend datengesteuerten Welt.
Citations:
[1] https://gdpr.eu
[2]https://www.ihk.de/regensburg/fachthemen/recht/online-recht-und-datenschutz/eu-datenschutzgrundverordnung/anforderungen-an-websites-nach-der-ds-gvo-4158848
[3]https://www.vanta.com/resources/8-steps-to-make-your-website-gdpr-compliant
[4]https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_de.htm
[5] https://www.proofpoint.com/de/threat-reference/gdpr
[6] https://www.dgvm.de/aktuell-dsgvo/
[7] https://www.180-datenschutz.de/dsgvo-konforme-webseite/
[8] https://www.infoguard.ch/de/datenschutz-services
[9]https://opensolution.org/how-to-protect-your-website-and-your-customers-data-,en,202.html
[10]https://www.180-datenschutz.de/dsgvo-konforme-webseite/
[11]https://www.vanta.com/resources/8-steps-to-make-your-website-gdpr-compliant
