Nicht auf die leichte Schulter nehmen!
22.01.2018 Ausgabe: 1/18

Datenschutz: die E-Privacy-Richtlinie und ihre Auswirkungen auf Web-Auftritte

Am 25.5.2018 tritt EU-weit die E-Privacy-Richtlinie in Kraft. Auch wenn die neue Datenschutz-Grundverordnung (DGSVO) bestehende Regelungen fortschreibt, sollten Unternehmen die neuen Pflichten nicht unterschätzen. Speziell bei Web-Auftritten besteht bei vielen Immobilienverwaltungen noch Nachholbedarf.
Im Fokus stehen sämtliche Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen. Das neue Gebot der Datensicherheit bei der Verarbeitung (Art. 32 DSGVO) ist unmittelbar relevant, wenn Geschäftsprozesse über die Website abgewickelt werden und es eine Verbindung in ein CRM-/ERP-System gibt.
Nutzer müssen über Erhebung und Verarbeitung von Daten informiert werden und aktiv zustimmen. Dazu sind sie über Art, Umfang und Zweck der Datenerhebung und -verwendung zu unterrichten, ebenso über die Möglichkeit des Widerrufs. Bei Formularen, die über das einfache Kontaktformular hinausgehen, gelten erweiterte Zustimmungsregeln, etwa zu Speicherdauer und Kontaktaufnahme. Dies muss nicht nur explizit abgefragt werden, ein Unternehmen muss die Zustimmung auch rechtssicher dokumentieren.

Cookies und Cookie-Hinweis
Die neue Verordnung erlaubt die Erstellung von Nutzerprofilen nur noch nach ausdrücklicher Zustimmung. Gleichzeitig entfällt die Unterscheidung zwischen personenbezogenem und pseudonymem Tracking. Das „Cookie-Banner“ auf der Website wird so vielfach Pflicht – aber nicht immer: Der Hinweis ist unnötig, wenn Cookies „für die Nutzung eines ausdrücklich verlangten Dienstes technisch notwendig“ sind (Art. 8 Abs. 1 b DSGVO). Ebenfalls nicht hingewiesen werden muss auf Session-Cookies, die nur während des Besuchs gelten (Art. 8 Abs. 2).

Google Maps, ­Facebook & Co.
Datenschutzrechtliche Implikationen gängiger Services werden oft übersehen. Integrierte Google Maps übertragen Daten an Google – und der Seitenbetreiber muss darauf hinweisen. Mit Google Fonts lassen sich Schriften passend zur CI eines Unternehmens darstellen. Jedoch wird damit beim Seitenaufruf eine Verbindung zu Google aufgebaut. Wer nicht auf Google Fonts verzichten will, muss seine Besucher auf die Einbindung hinweisen – oder man nutzt nur solche, deren Lizenz das Hosten auf eigenen Servern erlaubt.

Bei Social-Media-Plugins, die ohne Nutzerinteraktion aktiv sind, ist der Datenschutzhinweis ein Muss, etwa beim Like-Button von Facebook. Nicht nötig ist er dagegen z. B. bei einem Share-Button, der erst auf Klick zu Facebook wechselt. Youtube bietet komfortable Optionen zum Einbetten von Videos. Im Standardmodus werden bereits beim Aufruf der Seite Daten an Youtube übertragen. Der optionale „erweiterte Datenschutzmodus“ überträgt Daten erst ab dem Start des Videos. Ein Hinweis ist dennoch erforderlich, wenn der Besucher das Video als Teil der Website wahrnimmt.

Aktive ­Verpflichtung
Das Gebot der Datensicherheit bei der Verarbeitung hat technische und organisatorische Aspekte: Daten, die ein Nutzer auf der Website eingibt, müssen per SSL verschlüsselt werden. Mitarbeiter müssen über die neuen Unterrichtungs- und Löschpflichten informiert sein und dürfen nur auf die für ihre Arbeit nötigen Daten Zugriff haben. Unternehmen müssen zudem Verträge zur Auftragsdatenverarbeitung mit Dienstleistern und Geschäftspartnern schließen, die Zugriff auf Kunden- oder Beschäftigtendaten haben.

Unternehmen sollten die neue Richtlinie nicht auf die leichte Schulter nehmen: Bei Verstößen drohen Geldbußen von bis zu 20 Mio. Euro oder vier Prozent des Jahresumsatzes. Eine Ordnungswidrigkeit ist es auch, wenn keine geeigneten und angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ergriffen werden.

Foto: Den Rise / Shutterstock.com


Schlagworte:
E-Privacy,Datenerhebung,Website

zurück zur Übersicht