DSGVO

Ab dem 25. Mai 2018 gelten quasi über Nacht die Vorschriften der bereits in Kraft getretenen Datenschutzgrundverordnung (DSGVO). Diese europäische Verordnung gilt, anders als eine Richtlinie, die noch in den einzelnen Mitgliedsstaaten der Europäischen Union umgesetzt werden muss, unmittelbar. Die DSGVO sorgt so ab dem genannten Stichtag für ein EU-weit einheitliches Datenschutzrecht und ersetzt die bestehenden Regelungen.

Teure Bußgelder und drohende Abmahnungen

Unternehmen, Selbstständige und Vereine haben im Bereich des Datenschutzes weitreichende Neuerungen zu beachten und sollten sich daher intensiv mit dem Thema beschäftigen. Wer Ende Mai nicht einigermaßen DSGVO-konform aufgestellt ist, dem drohen ernstzunehmende Konsequenzen. Denn das neue Datenschutzrecht stellt den Aufsichtsbehörden ein empfindliches Instrument zur Ahndung von Datenschutzverstößen zur Verfügung. In bestimmten Fällen können sie Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Konzernumsatzes verhängen, je nachdem welcher Wert höher ist.

Auch der anwaltlichen Abmahnindustrie eröffnen sich neue Möglichkeiten. Wettbewerbsrechtliche Abmahnungen aufgrund von Verstößen gegen das neue Recht versprechen hohe Streitwerte und bieten somit ein lukratives Geschäftsfeld. Zuletzt können auch die mit dem Verbandsklagerecht ausgestatteten Verbraucherschutzverbände gegen unsaubere Datenverarbeitung vorgehen und Unternehmen abmahnen.

Die Zeit drängt

Da bis zum Wirksamwerden der DSGVO nicht mehr allzu viel Zeit bleibt, sollte das Hauptaugenmerk darauf gerichtet werden, das neue Datenschutzrecht dort priorisiert umzusetzen, wo Verstöße leicht nach Außen erkennbar sind. Websites werden das Haupteinfallstor für Abmahnungen sein und sollten daher genauestens unter die Datenschutz-Lupe genommen werden.

Grundsätzlich ist jede Website vom Anwendungsbereich der DSGVO betroffen, denn ohne die Verarbeitung personenbezogener Daten, also Informationen jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare natürliche Person beziehen, lässt sich keine Website betreiben. Zu den personenbezogenen Daten gehören nämlich auch IP-Adressen, deren Übermittlung bereits für reine Lesezugriffe auf Websites notwendig sind.

Ausgenommen von den Datenschutzvorschriften sind lediglich Webangebote, die ausschließlich familiären oder persönlichen Zwecken dienen. Doch wer Bannerwerbung oder Affiliate-Links in seinem sonst privat betriebenen Blog verwendet, gilt bereits als kommerzieller Anbieter und kann sich nicht auf diese Ausnahmeregelung berufen.

Verträge mit dem Webhosting-Anbieter prüfen

Website-Betreiber sollten zunächst die Verträge mit ihrem Webhosting-Anbieter erneuern. Da nicht ohne weiteres personenbezogene Daten auf einem von Dritten bereitgestellten Webspace gespeichert werden dürfen, war auch schon bislang der Abschluss einer Vereinbarung zur sogenannten Auftragsdatenverarbeitung mit dem Hosting-Anbieter notwendig. Dieses nach der DSGVO nur noch als Auftragsverarbeitung bezeichnete Konstrukt regelt, dass der Webhoster personenbezogene Daten nur „gemäß den Weisungen des für die Verarbeitung Verantwortlichen“ – also des Website-Betreibers – verarbeiten darf. Der Webhoster gilt dadurch rechtlich nicht mehr als außenstehender Dritter, wodurch die weitergehenden Anforderungen an eine Datenübermittlung entfallen. Bestehende Vereinbarungen müssen der neuen Rechtslage angepasst werden. Größere Anbieter werden hierfür eigene Muster-Verträge bereitstellen, im Übrigen kann man sich zum Beispiel der Vorlage der Gesellschaft für Datenschutz und Datensicherheit e.V. bedienen.

Datenschutzerklärung überarbeiten

Das Vorhandensein einer Datenschutzerklärung, die über alle Vorgänge aufklärt, bei denen auf der Website personenbezogene Daten verarbeitet werden, ist schon lange Pflicht. Nach der DSGVO wird sich allerdings der Umfang deutlich erhöhen. Ein schlanker One-Pager wird zur Erfüllung der vielen neuen Informationspflichten nicht mehr ausreichen. So muss nun etwa die konkrete Rechtsgrundlage für jede Datenverarbeitung genannt werden. Auch die Rechte der Betroffenen – also der Website-Besucher – sind vielfältiger geworden. Wer nicht gleich einen Datenschutzrechtler mit der Erstellung dieses auch Privacy Policy genannten Dokuments beauftragen will, kann sich grob an der Musterdatenschutzerklärung des Instituts für Informations-, Telekommunikations- und Medienrecht der Universität Münster orientieren. Wichtig ist, dass die Datenschutzerklärung leicht auffindbar ist. Bestenfalls sollte sie im Footer der Website platziert werden, damit sie mit einem Click auch von jeder Unterseite aus erreichbar ist.

Verschlüsseln

Wird auf der Website die Möglichkeit angeboten, personenbezogene Daten in Formulare einzugeben, sollte unbedingt eine SSL-Verschlüsselung eingerichtet werden. Bereits 2015 wurden durch das Bayrische Landesamt für Datenschutzaufsicht Websites beanstandet, die trotz der Verwendung von Kontaktformularen keine angemessenen Schutzmaßnahmen implementiert hatten. Die Pflicht zur Verschlüsselung ergibt sich aus dem in der DSGVO geregelten Grundsatz der Integrität und Vertraulichkeit. Demnach müssen personenbezogene Daten in einer Weise verarbeitet werden, „die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung.“

Newsletter

Wer seinen Website-Besuchern per E-Mail Newsletter zuschickt und nicht zum Spammer werden möchte, sollte die verwendete datenschutzrechtliche Einwilligungserklärung genau überprüfen. Nur wenn der Text den Vorgaben der DSGVO entspricht, haben Alt-Einwilligungen weiterhin ihre Gültigkeit. Der Einwilligungstext darf nicht zu pauschal formuliert sein, sondern muss erkennen lassen, welche personenbezogenen Daten zu welchem konkreten Zweck von wem verarbeitet werden. Wichtig ist auch der Hinweis auf das Widerrufsrecht. Auch für die Erstellung von Einwilligungstexten bietet die Gesellschaft für Datenschutz und Datensicherheit e.V. einen Praxisleitfaden an.

Zwingend ist die Verwendung des Double-Opt-In-Verfahrens, um die Erteilung einer Einwilligung gerichtsfest beweisen zu können.

Social-Media-Plug-ins

Social-Media-Plug-ins, wie der Facebook Like-Button, übertragen auch ohne Click auf die Schaltfläche ungefragt Informationen an die entsprechenden Anbieter. Das Landgericht Düsseldorf hatte im März 2016 daher im Falle von Facebook entschieden, dass die Einbindung derartiger Tools rechtswidrig ist. Abhilfe leistet die sogenannte Shariff-Lösung von c’t, die dafür sorgt, dass soziale Netzwerke erst dann die Daten abfragen können, wenn der Botton auch tatsächlich betätigt wird.

Cookies und Webtracking

Keine wirklich verbindlichen Aussagen können darüber getroffen werden, ob die Verwendung bestimmter Cookies zum Webtracking künftig nur noch mit ausdrücklicher Einwilligung des Nutzers möglich sein wird. Die ePrivacy-Verordnung, die eigentlich zeitgleich mit der DSGVO in Kraft treten sollte und genau diesen Bereich der elektronischen Kommunikation abdecken wird, steckt noch im Entwurfsstadium. Umstritten ist, ob die bisherigen gesetzlichen Regeln zum Webtracking des Telemediengesetzes (TMG) neben der DSGVO weiterhin gelten oder nicht. Zur Vermeidung von Haftungsrisiken sollten Websitebetreiber, die ein eigenes Webtracking z. B. zur Besuchermessung durchführen, weiterhin die Regeln des § 13 Abs. 3 TMG einhalten. Das Webtracking darf u. a. nur pseudonym durchgeführt werden, es muss in der Datenschutzerklärung darüber informiert werden und es muss eine Opt-Out-Möglichkeit geben. Im Falle des Einsatzes von Retargeting-Technologien sollte hingegen die Einwilligung der Nutzer eingeholt werden. Es bleibt abzuwarten, wie die Datenschutzbehörden dieses kontrovers diskutierte Thema beurteilen werden.

Fazit

Vieles von dem, was Websitebetreiber bislang an datenschutzrechtlichen Vorgaben erfüllen mussten, hat auch weiterhin Bestand. Deutsche Anbieter profitieren davon, dass auch vor der DSGVO hierzulande ein hohes Datenschutzniveau geherrscht hat. Dort, wo Anpassungen erforderlich sind, insbesondere bei der Datenschutzerklärung, sollte mit der Umsetzung nicht länger gezögert werden. Angesichts hoher Bußgelder und der neuen Möglichkeiten, Abmahnungen zu kassieren, sollte das Thema Datenschutz für Website-Betreiber keine untergeordnete Rolle mehr spielen.

Nicolas Maekeler studierte Rechtswissenschaften an der Gottfried Wilhelm Leibniz Universität in Hannover.  Am dortigen Institut für Rechtsinformatik schloss er das Schwerpunktbereichsstudium zum Thema IT-Recht ab.

Nach Beendigung seines Referendariats am Oberlandesgericht Celle war der hannoversche Jurist zunächst als Syndikusanwalt bei Heise Medien und daneben als selbstständiger Rechtsanwalt tätig. Als Autor für c’t, iX  und heise online verfasste er regelmäßig Beiträge zu aktuellen Rechtsthemen der IT-Branche.

Nicolas Maekeler

Nicolas Maekeler

Newsletter abonnieren

Verpassen Sie keinen Blog-Eintrag mehr!

Abonnieren Sie unseren Blog und halten Sie Ihr Online-Marketing-Wissen aktuell!
Newsletter abonnieren

Mehr zum Thema Recht und Ethik

Erfahren Sie mehr zur Datenschutzgrundverordnung.

Datenschutzgrundverordnung

Die Datenschutzgrundverordnung betrifft nicht nur Website-Betreiber. Wir geben einen Überblick.

Datenschutzgrundverordnung
Digital Ethik

Neben Gesetzen gibt es auch ethische Grundsätze. Lesen Sie in unserem Blogbeitrag, was digitale Ethik ist.

Digitale Ethik