Die DSGVO kommt!
Der Grundgedanke ist lobenswert: Datensparsamkeit als oberstes Gebot, Speichern von Daten nur noch dann, wenn es wirklich erforderlich ist, strenge Regeln für die Weitergabe von Daten. Dagegen spricht erstmal nichts, und auch, dass zukünftig weit reichende Auskunftsrechte gegenüber und Informationspflichten seitens datenverarbeitenden Personen, Unternehmen und Institutionen bestehen, ist im Ansatz zu begrüßen.
Auf der anderen Seite steht allerdings, dass in dem Willen, Verstöße gegen die DSGVO möglichst schmerzhaft zu gestalten, vom Gesetzgeber nicht nur horrende Strafen bei der Missachtung der Vorschriften vorgesehen wurden, sondern auch, dass der Klageweg gegen tatsächliche wie vermeintliche, böswillige wie unbeabsichtigte, gravierende wie läppische Verstöße denkbar einfach gestaltet worden ist. Jeder kann jeden vor den Kadi zerren, es braucht keine Feigenblatt-Verbraucherschutzorganisationen mehr. Es wird ein Abmahngewitter aufziehen, wie es zuletzt bei der Einführung der Impressumspflicht zu beobachten gewesen ist.
Es gibt ein paar Ansätze, das Abmahn-Risiko zumindest zu verringern*:
- Eine Datenschutzerklärung darf auf keiner Webseite mehr fehlen, und auch, wer schon eine hat, sollte sich keinesfalls zu sicher fühlen. Mittels einiger frei verfügbarer und/oder kostenpflichtiger Generatoren kann eine möglicherweise rechtssicherere Datenschutzerklärung erzeugt werden, wobei die Anbieter dieser Generatoren allerdings jegliche Haftbarmachung ablehnen und darauf verweisen, dass eine wirklich rechtssichere Datenschutzerklärung nur durch einen Fachanwalt erstellt werden könne.
- Überlegen, ob Tracking wirklich erforderlich ist, und prüfen, inwieweit der dafür verwendete Dienst den Vorschriften entspricht bzw. seine Nutzer_innnen dabei unterstützt, DSGVO-konform Daten zu erheben (Stichwort IP-Anonymisierung, Vertragsdatenverarbeitung).
- Serverseitig IP-Anonymisierung in den Logfiles aktivieren.
- Prüfen, inwieweit auf der Website aktiv Daten gesammelt werden, die zukünftig nicht mehr bzw. nur noch mit ausdrücklicher Zustimmung erhoben und gespeichert werden dürfen - diese betrifft z.B. Kontaktformulare, Gästebücher, Newslettertools etc., und ggf. auf diese Dienste zukünftig verzichten, oder zumindest so umstellen, dass keine unnötigen Daten mehr gesammelt werden.
Tipp: Die neuesten Versionen des MiniForm- und mpform-Moduls können so konfiguriert werden, dass eingegebene Daten nicht mehr gespeichert werden, sondern nur noch die erwünschten Mails an den Seitenbetreibenden generiert werden. - Umstellung der Seite auf SSL - das ist inzwischen bei nahezu allen Webhostern entweder im Preis enthalten oder gegen einen geringen Aufpreis verfügbar, und neben der DSGVO ist insbesondere Google ein weiteres Argument für den Umstieg auf https, ranken verschlüsselt übertragene Seiten doch besser und wird ab Juni 2018 Chrome ziemlich auffällig auf "unsichere" Seiten ohne SSL hinweisen. Mehr zur Umstellung auf https in diesem Beitrag.
Und das ist nur die Spitze des Eisbergs - die DSGVO erfasst alle Lebensbereiche, in denen irgendwie Daten gespeichert werden, nicht nur Webseiten. Auch im Unternehmen und beim Offline-Umgang mit Kundendaten sind zukünftig umfangreiche neue Vorschriften zu beachten. Nicht zu vergessen das Damoklesschwert Auskunftsrecht: Ab 25. Mai ist man dazu verpflichtet, Auskunftsersuchen nachzukommen und auf Anfrage peinlich genau darüber zu informieren, welche persönlichen Daten man von der anfragenden Person gespeichert hat.
Diskussion über das Thema DSGVO mit vielen weiterführenden Links im WBCE-Forum:
https://forum.wbce.org/viewforum.php?id=71
* Dies ist KEINE Rechtsberatung. Die Liste erhebt in keinster Weise auch nur den geringfügigsten Anspruch auf Vollständigkeit oder Richtigkeit. Zu Risiken und Nebenwirkungen beißen Sie in die Tischkante und treten Sie Ihren Anwalt oder EU-Parlamentarier.