DSGVO steht für Datenschutz-Grundverordnung. Sie ist seit dem 25. Mai 2018 in der gesamten EU gültig und regelt, wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen. Für Website-Betreiber bedeutet das: Jede Seite, die Daten von Besuchern verarbeitet, muss bestimmte Pflichten einhalten. Verstöße können teuer werden, im Extremfall bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.
Was als personenbezogene Daten gilt
Personenbezogene Daten sind alle Informationen, mit denen eine Person direkt oder indirekt identifiziert werden kann. Dazu gehören Name, E-Mail-Adresse, Telefonnummer, IP-Adresse, Standortdaten, Cookie-IDs und Gesundheitsdaten. Gerade IP-Adressen und Cookie-IDs werden auf fast jeder Website verarbeitet.
Pflichten für Websites
- Datenschutzerklärung: Vollständig, verständlich, von jeder Seite aus erreichbar
- Impressum: Anbieterkennzeichnung nach Telemediengesetz
- Cookie-Consent: Aktive Zustimmung des Nutzers vor dem Setzen nicht notwendiger Cookies
- Formulare: Klarer Hinweis, wofür die Daten verarbeitet werden und Speicherdauer
- Verschlüsselung: SSL-Zertifikat ist Pflicht, nicht Option
- Auftragsverarbeitungsverträge (AVV): Mit allen Dienstleistern, die Daten verarbeiten, etwa Hoster, Mailprovider, Analyse-Tools
- Recht auf Auskunft und Löschung: Nutzer können jederzeit ihre Daten anfordern oder löschen lassen
Besonders sensible Bereiche
Für Gesundheitsdaten gelten verschärfte Regeln. Eine Arzt-Website muss bei Kontaktformularen besonders sorgfältig arbeiten, Online-Terminbuchungen brauchen oft AVVs mit dem Anbieter und Newsletter dürfen nur mit dokumentierter Einwilligung verschickt werden. Auch Online-Shops und Buchungsplattformen stehen unter besonderer Beobachtung.
Wie DSGVO konkret bei einer Arzt-Website aussieht, zeige ich im Artikel Webdesign für Ärzte.