EU-Datenschutz-Grundverordnung: Die Uhr tickt für Website-Betreiber!
Die Schonfrist nähert sich dem Ende: Website-Betreiber sind angehalten, die neuen europäischen Datenschutzrichtlinien so schnell wie möglich umzusetzen! Bereits seit dem 26. März 2016 ist die EU-Datenschutz-Grundverordnung, kurz DSGVO, in Kraft. Nach einer Übergangsphase von zwei Jahren ist das Gesetz von Unternehmen ab 25. Mai 2018 strikt einzuhalten. Wer seine Website bis dahin nicht DSGVO-tauglich gemacht hat, muss mit horrenden Strafzahlungen rechnen. Bis zu 20 Millionen Euro beziehungsweise vier Prozent des jährlich weltweit erwirtschafteten Umsatzes. Schmerzhaft für jeden Website-Betreiber. Noch unangenehmer: Die E-Privacy Verordnung, die als Ergänzung zur DSGVO ebenfalls am 25. Mai 2018 in Kraft tritt. Verbände und Branchen-Experten laufen Sturm.
Was ändert sich und was müssen Unternehmen beachten, um einer Bußgeld-Zahlung zu entgehen? Alle relevanten Informationen im Überblick: Das Online-Tracking wird erschwert und die Datenschutzerklärung muss für Nutzer ausführlicher und verständlicher formuliert sein.
Inhaltsverzeichnis
EU-Datenschutz-Grundverordnung: Das ist zu beachten
Die Datenschutz-Richtlinien sind derzeit noch auf nationaler Ebene in den §§ 11 ff. Telemediengesetz (TMG) geregelt. Ab 25. Mai 2018 genießt die DSGVO-Verordnung gesetzlichen Vorrang, mit einigen Änderungen.
Datenschutz-Erklärung
Laut Artikel 12 DSGVO müssen ausführliche Angaben zu folgenden Analyse- und Werbe-Plattformen gemacht werden. Und zwar in „präziser, transparenter, verständlicher, klarer und einfacher Sprache“.
- Facebook „Like“-Buttons und Social-Plugins anderer Anbieter wie Twitter, Xing etc.,
- Webformulare wie Kontaktformulare, Newsletter etc.,
- Cookies mit Informationen zum Zweck, den Empfängern der Daten etc.,
- Analyse-Tools wie Google Analytics, etracker etc.
- Targeting-Tools wie AddThis etc.
Mindestaltersgrenze zur Datenerhebung
Die Mindestaltersgrenze zur rechtmäßigen Datenerhebung wird von bisher 13 Jahren auf das vollendete 16. Lebensjahr angehoben. In Artikel 8 DSGVO wird den Mitgliedstaaten allerdings die Möglichkeit eingeräumt, das Mindestalter beim vollendeten 13. Lebensjahr zu belassen.
Recht auf Vergessenwerden
Sofern Nutzer-Daten an Dritte weitergegeben werden, sind Website-Betreiber in Zukunft verpflichtet, den betroffenen Nutzer auf sein Recht auf Vergessenwerden in Form einer Löschungsanfrage aufmerksam zu machen. Ist zuvor keine Nutzerzustimmung erfolgt, so müssen betroffene Daten umgehend gelöscht werden.
Datenschutzfreundliche Voreinstellungen
Website-Betreiber müssen den Datenschutz bereits durch technische Maßnahmen und datenschutz-freundliche Voreinstellungen sicherstellen. Wie zum Beispiel:
- Datensparsamkeit durch minimierte Speicherung personenbezogener Daten
- Umgehende Pseudonymisierung von Nutzer-Daten
- Kontrollmöglichkeit für betroffene Personen des Umgangs mit ihren gespeicherten Daten
- Transparente Zuordnung aller Aufgaben, die mit Nutzerdaten verbunden sind
Verzeichnis zur Datenverarbeitung
Nach Artikel 30 DSGVO müssen Website-Betreiber ein Verzeichnis über alle Tätigkeiten im Zuge der Datenverarbeitung erstellen. Folgende Angaben sind unter anderem relevant:
- Kontaktdaten von Verantwortlichen und Datenschutzbeauftragten
- Zweck der Verarbeitung
- Kategorien personenbezogener Daten
- Kategorien zu Adressaten, an die Nutzer-Daten weitergeleitet werden
- Weiterleitung von Daten in ein Drittland
- Beschreibung getroffener technischer und organisatorischer Maßnahmen
Zusammenarbeit mit Aufsichtsbehörde
Website-Betreiber sind laut Artikel 29 DSGVO verpflichtet auf Verlangen mit der jeweiligen Aufsichtsbehörde zusammenzuarbeiten.
ePrivacy-Verordnung ist beschlossene Sache!
Das EU-Parlament hat Ende Oktober 2017 die neue ePrivacy-Verordnung beschlossen, die die allgemeine elektronische Kommunikation im Netz regeln soll. Dazu gehört auch das Surfen im Internet. Gut möglich, dass die Verordnung von Gegnern noch einmal angefochten wird. Daten-Händler laufen bereits Sturm. Grund: Das Online-Tracking über Cookies wird für Websitebetreiber nicht mehr so einfach wie bisher möglich sein.
Derzeit noch gebräuchliche Popups mit Hinweisen wie „Mit dem Besuch dieser Website akzeptieren Sie die Verwendung von Cookies“ und einem dazugehörigen OK-Button sind laut der neuen E-Privacy Richtlinie bald nicht mehr zulässig. Denn der Nutzer könne so keine „echte“ Wahl treffen, im Sinne der Abgabe einer konkreten Einwilligung. Ebenso wenig reicht es aus, den Nutzer darauf hinzuweisen, selbständig entsprechende Änderungen in den Browser-Einstellungen vorzunehmen. Mit dem Standard „Privacy by default“ müssen die Datenschutzbestimmungen bereits in den Grundeinstellungen umgesetzt sein. Erst per Opt-in-Verfahren können Nutzer ihre Zustimmung erteilen. Sie setzten den Haken vor jeder Transaktion und auch vor jedem Besuch der Seite eines Werbepartners.
ePrivacy-Verordnung: Die Digitalwirtschaft am Galgen
Ziel der Europäischen Kommission ist es, den Schutz der Privatsphäre und noch mehr Nutzerfreundlichkeit zu gewährleisten. Die Realität ist allerdings eine andere. Von Strangulation einer ganzen Branche ist die Rede. Worte wie „Tod der digitalen Wirtschaft“ heizen dieser Tage unentwegt den Diskurs an. Nett gedacht, doch nicht bis zum Schluss, lautet der Vorwurf an die politischen Entscheidungsträger in Brüssel. Stattdessen tun sich neue Fragen auf, die vor allem Tracking-Anbieter und Vertreter aus dem Affiliate Marketing umtreiben:
„Es stellt sich also die große Frage, wie Affiliates zukünftig Geld verdienen wollen, wenn gegebenenfalls aus einer gewissen Unsicherheit ein großer Anteil der Internet-User kein Werbeeinverständnis per Opt-In gewährt und sogar die Browser per Default-Einstellung 3rd-Party-Cookies deaktivieren?“, 31.10.2017/ Markus Kellermann, internetworld.de
Ebenso werden Stimmen laut, welche die angestrebte Nutzerfreundlichkeit in Frage stellen:
„Hand aufs Herz: Ist es wirklich nutzerfreundlich, wenn der Browser ab Sommer 2018 default eine Nicht-Cookie-Einstellung hat, und Nutzer permanent Daten-Freigabe (Opt-in) erteilen dürfen (und müssen)? Wie groß ist die Wahrscheinlichkeit, dass ein Nutzer in diesem zeitraubenden Prozedere diese Freigaben erteilt? Um Reichweiten vergleichbar messen zu können, Leserinteressen zu identifizieren (für passgenauen Content und/oder Werbung), genügen vereinzelte Freigaben sowieso nicht. Die Daten sind nur dann brauchbar, wenn sie für viele Websites erstellt werden”, 9.11.2017/ Volker Schütz, horizont.de
Derzeit kämpfen Verbände wie der Berufsverband der Datenschutzbeauftragten Deutschlands e. V. um die Entschärfung einiger Passagen. Dabei handelt es sich zum Teil um einzelne Worte, die zum Zünglein an der Waage werden könnten. Es bleibt also spannend. Das letzte Wort in Sachen ePrivacy ist noch nicht gesprochen.
Checkliste – Ist meine Datenverarbeitung gemäß Artikel 6 DSGVO erlaubt?
Die Datenverarbeitung ist nur rechtskonform, wenn folgende Punkte erfüllt sind:
- Einwilligung durch den User
- Ist die Datenverarbeitung Teil der Vertragserfüllung?
- Entspricht die Datenverarbeitung den gesetzlichen Pflichten (zum Beispiel: das Archivieren von Rechnungen)?
- Werden durch die Datenverarbeitung lebenswichtige Interessen von Menschen erfüllt (zum Beispiel in der Medizin)?
- Müssen berechtigten Unternehmensinteressen wie IT-Sicherheit, Compliance, Beschäftigtenkontrolle, Marketing oder Direktwerbung geschützt werden?
Sie benötigen eine ausführlichere DSGVO Last-Minute Checkliste? Dann werfen Sie doch einen Blick in diesen Blogbeitrag.
Titelbild: ©iStock/AdrianHancu
Keine Kommentare vorhanden