Suche Grau Suche
Strategische Beratung, konzeptionelles Marketing, Crossmedia, webbasierte Software und Websites

EU-DSGVO: Handlungsbedarf beim Datenschutz

Die E-Privacy-Richtlinie und ihre Auswirkungen auf Web-Auftritte

EU-DSGVO: Handlungsbedarf beim Datenschutz

Am 25.05.2018 tritt EU-weit die Datenschutz-Grundverordnung (DSGVO, „E-Privacy-Richtlinie“) in Kraft. Auch wenn die neue Verordnung grundsätzlich bestehende Regelungen fortschreibt, sollten Unternehmen die zusätzlichen Informations- und Dokumentationspflichten nicht unterschätzen: Bei Verstößen drohen hohe Geldbußen. Viele Unternehmen haben gerade bei ihren Webauftritten noch Nachholbedarf.

Der Anwendungsbereich erstreckt sich primär auf personenbezogene Daten, also alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dabei reicht die Möglichkeit der Identifizierung als Kriterium aus. Neu ist das Gebot der Datensicherheit bei der Verarbeitung (Art. 32 DSGVO). Dieses wirkt sich unmittelbar auf die Website aus, wenn diese genutzt wird, um Geschäftsprozesse abzuwickeln; besonders, wenn es eine Verbindung in ein CRM- oder ERP-System gibt.

Informieren und dokumentieren

Nutzer müssen über die Erhebung und Verarbeitung der Daten informiert werden und aktiv zustimmen. Das gilt bereits für ein herkömmliches Kontaktformular: Dort oder direkt per Link erreichbar – z. B. in der Datenschutzerklärung – muss eine Belehrung eingebunden werden, die über Art, Umfang und Zweck der Datenerhebung und -verwendung unterrichtet. Sie muss darauf hinweisen, dass der Nutzer seine Einwilligung jederzeit widerrufen kann. Der „Absenden“-Button des Formulars darf erst aktiv werden, wenn der Nutzer per Häkchen in einer Checkbox bestätigt hat, dass er diesen Hinweis wahrgenommen hat – und natürlich darf diese Checkbox nicht vorausgefüllt sein.

Bei über ein reines Kontaktformular hinausgehenden Formularen gelten erweiterte Zustimmungspflichten etwa zur längeren Speicherung der Daten oder zur späteren Kontaktaufnahme. Dies muss dann nicht nur durch entsprechende zusätzliche Checkboxen abgefragt werden. Das Unternehmen muss die jeweilige Zustimmung des Nutzers auch rechtssicher dokumentieren.

Cookies und Cookie-Hinweis

Viele Websites nutzen Cookies; werden diese für Nutzerprofile genutzt, gilt in Deutschland bisher eine Opt-out-Lösung: Nutzer müssen per Datenschutzerklärung darauf hingewiesen werden und eine Widerspruchsmöglichkeit haben. Nach der neuen Verordnung ist dagegen das Erstellen von Nutzerprofilen nur noch per ausdrücklicher Zustimmung des Nutzers möglich. Gleichzeitig entfällt die bisherige Unterscheidung zwischen personenbezogenem und pseudonymem Tracking.

Das „Cookie-Banner“ beim ersten Aufruf einer Website wird damit vielfach Pflicht – aber nicht immer. Ein Hinweis auf den Einsatz von Cookies ist nicht nötig, wenn die Cookies „für die Nutzung eines ausdrücklich verlangten Dienstes technisch notwendig“ sind (Art. 8 Abs.1 b DSGVO). Ebenfalls nicht hingewiesen werden muss auf reine Session-Cookies, die nur während des Besuchs der Website gelten (Art. 8 Abs. 2).

Social Media, Videos, Google Maps & Co.

Geht es um die Einbindung von Social-Media-Angeboten wie Facebook, sind die meisten Websitebetreiber sich bereits im Klaren, dass sie darauf in der Datenschutzerklärung hinweisen müssen. Dies gilt für alle Plugins, die ohne Nutzerinteraktion eine Verbindung zur Social-Media-Plattform aufbauen wie den Like-Button von Facebook oder ein Twitter-Widget, das die letzten Tweets in der Website anzeigt. Nicht nötig ist ein Hinweis dagegen bei statischen Links wie einem Share-Button, die erst auf Klick zu Facebook & Co. wechselt.

Videos werden häufig auf einer Website eingesetzt. Youtube bietet dafür komfortable Optionen zum Einbetten von Videos in die eigene Website an. Bei der normalen Einbindung werden allerdings ebenfalls schon beim Aufrufen der Website Daten an Youtube übertragen. Der optionale „erweiterte Datenschutzmodus“ mildert das Problem – hier werden Daten erst ab dem Start des Videos übertragen. Ein Hinweis ist dennoch erforderlich, wenn der Besucher das Video als Teil der Website wahrnimmt.

Eine aktuelle Website nutzt Dienste, deren datenschutzrechtliche Implikationen oft übersehen werden. Eine interaktive Anfahrtskarte etwa ist üblich – und die kommt in der Regel von Google. Das bedeutet: Beim Aufruf der Seite mit der Karte werden Daten an Google übertragen – und der Websitebetreiber muss Besucher darauf hinweisen. Darüber hinaus lässt sich die Schnittstelle zu Google Maps für weitere Funktionen wie die Umkreissuche etwa nach Standorten oder Vertriebspartnern nutzen – hier wandern noch mehr Daten zu Google, besonders, wenn auch Smartphone-Standortdaten des Besuchers genutzt werden.

Sehr beliebt sind Google Fonts, durch die sich Schriften passend zu Design und CI eines Unternehmens zuverlässig darstellen lassen. Bei der gängigen Einbindung wird auch hier beim Seitenaufruf eine datenschutzrechtlich relevante Verbindung zu Google aufgebaut. Wer nicht auf Google Fonts verzichten will, hat zwei Möglichkeiten: Er weist seine Besucher auf die externe Einbindung hin – oder nutzt nur Google Fonts, deren Lizenz das Hosten auf eigenen Servern erlaubt und stellt sicher, dass die Schriften auch tatsächlich auf dem eigenen Auftritt liegen.

Aktive Verpflichtungen

Das Gebot der Datensicherheit bei der Verarbeitung hat technische und organisatorische Aspekte: Personenbezogene Daten, die ein Nutzer auf der Website eingibt – etwa über ein Kontaktformular – müssen per SSL-Verschlüsselung vor dem Mitlesen durch Dritte geschützt werden. Darüber hinaus müssen auch alle, die mit personenbezogenen Daten arbeiten, zur Einhaltung des Datenschutzes verpflichtet werden. Mitarbeiter müssen über die neuen Regeln wie Unterrichtungs- und Löschpflichten informiert sein und dürfen nur auf Daten Zugriff haben, die für ihre Aufgaben erforderlich. Unternehmen müssen außerdem mit Dienstleistern und Geschäftspartnern, die Zugriff auf Kunden- oder Beschäftigtendaten haben, entsprechende Verträge zur Auftragsdatenverarbeitung schließen.

Erleichterungen für kleine und mittlere Unternehmen?

Zwischenzeitlich hat die EU-Kommission angekündigt, dass die neuen Vorschriften einige Ausnahmen für kleinere und mittlere Unternehmen (KMU) mit bis zu 250 Mitarbeitern geben soll. Diese müssten weder einen eigenen Datenschutzbeauftragten haben noch die Datenverarbeitung lückenlos protokollieren. Auch sei die Meldepflicht bei Pannen im Zusammenhang mit personenbezogenen Daten weniger rigoros, solange diese kein großes Risiko für die Grundrechte der Betroffenen bedeuteten.

Deutsche Unternehmen sollten sich allerdings nicht auf diese Aussagen zurückziehen: Hier greifen nach wie vor die nationalen Vorschriften, die etwa einen betrieblichen Datenschutzbeauftragten fordern, sobald mindestens zehn Mitarbeiter mit der Verarbeitung personenbezogener Daten befasst sind. Auch die offiziellen Informationen der EU-Kommission berücksichtigen nur die EU-weiten Vorschriften, ohne auf etwaige schärfere nationale Regelungen einzugehen.

Nach wie vor relevant bleibt das Bundesdatenschutzgesetz. Immerhin erlaubt § 28 BDSG das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung für die die Erfüllung eigener Geschäftszwecke. Voraussetzung ist, dass diese Daten nötig sind, um rechtliche Verpflichtungen zu erfüllen, etwa im Rahmen eines Vertrags. Dabei gilt das Gebot der Datensparsamkeit; es dürfen nicht mehr personenbezogene Daten erhoben werden als unbedingt erforderlich.

Datenschutzerklärung auf Websites und in Apps

Die explizite Einwilligung der Dateneigentümer ist in diesem speziellen Fall nicht nötig. Allerdings muss das Unternehmen ausführlich darüber informieren, welche Daten gesammelt werden und wie mit diesen umgegangen wird. In allen anderen Fällen muss die ausdrückliche Zustimmung zur Speicherung und Verarbeitung der Daten eingefordert und rechtssicher dokumentiert werden.

Zur Information der Nutzer benötigen sowohl Websites als auch in Apps Datenschutzerklärungen. Auch hier müssen Anbieter einige Vorgaben erfüllen. Eine davon ist analog zu den Regelungen für die Anbieterkennzeichnung (Impressum): Die Datenschutzerklärung muss von jeder Seite der Website bzw. von überall in der App unmittelbar erreichbar sein, etwa über einen eindeutig benannten Link.

Diese Datenschutzerklärung muss nicht nur ausführlich und präzise, sondern auch allgemein verständlich formuliert sein. Der Abschnitt zur Erhebung und Verarbeitung personenbezogener Daten muss leicht auffindbar sein, etwa durch eine entsprechende Überschrift oder andere Formatierung. Am besten ist, von überall, wo es nötig ist – etwa bei Formularen – spezifisch auf diesen Abschnitt der Datenschutzerklärung zu verlinken.

Hohe Geldbußen bei Verstößen

Unternehmen sollten die E-Privacy-Richtlinie nicht auf die leichte Schulter nehmen: Bei Verstößen können die Datenschutzbehörden Geldbußen bis zu 20 Millionen Euro oder von vier Prozent des weltweiten Umsatzes verhängen. Gehört das Unternehmen zu einer Unternehmensgruppe oder einem Konzern, ist der Gesamtumsatz des Verbunds die Berechnungsgrundlage für die Strafzahlungen.

Eine Ordnungswidrigkeit ist es auch, wenn keine geeigneten und angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ergriffen werden. Und: Auch Wettbewerber können Datenschutzverstöße abmahnen.