Ab 25. Mai 2018 werden sich die Informationspflichten im Online-Bereich nicht mehr ausschließlich aus den § 4 Abs. 3, § 33 BDSG und § 13 Abs. 1 TMG, sondern u.a. aus den Art. 13 und 14 Datenschutz-Grundverordnung (DSGVO) ergeben. Im Rahmen der DSGVO müssen daher alle Datenschutzerklärungen und ggf. auch die Internetseiten selbst aktualisiert bzw. angepasst werden. Alle unsere Kunden, welche ein sog. "Update-Paket" bei uns gebucht haben, werden zeitnah mit neuen Rechtstexten versorgt. Gleiches gilt natürlich auch für aktuelle Checks, welche sich noch in der Bearbeitung befinden. Künftig muss der Betreiber einer Internetseite bzw. eines Online-Shops folgende Angaben in seiner Datenschutzerklärung machen:

• Der Verantwortliche für die Internetseite ist mit dem Namen und mit seinen Kontaktdaten anzugeben (Rechtsgrundlage Art. 13 Absatz 1 lit. a DSGVO)
• Es müssen alle besonderen Funktionen der Website aufgelistet werden (Rechtsgrundlage Erwägungsgrund 39 DSGVO)
• Falls ein Datenschutzbeauftragter bestellt ist, ist auch über dessen Namen und Kontaktdaten zu informieren
• Anzugeben ist die Rechtsgrundlage, auf die sich die Datenverarbeitung stützt
• Falls sich die Rechtsgrundlage aus Art. 6 Abs. 1 lit. f DSGVO ergibt, ist das berechtigte Interesse darzulegen. Zu benennen ist auch der Zweck der Datenverarbeitung
• Außerdem sind Empfänger oder Kategorien von Empfängern von personenbezogenen Daten anzugeben
• Unterrichtung über die Verarbeitung von Daten außerhalb der EU - Art 13 Abs. 1 lit f DSGVO
• Daneben ist auch der Datentransfer in Drittländer, falls dies beabsichtigt ist mitzuteilen. Dazu gehört auch, dass der Verantwortliche vermerken muss, auf welche Rechtsgrundlage gem. Art. 44 ff. DSGVO er sich dabei stützt. Außerdem sind ggf. Standardvertragsklauseln oder die BCR zugänglich zu machen.
• Unterrichtung über den Datenaustausch mit anderen Websites – Art. 13 Abs. 1 lit c DSGVO Entsprechend sind Hinweise zu allen genutzten Plugins und Scripten aufzunehmen, wenn deren Nutzung einen Datenaustausch mit einer anderen Internetseite / einem anderen Server mit sich bringt.
• Unterrichtung über die Nutzung von Cookies – Art. 13 Abs. 1 lit f DSGVO
• Nunmehr muss auch die Speicherdauer angegeben werden oder die Kriterien, nach denen sich die Speicherdauer bestimmt
• Sollte ein Profiling oder eine Art von automatisierte Einzelfallentscheidung nach Art. 22 DSGVO i.V.m. § 37 BDSG durchgeführt werden, so hat der Verantwortliche gem. Art. 13 Abs. 2 lit f DSGVO die betroffenen Personen über das Bestehen und die Folgen der Entscheidungsfindung zu informieren. So muss z.B. ein Hinweis erfolgen, wenn z.B. eine schlechte Bonität zur Einschränkung bei Zahlungsweisen führen kann. Zudem ist die Grundannahme der Algorithmus-Logik mitzuteilen.
• Recht auf Beschwerde bei einer Aufsichtsbehörde – Art. 77 DSGVO
• Auskunftsrecht (Art. 15 DSGVO, § 27 ff. BDSG (neu))
• Recht auf Berichtigung (Art. 16 DSGVO, §§ 27 f. BDSG (neu))
• „Recht auf Vergessenwerden“ (Löschung) (Art. 17 DSGVO, § 35 BDSG (neu))
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO, §§ 27, 28, 35 BDSG (neu)
• Unterrichtung über das Recht auf Widerspruch zur Datenverarbeitung – Art. 21 DSGVO
• Unterrichtung über das Recht auf Datenübertragbarkeit – Art. 20 DSGVO
• Datenschutzrechtliche Einwilligung bei besonderen Kategorien – Art. 9 Abs. 2 DSGVO
• Angaben zur Nutzung von Webtracking-Software
• Website mit Transport Layer Security (TLS / SSL) verschlüsselt?
• Gemäß Artikel 5 Abs. 1 lit. f DSGVO i.V.m. Art. 32 Abs. 1 lit. a DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der  Daten gewährleistet.
• Und darüber, dass bei wirksamer Einwilligung das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtsmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
• Sollten die Daten nicht beim Betroffenen erhoben worden sein, dann ist nach Art. 14 DSGVO auch über die Herkunft der Daten zu informieren. Das heißt, es ist die Datenquelle zu nennen, dies gilt auch dann, wenn es sich um öffentlich zugängliche Daten handelt
• Aus Transparenzgründen empfehlen wir die zuständige Aufsichtsbehörde (Landesdatenschutzbehörde) in der Datenschutzerklärung zu benennen

Diese Informationen müssen nach Art. 12 Abs. 7 DSGVO in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form abgebildet und vermittelt werden. Der Erwägungsgrund 58 sagt in diesem Zusammenhang, dass diese Informationen im Online-Bereich ebenso in elektronischer Form bereitgestellt werden können, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt sind. Ähnlich wie bereits in § 13 Abs. 1 S. 1 TMG geregelt, bestimmt Art. 13 Abs. 1 DSGVO, dass die Informationen schon bei der Erhebung der Daten mitzuteilen sind. Dies kann aber weiterhin durch einen Link erfolgen. Neben der Änderung der Datenschutzerklärung selbst, sind folgende Punkte zu beachten:

• Grundsatz der Datenminimierung (Rechtsgrundlage Art. 5 Abs. 1 lit c DSGVO) Personenbezogene Daten dürfen nur in dem Rahmen erhoben werden, wie es dem Zweck angemessen und erheblich ist. Zudem muss die Erhebung auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Dies gilt z.B. bei der Abfrage der Daten in Kontaktformularen

Unsere Checkliste zum Datenschutz wurde daher von vormals 16 Prüfpunkten auf 22 Prüfpunkte erweitert, obwohl im Rahmen der Konsolidierung einzelne Prüfpunkte zusammengefasst wurden, hat sich die Checkliste also massiv erweitert. Einiges ist bis heute noch nicht abschließend geklärt, so dass von weiteren Anpassungen in den nächsten Jahren auszugehen ist. Dies gilt insbesondere vor dem Hintergrund der verschobenen ePrivacy-Verordnung, wodurch es nochmal Änderungen zum Thema Webtracking und Cookies geben wird. Falls Sie bereits einen Website-Check mit Update-Paket gebucht haben, müssen Sie nichts weiter tun. Wir werden uns zeitnah mit neuen Rechtstexten bei Ihnen melden. Falls Sie noch keinen Website-Check für Internetseiten oder kein Update-Paket gebucht haben, ist jetzt der richtige Zeitpunkt dafür. Die möglichen Bußgelder, welche die Behörden durch die Datenschutz-Grundverordnung (DSGVO) verhängen können sind massiv - bei Verstößen kann es zu Bußgeldern in Höhe von bis zu vier Prozent des gesamten Jahresumsatzes kommen. Die Kosten eines Checks stehen also in keinem Verhältnis zum möglichen Risiko. Melden Sie sich gerne bei uns, wenn Sie Fragen haben oder Unterstützung benötigen. Lesen Sie weitere Artikel zu dem Thema: Prüft das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bald ob Websites SSL-Verschlüsselt sind? SSL-Verschlüsselung von Kontaktformularen – Wohnungsbau-Gesellschaften im Visier der Datenschutzbehörden Müssen nun alle Websites mit Secure Sockets Layer (SSL) verschlüsselt werden? (Update)