Datenschutz
Mit der am 25. Mai 2018 in Kraft getretenen Europäischen Datenschutzgrundverordnung (DS-GVO)[1] ergeben sich rechtliche Veränderungen, die auch Ihre Web-Inhalte auf dem www2-Webserver betreffen.
Als Betreiber eines Web-Auftrittes auf dem www2-Webserver sind Sie für Inhalte und Datenerfassungen jeder Art dort selbst verantwortlich und in der Pflicht, die Regelungen der DS-GVO zu kennen und anzuwenden.[2]
Was ist zu tun?
- Von jeder einzelnen Ihrer Webseiten (nur von der Startseite Ihres Web-Angebots reicht nicht aus!) muss es mindestens eine deutlich sichtbare Verlinkung auf die Datenschutzerklärung der HU[3] geben.
- Falls Sie darüber hinaus auf Ihren Seiten oder Systemen persönliche Daten Dritter nutzen und/oder speichern, ist dies an gleicher Stelle konkret anzugeben:
-
Gewährleisten Sie die Transparenz der gespeicherten Daten für den User, die/der diese jederzeit in gesetzlich definierter Form bei Ihnen abrufen, seine Einwilligung zur Erhebung widerrufen, sowie das Löschen ihrer/seiner persönlichen Daten anweisen darf (Recht auf Vergessen).
-
Geben Sie Datenschutzhinweise, in denen die Datenkategorien oder -felder aufgeführt werden und der jeweilige Zweck der Speicherung steht.
-
Geben Sie Hinweise dazu, ob und zu welchem Zweck die Daten ggf. weitergegeben werden.
-
Schaffen Sie ggf. eine automatisierte Abruf-Funktion für die Nutzer (viele Software-Systeme liefern entsprechende Funktionen über Add-ons/Plug-ins)
-
Zu etlicher Software (z.B. WordPress usw.) gibt es bereits auch dazu an geeigneter Stelle Hinweise, welche Einstellungen für DS-GVO-Regelkonformität gemacht werden müssen. In wie weit Zustimmungen notwendig sind, ist Ihrerseits mit dem Datenschutzbeauftragten der HU zu klären.
- Überprüfen Sie Ihre Inhalte auf dem www2-Webserver auf gespeicherte persönliche Daten. Beachten Sie die Zustimmungspflichten jedes Nutzers zu Cookies, Tracking sowie Datenerhebungen aller Art. Falls dafür keine ausdrückliche datenschutzrechtliche Einwilligung der Person vorliegt, ist diese nachträglich einzuholen oder die Daten sind zu löschen.
Falls Sie ein Web-Content-Management-System (z.B. Joomla, Drupal, WordPress, usw.) verwenden, gibt es im Web diverse Support Seiten für das jeweilige CMS mit Hinweisen, was zu tun ist. (z.B. Einstellungen anpassen, Plug-ins/Add-ons (de-) installieren, updaten usw.). Diese Hinweise sollten unbedingt umgesetzt werden.
- Falls Sie auf Ihren Webseiten mit Hilfe oder in installierter Software oder anderen Tools persönliche Daten speichern (meint z.B. schon das Sichern einer Mailadresse) müssen Sie dies, falls noch nicht geschehen, in Eigenverantwortung selbstständig mit dem Datenschutzbeauftragten der HU klären und sich genehmigen lassen.
Dies gilt z.B. für Newsletter-Verteiler, jede Art von Nutzerverwaltung in einem von Ihnen installierten Content-Management-System wie z.B. WordPress, Drupal, u.v.m.
- Falls Sie die Nutzung eines HU-fernen Server über einen externen Dienstleister beauftragt haben, ist über eine sogenannte Auftragsverarbeitung dieser externe Auftragnehmer nach Artikel 28 DS-GVO einzubinden. Hintergrund ist, dass Sie damit als Auftraggeber Frau/Herr der Daten bleiben, der Dienstleister aber rechtlich mit einbezogen wird.[4] [5] Achten Sie explizit darauf, dass sich der externe Dienstleister keinen Haftungsausschluss in diese Auftragsverarbeitung reinschreiben lässt, so dass er im Falle des Falles mit in Haftung genommen werden kann.
Ein konkretes Anwendungsszenario könnte z.B. das Nutzen externer Serverkapazitäten für die Organisation von Anmeldungen für eine Tagung sein.
Bitte nehmen Sie Abstand von Rückfragen an uns vom CMS bzgl. einer Einschätzung oder Bewertung auf rechtssichere Formulierungen, im Zweifel müssten Sie dies bitte ggf. mit dem HU-Datenschutz und/oder mit der HU-Rechtsabteilung klären.