Diese Zusammenfassung erhebt keinen Anspruch auf Vollständigkeit und soll nur eine grobe Übersicht über die wichtigsten Neuerungen der DSVGO für Webseitenbetreiber geben:
Am 25. Mai 2018 gilt nun die neue Datenschutzverordnung (DS-GVO).
Diese gilt für alle Webseiten, die nicht rein familiär oder freundschaftlich genutzt werden.
Geht also eine Nutzung über diesen Zweck hinaus, bedarf es die Beachtung der DSGVO und damit benötigt man auch eine Änderung des Datenschutzrechthinweises. Im Konkreten heißt es, dass alle, die Waren oder Dienstleistungen innerhalb der EU anbieten, betroffen sind und/oder für Unternehmen, die mindestens 10 Mitarbeiter haben (unabhängig davon, ob es sich dabei um einen Praktikanten mit nur 2 Stunden wöchentlicher Arbeitszeit handelt oder um einen Vollzeitbeschäftigten. Auch für Vereine gilt die DS-GVO, wenn sie ihre Mitgliederdaten ständig aktualisiert.
Es haben sich mittlerweile schon Abmahn-Vereine gebildet, die nur auf den 25. Mai warten, um Webseitenbetreiber, die zu diesem Tag nicht in die Umsetzung gekommen sind, abzumahnen.
Dabei kann eine Abmahngebühr bis zu 20 Millionen oder bis 4 % des Umsatzes anfallen.
Jeder Webseitenbesuch ist bereits datenschutzrelevant, da der BFH (Bundesfinanzgerichtshof) im Mai 2017 schon entschieden hat, dass es sich selbst bei dynamischen IP-Adressen um personenbezogene Daten handelt.
Dabei gilt dies nicht nur bei und für die eigene Webseite zu beachten, sondern diese Überlegung auch bei der Auswahl des Webhosting-Anbieters zu bedenken. Hat der Nutzer nicht eingewilligt, dass seine Daten gespeichert werden, wird die Vereinbarung einer sog. Auftragsverarbeitung nach Art. 28 ff. DSGVO notwendig sein.
Die DSVGO unterscheidet zum einen unter sensiblen und normalen Daten.
Normale Daten sind etwa Namen, Adresse, Telefonnummer, Kundennummer.
Sensible Daten sind hingegen alles darüber hinausgehende, wie Daten zu religiösen Überzeugungen des Nutzers, biometrische Daten etc.
Personenbezogene Daten dürfen nur dann gespeichert werden, wenn es einen guten Grund dafür gibt und man sie unbedingt benötigt. Zudem müssen die Daten regelmäßig aktualisiert werden und man ist als Seitenbetreiber auch dafür verantwortlich, dass sie nicht von anderen eingesehen oder gestohlen werden können.
Es muss darüber hinaus jeder Person, die anfragt und ohne, dass der Person Kosten entstehen dürfen, Auskunft darüber erteilt werden, welche Daten man über die Person gespeichert hat und man muss diese Daten auch auf Verlangen löschen (außer, man ist gesetzlich dazu verpflichtet, diese Daten mit den entsprechenden Sicherheitsbestimmungen aufzubewahren).
Dazu ist man ggf. verpflichtet, ein sog. Verfahrensverzeichnis anzulegen und zu führen; darin muss man zu jeder Verarbeitungstätigkeit den Zweck, das Risiko bei Verlust der Daten, Empfängerkategorien und die technisch-organisatorischen Maßnahmen zum Schutz und zur Wartung der Daten angeben. Insgesamt halte ich es auch für solche Unternehmen/Selbstständige für wichtig, unabhängig von der Pflicht, ein solches Verzeichnis zu führen, dies zu tun, um den Aufsichtsbehörden schnell Auskunft erteilen zu können.
Für Seitenbetreiber ist es insgesamt unumgänglich, dass ein Datenschutzhinweis schon dann zu sehen ist, wenn die Seite fertig geladen hat. Also muss diese über einen einzigen Klick von der Hauptseite aus erreichbar sein.
Auch ist es wichtig, dass die Datenschutzerklärung individuell ausgestaltet wurde und dass bei der Erstellung beachtet worden ist, ob man mit anderen Diensten wie z.B. Facebook, google, instagram etc. zusammenarbeitet. Auch müssen Cookie-Hinweise unbedingt angegeben werden; dabei muss der Seitenaufrufende sein Einverständnis geben (dies wird durch eine Bannereinblendung erreicht; dabei ist darauf zu achten, dass diese Banner-Einblendung nicht das Impressum und den Datenschutzhinweis verdeckt!).
Bei der Verwendung und Zusammenarbeit mit Google & Co. ist darauf großen Wert zu legen, dass die IP-Adressen nur gekürzt erfasst werden, sodass eine Anonymisierungsfunktion besteht.
Auch bei dem Einfügen von Social Media (wie Facebook-like Buttons etc.) ist sicherzustellen, dass keinerlei Daten des Webseitenbesuchers ohne dessen Zustimmung erhoben werden. Dies kann bei einer normalen und einfachen Einbindung der Fall sein, sodass man hier als Webseitenbetreiber auch abmahngefährdet sein kann.
Die Datenschutzerklärung muss explizit auch als solche deklariert und aufrufbar sein. Es reicht nicht aus, sie in das Impressum zu packen oder sie nur über das Impressum erreichbar zu machen. Am Besten bringt man auf der Hauptseite den Button „Datenschutzerklärung“ hinein, der gleich beim Aufrufen der Seite auch sichtbar erscheint und sofort zu sehen ist.
Zudem steht man in der Pflicht, die genaue Rechtsgrundlage anzugeben.
Beispielhaft reicht es bei einer Seite mit einer Möglichkeit zur Newsletter-Anmeldung nicht aus, in der Datenschutzerklärung zu schreiben:
(auszugsweise): Pflichtangabe für die Übersendung des Newsletters ist allein Ihre Emailadresse. Nach Ihrer Bestätigung speichern wir Ihre E-Mail-Adresse zum Zweck der Zusendung des Newsletters. Rechtsgrundlage ist Art. 6 DS-GVO.
Hier bedarf es die vollständige Angabe der Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. A DS-GVO.
Nach Artikel 21 DSVGO hat der Webseitennutzer auch das Recht, aus Gründen, die sich aus ihrer Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Ein erweitertes Widerspruchsrecht gilt hier in der Form der Direktwerbung. Hierfür muss der Webseitenbetreiber auch spätestens im Zeitpunkt der ersten Kommunikation hinweisen und darüber aufklären. Diese Aufklärung muss auch extra geschrieben stehen („von anderen Informationen getrennter Form“), also in einem neuen Absatz und am Besten auch durch hervorgehobene Schrift, in der man auf das Widerspruchsrecht und den Artikel 21 DSGVO mit dem entsprechenden Absatz usw. hinweist.
Insgesamt soll die Datenschutzverordnung die Datenerhebung der Webseitenbetreiber transparenter machen. Der Text des Datenschutzhinweises soll in klar verständlicher Sprache und auch in Kürze geschrieben sein, sodass der Webseitenbesucher genau weiß, ob und welche Daten gespeichert werden und inwieweit Dritte in diese Vorgänge eingebunden sind.
In Artikel 13 DSGVO findet sich eine Liste an Dingen, die in dem Datenschutzhinweis stehen müssen. Dazu ist nun, wie schon ausgeführt, die Rechtsgrundlage auch explizit zu nennen.
Zu nennen sind zwingend:
- Name und Kontaktdaten des Verantwortlichen (möglicherweise auch Vertreter)
- Zweck und Rechtsgrundlage der Verarbeitung
- Falls die Rechtsgrundlage Art. 6 Abs. 1 f) DSGVO ist, muss eine Angabe der berechtigten Interessen des Verantwortlichen oder Dritten erfolgen
- Man hat über die Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung) aufzuklären
- Man muss einen Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde geben
- Die Speicherdauer der Daten ist anzugeben, zudem – falls vorhanden – die Kriterien, warum wie lange die Speicherdauer ist)
Je nach Situation kann es Pflicht sein, weitere Angaben zu tätigen, wie zum Beispiel die Nennung des Datenschutzbeauftragten etc. Auch wenn man mit Dritte zusammenarbeitet und Daten der Nutzer/Kunden weitergibt, muss das in die Datenschutzerklärung mitaufgenommen werden.
Die Datenschutzerklärung ist immer individuell anzufertigen. Einfach „blind“ einen Mustertext zu kopieren, ohne sich wirklich damit beschäftigt zu haben oder jemanden – zum Beispiel einen Rechtsanwalt – damit beauftragt zu haben, birgt das Risiko einer Abmahnung, die vermeidbar ist.
Oliver Munz
Rechtsanwalt