DSGVO: ernst nehmen, aber ohne Panik
Die DSGVO (Datenschutzgrundverordnung) trat bereits am 25.05.2016 in Kraft. Verbindlich anwendbar ist sie ab dem 25.05.2018. Ab diesem Zeitpunkt gilt sie im gesamten Gebiet der Europäischen Union. Am selben Tag tritt auch das neue BDSG (Bundesdatenschutzgesetz) in Kraft. Ziel ist es, natürlich Personen vor der Verwendung personenbezogener Daten zu schützen. Um dieses Ziel zu erreichen treffen diejenigen, die personenbezogene Daten erheben, umfangreichere Pflichten als bisher. Wer diesen Pflichten nicht nachkommt, dem drohen empfindliche Bußgelder und/oder Abmahnungen. Dieser Beitrag beschränkt sich auf Webseitenbetreiber. Er erhebt keinen Anspruch auf Vollständigkeit. Es soll lediglich ein kurzer Überblick verschafft werden.
Datenschutz nach altem Recht
Seit jeher haben Diensteanbieter ihre Nutzer bereits zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Dies geschieht seit jeher im Wesentlichen durch das Bereitstellen einer Datenschutzerklärung auf der jeweiligen Webseite.
Diensteanbieter ist, wer eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Telemedien wiederum sind im Wesentlichen alle elektronischen Informations- und Kommunikationsdienste. Diensteanbieter ist damit jeder, der beispielsweise ein Internetportal, z.B. eine Internetauktionsplattform, betreibt, aber auch jeder, der auf einer fremden Plattform ein gewerbliches Angebot einstellt. Ebenfalls Diensteanbieter ist, wer eine Webseite, beispielsweise einen Blog, betreibt. Bei dieser weiten Begriffsdefinition und dem weiten Anwendungsbereich ist es müßig, darüber zu diskutieren, wer und welche Tätigkeiten nicht hierunter zu fassen ist. Unter dem Strich hat jeder Webseitenbetreiber die Vorgaben der DSGVO zu erfüllen.
Außerdem war es seit jeher Pflicht, dass Diensteanbieter ein vollständiges Impressum bereitstellen.
Verstöße hiergegen beurteilten bereits zahlreiche Gerichte in der Vergangenheit als wettbewerbsrechtlich relevantes und damit auch abmahnfähiges Verhalten. So handelt es sich beispielsweise bei § 13 Abs. 1 TMG um eine sogenannte Marktverhaltensregel. Ziel einer solchen Marktverhaltensregel ist es, auch die wettbewerbliche Entfaltung der Mitbewerber zu schützen. Dies setzt voraus, dass sich alle Mitbewerber gleichermaßen an die Unterrichtungspflicht nach § 13 Abs. 1 TMG halten müssen. Andernfalls entstünde der Eindruck, dass derjenige, der nicht ordnungsgemäß über Art, Umfang und Zweck der Erhebung personenbezogener Daten unterrichtet, gar keine oder weniger Daten sammelt, als dies tatsächlich der Fall ist. Ein Nutzer könnte sich hierdurch veranlasst sehen, diejenige Seite zu besuchen, auf der (nur vermeintlich) weniger Daten erhoben werden. Das aber benachteiligt denjenigen, der ordnungsgemäß seiner Unterrichtungspflicht nachgekommen ist.
Datenschutz nach neuem Recht
Auch nach neuem Recht müssen die Diensteanbieter ihrer Impressumspflicht nachkommen. Sie müssen auch nach wie vor eine Datenschutzerklärung bereitstellen und über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten nachkommen. Neu ist etwa, dass die bereitzustellenden Informationen umfangreicher sind und eine Rechtsgrundlage für die Erhebung der Daten zu benennen ist.
Neu ist auch, dass die Sanktionen bei Nichteinhaltung deutlich schärfer sind als bisher. Fehlen entsprechende Informationen, wird die Datenverarbeitung rechtswidrig. Unter bestimmten Voraussetzungen drohen Bußgelder in Höhe von bis zu 20.000.000 EUR. Für Unternehmen kann dieses Bußgeld auch in Höhe von bis zu 4% seines weltweit erzielten Umsatzes ausfallen. Diese Zahlen beeindrucken jeden, der sich mit ihnen konfrontiert sieht. Es bleibt abzuwarten, wie letztlich mit diesen Bußgeldrahmen umgegangen wird.
Ein Baustein einer Datenschutzerklärung könnte vereinfacht beispielsweise in etwa wie folgt lauten:
Anhand dieses Beispiels wird deutlich, was die DSGVO verlangt. Art, Umfang und Zweck der Erhebung personenbezogener Daten werden deutlich und klar verständlich angesprochen. Die Rechtsgrundlage, aufgrund derer die Erhebung der Daten als rechtmäßig zu beurteilen ist, wird benannt.
DSGVO – konforme Datenschutzerklärung
Was aber haben Webseitenbertreiber nun darüber hinaus zu beachten? Wie stellen sie sicher, dass ihre Datenschutzerklärung DSGVO-konform ist? Bedenken Sie stets:
Auf dem Weg hin zu einer rechtmäßigen Datenschutzerklärung stellen Sie sich beispielsweise zunächst folgende Fragen
- Benötigen Sie einen Datenschutzbeauftragten?
- Welche personenbezogenen Daten werden protokolliert?
- Werden diese Daten anonymisiert?
- Für welche Dauer werden diese Daten gespeichert bzw. wann werden sie wieder gelöscht oder gesperrt?
- Setzen Sie sogenannte Cookies ein?
- Nutzen Sie ein Kontaktformular?
- Bieten Sie einen Newsletter an?
- Nutzen Sie Analyse- und/oder Trackingtools; z.B. Google Analytics?
- Nutzen Sie Verbindungen zu sozialen Medien; z.b. zu Facebook?
- Nutzen Sie Marketing- oder Werbetools; z.B. Amazon Partnerprogramm?
Erst dann, wenn Sie diese exemplarisch aufgezählten Fragen für sich beantworten können, werden Sie in der Lage sein, eine DSGVO-konforme Datenschutzerklärung auf Ihrer Webseite implementieren zu können.
Auftragsverarbeitung und Verarbeitungsverzeichnis
Sofern Sie einen außenstehenden Dritten mit der Verarbeitung personenbezogener Daten beauftragen, benötigen Sie einen Auftragsverarbeitungsvertrag. Sie als Auftraggeber müssen sicherstellen, dass der von Ihnen beauftragte Dienstleister die Gewähr dafür bietet, dass die durch ihn vorgenommene Auftragsverarbeitung dem Schutz der Betroffenen genügt. Auch den Auftragsverarbeiter treffen nach der DSGVO Datenschutzpflichten. Da also sowohl den Verantwortlichen als Auftraggeber als auch den Auftragsverarbeiter als Auftragnehmer Datenschutzpflichten treffen, ist ein Vertrag über die Auftragsverarbeitung zwingend. Nur so kann der Verantwortliche seiner Rechenschaftspflicht nachkommen und die Einhaltung der datenschutzrechtlichen Pflichten nachweisen und dokumentieren.
Sofern Sie zur Führung eines internen Verzeichnisses von Verarbeitungstätigkeiten verpflichtet sind, haben Sie die Pflicht, zu dokumentieren, welche Anlagen zur Datenverarbeitung eingesetzt werden. Von der Pflicht, ein solches Verzeichnis zu führen, sind Unternehmen und Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Dabei darf außerdem die vorgenommene Verarbeitung
- nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen,
- die Verarbeitung nicht nur gelegentlich erfolgen oder
- nicht die Verarbeitung besonderer Datenkategorien bzw. die Verarbeitung von personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 DSGVO einschließen.
Anhand dieser Einschränkungen wird deutlich, dass die Befreiung von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten in der Praxis wenig Relevanz haben dürfte. Wer also ein solchen Verzeichnis intern führen muss, hat etwa Angaben darüber zu machen,
- welche Anlagen er benutzt und wie diese zu identifizieren sind,
- mit welchen Schnittstellen (z.B. WLAN) diese Anlagen verbunden sind,
- wo diese Anlagen im Unternehmen stehen und welche Verfahren diese Anlagen ausführen.
- Die Verarbeitungstätigkeiten sind zu benennen und
- die Kategorien von Empfängern aufzulisten.
- Außerdem müssen technische und organisatorische Maßnahmen (sog. TOMs) beschrieben werden, anhand derer die Datensicherheit sichergestellt wird.
Auch ein Auftragsverarbeiter ist zur Führung eines solchen Verzeichnisses verpflichtet.
Wir helfen Ihnen
Fazit
Die DSGVO dient dem Schutz eines hohen Datenschutzniveaus. Sie soll dem Grundsatz der Datensparsamkeit dienen und die Rechte der Betroffenen stärken. Hierfür verlangt sie von denjenigen, die Daten erheben und auswerten im Vergleich zu den alten Regelungen ein Mehr an Transparenz, welche Daten zu welchen Zwecken und für welche Dauer erhoben werden. Sie verlangt entweder die Einwilligung des Betroffenen in die Erhebung seiner personenbezogenen Daten oder einen gesetzlichen Erlaubnistatbestand, der zur Datenerhebung berechtigt. Die Einhaltung der neuen Regelungen wird flankiert von enormen Bußgeldrahmen. Gerade dies ist geeignet, eine deutliche Unruhe unter den Webseitenbetreibern auszulösen. Denn nicht nur die großen Konzerne, sondern auch der Einzelhändler, der „kleine“ Shopbetreiber und der Hobby-Blogger sind hiervon betroffen.
Es besteht Handlungsbedarf. Das ist nicht von der Hand zu weisen. Letzten Endes aber sind die formellen Anforderungen an eine DSGVO-konforme Datenschutzerklärung, ein DSGVO-konformes Impressum, der Abschluss eines Auftragsverarbeitungsvertrages sowie das Erstellen eines internen Verzeichnisses der Verarbeitungstätigkeiten noch vor dem 25.05.2018 möglich. Sofern Sie diese Arbeit in fremde Hände legen wollen, etwa aus Unsicherheit oder um die Zeit, die hierfür verwendet würde, anders zu nutzen, stehen wir Ihnen gerne unterstützend bei der Umsetzung zur Verfügung. Nehmen Sie die DSGVO und das neue BDSG ernst, verfallen Sie aber nicht in Panik. Die Umsetzung ist möglich.