Die zahlreichen Änderungen, die die DSGVO ab dem 25. Mai 2018 mit sich bringt, treffen jeden Unternehmer und Webseitenbetreiber. Es gibt in fast allen Bereichen des Datenschutzrechts umfangreiche Neuregelungen. Einige sind relativ einfach umzusetzen, andere sind sehr komplex. Als eRecht24-Agenturpartner kann Adler ProMedia Sie bei der Umsetzung einer korrekten Datenschutzerklärung nach DSGVO, beim Thema Impressum und weiteren notwendigen Maßnahmen unterstützen. Sprechen Sie uns an.
1. Einführung DSGVO
Die DSGVO regelt ab dem 25. Mai 2018 den Umgang von Unternehmen mit personenbezogenen Daten – einheitlich europaweit. Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. das BDSG wird zeitgleich neu gefasst.
Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards gelten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt.
Die Verordnung gilt aber auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten. So soll sichergestellt werden, dass sich auch Cloud-Dienste oder soziale Netzwerke (etwa aus den USA) an die Regeln halten müssen.
Die DSGVO betrifft dabei wirklich jedes Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen. Im Einzelnen:
2. Datenschutzerklärung und Impressum
Zunächst benötigt jede Webseite eine neue Datenschutzerklärung, die den Vorgaben der DSGVO entspricht. Grundsätze einer DSGVO-konformen Datenschutzerklärung:
- Einfache und verständliche Sprache
- ggf. eine vorgeschaltete, allgemein-zusammenfassende Erklärung
- Kontaktdaten des Seitenbetreibers
- Datenschutzbeauftragter, wenn vorhanden
- die Rechtsgrundlage der jeweiligen Datenerhebung/Verarbeitung (gesetzliche Regelung oder Einwilligung) muss konkret benannt werden
Die folgenden Punkte muss eine Datenschutzerklärung nach DSGVO mindestens enthalten:
- Nennung aller Datenverarbeitungsvorgänge auf der Webseite
- Umgang Kunden- / Bestelldaten
- Tracking, Cookies, Social Media
- Newsletter, A(D)V
- Dauer der Speicherung, Löschungsfristen
- Auskunft, Berichtigung, Löschung, Widerspruch
- Recht auf Datenherausgabe und Übertragbarkeit
Eine Einwilligung darf nicht innerhalb der Datenschutzerklärung erklärt werden.
Achtung! Löschpflicht Art. 17 DSGVO:
Daten müssen gelöscht werden, wenn:
- der Erhebungszweck weggefallen ist,
- die Einwilligung widerrufen wurde (Newsletter-Abmeldung),
- ein Widerspruch des Nutzers erfolgt („Löschen Sie meine Daten“) und keine gesetzlichen Speicherpflichten entgegenstehen (Steuern und Buchhaltung)
Im Impressum sind keine Änderungen notwendig. Allerdings wird momentan diskutiert, dass für Auskunfts-, Berichtigungs- und Löschungsansprüche ein spezielles Kontaktformular geschaffen werden soll, das in die allgemeine Menüstruktur (bei Datenschutzerklärung und Impressum) integriert werden soll.
3. Cookies und Tracking
Im Hinblick auf Cookies und Tracking gibt es momentan keine Änderungen. Cookies werden spezifisch durch die ePrivacy-Verordnung (ePV) neu geregelt. Diese kommt allerdings wohl erst 2019.
Die gute Nachricht: Google Analytics bleibt auch nach der DSGVO wie bisher „erlaubt“, wenn folgende Voraussetzungen erfüllt sind:
- A(D)V Vertrag mit Google abgeschlossen
- IP Anonymisierung aktiviert
- Opt-out Möglichkeiten für Desktop und Mobil
Achten Sie darauf, dass Sie ab dem 25. Mai 2018 einen DSGVO-konformen AV-Vertrag mit Google abschließen!
4. Newsletter und Einwilligungen
Einwilligungen von Nutzern, z.B. zum Newsletter-Versand, die bereits nach altem Recht wirksam eingeholt wurden (double opt-in) gelten grundsätzlich weiter.
Ausnahmen:
- Koppelungsverbot bei alten Einwilligungen nicht beachtet
- Einwilligungen durch Minderjährige
Doch was ist mit neuen Newsletter-Aktionen oder Preisausschreiben?
Wenn keine gesetzliche Erlaubnis zum Speichern / Übertragen von Daten vorhanden ist, wird immer eine Einwilligung benötigt.
Auch unter der DSGVO sollte das double opt-in Prinzip beachtet werden, um die Einwilligung im Zweifel auch nachweisen zu können. Die Einwilligung muss in jedem Fall elektronisch dokumentiert werden.
5. Auftrags(daten)verarbeitung
Wenn das Erheben und Verarbeiten personenbezogener Daten durch ein „externes“ Unternehmen erfolgt, muss dies – wie auch im alten Recht – vertraglich geregelt werden.
Beispiele
- Agentur führt Werbemaßnahmen aus
- Externer Newsletter-Anbieter
- Webhoster
- Externe Wartungsverträge
Was ändert sich am Inhalt der A(D)V-Verträge?
Wenige inhaltliche Neuregelungen:
- Auftragsverarbeiter muss u.U. ein Verfahrensverzeichnis führen
- Auftragsverarbeiter muss die Weisungen des Verantwortlichen protokollieren
- keine Schriftform der Verträge mehr notwendig
Mit unseren Hosting-Kunden werden wir rechtzeitig einen entsprechenden AV-Vertrag abschließen.
6. Datenschutz bei Minderjährigen
Bei Jugendlichen unter 16 Jahren müssen die Eltern einwilligen. Dies gilt aber nur für Fälle, bei denen die DSGVO eine Einwilligung vorschreibt (z. B. für Werbung) und in der Praxis nur dann, wenn es sich um Angebote handelt, die sich direkt an Kinder und Jugendliche richten.
Bei gemischten Angeboten (für Erwachsene und Jugendliche) sind keine spezifischen Vorgaben umzusetzen.
7. Einsichtsrecht und Meldepflicht
Generell haben Betroffene Anspruch auf Auskunft zu ihren gespeicherten personenbezogenen Daten (Art. 15 DSGVO).
Mögliche Formen der Auskunft:
- schriftlich
- elektronisch (E-Mail)
- auf Verlangen mündlich
Frist der Auskunft: Unverzüglich, aber spätestens 1 Monat nach Eingang des Antrags
Wann müssen bei Datenpannen die Betroffenen und Aufsichtsbehörden informiert werden?
Hier gelten mittlerweile strengere Anforderungen als bisher. Nach Art 33 DSGVO müssen Datenpannen gegenüber Aufsichtsbehörden unverzüglich (möglichst binnen 72 Stunden) mittels umfassender Dokumentation vorgelegt werden.
8. Bußgelder und Abmahnungen
Datenschutzverstöße können abgemahnt werden!
Bei Verstößen drohen Abmahnungen und Gerichtsverfahren, denn:
- Datenschutzrecht hat wettbewerbsrechtliche Relevanz!
- Verstöße können auch nach der DSGVO abgemahnt werden!
Bußgelder
Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor. Bisher haben Datenschutzbehörden den oberen Rahmen der Bußgelder nur sehr selten und bei dauerhaften Verstößen ausgereizt. Das wird sich aber sehr wahrscheinlich ändern, der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO.
Wichtig: Anfragen/ Beschwerden von Nutzern ernst nehmen. Noch wichtiger: Anfragen/ Beschwerden von Datenschutzbehörden ernst nehmen.
Was sollten Sie jetzt konkret tun?
Sie wissen, dass Sie sich um Themen wie Datenschutz, Impressum, Bildrechte oder Facebook & Co. kümmern müssen? Sie haben weder die Zeit noch das entsprechende Know-how, alle komplizierten rechtlichen Vorgaben aufwendig selbst auf Ihrer Webseite zu integrieren? Sie wollen konkrete Unterstützung?
Gerne unterstützen wir Sie bei der DSGVOkonformen Gestaltung Ihrer Webseite bis zum 25. Mai 2018 und helfen Ihnen dabei, teure Bußgelder zu vermeiden. Sprechen Sie uns bitte an.