DSGVO

DSGVO

Copyright © Shutterstock / Sinuswelle

Was bedeutet DSGVO?

Die seit dem 25. Mai 2018 für alle EU-Mitgliedsstaaten verbindliche Datenschutz-Grundverordnung DSGVO regelt die Verarbeitung personenbezogener Daten. Sowohl öffentliche Stellen als auch private Unternehmen haben sich an die Vorgaben der DSGVO zu halten. Ziel der Grundverordnung ist einerseits der Schutz personenbezogener Daten in der EU und andererseits die Gewährleistung freien Datenverkehrs. Da im Falle eines Verstoßes empfindliche Strafen drohen, stellt sich die Frage, was Webseiten-Betreiber im Zuge der DSGVO zu beachten haben.

Überblick und Allgemeines

Am 25. Mai 2016 ist die EU-DSGVO in Kraft getreten. Seit dem 25. Mai 2018 ist die Übergangsphase vorüber, sodass die DSGVO für sämtliche EU-Unternehmen und öffentliche Stellen verpflichtend ist. Bis zu diesem Datum musste sichergestellt sein, Daten nach den Maßgaben der EU zu behandeln und zu verarbeiten. Im Falle eines Zuwiderhandelns drohen Bußgelder. Mit dem Inkrafttreten der Datenschutz-Grundverordnung sind einige Veränderungen verbunden. Die Rechte der Webseiten-Besucher und Nutzer nehmen zu, während Unternehmen mit neuen Pflichten und Herausforderungen konfrontiert sind. Betroffen sind sämtliche Institutionen, die Nutzerdaten speichern und verarbeiten.

Inhalte und Stellenwert personenbezogener Daten

In den Anwendungsbereich der Datenschutz-Grundverordnung fallen ausschließlich personenbezogene Daten. Dies betrifft im Einzelnen solche Daten, die mit einer natürlichen Person in Zusammenhang stehen. Im Gegensatz dazu sind die Daten juristischer Personen nicht von der DSGVO erfasst oder entsprechend geschützt. Dennoch sind auch solche Unternehmen betroffen, die nur Geschäftskunden haben. Im B2B-Geschäft fallen personenbezogene Daten beispielsweise in Form von Ansprechpartnern auf Seiten der Kunden an. Hinzu kommt, dass gerade kleinere und mittlere Unternehmen oftmals den Namen des Inhabers in ihren Bezeichnungen enthalten.
Eine Definition personenbezogener Daten beinhaltet sämtliche Daten, die bezüglich einer konkreten Person gespeichert werden. Der Stellenwert oder die Relevanz dieser Daten sind dabei unerheblich. Ein Kundenprofil und damit verbundene Nutzerdaten haben ebenso Personenbezug wie beispielsweise die Kleidergröße bei Bestellung in einem Online-Shop.

Auch reine Online-Kennungen sind betroffen. Wenn Informationen zu einer eindeutigen Kennung gespeichert werden, muss nicht einmal die dahinter stehende Person bekannt sein. Damit fallen auch Daten wie IP-Adressen oder Cookies in das Definitionsschema personenbezogener Daten im Sinne der DSGVO. Damit geht einher, dass es auch nicht genügt, die Daten per Hash-Verfahren zu bearbeiten. Lässt sich später Rückschluss auf die Person gewinnen, so fällt auch dies unter die Verarbeitung personenbezogener Daten.

Strafen bei Verstoß

Die neue DSGVO hat insbesondere aufgrund der enormen Bußgelder, die bei Verstoß drohen, für Schlagzeilen gesorgt. Vor Inkrafttreten waren für schwerwiegende Datenschutz-Verstöße bis zu 300.000 Euro Bußgeld fällig. Im Zuge der Datenschutz-Grundverordnung kann dieses auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes ansteigen. Behörden weisen regelmäßig darauf hin, dass der Bußgeldrahmen auszuschöpfen ist. Damit haben auch kleinere und mittlere Unternehmen und Webseiten-Betreiber sich intensiver mit dem Datenschutz-Thema auseinanderzusetzen.

Perspektive der Webseiten-Betreiber

Unternehmen und Webseiten-Betreiber sehen sich mit neuen Herausforderungen und Pflichten konfrontiert. Nutzerdaten sind essentiell im Online-Marketing und finden weitreichende Erfassung und Verarbeitung. Die mit der DSGVO verbundenen neuen Datenschutzregeln bedeuten einen enormen Mehraufwand für Unternehmen bei der Umsetzung. Im Zuge der Datenschutz-Grundverordnung kommt es zu einer Erweiterung der Zweckbindung: die Erhebung und Verarbeitung personenbezogener Daten ist nur für einen genau definierten Zweck zulässig. Dies impliziert, dass Daten in der Regel nicht weiterverkauft werden dürfen. Im Rahmen dessen gilt das Prinzip der Datenminimierung. Es sind so wenige Daten wie möglich zu erheben, und nur solche, die für den festgelegten Zweck zwingend erforderlich sind.
Das Reglement hat zum Ziel, die Erhebung und Verarbeitung der Daten durch Unternehmen oder Behörden transparenter zu gestalten. Betroffene Personen sollen jederzeit über die über sie erhobenen Daten informiert sein. Damit verbunden sind zusätzliche Verpflichtungen zur Auskunft. Zudem sind Erläuterungen bezüglich der Datenerhebung klar und verständlich zu formulieren. Dazu gehören Datenschutzerklärungen sowie Einwilligungstexte.
Zur Durchsetzung dieser Prinzipien ist die DSGVO mit einer erweiterten Rechenschaftspflicht verbunden. Webseiten-Betreiber haben hierbei sämtliche einzelne Prozesse der Datenverarbeitung in bestimmten Verzeichnissen zu hinterlegen und zu dokumentieren. Größere Unternehmen sehen sich nach neuem EU-Recht auch mit der Verpflichtung einer fortdauernden Risikoabschätzung der Prozesse der Datenverarbeitung konfrontiert.

Perspektive der Besucher

Kunden und Nutzer erhalten deutlich erweiterte Datenschutz-Rechte im Zuge der DSGVO. Sie profitieren weiterhin von transparenterem Einblick in die verarbeiteten Daten und müssen umfassend informiert werden. Sie können damit einfacher nachvollziehen und verstehen, was mit den Daten geschieht. Damit wird es für Unternehmen schwieriger, möglichen Datenmissbrauch durch juristische Verklausulierungen zu verschleiern. Dies betrifft insbesondere komplexere Datenschutz-Sachverhalte, in denen es Laien bisher schwerfiel, zu erkennen, was mit den personenbezogenen Daten geschieht.

Die DSGVO gibt Bürgern mehr Mittel auf den Weg, um die über sie gespeicherten Rückschluss zu erhalten. Auf Nachfrage sind Unternehmen verpflichtet, darüber Auskunft zu erteilen, wie die Daten genutzt werden. Ebenso können Nutzer in bestimmten Fällen darüber entscheiden, ihre Daten löschen zu lassen. Gleichermaßen bleiben sämtliche bisherigen Rechte der Verbraucher sowie Pflichten der Unternehmen bestehen.

Bedeutung für das Online-Marketing

Grundsätzlich stellt Online-Marketing nur einen Teilbereich der von der Datenschutz-Grundverordnung betroffenen Sphären dar. Doch je stärker ein Unternehmen auf Online-Marketing setzt, desto mehr hat es auf Konformität entsprechender Marketing-Tools mit der DSGVO zu achten. DSGVO-Compliance ist eine zentrale Anforderung für die Vertreiber von Online-Marketing-Tools. Die Online-Marketing-Abteilung jedes Unternehmens hat am firmenweiten Verzeichnis über Vorgänge der Datenverarbeitung mitzuwirken.

Formulierungen zum Zweck der Datenerhebung, Rechtfertigungen und Löschfristen sind damit Pflicht. Die Implementierung eines Konzepts zum Löschen der Daten kann einige Zeit in Anspruch nehmen, weshalb manchen Unternehmen dies bis zum Stichtag nicht gelungen ist. Für sämtliche personenbezogenen Daten ist zu definieren, wann diese zu löschen sind, bevor die Löschung auch tatsächlich in der Praxis umgesetzt wird.

Wer externe Marketing-Dienstleister beschäftigt, sollte sich überzeugen, dass die Datenverarbeitung DSGVO-konform verläuft. Von besonderer Bedeutung ist eine Möglichkeit eines Opt-outs, mit der Nutzer der Verarbeitung der Daten widersprechen können.

Von hoher Bedeutung sind auch nach außen deutlich DSGVO-konform formulierte Rechtstexte. Mangelnde oder unvollständige Datenschutzhinweise auf Internetseiten sind häufiger Grund für Anfragen von Kunden oder Behörden. Aus technischer Sicht erweist sich die Nutzung moderner Verschlüsselungstechnik als unverzichtbar. Stand der Technik ist der Standard SSL/TLS. Auch im Sinne der DSGVO ist die Nutzung entsprechend sicher gestalteter Seiten wichtig. Sowohl Juristen als auch IT-Experten betonen die Notwendigkeit. In der Praxis ist diese Verschlüsselungsform für den Transport sensibler Daten unverzichtbar. Dazu gehören beispielsweise sämtliche Webformulare, die personenbezogene Daten beinhalten. Bisher kam es zu keiner größeren Welle von Abmahnungen infolge tatsächlicher oder vermeintlicher DSGVO-Verstöße. Einzelne Abmahnungen weisen jedoch auf mögliche Fallstricke hin. Gerade fehlende Verschlüsselungen waren bereits Gegenstand von Abmahnungen.
Im Einzelfall ist im Online-Marketing abzuwägen, ob Werbeinteresse des Unternehmens oder Rechte des Empfängers überwiegen. Rechtssichere Prognosen sind dahingehend noch schwierig, bis Erfahrungswerte vorliegen. Ein wichtiges Kriterium ist die Einwilligung der Nutzer beziehungsweise Kunden. Diese birgt jedoch das Risiko, widerrufen zu werden. Einige der Änderungen im Zuge der Datenschutz-Grundverordnung machen es für Online-Marketing schwieriger. Andere können einen Vorteil darstellen, beispielsweise die grundsätzliche Anerkennung der Werbung als berechtigtes Interesse.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte