Was bedeute die neue DSGVO

Die neue Datenschutz- Grundverordnung gilt ab Mai diesen Jahres europaweit.
Eine Übergangs- oder Umsetzungsfrist für die DSGVO wird es nicht geben.
Hält man diesen Termin nicht ein, drohen hohe Abmahnungen bis hin zu drastischen Bußgeldern (je nach Verstoß bis zu 20 Millionen Euro, bzw. 4% des weltweiten Jahresumsatzes eines Unternehmen). Viele Unternehmen mit Websites fragen sich nun, ob sie betroffen sind und ob sie etwas bzw. was sie tun müssen,
um Geldstrafen zu vermeiden.

In diesem Blogbeitrag möchten wir deshalb folgende Fragen klären:

• Sind Sie überhaupt betroffen?
• Wie holt man sich DSGVO-konforme Einwilligungen? Welche Ausnahmen gibt es?
• Welche neuen Rechte haben nun die Nutzer, deren personenbezogenen Daten man verarbeiten möchte?
• Wie muss man in Zukunft die Datenverarbeitung dokumentieren?
• Was ist zu tun bei einem Hackerangriff?
• Braucht man einen Datenschutzbeauftragten?
• Wird man seine Datenschutzerklärung komplett neu aufsetzen müssen?
• Wann kommt die neue Cookie Richtlinie und was bedeutet das für das Tracking?
• Welche weiteren Themen sind zu beachten?
• Wo kann man die kostenfreie Checkliste downloaden?

Aktuelle Updates zum Artikel:

• 19.04.2018 Verschärfung des Grundatzes „Privacy by default“
• 26.04.2018 ePrivacy und das Telemediengesetz

Egal ob Sie ein Betreiber eines großen Online-Shops sind, ein mittelständisches Unternehmen, das regelmäßig Newsletter verschickt, oder ein Freelancer,
der Nutzer-Tracking auf seiner Website betreibt:

Wenn Sie in der EU niedergelassen sind oder Daten von EU-Bürgern verarbeiten, egal zu welchem Zweck, gilt die neue Verordnung für Sie.

Denn gemäß der neuen Datenschutz-Grundverordnung sind unter anderem auch
IP-Adressen personenbezogene Daten. Weil diese bereits beim Aufruf einer Website übermittelt werden, gilt die neue Verordnung schon beim reinen Lesezugriff auf
eine Seite, weshalb wirklich jeder Website-Betreiber von der neuen Verordnungbetroffen ist.

Ausgenommen von dieser Regel sind nur Internetauftritte, die ausschließlich für familiäre oder private Zwecke genutzt werden. Wenn Sie also Ihren Freunden über
eine Website die lustigen Bilder Ihrer Katze präsentieren wollen,
können Sie hier aufhören zu lesen.

Fällt Ihre Website nicht unter diese Ausnahme, müssen Sie dafür sorgen, dass sie laut dem DSGVO bis spätestens 25.05.2018 datenschutzkonform ist.
Was dafür zu tun ist, können Sie im Folgenden lesen. Am Ende des Artikels bieten wir außerdem eine unverbindliche Checkliste zum kostenfreien Download an.

Rechtmäßige Datenverarbeitung ab Mai – die Einwilligung Ihrer Website-Besucher

Die Verarbeitung (Erhebung, Speicherung und Nutzung) von personenbezogenen Daten ist grundsätzlich verboten, außer man erhält eine Einwilligung der betreffenden Person.

Das ist zunächst nichts Neues. Laut DSGVO ist allerdings ein stillschweigendes Einverständnis, ein vorangekreuztes Kästchen oder Untätigkeit einer Person
keine Einwilligung.

Eine Einwilligung ist nur rechtmäßig wenn sie freiwillig, für den Einzelfall, unmissverständlich und in informierter Weise getroffen wurde.

Außerdem tritt ein Kopplungsverbot ein. Das Verbot untersagt zum Beispiel, dass ein Warenkauf nur abhängig von der Zustimmung zu einem Newsletter möglich sei.

Beispiel:
Wenn man die Einwilligung einer Person für einen Newsletter einholen möchte, muss nun folgendes berücksichtigt werden:

• Freiwilligkeit: Die Person hat freiwillig eingewilligt und es liegt kein Verstoß gegen das Kopplungsverbot vor.
• Nachweisbarkeit: Es muss nachweisbar sein, dass die Person der Verarbeitung ihrer Daten zugestimmt hat. Das beinhaltet unter anderem: Über welches Formular hat die Person seine Einwilligung abgegeben, wann hat sie die Bestätigungsmail erhalten und auf den Bestätigungslink geklickt etc.. Bei vielen Newslettertools ist diese Nachweisbarkeit bereits gegeben – prüfen Sie dies nach.
• Widerrufsrecht: Es muss bei der Einwilligung, zum Beispiel direkt im Online Formular, darauf hingewiesen werden, dass die Person jederzeit ein Widerrufsrechtbesitzt. Einen Link zu den AGBs zu setzen, die diesen Hinweis enthalten und ein ankreuzbares Kästchen mit „Ich bin mit den AGBs einverstanden“, ist nicht mehr zulässig.
• Information zum Zweck: Die Person muss informiert werden, zu welchem Zweck die Daten gespeichert werden. Falls die Daten bei einer Newsletter-Anmeldung zu weiteren Zwecken genutzt werden sollen, muss darauf ausdrücklich hingewiesen werden und diese Einwilligung ebenfalls freiwillig erteilt worden sein (Kopplungsverbot). Die Einwilligung zu weiteren Abonnements beispielsweise darf hier keine Voraussetzung sein, sich für den Newsletter anmelden zu können.

Aber was ist mit bereits bestehenden Einwilligungen?
Darf man die Daten weiter verarbeiten, die man vor dem 25.05.18 erhoben hat?
Grundsätzlich ja, solange sie bereits den Anforderungen der DSGVO entsprechen.
Das heißt, die Einwilligung muss den oben genannten Kriterien entsprochen haben.

• Erforderlichkeit zur Vertragserfüllung: Wenn die Daten zur Vertragserfüllung nötig sind, wie bei einer Onlinebestellung. Ohne Anschrift und Kontendaten können Sie Ihren Kunden natürlich nichts zuschicken. Hier darf der Shop-Betreiber die Daten erheben ohne erneute ausdrückliche Einwilligung vom User.

• Erfüllung einer rechtlichen Pflicht: Bei einem Verkauf ist der Verkäufer beispielsweise steuerrechtlich verpflichtet, die Daten zu erheben und für das Finanzamt zu speichern – auch hier ist keine Einwilligung nötig.

• Vorvetragliche Maßnahmen: Z.B. bei einer Angebotsanfrage eines Interessenten über ein Kontaktformular ist ebenfalls keine Einwilligung nötig.

• Berechtigstes Interesse/ Direktwerbung:  Beim Direktmarketing kann es zulässig sein keine Einwilligung zu diesem Zweck einzuholen (DSGVO Erwägungsgrund 47 „berechtigtes Interesse“).
  Voraussetzung ist hierfür, dass der Empfänger Bestandskunde ist bzw. die E-Mail Adresse durch einen Verkauf an den Betroffenen erhoben wurde.
  Die Werbung darf außerdem nur eigene ähnliche Leistungen beinhalten und muss einen Hinweis zum jederzeitigen Widerruf enthalten.
  Alle Voraussetzungen müssen hier erfüllt sein.

UPDATE: Verschärfung des Grundatzes „Privacy by default“

Am 19.04.2018 hat der Europäische Rat noch einmal ziemlich kurzfristig ein sogenanntes Corrigendum (ab Seite 47 für die deutsche Fassung der DSGVO) veröffentlicht. Solch ein Änderungsdokument dient eigentlich zur grammatikalischen oder sprachlichen Korrektur. Allerdings blieb es wohl nicht nur bei formalen Änderungen. Es scheint, dass auch inhaltlich angepasst wurde. Das fällt besonders bei der Berichtigung des Artikels 25 Abs. 2 S.1 DSGVO auf. Dort hieß es vorher: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlichnur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“  Hier wurde zwar „nur“ das Wort „grundsätzlich“ gestrichen, allerdings könnte dies Folgen nach sich ziehen:

Beispiel

Klar ist, dass man bei einem Newsletteranmeldeformular die E-Mail Adresse als Pflichtfeld abfragen darf, da sie zum Verwendungszweck (Versand des Newsletters) nötig ist.
Unklar ist nun allerdings, ob man weitere Daten, wie z.B. Vor- und Nachname, auf klar gekennzeichneter freiwilliger Basis abgefragen darf, um z.B. eine persönliche Ansprache im Newsletter anbieten zu können. Durch die Berichtigung herrscht nun Unsicherheit. Einige Fachleute sind der Meinung, dass keine datenschutzunfreundliche Voreinstellung vorliegt, wenn man fakultative Felder in Formularen anbietet, die  Daten abfragen, die nicht zur Erfüllung des Zwecks erforderlich sind und die der Nutzer freiwillig ausfüllen kann. Wichtig ist hier, freiwillige Felder und Pflichtfelder klar zu kennzeichnen.

Diese Berichtigung ist als inhaltliche Korrektur anzusehen, wohingegen die weiteren Anpassungen im Dokument formeller Natur sind. Es ist abzuwarten, wie sich diese inhaltliche Änderung tatsächlich auswirken wird.
Mehr dazu z.B. in diesem Artikel. 

Daten sind zu löschen, wenn

• diese für den vorgesehenen Zweck nicht mehr notwendig sind
• die betroffene Person ihre Einwilligung widerruft oder Widerspruch einlegt
• diese unrechtmäßig erhoben wurden
• die Löschung zur Erfüllung rechtlicher Verpflichtungen erforderlich ist
• die Daten eines Kindes erhoben wurden

Des Weiteren gilt:

• Die betroffenen Personen haben das Recht auf Auskunft über ihre personenbezogenen Daten und können die Löschung dieser beantragen.
  Die Daten müssen kostenfrei als Kopie bereitgestellt werden.
• Die Art und Weise des Antrags ist nicht vorgeschrieben.
  Zu empfehlen ist allerdings ein Formular auf der Datenschutz-Seite anzubieten, sodass die Bearbeitung der Anträge auf Löschung von einer zuständigen Person mit den nötigen Kenntnissen vorgenommen werden kann – das ist wichtig,
  da nicht immer alle Daten gelöscht werden dürfen (zum Beispiel
  aus steuerrechtlichen Gründen).
• Die betroffene Person muss informiert werden, wenn Daten aus gesetzlichen oder anderen Gründen nicht gelöscht werden können.
• Die Daten sind unverzüglich zu löschen oder die Ablehnung der Löschung muss unverzüglich mitgeteilt werden – das bedeutet, innerhalb eines Monats.

Schwierigkeiten bei der Umsetzung des neuen Rechts:

Wo liegen die Datensätze, sind sie ohne weiteres auffindbar und kann man sie dort ohne weiteres löschen? Dürfen die Daten oder nur ein Teil davon gelöscht werden?

Um die Frist von einem Monat einhalten zu können, gilt es vorab zu prüfen,
wo die Daten liegen, ob man sie gänzlich löschen darf, wie man an sie gelangt und
sie löscht sowie wer dafür verantwortlich ist.

Unternehmen sind laut der Datenschutz-Grundverordnung jetzt verpflichtet, umfangreich über die Verarbeitung von personenbezogenen Daten zu informieren.
Die Dokumentation der Datenverarbeitung muss in Form eines Verfahrensverzeichnisses / Verzeichnis von Verarbeitungstätigkeiten geführt werden. Theoretisch gibt es zwar Ausnahmen von dieser Regel, aber praktisch betrifft sie nahezu sämtliche Unternehmen.

Das Verzeichnis kann elektronisch geführt werden. Es sollte aber auch druckbar sein, da es bei Anfrage der zuständigen Aufsichtsbehörde vorzulegen ist. Es darf weiterhin vom Datenschutzbeauftragten geführt werden, aber die Verantwortung dafür liegt nun ganz beim Unternehmen.

Inhalte des Verfahrensverzeichnis (Art. 30 DSGVO):

• Name und Kontaktdaten des Verantwortlichen (beziehungsweise auch gesetzlicher Vertreter oder Datenschutzbeauftragter etc.)
• Zweck der Datenverarbeitung (Grundsatz Zweckbindung)
• Eine Beschreibung der betroffenen Personengruppen oder -kategorien und der diesbezüglichen Daten oder Datenkategorien
• Kategorien von Empfängern, welchen die Daten mitgeteilt werden können
  (zum Beispiel Spediteuren etc.)
• Die vorgesehene Frist für die Löschung der Datenkategorien
  (Grundsatz Datensparsamkeit)
• Ggf. geplante Datenübermittlung an Drittstaaten
• Eine Beschreibung der technischen und organisatorischen Maßnahmen

Kein Tracking mehr ab Mai? 

Zwar war geplant, dass die neue Verordnung über Privatsphäre und elektronische Kommunikation gleichzeitig mit der Datenschutz-Grundverordnung / DSGVO im Mai diesen Jahres inkraft tritt, aber dieser Termin ist  zurzeit äußerst fraglich. Ende Oktober letzten Jahres hat das EU- Parlament einen Entwurf verabschiedet, der im Moment noch diskutiert wird. Deshalb ist es unwahrscheinlich, dass die neue Verordnung ab Mai 2018 greifen wird und ein Termin im Jahr 2019 scheint realistischer. Außerdem wird es danach vermutlich mindestens eine einjährige Übergangsfrist geben, sodass sich Website-Betreiber darauf vorbereiten können. Das scheint auch dringend nötig zu sein, da einige Änderungen der neuen Cookie Richtlinie sich als Herausforderung entpuppen könnten.

Beispielsweise soll es dem Besucher einer Seite dann möglich sein, Cookies gesondert für jeweilige Tracking-Dienste zuzulassen oder abzulehnen. Auch soll dem Seitenbesucher bei Ablehnung der Cookie-Nutzung die Website weiterhin zugänglich sein. Zulässig wären dann nur die technisch nötigen Cookies.

Darüberhinaus würde der Browser als Verwalter des Datenschutzes fungieren und müsste bei Zustimmung oder Ablehnung die Seite bzw. das Unternehmen darüber informieren. Technisch wären diese Neuerungen schwer umsetzbar.

Letztendlich ist die Verordnung zur Zeit noch ein Entwurf, der erörtert wird. Deshalb können wir uns erst einmal in Ruhe auf die Umsetzung der neuen Datenschutz-Grundverordnung / DSGVO konzentrieren.

UPDATE: ePrivacy und das Telemediengesetz

Da die ePrivacy Verordnung also nicht mit der DSGVO zeitgleich in Kraft tritt, ergibt sich natürlich die Frage, ob das nationale Recht, sprich das Telemediengesetz (TMG), weiterhin gilt.

Am 26.04.2018, also knapp einen Monat vor der „Deadline“,  hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder eine Stellungnahme unter anderem zur Nutzung von Cookies veröffentlicht. In der heißt es :

“Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO , in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Das würde bedeuten, man müsse dem Nutzer bei Aufruf der Seite zuerst fragen, ob er mit dem Einsatz von Tracking Cookies einverstanden ist. Falls dem nicht so ist, müsse man ihm die Seite ohne Nutzung dieser Cookies zur Verfügung stellen. Momentan diskutieren Fachleute rege dazu. Zum Beispiel ist fraglich ob Cookies, die zum Tracking genutzt werden, aber anonymisiert sind (z.B. bei Google Analytics), tatsächlich dieser Bestimmung unterliegen würden.

Was soll man nun also tun? Da der Zeitpunkt dieser Veröffentlichung sehr kurzfristig ist, ist die Umsetzung der vorherigen Einwilligung für viele wahrscheinlich kaum machbar. Das wäre allerdings die sicherste Variante. Einige Software-Anbieter für solche Lösungen findet ihr hier.
Wenn man risikobereit ist, betreibt man das Tracking weiterhin und beruft sich auf das berechtigte Interesse. Eine Alternative wäre auch, erst einmal das Tracking ab 25. Mai zu deaktivieren und abzuwarten.
Spätestens für die e-Privacy Verordnung 2019 sollte man aber eine Lösung für eine vorherige Einwilligung in die Cookie-Nutzung entwickeln und einsetzen.

In der Position der Konferenz könnt ihr mehr nachlesen. (PDF) oder hier in einem ausführlichen Artikel.

Zusätzliche Anforderungen der Datenschutz-Grundverordnung, die einen Webauftritt nicht direkt betreffen, sind zu berücksichtigen.

Wenn Sie beispielsweise mit Dienstleistern zusammenarbeiten, die in Ihrem Auftrag personenbezogene Daten verarbeiten (bspw. externes Kundencenter oder Cloud Anbieter), müssen Sie mit diesen gemäß DSGVO Bestimmungen (Art. 28) einen Auftragsverarbeitungsvertrag schließen. Weitere Verträge mit Partnern, die ebenfalls nicht als Auftragsdatenverarbeiter für Sie tätig sind, sollten vor allem hinsichtlich Datenschutz- und Haftungsklauseln überprüft werden.

Wenn bei der Verarbeitung der personenbezogenen Daten von betroffenen Personen ein Risiko für ihre Rechte und Freiheiten besteht kann außerdem eine Datenschutz-Folgenabschätzung Pflicht sein. Dieses Risiko kann beispielsweise bei der Verarbeitung von besonders sensiblen Daten (z.B. Gesundheitsdaten) oder von Daten schutzbedürftiger Personen bestehen.

Ebenso können Scoring, Profiling und Evaluationen (z.B. Einschätzung einer Kreditwürdigkeit) oder automatisierte Einzelfallentscheidungen, aber auch die Nutzung von neuen Technologien ein Risiko für die Betroffenen darstellen, sodass eine Datenschutz-Folgenabschätzung nach DSGVO Artikel 35 für ein Unternehmen Pflicht wird.

Informieren Sie sich und prüfen Sie, ob ein Risiko bei Ihrer Datenverarbeitung bestehen könnte. Falls ja, nehmen Sie frühzeitig eine solche Abschätzung vor.
Mehr dazu können Sie hier lesen.