DSGVO - Stichtag 25.5.2018 - Wir helfen Ihre Webeiten dafür fit zu machen!

Fragen und Antworten zur DSGVO

Frequently Asked Questions

Nutzen Sie einfach unser umfassendes Service-Angebot zur Umsetzung der DSGVO Bestimmungen auf Ihrer Webseite.

Ich habe nur eine Landingpage / einen Onepager. Bin ich von der DSGVO auch betroffen ?
Allein schon dadurch das die in Logfiles gespeicherte IP-Adresse des Users von Datenschützern als personenbezogene Information gesehen wird macht die Konformität mit der DSGVO notwendig.

Ja, denn der Umfang der Webseite spielt keine Rolle!
Muss meine Webseite eine SSL-Verschlüsselung haben?
Personenbezogene Daten dürfen nur verschlüsselt übertragen werden. Und da allein schon die Übermittlung der IP-Adresse, die als personenbezogen gilt, darunter fällt muss die Übertragung verschlüsselt werden.

Ja, eine Verschlüsselung muss erfolgen!
Auf meiner Webseite ist nur ein kleines Kontaktformular. Muss ich da auch was machen?
So widersprüchlich es kling, da der User seine Daten ja hergibt so das sie sich mit ihm in Verbindung setzen können, muss er dennoch explizit der Nutzung seiner Daten zustimmen. Die Zustimmung muss protokoliert werden da sie im Streitfall als Beweis dient. Zusätzlich müssen entsprechende Informationen dazu in der Datenschutzerklärung Erwähnung finden.

Ja, Formularversand ist nur mit Zustimmung erlaubt!
Wie ist das mit Facebook, Twitter und Co?
Die meisten derzeitigen Sharingbuttons für Facebook und Co sind rechtswidrig da bereits vor dem anklicken, also schon beim öffnen der Seite, personenbezogene Daten übermittelt werden. Diese müssen entfernt oder durch DSGVO-konforme Lösungen ersetzt werden. Unberührt davon sind Links. Zum Beispiel auf die eigene Facebookseite.

Sharingbuttons erfordern eine Anpassung!
Muss das Impressum verändert werden?
Das Impressum sollte auf Basis schon bestehender Gesetze korrekt und rechtskonform sein. Im Rahmen der DSGVO Anpassung überprüfen wir Ihr Impressum gleich mit.

Nein. Das Impressum ist von der DSGVO nicht direkt betroffen - sollte aber geprüft werden!
Brauche ich einen Datenschutzbeauftragten?
Ein Einzel- / Kleinunternehmen wird so schnell keinen Datenschutzbeauftragten benötigen. Dieser wird allerdings nötig wenn Sie in der Regel mindestens 10 Personen - Angestellte als auch freie Mitarbeiter - ständig mit der Verarbeitung personenbezogener Daten beschäftigen oder die Pflicht zur Folgenabschätzung nach Art. 35 DSGVO besteht.

Muss im Einzelfall konkret geprüft werden.
Brauche ich eine Datenschutz-Folgenabschätzung?
Diese benötigen Sie wenn besondere Datenkategorien verarbeitet werden, also ein "besonderes Risiko der Datenverarbeitung" besteht. Dazu gehören Steuerdaten, besondere Daten zu Sexualität oder Religion, Berufs- und Geschäftsgeheimnissen, Personaldaten und berufliche Beurteilungen, Informationen zu strafbaren Handlungen (Vorstrafen). Allerdings gibt es (stand März 2018) noch keine Vorgaben oder Richtlinien wie diese auszusehen haben. Sollte Sie zur Folgenabschätzung verpflichtet sein verpflichtet Sie dies auch einen Datenschutzbeauftragten zu bestellen.

Nur unter bestimmten Vorraussetzungen. Dann aber mit Datenschutzbeauftragten.
Muss ich ein Verarbeitungsverzeichnis führen?
Bei mehr als 250 Mitarbeitern oder wenn die Verarbeitung "nicht nur gelegentlich" erfolgt muss ein Vararbeitungsverzeichnis geführt werden. Letzteres ist etwas schwammig formuliert und könnte bedeuten das jeder der Newsletter betreibt oder über seinen Shop mehr oder weniger regelmäßig Daten erfasst dazu verpflichtet wäre. Um Gewissheit zu haben was nun als "gelegentlich" gilt muss man wohl zukünftige Gerichtsentscheide abwarten.

Empfehlung: Wer in diese Kategorie fallen könnte sollte ein Verzeichnis führen.
Wer ist für das Verarbeitungsverzeichnis verantwortlich?
Die Verantwortlichkeit für das Verarbeitungverzeichnis liegt bei der Unternehmensleitung, nicht beim eventuell vorhandenen Datenschutzbeauftragten. Im Gegensatz zu den personenbezogenen Daten besteht für diese Verzeichnis kein allgemeines Einsichtsrecht. Es muss aber Anfrage der Behörde vorgelegt werden.

Verantwortlich ist die Unternehmensleitung.
Ist ein Cookie Hinweis Pflicht ?
Die rechtlich sicherste Antwort: Seitenbetreiber sollten die Einwilligung der Nutzer einholen. Der Einwilligungstext bei einem Cookie-Hinweis sollte beim ersten Aufruf der Seite (Cookie Warnung) eingeblendet werden. Der Text für die Cookie-Nutzung sollte so konkret wie möglich sagen, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten gegenfalls weiter gegeben werden. Der Nutzer muss diesen Text mit einem Klick bestätigen.
Wie ist das mit der Pflicht zur Verschlüsselung?
Personenbezogene Daten müssen verschlüsselt übertragen werden. Nicht nur auf der Webseite sondern auch bei der Weiterleitung an externe Dienstleister wie z.B. eMaildienste und Clouds.

Datenübertragung immer mit Verschlüsselung
Ein User möchte das ich seine Daten Lösche. Muss ich das?
Es besteht eine Löschpflicht wenn: der Erhebungszweck weg gefallen ist (Kunde hat mit einer Frage Kontakt aufgenommen, Frage ist beantwortet), die Einwilligung widerrufen wurde (z.B Abmeldung vom Newsletter), bei Widerspruch des Nutzers ("Löschen Sie meine Daten") und sonst keine gesetzliche Speicherpflicht entgegen steht. Das wäre der Fall wenn es sich um Daten aus Buchhaltung/Steuer handelt. Dies gilt z.B . auch für Kundendaten aus Shops die zur Vertragsabwicklung benötigt werden (Rechnungsdaten).

Wenn andere gesetzliche Regelungen nicht dagegen sprechen ja!
Muss ich mit meiner Web-Agentur einen AV-Vertrag abschließen?
Sobald persönliche Daten an Dritte weiter gegeben, oder der Zugriff darauf ermöglicht wird muss ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) abgeschlossen und in der Datenschutzerklärung aufgeführt werden. Warum aber auch mit der Agentur die doch nur die Inhalte aktuell hält? Meist bekommt die mit Webarbeiten beauftragte Agentur volles Zugriffsrecht (Adminrechte) und hat demnach auch Zugriff auf Mailsysteme, Logdateien, Datenbanken etc. Das bedeutet auch das mit Ihrem Hoster/Provider, bei dem die Webseiten/Daten liegen, ein AV-Vertrag geschlossen werden muss.

Mit allen Externen Dienstleistern zur Datenverarbeitung müssen AV-Verträge abgeschlossen werden!
Ihre Frage ist noch nicht dabei?
Zum Thema DSGVO-Umsetzung gibt es bestimmt noch etliche Fragen. Und wenn Ihre Frage noch nicht dabei ist ... scrollen Sie ein Stück runter und nutzen Sie das Formular für Ihre Frage.

Wir bemühen uns um schnellstmögliche Antwort.

Ihre Frage ist noch nicht dabei?
Dann gleich hier stellen!

Name
eMail-Adresse *
Ihre Frage *
Einverständniserklärung