DSGVO: Keine Panik!

Wir haben in den letzten Wochen an vielen Stellen gesehen, dass gerade bei unseren Kunden die Verunsicherung hinsichtlich der Europäischen Datenschutzgrundverordnung (DSGVO) groß ist. Wir haben sogar Stimmen von frischgebackenen Websitebetreibern vernommen, die gesagt haben: „Dann lass ich das mal lieber mit einem eigenen Blog!“  – Und genau das sollte eigentlich nicht passieren.
Panik ist sicher fehl am Platze. Welche Möglichkeiten bleiben denn? Sollen wir wieder Flyer drucken und Serienbriefe versenden? Letztlich muss man sich immer an Gesetze und Verordnungen halten.
Bisher haben wir, was dieses Thema angeht, vor allem auf die Seiten von Juristen verwiesen. Es handelt sich ja nicht nur um eine Verordnung für Webseitenbetreiber, sondern um eine, die für alle einschlägig ist, die personenbezogenen Daten erheben und bearbeiten.

Disclaimer

Alles, was hier in diesem Beitrag steht und im zugehörigen Audiofile zu hören ist, dient der Erörterung allgemeiner Fragen, die sich aus der DSGVO ergeben können und ist an die Allgemeinheit gerichtet. Ziel ist, eine grundsätzliche Orientierung zu erleichtern, mit du dann die nächsten Schritt überlegen kannst. Wir besprechen das hier allgemein und du kannst die Sachverhalte entsprechend auf deine Situation hin überprüfen.
Dies hier ist keine und ersetzt auch keine Rechtsberatung, z.B. durch einen Juristen.
[podloveaudio src=“https://www.goneoserver.de/podcastgenerator/media/2018-05-11_goneopodcast_37_dsgvo.mp3″]

Die DSGVO ist eine Grundverordnung auf europäischer Basis. Das heißt, die DSGVO gilt in den Ländern der europäischen Gemeinschaft ohne dass ein nationales Parlament diese Verordnung noch in nationales Recht umwandeln müsste. Es ist auch ein Termin festgesetzt worden, das ist der 25.Mai 2018. Die Verordnung ist schon vor längerer Zeit veröffentlicht worden, eine Übergangszeit gibt es nicht mehr.

Was will die Europäische Datenschutzgrundverordnung?

Datenschutzgesetze haben wir auch heute schon. Als Webseitenbetreiber kennst du sicher einschlägige Vorschriften aus dem Bundesdatenschutzgesetz oder aus dem Teledienstegesetz.
Als Webseitenbetreiber hat man es recht unmittelbar mit personenbezogenen Daten zu tun, alleine wenn jemand deine Webseite besucht. Der Rechner, mit dem die Webseite besucht wird, besitzt eine IP-Adresse, die im Rahmen der technischen Prozesse mitgeteilt wird. So funktioniert das Internet. Die IP-Adresse gilt als ein personenbezogenes Datum, weil man mit entsprechenden Ressourcen und etwas Aufwand herrausfinden kann, wer denn der Besucher sein könnte.
Diese IP-Adressen werden auch herangezogen, um Sicherheitschecks zu machen, in Firewalls zum Beispiel.

Einige Grundsätze

Artikel 5 der DSGVO nennt einige Grundsätze, aus denen sich viel ableiten lässt, was den Charakter des ganzen Verordungswerks angeht:

  • Personenbezogene Daten müssen rechtmäßig erhoben werden, die Verarbeitung muss nach Treu und Glauben geschehen und soll transparent sein.
  • Außerdem gibt es eine Zweckbindung. Die Daten, die man für einen bestimmten Zweck erhoben hat, dürfen nicht für völlig andere Zweck verwendet werden.
    Die erhobenen Daten müssen sachlich richtig sein.
  • Es gibt eine Begrenzung der Speicherdauer, eine „Speicherbegrenzung“, wie es im Text heisst.
  • Weiterhin gibt es das Prinzip der Integrität und Vertraulichkeit. Die Daten müssen „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“.

Unter welchen Bedingungen die DSGVO eine Datenerhebung als rechtmäßig ansieht

Die Verordnung nennt auch ganz konkret die Kriterien, die eine Verarbeitung rechtmäßig machen:

  • Die betroffene Person willigt ein. Ganz wichtiger Punkt. Man kann sich eine Einwilligung holen. Und zwar durch einen „informed consent“. Das heißt man beschreibt sehr genau und transparent, welche Daten erhoben werden und was mit ihnen geschieht.
  • Oder die Datenverarbeitung ist zur Erfüllung des Vertrags erforderlich. Dazu gehören auch vorvertragliche Maßnahmen.
  • Oder: Man muss die Daten speichern bzw. verarbeiten aufgrund anderer gesetzlicher Pflichten.
  • Zudem kann man personenbezogene Daten rechtmäßig verarbeiten, wenn man ein berechtigtes Interesse hat. Was das berechtigte Interesse genau ist, werden wohl ab 25.5.2018 nun wohl viele Gerichte klären müssen.

Insgesamt geht die Tendenz in Richtung Einwilligung. Die meisten Verantwortlichen bemühen sich wohl um den sogenannten informed consent, wenn man aktuellen Meldungen Glauben schenkt.
Wichtig ist auch noch zu wissen, dass die Betroffen, also die natürlichen Personen dessen personenbezogene Daten gespeichert und verarbeitet werden, recht umfassende Auskunfts- und Berichtigungsrechte hat.
Dies wird beim Webhosting nun nicht gleich durchschlagen, wenn es um Logfile-Analyse, Tracking oder das Thema Cookie-Setzen geht.
Aber angenommen, du betreibst eine Website, auf der die Leute sich registrieren können und untereinander agieren können, bei Foren ist dies oft der Fall. Dann hast du noch mit anderen personenbezogenen Daten zu tun. Der Betroffene kann von dir Auskunft über die bei dir als Verantwortlichen gespeicherten Daten verlangen – oder auch verlangen, dass Daten berichtigt werden.

Informationspflichten

Ganz wichtig ist Artikel 13. Darin beschreibt die Datenschutzgrundverordnung die Informationspflichten, die man als Verantwortlicher hat bei Erhebung von personenbezogenen Daten bei der betroffenen Person. Das ist die Datenschutzerklärung gemeint, die man auch heute schon in vielen Fällen braucht, nämlich gemäß §13 des Telemediengesetzes.
Überhaupt ist es so, dass viele Vorschriften, die man jetzt als neu empfindet, schon im Bundesdatenschutzgesetz hinterlegt sind, oder in anderen einschlägigen Gesetzen. Was neu ist, ist der Bußgeldkatalog. Nun können die Bußgelder für Verstöße durchaus in den zweistelligen Millionenbereich gehen.

Aufsicht

Es gibt Aufsichtsbehörden. Das sind die Landesdatenschutzbeauftragten in den Bundesländern Deutschlands. Diese werden meist vom Landtag gewählt, das ist in den Landesdatenschutzgesetzen geregelt. Die vorgesehene Praxis ist wohl, dass sich eine betroffene Person an eines dieser Landesdatenschutzämter wendet. Wenn dieses sich nicht für zuständig hält, wird der Fall intern weitergegeben.

Wo bekommst du also Information?

Grundsätzlich wären die Landesdatenschutzbeauftragten durchaus ein Ansprechpartner. Allerdings dürften sie dem Ansturm der kommenden Tage wohl nicht gewachsen sein.
Ansonsten kann man auf die Hilfe von Rechtsanwälten zurückgreifen, nur eben selten umsonst. Die Aufsichtsbehörden geben teilweise Infoblätter und Broschüren heraus, aber man wird vermutlich keine rechtsverbindlichen Auskünfte im konkreten Einzelfall erhalten.
Es gibt Webseiten, die Muster für Datenschutzerklärung und oder Auftragsdatenverarbeitung anbieten. Es kommt sehr darauf an, was du auf dem Webspace machst. Ist da ein CMS wie WordPress und erlaubst du Registrierungen? Ist Jetpack eingebunden? Dann Vorsicht. Hast du ein anderes Tracking, dann sieh beim Anbieter nach, welche technisch organisatorischen Maßnahmen er getroffen hat, um Daten zu schützen.
Ein weiteres rechtliches Konstrukt ist erwähnenswert: Man kann Datenverarbeitungsprozesse ja auch aus seiner Firma auslagern. Da gibt es unterschiedlichste Dinge, die man sich vorstellen kann. Und es mag ratsam sein, eine Auftragsdatenverarbeitungsvereinbarung (ADV) zu schließen, in der Rechte und Pflichten geklärt werden. Die ADV ist übrigens auch nicht komplett neu.
Bei goneo gibt es übrigens nun auch einen Auftragsdatenverarbeitungsvertrag als Muster. Wenn du bei uns Server- oder Webhostingkunde bist, kannst du mit uns diese Vereinbarung abschließen, zusätzlich zum normalen Hostingvertrag laut AGB. Zu finden sind die Dokumente (Haupttext und Anlage mit technisch-organisatorischen Maßnahmen) unter Downloads im goneo-Kundencenter.
In der DSGVO steht etwas von Datenschutzfolgeabschätzung, die mit dem Datenschutzbeauftragten vorzunehmen ist. Inwieweit du in deinem Betrieb einen Datenschutzbeauftragten brauchst, musst du selbst bewerten oder bewerten lassen.
Übrigens gelten die DSGVO Bestimmungen nicht nur für europäische Firmen, alle Anbieter mit Kunden aus den EU-Ländern müssen sich daran halten. Einige bevorzugen es, Usern aus EU-Ländern den Zugriff auf Webseiten oder andere Ressourcen zu blockieren. Damit spart man sich die Compliancekosten.
https://www.techrepublic.com/article/to-save-thousands-on-gdpr-compliance-some-companies-are-blocking-all-eu-users/
Da gibt es z.B. als Service den gdpr-shield.io. Dieser Service blockt auf Javascriptbasis und weist den Traffic aus EU-Ländern ab. Die Nachfrage scheint groß zu sein. Momentan ist der Service nicht verfügbar.

Fazit

Dies waren nun nur einige relevante und zentrale Aspekte der Umsetzung der Datenschutzgrundverordnung.
Was man als Webseitenbetreiber keinesfalls tun sollte ist, die DSGVO zu ignorieren oder  sozusagen aussitzen zu wollen. Man muss damit rechnen dass viele interessierte Parteien Gewehr bei Fuss stehen. Es kann zu wettbewerbsrechtlichen Abmahnungen kommen, missliebige Konkurrenten oder Kunden aus der Hölle (jeder hat sie!), könnten sich aufgerufen fühlen, nach Beschwerdegründen zu fahnden.
Kümmere dich als Webseitenbetreiber um die Datenschutzerklärung, sie muss wohl überarbeitet oder ausgetauscht werden. Prüfe, ob du Auftragsdatenverarbeitungsvereinbarungen abschließen solltest und sieh zu, wie du von deinen Usern falls nötig einen informed consent abholen kannst.

Quellen

Originaltext DSGVO in Html (deutsch)
http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE
Website der Bundesdatenschutzbeauftragten
https://www.bfdi.bund.de/DE/Home/home_node.html
 

Nicht vergessen

Bitte vergib für diesen Podcast fünf Sterne auf itunes. Such einfach nach „goneo Podcast“.
 

3 Antworten auf „DSGVO: Keine Panik!“

  1. Lieber GoneoBlog, danke für den ausführlichen Beitrag. Die neue Datenschutz-Grundverordnung (DSGVO ) brachte viele Sorgen mit, denn berührt wurden die Cookie- und die ePrivacy-Richtlinien. Mein Freund hat sogar auf seine eigene Web-Seite verzichtet. Die für ihn wichtigen Infos stellt der nun in einem Blog dar, der fällt ihm als für einen Webseitenbetreiber viel leichter. Hoffentlich leisten Cookies einen höchst sicheren Datenschutz für seinen Blog. Danke für Ratschläge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert