Damit wird für die Unternehmen der Umgang mit den personenbezogenen Daten ihrer Kunden strenger: Beispielsweise dürfen nur noch die wirklich nötigen Daten auf Webseiten erfasst und gespeichert werden. Zu den personenbezogenen Daten gehören auch IP-Adressen, Cookies, Standortarten und ähnliches, weil sie indirekt einzelnen Personen zugeordnet werden können.
Datenschutz muss nachgewiesen werden
Ein wichtiger Aspekt, der sich ändert und für die Unternehmen und Kunden gleichermaßen Auswirkungen hat: Die Unternehmen müssen dokumentieren, wie sie die Daten ihrer Kunden schützen. Ist der Schutz nicht ausreichend oder kann das Unternehmen seine Datenschutzmaßnahmen nicht nachweisen, muss es dafür im Zweifel hohe Bußgelder zahlen. Zudem wird durch die Verordnung festgelegt, welche persönlichen Daten erhoben und verarbeitet werden dürfen und zwar nur die, die explizit aus einem der Datenschutzgesetze hervorgehen oder für die sie eine explizite Einwilligung der betroffenen Person erhalten haben. Daten, die ein Unternehmen mit Einwilligung der betroffenen Person erhalten hat, darf es außerdem nur für den angegebenen Zweck nutzen.
Aktuelle Verschlüsselungsmethoden erforderlich
Im Rahmen der Datenschutz-Grundverordnung muss der Datenschutz, den ein Unternehmen anwendet, dem aktuellen Stand der Technik entsprechen. Dazu gehört, dass personenbezogene Daten, die auf einer Webseite eingegeben werden, über SSL/TLS verschlüsselt werden. SSL steht für Secure Socket Layer; dessen Nachfolger ist TLS (Transport Layer Security), doch im allgemeinen Sprachgebrauch werden beide Protokolle meist als SSL bezeichnet. Webseitenbetreiber können ein solches Verschlüsselungszertifikat zum Beispiel bei Anbietern wie 1[&]1 buchen.
Stets SSL-Protokolle einsetzen
Die verschiedenen Pakete, die man buchen kann, unterscheiden sich vor allem in der Höhe der gedeckten Schadenssumme, die der Anbieter für den Fall garantiert, dass die Verschlüsselung durchbrochen wird. Zusätzlich ist es möglich, einen Phishing-Schutz einbauen zu lassen. Die Verschlüsselung ist bereits dann nötig, wenn es auf der Website ein Kontaktformular gibt oder ein Newsletter abonniert werden kann. Denn hier geben Nutzer Daten wie Name und E-Mail-Adresse ein, manchmal auch die Postanschrift und das Geburtsdatum.
Nur nötige personenbezogene Daten fordern
Durch die Datenschutz-Grundverordnung ändert sich auch, dass nur noch die nötigen Daten als Pflichtangaben erfasst werden dürfen. Beim Newsletter zum Beispiel wäre das lediglich die E-Mail-Adresse. Bei Kontaktformularen gelten nur E-Mail-Adresse und Nachname als Pflichtangaben. Falls es einen Login-Bereich gibt, sollten hier nur der anonyme Benutzername und das Passwort abgefragt werden. Wie die anderen genannten Bereiche muss der Login unbedingt durch SSL gesichert sein.
Bildrechte: Flickr Computer Security – Padlock Blue Coat Photos CC BY-SA 2.0 Bestimmte Rechte vorbehalten