Ab dem 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DS-GVO) und mit ihr das neue Bundesdatenschutzgesetz in Kraft. Ich glaube, davon haben mittlerweile alle Internet-Unternehmer gehört. Allerdings schwirren im Zusammenhang mit diesem Datum viele verwirrende, sich oft auch widersprechende Fakes und Informationen durch den digitalen Blätterwald. Ich beschäftige mich schon seit längerem mit der DS-GVO und deren Umsetzung für Webseiten, Blogs und andere digitale Medien und will Ihnen an dieser Stelle einmal die wichtigsten Fakten und grundsätzlichen Dinge, die man als Internet-Unternehmer wissen und beachten muss, näher bringen.
Was ist die DSGVO eigentlich?
Grundsätzliches Ziel der DS-GVO ist es, dass Firmen sorgfältiger mit den Daten der Kunden umgehen. Das ist an sich auch gar nicht schlecht, wenn man sich an die Datenskandale der letzten Monate und Jahre erinnert. Stichwort Facebook. Dazu sollte eigentlich der Umgang von Unternehmen mit Daten europaweit einheitlich geregelt und harmonisiert werden.
Leider hat kräftige Lobbyarbeit mal wieder dazu geführt, dass diese an sich ja vernünftigen Ziele verwässert wurden und die DS-GVO mehr Verwirrung stiftet als Klarheit schafft. Öffnungsklauseln ermöglichen den einzelnen Ländern eigene Regelungen zu erlassen, so dass die grundsätzlichen Regeln oft sehr schwammig und unkonkret klingen, was natürlich viel Spielraum für Interpretationen lässt. Auch enthält die neue Verordnung viele offene Rechtsbegriffe, deren Auslegung erst im Laufe der Zeit durch entsprechende Gerichtsurteile konkretisiert werden. Der deutsche Gesetzgeber hat hierzu letztes Jahr das Datenschutz-Anpassungs-und-Umsetzungsgesetz (DSAnpUG) erlassen. Teil dessen ist das neue Bundesdatenschutzgesetz (BDSG).
Durch diese neuen Gesetze werden auch die für Internet-Unternehmer besonders relevanten Regelungen des Telemediengesetzes (TMG) teilweise verdrängt. Und es kommt noch besser: Weil die DS-GVO eben nicht speziell für Telemedien konzipiert ist, wird es noch eine neue e-Privacy Verordnung geben. Diese sollte eigentlich sinnigerweise gleichzeitig mit der neuen DS-GVO in Kraft treten, wurde aber auf das nächste Jahr verschoben.
Sie merken, dass Thema DS-GVO wird nicht mit dem 26. Mai erledigt sein, sondern uns auch die nächsten Jahre, sei es mit immer neuen Gerichtsurteilen zur praktischen Anwendung der DS-GVO oder der Einführung der neuen e-Privacy Verordnung, beschäftigen.
Für wen gilt die DS-GVO?
Die DS-GVO gilt nicht nur für Unternehmen innerhalb der EU, sondern auch für Unternehmen aus Drittländern, wenn
- diese Unternehmen personenbezogene Daten
- von betroffenen Personen, die sich in der EU befinden
- verarbeiten und diese Verarbeitung mit dem Angebot von Waren oder Dienstleistungen oder mit der Beobachtung des Verhaltens betroffener Personen in der EU in Verbindung steht.
Einfach gesagt, auch für Google, Facebook und Co. und alle anderen Firmen im Ausland, die mit Daten von Personen innerhalb der EU in Kontakt kommen (z.B. bei Bestellungen, usw.) gilt die neue DS-GVO. Fließen diese Daten über die eigene Webseite, Blog, Onlineshop, etc. sind wir mit im Boot und müssen unsere Kunden darüber informieren.
Um welche Daten geht es überhaupt?
Die Bestimmungen der DS-GVO betreffen in der Regel personenbezogene Daten. Personenbezogene Daten sind sind alle Informationen, die die Möglichkeit bieten eine Person zu identifizieren. Beispiele:
- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Kontodaten
- IP-Adresse
- Standortdaten
- Cookies
Wann darf ich solche Daten ab jetzt verarbeiten?
- Sie benötigen eine Erlaubnis.
- Sie dürfen die Daten nur für den Zweck nutzen, für den Sie sie erhoben haben.
- Sie müssen die Daten angemessen schützen.
Grundsätzlich ändert sich nicht viel: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist verboten, es sei denn, sie haben eine Erlaubnis dazu.
- Diese Erlaubnis kann sich aus Gesetzen wie der DS-GVO, dem Bundesdatenschutzgesetz oder dem Telemediengesetz ableiten oder
- die Person hat ihnen eine entsprechende Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt.
Der Begriff der “Einwilligung” wurde jetzt konkret definiert: Eine Einwilligung ist
- jede für den bestimmten Fall,
- in informativer Weise und unmissverständlich abgegebene Willensbekundung
- in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung
- mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Das heißt, um eine wirksame Einwilligung zu bekommen, muss man die betroffene Person
- ausreichend über Umfang und Zweck der Datenverarbeitung informieren.
- Diese Information muss leicht zugänglich, in einer leicht verständlichen Form und in einer klaren und einfachen Sprache verfasst sein.
- Man muss die Person auf ihr Recht die Einwilligung für die Zukunft zu widerrufen hingewiesen haben.
- Die Einwilligung darf nicht gekoppelt werden. Das heißt, man darf einen Vertragsabschluss nicht davon abhängig machen, dass der Kunden auch in die Verarbeitung von Daten einwilligt, die nicht für die Durchführung des Vertrages erforderlich sind.
- Häkchen, Kreuzchen oder ähnliches müssen von der Person aktiv gesetzt werden.
- Bei minderjährigen Personen unter 16 Jahren ist die Zustimmung der gesetzlichen Vertreter erforderlich.
Eine Einwilligung kann mündlich, schriftlich oder elektronisch eingeholt werden aber Sie müssen eine Einwilligung dokumentieren und auch nachweisen können. Das dürfte bei mündlichen Einwilligungen problematisch werden, wenn Sie kein Call-Center betreiben.
Wichtig gerade für Internet-Unternehmer ist in diesem Zusammenhang vor allem auch das Kopplungsverbot. E-Mail-Adressen sammeln indem man irgendwelche Gratis-Angebote wie eBooks, Whitepaper oder ähnliches zum Download anbietet, funktioniert nicht mehr. Sie können solche “Geschenke” natürlich weiterhin anbieten aber die so generierte Mail-Adresse nicht mehr für den späteren Newsletter-Versand nutzen, weil sie ja zu dem Zweck erhoben wurde, das “Geschenk” zu versenden. Die Einwilligung zur Verwendung der Mail-Adresse dazu kann nicht mehr gekoppelt werden mit der Einwilligung zum Erhalt des Newsletters.
Alle “alten” Einwilligungen gelten auch weiterhin, wenn sie den Regeln entsprechend eingeholt wurden. Zum Beispiel können E-Mail-Kontakte in der Regel weiter verwendet werden, weil ja die Adressen schon seit Jahren nur noch per aktiver Einwilligung (double-opt-in) erhaben werden durften.
Wie lange darf ich die Daten nutzen?
Die DS-GVO definiert jetzt auch erstmals ein “Recht auf Vergessenwerden”. Jeder hat jetzt einen Anspruch darauf dass seine personenbezogenen Daten gelöscht oder gesperrt werden, wenn die Berechtigung zur Verwendung nicht mehr vorliegt. Konkret bedeutet dass,
- Sie dürfen die Daten nur für Zweck nutzen, für den sie erhoben wurden. Entfällt dieser, entfällt auch der Grund, weshalb Sie diese Daten verwenden dürfen.
- Entfällt die Erlaubnis, zum Beispiel, wenn der Betroffene seine Einwilligung widerruft, müssen die Daten gelöscht werden.
Wann darf ich Daten an Dritte weiterleiten?
Das ist ein Thema, dass viele Internet-Unternehmer noch immer unterschätzen. Viele meinen, sie würden überhaupt keine Daten an Dritte weiterleiten. Wer schickt schon Kundendaten an irgendwelche anderen Firmen? Die für viele irritierende Antwort ist: So gut wie jeder!
Denken Sie bei Datenweitergabe nicht nur an die Daten, die Sie eventuell selbst weiterleiten. Die allermeisten Daten werden nämlich ganz automatisch weitergegeben, oft schon dann, wenn ein Besucher ihre Webseite nur einmal öffnet. Google Analytics ist hier ein klassisches Beispiel. Kommt ein Besucher auf Ihre Webseite wird unter anderem die IP-Adresse erfasst und zur Verarbeitung an Google weitergeleitet. Schwupps, und schon sind die Daten bei einem Dritten. Weiteres weit verbreitetes Beispiel: Ihr Newsletter-Dienstleister, der Ihre Newsletter-Liste pflegt und organisiert. Hier landet jede E-Mail-Adresse, die Sie einsammeln.
Können Nutzer auf Ihrer Webseite Kommentare hinterlassen, werden dabei auch meist mindestens die E-Mail-Adresse und Benutzer- bzw. Nickname gespeichert. Diese werden normalerweise auf Ihrer Seite gespeichert aber überprüfen Sie dies besser.
An andere Datenschleudern denkt man nicht so schnell: Facebook zum Beispiel. Nutzen Sie Social-Media-Plugins werden oft schon Daten weitergegeben, wenn ein Besucher Ihre Webseite nur aufruft. Egal, ob er später auf einen Like-, Share- oder Follow-Button klickt.
Viele Webseiten- und Blogbetreiber nutzen mehrere Plug-ins, zum Beispiel um ein Kontakt-Formular auf der Webseite einzubinden. Klingt harmlos aber auch hier werden durch die Plug-ins oft Daten weitergeleitet und extern gespeichert.
Die neue DS-GVO verbietet es nicht Daten an Dritte weiterzugeben aber der Nutzer muss ausreichend informiert werden, seine Zustimmung geben und, ganz wichtig: Sie müssen ihm die unkomplizierte Möglichkeit einräumen dieser Weitergabe zu widersprechen und möglicherweise bereits gesammelte Daten löschen zu lassen.
Die großen Datensammler wie Google und Facebook haben bereits auf die neue DS-GVO reagiert und ihre Nutzungsbedingungen bzw. Verträge entsprechend angepasst. Auch ist es für Nutzer dieser Dienste einfach die eigene Datenschutzerklärung anzupassen indem man eines der vielen Tools und Generatoren zur Erstellung einer Datenschutzerklärung im Internet nutzt. Hier wird vorab abgefragt welche Dienste man in welcher Form nutzt und am Ende erhält man eine entsprechenden Text zum Kopieren, den man dann nur noch an der entsprechender Stelle auf der Webseite einbinden muss. Dort sind dann meist auch gleich die Links zum Löschen der Daten eingebunden.
Wenn Sie Google Analytics nutzen, müssen Sie mit Google einen entsprechenden Vertrag zur Auftragsdatenverarbeitung abschließen. Hier der Link zur entsprechenden Google-Seite:
https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf
Technischer Datenschutz
Elektronische Geräte und Anwendungen müssen jetzt immer datenschutzfreundlich voreingestellt sein. Das heißt, sie müssen so programmiert sein, dass sie tatsächlich nur die Daten abfragen, die auch wirklich für den bestimmten Zweck unbedingt nötig sind und es muss immer die höchste Datenschutzstufe voreingestellt sein.
Beispiel: Bei einer Newsletter-Anmelde-Box auch das Feld für die Telefonnummer o. a. als Pflichtfeld anzulegen, ist ein Verstoß gegen die DS-GVO.
Weiteres Beispiel: Es ist technisch mittlerweile einfach möglich seine Webseite auf https umzustellen. Dies ist zur Zeit der sicherste technische Standard und somit die geforderte Datenschutzhöchststufe.
Informationspflicht
Man muss jetzt die Nutzer sofort bei der Erhebung der Daten viel ausführlicher informieren als in der Vergangenheit. Sie müssen zukünftig mindestens folgende Informationen bereitstellen:
Name und Kontaktdaten der Verantwortlichen (und auch des Datenschutzbeauftragten, wenn Ihre Firma entsprechend groß ist und ein solcher Pflicht wird).
die gesetzliche Grundlage auf der Sie die Daten sammeln (Was also erlaubt es Ihnen überhaupt entsprechende Daten zu sammeln).
Zwecke der Datenverarbeitung Aus welchem Grund wollen Sie Daten erheben? Die Lieferadresse bei Onlineshops zum Beispiel ist ein klar. Sie benötigen diese um die bestellte Ware zu liefern und somit den Kaufvertrag zu erfüllen.
die Empfänger der Daten Klar Sie selbst aber auch alle Dritten (siehe oben)
die Absicht die Daten auch an Dritte weiterzugeben Der Nutzer soll wissen wohin seine Daten so alles fließen.
die Speicherfrist Wie lange werden welche Daten gespeichert? Achten Sie darauf, dass Sie Daten nur so lange speichern dürfen, wie es der Zweck der Datenerhebung vorgibt. Verschicken Sie ein Gratis-eBook dürfte schon mit dem Versand der Datei der Zweck der Speicherung der E-Mail-Adresse erfüllt sein und diese ist umgehend wieder zu löschen.
das Recht auf Auskunft und Löschung Sie müssen den Nutzer auf seine entsprechenden Rechte hinweisen. Ein Nutzer kann jederzeit umfassende Informationen (Auskunft) über die bei Ihnen gespeicherten Daten verlangen. Dieser Aufforderung müssen Sie umgehend nachkommen können (siehe Dokumentationspflichten).
Der Nutzer muss seine Daten so einfach wieder löschen können, wie er sie eingegeben hat. Haben Sie eine E-Mail-Adresse über ein Anmeldeformular erhoben, darf der Nutzer nicht erst eine selbst eine E-Mail an eine Kontaktadresse im Impressum schreiben müssen um die Löschung der Daten zu erreichen.
das Beschwerderecht bei der Datenschutzaufsichtsbehörde Auch auf dieses Recht müssen Sie die Nutzer hinweisen.
Sie sehen, es sind eine Menge Informationen, die Sie dem Nutzer (und den Behörden) ab dem 26.05.2018 zur Verfügung stellen müssen. Entweder von Anfang an oder auf Nachfrage. Um dies überhaupt in der geforderten Zeit zu bewerkstelligen ist es wichtig, sich an die Dokumentationspflichten zu halten.
Dokumentations- und Rechenschaftspflicht
Das neue Gesetz verkehrt die bisher übliche Praxis komplett um. Behörden müssen Verstöße nicht mehr konkret nachweisen. Bei Verdacht müssen stattdessen jetzt die Unternehmen belegen, dass sie von Anfang an alle Massnahmen getroffen haben die Daten zu schützen. Dafür müssen Zweck, Art und Umfang der getroffenen Maßnahmen dokumentiert werden.
Die neue DS-GVO ist, wie Sie sehen, schon ein dicker Brocken und gerade für kleinere Unternehmer und Webseitenbetreiber ohne eigene Rechtsabteilung nicht ganz einfach umzusetzen. Auch wenn man keinen Shop betreibt, keine Kundendaten direkt abfragt, sammelt und speichert, wird man etwas tun müssen um die teils wirklich heftigen Strafen oder meist noch schlimmer, unverhältnismäßige Abmahnungen von einschlägigen Anwälten und neuerdings sogar Abmahnvereinen so gut wie möglich zu vermeiden. Ich empfehle Ihnen in jedem Falle, so wie ich es auch gemacht habe, sich entsprechenden Rat und Hilfe von einer seriösen, auf Online-Recht spezialisierten Anwaltskanzlei zu holen.
Ein wichtiger rechtlicher Hinweis zum Schluss:
Ich habe versucht Ihnen mit diesem Artikel einen möglichst verständlichen Überblick über die Anforderungen der neuen DS-GVO zu geben. Auf viele Details konnte ich entweder aufgrund ihres Umfangs und ihrer Komplexität oder auch einfach aus dem Grunde, dass das neue Gesetz eben viele konkrete Dinge offen läßt, nicht eingehen. Ich bin dabei nach bestem Wissen und Gewissen vorgegangen aber ich bin kein Rechtsanwalt oder ähnliches. Deshalb kann man diesen Artikel nicht als Ersatz für eine Rechtsberatung sehen. Ich empfehle Ihnen deshalb dringend, wie oben schon erwähnt, sich für die konkrete und korrekte Umsetzung fachmännische Beratung einzuholen.
Hierfür empfehle ich den Premium-Service von e-Recht24, den wir selbst auch nutzen: >> eRecht24 Premium (Partnerlink)
Kommentare