DSGVO-konformes Hosting: Do’s and dont’s
Deine Website DSGVO-konform zu betreiben, ist heutzutage wichtiger denn je – wir zeigen dir, was du dabei beachten musst.
Better safe than sorry – dieses Prinzip gilt für dich als Website-Betreiber*in mehr denn je. Und das nicht nur in Hinblick auf deine eigenen Business-Daten, sondern ebenso auf die deiner Kund*innen. Sobald nämlich Besucher*innen auf deine Internetpräsenz klicken, rückt das Thema Datenschutz in den Vordergrund. Als Admin bist du dafür verantwortlich, dass die personenbezogenen Daten gemäß der Datenschutz-Grundverordnung (DSGVO) sicher und zweckmäßig behandelt werden. Was zunächst einmal komplex klingt, lässt sich glücklicherweise vereinfachen – denn auch fürs Thema Datenschutz gibt es inzwischen zahlreiche Tools und Softwares, die dir das Leben erleichtern. Welche das sind und wie du dein Hosting DSGVO-konform betreibst, zeigen wir dir im Folgenden.
Bitte beachte jedoch, dass dieser Artikel keine Rechtsberatung ersetzen kann und die einzelnen Aspekte sich mit der Zeit ändern können. Insofern dient dieser Beitrag als thematische Übersicht, damit du dich anschließend tiefergehend informieren lassen kannst. Solltest du dir unsicher sein, ob dein Hosting DSGVO-konform ist, wende dich am besten an entsprechend spezialisierte Rechtsanwält*innen.
5 Fragen zur DSGVO
Bevor wir genauer darauf eingehen, wie du deine Website datenschutzrechtlich absicherst, erläutern wir noch ein paar wichtige Eingangsfragen zur DSGVO:
Was ist die DSGVO?
Die DSGVO (Datenschutz-Grundverordnung) ist eine EU-Verordnung, die am 25. Mai 2018 in Kraft getreten ist. Sie regelt den Schutz personenbezogener Daten in der Europäischen Union und ersetzt die bis dahin geltende EU-Datenschutzrichtlinie. Die DSGVO dient dem Zweck, die Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten zu schützen. Sie legt fest, wer für den Schutz dieser Daten verantwortlich ist, welche Pflichten er oder sie hat und welche Strafen bei Verstößen drohen. Ein wichtiger Bestandteil der DSGVO ist das Recht auf Auskunft, Löschung, Berichtigung und Datenübertragbarkeit:
Das Recht auf Auskunft bedeutet, dass deine Nutzer*innen das Recht haben, Auskunft darüber zu erhalten, ob personenbezogenen Daten durch dich verarbeitet werden und falls ja, welche Daten das sind und zu welchen Zwecken die Verarbeitung stattfindet.
Das Recht auf Löschung (auch als "Recht auf Vergessenwerden" bezeichnet) bedeutet, dass User*innen das Recht haben, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind. Das ist beispielsweise dann der Fall, wenn die Daten nicht mehr für die Zwecke, für die sie erhoben wurden, erforderlich sind.
Das Recht auf Berichtigung bedeutet, dass deine Nutzer*innen das Recht haben, die Berichtigung unrichtiger personenbezogener Daten zu verlangen.
Das Recht auf Datenübertragbarkeit bedeutet, dass deine User*innen das Recht haben, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie können diese Daten dann an Verantwortliche übertragen oder verlangen, dass diese von dir übertragen werden.
Für wen gilt die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) gilt für alle Unternehmen und Organisationen, die personenbezogene Daten innerhalb der Europäischen Union erheben, verarbeiten oder nutzen, unabhängig davon, ob sie innerhalb oder außerhalb der EU ansässig sind.
Unternehmen und Organisationen, die ihren Sitz innerhalb der EU haben, unterliegen in jedem Fall der DSGVO.
Unternehmen und Organisationen, die ihren Sitz außerhalb der EU haben, unterliegen der DSGVO, wenn sie personenbezogene Daten von natürlichen Personen, die in der EU ansässig sind, erheben, verarbeiten oder nutzen und entweder eine Niederlassung innerhalb der EU haben oder ihre Dienste gezielt an Personen in der EU anbieten.
So werden Unternehmen, die sich auf der ganzen Welt befinden und Geschäfte innerhalb der EU machen, unter die DSGVO fallen und sind somit verpflichtet, die EU-Datenschutzgesetze zu beachten.
Wo gilt die DSGVO?
Die DSGVO hat direkte Wirkung in allen EU-Mitgliedstaaten und bedeutet, dass die Mitgliedstaaten keine nationalen Gesetze erlassen müssen, um die Anforderungen der DSGVO umzusetzen. Allerdings können die Mitgliedstaaten eigene Regelungen ergänzen, wenn dies für einen höheren Datenschutz-Standard sorgt.
Es ist wichtig zu beachten, dass die DSGVO nicht nur für Unternehmen und Organisationen in der EU gilt, sondern auch für Unternehmen und Organisationen außerhalb der EU, die personenbezogene Daten von EU-Bürgern erheben, verarbeiten oder nutzen.
Darüber hinaus solltest du beachten, dass es irrelevant ist, wo die eigentliche Verarbeitung der Daten stattfindet. Erhebst du beispielsweise Daten in der EU, lässt diese aber auf einem Server in einem Drittland wie den USA verarbeiten, gelten hierfür dennoch die Richtlinien der DSGVO.
Was sind personenbezogene Daten?
Personenbezogene Daten sind gemäß der Datenschutz-Grundverordnung alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören beispielsweise der Name, die Anschrift, die Telefonnummer, die E-Mail-Adresse, Angaben zu Alter und Geschlecht, Fotos, die IP-Adresse, standortbasierte Daten, die Sozialversicherungsnummer, Bankdaten, Gesundheitsdaten, Daten über die Nutzung von Diensten und Produkten, sowie andere ähnliche Informationen. Auch Daten, die durch pseudonyme Informationen ersetzt wurden, fallen unter die Definition der personenbezogenen Daten, wenn sie mittels anderer Daten und Methoden wieder mit einer bestimmten Person in Verbindung gebracht werden können.
Warum ist DSGVO-konformes Hosting wichtig?
Die Gründe dafür, warum DSGVO-konformes Hosting wichtig ist, sind simpel: So ist das Einhalten der Datenschutz-Grundverordnung in der gesamten EU Pflicht. Hältst du dich nicht daran, drohen dir hohe Geldstrafen. Deshalb solltest du darauf achten, dass deine Internetpräsenz stets den aktuellsten Vorgaben entspricht. Das hat den positiven Nebeneffekt, dass du von Kund*innen als vertrauenswürdiger Anbieter wahrgenommen wirst. Ein weiterer positiver Nebeneffekt: Befolgst du die DSGVO, dokumentierst du automatisch alle relevanten Daten, die du im Falle einer Datenpanne im Rahmen der Mitteilungspflicht ohnehin an die Behörden aushändigen musst.
Voraussetzungen für DSGVO-konformes Webhosting
Willst du deine Website DSGVO-konform betreiben, beachte die folgenden Punkte:
Datenschutzerklärung
Dass du datenschutzkonform agierst, sollte auf deiner Website eine Selbstverständlichkeit sein. Zusätzlich ist es aber auch wichtig, dass du Nutzer*innen mittels Datenschutzerklärung darüber informierst, welche personenbezogenen Daten du sammelst und wie du diese verarbeitest und schützt. In einer solchen Erklärung finden deine Kund*innen Infos über ihre Rechte und Pflichten. Eine Datenschutzerklärung muss den Besucher*innen deiner Website in leicht verständlicher und transparenter Form vor oder zum Zeitpunkt der Datenerhebung bereitgestellt werden.
Deine Datenschutzerklärung sollte die folgenden Informationen enthalten:
Deine Identität und Kontaktdaten und gegebenenfalls die der Datenschutzbeauftragten.
Die Zwecke, für die die personenbezogenen Daten verarbeitet werden.
Die Rechtsgrundlage für die Verarbeitung.
Informationen über die Empfänger*innen, an die die Daten weitergegeben werden können.
Die geplante Dauer der Speicherung der personenbezogenen Daten oder Kriterien für die Festlegung dieser Dauer.
Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.
Informationen über die Verarbeitung von Daten im Zusammenhang mit der Verwendung von Cookies und ähnlicher Technologien.
Du solltest sicherstellen, dass die Datenschutzerklärung regelmäßig überprüft wird, sodass sie immer mit den geltenden Datenschutzgesetzen übereinstimmt.
Zusätzlich musst du für Behörden Dokumente anlegen, die nachweisen, wie du die DSGVO-Maßnahmen umsetzt. Das schließt auch eventuelle Verträge mit Sub-Unternehmen, technische und organisatorische Maßnahmen ein. Mehr zu diesem Thema findest du weiter unten im Abschnitt “Notfallplan und 72-Stunden-Regel”.
Weitergabe von Daten
Personenbezogene Daten dürfen laut DSGVO nur unter bestimmten Bedingungen weitergegeben werden. Das ist der Fall, wenn:
Die betroffene Person ihre ausdrückliche Einwilligung zur Weitergabe ihrer Daten gegeben hat.
Die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist, an dem die betroffene Person beteiligt ist.
Die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der du als Verantwortliche unterliegst.
Die Verarbeitung zur Wahrung eines berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist, sofern dies nicht den Grundfreiheiten und Grundrechten deiner Nutzer*innen entgegensteht.
Darüber hinaus solltest du beachten, dass die Weitergabe von personenbezogenen Daten nur in Länder gestattet ist, die ein ausreichendes Schutzniveau für diese Informationen bereitstellen.
Verschlüsselung
Für DSGVO-konformes Hosting sind sowohl Verschlüsselungen der Datenübertragung als auch der Datenspeicherung erforderlich.
Verschlüsselung der Datenübertragung: Um sicherzustellen, dass die Daten bei der Übertragung über das Internet oder andere Netzwerke geschützt sind, solltest du die Protokolle Transport Layer Security (TLS) oder Secure Sockets Layer (SSL) verwenden. Diese verschlüsseln die Daten, die zwischen deinen Nutzer*innen und dem Server ausgetauscht werden, und verhindern, dass Dritte die Daten abfangen oder verändern.
Verschlüsselung der Datenspeicherung: Um sicherzustellen, dass die Daten auch auf den Servern geschützt sind, sollten alle personenbezogenen Daten verschlüsselt gespeichert werden. Dies kann mittels Verschlüsselung auf Datei- oder Blockebene erfolgen. Beispiele sind Verschlüsselungstechnologien wie Advanced Encryption Standard (AES) oder RSA.
Es ist wichtig zu beachten, dass die Verschlüsselung der Daten nicht nur auf die Daten selbst, sondern auch auf die Backups, die Archivierung und bei Löschung der Daten angewendet werden muss. Du musst zudem in der Lage sein, die Verschlüsselungsmaßnahmen zu dokumentieren und diese bei Bedarf den zuständigen Behörden zu präsentieren.
Plugins & Widgets von Drittanbietern
Plugins sind eine beliebte Möglichkeit, um deine Website optisch und funktional aufzuwerten. Vor allem WordPress ist dafür bekannt, dass dir als Admin Tausende von Erweiterungen zur Verfügung stehen. Auch hier solltest du aus DSGVO-Sicht ein Auge drauf haben: Nicht alle Plugin-Hersteller halten sich an die Richtlinien der Datenschutz-Grundverordnung – beispielsweise dann, wenn der Anbieter aus einem Nicht-EU Land stammt. In einem solchen Fall solltest du das entsprechende Plugin gar nicht erst für deine Seite verwenden. Ähnliches gilt für die Datenverarbeitung durch Drittanbieter: Handeln diese nicht DSGVO-konform, gilt auch deine Seite als nicht konform.
Auftragsverarbeitung
Gibst du personenbezogene Daten an Auftragsverarbeiter*innen weiter, spricht man von einer sogenannten Auftragsverarbeitung. Die Auftragsverarbeiter*innen sind dazu verpflichtet, die Daten gemäß deinen Anweisungen und den geltenden Datenschutzgesetzen zu verarbeiten. Beispiele hierfür sind das Hosting von Daten, das Durchführen von Analysen oder das Senden von E-Mails mit Hilfe eines Newsletter-Tools.
Notfallplan und die 72-Stunden-Regel
Leider bietet auch die beste Absicherung keinen 100 %igen Schutz vor Datenpannen oder Angriffen durch Hacker. Stellst du einen solchen Vorfall fest, gilt es, schnell zu handeln. Lege deshalb unbedingt vorher fest, wie du vorgehst, damit die betroffenen Personen unverzüglich informiert und das Datenleck behoben werden kann. Dein Notfallplan sollte Maßnahmen enthalten, um potenzielle Datenschutzvorfälle zu erkennen, zu melden und zu bewältigen, sowie die Kommunikation mit den betroffenen Personen und den Aufsichtsbehörden zu regeln.
Einige der wichtigsten Bestandteile eines Notfallplans im Rahmen der DSGVO sind:
Identifizierung von möglichen Datenschutzvorfällen
Prozesse zur Meldung und Untersuchung von Datenschutzvorfällen
Verfahren zur Minimierung der Auswirkungen eines Datenschutzvorfalls
Kommunikationsverfahren mit betroffenen Personen und Aufsichtsbehörden
Schulung und Sensibilisierung der Mitarbeiter*innen für das Thema Datenschutzvorfälle
Es ist wichtig zu betonen, dass dein Notfallplan regelmäßig aktualisiert werden sollte, um sicherzustellen, dass er immer auf dem neuesten Stand ist und auf die aktuellen Anforderungen und Bedürfnisse deines Unternehmens abgestimmt ist. Achte darüber hinaus unbedingt auf die Einhaltung der 72-Stunden-Regel der DSGVO:
Die 72-Stunden-Regel der DSGVO ist eine Anforderung, die besagt, dass du innerhalb von 72 Stunden nach Kenntnis eines Datenschutzvorfalls (z.B. eines Hackerangriffs oder eines Verlusts von personenbezogenen Daten) die Aufsichtsbehörde informieren musst. In der Meldung müssen die Art des Vorfalls, die betroffenen Personen, die betroffenen Daten und die Maßnahmen beschrieben sein, die unternommen werden, um die Auswirkungen zu minimieren.
Impressum
Die Impressumspflicht gibt es nicht erst seit Einführung der Datenschutz-Grundverordnung 2018. Dennoch ist sie fester Bestandteil einer rechtskonformen Seite. Im Impressum finden Nutzer*innen Angaben über die Verantwortlichen deiner Website. Folgende Informationen sollten in der Regel enthalten sein:
Namen und Anschrift der Verantwortlichen für die Website oder das Online-Angebot.
Kontaktdaten wie Telefonnummer, E-Mail Adresse, sowie andere Kontaktmöglichkeiten.
Für Unternehmen: die Handelsregisternummer sowie die Umsatzsteueridentifikationsnummer.
Für eingetragene Vereine: die Vereinsregister-Nummer und die Anschrift des Vereinsregistergerichts.
Für Selbstständige oder Gewerbetreibende: Berufsbezeichnung, sowie die zuständige Aufsichtsbehörde.
Wenn vorhanden: Der Namen und die Anschrift der Datenschutzbeauftragten.
Für Online-Shops: Angaben zur Informationspflicht bei Fernabsatzverträgen, wie z.B. zu Rückgaberecht oder Lieferbedingungen.
Wie überall gilt: Informiere dich in regelmäßigen Abständen über etwaige gesetzliche Änderungen, damit dein Impressum stets den aktuellen Anforderungen entspricht. Außerdem für dich wichtig zu beachten: Das Impressum sollte immer möglichst einfach auffindbar sein. Im Idealfall bindest du es deshalb in den Footer deiner Startseite ein.
Tracking
Das Tracking der Daten deiner Nutzer*innen ist ein essenzieller Bestandteil, um Rückschlüsse auf deren Verhalten und die Optimierung deiner Seite zu ziehen. Dennoch musst du auch hier gemäß der DSGVO handeln. So solltest du beispielsweise von deinen Besucher*innen beim Einstieg in die Website eine Einwilligung zur Sammlung dieser Daten geben. Mach darüber hinaus kenntlich, welche Daten du zu welchem Zweck sammelst und gib die Möglichkeit, das Tracking optionaler Daten abzulehnen. Tracking ist für sich genommen ein riesiger Bereich und würde den Rahmen dieses Artikels sprengen. Mach dir deshalb an dieser Stelle einfach bewusst, wie wichtig das Thema ist und dass du entsprechend sorgfältig und verantwortungsvoll agieren musst.
Tools für eine DSGVO-konforme Website
Es gibt viele hilfreiche Tools, die dich bei der Umsetzung eines DSGVO-konformen Hostings zu unterstützen. Zwei Arten und die jeweils beliebtesten Tools auf OMR Reviews stellen wir dir im Folgenden kurz vor:
Datenschutz Management Software
Wie der Titel bereits impliziert, hilft dir eine Datenschutz-Management-Software (DPMS) dabei, Datenschutzrichtlinien auf deiner Website umzusetzen. Solche Tools umfassen eine Vielzahl von Funktionen, mit denen du Daten schützen und verwalten kannst. Dazu gehören:
Die Automatisierung von Datenschutzprozessen, wie zum Beispiel die Einholung von Einwilligungen.
Tools zur Klassifizierung und Verschlüsselung von Daten.
Funktionen zur Überwachung von Zugriffen und Änderungen an Daten.
Berichtsfunktionen, die es Unternehmen ermöglichen, sich an geltende Datenschutzgesetze zu halten.
DPMS-Lösungen können auch über eine UI/UX gesteuert werden und sind so aufgebaut, dass sie sowohl IT als auch nicht-IT-Abteilungen nutzen können.
In Deutschland gibt es das Datenschutzmanagement-System nach BDSG, welches Unternehmen beschreibt, das die Anforderungen des BDSG (Bundesdatenschutzgesetz) erfüllt und das Unternehmen bei der Umsetzung der datenschutzrechtlichen Anforderungen unterstützt. Einige der beliebtesten Anbieter auf OMR Reviews für diese Tools sind:
Consent Management Software
Eine Consent Management Software oder Platform (CMP) ist eine Softwarelösung, die es dir ermöglicht, die Einwilligungen von Nutzer*innen für die Verwendung von Cookies und anderen Tracking-Technologien auf deiner Website zu verwalten. Diese Tools können Teil einer der oben genannten Datenschutz-Management-Lösungen sein. Es gibt aber auch eigenständige Consent Management Softwares. CMPs geben User*innen die Möglichkeit, auszuwählen, welche Arten von Cookies sie akzeptieren möchten. Du wiederum kannst diese Einwilligungen nachverfolgen und ggf. anpassen. CMPs helfen Unternehmen auch dabei, sich an geltende Datenschutzgesetze zu halten. Zu den beliebtesten Anbietern für die Nutzer*innen auf OMR Reviews zählen:
Fazit: DSGVO-konform hosten
Wenn du eine Website betreibst, sollte die Einhaltung der Datenschutzrichtlinien eine deiner größten Prioritäten sein. Und das nicht nur, weil du damit deinen Kund*innen eine vertrauensvolle Geschäftsbasis lieferst. Die Einhaltung der DSGVO ist auch wichtig, um eventuelle hohe Geldstrafen zu vermeiden. Das richtige Konzept für den Datenschutz sollte deshalb von Anfang an Teil deiner Website-Planung sein. Glücklicherweise lässt sich dieses komplexe Thema mit den oben genannten Tools ein wenig einfacher gestalten. Wir wünschen dir viel Erfolg beim DSGVO-konformen Hosting! Übrigens: In unserem anderen Ratgeber zeigen wir dir, wie du deinen Newsletter DSGVO-konform erstellen könnt.
Nils ist SEO-Texter bei OMR Reviews und darüber hinaus ein echter Content-Suchti. Egal, ob Grafik, Foto, Video oder Audio – wenn es um digitale Medien geht, ist Nils immer ganz vorne mit dabei. Vor seinem Wechsel zu OMR war er fast 5 Jahre lang als Content-Manager und -Creator in einem Immobilienunternehmen tätig und hat zudem eine klassische Ausbildung als Werbetexter.
