DSGVO: Was Webseitenbetreiber jetzt schnell ändern müssen

Marco Kratzenberg

Die Datenschutz-Grundverordnung (DSGVO) gibt es als Text schon seit 2016, doch am 25. Mai 2018 soll das neue „EU-Datenschutz-Gesetz“ europaweit in Kraft treten. Wir haben eine Übersicht für Webseitenbetreiber und -nutzer zusammengestellt, was sich ändert und wo Handlungsbedarf besteht: Vom Pizzalieferdienst bis zur Werkstatt.

Datenschützer und die EU-Kommission feiern das neue Gesetz und sehen es als fundamentales Recht auf Datenschutz für jeden EU-Bürger. Strafen von bis zu 20 Millionen oder bis zu 4 Prozent des weltweiten Umsatz von Unternehmen Euro sollen möglich sein. Allerdings dürfte das eher die Ausnahme sein. Trotzdem werden gerade solche Gesetze gern von Geschäftemachern und Abmahnanwälten genutzt. Auch die Konkurrenz wird ein wachsames Auge auf Mitbewerber werfen und kann so den einen oder anderen von ihnen torpedieren. Umfangreichere Informationen zur Datenschutz-Grundverordnung findet ihr bereits in der Wikipedia.

Der Digitalverband Bitkom bietet eine Übersicht zur DSGVO an.

Fake-Shops sind oft nur Datensammelmaschinen, die sich nicht um Gesetze scheren. So erkennt ihr sie:

Bilderstrecke starten
11 Bilder
An diesen 10 Anzeichen erkennt ihr Fake-Shops im Internet.

Worum geht es bei der europäischen Datenschutz-Grundverordnung generell?

Datenschutz bedeutet im Internet ja in erster Linie den Schutz persönlicher beziehungsweise personenbezogener Daten. Damit sind alle Daten gemeint, die in irgendeiner Weise zu einer Person zurückzuführen sind. Das sind beispielsweise nicht nur die Namen und die Anschrift einer Person, sondern natürlich auch die E-Mail-Adresse und die IP-Adresse zum Zeitpunkt der Verbindung. Außerdem betrifft das Werbe-IDs, Standortdaten und Ausweisnummern.

  • Das betrifft nicht nur Internetdaten, sondern auch Daten die zum Beispiel beim Arzt, Pizzaservice oder in der Autowerkstatt gespeichert werden!
  • Wenn eine Person durch einzelne oder mehrere solcher angesammelter Daten eindeutig identifizierbar ist, dann sind diese Daten personenbezogen.
  • Das trifft auch auf anonymisierte, pseudonymisierte und verschlüsselte Datensätze zu, wenn diese in irgendeiner Weise – durch Einbeziehung ganz anderer Daten – wieder zu einer Personen-Identifizierung führen können.

Vorgabe der DSGVO ist, dass solche Daten so anonymisiert werden, dass es keine Möglichkeit zur Rückabwicklung gibt. Allerdings bleiben die Gesetzgeber uns die Erklärung schuldig, wie das zu garantieren ist. Hier wird es sicher noch Nachbesserungen geben müssen.

Ist jetzt alles verboten?

Wenn das der einzige Inhalt der Datenschutz-Grundverordnung wäre, dann würde das in Europa das Ende des Internets bedeuten. Man dürfte als Shop-Betreiber keine Kundendaten speichern und als Foren-Admin keine E-Mail-Adressen sammeln. Die Freunde einer Vorratsdatenspeicherung müssten auch in die Röhre schauen, weil Provider und Server nicht einmal mehr IP-Adressen im Zusammenhang mit Webseitenbesuchen oder Verbindungen speichern dürften. Schließlich können so Personen eindeutig identifiziert werden.

Aus diesem Grund sind die Vorschriften der DSGVO ein „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass alles verboten ist, das nicht ausdrücklich erlaubt wurde. Und von diesen Erlaubnissen gibt es doch einige. Wenn ein „gesetzlich normierter Erlaubnisgrund“ die Datennutzung rechtfertigt, kann sie unter Auflagen erfolgen. Daraus ergibt sich aber auch eine Umkehr der Beweislast: Vor Gericht muss jeder Beschuldigte nachweisen, dass seine Art der Datennutzung unter diese Ausnahmeregelung fällt.

Personenbezogene Daten dürfen doch weiter erhoben werden

Die DSGVO bedeutet also nicht das Ende des Internets wie wir es kennen. Denn ein „berechtigtes Interesse“ ist die Grundlage der Datenerfassung. Oder einfach ausgedrückt: Wenn die Erhebung bestimmter Daten zur Erfüllung eines (Kauf)Vertrags notwendig ist, fällt sie unter die Ausnahmeregelung.

  • Man kann also weiter als Shop-Betreiber eine Kombination aus Name und Adresse, E-Mail-Adresse und IP, Zeitstempel und Kontodaten speichern, um seinem legalen Geschäft nachzugehen.
  • Der Pizzaservice darf weiter den Kundennamen, seine Adresse und die letzten Bestellungen zusammen mit einem Vermerk speichern, dass der Kunde auch bezahlt hat.
  • Prinzipiell ist die Speicherung von Daten gestattet, in deren Speicherung die Person eindeutig eingewilligt hat.
  • Auch jene Daten dürfen gespeichert werden, die zur Ausübung staatlicher Gewalt nötig sind.

Grundsätzlich muss das „schutzwürdige Interesse“ einer Person schwerer wiegen, als das Interesse des Datenspeichernden, damit ein Unterlassungsanspruch entsteht. Adresshandel ist damit also unzulässig, wenn die erfassten Personen nicht alle eindeutig nachweisbar dieser Art der Datenverwendung zugestimmt haben. Aber man kann nicht verlangen, dass ein Onlinehändler alle Daten löscht, weil er seinerseits auch vor staatlichen Stellen (etwa dem Finanzamt oder der Polizei) nachweisen muss, wem er etwas verkauft hat.

Woran sind Fake-Shops zu erkennen? Unser Video zeigt es euch:

So erkennst du Fake Shops.

Wie sieht eine gesetzeskonforme Einwilligung nach dem DSGVO aus?

Nach wie vor gilt, dass Daten dann gespeichert und verarbeitet werden dürfen, wenn die betroffene Person dem zugestimmt hat. Allerdings muss diese Art der Zustimmung nun belegt oder technisch abgesichert werden. Auch wenn Anwälte das jetzt noch etwas komplizierter als früher bewerten, ist beispielsweise nach wie vor der E-Mail-Versand nach einem technisch eindeutig gelösten „Double-OptIn“ möglich.

  • Wenn eine E-Mail-Adresse zur Anmeldung eines Newsletters verwendet wird, muss der Inhaber dieser E-Mail-Adresse zu dem Empfang noch einmal gesondert zustimmen.
  • Das erfolgt beispielsweise durch einen Bestätigungslink, der ihm zusammen mit einem erklärenden Text per E-Mail zugeschickt wird.
  • Erst nach einem Klick auf diesen Link darf die E-Mail-Adresse in den Verteiler aufgenommen werden.
  • Der Empfänger muss der Verwendung jederzeit widersprechen können.
  • Nicht bestätigte und widersprochene Adressen müssen gelöscht werden.

So gesehen hat sich hier nichts geändert. Eigentlich hat sich auch bei anderen Arten der Zustimmung nichts geändert. Dass beispielsweise auf Webseiten die Zustimmung zum Empfang des Newsletters bereits mit einem Haken vorausgewählt war, ist schon lange rechtlich unsauber.

Jetzt aber fordert die Datenschutz-Grundverordnung eine „eindeutige, absichtliche Handlung“ durch die betroffenen Personen. Die Optionen müssen also ohne Haken präsentiert werden und der Betroffene muss selbst aktiv einen Haken setzen, um seine Einwilligung zu geben.

Sicherlich wird es aufgrund dieser Verordnung noch einige Prozesse geben, die sich mit der Einwilligung in datenverarbeitende Prozesse beschäftigen, die tief in den AGB der Anbieter versteckt sind. Wenn also beispielsweise bei der Anmeldung in einem Portal nur die Zustimmung zu den AGB und Datenschutzregelungen angeboten wird, aber dort dann steht, dass man damit auch dem Empfang von Werbe-Mails zustimmt. Derzeit ist es noch unklar, inwiefern Anbieter vor diesem Hintergrund weiter „kostenlose Dienste“ anbieten dürfen, die sie sich mit der Einwilligung in den E-Mail-Empfang „bezahlen“ lassen.

Weitergabe personenbezogener Daten

Kurz und knackig formuliert muss bei der Weitergabe personenbezogener Daten nach der DSGVO ein rechtsicherer Vertrag zwischen den Datenbesitzern und den datenverarbeitenden Unternehmen geschlossen werden. Soweit der relativ einfache Teil…

Die Frage ist allerdings, was nach diesen Regelungen als „datenverarbeitendes Unternehmen“ gilt. Das sind dann nämlich auch die Onlinedienste zur CRM-Verwaltung und selbst der Webhoster, bei dem man seinen Shop liegen hat. Hier müssen entweder gesetzeskonforme Verträge her – oder eine Datenverschlüsselung. Einen solchen Mustervertrag bietet der niedersächsische Landesdatenschutz zum Download an.

Dokumentation und Auskunftspflicht

Auf jeden Fall wird es durch die DSGVO wieder einmal etwas bürokratischer. Das fängt damit an, dass Unternehmen einer bestimmten Größe (ab 250 Mitarbeitern) sämtlicher Vorgänge der Datenverarbeitung dokumentieren und nachweisen können müssen. Ebenfalls beim niedersächsischen Datenschutzamt findet ihr ein Muster über so ein „Verzeichnis der Datenverarbeitungstätigkeiten“.

Zusätzlich haben alle betroffenen Personen, deren Daten gespeichert werden, Anspruch auf Auskunft über die Datenspeicherung. Die Personen dürfen also anfragen, ob es überhaupt gespeicherte Daten gibt und können eine Kopie dieser Daten verlangen. Solche Anfragen sollten zeitnah, aber spätestens innerhalb eines Monats beantwortet werden.

Das bedeutet nicht nur, dass man solche Anfragen adäquat selbst verwalten und beantworten können muss, man muss auch angemessen reagieren können. Wenn möglich, haben die Fragesteller einen Anspruch auf Datenlöschung – auch in allen Sicherungskopien! Falls das aus rechtlichen Gründen nicht möglich ist, weil zum Beispiel Daten über Geschäftstransaktionen aus finanzrechtlichen Gründen bestehen müssen, muss man dem Fragesteller das auch erklären können.

Was bedeutet die DSGVO jetzt für Admins, Webseitenbetreiber und Firmen?

  • Zuerst einmal ist wichtig, dass die Datenschutz-Grundverordnung ab dem 25. Mai 2018 gültig ist und an diesem Datum für alle verbindlich wird. Wer also bislang noch keine Schritte unternommen hat, eine Dokumentation seiner Datenverarbeitungstätigkeiten anzulegen, der sollte sich beeilen.
  • Das Gleiche gilt für alle Allgemeinen Geschäftsbedingungen und Datenschutzhinweise. Die müssen bis zu diesem Datum rechtskonform sein.
  • Spätestens jetzt sollte auch geprüft werden, inwiefern die „Einwilligungsschritte“ der DSGVO entsprechen. Der voreingestellte Haken beim Werbe-Mail-Empfang muss weg, das Double-OptIn des Newsletters muss funktionieren.
  • Auf jede Firma können Anfragen zur Datenspeicherung zukommen. Darauf sollten sich auch Kleinshop-Betreiber einrichten und entsprechende E-Mail-Vorlagen erstellen.
  • Streng genommen muss jeder Webseitenbetreiber mit seinem Hoster einen Vertrag über rechtskonforme Datenverarbeitung abschließen oder für eine effektive Verschlüsselung sorgen.

Hier noch ein Tipp für Verwirrte:

Wenn jemand eine Datenauskunft stellt und anschließend die Löschung seiner E-Mail-Adresse fordert, so muss dem nicht stattgegeben werden. Denn schon dieser Vorgang muss dokumentierbar sein und darum muss auch gespeichert werden, dass genau diese Person diese Forderung gestellt hat. Das ist das sogenannte „rechtliche Interesse“. Allerdings muss die E-Mail-Adresse aus allen anderen Datenbanken und Verarbeitungsschritten anforderungsgemäß entfernt werden. Und über den ganzen Vorgang muss man den Antragsteller wiederum informieren – was die Verwendung seiner E-Mail-Adresse voraussetzt.

Bei diesem schwierigen Rechtsthema gilt natürlich, dass die Angaben dieses Artikels ohne Gewähr und Rechtsanspruch gemacht wurden. Für die vollständige Auslegung der Verordnung und ihrer Kommentare solltet ihr einen Rechtsbeistand aufsuchen.

Umfrage: Refurbished oder Neuware?

Ist es für euch in Ordnung, wenn das Smartphone-Display ein wenig verkratzt ist oder schon ein paar Gebrauchsspuren auf der Rückseite hat? Oder muss ein Artikel beim Kauf wirklich komplett neu sein?

Kommentare zu diesem Artikel

Neue Artikel von GIGA SOFTWARE

  • Total Commander (ehemals Windows Commander)

    Total Commander (ehemals Windows Commander)

    Der Total Commander ist mehr als ein Ersatz für den Windows-Explorer. Der Dateimanager mit Zwei-Fenster-Technik und Kommandozeile macht viele andere Windowsprogramme überflüssig und erleichtert euch die Arbeit. Windows-Profis lieben ihn und die anderen werden durch ihn zu Profis.
    Marco Kratzenberg
  • Samsung Galaxy J3 Bedienungsanleitung als PDF-Download

    Samsung Galaxy J3 Bedienungsanleitung als PDF-Download

    Für Besitzer des Samsung Galaxy J3 Smartphones ist es empfehlenswert, sich das zugehörige Handbuch zuzulegen, um den kompletten Funktionsumfang und sämtliche Anwendungsmöglichkeiten des Geräts kennenzulernen. Hier zum Download bekommt ihr die kostenlose Samsung Galaxy J3 Bedienungsanleitung auf Deutsch und im PDF-Format.
    Marvin Basse
  • MediathekView

    MediathekView

    MediathekView durchsucht die Mediatheken öffentlich-rechtlicher Fernsehsender und stellt euch die Ergebnisse zur Verfügung, die ihr anschließend beliebig filtern und wiedergeben oder auch auf der Festplatte speichern könnt.
    Marvin Basse 1
* gesponsorter Link