EU-DSGVO — was ändert sich?

Die Europäische Datenschutzgrundverordnung ist wirksam

Und was ist anders?

Glück gehabt, es änderte sich kaum etwas. Und doch änderte sich alles, denn Datenschutzvorschriften müssen nun nicht nur eingehalten werden, die Maßnahmen zu Einhaltung müssen auch dokumentiert und jederzeit nachgewiesen werden können. Über die Erhebung und Verwendung personenbezogener und pseudonymisierter Daten müssen Betroffene vorab mindestens vollständig und verständlich informiert werden, in vielen Fällen ist die vorherige aktive und zweckgebundene Einwilligung erforderlich. Dieser Dogmenwechsel war fundamental und hat erheblichen Einfluss auf die Rechtsprechung und damit auf die Arbeitspraxis von Unternehmen.

Sinn und Anforderungen der DSGVO an zwei Beispielen

1. Haben Sie ein Kontaktformular auf Ihrer Website?

Auch diese Erhebung personenbezogener Daten muss in der Datenschutzerklärung aufgeführt werden:

Wir bieten auf unserer Website ein Kontaktformular an. Mit dem Senden des Kontaktformulars übertragen Sie persönliche Daten an uns. Wir verwenden diese Daten ausschließlich zu dem in Ihrer Nachricht beschriebenen Anliegen und um auf Ihre Nachricht zu antworten.

Das entspricht also in etwa dem Gerätehinweis „Trocknen Sie keine Haustiere in der Mikrowelle.“

Dürfen Sie diese Daten überhaupt erheben?
Nur dann, wenn der gesamte Datenübertragungsweg zu Ihnen verschlüsselt ist (https-Website und verschlüsselte Mail-Übertragung vom externen Postfach zu internen Rechnern).

Dürfen Sie diese Daten für Akquise und Werbung verwenden?
Bei Bestandskunden ja. Bestandskunde ist, wer (in den letzten ca. 1,5 Jahren) eine entgeltliche Leistung von Ihnen erhalten hat. In allen anderen Fällen NEIN. Sie benötigen zusätzlich eine separate, aktive Einwilligung für konkret formulierte Werbezwecke. Das gilt für jede Art der Datenbeschaffung, also z. B. auch bei kostenlosen Angeboten gegen Datenherausgabe (Downloads, gratis Demo-Accounts, …) und auch beim Datenzukauf aus externen Quellen.

2. Möchten Sie direkt werben?

Für die Rechtmäßigkeit Ihrer Direkt Marketing-Maßnahmen müssen Sie

  1. die aktive Einwilligung des Empfängers einholen (mind. „Häkchen setzen“ (Opt-in (gesetzliche Vorgabe)),
  2. die Bestätigung der Einwilligung erhalten (Double-Opt-in (keine gesetzliche Vorgabe, aber überwiegende Rechtsprechung)) und
  3. vor der Einwilligung den tatsächlichen Nutzungsumfang, die Informationsinhalte und die Widerrufsmöglichkeit beschreiben. Der Widerruf muss so einfach wie die Anmeldung sein und darf keine Kosten über die Übertragungskosten hinaus auslösen.

1 und 3 müssen unmittelbarer Bestandteil des Anmeldeprozesses sein. 2 muss als Nachweis der Einwilligung gespeichert werden. Bei 3 kommt es auch auf die richtige Formulierung an. „Mir ist bewusst, dass …“ reicht nicht aus. Vielmehr lautet die Formulierung in etwa:

Ich willige ein, den WAS der VON WEM mit Informationen ZU WAS per WIE zu erhalten. Meine Daten werden keinesfalls zur NUTZUNG an Dritte weitergegeben. Meine Einwilligung kann ich jederzeit per E-Mail an MAILADRESSE mit Wirkung für die Zukunft widerrufen. Zudem ist in jeder E-Mail ein Link zur Abbestellung weiterer Informationen enthalten. DS-LINK

WAS: z. B. Newsletter, die Frequenz sollte genannt werden (monatlich, ca. 4x im Jahr, ..)

VON WEM: Firmenname, falls die Daten von mehreren Firmen genutzt werden sollen, müssen alle Firmen namentlich und auf einen Blick überschaubar genannt werden. „Partnerfirmen“ reicht nicht aus. Die Einwilligung gilt nicht automatisch für Mutter- oder Tochterfirmen. (Achtung: Im Umkehrschluss ist das wichtig für Ihre Nutzung zugekaufter/angemieteter/ausgeliehener Datensätze. Der Adressanbieter muss Ihnen schriftlich bestätigen, dass Sie die Daten nutzen dürfen UND Sie sind verpflichtet, die Rechtmäßigkeit der Nutzung mindestens stichprobenartig zu prüfen, und Sie müssen das nachweisen können).

ZU WAS: wessen Produkte/Leistungen werden beworben, bei Firmen mit unterschiedlichen Sparten sollten die Produktbereiche genannt werden. Beispiel: Ein Anbieter von Schuhen darf auch Socken bewerben, ein Anbieter von Röstkaffee nicht ohne Einwilligung auch Kaffeefahrten.

WIE: per E-Mail, wenn andere Wege genutzt werden sollen (SMS, WhatsApp, Brief-Mail, …), müssen diese einzeln aufgeführt werden

NUTZUNG: der Begriff „Nutzung” ist wichtig. Nutzer ist das werbende Unternehmen. Werden Auftragsverarbeiter (E-Mail-Service-Provider (ESP), Letter-Shops, Cloud-Anbieter, …) zur Verarbeitung persönlicher Daten hinzugezogen, müssen diese mindestens in der Datenschutzerklärung der Website namentlich genannt und ein Link auf deren Datenschutzerklärung verweisen. Mit jedem Auftragsverarbeiter muss ein schriftlicher Vertrag bestehen, der den Verarbeitungsauftrag klar definiert und die Einhaltung der Datenschutzvorschriften beschreibt. Behörden, Steuerberater, Inkasso-Unternehmen u. ä. sind nicht als Auftragsverarbeiter definiert und werden daher auch nicht benannt.

In eigener Sache:
Wir bieten unseren Kunden u. a. die Konsolidierung unterschiedlicher Adressbestände und das Erstellen von Templates für personalisierte und individualisierte Newsletter an. In diesem Rahmen zählen unsere Tätigkeiten nicht als Auftragsverarbeitung.

MAILADRESSE: die Mailadresse, an die Widerrufe gesendet werden können … und dort auch bearbeitet werden

DS-LINK: (optional) ein Link auf die eigene Datenschutzerklärung, am besten direkt auf das entsprechende Kapitel.

Bereits an diesem kleinen, unscheinbaren Beispiel wird deutlich, welche tiefgreifenden praktischen Auswirkungen der Dogmenwechsel hat und dass viele formale und formalistische Bedingungen zu beachten sind. Der „All-You-Can-Grab“-Mentalität hinsichtlich Beschaffung, Nutzung und Verwertung persönlicher Daten, besonders zu Werbezwecken, wird deutlich Einhalt geboten.

Und was tun wir für den Datenschutz?

Der erste Satz jeder Datenschutzerklärung lautet: „Wir nehmen Datenschutz ernst.“ Ist das wirklich so?

Bisher haben wir Datenschutz betrieben und ausformuliert, um das Risiko von Abmahnungen zu minimieren. Anderes haben wir aus Bequemlichkeit auch ohne Einzelprüfung übernommen, weil es üblicher technischer Standard war und noch immer ist.

Diese Haltung haben wir über Bord geworfen und unsere Website eigenständig, intensiv und detailliert auf Datenschutzkriterien geprüft. Und – was soll ich sagen – wir waren überrascht, besonders darüber, dass sich Google, Facebook und Co. wesentlich stärker über unsere Besucher informieren als wir selbst, und als wir selbst geahnt haben.

Unsere Prüfungen und Schlussfolgerungen

Dieses Prüfvorgehen kann eine Orientierung für Sie sein. Unsere Schlussfolgerungen sind individuell und können lediglich eine Entscheidungshilfe darstellen.

Prüfbereich 1: Datensicherheit

Dürfen wir überhaupt personenbezogene Daten über unsere Website erheben?

Prüfergebnis: Alle Datenübertragungen von unserem Webserver zum Mailserver (beide bei Strato AG und in Deutschland) und vom Mailserver auf unsere interne IT sind SSL-verschlüsselt. Die interne IT ist mit einer Firewall sowie Kaspersky Anti-Virus und Internet-Security geschützt. Das WLAN ist verschlüsselt.

Schlussfolgerung: Ja, die Datensicherheit ist nach aktuellem Stand der Technik gewährleistet.

Prüfbereich 2: Cookies

Cookies sind kleine Textdateien, die zur Identifizierung auf dem Rechner des Besuchers gespeichert werden.

Welche Komponenten unserer Website setzen überhaupt Cookies?

Prüfergebnis:

WordPress Ja, ABER nur für Logins und Kommentare, beides ist für Besucher auf unserer Website abgestellt, unsere Website setzt KEINE WordPress-Cookies

WordPress-Plugins Jetzt wird es paradox: Wir haben jedes aktive Plugin unserer Website geprüft. Nur EINES setzt einen Cookie: Das EU-Cookie Plugin für den Cookie-Pflichthinweis. Dieses Cookie setzt einen Zeitstempel, damit der Hinweis nicht bei jedem Seitenaufruf, sondern erst nach 6 Monaten wieder erscheint.

Schlussfolgerung: Auch wenn unsinnig, behalten wir es zunächst bei. Eine Abmahnung wäre zwar nachweisbar ungerechtfertigt, wir müssten aber unnötig Zeit aufwenden. Juristen sind derzeit uneinig, ob der Cookie-Hinweis nur zur Kenntnis gebracht, oder ob in die Nutzung von Cookies aktiv eingewilligt werden muss (Klick auf einen OK-Button). Sobald letzteres eintritt, werden wir den Hinweis löschen.

Prüfbereich 3: Übertragung der IP-Adresse an Dritte

Eine IP-Adresse ist die temporäre oder dauerhafte Rechner-ID bei Internetzutritt. Die IP-Adresse gehört zu den personenbezogenen Daten. Sie wird u. a. zur anonymisierten Nutzungsanalyse, aber von Werbemedien und -netzwerken auch für die Zustellung individualisierter Werbung (Targeting) genutzt.

Welche Komponenten und Services übertragen die IP-Adresse unserer Besucher?

Prüfergebnis:

an den Hoster Strato AG
Das ist unvermeidlich und ohne unseren Einfluss. Wir kennen keinen Hoster, der das nicht macht. Der Betrieb eines Inhouse-Webservers ist für uns nicht wirtschaftlich.
Schlussfolgerung: Hinweis in der Datenschutzerklärung beibehalten

an Google durch Nutzung dieser Dienste
– Google Analytics
Statistiken wurden von uns letztmalig vor 1 Jahr eingesehen und nie wirklich genutzt.
Schlussfolgerung: Abwägung zw. eigenem Interesse und Datenschutzinteresse: Wir löschen den Dienst – und erwähnen das auch.
– Google Maps
zur skalierbaren Kartenanzeige des Agenturstandorts
Schlussfolgerung: unnötig, Dienst löschen, evtl. Karte als Bilddatei
– Google Fonts
zur einheitlichen Textdarstellung, alle WP-Themes nutzen sie nahezu unausweichlich, mit einem „Trick“ ist Nutzung ohne Zugriff auf Google-Server möglich
Prüfergebnis: Praktikabilität, Wirtschaftlichkeit und Rechtsmäßigkeit der Umgehungsmöglichkeit testen, bis dahin Dienst beibehalten und benennen.

an Soziale Netzwerke (Facebook, Google+, …)
Besucher können unsere Inhalte über Share-Buttons einfach auf ihren Media-Accounts publizieren. Was wir nicht wussten: Nicht erst durch Klicken greifen die Netzwerke die IP-Adresse des Nutzers ab, sondern bereits beim Betreten jeder einzelnen Seite, auf der diese Buttons stehen.
Schlussfolgerung: Abwägung zw. Verbreitungsinteresse unseres Contents und Datenschutzinteresse der Nutzer unserer Website: Alle Share-Buttons werden von unserer Website dauerhaft verbannt.

Hinweis:
Es gibt ein einziges WP-Plugin (Shariff), das es ermöglicht, die IP-Adresse erst bei Klick zu übertragen. Trotzdem nein – das ist auch eine Frage des Stolzes. Zudem ist das permanente Hinterherjagen nach Möglichkeiten und deren rechtskonforme Umsetzung ein Hamsterrad, das wir nicht mehr drehen wollen.

Prüfbereich 4. Auftragsverarbeiter

Auftragsverarbeiter sind externe Unternehmen, die personenbezogene Daten im Auftrag des List-Eigners verarbeiten. Hierzu gehören z. B. E-Mail Service Provider (ESP) für den Versand von Newslettern.

Prüfergebnis: Wir versenden einen personalisierten Newsletter. Aufbereitung und Versand erfolgen ausschließlich über unsere interne IT. Die Übertragung ist SSL-verschlüsselt. Keinerlei Daten werden an einen externen Dienstleister gegeben. In den Mails verwenden wir keine Tracking- und Tagging-Funktionen, d. h. Öffnungs- und Klickverhalten werden nicht gemessen. Missbrauch ist ausgeschlossen.

Schlussfolgerung: So in die Datenschutzerklärung aufnehmen.

Fazit:

Die systematische Befassung mit dem Thema Datenschutz hat einige zusätzliche, auch überraschende Ergebnisse gebracht. Unsere Website gibt Informationen an Webdienste, die wir gar nicht oder nur sporadisch nutzen. Das stellen wir ab. Den Satz „Wir nehmen Datenschutz ernst.“ stellen wir dann wieder guten Gewissens an den Beginn unserer Datenschutzerklärung.