EU-Datenschutz-Grundverordnung (DSGVO)
Die EU-Datenschutz-Grundverordnung ist bereits seit dem Jahr 2016 in Kraft getreten. Derzeit befinden wir uns in der Übergangsphase, die aber schon sehr bald endet. Deadline ist am 25.05.2018 und bis dahin müssen Unternehmen und so gut wie alle Blogger und Betreiber sonstiger Websites gemäß der neuen EU-Datenschutz-Grundverordnung ihre Internetauftritte überarbeitet haben.
Zunächst möchte ich Dir ein allgemeines Grundverständnis zu den Verpflichtungen der Seiten-Betreiber und Rechten der Seitenbesucher verleihen. Klar gibt es sehr viel Juristen-Deutsch zu der Thematik, aber das sollte Dich nicht abschrecken wenn Du das grundlegende Prinzip der neuen EU-Datenschutz-Grundverordnung verstanden hast und das wären u. a. folgende Eckpfeiler:
- Datenverarbeitung jeglicher Form von personenbezogener und anonymisierten Daten bilden den Kernpunkt der EU-Datenschutz-Verordnung (DSGVO)
- Seitenbesucher haben mehr Rechte
- Seitenbetreiber (Verantwortlicher) haben mehr Hinweispflichten
- Datenerhebung muss immer mit der Interesse des Seitenbetreibers begründet werden
- Eine Einwilligung benötigst Du als Seitenbetreiber (Verantwortlicher) immer!
- Welche Daten werden und für wie lange erhoben und gespeichert?
- Abmahnungen bei unzureichender Datenschutzerklärung
- Strafen können höher ausfallen als bislang. Sie sollen lt. Gesetzgeber „wirksam, verhältnismäßig und abschreckend“ sein.
Datenschutzerklärung
Informationen über den Datenschutz sind wie bereits in einer Datenschutzerklärung zu dokumentieren, worin Du auch die meiste Energie in der Anpassung an die neuen Regularien hineinstecken solltest. Die Datenschutzerklärung bzw. die Verlinkung auf die Datenschutzerklärung muss auf der Startseite einfach zu finden sein.
In erster Linie solltest Du Dir Gedanken machen, welche Module auf Deinem Internetauftritt sind generell in der Lage Daten von Seitenbesuchern zu erheben bzw. zu erfassen. Je nach Internetauftritt und deren Umfang können dieses Kommentarfunktionen unter Beiträgen, Abonnieren von diesen Kommentaren, Abonnieren eines Newsletters, Datenverarbeitung durch Dritte (Mailchimp, Google, Facebook, etc.), Analysetools (Google Analytics, Matomo/Piwik, etc.), Kaufverträge (Online-Shop), Geolokalisierungsdienst und selbst die Plug-Ins Deines Content-Management-Systems (WordPress, Drupal, Joomla, Typo3, etc.) sein. Letzteres betrifft auch die WordPress-Plugins Jetpack / WPStats.com.
Sie sollten abschnittsweise in Deiner Datenschutzerklärung aufgeführt werden. Für jedes Modul musst Du hinzufügen, welche Daten z.B. welche Formulareingabefelder auf einem Kontaktformular Pflichtfelder und optionale Felder sind. Warum werden, das bezieht sich in diesem Fall auf alle Formulareingaben, diese Informationen benötigt und welche Interesse deinerseits rechtfertigt die Erhebung und Speicherung Deiner Daten. Das könnte in der Datenschutzerklärung z.B. wie folgt lauten:
„Diese Speicherung erfolgt zu meiner Sicherheit für den Fall, dass vom Verfasser durch seinen Kommentar hierbei in Rechte Dritter eingegriffen wird und/oder widerrechtliche Inhalte abgesetzt werden. Somit besteht ein Eigeninteresse meinerseits an den gespeicherten Daten des Verfassers, zumal ich unter Umständen wegen derartigen Rechtsverletzungen belangt werden kann.“
Data Processing Agreement (Auftragsvereinbarung)
Dienstleister wie der für meine Newsletter zuständige Anbieter MailChimp ist eine amerikanische Firma. Sie erfassen und speichern die Nutzerdaten für mich auf den Servern, die sich in den Vereinigten Staaten befinden. Dort muss sich niemand an die EU-Datenschutz-Grundverordnung halten. Dennoch bieten gemäß des Private Shields, eine Initiative bei der US-Unternehmen die Standards der DSGVO garantieren und dieses in einer Vereinbarung manifestieren. Diese Vereinbarung ist das Data Processing Agreement (DPA) und wird von beiden Parteien unterzeichnet.
Einwilligung
Sofern Daten erhoben werden, muss eine aktive Einwilligung vom Besucher eingeholt werden. Bei Cookies reicht der alleinige Hinweis nicht aus, dass der Internetauftritt Cookies verwendet und dieses per „OK“-Schaltfläche zur Kenntnis nehmen kann. In diesem Hinweis kann ein Link zur Datenschutzbestimmung hinzugefügt werden. Darin sollte dann nicht nur beschrieben werden, dass Cookies vorhanden sind, sondern wie sie z.B. browserseitig zu deaktivieren sind. Vergiss bitte auch da nicht zu erläutern, zu welchem Zweck die Cookies dienen bzw. welches Interesse Du damit verfolgst.
Opt-Out für Tracking Cookies
Tracking-Cookies werden von Analysetools u.a. von Google Analytics, Matomo (ehemals Piwik) und Jetpack/WPStats verwendet. Die Möglichkeit, dass der Seitenbesucher dieses Tracking Cookies deaktivieren kann, muss ab nun an eine Opt-Out-Funktion bzw. ein Link zur Opt-Out-Funktion in der Datenschutzerklärung mit aufgeführt werden.
Webstatistik (Analyse-Tools)
Webstatistik-Tools gibt es wie Sand am Meer, aber nur wenige sind mit dem Datenschutz vertretbar. Deswegen habe ich vor einiger Zeit Google Analytics den Rücken gekehrt und wechselte zu Matomo (ehemals Piwik). Anders als Google Analytics, bei dem IP-Adressen verarbeitet werden und dafür extra zur Anonymisierung ein Plugin eingebunden werden muss, ist es bei Matomo nicht ganz der Fall. In Matomo steht seit der Installation die Funktion zur Anonymisierung von IP-Adressen zur Verfügung. D.h. es können Benutzerprofile erstellt werden, allerdings anonymisiert und ohne Personenbezug. Allerdings gehört dieses ebenfalls in die Datenschutzerklärung, denn auch da steckt hohes Abmahn-Potenzial.
Newsletter mit Double-Opt-In
Beim Newsletter sollte grundsätzlich darüber informiert werden, welche Inhalte im Newsletter vorkommen und welche Interessen Du damit verfolgst. Auch die Angabe welche Informationen von dem Seitenbesucher benötigt werden und was für welchen Zweck verarbeitet wird, muss ab sofort und expliziert benannt werden. Für den Newsletter ist ebenso eine Einwilligung sowie die Info zum Widerruf (Abo beenden) zwingend notwendig. Deswegen verwende ich bei meinem Newsletter die Möglichkeit zum Double-Opt-In. Somit muss der Seitenbesucher aktiv auf dem Bestätigungslink im Newsletter klicken, um sich auch an dem Newsletter anzumelden bzw. Du die Einwilligung erhältst. Auch eine Info zu was Du informieren möchtest und eine Verlinkung auf die Datenschutzerklärung gehört unter das Anmeldeformular zum Newsletter.
Information zum Beschwerderecht
Dieser Block ist backfrisch. In der Datenschutzerklärung musst Du nach Art. 77 DSGVO den Seitenbesucher darüber informieren, dass er ein Beschwerderecht bei einer Aufsichtsbehörde hat.
Widerspruch
In einem weiteren Block muss der Seitenbesucher nach Art. 7 Abs. 3 DSGVO darüber informiert werden, dass er jederzeit die Speicherung seiner, personenbezogenen Daten widerrufen kann. Die Info zum Widerspruch muss in der Datenschutzerklärung optisch hervorgehoben werden, z.B. in Fettschrift.
Hinweis auf verschlüsselte Daten-Übertragung mittels SSL
Ganz wichtig ist auch der Art. 32 DSGVO zu betrachten. Er besagt, dass die Datenübertragung personenbezogener Daten verschlüsselt erfolgen soll. Dieses erreicht man mit einem SSL-Zertifikat, welches mindestens im Kontaktformular vorkommen sollte. Ich persönlich halte es für sinnvoll den gesamten Internetauftritt verschlüsselt zur Verfügung zu stellen und habe auch dieses der Datenschutzerklärung hinzugefügt. Ob die Datenübertragung mittels SSL aktiv ist, erkennt man in der Browserleiste. Es ist alles in Ordnung, wenn vor der Internetadresse ein https:// vorgestellt wird sowie ein Schloss vor der Adresse dargestellt wird.
Datenschutzbeauftragter
Gibt es in einem Unternehmen eine/n Datenschutzbeauftrage/n, so ist er/sie in der Datenschutzerklärung mit Kontaktdaten aufzuführen.
Welche Rechte hat eine Person, dessen personenbezogene Daten erfasst wurden (Betroffenenrechte)?
- Recht auf Transparenz (Art. 12 ff DSGVO)
- Auskunftsrecht der betroffenen Personen (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung(Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit / Daten-Portabilität (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
ePrivacy-Verordnung
Der Gesetzesgeber hatte es ursprünglich vor die ePrivacy-Verordnung zeitgleich mit der EU-Datenschutz-Grundverordnung einzuführen. Nach aktuellem Kenntnisstand wird diese allerdings erst Anfang 2019 veröffentlicht. Ich werde Euch auch zu diesem Thema auf dem Laufenden halten.
Wechsel des Webhosters
Manchmal ist ein Wechsel des Anbieters eine wahre Wohlfühl-Kur für Deinen Internetauftritt und des Datenschutzes. Ich musste diesen Schritt gehen, da mein alter Webhoster vom Hause aus keine SSL-Zertifikate angeboten hatte und ganz günstig war er ebenfalls nicht. Beide Themen haben sich mit meinem neuen Anbieter erledigt.
Was heißt das für Fotografen?
Eine kleine positive Nachricht vorweg,- Fotos im Familien- und Freundeskreis sind von dieser Verordnung außgenommen. D.h. erst ab dem Fotografieren von Fremden oder bei Shootings muss man die Einverständnis (am besten schriftlich) der Person einholen. Dieses kann allerdings durch einen erweiterten Model-Release-Vertrag erfolgen. Leider wurde uns Fotografen das Leben durch die DSGVO schwieriger gemacht bzw. es wurde nicht an den Fotografen gedacht. Auch er erstellt das Foto wobei Daten erhoben und gespeichert werden. In den Fotoinformationen können viele Informationen zur Person stecken. Man kann daraus schließen , wer an welchem Tag zu welcher Uhrzeit am Ort xy aufgehalten hat. GPS-fähige Kameras gibt es schon lange auf dem Markt. Der neuste Hit ist aber das automatische Taggen von Personen, dass die Kamera heute schon selbstständig und gut durchführen kann. Im Grunde muss festgehalten werden, welche Daten Du mit dem Schießen eines Fotos erhebst und dieses von der Person schriftlich unterzeichnen lässt. Es klingt umständlich und absurd, aber das wird so vom Gesetzgeber vorgegeben. Leider.
Ein weiterer Tipp von mir. Solltet Ihr z.B. in der Stadt eine Sehenswürdigkeit per Kamera oder Smartphone ablichten wobei auch Personen zu sehen sind, versucht sie nicht ins Bild zu bannen. Sorgt mit den Tricks der Fotografie, dass man sie nicht auf dem Bilder erkennt. Vorallem beim Posten bei Facebook und Co könnet Ihr von den Personen oder deren, petzende Verwandtschaft Probeme bekommen. Also arbeitet besser mit Bildausschnitt, Langzeitbelichtung mit den passenden ND-Filtern und Offenblende.
Hinweis: Die Vollständigkeit der Punkte zur EU-Datenschutz-Grundverordnung ist mit diesem Beitrag nicht garantiert. Dieser Beitrag dient dem Leser zur ersten Orientierung zu der neuen Rechtslage und ist nicht mit einer Rechtsberatung in keinster Weise gleichzustellen.