von Björn Schöpe
24. Mai 2018 – Am 25. Mai 2018 tritt die neue Europäische Datenschutzgrundverordnung in Kraft. Verstöße können in Zukunft viel massiver geahndet werden als bisher. Noch immer glauben viele Münzhändler und Vereine, diese Änderungen würden sie nicht betreffen. Doch das ist falsch, es gibt nur sehr wenige Ausnahmen. Im folgenden finden Sie 5 Tipps, wie Sie kühlen Kopf bewahren und die neuen Anforderungen (versuchen zu) erfüllen.
Was ist die Datenschutzgrundverordnung?
Die Europäische Datenschutzgrundverordnung (EU-DSGVO) ist eine Neuregelung des Datenschutzrechts in der Europäischen Union, die die unterschiedlichen Rechtsvorschriften der Mitgliedsstaaten „harmonisieren“ soll. Als Verordnung ist sie direkt bindendes Recht und muss nicht erst in die nationalen Rechtssysteme eingebunden werden. Die Verordnung gilt bereits seit dem 24. Mai 2016, bislang galt allerdings noch eine zweijährige Übergangszeit. Ab dem 25. Mai 2018 gilt alleine die DSGVO. Die Verordnung soll das Datenschutzrecht transparenter machen und Verbrauchern die Selbstbestimmung über ihre persönlichen Daten erleichtern.
Für wen gilt sie?
Die Verordnung gilt für jeden, der in der EU personenbezogene Daten verarbeitet. Unter diese Daten fallen nicht nur Name, Anschrift oder KFZ, sondern auch die IP-Adresse beim Besuch einer Website oder die E-Mail-Adresse beim Anmelden für einen Newsletter. Damit sind praktisch alle Anbieter einer Internetseite betroffen.
Die DSGVO gilt nicht nur für Unternehmen, sondern auch für Blogger, Ein-Personen-Unternehmen vom kleinen Münzhändler ohne Angestellten bis zum multinationalen Auktionshaus mit einer Filiale in der Europäischen Union.
Ausgenommen sind nur Privatpersonen, die zu einem nichtberuflichen Zweck eine Website betreiben. Wer also eine Seite zu Münzen betreibt, kann auf eine Datenschutzerklärung nur dann verzichten, wenn er auf keine Art und Weise Geld mit der Seite verdient, und es keine Berührungspunkte zu seinem Beruf gibt.
Eine klar formulierte und allgemein verständliche Datenschutzerklärung ist Pflicht. Sie muss wie das Impressum von jeder Seite direkt erreichbar sein und darf nicht nur zwischen anderen Angaben wie dem Impressum versteckt sein.
Aber Vereine müssen diesen Aufwand doch nicht mitmachen?
Doch! Die Verordnung gilt ausnahmslos auch für Vereine und Verbände. Das war vielen bislang nicht bewusst und Vereine trifft es besonders hart, weil die Arbeit in der Regel von Ehrenamtlichen erledigt wird.
Welche Daten dürfen überhaupt erhoben werden?
Daten dürfen nur mit Einwilligung der Betroffenen erhoben werden („Erlaubnisvorbehalt“) oder wenn ein „berechtigtes Interesse“ vorliegt. Ab wann ein Unternehmen ein „berechtigtes Interesse“ daran hat, das Nutzungsverhalten seiner Website-Besucher zu analysieren, um beispielsweise Werbung darauf abzustimmen, diskutieren Rechtsexperten noch. Neben dem Erlaubnisvorbehalt gelten die folgenden Prinzipien:
– Datensparsamkeit: Nur die notwendigen Daten dürfen abgefragt werden. Wer sich für einen Newsletter anmeldet, muss in der Regel nur seine E-Mail-Adresse angeben, keine Postanschrift oder Geburtsdatum. Ob der Name notwendig ist, ist umstritten.
– Zweckbindung: Die Daten dürfen nur zu dem Zweck erhoben werden, den der Kunde bei seiner Einwilligung kannte.
– Datensicherheit: Die Sicherheit muss nach den gültigen technischen Standards gewährleistet sein.
– Transparenz: Verbraucher haben ein Recht auf eine verständliche Auskunft, welche Daten von ihnen zu welchem Zweck erhoben wurden und bei wem diese Daten wie lange gespeichert werden. Sie haben ebenso das Recht zu verlangen, dass die Daten gelöscht werden.
Betrifft die DSGVO nur die Website?
Nein. Zwar werden für gewöhnlich auf Websites – oftmals im Hintergrund – persönliche Daten abgegriffen. Daher gilt sie nahezu ausnahmslos für jeden Websitebetreiber. Die DSGVO gilt aber ebenso in der allgemeinen Verwaltung.
Unternehmen mit mehr als neun Mitarbeitern und solche die mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben, sind verpflichtet, einen internen oder externen Datenschutzbeauftragten zu bestellen.
Mit externen Betrieben, die Daten weiterverarbeiten, müssen sogenannte Auftragsverarbeitungsverträge abgeschlossen werden. Darin verpflichtet sich der externe Betrieb – beispielsweise der Website-Provider, der Newsletter-Versand-Anbieter, das Steuerbüro usw. –, die Daten gemäß der DSGVO zu behandeln.
Außerdem sind Betriebe verpflichtet, alle Vorgänge zu dokumentieren, bei denen mit persönlichen Daten umgegangen wird – nicht nur mit Daten von Kunden, sondern auch mit Daten von Angestellten oder Bewerbern.
Was passiert bei Verstößen?
Das schreckt viele Betriebe ab: Bei Verstößen können Strafen verhängt werden, die sehr viel höher sind als bislang. Die zuständigen Aufsichtsbehörden können Verstöße mit Strafen von bis zu 20 Millionen ahnden oder maximal 4 Prozent des weltweiten Unternehmensumsatzes. In Deutschland sind die Länderbehörden dafür zuständig und haben bereits unterschiedliche Signale gegeben, inwieweit sie planen, drakonische Strafen auszusprechen oder zunächst milder zu verwarnen.
Gibt es Probleme bei der Umsetzung?
Ja. Zum einen hat es der Gesetzgeber in den letzten beiden Jahren offenbar versäumt, ausreichend aufzuklären. Anders ist nicht zu verstehen, warum erst in den letzten Wochen vor Inkrafttreten der Verordnung die Medien darüber berichten und die große Aufregung ausbricht.
Es gab gerade in der letzten Zeit von Seiten der Aufsichtsbehörden widersprüchliche Äußerungen darüber, welche Vorgaben wie umgesetzt werden sollen. Ein besonders heikles Thema ist der Umgang mit Cookies, zu dem wir unten noch etwas sagen.
Außerdem sehen Konkretisierungsklauseln in der Verordnung vor, dass die nationalen Regelungen die DSGVO in Einzelpunkten konkretisieren oder modifizieren (allerdings nicht vollständig aufheben) dürfen. Schweden hat davon bereits Gebrauch gemacht. Österreich hat erklärt, anstelle von Strafen wolle man nur Verwarnungen aussprechen. Dies halten viele Experten allerdings für ungültig. Deutschland hat dies leider nicht getan, weswegen in vielen Punkten unklar ist, wie die Vorgaben konkret umzusetzen sind.
Hilft es, erst einmal abzuwarten?
Nein. Die Vogel-Strauß-Politik funktioniert nicht, da ab 25. Mai 2018 die Verordnung rechtsgültig ist. Findige Menschen werden vermutlich versuchen, aus der rechtlichen Unsicherheit Kapital zu schlagen und eine Abmahnwelle lostreten. Daher sollte man versuchen, zumindest nach bestem Wissen und Gewissen die EU-DSGVO umzusetzen. Der Gesetzgeber wird auf lange Zeit damit beschäftigt sein, rechtliche Unklarheiten zu definieren. Noch kurz abzuwarten, bis in jeder Hinsicht Rechtssicherheit besteht, ist also keine Option.
5 Tipps, wie Sie die Verordnung umsetzen
1. Informieren Sie sich
Die Linkliste am Ende des Artikels gibt Ihnen Informationen zur Hand, damit Sie sich in die Materie einarbeiten können. Darunter sind auch Seiten, auf denen Sie automatisch eine DSGVO-konforme Datenschutzerklärung oder ein Impressum generieren können. Diesen Text müssen Sie vermutlich noch anpassen, aber er erleichtert die Arbeit sehr.
2. Gehen Sie Ihre Website durch
Fragen Sie Ihren Provider, den Anbieter Ihres Newsletter-Versandes oder Ihren Programmierer, was alles auf Ihrer Webseite passiert. Binden Sie Youtube-Videos ein? Bieten Sie eine Anfahrtshilfe mit Googlemaps? Betreiben Sie einen Shop auf Ihrer Seite, bei dem man sich anmeldet? Gibt es ein Kontaktformular, das persönliche Daten abfragt? Können Besucher Sie direkt über Plugins bei Social Media bewerten oder gelangen Sie direkt dorthin (Twitter, Instagram, Google+, Addthis …)? Nutzen Sie Trackingtools wie Google Analytics? Speichert Ihr Provider im Hintergrund die IP-Adressen Ihrer Besucher?
Eine heißdiskutierte Frage betrifft „Cookies“. Dies sind kleine Datenpakete, die speichern, welche Seiten ein Nutzer besucht hat. So können Sie beispielsweise erkennen, ob einer Ihrer Kunden zuvor eine andere Shopseite besucht hat und Ihr Werbeangebot darauf abstimmen. Rechtsexperten sind unsicher, ob ein einfacher Hinweis auf die Verwendung von Cookies ausreicht, ob ein Besucher ausdrücklich zustimmen muss oder gar eine kompliziertere Einverständniserklärung abzugeben hat. In jedem Fall gehört ein Hinweis darauf in die Datenschutzerklärung!
3. Passen Sie Ihre Newsletter-Regelungen an
Wenn Sie einen Newsletter verschicken, benötigen Sie neben dem Auftragsverarbeitungsvertrags mit dem Anbieter und einem konformen Anmeldeformular die Einverständniserklärung Ihrer Abonnenten. Diese kann zwar auch mündlich erfolgen – allerdings müssen Sie im Zweifelsfall nachweisen, dass jemand Ihren Newsletter erhalten wollte. Es empfiehlt sich, einen Anbieter zu wählen, der DSGVO-konform arbeitet und Ihnen bei der Umsetzung hilft.
4. Denken Sie an die Arbeitsvorgänge im Betrieb
Wie gesagt: Die DSGVO gilt nicht nur für Websites, sondern für den ganzen Betrieb. Sie benötigen vielleicht keinen Datenschutzbeauftragten, aber klopfen Sie einmal genau ab, an welcher Stelle Sie personenbezogene Daten verarbeiten und wer damit in Kontakt kommt.
5. Fragen Sie Experten
Es gibt verschiedene auf Medienrecht spezialisierte Anwälte und Websites, die Ihnen – in der Regel gegen eine Gebühr – helfen, Ihre Aktivitäten rechtlich abzusichern. Das kann bisweilen teuer kommen, vergleichen Sie Angebote. Aber bedenken Sie: Auch wenn Ihnen ein Anwalt verspricht, dass Sie dank seiner Hilfe auf der sicheren Seite sind:
Hundertprozentige Sicherheit gibt es nicht
Selbst Rechtsexperten können momentan nur Einschätzungen geben, welche Formulierung ihrer Ansicht nach rechtlich gültig ist. Noch sind aber vor allem in Deutschland viele Fragen offen, so dass abzuwarten bleibt, wie die Aufsichtsbehörden und die Rechtsinstanzen urteilen. Aber kein Grund, die Hände in den Schoß zu legen! Mit diesen Links finden Sie genug Informationen, um sich noch auf die neue Verordnung vorzubereiten!
DSGVO
Allgemeine Hinweise gibt das Bundesministerium des Inneren.
Naturgemäß unübersichtlich aber offiziell finden Sie den Text der DSGVO in allen Sprachen auf der Seite der EU-Verwaltung.
Zahlreiche Informationen und einen übersichtlich aufbereiteten Gesetzestext finden Sie z.B. auf der Seite der Datenschutzbeauftragte und Beratung im Mittelstand.
Da die Umsetzung und Überwachung in Deutschland Ländersache ist, informieren Sie sich am besten auf den Seiten Ihres jeweiligen Bundeslandes. Das Bayerische Landesamt für Datenschutzaufsicht zum Beispiel gibt KMUs zahlreiche Informationsdokumente zur Hand.
Die ganze Geschichte und Details der DSGVO zeigt ein Wikipediaartikel.
Für Vereine
Zwei Artikel geben erste Hilfen für Vereine: bei Verein aktuell und Datenschutz Praxis.
Datenschutzerklärung und Impressum
Die Website Datenschutz.org bietet Hinweise zur Datenschutzerklärung, eine Vorlage zum Herunterladen und Hinweise zum Impressum.
Eine andere Website bietet ebenfalls einen Generator für die Datenschutzerklärung.
Einen solchen Generator gibt es auch für das Impressum.
Zum Impressum informiert auch eine Website mit Hinweisen für Unternehmensgründer.
Professionelle Beratung
Ausführlich behandelt die DSGVO auch der erfahrene Rechtsexperte für Onlinefragen Rechtsanwalt Dr. Schwenke.
Angebote zu Beratung bietet e-recht24.
Newsletter
Wenn Sie einen Newsletter verschicken, können Sie sich auf der Seite des Anbieters Newsletter2Go ausführlich informieren.
Sie finden dort auch eine praktische Checkliste.
Cookies
Dieser Heise-Artikel verweist auf Probleme bei der Umsetzung der DSGVO.
Das komplizierte Cookie-Problem stellt Heise in diesem Artikel dar.
Auch die it-Recht-Kanzlei diskutiert das Thema hier und hier.
Falls Sie Social-Media-Buttons verwenden, lesen Sie diesen Artikel von Easyrechtssicher.
Verarbeitungsverzeichnis im Betrieb
Eine Vorlage, wie so ein Verarbeitungsverzeichnis aussehen kann bietet beispielsweise Baden-Württemberg.
Warnung:
Dieser Text wurde von einem Althistoriker, nicht von einem Juristen geschrieben. Er ist als das Ergebnis einer Beschäftigung mit dem DSGVO zu verstehen, wie sie ein Laie betreiben kann und hat deshalb keinerlei juristisch bindende Wirkung. Die MünzenWoche und der Autor lehnen jede juristische Verantwortung für Inhalte dieses Artikels ab.