Erste Hilfe bei der Umsetzung der Datenschutzgrundverordnung

Worum geht es bei der Datenschutzgrundverordnung?

Die Datenschutzgrundverordnung regelt einheitlich für die gesamte EU die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Bisher gab es keine derartige gemeinsame Regelung innerhalb der EU. Für beinahe jedes europäische Land galten andere Gesetze und Betroffene konnten oft nicht nachvollziehen welche Rechte ihnen zustanden, oder wie sie diese wahrnehmen konnten.

Mit der DSGVO will der europäische Gesetzgeber also die Modernisierung des Datenschutzrechts und gleichzeitig die Schaffung eines gemeinsamen und einheitlichen Datenschutzes in der gesamten EU erreichen. Die Rechte der EU-Bürger sollen gestärkt werden. Sie sollen in der Lage sein, unabhängig davon in welchem Land der EU sie einen Einkauf tätigen, sich über ihre Rechte zu informieren und sie wahrzunehmen. Datenschutz soll für jedermann transparent und „greifbar“ werden.

Gilt die neue EU Datenschutzgrundverordnung auch für mich?

Wenn Sie eine Webseite betreiben und diese nicht nur rein privaten Zwecken dient: Ja!

Denn die neue DSGVO gilt für jeden europäischen Unternehmer, der personenbezogene Daten in irgendeiner Weise verarbeitet. Darüber hinaus gilt sie auch für Unternehmen, die ihren Sitz zwar nicht in der EU haben, aber zumindest Daten von EU-Bürgern verarbeiten.

Aufgrund der weitreichenden Definition, was personenbezogene Daten alles sein können, ist anzunehmen, dass die neue DSGVO im Zweifel auch für Sie gilt.

Folgende Fragen können Sie sich hier beispielsweise stellen:

• Verwende ich auf meiner Webseite Cookies?
• Verschicke ich einen Newsletter?
• Müssen sich Kunden bei mir registrieren, um mein Angebot wahrnehmen zu können?
• Benutze ich Analyse-Tools um das Kaufverhalten meiner Besucher zu analysieren?

Haben Sie auch nur eine dieser Fragen mit „ja“ beantwortet, sind Sie von den Neuerungen der Datenschutzgrundverordnung betroffen.

Welche Punkte sind im Online-Bereich von den Neuerungen betroffen?

Die Neuregelung im Onlinebereich betreffen dabei vor allem folgende Punkte:

• Datenschutzerklärung
• Umgang mit Nutzer- und Kundendaten
• Tracking von Nutzerdaten mit Hilfe von Analyse-Programmen
• Versendung von Newslettern
• Verwendung von Cookies auf den Webseiten.

Dringender Handlungsbedarf besteht damit für all diejenigen, die eine Webseite betreiben. Hier muss die Datenschutzerklärung zwingen den neuen Anforderung entsprechend angepasst werden. Auch wer Nutzern über seine Webseite Kontaktmöglichkeiten anbietet oder Online-Marketing-Tools wie den Versand von Newslettern einsetzt, sollte die nun anstehenden Änderungen zügig umsetzen.

Brauche ich ab dem 25. Mai 2018 eine neue Datenschutzerklärung?

Ja. Die Anforderungen an die Hinweis- und Aufklärungspflichten in einer rechtskonformen Datenschutzerklärung haben sich deutlich erhöht. Die wenigsten Datenschutzerklärungen entsprechenden diesen Anforderungen.

In der Datenschutzerklärung sind

• neben der Rechtsgrundlage für die Datenverarbeitung auch
• die Rechte der Betroffenen explizit benennen. 

Im Weiteren sind folgende Informationspflichten künftig zu erfüllen:

• Es ist der für die Datenverarbeitung Verantwortliche zu benennen.
• Sofern vorhanden, ist der Datenschutzbeauftragte zu benennen.
• Es muss in klarer und transparenter Form über den Umfang und Zweck der Datenverarbeitung informiert werden.
• Es sind Angaben zur Speicherdauer zu machen.
• Es muss auf das Beschwerderecht der Betroffenen bei einer Aufsichtsbehörde hingewiesen werden.
• Es gilt das Gebot der Prägnanz – ausschweifende Formulierungen sind zu vermeiden. Viel hilft nicht viel – die Datenschutzerklärung ist auf die tatsächliche Lage im Unternehmen abzustimmen.
• Wenn Daten an Dritte übermittelt werden, ist der Empfänger der Daten anzugeben.
• Ist ein Datentransfer in Drittstaaten außerhalb der EU beabsichtigt, ist hierüber ebenfalls aufzuklären.
• Einwilligungen dürfen künftig nicht mehr vom Download bestimmter Inhalten wie Whitepaper oder Checklisten abhängige gemacht werden dürfen (Koppelungsverbot). Dies ist bei den Ausgestaltungen der Datenschutzerklärungen ebenfalls zu berücksichtigen.
• Sofern sich das Angebot an Kinder richtet, ist eine kindgerechte Sprache zu verwenden.

Kann ich eine Abmahnung erhalten, wenn ich die Datenschutzerklärung nicht bis zum 25.05.2018 rechtskonform ausgestalte?

Ja.  Eine Datenschutzerklärung bereit zu halten ist für Unternehmen bereits jetzt Pflicht. Dies ergibt sich aus § 13 Telemediengesetz (TMG). An dieser Pflicht ändert sich auch durch die neue DSGVO nichts. Mit der neuen DSGVO halten allerdings umfangreichere Hinweis- und Aufklärungspflichten Einzug, die es mit der Datenschutzerklärung zu erfüllen gilt.

Verstöße gegen die Datenschutzgrundverordnung – hierzu gehört eine fehlende oder fehlerhafte Datenschutzerklärung – können von den Datenschutzbehörden mit Bußgeldern geahndet werden. In welchem Ausmaß die Behörden hier tatsächlich tätig werden, bleibt aber abzuwarten. Nach bisherigen Recht sind Impressumsverstöße gem. § 16 TMG mit einem Bußgeld von bis zu 50.000 EUR bedroht. Fälle, in denen ein Bußgeld tatsächlich in nennenswerter Höhe verhängt worden wäre, sind uns allerdings nicht bekannt.

Ernst zu nehmen ist nach unseren Erfahrungswerten mit Massenabmahnern jedoch die Gefahr von Abmahnungen, die Verstöße gegen die Datenschutz-Grundverordnung über das Wettbewerbsrecht abmahnen können. Daneben wird es aber auch das ein oder andere Unternehmer geben, das die neuen Vorschriften mit hohem Aufwand umgesetzt hat und sich nicht ganz zu Unrecht über solche Mitbewerber ärgert, die die neuen Regeln unbeachtet lassen und sich damit auch den Aufwand ersparen und so einen Wettbewerbsvorteil erlangen.

Auch die Datenschutzbehörden können Verstöße gegen die DSGVO ahnden. Um der Durchsetzung Nachdruck zu verleihen, wurden auch die drohenden Strafen massiv verschärft. So wurde der Bußgeldrahmen für bestimmte Verstöße auf bis zu 20 Millionen Euro,  erhöht. Alternativ haben die Datenschützer künftig die Möglichkeit, bis zu 4% des Jahresumsatzes als Bußgeld zu verhängen. Hier hatte der Gesetzgeber erkennbar die Internet-Giganten wie Facebook oder Google im Blick. Der Strafrahmen, den die Regelungen des bisherigen Bundesdatenschutzgesetzes vorsahen, hatte bei diesen Konzernen kaum abschreckende Wirkung. 

Wie kann ich meine Webseite abmahnsicher gestalten?

Die umfangreichen Anforderungen der neuen Datenschutzgrundverordnung verunsichern vor allem kleine und mittelständische Unternehmer. Häufig wissen sie nicht, wie sie die Neuregelungen effektiv und ohne großen Aufwand umsetzen können. Gerne helfen wir Ihnen bei der Umsetzung der Datenschutz-Grundverordnung und machen Ihren Online-Auftritt abmahnsicher. Insbesondere die sich ständig ändernde höchstrichterliche Rechtsprechung muss bei der Gestaltung Ihrer Webseite immer wieder neu beachtet werden. Wir halten Sie auf unserer Seite immer auf dem neuesten Stand.

Ergeben sich mit der Umsetzungsverpflichtung der DSGVO Änderungen beim Einsatz von Cookies?

Ja, denn mit der DSGVO ist klargestellt, dass pseudonyme Cookies und IP-Adressen als „Online-Kennungen“ als personenbezogene Daten zu werten sind. Damit fallen die meisten Cookies unter den Anwendungsbereich der Datenschutzgrundverordnung. Webseitenbetreiber und Online-Händler sind daher beim Einsatz von Cookies künftig gezwungen, eine Interessenabwägung vornehmen. 

Zur Erläuterung: Nach der DSGVO sind personenbezogene Daten auch solche Daten, die eine natürliche Person dadurch identifizierbar machen, indem sie einer

„Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen“

zugeordnet werden kann. Nach bisheriger (deutscher) Rechtslage war umstritten, ob „Online-Kennungen“ ohne weiteres als personenbezogene Daten zu gelten hatten oder diese nur für denjenigen als solche zu gelten hatte, der den Personenbezug mit weiteren Informationen selbst herstellen konnte.

Beispiel: Ein Telekommunikationsanbieter, der dynamische IP-Adressen vergibt, ist in der Lage, diese seinem Kunden zuzuordnen. Für den Telekommunikationsanbieter ist die IP-Adresse daher als personenbezogenes Datum einzuordnen. Der Webseitenbetreiber kann die IP-Adresse des Nutzers zwar erkennen. Er weiß in der Regel aber nicht, wer sich dahinter verbirgt. Er ist auch ohne weiteres nicht in der Lage, diese Verknüpfung herzustellen. Für den Webseitenbetreiber war es nach deutscher Rechtslage daher bislang umstritten, ob die IP-Adresse als personenbezogenes Datum galt.

Mit neuer Rechtslage kann davon ausgegangen werden, dass Cookies auch für den Webseitenbetreiber und Online-Händler als personenbezogene Daten zu werten sind. Cookies enthalten regelmäßig jedenfalls Online-Kennungen. Hier ist gerade Sinn und Zweck, den Besucher wiederzuerkennen.

In welchen Fällen dürfen Cookies unter der DSGVO verwendet werden?

Die Verwendung von Cookies ist zulässig, wenn der Betroffene rechtskonform eingewilligt hat oder ein gesetzlich definierter Erlaubnistatbestand vorliegt (Grundsatz des Verarbeitungsverbotes mit Erlaubnisvorbehalt). Nach einem neuen EuGH-Urteil (Az. C-673/17) müssen Sie in jedem Fall eine informierte, vorherige Einwilligung einholen bevor Sie nicht-notwendige Cookies einsetzen dürfen.

Wie Sie die Einwilligung rechtskonform einholen können, erklären wir Ihnen hier.

Achtung: Ein Cookie-Banner allein stellt selbst keine wirksam eingeholte Einwilligung dar. Dieser ist nur ein Hinweis!

Gemäß Art. 6 Abs. 1 f) DSGVO ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

Es kommt also auf eine Interessenabwägung im Einzelfall an, die mittels einer dreistufigen Prüfung vorzunehmen ist

1. Gibt es ein berechtigtes Interesse des Online-Händlers?

Berechtige Interessen können rechtliche, wirtschaftliche oder ideelle Interessen sein.

2. Ist der Einsatz des Cookies zur Wahrung dieses Interesses erforderlich?

Erforderlich ist der Einsatz von Cookies, wenn die so erhobenen Daten nur zu einem Zweck erhoben werden dürfen, wenn sie zu dessen Erfüllung auch tatsächlich erforderlich sind.

3. Überwiegt das Interessen des Betroffenen am Schutz seiner Daten das Interesse des Webseitenbetreibers?

Das ist dann nicht der Fall, wenn die betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen diese erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.

Was ändert sich im Bereich des Newsletter-Marketings?

Wenig bis nichts.

Grundsätzlich galt auch nach bisheriger (deutscher) Rechtslage das Datenverarbeitungsverbot mit Erlaubnisvorbehalt. Es musste also auch bisher eine Einwilligung des Empfängers eingeholt werden, wenn man ihm eine Werbemail schicken wollte. In unserer Serie zur Ausgestaltung eines rechtssicheren Newsletterversandes erhalten Sie hierzu mehr Informationen.

Dieser Einwilligungsvorbehalt gilt auch nach den Bestimmungen der DSGVO. Zudem (aber auch dies ist nicht neu) muss der Webseitenbetreiber gemäß Art. 7 Abs. 1 DSGVO nachweisen, dass der Empfänger des Newsletters in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat. Wie der Nachweis der Einwilligung konkret zu erbringen ist, bleibt – wie auch nach bisheriger Gesetzeslage – offen. Hier erfahren Sie mehr zu den Anforderungen an eine wirksame datenschutzrechtliche Einwilligung nach alter und neuer Rechtslage.

Es kann aber davon ausgegangen werden, dass auch nach der DSGVO sowohl das Single-Opt-In als auch das Confirmed-Opt-In-Verfahren nicht ausreichen, um einen tauglichen Einwilligungsnachweis zu erbringen. Wir empfehlen daher auch weiterhin das Double-Opt-In-Verfahren anzuwenden, da dies die derzeit rechtssicherste Möglichkeit darstellt, die Einwilligung des Users nachzuweisen.

Hier erhalten Sie mehr Informationen zum Umgang mit einer Abmahnung wegen einer unzulässigen Werbe-E-Mail.

Newsletter-Werbung im Rahmen bestehender Kundenverhältnisse

Nach Art. 95 DSGVO beleibt § 7 Abs. 3 UWG als „besondere Regelung“ aus der ePrivacy-Richtlinie weiterhin anwendbar. Newsletter-Werbung im Rahmen bestehender Kundenverhältnisse ist damit weiterhin ohne Einwilligung möglich sofern die Voraussetzungen des § 7 Abs. 3 UWG vorliegen. Damit können Online-Händler also auch weiterhin Newsletter an Kunden versenden, wenn

1. der Kunde im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung die E-Mailadresse bekanntgegeben hat,
2. mit dem Newsletter ausschließlich eigene ähnliche Waren oder Dienstleistungen beworben werden,
3. der Kunde der Verwendung nicht widersprochen hat und der Kunde bei Erhebung der Adresse auf sein Widerspruchsrecht hingewiesen worden ist.

Widerspruchsrecht

Wie nach bisheriger deutscher Rechtslage muss nach der DSGVO der Empfänger des Newsletters seine Einwilligung jederzeit widerrufen können (Art. 7 Abs. 3 DSGVO). Auf das Widerrufsrecht muss der Nutzer hingewiesen werden, bevor er seine Einwilligung erteilt. Auch das ist nicht neu. Neu ist die Verpflichtung zur Einhaltung des „Simplizitätsgebots“. Das bedeutet, dass der Widerruf „so einfach wie die Erteilung der Einwilligung“ möglich sein. Ausreichend dürfte es aber sein, wenn jeder Mail am Ende ein eigener „Unsubscribe-Link“ beigestellt wird, dessen bloße Betätigung der Datenverarbeitung Einhalt gebietet.

Hier finden Sie eine Serie zum rechtssicheren Newsletter-Marketing, die sich zwar noch auf die alte Rechtslage bezieht. Nach dem oben gesagten dürfte die dort aufgestellten Anforderungen auch der neuen Rechtslage entsprechen. 

Brauchen wir einen Datenschutzbeauftragten?

Sofern Sie bereits vor dem 25.05.2018 einen Datenschutzbeauftragten beschäftigen mussten, so ist dies auch weiterhin verpflichtend.

Im Übrigen haben sich die Voraussetzungen, unter denen ein Datenschutzbeauftragter von Gesetzes wegen gestellt werden muss, geändert. Ein Datenschutzbeauftragter muss insbesondere in folgenden drei Fällen bestellt werden:

• Sie verarbeiten besondere persönliche Daten gemäß Artikel 9 oder 10 DSGVO

• Ihre „Kerntätigkeit“ besteht in einer „umfangreichen regelmäßigen und systematischen Überwachung von betroffenen Personen" oder

• Mehr als 9 Personen in Ihrem Betrieb sind mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Was ist ein Stresstest und wann muss er durchgeführt werden?

Als wären Unternehmen nicht bereits genug mit der Erfüllung der neuen Pflichten gestresst, fordert die neue DSGVO in Art. 35 DSGVO nun ebenfalls einen sog. „Stresstest“ (Datenschutz-Folgeabschätzung) auch für die durchgeführten Verarbeitungstätigkeiten.

Dieser Test soll in bestimmten Fällen die durchgeführte oder geplante Datenverarbeitung auf mögliche Risiken hin untersuchen. Wie diese abgewendet werden können, muss sodann in einem Bericht dargelegt werden.

Ein solcher Stresstest ist vor allem dann durchzuführen, wenn

• persönliche Aspekte der Betroffenen bewertet und automatisiert verarbeitet werden, um Entscheidungen mit Rechtswirkung für die Betroffenen zu treffen (Profiling),

oder

• sensible Daten wie Gesundheit, Sexualität, politische Gesinnung etc. verarbeitet werden,

oder

• öffentlich zugängliche Bereich per Video überwacht werden.

Was ist, wenn ich die Daten an Dritte weitergebe und diese die Daten verarbeiten?

In vielen Fällen verwenden Unternehmen externe Drittanbieter, um bestimmte Prozesse zu beschleunigen oder vollständig auszulagern.

Damit Dritte die Daten verarbeiten können, gibt es vier Möglichkeiten:

• Betroffene willigen im Vorfeld ein
• Die Datenverarbeitung erfolgt lediglich im Rahmen der Vertragserfüllung
• Dritte haben ein berechtigtes Interesse an der Verarbeitung (bspw. Gewinnmaximierung, Dienstoptimierung etc.)
• Es besteht ein Auftragsverarbeitungsvertrag

Speziell bei der Auftragsverarbeitung gilt es einige Punkte zu beachten:

Im Rahmen eines Auftragsverarbeitungsvertrags werden Dritte damit beauftragt bestimmte Daten zu verarbeiten. Beispielhaft sei hier die Beauftragung zum Zwecke des Newsletterversandes oder der Analyse des Kaufverhaltens genannt.

Aus dem Vertrag muss sich ergeben, dass die Verarbeitung lediglich zu dem dargelegten Zweck erfolgt. Geschlossen werden kann der Vertrag ab dem 25.05.2018 auch in elektronischer Form. Zudem muss sichergestellt sein, dass auch in Fällen in denen der beauftragte Dritte weitere Personen oder Unternehmen selbst beauftragt, das Schutzniveau gewahrt bleibt.

Gibt es eine Befreiung von den Pflichten der DSGVO?

Ja, eine solche Befreiung sieht die Verordnung in Art. 30 Abs. 5 DSGVO vor. Demnach trifft Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, die sog. Rechenschaftspflicht nicht.

Achtung: hiervon nicht befreit werden bspw. Unternehmen dann schon nicht, wenn sie wenigstens „gelegentlich“ personenbezogene Daten verarbeiten. Wann eine gelegentliche Verarbeitung vorliegt ist nicht klar definiert. Im Zweifel ist eine solche aber bereits dann anzunehmen, wenn eine Verarbeitung regelmäßig/wiederholend/fortlaufend und sei es auch nur einmal pro Woche, erfolgt.

Fazit

Die neue DSGVO bringt viele Neuerungen und damit auch Unsicherheit. Sie trifft große Unternehmen als auch kleine Webseitenbetreiber gleichermaßen.

Wir helfen Ihnen sich in dem Dschungel aus Vorschriften zurecht zu finden und bieten Ihnen neue und umfangreiche Datenschutzerklärungen. Sei es für Ihr eigenes Unternehmen oder auch für Ihre Verkäuferseiten auf Ebay, Amazon und Etsy.