Die neue DSGVO
Und die Auswirkung auf Videokonferenzen & Webhosting
Wichtige Key Facts über die DSGVO
Das musst du darüber wissen
Datenschutz – ein Thema, welches uns seit Beginn des digitalen Zeitalters begleitet. Im Laufe der Jahre gab es immer wieder bedeutsame Beschlüsse, die verabschiedet wurden und großen Einfluss auf den (internationalen) Datenverkehr haben. Website-Betreiber, Webhosting-, Videokonferenz-Anbieter und Co. müssen sich somit immer wieder neuen Herausforderungen stellen und dafür sorgen, dass ihr Web-Auftritt und dazugehörige Dienstleistungen sowie Tätigkeiten der Datenschutz-Grundverordnung unterliegen.
Übersicht, über die wichtigsten Beschlüsse
Besonders ereignisreich war es jedoch für Europa und die USA, da es viele Unstimmigkeiten gab. Welche Ereignisse darunter zu verstehen sind, verrät dir die nachfolgende Übersicht. Diese zeigt dir diverse Beschlüsse rund um das Thema Datenschutz und Inhalte der neuen DSGVO.
2000-2015: Safe Harbor
Ein Abkommen zwischen EU und USA
Safe Harbor ist ein Abkommen zwischen der EU-Kommission und der USA. Davor galt die EU-Datenschutzrichtlinie.
Dabei wurde festgelegt, dass eine Übermittlung personenbezogener Daten nur dann möglich ist, wenn die davon betroffenen Länder ein hohes Datenschutzniveau nachweisen konnten. Dies konnte die USA jedoch nicht. In solchen Fällen mussten Unternehmen an der sogenannten Safe Harbor teilnehmen.
Eine externe Zertifizierung war nicht erforderlich
Dabei stellte sich jedoch folgendes Problem heraus: Teilnehmer der Safe Harbor mussten sich keiner externen Zertifizierung oder ähnlichem unterlegen. Sie mussten sich lediglich öffentlich dazu bekennen, die aufgestellten Datenschutz-Grundsätze der Safe Harbor einzuhalten. Daraufhin wurde man in eine Liste des US-Handelsministeriums aufgenommen und galt als Unternehmen mit ausreichendem Datenschutzniveau.
Keine Prüfung, ob Gesetze eingehalten wurden
Ob ein Unternehmen eine Umsetzung der vorgeschriebenen Grundsätze tatsächlich verwirklichte, wurde jedoch nicht geprüft. Somit war die Gefahr groß, dass diese Datenschutzregelungen oftmals nicht eingehalten wurden.
seit 2001: Patriot Act
Datenweitergabe zum Schutz vor Anschlägen
Kurz nach dem Terroranschlag am 11. September 2001 wurde der USA Patriot Act ins Leben gerufen. Durch dieses Gesetz werden Unternehmen in der USA dazu verpflichtet, vorhandene, zum Teil auch länderübergreifende, Kundendaten an US-Behörden und das FBI weiterzugeben.
Somit sollen in Zukunft Terroranschläge und jegliche Straftaten besser erkannt und darüber ermittelt werden.
2015/16 – 2020: Privacy Shield
Ein Schutzschild für persönliche Daten
Der Privacy Shield sollte eine Art Schutzschild für persönliche Daten aus der EU an die USA darstellen. Aufgrund dieser Absprache mussten sich US-amerikanische Unternehmen in eine Liste eintragen. Darüber verpflichteten sie sich die Regelungen bezüglich des Umgangs der personenbezogenen Daten einzuhalten.
Gegenüber des Safe Harbors mussten sie jetzt jedoch mit Sanktionen rechnen, sollten die Regeln nicht eingehalten werden. Zu den Regelungen gehörten unter anderem die Zweckbindung (Daten dürfen nur für den angegebenen Zweck und nicht darüber hinaus genutzt werden) und die Datensparsamkeit (nur erforderliche Daten dürfen gespeichert werden).
Im Gegensatz zum Safe Harbor durften amerikanische Geheimdienste nur noch mit Einschränkung und Kontrolle auf die Daten zugreifen. Trotzdem sei der Schutz der Daten nicht ausreichend gewesen. Die EU konnte sich einzig auf Zusicherung der Behörden verlassen. Feste Verträge diesbezüglich gab es nicht. Aufgrund der Kritik wurde der Privacy Shield 2020 eingestellt.
seit 2018: Cloud Act
Das Recht für US-Behörden auf Daten von Unternehmen zuzugreifen
Da bei dem zuvor entstanden Patriot Act nicht eindeutig war, wie außerhalb der USA mit diesem Thema umgegangen werden soll, wurde deshalb 2018 der Cloud Act in den USA verabschiedet. Dieser beinhaltet das Recht der US-Behörden auf personenbezogene Daten von US-Unternehmen zuzugreifen – auch wenn die Speicherung dieser Daten außerhalb der USA erfolgt.
Aus der Sicht der USA sind damit Strafverfolgungen auch grenzübergreifend möglich und die nationale Sicherheit somit bewahrt und optimiert. Dabei gibt es bei diesem Gesetz vor allem auch Anpassungen an heutige, aktuelle Bestimmungen der Cloud-Technologie.
Jedoch ist der Cloud Act für deutsche Unternehmen eine schwierige Angelegenheit. Laut neuer DSGVO sei die Herausgabe von Daten nur dann erlaubt, wenn zwischen der EU und einem Drittland ein Rechtshilfeabkommen in Strafverordnungen besteht. Dies gibt es jedoch nicht zwischen der EU und den USA.
Somit ist es deutschen Unternehmen davon abzuraten eine Zusammenarbeit mit amerikanischen Dienstleistern/Cloud-Anbietern einzugehen, da ihre Services nicht datenschutzkonform sind und Unternehmen sich somit strafbar machen können.
seit 25.05.2018: die neue DSGVO
Soll den Umgang mit personenbezogenen Daten vereinheitlichten
Diese neue Datenschutz-Grundverordnung soll den Umgang von Unternehmen, Behörden und Vereinen mit personenbezogenen Daten regeln und vereinheitlichten. Das heißt zum Beispiel: Wie darf ein Unternehmen Daten einer Person erheben und diese verarbeiten?
Der Datenschutz wurde somit auch für die ganze EU vereinheitlicht. Auch Unternehmen mit Sitz außerhalb Europas sind teilweise davon betroffen, und zwar dann, wenn sie Daten von EU-Bürgern erheben wollen.
Welche Rechte ergeben sich aus der neuen DSGVO für Nutzer?
- Unternehmen benötigen zuerst eine Zustimmung und Einwilligung des Nutzers für die Datenverarbeitung (die Zustimmung kann auch jederzeit widerrufen werden).
- Nutzer besitzen den Anspruch auf Löschung all ihrer gespeicherten Daten.
- Informationen über die Erfüllung der DSGVO-Richtlinien durch das Unternehmen müssen für den Nutzer einsehbar sein.
Webhosting in Bezug auf die neue DSGVO
Welche genauen Auswirkungen und Folgen die neue DSGVO auf das Webhosting hat, erfährst du hier.
Websites nutzen immer externe Server, welche Daten speichern, unter anderem auch personenbezogene.
Um die Speicherung möglichst sicher zu gestalten, ist es wichtig vor Auftragsverarbeitung (alt: Auftragsdatenverarbeitung) einen Vertrag bezüglich der Datenschutz-Grundverordnung gemäß nach Art. 28 DSGVO abzuschließen.
Inhalte dieses Vertrages sind durch das Bundesdatenschutzgesetz vorgegeben. Das Bundesdatenschutzgesetz enthält einen Zehn-Punkte-Katalog. Diese Punkte müssen in jedem Auftragsverarbeitungsvertrag berücksichtigt werden, denn sie gewährleisten den Datenschutz bei einer Datenverarbeitung. Darüber hinaus können im Einzelfall natürlich noch weitere Punkte für den Vertrag vereinbart werden.
Ob du die Inhalte des Zehn-Punkte-Katalogs erfüllst, kannst du mithilfe einer Checkliste überprüfen.
Google Analytics und die neue DSGVO
Jetzt ist eine Einwilligung erforderlich
Durch die Einbindung des Analyse-Tools “Google-Analytics” werden ebenfalls personenbezogene Daten extern gespeichert und verarbeitet.
Bevor es die neue DSGVO gab, war eine Einbindung des Tracking-Tools “Google Analytics” auch ohne eine eindeutige Einwilligung des Nutzers möglich. Voraussetzungen dafür waren lediglich der AV-Vertrag und die IP-Anonymisierung (IP-Adressen der Nutzer werden vor Ablauf der Datenübertragung anonymisiert). Dass personenbezogene Daten an den Google Server gesendet wurden, wurde bereits vor der DSGVO-Regelung kritisiert. Zudem informiert Google nicht ausreichend darüber, welche Daten letztendlich genau genutzt und gespeichert werden.
Mit der neuen DSGVO werden diese Punkte jetzt rechtlich geregelt. Google-Analytics kann nur mit einer Einwilligung des Users verwendet werden. Nutzer müssen einer Datenübertragung und Nutzung von Cookies zustimmen. Vor einer ausdrücklichen Einwilligung hinsichtlich des Nutzers sind Datenflüsse untersagt.
Weitere Punkte, die Betreiber erfüllen müssen, um Google Analytics datenschutzkonform nutzen zu können, sind:
- Durch die Verwendung eines Erweiterungscode namens „anonymizeIp“ werden bei “Google Analytics” alle IP-Adressen der Nutzer anonymisiert, bevor eine Datenübertragung stattfindet.
- Google Analytics muss als Dienst im Datenschutzhinweis der entsprechenden Website für alle Nutzer ersichtlich sein. Dabei muss auch zwingend hervorgehen, welche Daten genau von “Google Analytics” erhoben werden und vor allem wann und wie diese Daten Deutschland verlassen.
- Nutzer müssen auch darüber informiert werden, dass Google Analytics meist eigene Cookies verwendet.
- Eine Aufklärung der Rechte hinsichtlich der Datenerhebung und wie man diese beanspruchen kann, ist ebenfalls anzugeben.
Nicht nur bei der Verwendung des Tracking-Tools “Google-Analytics”, sondern auch alle anderen verwendeten Dienste müssen entsprechend hinsichtlich der Datenschutzbestimmungen auf der Website aufgelistet und erläutert werden.
Für den Nutzer muss ersichtlich sein, welche Daten bei den jeweiligen Diensten erhoben werden und wo diese letztendlich ankommen.
Videokonferenzen und die neue DSGVO
Immer häufiger werden europäische Dienste bevorzugt
Nicht nur Webhosting, sondern auch diverse Videokonferenz-Anbieter sind von der DSGVO-Regelung betroffen.
Die größten Anbieter für Webmeeting (z.B. Zoom oder Cisco Webex) haben ihren Sitz in der USA. Deshalb werden die Nutzerdaten auch nach dortigem Recht verarbeitet. Gerade deshalb werden immer häufiger europäische Dienste bevorzugt.
Um trotzdem Kunden gewinnen zu können, sollten amerikanische Unternehmen zusätzliche Sicherheitsvorkehrungen bezüglich der Daten vornehmen – zum Beispiel mit dem Abschluss des „Standard Contractual Clauses (SCC)”. Diese Regeln binden den Vertragspartner an die Einhaltung der europäischen Datenschutzregeln.
Hat ein amerikanisches Unternehmen das Privacy-Shield-Zertifikat, so galt es ebenfalls als sicher. Dies ist mittlerweile nicht mehr der Fall, wie bereits oben beschrieben. Für bestimmte Länder gibt es seitens der EU “Angemessenheitsbeschlüsse”, die den Schutz der Daten versprechen. An diesen könnte sich der Nutzer gutem Gewissens orientieren.
In Ausnahmefällen können die Datenschutz-Regelungen auch vertraglich mit dem Anbieter festgelegt werden.
Bezüglich der Nutzung von den Tools gibt es folgende Punkte zu beachten:
- Man sollte Dienste wählen, die datenschutzfreundlich sind.
- Datenschutzbeauftragte des eigenen Unternehmens sollten in die Entscheidung mit einbezogen werden.
- Voreinstellungen sollten im Hinblick auf deren Zweck geprüft und ggf. Schutzmaßnahmen vorgenommen werden.
Für die Bereitstellung eigener Videokonferenzen-Dienste sind diese Punkte relevant:
- Datenschutz-Regelungen müssen verständlich sein (auch wichtig: Welche Methoden und wofür diese genutzt werden).
- Nutzer müssen auf Tracking-Technologien hingewiesen werden.
- Nutzer müssen diesen zustimmen.
- Auch bei einer Ablehnung sollte das Tool verwendbar sein.
- Einwilligungen sollten dokumentiert werden.
- Bildschirmfreigaben benötigen vorerst eine Zustimmung des Nutzers.
- Aufzeichnungen müssen nach Nutzungsende gelöscht werden.
- Das Erstellen von Verhaltensprofilen ist nicht erlaubt.
- Eine Datenübertragung muss verschlüsselt erfolgen.
- Dem Nutzer muss eine Möglichkeit geboten werden, seine Einwilligung zu widerrufen.
Datenschutzkonformes Videokonferenzen-Tool „Mecamic“
Unser eigenes Videokonferenzen-Tool “Mecamic.com” entspricht den DSGVO-Vorschriften und du kannst es ohne Bedenken nutzen.
Ein Download ist nicht nötig. Unser Tool läuft direkt im Browser, idealerweise über Chrome. Es sind keine zusätzlichen Informationen erforderlich. Man muss sich nicht registrieren.
Daten werden verschlüsselt direkt zwischen den Teilnehmern übertragen. Das funktioniert aktuell mit bis zu 4 Teilnehmern. Probiere doch direkt mal die Beta-Version aus!
Fazit
Wie du siehst, ist die DSGVO sehr umfangreich und bringt vieles mit sich. Umso wichtiger ist es, die Website oder andere Dienste anzupassen, damit du als Anbieter nicht abgestraft wirst. Mithilfe dieses Blogbeitrags sollte dir das einfach gelingen.
Quellen:
- datenschutz-generator.de/dsgvo-video-konferenzen-online-meeting/
- mecamic.comhttps://www.datenschutz.org/privacy-shield/
- www.e-recht24.de/news/datenschutz/11182-cloud-act-oder-dsgvo-das-muessen-unternehmen-beachten.html
- www.datenschutz.org/safe-harbor/
- www.e-recht24.de/datenschutzgrundverordnung.html
- www.e-recht24.de/artikel/datenschutz/10580-auftragsdatenverarbeitung-adv-datenschutz.html
- www.datenschutz.org/auftragsdatenverarbeitung/
- www.e-recht24.de/artikel/datenschutz/6843-google-analytics-datenschutz-rechtskonform-nutzen.html
- www.bussgeldkatalog.org/google-analytics-datenschutz/
Mit uns fängt Ihr Projekt richtig gut an
Lassen Sie uns besprechen, welche Grundlagen und Informationen dafür wichtig sind.
Sie planen ein Projekt? Wie wäre es zuerst mit einem Kaffee bei uns.
Unsere Kundinnen und Kunden
Unser Newsletter
Pro Quartal versenden wir einen Newsletter, der spannende Neuigkeiten zu den Themen TYPO3, Webdesign, SEO und Trends enthält.
Don’t talk about!
Über 100 Mitarbeiter:innen!
Der FGTCLB: Fünf Agenturen, ein Netzwerk, seit 2017. Wir sind unabhängig, profitieren aber von einem geteilten Pool an Ressourcen und Erfahrung, auch aus gemeinsam realisierten Projekte.
Ein Team
Was haben Sie davon? Ganz einfach, Ihre Projekte werden schneller fertig. Wir gleichen Arbeitsspitzen aus. Und Sie profitieren von mehr Know-how, gerade bei kniffligen Aufgaben.