Pflichten für die Betreiber von Webseiten durch die DSGVO
Die europäische Union hat mit der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO) am 27.04.2016 das Datenschutzrecht innerhalb der Europäischen Union auf eine neue Basis gestellt. Die DSGVO löst die bisherige Datenschutzrichtlinie ab und regelt den Datenschutz innerhalb der EU weitgehend einheitlich und verbindlich. Die DSGVO ist anwendbar seit dem 25.05.2018.
Gerade für Unternehmen gelten seitdem verschärfte Datenschutzanforderungen. Aber auch alle anderen Website-Betreiber, die die Website nicht ausschließlich zu rein privaten Zwecken nutzen, haben Neuerungen zu beachten. Denn zwangsläufig werden die IP-Adressen der Besucher an den Webserver übertragen und da IP-Adressen als personenbezogene Daten einzustufen sind, fällt der Betrieb einer Website grundsätzlich unter den Anwendungsbereich der DSGVO.
Aus diesem Grund müssen Besucher über datenschutzrelevante Aktivitäten informiert werden, die über die einfache Erfassung der IP-Adressen hinausgehen. Dies ist z.B. der Fall bei Verwendung von Kontaktformularen, E-Mail-Newslettern, sog. "Cookies"oder anderer Analyse-Tools.
Bei der Verwendung von Kontaktformularen ist darauf zu achten, dass die Eingabe und Übermittlung der Daten mit einem aktuellen Verschlüsselungsverfahren erfolgt (in der Regel durch ein SSL-Zertifikat). Dies gilt umso mehr, wenn besonders sensible Daten wie Kontoinformationen übertragen werden.
Ferner dürfen auch nur solche Daten erhoben werden, die für den jeweiligen Zweck auch wirklich benötigt werden. Felder zur Erfassung dieser Pflichtangaben sind eindeutig zu kennzeichnen. Vor dem Versand eines Newsletters muss die explizite Einwilligung des Nutzers eingeholt werden. In jedem Fall muss auf die Möglichkeit zum jederzeitigen Widerruf hingewiesen werden. Um Missbrauch vorzubeugen muss ferner vor Versand des Newsletters eine Rückfrage bei der angegeben E-Mail-Adresse mittels einer Bestätigungs-Mail erfolgen (Double-Opt-In Verfahren). Erst nachdem der Nutzer die Newsletter-Bestellung durch Anklicken des Bestätigungs-Links akzeptiert, darf ein Versand erfolgen.
Auch bei der Verwendung sog. "Cookies" auf Webseiten ist grundsätzlich eine Zustimmung der Nutzer erforderlich. Ferner ist allen Website-Besuchern ein Widerspruchsrecht einzuräumen. Gleiches gilt beim Einsatz von anderen Analyse-Tool, wie z.B. Google Analytics oder Motomo (vormals Piwik). Zusätzlich müssen Analysetools wie Google Analytics so verwendetet werden, dass die erfassten IP-Adressen anonymisiert werden.
Im Falle von Google Analytics muss mit Google ein schriftlicher Vertrag zur Auftragsverarbeitung abgeschlossen werden.
Ferner ist zu beachten, dass Betroffene unter Umständen auch gegen Website-Betreiber Löschungsansprüche in Bezug auf ihre personenbezogene Daten haben oder von diesen die Herausgabe dieser Daten verlangen können. Diese Daten müssen dann in einer strukturierten, gängigen und maschinenlesbaren Form ausgehändigt werden.
Da es sich bei dem gesamten Themenkreis um eine äußerst komplexe Materie handelt und zudem Verstöße gegen die DSGVO mit empfindlichen Bußgeldern sanktioniert werden können, ist es in jedem Fall empfehlenswert, ihre Website anwaltlich überprüfen zu lassen.
Rechtsanwältin Sabine Frank Fachanwältin für Familienrecht