DSGVO – noch einiges zu tun!

Bis zu 20 Millionen Euro können für besonders schwere Verstöße gegen die neue DSGVO verhängt werden. Aber worin besteht der Handlungsbedarf des Einzelnen?

Noch einiges zu tun

Neues EU-Datenschutz-Gesetz (DSGVO) ab 25. Mai

Das neue EU-Gesetz DSGVO (EU-Datenschutzgrundverordnung) löst das bisherige BDSG (Bundesdatenschutzgesetz) ab. In einem „BDSG-neu“ sind alle nötigen Änderungen nun zusammengefasst, wie etwa der Beschäftigtendatenschutz oder die Bestellung eines Datenschutzbeauftragten.

Das Inkrafttreten der E-Privacy-VO (E-Privacy-Verordnung), welche unter anderem die „Cookie-Richtlinie“ ablösen soll war zeitgleich geplant, ist nun aber verschoben worden, wird aber wohl 2019 kommen. Im aktuellen Arbeits-Stand sollen Cookies nur noch genutzt werden dürfen, wenn der Nutzer ausdrücklich vorab zugestimmt hat, was die Online-Werbung maßgeblich verändern dürfte.

Das klingt alles sehr theoretisch und nur nach großen Unternehmen, aber auch jede einzelne website sollte unter die Lupe genommen werden, denn dortige Verstöße sind sehr leicht nachvollziehbar von außen.

Um Abmahnungen und Bußgeldern vorzubeugen (bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres) sollte jeder Einzelne seinen eigenen Internetauftritt überprüfen.

Alle Seiten, die in irgendeiner Weise „personenbezogene Daten“ nutzen sind davon betroffen.

Personenbezogene Daten sind zum einen Vorname, Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstage, Kontoverbindungen etc.
Im Internet gehören dazu aber auch: Online-Kennungen, wie z.B. Standortdaten, IP-Adressen, Cookies etc., da auch diese für eine personenbezogene Identifikation genutzt werden können.

Was hat jetzt die eigene Internetseite damit zu tun? Sie liegt öffentlich auf einem Server und jeder Verstoß auf der Internetseite ist somit auch öffentlich einsehbar und auch sehr leicht abmahnbar durch einen Mitbewerber oder Anwälte, welche sich darauf spezialisiert haben.

Somit ist es wirklich dringend anzuraten die neuen Richtlinien auf dem öffentlichen Internetauftritt umzusetzen!

Für „kleinere Unternehmen und Internetseiten“ sollten mindestens folgende Punkte abgearbeitet sein:

1) Hoster bei der Auftragsverarbeitung einbinden

Damit der Browser eines Websiten-Besuchers die Seite übermittelt bekommt, meldet er sich mit seiner IP-Adresse am Server der Seite an. In diesem Zusammenhang gilt die IP-Adresse schon als „Online-Kennung“ und wird unter „persönliche Daten“ eingestuft – und hiermit greift die DSGVO.

Nun haben die wenigsten ihre eigene Internetseite auf ihrem eigenen Server liegen, sondern bei einem Webhoster wie 1&1 oder hosteurope. Aus diesem Grund werden bei diesem Vorgang rechtlich gesehen die Daten des Besuchers an einen Dritten (den Webhoster) übergeben und man müsste jeden einzelnen Besucher nach seiner Einwilligung dafür fragen. Es geht aber auch, den Hoster rechtlich mit einzubinden in einer „Auftragsverarbeitung“.

Falls sie schon einen Alt-Vertrag mit der Bezeichnung „Auftrag gemäß § 11 BDSG“ und mit der Bezeichnung „Auftragsdatenverarbeitung“ haben oder gar keinen Vertrag haben, sollten sie bis spätestens Ende Mai einen neuen zur „Auftragsverarbeitung gemäß Art. 28 DSGVO“ unterzeichnen.

Zur Zeit bietet aber weder 1und1 noch hosteurope das neue Formular an, sondern nur das bis Ende Mai gültige.

2) Datenschutzerklärung aktualisieren

Die jetzige Grundlage der Datenschutzerklärung – § 13 des Telemediengesetzes (TMG) – wird durch Artikel 13 DSGVO deutlich ausgeweitet. Auch die Rechtsgrundlage muss nun genannt werden, falls man Daten verarbeitet (Artikel 6 DSGVO). Die Begründung zur Verarbeitung muss dort aufgeführt werden, wie die Notwendigkeit die E-Mailadresse um einen bestellten Newsletter zustellen zu können oder die für die Verarbeitung eines Kaufvertrages notwendigen Daten oder auch berechtigte Interessen vom Seiten-Inhaber.

Dazu zählen unter anderem sämtliche Informationen, wie IP-Adressen, Kontakt- oder Kontodaten, E-Mailadressen, Geolokalisierungsfunktionen, Cookies und Tracking-Dienste.

Ab Mai muss der Besucher darin zusätzlich noch über weitere Rechte, wie das Recht zur Einschränkung zur Nutzung seiner Daten und auch der Kontakt zur zuständigen Behörde mitsamt Beschwerderecht und weitere rechtlichen Neuerungen informiert werden.

3) Daten müssen verschlüsselt werden

Bietet der Website-Betreiber Webformulare – zum Beispiel für Online-Shopping oder Newsletter – muss der Datenverkehr verschlüsselt ablaufen.

War „https“ (Hypertext Transfer Protocol Secure, englisch für „sicheres Hypertext-Übertragungsprotokoll“) bis jetzt schon ein Grund um bei Google schneller gefunden zu werden, so ist es ab sofort Pflicht für alle Seiten, die Formularfelder verarbeiten.

4) Newsletter muss erklärt werden

Der Seiten-Betreiber darf nur die Daten erheben, die er für die Abwicklung des jeweiligen Vorgangs benötigt, also zum Beispiel kein Geburtsdatum bei der Newsletter-Anmeldung, außer er gibt gute Gründe dazu an und benennt sie bei der Anmeldung. Weiterhin müssen diese Felder als Pflichtfelder gekennzeichnet werden.

Auch sollte jetzt ein ausführlicher Einwilligungstext vor der Newsletter-Bestellung vorgeschaltet werden, der die Nutzung der Daten erklärt.

5) Cookie Hinweis

Viele Seiten nutzen sie mittlerweile schon, aber ab Mai sind sie endgültig in vielen Fällen Pflicht: die Cookie-Hinweise und die Pop-Ups.

Sobald Cookies verwendet werden muss der Hinweis vorab jeglicher Nutzer-Datenübertragung erfolgen.

6) social media buttons

Die „facebook-like-buttons“ werden wohl entweder entfernt werden müssen oder durch buttons ersetzt werden müssen, welche vor der Übertragung die ausdrückliche Einwilligung des Nutzers einholen.

Auch jetzt sind sie schon nach deutschem Recht verboten, nach einem Urteil des Landgerichts Düsseldorf vom 9.3.2016 (Aktenzeichen 12 O 151/15). Dort wurde entschieden, dass die Einbindung dieser Facebook-Tools ohne Zustimmung nicht erlaubt ist.

Es gibt auch Lösungen, die zuerst noch einmal abfragen ob der Nutzer damit einverstanden ist, allerdings ist dann immer noch nicht erkennbar, welche Daten genau gesendet werden, was auch diese Buttons fragwürdig macht.

7) Recht auf Vergessenwerden

Das im Artikel 17 der DSGVO geregelte „Recht auf Vergessenwerden“ erlaubt dem Nutzer nun nicht nur zu erfahren, welche Daten wohin und wofür genutzt oder gar weitergegeben werden, sondern gibt ihm auch das Recht darauf, dass alle seine Daten gelöscht werden müssen.

8) Recht auf Datenübertragbarkeit

Weiterhin wird im Artikel 20 der DSGVO auch noch ein Recht auf Datenübertragbarkeit eingeführt. Sollte ein Nutzer also einen Anbieter wechseln wollen, müsste ihm der bisherige Anbieter die Daten zur Verfügung stellen. Technisch ist das auf Grund von verschiedenen technischen Standards wohl nicht so einfach umzusetzen.

Allerdings geht mit diesem Recht einher, dass man alle personenbezogenen Daten in „strukturierter, gängiger und maschinenlesbarer Form“ dem Nutzer auf seine Anfrage hin innerhalb von 14 Tagen zukommen lassen muss. Dies kann per Download oder auf herkömmlicher CD erfolgen, denn ein Versand per E-Mail wäre wieder nicht verschlüsselt. Dieses Recht beinhaltet auch alle Bilder, Kommentare und weitere Daten, die konkret einem Nutzer zugeordnet werden können.

9) Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten

Um im Falle eines Datenlecks vorbereitet zu sein oder einer Überprüfung müssen Sie abhängig von der Personenanzahl die die Daten verarbeitet und der Sensibilität der Daten (besonders für Unternehmen im Finanz- oder Gesundheitswesen) eine mehr oder weniger umfangreiche Dokumentation anlegen.

Wichtiger Hinweis

Diese Zusammenfassung erhebt keinerlei Anspruch auf Vollständigkeit und ist auch keine rechtskräftige Beratung, sondern nur eine Zusammenfassung der wichtigsten Punkte für kleinere Website-Betreiber und ersetzt auch keine Rechtsberatung. In größeren Betrieben oder auch betriebsintern sind noch einige weitere Regelungen zu beachten und um zu setzen in Abhängigkeit der Betriebsgröße, der Anzahl der Angestellten, welche sich „ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ oder auch der Art der Daten (evtl. inkl. Gesundheitsdaten).
Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen sollten sie sich in jedem Fall von einem Anwalt oder Datenschutzbeauftragen beraten lassen.

Links

  • Hier findet sich die Veröffentlichung der DSGVO im Amtsblatt der Europäischen Union): http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE

  • Aktuelle Informationen zur Umsetzung der DSGVO in Bayern gibt es hier: https://www.lda.bayern.de/de/datenschutz_eu.html

Quellen

Abbildung von pixabay