Fit für die EU-DSGVO - Die wichtigsten Änderungen im Überblick

Wozu überhaupt die neue EU-DSGVO?

Für den perfekten Start in das neue Datenschutzgesetz, haben wir einen kompakten Guide mit Handlungsempfehlungen für Sie verfasst und uns auf die wesentlichen Aussagen der DSGVO fokussiert. Was genau Sie vor allem an der Datenschutzerklärung ändern müssen und was die DSGVO sonst noch für Sie bedeutet, erfahren Sie anhand unserer Checklisten. 

Am 11.06.18 hat das letzte Update des Artikels stattgefunden. Besonders der Themenbereich Cookies, sowie die Erläuterungen zum berechtigten Interesse wurden anhand aktueller News aktualisiert.

Heruntergebrochen soll die EU-DSGVO in erster Linie folgende drei Dinge mit sich bringen:

1. Ein einheitliches Datenschutzrecht in der EU, um grenzüberschreitenden Handel anzutreiben
2. Das Datenschutzrecht bzgl. moderne Technologien wie Cloud Computing aktuell zu halten
3. Der Verbraucher soll seine Grundrechte & Grundfreiheiten zurückerlangen, indem er bestimmt, ob und an wen er seine persönliche Daten weitergibt

Handlungsempfehlungen zur neuen EU-DSGVO

Bevor wir auf Änderungen bzgl. der konkreten Tools eingehen, gibt es vorweg einige allgemeingültige Informationen zur Datenverarbeitung zu beachten. In vielen Anwendungsgebieten der Datenverarbeitung gilt tendenziell, dass sobald Daten verarbeitet werden, die in einer gewissen Form auf eine explizite Person zurückzuführen sind, keine gesonderte Einwilligung erforderlich ist. Vielmehr erfolgt das Ganze indirekt durch ein berechtigtes Interesse des Online Händlers, um zielgerichtete Werbung zu schalten. Der Verweis auf das Widerspruchsrecht der Kunden, sowie die Benennung des berechtigten Interesses stehen somit anstelle einer Einwilligung.

Wie schon bisher dürfen personenbezogene Daten bspw. in Form von aufsummierten Statistiken, solange sie anonymisiert sind, verarbeitet werden. Gleiches gilt für erforderliche Daten, die zur Erfüllung eines Vertrages bzw. vorvertraglicher Anfragen mit der betroffenen Person nötig sind. Auch das Recht auf Berichtigung, Löschung oder Sperrung der Daten bleibt erhalten, aber wird insofern erweitert, dass Verantwortliche Mechanismen dafür bereitstellen, verlangte Daten auszuhändigen, zu berichtigen und zu löschen.

Was muss immer in jedem Fall gemacht werden?

Folgende allgemeine Informationspflichten müssen gesondert für jedes Tool, das mit Datenverarbeitung zu tun hat, in der Datenschutzerklärung genannt werden. Des Weiteren müssen die Nutzer zukünftig über diverse Rechte unterrichtet werden.

Tracking- und Analyse -Tools

Nutzen Sie Tracking Tools, um für verschiedene Zwecke das Verhalten der Website-Nutzer zu analysieren, so bedeutet das im Hinblick auf die DSGVO, dass Sie je nach Anwendung unterschiedliche Maßnahmen treffen müssen. Für alle gilt, dass Sie die Informationspflichten gesondert erweitern und eine Opt-Out Möglichkeit bereitstellen müssen. Im Folgenden haben wir die Handlungsmaßnahmen für die gängigsten Tools aufgeführt:

E-Mail Marketing

Beim E-Mail Marketing sollten zukünftig drei Prinzipien immer im Vordergrund stehen: Double-Opt in, also die zweifache Bestätigung durch den Nutzer; das Kopplungsverbot, welches verhindert, dass die Anmeldung erzwungen wird und die Möglichkeit zur einfachen Abmeldung, das Simplizitätsgebot. In Deutschland waren diese Grundsätze prinzipiell schon lange Voraussetzung. Die DSGVO ist daher die perfekte Gelegenheit, Ihr Setup noch einmal zu kontrollieren.  

Cookies

Die Rechtsgrundlage für technisch notwendige Cookies sollte per berechtigtem Interesse abgedeckt sein. Darunter fallen bspw. die Speicherung von Spracheinstellungen, Artikeln im Warenkorb etc.. Auch hier sollten jedoch die allgemeinen Informationspflichten innerhalb der Datenschutzerklärung eingehalten werden.

Handelt es sich um technisch nicht notwendige Cookies in Form von Analysezwecken wie eingegebene Suchbegriffe oder die Häufigkeit von Seitenaufrufen, wird zumindest ein expliziter Verweis benötigt, der den Nutzer darüber informiert, dass bei weiterer Nutzung der Website von einer Einwilligung seinerseits ausgegangen wird. In der Datenschutzerklärung sollten Sie auf die Option zur Deaktivierung von Cookies innerhalb des Browsers verweisen.

Beispiele für Cookie Leisten können wie folgt aussehen:

Variante 1: Accept/Decline Variante
Eine eher nutzerorienterte Variante ist die Leiste mit einem Hinweis zur Nutzung von Cookies inklusive dem Zweck dieser (in gekürzter Version - ähnlich wie in der Datenschutzerklärung), welche zwei Buttons enthält. Ein Button zum Einverständnis für die Verarbeitung von Daten via Cookies und ein Button zur Ablehnung der Speicherung von Cookies. Die Texte sind exemplarisch und müssen je nach Use-Case entsprechend angepasst werden.

Variante 2: Accept/View Variante
Eine andere Variante beinhaltet den Hinweis auf die Nutzung von Cookies mit nur einem Button zum Akzeptieren der Cookie- und Tracking-Richtlinien. Statt eines Ablehnen-Buttons wird zusätzlich ein Link auf die Datenschutzerklärung angefügt, auf dem der Nutzer sich über die Möglichkeiten zum Abmelden informieren kann. Diese Variante verringert die Chance eines Opt-Outs und erhöht damit die Wahrscheinlichkeit, die Nutzerdaten weiterhin für Analysezwecke nutzen zu können. 

Häufige Fragen

Was ändert sich an Verträgen mit Dienstleistern?

Im Hinblick auf die Auftragsverarbeitung (vorher Auftragsdatenverarbeitung) ändert sich nichts an der Tatsache, dass sobald im Auftrag eines Verantwortlichen (bspw. Google oder Facebook) Daten verarbeitet werden, ein Vertrag mit diesem abgeschlossen werden muss. Was sich allerdings ändert, ist die Möglichkeit, Verträge nun auch auf elektronischem Wege abzuschließen. Dies war durch das Bundesdatenschutzgesetz ausschließlich per Papier möglich.
Beispiel eines Vertragsschlusses in Google Analytics unter Verwaltung (Zahnrad) und Kontoeinstellungen:

Nutzen Sie den Google Tag Manager, Google Optimize, Google Attribution oder Google Data Studio, muss dies für jedes einzelne Tool erfolgen. Gleiches gilt nach aktuellem Stand z.B. auch für Agenturen.

Benötige ich einen Datenschutzbeauftragten?

Kurz zusammengefasst lässt sich sagen, dass ein Unternehmen einen Datenschutzbeauftragten benötigt, sobald mehr als 10 Personen an der Verarbeitung personenbezogener Daten beteiligt sind. Nach der Benennung müssen die Kontaktdaten der Person veröffentlicht werden. Es reicht aus, diese in der Datenschutzerklärung aufzuführen. Genaueres zur Bestimmung eines Beauftragten, sowie zu seinen Aufgabenbereichen finden Sie hier.

Was ist eine Datenschutz-Folgenabschätzung und benötige ich diese?

Die Datenschutz-Folgenabschätzung dient als schriftliche Einschätzung des Risikos beim Verarbeiten personenbezogener Daten. Unternehmen, die zum Beispiel aufgrund neuer Technologien ein hohes Risiko für die Rechte des Verbrauchers mit sich bringen, müssen die vorgesehenen Arbeitsvorgänge zum Schutz personenbezogener Daten dokumentieren. In welchen Einzelfällen eine solche Folgenabschätzung angelegt werden muss und was diese enthalten muss, finden Sie im Folgenden:

Was bedeutet die Dokumentationspflicht von Verarbeitungsvorgängen?

Für alle Online Händler und fast jeden Werbetreibenden gilt außerdem die Rechenschaftspflicht nachzuweisen, dass man die Datenschutzgesetze einhält. Dazu müssen Dokumentationen und Datenverarbeitungsvorgänge jederzeit den Behörden ausgehändigt werden können. Die entsprechenden Daten sollten möglichst mit der jeweiligen Verarbeitungsart (Vertrag, Opt-in etc.) in beliebiger Form aufgelistet werden. Es bietet sich daher an, die Einhaltung der Rechenschaftspflicht an das Verzeichnis der angewandten Verarbeitungstätigkeiten zu knüpfen, da diese Informationen ohnehin in diesem Verzeichnis gelistet werden müssen. Dies betrifft nur Unternehmen, die regelmäßig personenbezogene Daten verarbeiten oder Unternehmen, die mehr als 250 Personen beschäftigen.

Welche Folgen kann ein Verstoß bedeuten?

Verstöße können im Groben zwei verschiedene Ursachen und Folgen haben. Dabei kann man zwischen Geldbußen und Schadensersatz unterscheiden:

1. Geldbußen

Realistisch betrachtet wird dieser Fall nur überschaubar oft vorkommen, da den Behörden die man-power fehlt, um großflächige Kontrollen durchzuführen. So zeigte es zumindest die Vergangenheit. Geldbußen wurden in der neuen DSGVO bewusst als Abschreckung formuliert. Gesprochen wird hier von Sanktionen in Höhe von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes. Größeres Risiko besteht in erster Linie darin, dass einzelne Verbraucher sich auf ihr Recht berufen. Womit wir beim Thema Schadensersatz wären.

2. Schadensersatz

Der Verbraucher ist je nach Unternehmen und Schwere der Rechtsverletzungen dazu berechtigt, den Verantwortlichen zu verklagen. Dazu muss der Betroffene keine unmittelbaren ökonomischen Nachteile erlitten haben. Da keine Erlaubnis zur Datenverarbeitung erteilt wurde, handelt es sich vielmehr um einen seelisch erlittenen Schaden. Somit besteht ein gewisses Risiko, dass Verbraucher Interessensgemeinschaften gründen, um möglichst viele vermeintlich geschädigte Verbraucher zu vereinen. Anschließend wäre es nicht ausgeschlossen, dass die Behörden auf betroffene Unternehmen aufmerksam werden und ggf. genannte Geldbußen drohen. Wie hoch die Beträge für welchen Schweregrad letztendlich werden, hängt von den zuständigen Gerichten ab und wird sich erst noch zeigen.

Glossar zur neuen DSGVO

Was sind Beispiele für personenbezogene Daten?

• Name, Adresse und eindeutige Kennnummern wie Sozialversicherungsnummern
• Demografische Daten wie Alter, Geschlecht, Einkommen oder sexuelle Orientierung
• Verhaltensdaten wie Suchanfragen, Einkaufshistorie usw.
• Soziale Daten aus Netzwerken, E-Mails usw.
• Sensordaten aus der Biometrik, von Fitness Trackern usw.
• Benutzergenerierte Daten wie Fotos, Videos, Blogs oder Kommentare.

Was ist das Recht auf Vergessenwerden / Datenübertragbarkeit?

Eine neue besondere Ausformung des Löschungsrechts ist das Recht auf Vergessenwerdens, welches vor allem personenbezogene Daten in Suchmaschinen betrifft. Unternehmen sind dadurch verpflichtet, jegliche gewünschte Links und Kopien solcher Daten zu löschen. Auch das Recht auf Datenübertragbarkeit ist neu und besagt, dass der Verbraucher Daten, die das Unternehmen über ihn gespeichert hat, verlangen kann. Dazu zählt bspw. auch die Bestellhistorie. Die Aushändigung muss als gängiges, maschinenlesbares Format wie einer CSV-Datei vorliegen.

Was versteht man unter berechtigtem Interesse?

Für gegenwärtig verarbeitete Daten gilt:
Durch berechtigtes Interesse der Verantwortlichen kann die Verarbeitung personenbezogener Daten begründet sein, solange die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Darunter können bspw. rechtliche, wirtschaftliche oder auch ideele Interessen fallen. Die Gewichtung ist aktuell noch schwer einzuschätzen und lässt sich nicht aus der DSGVO heraus bestimmen. Eine Gleichgewichtung der Interessen beider Parteien bedeutet allerdings, dass Unternehmen weiterhin die Daten der Nutzer verarbeiten dürfen.

Im Folgenden finden Sie einige Beispiele für berechtigte Interessen sowie Voraussetzungen, die für die Verarbeitung personenbezogener Daten unter dem Vorwand des berechtigten Interesses sprechen:

Was ist das Kopplungsverbot / Simplizitätsgebot?

Kopplungsverbot

Das neu verordnete Kopplungsverbot bedeutet, dass das Einverständnis des Nutzers nicht an eine Vertragsabwicklung gebunden sein darf und ein Newsletter kein Pflichtfeld mehr sein darf. Für alte Einwilligungen gilt es lediglich, den Aspekt der Freiwilligkeit und der Altersgrenze von 16 Jahren einzuhalten. Anderenfalls sind die alten Einwilligungen nicht mehr gültig. Ausgenommen von diesem Verbot sind kostenlose Dienstleister wie z.B. Freemail oder Gewinnspiele.

Simplizitätsgebot

Ebenfalls neu ist das Simplizitätsgebot, welches dafür da ist, dass eine Einwilligung genau so leicht widerrufen werden können muss, wie sie eingewilligt werden konnte. Am naheliegendsten ist hier die Lösung eines "Unsubscribe Buttons". 

Was versteht man unter einer Einwilligung zur Datenverarbeitung?

Eine Einwilligung wird nach der neuen Definition als freiwillige Willensbekundung verstanden, welche von einer einwilligungsfähigen Person (älter als 16 Jahre) erteilt oder verneint werden kann. Die dbzgl. Erklärung muss dabei zwangsläufig darüber aufklären, zu welchem Zweck und von wem die personenbezogenen Daten verarbeitet werden und somit eine informierte Entscheidung ermöglichen. Das Zustimmen an sich kann abschließend bestenfalls mit dem Zeitpunkt ("timestamp"), einer gekürzten IP-Adresse und über Double-Opt-In, bestätigt und in einer Datenbank protokolliert werden. Für alte Einwilligungen gelten keine neuen Bestimmungen, allerdings müssen die Altersgrenze und der Aspekt der Freiwilligkeit abgedeckt werden.

Was besagt das Widerspruchsrecht?

Betroffene Verbraucher sind jederzeit dazu berechtigt, Widerspruch gegen die Verarbeitung personenbezogener Daten einzulegen. Als Konsequenz muss die Verarbeitung dieser Daten eingestellt werden - es sei denn, es können schutzwürdige Gründe für die Verarbeitung nachgewiesen werden, die die Interessen, Rechte und Freiheiten der Person überwiegen. Wichtig hierbei ist, dass die betroffene Person in separater und verständlicher Form darüber unterrichtet werden muss.

Was sind Opt-Out Links zur Verhinderung der Datenverarbeitung?

Ein Opt-Out Link steht im Zusammenhang mit einer besonderen Form des Einwilligungsverfahrens. Wird ein solcher Link bereitgestellt, so wird davon ausgegangen, dass der Nutzer damit einverstanden ist, dass er mittels Web-Analyse Tools erfasst wird. Der beigefügte Link soll die Option bieten, die entsprechenden Dienste zu deaktivieren.

Welche neuen Informationspflichten gehören in die Datenschutzerklärung?

Kurz und knapp muss die Datenschutzerklärung in erster Linie vor allem um neue Informationspflichten erweitert werden. Wie bereits in den Handlungsempfehlungen erwähnt, müssen einige Aspekte gesondert für jede Anwendung genannt werden. Ebenso muss, falls vorhanden, der Datenschutzbeauftragte inklusive Kontaktdaten genannt werden. Die wichtigsten Aspekte finden Sie in den Checklisten unter den jeweiligen Tools oder dem Punkt "Was muss immer in jedem Fall gemacht werden?".

Welche neuen Auskunftspflichten müssen eingehalten werden?

Außerdem hat der einzelne Verbraucher das Recht, personenbezogene Daten eines Unternehmens, sofern diese erhoben werden, zu verlangen. Mit der DSGVO wurden die anzugebenen Informationen verschärft und weiter ausgebaut. Wichtig ist, dass die Auskunft in solch einem Fall innerhalb eines Monats erfolgt sein muss.

Disclaimer

Wir sind keine Rechtsberatung und auch keine Datenschutzbeauftragten. Wir stellen für Sie Informationen zur DSGVO nach bestem Wissen und Gewissen zusammen, die wir an verschiedenen Stellen gefunden haben (z.B. offizielle DSGVO-Richtlinie, IT-Rechts-Websites, etc.). Außerdem fokussieren wir uns vor allem auf digitale Berührungspunkte, bzw. das, was öffentlich sichtbar ist. Insbesondere größere Organisationen müssen auch noch einige zusätzliche Maßnahmen beachten, um künftig DSGVO-konform aufgestellt zu sein.