Willkommen zur DS‑GVO
D amit ist es geschafft. Der 25.05.2018 ist Vergangenheit, die DS‑GVO ist in Kraft getreten und das Abendland ist nicht untergegangen – zumindest bis jetzt noch nicht . Sollten Sie zu den 0,1% der Europäer gehören, die noch nie von der Datenschutz-Grundverordnung gehört haben, hier nochmal eine kurze Zusammenfassung:
Die Datenschutz-Grundverordnung (DS‑GVO) ist EU-Recht, das in Deutschland wie ein deutsches Bundesgesetz unmittelbar angewendet wird und am heutigen 25. Mai 2018 an die Stelle des bisherigen Bundesdatenschutzgesetzes (BDSG) und vieler Nebengesetze tritt. Daneben wird es einige Sonderregeln im neuen BDSG geben.
Die DS‑GVO zielt in erster Linie darauf ab, den Bürgern und Einwohnern der EU die Kontrolle über ihre personenbezogenen Daten zurückzugeben und das Regelungsumfeld für internationale Unternehmen (alle Unternehmen, die personenbezogene Daten von EU-Bürgern erfassen, verarbeiten oder speichern) zu vereinfachen.
Sie betreiben ihre eigene Website und dabei ist es zuerst einmal egal ob privat oder geschäftlich. Da Sie Besucher aus der EU auf Ihrer Website haben, fordert die DS‑GVO grundsätzlich, dass Sie die europäischen Standards in Bezug auf die Daten Ihrer Nutzer einhalten, andernfalls könnten Sie eine Geldstrafe erhalten.
Also was ist nun zu tun? Zumindest müssen Sie auf Ihrer Website eine angemessene Datenschutzerklärung einrichten. Außerdem müssen Sie Ihre Website auf Verschlüsselung umstellen (Stichwort SSL). Sie müssen weiter eine Aufzeichnung der Verarbeitungsaktivitäten erstellen und sicherstellen, dass ein Benutzer Kontrolle über seine bei Ihnen gespeicherten Daten ausüben kann (Abfragen, Ändern, Löschen). Wir gehen hier nicht weiter ins Detail, da Sie dies entweder schon längst alles wissen und implementiert haben oder aber ganz dringend fachliche Hilfe in Anspruch nehmen sollten. Bei der technischen Umsetzung helfen wir Ihnen natürlich gerne, die juristischen Anforderungen (Was ist genau zu tun) sollte jedoch ein auf Datenschutz spezialisierter Anwalt mit Ihnen klären.
Grosse Mengen an Horrorgeschichten kursieren im Netz darüber, wie Websites angepasst werden müssen. Alle Formulare müssen mit Checkboxen versehen sein, alle Benutzer-IP-Adressen müssen gelöscht werden, alle externen Dienste wie Google Fonts, Videoeinbindungen und Karten müssen entfernt werden, alle Cookies müssen blockiert werden und so weiter. Die Nichteinhaltung führe zu exorbitanten Geldbußen und treibt Ihr Geschäft in den Ruin. Wir sollten am besten alle Webseiten dicht machen, dann ist Ruhe.
Ist das wirklich so? Wir haben mit diversen Anwälten gesprochen, wir haben Informationsveranstaltungen besucht und wir haben das Internet nach zuverlässigen Quellen durchsucht, die von Fachleuten aus den Bereichen Datenschutz oder Recht geschrieben wurden. Das Wesentliche, das wir diesen Quellen entnehmen konnten:
Es ist alles nicht so schlimm wie es klingt. Ja, es gibt einiges zu tun. Aber viele dieser „unerlässlichen Änderungen“ sind mindestens diskutabel bis hin zu völlig falsch. Vor allem gilt eines: Selbst wenn Sie nicht von Anfang an alles richtig machen, die Behörden in jedem Land haben die Aufgabe, Sie zuerst einmal zu informieren. Nur wenn Sie wiederholt gegen die in der EU und Deutschland geltenden Rechte verstoßen, wird man Ihnen Geldbußen auferlegen.
Ein ganz anderes Thema sind sogenannte Abmahnanwälte, also Juristen die Ihr Geld nicht mit dem Durchsetzen von Gerechtigkeit, sondern mit den Fehlern unbedarfter oder unbekümmerter Webseitenbetreiber verdienen. Vor diesen müssen Sie sich eher in acht nehmen und Sie sollten ihnen das Geld-verdienen nicht allzu leicht machen, indem Sie gar nichts an Ihrer Website tun. Es gibt viele Kanzleien, die das Web automatisch durchsuchen (crawlen), d.h. Ihre nicht vorhandene oder fehlerhafte Datenschutzerklärung wird früher oder später sicher gefunden werden.
Viele der sonstigen Funktionen Ihrer Website sind indes nicht ganz so dramatisch zu sehen. Die Quintessenz der diversen Ansichten von Fachleuten und Anwälten ist eigentlich ganz einfach: Sie können so gut wie jedes technische Merkmal auf Ihrer Website nutzen, wenn eine von zwei Bedingungen erfüllt ist – legitimes Interesse Ihrerseits oder Zustimmung des Besuchers.
Das Problem mit legitimem Interesse ist, dass es nicht klar durch Gesetze definiert ist. Es ist also offen für Interpretationen (die dann vor Gerichten geklärt werden). Der Kern der Frage ist: Wann dürfen Sie Ihre (geschäftlichen) Interessen voranstellen und wann müssen Sie besser vorab um Erlaubnis fragen? Diese Frage kann nach unserem Verständnis nie allgemeingültig beantwortet werden, sondern muss für jeden Fall einzeln überprüft werden.
Aber: Obwohl legitimes Interesse Interpretationssache sein kann, ist es in der Regel immer noch die bessere Option im Vergleich zur Benutzereinwilligung. Das Problem mit einer Einwilligung ist, dass sie jederzeit widerrufen werden kann, was zu einer Menge zusätzlicher Arbeit führen kann.
Offenheit ist angesagt. Überlegen Sie einfach sehr gründlich, welche Funktionen Sie für einen bestimmten geschäftlichen Grund benötigen, informieren Sie Ihre Besucher auf Ihrer Datenschutz-Seite ausführlich und offen darüber und fertig.
Jeder Ihrer Besucher wird verstehen, dass Sie gerne wissen wollen, welche Seiten Ihres Auftritts interessant für ihn sind. Nicht jeder ist jedoch damit einverstanden, dass jeder seiner Besuche in die USA gemeldet wird. Die wenigsten bringen dann noch Verständnis auf, wenn Ihre Website wahllos Daten sammelt und an alle möglichen Dienste verteilt, ob man will oder nicht. Wägen Sie einfach im Sinne Ihrer Kunden ab.
Wenn Sie oder Ihre Anwälte aber der Meinung sind, dass die eine oder andere Funktion ein Risiko darstellt, sollten Sie sie entweder vom Webseiten-Besucher deaktivierbar machen (bevor die Daten anfallen!) oder schlichtweg komplett entfernen.
Wir können helfen
- Wir helfen Ihnen, Ihre Facebook-, Twitter- oder andere Social-Media-Icons so einzurichten, daß keine Daten gesendet werden, bis Ihr Benutzer dies wünscht.
- Formulare können wir mit Checkboxen versehen, die vor dem Absenden das Akzeptieren Ihrer Datenschutzerklärung erfordert. Aber wie bereits erwähnt ist dies nach unserer Auffassung gar nicht notwendig. Der Nutzer möchte Ihnen seine Daten ja mitteilen. Er möchte nur sicher sein, dass Sie diese vertraulich behandeln.
- Für Google Analytics oder Google Maps und ähnliches gibt es entweder gute Alternativen oder die Möglichkeit, diese zu sperren, wenn Ihr Besucher nicht vorab zustimmt.
- Vimeo oder Youtube Videos lassen sich auf ähnliche Weise bändigen.
- Es gibt gute Alternativen für Google Fonts oder wir installieren Schriften direkt auf Ihrer Website, so dass sie nicht mehr von extern geladen werden.
Für viele problematische Funktionen finden wir eine benutzerfreundliche Möglichkeit sie zu unterdrücken oder datenschutzfreundlich zu gestalten. Für die gängigsten haben wir ohnehin schon Lösungen parat, den Rest klären wir gerne mit Ihnen im Detail.
Wenn Sie keinen Anwalt hinzuziehen können oder wollen, können wir Ihnen gerne nach bestem Wissen und Gewissen helfen, Ihre Website „dichtzumachen“ und über geeignete Plugins und Abfragen (Sie kennen diese lästigen Cookie-Banner – genau so eines brauchen Sie jetzt wohl) zu mehr Sicherheit und Datenschutz zu verhelfen. Die Datenschutzerklärung selber kann Ihnen aber nur ein Anwalt rechtsicher schreiben. Auch wenn wir ein sehr gutes DS‑GVO Plugin kennen, welches die Datenschutzerklärung automatisch erstellt, die Verantwortung (und Haftung) dafür liegt bei Ihnen.
Wir sind keine Anwälte, deshalb können wir auch keine Rechtsberatung geben! Aber wir arbeiten mit sehr guten Anwälten zusammen und schließen Sie auch gerne kurz.