„Die DSGVO betrifft jeden mit einer Website“


Im Inter­view erklärt uns Anwalt Chris­tian Solmecke, was sich durch die neue Datenschutzgrund­verordnung für die Online-Kommu­ni­ka­tion von Unter­nehmen ändert.

Zum 25. Mai 2018 tritt eine neue EU-Daten­schut­z­­grund­ver­ord­nung (kurz: DSGVO) in Kraft. Was ist ihr Zweck?

Die DSGVO soll das Daten­schutz­recht in der EU verein­heit­li­chen, den Daten­schutz verbes­sern und die grenz­über­schrei­tende Daten­ver­ar­bei­tung von Unter­nehmen und Behörden verein­fa­chen.

Rechtsanwalt Christian Solmecke

Chris­tian Solmecke hat sich als Rechts­an­walt und Partner der Kölner Medienrechts­kanzlei WILDE BEUGER SOLMECKE auf die Bera­tung der Internet- und IT-Branche spezia­li­siert. So hat er in den vergan­genen Jahren den Bereich Inter­net­recht/E-Commerce der Kanzlei stetig ausge­baut und betreut zahl­reiche Medi­en­schaf­fende, Web 2.0 Platt­formen und App-Entwickler.

Was heißt das im Klar­text?

Der Daten­schutz sichert das Grund­recht auf „infor­ma­tio­nelle Selbst­be­stim­mung“. Das ist das Recht des Einzelnen selbst darüber zu bestimmen, welche Daten er preis­gibt und welche verwendet werden dürfen. Dabei geht es um „personen­bezogenen Daten“, das sind alle Infor­ma­tionen, die irgendwie Rück­schlüsse auf eine Person zulassen, zum Beispiel: Name, Tele­fon­nummer, E-Mail-Adresse, KfZ-Kenn­zei­chen, IP-Adresse oder IBAN.

Unter­nehmen dürfen diese schon jetzt nur dann erheben, verar­beiten und nutzen, wenn es das Gesetz erlaubt oder Betrof­fene einge­wil­ligt haben. Was ändert sich durch die DSGVO?

Sie stärkt die Rechte der Betrof­fenen und inten­si­viert die Pflichten der Unter­nehmen. Eine wich­tige Neue­rung ist der tech­ni­sche Daten­schutz. Unter­nehmen werden verpflichtet, tech­ni­sche Schutz­maß­nahmen zu treffen, bevor sie über­haupt Daten erheben. Dazu gehört zum Beispiel, dass sie Daten aus Kontakt­for­mu­laren verschlüs­selt über­tragen, sie pseud­ony­mi­sieren oder anony­mi­sieren müssen. Außerdem müssen sie die Verar­bei­tung so gestalten, dass so wenige Daten wie absolut nötig erhoben und nur die Infor­ma­tionen verar­beitet werden, die für den Zweck erfor­der­lich sind. Das gleiche gilt für die Spei­che­rung: Das Unter­nehmen darf nur die Daten spei­chern, die es wirk­lich braucht.

Welche Daten betrifft das konkret?

Welche Daten konkret gespei­chert werden dürfen, lässt sich nicht pauschal sagen, es kommt auf den Einzel­fall, insbe­son­dere den Grund der Spei­che­rung an.

Was ändert sich noch für die Verar­bei­tung von Daten?

Neu ist auch, dass Daten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden. Betrof­fene haben künftig ein „Recht auf Verges­sen­werden“.

Eine Neue­rung durch die DSGVO ist zudem, dass externe Dienst­leister, die perso­nen­be­zo­gene Daten verar­beiten, zum Beispiel bei der Lohn- oder Gehalts­ab­rech­nung, der Daten­trä­ger­ent­sor­gung oder dem Versand eines News­let­ters, ein „Verzeichnis der Verar­bei­tungs­tä­tig­keiten“ führen müssen. Dabei handelt es sich um eine umfang­reiche Doku­men­ta­tion und Über­sicht aller Verfahren, bei denen perso­nen­be­zo­gene Daten verar­beitet werden, ähnlich dem bishe­rigen Verfah­rens­ver­zeichnis.

Was bedeutet die neue Verord­nung für die Daten­schutz­er­klä­rung auf der Webseite von Unter­nehmen?

Nach meiner Erfah­rung entspricht nahezu keine der heute verwen­deten Daten­schutz­er­klä­rungen den Vorgaben der DSGVO – zum Beispiel im Hinblick auf Logfiles, Regis­trie­rungen und den Einsatz von Analyse- oder Track­ing­diensten. Wenn man Webser­vices wie Google Analy­tics nutzt, muss auch dies in der Daten­schutz­er­klä­rung beachtet werden. Künftig müssen Unter­nehmen ihre Kunden sehr viel detail­lierter darüber infor­mieren, welche Daten sie wie, auf welcher Grund­lage und zu welchem Zweck verar­beiten. Auf unserer Kanzlei-Webseite bieten wir einen Gene­rator an, der Unter­nehmen schnell einen ersten Anhalts­punkt liefert, wie eine DSGVO-konforme Daten­schutz­er­klä­rung aussehen sollte.

Was ändert sich für den Umgang mit Cookies und das Tracking von Nutzern?

Es ist unter Juristen umstritten, inwie­weit die DSGVO schon Auswir­kungen auf das Setzen von Cookies haben wird. Weil aber die meisten Cookies immerhin die IP-Adresse abgreifen, dürften sie unter die DSGVO fallen. Um kein Risiko einzu­gehen, empfehlen wir, auf eine trans­pa­rente Aufklä­rung bei Einho­lung der Einwil­li­gung zu setzen („OK“-Button) und dem Nutzer über das Opt-out-Verfahren die Möglich­keit eines Wider­rufs einzu­räumen.

Klar ist, dass es hier noch einmal Ände­rungen mit der bevor­ste­henden ePri­vacy-Verord­nung geben wird. Diese befindet sich noch im Abstim­mungs­pro­zess und wird voraus­sicht­lich 2019 in Kraft treten.

Ändert sich jetzt schon etwas beim Versand von News­let­tern?

Nicht viel. Wie bisher darf man News­letter nur versenden, wenn die Empfänger hierin explizit einge­wil­ligt haben. Diese Einwil­li­gung muss man nach­weisen können. Wer das Double-Opt-In-Verfahren nutzt, ist im Prinzip auf der sicheren Seite. Klar­ge­stellt wird in der DSGVO nun, dass die Einwil­li­gung nicht an eine andere Erklä­rung gekop­pelt sein darf, sondern einzeln einge­holt werden muss. Das war aber früher schon so gere­gelt. Wenn man Einwil­li­gungen nach bisher geltendem Recht einge­holt hat, kann man sich weiter auf diese stützen. Doch für zukünf­tige Einwil­li­gungen sollte man Folgendes beachten. Erstens: Der Widerruf der Einwil­li­gung muss „so einfach“ sein, „wie die Ertei­lung der Einwil­li­gung“. Dazu sollte es ausrei­chen, wenn – wie zumeist Stan­dard – am Ende jeder Mail ein „Unsub­scribe-Link“ steht, mit dem eine schnelle Abmel­dung möglich ist. Zwei­tens: Unter­nehmen müssen Betrof­fene im Einwil­li­gungs­text und in der Daten­schutz­er­klä­rung auf ihr Wider­rufs­recht hinweisen und die Rechts­grund­lage der Daten­ver­ar­bei­tung angeben.

Unsere Kunden veröf­fent­li­chen Mitar­beiter- und Kunden­zeit­schriften. Gibt es auch Ände­rungen in der DSGVO, die diesen Bereich betreffen?

Nein, solange es sich um Print­me­dien handelt, sind diese selbst nicht von der DSGVO betroffen. Anders sieht es mit den Adressen der Empfänger aus, an die solche Print­me­dien gesendet werden. Diese unter­liegen der DSGVO und müssen zum Beispiel durch tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen gesi­chert werden.


DSGVO und pr+co – Das machen wir

Daten­schutz war für uns schon immer wichtig – schon lange bevor über die DSGVO gespro­chen wurde. Zwar erheben wir für auf unserer eigenen Website oder den Online-Maga­zinen von Kunden nur selten persön­liche Daten, doch der Teufel steckt im Detail.

Diese Maßnahmen ergreifen wir, um Daten zu schützen:
  • Eingabe persön­li­cher Daten immer verschlüs­selt über­tragen
    Dazu betreiben wir alle Websites, die Kommen­tar­felder, News­letter-Anmel­dungen oder Kontakt­for­mu­lare enthalten, mit dem verschlüs­selten https-Proto­koll.
  • IP-Adressen anony­mi­sieren
    Auch wenn wir das gar nicht möchten: Manche Soft­wares, wie zum Beispiel Word­Press, Bewer­tungs- oder Umfra­ge­tools, spei­chern die gesamte IP-Kennung eines Besu­chers. Wir haben dafür eigene PlugIns entwi­ckelt, um die IP-Adresse vor ihrer Spei­che­rung zu anony­mi­sieren.
  • Keine Daten an Dritte
    Kommentar-Spam wehren wir mit einem Plug-In ab, ohne dabei Daten an dritte Stellen zu über­tragen. Glei­ches gilt für unsere Sharing-Buttons: Auf unseren Seiten können Sie Artikel teilen, ohne Ihre Daten mitzu­lie­fern.
  • Sichere Daten
    Unsere Daten vertrauen wir einem deut­schen Hoster mit euro­päi­schen Rechen­zen­trum an. In Rahmen eines Auftragsdaten­verarbeitungsvertrags (ADV) sind alle Maßnahmen zum Schutz unserer Daten schrift­lich fixiert.
  • Unter­stüt­zung bei der Daten­schutz­er­klä­rung
    Bei aller Daten­spar­sam­keit lässt es sich nicht immer verhin­dern, dass Daten auch an externe Anbieter über­tragen werden. Das bekann­teste Beispiel dafür ist die Einbin­dung eines Film­players von YouTube. Aktuell analy­sieren wir all unsere Maga­zine und infor­mieren unsere Kunden über solche Dienste auf Ihren Seiten, damit die Daten­schutz­er­klä­rung entspre­chend erwei­tert werden kann.
  • Analy­se­tools
    Für Maga­zin­ma­cher ist es enorm wichtig, etwas über die Inter­essen ihrer Leser zu erfahren. Darum analy­sieren wir konse­quent die Besu­cher­zahlen unserer Online-Maga­zine. Doch diese Daten müssen nicht persön­lich sein.

    Wir nutzen dazu Matomo (früher: Piwik). Dieses Analy­se­tool wird von Daten­schützer empfohlen, weil man damit Daten ausschließ­lich auf dem eigenen Server spei­chert und keine an Dritte weiter­gibt (wie zum Beispiel bei Google Analy­tics).

    Unsere Matomo-Einstel­lungen entspre­chen den Empfeh­lungen der Daten­schutz­be­hörde: Die IPs der Nutzer werden anony­mi­siert, wir akzep­tieren die „Do-Not-Track“-Einstellung von Brow­sern und bieten eine dauer­hafte Widerspruchs­möglichkeit (Opt-Out) in der Datenschutz­erklärung.

  • News­letter
    Zur Anmel­dung zu unseren News­let­tern benutzen wir das empfoh­lene und doku­men­tierte Double-Opt-In-Verfahren – für die Abmel­dung findet sich am Ende jeder Mail ein einfa­cher Link. Als Dienst­leister setzen wir auf MailChimp, da sich dieser Anbieter gemäß „Privacy Shield“ bereits nach EU-Recht verpflichtet hat und entspre­chende Verträge zur Auftragsdaten­verarbeitung abschließt.
Tina Hofmann
  • Autorin:
    Tina Hofmann
  • Datum:
    13.04.2018
  • Lesezeit:
    viel kürzer als der Gesetzestext

Artikel bewerten:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne
Loading...