EU-Datenschutzgrundverordnung (DSGVO)

Am 25.05.2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Dies DSGVO betrifft alle Unternehmen, gewerblich Tätige, Freiberufler, Vereine, öffentliche Institutionen und Organisationen, unabhängig von der Größe des Unternehmens, die regelmäßig personenbezogene Daten nutzen. (dazu zählen neben den klassischen Daten unter anderem z.B. auch IP Adressen).

Durch die DSGVO soll europaweit ein einheitliches Datenschutzniveau erreicht werden.

Bei Verstößen gegen die neuen Regelungen, drohen drastische Geldbußen und Abmahnungen.

Nachfolgend haben wir die - in unseren Augen- wichtigsten Punkte zusammengefasst. Diese Aufstellung ist nicht abschließend und stellt KEINE rechtliche Beratung dar  und ersetzt KEINESFALLS eine fachkundige und rechtliche Beratung.

Wer personenbezogene Daten verarbeitet, ist für die Einhaltung aller in der DSGVO aufgeführten Rechtsgrundsätze verantwortlich:

  •  Rechtmäßigkeit der Verarbeitung
  •  Transparenz
  •  Zweckmäßigkeit
  •  Datenminimierung
  •  Richtigkeit
  •  Speicherbegrenzung
  •  Integrität
  •  Vertraulichkeit
  •  Rechenschaftspflicht

 Es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden um den erforderlichen Datenschutz sicherzustellen und der Nachweis erbracht werden kann, dass die Vorschriften der DSGVO eingehalten sowie regelmäßig überprüft und aktualisiert werden

Bringen Sie Ihren betrieblichen Datenschutz auf den aktuellsten Stand und vermeiden Sie Verstöße gegen die Datenschutzgrundverordnung die mit empfindlichen Geldbußen geahndet werden sollen. Es sind Geldbußen in Höhe von 4% des Konzernjahresumsatzes und bis zu 20 Millionen Euro möglich. Verstöße gegen die DSGVO können zukünftig ganz unbürokratisch per Webformular an die Landesdatenschutzbehörde weitergegeben werden.

Mehr Informationen auch bei der GDD - Gesellschaft für Datenschutz und Datensicherheit e.V..

Welche Daten sind betroffen?
Nach dem Bundesdatenschutzgesetz und dem Datenschutzgesetz Nordrhein-Westfalen sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. z.B. :

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail Adresse
  • IP Adresse (!!)
  • Personalausweisnummer, Konfessionszugehörigkeit
  • genetische Daten und Krankendaten
  • Konto-, Kreditkartennummer



Welche Daten darf ich nutzen?

Grundsätzlich dürfen nur die Daten gespeichert werden, für die es einen bestimmten Zweck erforderlich sind.

Wer z.B. IP Adressen sammelt (z.B.  Logfiles auf dem Webserver) muss dafür einen berechtigten Grund nachweisen können.  

Dies ist in im Falle der Websites dahin gegeben, dass IT Systeme darauf angewiesen sind, über IP Adressen unberechtigte Angriffe abzuwehren. Eine Speicherung über 14 Tage hinaus ist aber nicht mehr notwendig, daher entfällt der Zweck nach dieser Zeit.



Dokumentationspflichen

Die ordnungsgemäße Handhabung personenbezogener Daten im Sinne der DSGVO  muss nachweisbar sein.

 Dies kann durch entsprechende Dokumentationen (z.B. einem Verzeichnis für Verarbeitungstätigkeiten in dem die Arbeitsabläufe dokumentiert werden) gewährleistet werden.


Aktualisierung der Website
Webseitenbetreiber sollten bis zum 25.05.2018 folgende Punkte überprüft haben:

1. Verschlüsselung (SSL Zertifikat)

Wenn über ein Kontaktformular, einen Webshop oder ähnliches, personenbezogene Daten übertragen werden, MUSS diese Übertragung über ein SSL Zertifikat abgesichert sein. Zahlungsdaten (Bankverbindung) müssen grundsätzlich verschlüsselt übertragen werden.

Unser Domainhostingpaket A können Sie für zusätzlich 1,19 Euro/Monat entsprechend erweitern. Bei den Domainhostingpaketen B, C und D sind SSL Zertifikate für die gebuchten Domains bereits inbegriffen.

2. Anpassung der Datenschutzerklärung

Alle Datenschutzerklärungen müssen aktualisiert werden und Bezug auf die DSGVO nehmen. Nutzen Sie einen " Datenschutzerklärung nach DSGVO-Dienst" ,wie z.B.:  www.e-recht24.de , der die folgenden Daten abfragt und für Sie zusammenstellt:

  • Name und Kontakt des Betreibers der Webseite
  • Rechtsgrundlage der Verarbeitung der Daten
  • Rechte der Betroffenen (Besucher)
  • Aufführung des Zwecks der Verarbeitung der Daten
  • Aufführung der Rechtsgrundlagen der Datenverarbeitung

Außerdem gegebenenfalls:

  • Name und Adresse des zuständigen Datenschutzbeauftragten
  • Bei Weitergabe der Daten: Name des Empfängers der Daten und Art der Verarbeitung (auch ein eventueller Auftragsverarbeiter gehört hinzu)
  • Bei Speicherung der Daten außerhalb der EU: Nennung des dann geltenden Datenschutzabkommens sowie die Art und Bereitstellung der Daten.

Bei der Nutzung einer Domain auf einem shared Webserver (Domainpaket KLEIN, A, B, C, D) bei honds.de werden die IP Adressen in den Logfiles nach maximal 14 Tagen gelöscht beziehungsweise anonymisiert (Entfernung des letzten Oktetts der IP, z.b. 123.123.123.000). Betreiben Sie einen eigenen Server oder nutzen Sie eine virtuelle Maschine können Sie selber diesen Zeitraum anpassen oder durch einen Techniker bei honds.de anpassen lassen.

Auskunftsrechte
Alle Verbraucher haben das Recht zu erfahren, welche Daten gespeichert sind und was mit ihren Daten passiert. Die sich daraus ergebenen Auskunftspflichten sind umfangreich und müssen unverzüglich, spätestens aber innerhalb eines Monats erfolgen.


Vertrag zur "Auftragsverarbeitung" nach §25 DSGVO

Persönliche Daten dürfen nicht ohne Einverständnis der betroffenen Person gespeichert werden. Dazu gehören auch IP Adressen, die beim Besuch von Internetseiten auf Webservern gespeichert werden. Webseitenbetreiber können mit uns eine Vereinbarung zur Auftragsdatenverarbeitung nach § 25 DSGVO treffen. Diese regelt, dass der Webhoster gemäß IP Adressen gemäß der getroffenen Vereinbarungen für maximal 14 Tage speichert. Mit dieser Vereinbarung ist die Speicherung der IP Adressen für Ihre Kunden nachvollziehbar.

Die entsprechende Vereinbarung finden Sie in unserem  Kundenlogin 


GoogleAnalytics / Matomo (früher Piwik)
Nutzen Sie eines dieser Tools sind Sie verpflichtet, die Besucher Ihrer Webseite darüber zu informieren. Außerdem müssen Sie den Besuchern Ihrer Webseite die Möglichkeit geben, dem zu widersprechen. Zur Zeit kommt es zu Abmahnungen von Seitenbetreibern die Google Analytics ohne IP Anonymisierung nutzen.