Im Interview erklärt uns Anwalt Christian Solmecke, was sich durch die neue Datenschutzgrundverordnung für die Online-Kommunikation von Unternehmen ändert.
Zum 25. Mai 2018 tritt eine neue EU-Datenschutzgrundverordnung (kurz: DSGVO) in Kraft. Was ist ihr Zweck?
Die DSGVO soll das Datenschutzrecht in der EU vereinheitlichen, den Datenschutz verbessern und die grenzüberschreitende Datenverarbeitung von Unternehmen und Behörden vereinfachen.
Christian Solmecke hat sich als Rechtsanwalt und Partner der Kölner Medienrechtskanzlei WILDE BEUGER SOLMECKE auf die Beratung der Internet- und IT-Branche spezialisiert. So hat er in den vergangenen Jahren den Bereich Internetrecht/E-Commerce der Kanzlei stetig ausgebaut und betreut zahlreiche Medienschaffende, Web 2.0 Plattformen und App-Entwickler.
Was heißt das im Klartext?
Der Datenschutz sichert das Grundrecht auf „informationelle Selbstbestimmung“. Das ist das Recht des Einzelnen selbst darüber zu bestimmen, welche Daten er preisgibt und welche verwendet werden dürfen. Dabei geht es um „personenbezogenen Daten“, das sind alle Informationen, die irgendwie Rückschlüsse auf eine Person zulassen, zum Beispiel: Name, Telefonnummer, E-Mail-Adresse, KfZ-Kennzeichen, IP-Adresse oder IBAN.
Unternehmen dürfen diese schon jetzt nur dann erheben, verarbeiten und nutzen, wenn es das Gesetz erlaubt oder Betroffene eingewilligt haben. Was ändert sich durch die DSGVO?
Sie stärkt die Rechte der Betroffenen und intensiviert die Pflichten der Unternehmen. Eine wichtige Neuerung ist der technische Datenschutz. Unternehmen werden verpflichtet, technische Schutzmaßnahmen zu treffen, bevor sie überhaupt Daten erheben. Dazu gehört zum Beispiel, dass sie Daten aus Kontaktformularen verschlüsselt übertragen, sie pseudonymisieren oder anonymisieren müssen. Außerdem müssen sie die Verarbeitung so gestalten, dass so wenige Daten wie absolut nötig erhoben und nur die Informationen verarbeitet werden, die für den Zweck erforderlich sind. Das gleiche gilt für die Speicherung: Das Unternehmen darf nur die Daten speichern, die es wirklich braucht.
Welche Daten betrifft das konkret?
Welche Daten konkret gespeichert werden dürfen, lässt sich nicht pauschal sagen, es kommt auf den Einzelfall, insbesondere den Grund der Speicherung an.
Was ändert sich noch für die Verarbeitung von Daten?
Neu ist auch, dass Daten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden. Betroffene haben künftig ein „Recht auf Vergessenwerden“.
Eine Neuerung durch die DSGVO ist zudem, dass externe Dienstleister, die personenbezogene Daten verarbeiten, zum Beispiel bei der Lohn- oder Gehaltsabrechnung, der Datenträgerentsorgung oder dem Versand eines Newsletters, ein „Verzeichnis der Verarbeitungstätigkeiten“ führen müssen. Dabei handelt es sich um eine umfangreiche Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden, ähnlich dem bisherigen Verfahrensverzeichnis.
Was bedeutet die neue Verordnung für die Datenschutzerklärung auf der Webseite von Unternehmen?
Nach meiner Erfahrung entspricht nahezu keine der heute verwendeten Datenschutzerklärungen den Vorgaben der DSGVO – zum Beispiel im Hinblick auf Logfiles, Registrierungen und den Einsatz von Analyse- oder Trackingdiensten. Wenn man Webservices wie Google Analytics nutzt, muss auch dies in der Datenschutzerklärung beachtet werden. Künftig müssen Unternehmen ihre Kunden sehr viel detaillierter darüber informieren, welche Daten sie wie, auf welcher Grundlage und zu welchem Zweck verarbeiten. Auf unserer Kanzlei-Webseite bieten wir einen Generator an, der Unternehmen schnell einen ersten Anhaltspunkt liefert, wie eine DSGVO-konforme Datenschutzerklärung aussehen sollte.
Was ändert sich für den Umgang mit Cookies und das Tracking von Nutzern?
Es ist unter Juristen umstritten, inwieweit die DSGVO schon Auswirkungen auf das Setzen von Cookies haben wird. Weil aber die meisten Cookies immerhin die IP-Adresse abgreifen, dürften sie unter die DSGVO fallen. Um kein Risiko einzugehen, empfehlen wir, auf eine transparente Aufklärung bei Einholung der Einwilligung zu setzen („OK“-Button) und dem Nutzer über das Opt-out-Verfahren die Möglichkeit eines Widerrufs einzuräumen.
Klar ist, dass es hier noch einmal Änderungen mit der bevorstehenden ePrivacy-Verordnung geben wird. Diese befindet sich noch im Abstimmungsprozess und wird voraussichtlich 2019 in Kraft treten.
Ändert sich jetzt schon etwas beim Versand von Newslettern?
Nicht viel. Wie bisher darf man Newsletter nur versenden, wenn die Empfänger hierin explizit eingewilligt haben. Diese Einwilligung muss man nachweisen können. Wer das Double-Opt-In-Verfahren nutzt, ist im Prinzip auf der sicheren Seite. Klargestellt wird in der DSGVO nun, dass die Einwilligung nicht an eine andere Erklärung gekoppelt sein darf, sondern einzeln eingeholt werden muss. Das war aber früher schon so geregelt. Wenn man Einwilligungen nach bisher geltendem Recht eingeholt hat, kann man sich weiter auf diese stützen. Doch für zukünftige Einwilligungen sollte man Folgendes beachten. Erstens: Der Widerruf der Einwilligung muss „so einfach“ sein, „wie die Erteilung der Einwilligung“. Dazu sollte es ausreichen, wenn – wie zumeist Standard – am Ende jeder Mail ein „Unsubscribe-Link“ steht, mit dem eine schnelle Abmeldung möglich ist. Zweitens: Unternehmen müssen Betroffene im Einwilligungstext und in der Datenschutzerklärung auf ihr Widerrufsrecht hinweisen und die Rechtsgrundlage der Datenverarbeitung angeben.
Unsere Kunden veröffentlichen Mitarbeiter- und Kundenzeitschriften. Gibt es auch Änderungen in der DSGVO, die diesen Bereich betreffen?
Nein, solange es sich um Printmedien handelt, sind diese selbst nicht von der DSGVO betroffen. Anders sieht es mit den Adressen der Empfänger aus, an die solche Printmedien gesendet werden. Diese unterliegen der DSGVO und müssen zum Beispiel durch technische und organisatorische Maßnahmen gesichert werden.
Lese-Tipp:
Weitere Informationen zur DSGVO gibt es auf den Webseiten der Datenschutzaufsichtsbehörden des jeweiligen Bundeslandes, zum Beispiel von Baden-Württemberg, bei Anwaltskanzleien und in Fachbüchern zum Thema, wie im neuen Buch von Christian Solmecke und Sibel Kocatepe „Recht im Online-Marketing“ (PDF).
DSGVO und pr+co – Das machen wir
Datenschutz war für uns schon immer wichtig – schon lange bevor über die DSGVO gesprochen wurde. Zwar erheben wir für auf unserer eigenen Website oder den Online-Magazinen von Kunden nur selten persönliche Daten, doch der Teufel steckt im Detail.
Diese Maßnahmen ergreifen wir, um Daten zu schützen:
- Eingabe persönlicher Daten immer verschlüsselt übertragen
Dazu betreiben wir alle Websites, die Kommentarfelder, Newsletter-Anmeldungen oder Kontaktformulare enthalten, mit dem verschlüsselten https-Protokoll. - IP-Adressen anonymisieren
Auch wenn wir das gar nicht möchten: Manche Softwares, wie zum Beispiel WordPress, Bewertungs- oder Umfragetools, speichern die gesamte IP-Kennung eines Besuchers. Wir haben dafür eigene PlugIns entwickelt, um die IP-Adresse vor ihrer Speicherung zu anonymisieren. - Keine Daten an Dritte
Kommentar-Spam wehren wir mit einem Plug-In ab, ohne dabei Daten an dritte Stellen zu übertragen. Gleiches gilt für unsere Sharing-Buttons: Auf unseren Seiten können Sie Artikel teilen, ohne Ihre Daten mitzuliefern. - Sichere Daten
Unsere Daten vertrauen wir einem deutschen Hoster mit europäischen Rechenzentrum an. In Rahmen eines Auftragsdatenverarbeitungsvertrags (ADV) sind alle Maßnahmen zum Schutz unserer Daten schriftlich fixiert. - Unterstützung bei der Datenschutzerklärung
Bei aller Datensparsamkeit lässt es sich nicht immer verhindern, dass Daten auch an externe Anbieter übertragen werden. Das bekannteste Beispiel dafür ist die Einbindung eines Filmplayers von YouTube. Aktuell analysieren wir all unsere Magazine und informieren unsere Kunden über solche Dienste auf Ihren Seiten, damit die Datenschutzerklärung entsprechend erweitert werden kann. - Analysetools
Für Magazinmacher ist es enorm wichtig, etwas über die Interessen ihrer Leser zu erfahren. Darum analysieren wir konsequent die Besucherzahlen unserer Online-Magazine. Doch diese Daten müssen nicht persönlich sein.Wir nutzen dazu Matomo (früher: Piwik). Dieses Analysetool wird von Datenschützer empfohlen, weil man damit Daten ausschließlich auf dem eigenen Server speichert und keine an Dritte weitergibt (wie zum Beispiel bei Google Analytics).
Unsere Matomo-Einstellungen entsprechen den Empfehlungen der Datenschutzbehörde: Die IPs der Nutzer werden anonymisiert, wir akzeptieren die „Do-Not-Track“-Einstellung von Browsern und bieten eine dauerhafte Widerspruchsmöglichkeit (Opt-Out) in der Datenschutzerklärung.
- Newsletter
Zur Anmeldung zu unseren Newslettern benutzen wir das empfohlene und dokumentierte Double-Opt-In-Verfahren – für die Abmeldung findet sich am Ende jeder Mail ein einfacher Link. Als Dienstleister setzen wir auf MailChimp, da sich dieser Anbieter gemäß „Privacy Shield“ bereits nach EU-Recht verpflichtet hat und entsprechende Verträge zur Auftragsdatenverarbeitung abschließt.