Am 25. Mai 2018 ist die DSGVO in Kraft getreten. Was bedeutet das eigentlich für die Website einer Behörde? Welche Unterstützung bietet die Content-Management-Lösung des Bundes, der Government Site Builder (GSB)? Wir geben fünf verständliche Antworten auf die fünf wichtigsten Fragen.
Für viele ist die DSGVO noch immer undurchsichtig. Unterschiedliche Anwendungsfälle, unterschiedliche Interpretationen, Unklarheit und Bedenken mischen sich zu einem undurchdringbaren Wirrwarr. Welche Daten gelten konkret als „personenbezogen“? Welche Interessen sind „berechtigt“, um Daten zu erheben und zu verarbeiten? Wie lautet die exakte und richtige Formulierung einer Datenschutzerklärung auf einer Website?
Ein Interview mit Věra Jourová, EU-Kommissarin, Hüterin des europäischen Datenschutzes und Mitautorin der DSGVO in dieser Zeit macht uns Mut. Man solle sich bei der Umsetzung der DSGVO schlicht und einfach auf seinen gesunden Menschenverstand verlassen. Wer nicht wisse, wie die DSGVO umzusetzen sei, solle ihr eine E-Mail schreiben. Die E-Mail-Adresse von Věra Jourová ist ebenfalls im Artikel zu finden, falls Ihnen schon lange eine grundsätzliche Frage unter den Nägeln brennt.
Aus meiner Materialsammlung habe ich im folgenden fünf häufige Fragen zusammengetragen und beantworte diese in Bezug auf die Möglichkeiten und die bereits erfolgten Datenschutz-Maßnahmen im GSB. Dieser Blog-Beitrag stellt indes keine Rechtsberatung dar. Bitte wenden Sie sich an einen Juristen für eine detaillierte Betrachtung und Bewertung der rechtlichen Gegebenheiten in Ihrem speziellen Fall.
Welche Nutzerdaten dürfen bei der Newsletter-Anmeldung abgefragt werden?
Grundsätzlich gilt: weniger ist mehr. Zum Beispiel ist es nicht erforderlich, den Namen oder weitere personenbezogene Daten des Abonnenten abzufragen. Um einen Newsletter zu abonnieren, reicht einzig und allein die E-Mail-Adresse aus. Dies entspricht dann dem Grundsatz der Datenminimierung. Sollte dennoch der Name abgefragt werden müssen, ist ein Einverständnis des Abonnenten einzuholen. Eine Checkbox und ein entsprechender Text zur Einwilligungserklärung im Abo-Formular ist im GSB mit wenigen Handgriffen konfigurierbar.
Müssen unsere Formulare (z. B. Kontakt, Besucheranmeldung) auf der Website geändert werden?
Sollten in Formularen z. B. zur Erstellung eines Benutzerprofils voreingestellte Werte enthalten sein, so sind diese so zu wählen, dass der Nutzer durch die Voreinstellung den größtmöglichen Datenschutz genießt. Daten dürfen auch nur erhoben werden, wenn sie für den eindeutig von Ihnen vorgesehenen Zweck erforderlich sind (Grundsatz der Zweckbindung). Nicht notwendige Felder können im GSB meist einfach konfigurativ entfernt werden. Werden personenbezogene Daten abgefragt, ist es auch hier erforderlich, eine Einwilligung des Nutzers einzuholen. Zur Einwilligung kann eine entsprechende Checkbox im GSB konfiguriert werden. Die Einwilligungserklärung ist immer auf den Einsatzzweck zu formulieren.
In welcher Form ist die Einwilligung des Nutzers einzuholen?
Die Einwilligungserklärung muss zweckgebunden für jeden Verarbeitungsvorgang eingeholt werden. Das bedeutet: gesondert für jeden Newsletter, jede Umfrage oder Nutzerregistrierung, in der personenbezogenen Daten abgefragt werden. Eine „Blanko-Einwilligung“ ist nicht zulässig. Gemäß Art. 12 Abs. 1 DSGVO muss die Einwilligungserklärung in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form sowie in einer klaren und einfachen Sprache erfolgen. Die Einwilligungserklärung muss zweckgebunden sein.
Konkret muss der Nutzer folgende Informationen gemäß den Informationspflichten in Art. 13 und 14 DSGVO erhalten:
- Name und Kontaktdaten des Verantwortlichen
- gegebenenfalls Kontaktdaten des Datenschutzbeauftragten
- Zweck und Rechtsgrundlage der Datenverarbeitung
- gegebenenfalls Darstellung der berechtigten Interessen
- gegebenenfalls Empfänger oder Kategorien von Empfängern der Daten
- gegebenenfalls Informationen zur Datenübermittlung in Drittländer
- Dauer der Datenspeicherung
- Belehrung über Betroffenenrechte
- Grundlage der Bereitstellung der Daten auf gesetzlicher oder vertraglicher Basis und Folgen der Nichtbereitstellung
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
Ist der Einsatz von Webanalyse-Tools eigentlich noch zulässig?
Webanalyse-Tools erheben und speichern unter anderem IP-Adressen, die nach dem BGH-Urteil vom 16.05.2017, Az.: VI ZR 135/13 zu den personenbezogenen Daten zählen. Personenbezogene Daten sind nach DSGVO zu anonymisieren.
Das eingesetzte Webanalyse-Tool muss datenschutzkonform sein. Hier macht es einen Unterschied, welches Tool genutzt wird und wo es installiert ist.
Das im GSB-Kontext häufiger eingesetzte Analysetool Piwik/Matomo erhebt und speichert die IP-Adresse des Seitennutzers. Das ITZBund, der IT-Dienstleister des Bundes, anonymisiert die IP-Adressen für alle Piwik-Nutzer auf seiner GSB-Hosting-Plattform.
Sollten Sie andere Tools einsetzen, müssen Sie genau prüfen was zu tun ist, um dem Datenschutz Genüge zu tun.
Google Analytics stellt z. B. einen 14-seitigen Auftragsverarbeitungsvertrag zur Verfügung. Dieser ist in zweifacher Ausfertigung auszudrucken und Angaben zur Website zu ergänzen. Beide Ausfertigungen müssen per Post an Google Irland gesendet werden. Der Auftragsverarbeitungsvertrag ist hier zu finden: https://www.google.com/analytics/terms/de.pdf
Wie viel Aufwand muss betrieben werden, um personenbezogene Daten datenschutzkonform zu behandeln?
Allgemein sollten technische und organisatorische Maßnahmen in einer sinnvollen Relation zum Aufwand stehen. Gemäß Art. 25 Abs. 1 DSGVO ist hier folgendes zu berücksichtigen:
- Stand der Technik
- Implementierungskosten
- Art der Verarbeitung
- Umfang der Verarbeitung
- Umstände der Verarbeitung
- Zwecke der Verarbeitung
- Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher PersonenInsgesamt hat die öffentliche Verwaltung Vorbildcharakter, aber auch beste Rahmenbedingungen zur Umsetzung der DSGVO auf ihren Websites durch Grundsätze des Verwaltungshandelns wie Verhältnismäßigkeit, Aktenmäßigkeit aber auch Transparenz.
- Ihr gesunder Menschenverstand, die einfachen Konfigurationsmöglichkeiten im GSB und Ihre Projekt-Ansprechpartner bei Materna helfen ebenfalls bei einer zügigen und unkomplizierten technischen Realisierung der Datenschutzkonformität.
- Wichtig ist jedoch immer: Sobald personenbezogene Daten erhoben werden sollen, ist immer abzuwägen, ob dies wirklich notwendig ist und mit welchen Mitteln die Daten nachvollziehbar und dauerhaft sicher bewahrt werden können.