Grundsätzlich enthält die Datenschutzgrundverordnung (DSGVO) keine grundlegende Neuausrichtung des Datenschutzes – die bereits bestehenden Datenschutzprinzipien haben nach wie vor ihre Gültigkeit, werden nun aber präziser, verständlicher und transparenter ausformuliert und ausgebaut. Ein Beispiel für die Anforderungen an Webseitenbetreiber:
| Anforderungen § 13 TMG | Anforderungen Art. 12 EU-DSGVO |
|---|---|
| Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG (…) in allgemein verständlicher Form zu unterrichten. | Der für die Verarbeitung Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen (…) die sich auf die Verarbeitung personenbezogener Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. |
Wenn ausschließlich die KoGIs-Standardmodule ohne Eigenentwicklungen und ohne Einbindung anderer Module und Funktionen (wie z.B. Google Analytics oder Youtube) verwenden, wurde das System mit den nötigen Updates versorgt und erfüllt damit die Bedingungen der DSGVO. Nur die Anpassung des Impressums beziehungsweise der Datenschutzerklärung ist in diesem Fall notwendig (und der Formulare des Formularbaukastens).
Bei Webformularen sind aktuelle Verschlüsselungsverfahren einzusetzen. Dies ist im KoGIs-Baukasten der Fall, soweit der Standard eingesetzt oder verwendet wird. Zudem gilt bei allen erfassten Formulardaten der Grundsatz der Datenminimierung bzw. Datensparsamkeit. Es dürfen nur solche Daten erhoben werden, die für den jeweiligen Zweck auch benötigt werden. Wir haben in den KoGIs-Standardformularen die Eingangstexte auf ihre Verständlichkeit überprüft und angepasst. Die Anpassungen wurden mit einem Update flächendeckend verteilt.
Bei Verwendung des Formularbaukastens müssen die Dienststellen die Überprüfung eigenständig übernehmen. Da die Formulare flexibel gestaltet werden können, obliegt es jeder Dienststelle, die Grundsätze der Datenminimierung und -Sparsamkeit zu überprüfen und die Hinweistexte eigenständig anzupassen.
Vor dem Versand eines Newsletters ist der Versender verpflichtet, die explizite Einwilligung des Nutzers einzuholen. Dies passiert bereits im Newslettermodul, das sich im KoGIs-Standard befindet. Eine Nutzung des Newsletters ist nur dann möglich, wenn man dieser explizit zugestimmt hat. Nur in diesem Fall wird der Versand für den Abonnent freigeschaltet und funktioniert. Die bereits datenschutzkonform eingeholte Einwilligung über das vollautomatische KoGIs-Modul gilt weiterhin auch nach der neuen Rechtslage und braucht nicht erneuert werden. Sollte eine Dienststelle aber nicht die Standardfunktion genutzt haben, oder die Abonnenten manuell/automatisiert in das System integriert und die Abofunktion manuell aktiviert haben (ohne, dass der Abonnent eine Bestätigungsnachricht mit der Einwilligungserklärung erhalten haben, dann ist die Nutzung nicht zulässig (dies war auch schon zuvor der Fall). Die Einwilligung muss freiwillig und in unmissverständlicher Weise erfolgen. Dabei müssen Versender auch darüber informieren,
Immer ist es notwendig auch auf die Möglichkeit zum Widerruf hinzuweisen. Nochmals zur Klarstellung: Um den Nachweis zu erbringen, dass der Nutzer einer E-Mail-Adresse einen Newsletter tatsächlich auch abonniert hat und nicht etwa ein Dritter diesen Newsletter angefordert hat bzw. es durch Tippfehler bei der angegebenen Adresse zu unerwünschten Zustellungen gekommen ist, muss vor dem Versand des Newsletters eine Rückfrage bei der angegebenen E-Mail-Adresse mittels einer Bestätigungs-Mail erfolgen. Dies entspricht dem Double-Opt-In-Prinzip. Erst nachdem der Nutzer die Newsletter-Bestellung durch Anklicken des Bestätigungs-Links akzeptiert, darf der Newsletter-Versand erfolgen. Diese Funktion ist im Standard-Newslettermodul der Fall. Die Texte in den Standardformularen beim Newsletter wurden überprüft und angepasst. Zusätzlich sollte jeder Newsletter einen Hinweis auf das jederzeitige Widerrufsrecht (mit Kontaktadresse haben) und für die übrige Informationen auf die Datenschutzerklärung verweisen. Aus diesem Grund finden Sie in den Basiseinstellungen ein neues Feld für die Auswahl eines Links zu der Datenschutzerklärung.
In KOGIS werden sitzungsbasierte Cookies verwendet, die gelöscht werden, sobald der Nutzer die Sitzung bzw. den Besuch der Webseiten verlässt. Diese Cookies werden verwendet, um die Nutzerfreundlichkeit auf den Webseiten zu erhöhen bzw. einige Dienste erst zu ermöglichen. Unseren Recherchen nach gehen hier die Meinungen auseinander: die eine Personengruppe meint, dass erst auf Cookies, die zu anderen Zwecken, etwa der Analyse der Besucherströme, verwendet werden, explizit hingewiesen werden müsste. Die andere Personengruppe meint, dass Cookies ohne vorausgehende Einwilligung der Nutzer auch in Zukunft eingesetzt werden dürfen, wenn bestimmte Anforderungen erfüllt werden (und diese in KOGIS erfüllt sind). Bis zur abschließenden Klärung sollten Sie auf die Nutzung hinweisen. Ein Beispiel:
Wir nutzen auf unseren Webseiten Session-Cookies. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO und in dem Interesse die Benutzerführung zu optimieren. Sie können sich auf unserer Webseite auch an Abstimmungen beteiligen. Hierbei wird ebenfalls ein Session-Cookie genutzt, um eine Mehrfachabstimmung zu unterbinden. Sie können Ihren Browser so einstellen, dass er Sie über die Platzierung von Cookies informiert. So wird der Gebrauch von Cookies für Sie transparent. Sie können Cookies zudem jederzeit über die entsprechende Browsereinstellung löschen und das Setzen neuer Cookies verhindern. Bitte beachten Sie, dass unsere Webseiten dann ggf. nicht optimal angezeigt werden und einige Funktionen technisch nicht mehr zur Verfügung stehen.
Wenn Sie Matomo (ehemals Piwik) verwenden, dann müssen Sie auf den Einsatz (und den Zweck) im Impressum bzw. Ihrer Datenschutzerklärung hinweisen und genau beschreiben, welche Daten Sie auswerten. Dies ist beispielsweise: "Um die Qualität unserer Webseiten zu verbessern, speichern wir zu statistischen Zwecken Daten über den einzelnen Zugriff auf unsere Seite. Dieser Datensatz besteht aus:
Die genannten Protokolldaten werden nur anonymisiert gespeichert."
Die oben aufgeführten Anpassungen müssen sich auch im Impressum bzw. der Datenschutzerklärung wiederfinden. Die Senatorin für Soziales, Jugend, Frauen, Integration und Sport hat uns freundlicherweise eine beispielhafte Umsetzung der Datenschutzerklärung (pdf, 128.3 KB) zur Verfügung gestellt. Ganz wichtig ist immer, dass Sie auf die Widerspruchsmöglichkeit hinweisen.
Auch die Einwilligungserklärung für die Veröffentlichung personenbezogener Daten im Internet und Intranet sollte aktualisiert werden. Das aktualisierte Muster für eine Einwilligungserklärung finden Sie im Menüpunkt Handbücher.