Grundlagen

Die DSGVO ist eine Verordnung der EU, welche die Verarbeitung personenbezogener Daten regelt, d.h. Informationen die sich auf eine identifizierte oder identifizierbare Person beziehen, wie Name, Geburtsdatum, und Anschrift. Websitebetreiber, ganz gleich ob Großkonzern, kleiner Betrieb oder nur Blogger, müssen die Voraussetzungen der DSGVO erfüllen, selbst, wenn die Website nur für private Zwecke genutzt wird.

Neben der DSGVO gilt zudem die ePrivacy-Richtlinie («Cookie-Richtlinie»), welche die Vertraulichkeit der elektronischen Kommunikation regelt und durch Umsetzung im Telekommunikationsgesetz (TKG) ebenso eingehalten werden muss wie die DSGVO.
Darüber hinaus gilt das deutsche Bundesdatenschutzgesetz (BDSG), welches neben der DSGVO dort Anwendung findet, wo diese keine eigene Regelung vorsieht. Für Websitebetreiber finden sich bislang allerdings keine expliziten Regelungen im BDSG.

Eine Datenverarbeitung im Sinne der DSGVO kann in verschiedenen Verarbeitungstätigkeiten liegen, wie z.B. das Erheben, Speichern oder Übermitteln. Für jede Datenverarbeitung bedarf es einer rechtlichen Grundlage. Nach Art. 6 DSGVO kann diese u.a. in der Einwilligung des Betroffenen, dem berechtigten Interesse des Verantwortlichen an der Verarbeitung oder in der Erforderlichkeit für die Vertragsdurchführung liegen.

Websitebetreiber dürfen daher grundsätzlich alles veröffentlichen, was mit personenbezogenen Daten zu tun hat, sofern eine dieser Rechtgrundlagen gegeben ist.
Meist liegt eine Einwilligung der betroffenen Person vor. Gerade wenn es um die Veröffentlichung von Fotos, politischen Meinungen oder sensible Daten (Art. 9 DSGVO) auf der Website geht, muss eine vorherige Einwilligung eingeholt werden.
Denn sofern keine Rechtsgrundlage für eine Datenverarbeitung vorhanden ist, „haftet“ der Verantwortliche, d.h. der Websitebetreiber für die Verstöße, sowohl dem Betroffenen gegenüber als auch gegenüber der zuständigen Aufsichtsbehörde.

Websitebetreiber sollten bei der Umsetzung der DSGVO daher Schritt für Schritt folgende Punkte beachten:

  • Websitebetreiber müssen zunächst einen Überblick darüber haben, welche personenbezogenen Daten beim Besuch der Website verarbeitet werden, wie z.B. die IP-Adresse, Nutzungsdaten oder Log-Files. Denn die Betroffenen müssen über die Verarbeitung ihrer Daten informiert werden (Art.12, 13DSGVO).
  • Die Rechtsgrundlage(n) und Zulässigkeit der Datenverarbeitung muss geklärt werden, d.h. welche konkrete Rechtsgrundlage des Art. 6 DSGVO rechtfertigt die vorliegende Datenverarbeitung?
  • Den Informationspflichten (Art. 12, 13 DSGVO) muss nachgekommen werden, d.h. die Betroffenen müssen in geeigneter und verständlicher Form über die Verarbeitung ihrer Daten in Kenntnis gesetzt werden, v.a. im Wege der Datenschutzerklärung.
  • Die Betroffenenrechte (Art. 12-23 DSGVO) müssen beachtet werden, d.h. sofern bspw. ein Auskunftsersuchen eines Betroffenen eingeht, muss dieses innerhalb eines relativ kurzen Zeitraums, idR einem Monat, kostenlos beantwortet und Informationen wie Verarbeitungszweck, Datenkategorien, Speicherdauer und Herkunft der Daten, dem Betroffenen zur Verfügung gestellt werden.
  • Schließlich müssen Websitebetreiber angemessene technische und organisatorische Maßnahmen zum Schutz der Daten ergreifen und diese dokumentieren.

Information durch Datenschutzerklärung

Wie bereits dargestellt müssen Websitebetreiber die betroffenen Nutzer über die Verarbeitung ihrer Daten informieren, da diese ein Recht auf Information haben. Dies geschieht in der Praxis meist durch die Datenschutzerklärung, welche im Footer oder in der Navigationsleiste unter Begriffen wie „Datenschutzbestimmungen“ oder „Datenschutzerklärung“ oder schlicht „Datenschutz“ verlinkt sein sollte.

In der Datenschutzerklärung sollten zumindest Informationen wie Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, Verarbeitungszweck, Rechtsgrundlage(n) der Verarbeitung, Information über Betroffenenrechte und Empfängerdaten im Falle einer Übermittlung in Drittländer enthalten sein. Sofern Cookies und Tracking eingesetzt wird, muss dies in der Datenschutzerklärung ersichtlich sein, bzw. ein Cookie-Banner für die Einwilligung eingeblendet werden. Inhaltliche Unterschiede in den Datenschutzerklärungen ergeben sich je nach den tatsächlichen Verarbeitungsvorgängen der Websitebetreiber.

Das Kontaktformular

Sofern ein Kontaktformular zur Verfügung gestellt wird und durch den Besucher verwendet werden soll, muss auf die Datenverarbeitung durch dieses Formular in der Datenschutzerklärung hingewiesen und es muss ausreichend technisch gesichert werden.

Hierfür ist eine Transportverschlüsselung nach HTTPS (Hypertext Transfer Protocol Secure) Pflicht, unabhängig davon, ob es sich um sensible Daten handelt oder nicht. Werden allerdings sensible Daten verarbeitet, ist zusätzlich eine End-to-End- Verschlüsselung notwendig.

Für das Kontaktformular sollten Websitebetreiber zudem in ein SSL-Zertifikat investieren, welches wenige hundert Euro jährlich kostet, da der Browser die Website ansonsten als unsicher einstufen wird und der Nutzer ein Warnhinweis erhält.

Aufgrund des für die DSGVO geltenden Grundsatzes der Datensparsamkeit dürfen in den Kontaktformularen nur so viele Daten angefordert werden, wie auch erforderlich zur konkreten Verarbeitung sind, auch wenn grundsätzlich der Websitebetreiber als Verantwortlicher darüber entscheidet, was Pflichtangaben und was freiwillige Angaben sind.

Zu beachten ist zudem, dass sobald die durch das Kontaktformular übermittelte Anfrage bearbeitet bzw. beantwortet ist, die Daten aus dem Kontaktformular zu löschen sind, sofern keine gesetzlichen Aufbewahrungsfristen vorgesehen sind, bspw. aufgrund eines Vertragsabschlusses weiterhin erforderlich sind.