Exkurs: Datenschutz-Grundverordnung (DSGVO)

Was verbirgt sich hinter dem Begriff DSGVO?

Die Datenschutz-Grundverordnung (auch DSGVO) ist eine Verordnung der EU, welche die Verarbeitung von personenbezogenen Daten durch private und öffentliche Verantwortliche EU-weit einheitlich regeln soll. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Die DSGVO greift seit dem 25. Mai 2018 und bildet einen gemeinsamen Datenschutzraum in der EU, Island, Liechtenstein und Norwegen.

Neben der DSGVO greifen in Deutschland auch das Bundesdatenschutzgestez, E-Privacy-Verordnung, das Wettbewerbsrecht (UWG) und das Telemediengesetz (TMG) [Letztere sind bspw. bei Social Media Marketing zu beachten.].

Was fällt unter den Begriff der personenbezogene Daten?

Bei der DSGVO geht es um die personenbezogenen Daten von privaten Nutzer:innen. Darunter fallen:

  • Name, Anschrift
  • Geburtsdatum
  • E-Mail-Adresse
  • Einkommen, Ausbildung
  • Kauf-, Surf- und Klick-Historie einzelner Nutzer:innen
  • IP-Adresse von Nutzer:innen

“Immer dann, wenn personenbezogene Daten nicht vollständig anonym erhoben werden, sondern einer bestimmten Person zugeordnet werden können, bewegen wir uns im Bereich des Datenschutzrechts.” (eRecht24)

Welche Grundsätze beinhaltet die DSGVO?

Verbot mit Erlaubnisvorbehalt
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis. Diese kann entstehen aus:

  • Gesetz, z.B. aus dem BDSG, TMG, EU-DSGVO
  • Einwilligung der betroffenen Person

Datensparsamkeit
Es dürfen nur die und so viele Daten erhoben und verarbeitet werden, wie tatsächlich benötigt werden.

Zweckbindung
Daten dürfen nur zu dem Zweck verarbeitet werden, für die sie erhoben wurden.

Datenrichtigkeit
Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein.

Datensicherheit (Artikel 32 DSGVO)
Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeitende unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, des Umfangs und der weiteren Umstände und der Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten.

Das heißt: Das Schutzniveau, dass Sie gewährleisten müssen, orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten. Welche Maßnahmen dann „angemessen“ sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.

Recht auf Vergessenwerden (Recht auf Löschung)
Viele Unternehmen wissen: Das Recht auf Vergessenwerden ist nicht ganz neu. Der EuGH hat hierzu entschieden, dass EU-Bürger von Suchmaschinen unter bestimmten Voraussetzungen verlangen können, dass bestimmte Suchergebnisse nicht mehr gezeigt werden.
Das Recht auf Vergessenwerden ist also ein Anspruch darauf, dass personenbezogene Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt.

Achtung: Das Recht auf Vergessenwerden können die Nutzer aber nicht nur gegen Suchmaschinenbetreiber geltend machen! Der Anspruch kann man nämlich gegen jede Stelle geltend machen, die personenbezogene Daten verarbeitet.
In der DSGVO gibt es jetzt erstmalig eine eigenständige Regelung zum Recht auf Vergessenwerden: Artikel 17.
Darin sind auch die konkreten Gründe aufgezählt, wann Sie als Datenverarbeiter dann die Daten löschen müssen. Die wichtigsten Fälle sind:

  • Der Zweck für die Datenverarbeitung ist weggefallen (Art. 17 Buchstabe a)
  • Der Betroffene hat seine Einwilligung widerrufen (Art. 17 Buchstabe b)
  • Die Datenverarbeitung war unrechtmäßig (Art. 17 Buchstabe d)

Hier können Sie die alle gesetzlichen Bestimmung abrufen:
https://www.e-recht24.de/dsgvo-gesetz.html#artikel-17

Recht auf Datenübertragbarkeit (Datenportabilität)
Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 der DSGVO geregelt ist.
Aber was können Nutzer:innen damit erreichen? Das neue Recht gibt ihnen die Möglichkeit, ihre Daten zu einem anderen Anbieter „mitzunehmen“. Die Nutzer:innen können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen weiterzugeben.
Die Datenportabilität ist zum Beispiel wichtig für:

  • Wechsel zu anderen (sozialen) Netzwerken
  • Wechsel der Bank
  • Wechsel des Arbeitgebers

Rechenschaftspflicht
Die EU-DSGVO jetzt auch eine Rechenschaftspflicht vor (Artikel 5 Absatz 2 der Datenschutzgrundverordnung). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien nachweisen können.
Praxis-Tipp:

Richten Sie also ein effektives Datenschutzmanagement ein und dokumentieren Sie die Einhaltung der Datenschutzanforderungen. So können Sie die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde nachweisen.

Quelle und viele weitere ausführliche Infos: https://www.e-recht24.de/datenschutzgrundverordnung.html

DSGVO Quick-Check für SEOs

  1. Datenschutzerklärung getrennt vom Impressum aufrufbar
  2. Kontaktform mit Einwilligung der Erhebung der Daten (Checkbox)
  3. SSL-Zertifikat (mindestens bei Kontakt → wo Daten erhoben und übermittelt werden)
  4. Vertrag mit Google für Analytics sonst deaktivieren (grundsätzl.: IP-Anonymisierung, opt-out für Desktop und mobil, Impr. und Datenschutzerklärung anpassen)

Denn:
Wichtige Punkte der Verordnung, die die Gestaltung und Nutzung von Websites betreffen, sind folgende:

  • Datenschutzerklärung: Die Datenschutzerklärung muss ausführliche Hinweise enthalten, wie durch die Website Nutzerdaten erhoben werden, beispielsweise über implementierte Tracking-Tools oder Social Media Plug-Ins. Weiterhin müssen Nutzer auch auf ihre Rechte hingewiesen werden, dass sie eine Auskunft oder Löschung ihrer Daten anfordern können.
  • Kontaktformulare Besondere Aufmerksamkeit liegt auf der Zustimmung eines Nutzers zur Datenerhebung und -verarbeitung. Bei Kontaktformularen, die personenbezogene Daten (Name, Adresse, Telefonnummer) erheben, muss eine ausdrückliche Zustimmung eingeholt werden.
  • Website-Sicherheit Werden auf einer Website Daten erhoben und übermittelt, ist die Implementierung eines SSL-Zertifikats notwendig (Umstellung von “http” auf “https”). Dieses Protokoll gewährleistet die sichere, verschlüsselte Übertragung von Daten im Internet.
  • Tracking von Daten Die Analyse des Nutzerverhaltens mit Tracking-Tools wie zum Beispiel Google Analytics oder Piwik unterliegt nun strengeren Regelungen. Neben der IP-Anonymisierung des Codes muss dem Nutzer auch die Option zur Deaktivierung des Trackings gegeben sein. Mit Google muss ein aktualisierter Vertrag zur Auftragsverarbeitung geschlossen werden.
  • Cookie-Hinweise Hinweise zur Nutzung von Cookies auf der Website können unterschiedlich dargestellt werden. Die rechtlich sicherste Variante ist, mittels einer Cookie-Warnung die Einwilligung des Nutzers über das Speichern von Cookies einzuholen. Weitere Informationen unter https://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html

Quellen und Weiterführendes

Alles Wissenswerte auf einen Blick: https://www.webseitenoptimierung-nrw.de/dsgvo-info/
Ausführliche Tipps zum Vertrag mit Google: https://www.seo-nerd.com/de/seo-tipps/dsgvo-checkliste
Datenschutz und GSC: https://www.luna-park.de/blog/39755-google-search-console-und-datenschutz/
Rechtliches und dessen Einordnung kann man gut nachrecherchieren auf: https://www.e-recht24.de/ratgeber/datenschutz.html

Nice to know

Wann bedarf es eines Datenschutzbeauftragten?

Kleinunternehmer und kleine Unternehmen müssen keinen Datenschutzbeauftragten stellen, es sei denn, einer der nachfolgenden Punkte trifft zu.

  • Es sind regelmäßig mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 des Bundesdatenschutzgesetzes).
  • Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 lit. a DSGVO).
  • Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs. 1 lit. c DSGVO).
  • Es ist eine Datenschutz-Folgenabschätzung durchzuführen (§ 38 Abs. 1 Satz 2 des Bundesdatenschutzgesetzes).
  • Die Kerntätigkeit ist die umfangreiche oder systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. c DSGVO).