Ab 25. Mai werden die EU-Datenschutz-Grundverordnung (DSGVO) und die Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) wirksam. Damit einher gehen verstärkte Pflichten für Website-Anbieter*innen wie zum Beispiel eine Verschlüsselung der Kommunikation. Das Thema Datenschutz sollte daher ganz oben auf die To-Do-Liste gesetzt werden.
Verschlüsselung
Bei BER-IT haben wir unsere Website ber-it.de auf "https" und SSL-Zertifikat (SSL/TLS) umgestellt. Da sich unsere Kundinnen über unsere Website zu unseren Veranstaltungen anmelden können, auf der Website also Daten eingegeben werden, ist eine Verschlüsselung der Kommunikation zu unserem Webserver notwendig. Dass SSL/TLS aktiviert ist, können Sie an dem kleinen Schloss-Symbol ganz links in der Adresszeile des Browsers sehen (siehe Bild).
Cookie-Banner
Wir haben außerdem auf unseren beiden Websites, ber-it.de und frauen-berufsperspektive.de, eine Warnung und Einverständniserklärung zu Cookies eingestellt. Dieses sogenannte Cookie-Banner poppt beim (ersten) Besuch im unteren Bereich auf. Fast alle Webseiten verwenden Cookies. Diese sind auch dazu da, Nutzer*innen wiederzuerkennen und diesen das Surfen auf dieser Website zu erleichtern. Hier ist die rechtliche Situation nicht ganz eindeutig zwischen der deutschen und der europäischen Gesetzgebung. Laut gültigem Telemediengesetz (TMG) reicht es aus, die Nutzer*innen zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Laut EU-Cookie-Richtlinie muss das Einverständnis der Besucher*innen eingeholt werden.
IP-Adressen gelten als personenbezogene Daten
Da es sich laut gültiger Rechtsauffassung selbst bei dynamischen IP-Adressen um personenbezogene Daten handelt, ist bereits der Aufruf einer Website im Browser datenschutzrelevant - Ausnahmen gelten nur für private Websites.
Das Speichern der IP-Adressen stellt eine Verarbeitung von personenbezogenen Daten dar, die eine Erklärung zum Umgang mit diesen Daten erfordert. Die Betreiberin einer Website muss also eine Datenschutzerklärung auf die Website stellen, die auch den Website-Host mit einschließt, denn dieser speichert die Daten. Das sollte bereits bei der Auswahl des Webhosting-Anbieters mit bedacht werden: am Einfachsten ist es, wenn der Hosts Firmensitz und Server in Deutschland hat.
Weil die Einwilligung der Nutzer*innen fehlt, ist es notwendig eine sogenannte Auftragsverarbeitung mit der Webhosting-Unternehmen zu vereinbaren. Das Erheben, Verarbeiten oder Nutzen personenbezogener Daten erfolgt durch den Auftragsverarbeiter, dem Webhoster, gemäß den Weisungen des für die Verarbeitung Verantwortlichen, den Website-Betreibenden.
Mehr Informationen auf heise.de