top of page
Suche

DSGVO – Das ändert sich für Online Unternehmer

  • Autorenbild: Christian Woll
    Christian Woll
  • 9. Mai 2018
  • 8 Min. Lesezeit

Bestimmt hast du inzwischen auch von der neuen DSGVO gehört – dem Schwert, das über allen schwebt. Zurzeit ist die DSGVO in aller Munde und auch ich möchte zu dem Thema spezielle für Online Unternehmer mal informieren. Warum das Thema jetzt so wichtig ist? Weil es langsam ernst wird: Bis zum 25. Mai 2018 müssen die neuen Anforderungen umgesetzt sein, sonst kann es richtig teuer werden. Aber was beinhaltet die DSGVO überhaupt, gilt sie auch für dich und was musst du tun, um den neuen Ansprüchen zu genügen?

Fangen wir mit dem Begriff an: DSGVO bedeutet DatenSchutzGrundVerOrdnung. Hierbei handelt es sich um eine Verordnung der Europäischen Union, um die Regeln zur Verarbeitung personenbezogener Daten zu vereinheitlichen.

Bisher wurde das Datenschutzrecht durch die Richtlinie 95/46/EG geregelt (von 1995), die von den einzelnen EU-Mitgliedstaaten selbstständig in nationales Recht umgewandelt wurde. Im Gegensatz dazu gilt die neue Verordnung unmittelbar in den Mitgliedstaaten. Zwar gibt es verschiedene Öffnungsklauseln, über die die Verordnung national angepasst werden kann, in der Regel ist es den Mitgliedstaaten aber nicht erlaubt, den durch die DSGVO festgelegten Datenschutz abzuschwächen oder zu verstärken.

Wichtig: Diese neue Verordnung gilt nicht nur für öffentliche Stellen oder große Unternehmen. Jedes Unternehmen, das im Internet aktiv ist, ist von der DSGVO betroffen. Das gilt auch für Unternehmen, die außerhalb der EU sitzen, aber mit Daten von Kunden aus der EU arbeiten.

Das bedeutet: Auch wenn du deinen Hauptsitz in Bali hast wenn

du in die EU verkaufst, Newsletter-Abonnenten aus der EU hast oder ähnliches, bist du von der DSGVO betroffen.

Auch von der Größenordnung her wird es keine Ausnahmen geben. Auch wenn du dein Unternehmen als Einzelperson betreibst: Sobald du persönliche Daten verarbeitest, unterliegst du den Anforderungen der DSGVO.

Was sind „personenbezogene Daten“?


Personenbezogene Daten sind – wie der Name schon vermuten lässt – Daten, die auf die Identität einer bestimmten Person hinweisen. Hierbei handelt es sich nicht nur um Telefonnummer, Name, Anschrift und E-Mail Adresse. Auch ein Nickname im Internet, unter dem die Person bekannt ist, kann bereits dazugehören, wenn die Person darüber eindeutig identifiziert werden kann. Weitere Daten sind Geburtstag, das KfZ-Kennzeichen, die Kontodaten, aber auch Standortdaten, Cookies und die IP-Adressen.


Was gilt eigentlich alles als Datenverarbeitung?


Zur Datenverarbeitung gehört alles, was du dir im Zusammenhang mit Daten vorstellen kannst. Um nur eine Auswahl zu nennen:

  • Erheben

  • Speichern

  • Verändern

  • Verwenden

  • Übermitteln

  • Löschen

  • Vernichten

  • etc.

Ab wann gilt die DSGVO?


In Kraft getreten ist die DSGVO schon am 25.05.2016. Angewandt werden muss sie ab dem 25.05.2018. Dann ist der Umsetzungszeitraum zu Ende.


Aufpassen: Das bedeutet nicht, dass du ab dem 25. Mai diesen Jahres mit der Umsetzung anfangen musst! Es bedeutet, dass du an diesem Datum alle Anforderungen umgesetzt haben solltest!

Was aber ändert sich denn nun genau für Online Unternehmer? Die gute Nachricht: Wenn du dich bereits an die deutschen Datenschutzstandards nach dem Telemediengesetz (TMG) und Bundesdatenschutzgesetz (BDSG) hältst, halten sich die Anpassungen in Grenzen. In Deutschland haben wir bereits einen hohen Standard im Datenschutz. Trotzdem muss auch unser BDSG angepasst werden, da viele der bisherigen Vorschriften nicht mehr gelten.

Du als Online Unternehmer solltest dir die folgenden Fragen beantworten können und die Antworten dokumentiert haben:

  • Wie sehen meine Datenverarbeitungsprozesse aus?

  • Wie und wo speichere ich die Daten meiner Kunden?

  • Habe ich für meine Marketingtätigkeiten wirksame Einwilligungen eingeholt?

  • Wenn jemand eine Einwilligung widerruft – z.B. beim Newsletter – werden dessen Daten dann automatisch gelöscht?

  • Wer ist für mich ein Auftragsverarbeiter?

  • Habe ich mit jedem meiner Auftragsverarbeiter einen Vertrag?

  • Welche Analysetools setze ich auf meiner Webseite ein?

  • Habe ich alle Punkte (Plugins, Tracking Tools, Kontaktformulare, Newsletter etc.) in meiner Datenschutzerklärung berücksichtigt, sowie verständlich, richtig und ausführlich erklärt?

Datensicherheit


Bevor wir näher auf die genannten Bereiche eingehen, sehen wir uns die Grundsätze der Datensicherheit genauer an. Auch bisher gab es bestimmte Vorschriften, die weiterhin gelten und lediglich erweitert, neu geschrieben oder unverändert übernommen wurden.

Verbot mit Vorbehalt einer Erlaubnis

Grundsätzlich ist es verboten, personenbezogene Daten zu verarbeiten. Dieses Verbot wird ausgesetzt, wenn du eine Erlaubnis hast. Die Erlaubnis kannst du auf unterschiedlichen Wegen erhalten, z.B.:

  • durch ein Gesetz (z.B. die DSGVO, BDSG, TMG)

  • durch die Einwilligung der betroffenen Person

Ein Beispiel für die Einwilligung der betroffenen Person ist z.B. der Double Opt-In bei einem Newsletter. Später werden wir uns genauer damit beschäftigen, wie du Einwilligungen korrekt einholst.

Datenminimierung

Bei der Erhebung der Daten ist Sparsamkeit angesagt. Das bedeutet, du darfst nur Daten abfragen und verwenden, die du zur Ausführung auch wirklich benötigst. Alles was darüber hinausgeht, unterliegt dem Verbot zur Datenverarbeitung.

Zweckbindung und Zweckänderung

Du darfst die erhobenen Daten grundsätzlich nur in dem Kontext verwenden, für den du sie erhoben hast. Außerdem muss der Verbraucher genau darüber aufgeklärt werden, wofür du die Daten verwendest. Unter bestimmten Umständen ist jedoch eine Zweckänderung möglich, z.B. wenn die betroffene Person dazu eingewilligt hat. In jedem Fall müssen die betroffenen Personen darüber ausführlich aufgeklärt sein.


Bei der Datensicherheit gibt es einen neuen Grundsatz, der mit der DSGVO kommt (Artikel 32):


Der Datenverarbeiter (also du) muss gewährleisten, dass die personenbezogenen Daten entsprechend geschützt sind. Das Niveau des Schutzes orientiert sich dabei an der Schutzbedürftigkeit der personenbezogenen Daten, dem Stand der Technik, den Implementierungskosten und weiteren Umständen. Gibst du die Daten zur Verarbeitung weiter (z.B. wenn du einen externen Dienst für deinen Newsletter nutzt), bist du dafür verantwortlich, dass die Sicherheit auch über diesen Dienstleister gewährleistet ist. Mehr dazu im Abschnitt Auftragsdatenverarbeitung.

Neben den Grundsätzen gibt es auch einige Neuerungen, die in der DSGVO teils erstmalig festgehalten werden. Einige Anforderungen kennst du vielleicht schon, mit der DSGVO werden sie aber verbindlich und müssen von allen betroffenen Unternehmen umgesetzt werden.

Das Recht auf Vergessen werden

Das Recht auf Vergessen werden hast du vielleicht schon mal im Zusammenhang mit Google gehört. Jede in der EU ansässige Person hat das Recht, die Suchmaschine anzuschreiben und zu fordern, dass bestimmte Suchergebnisse (unter bestimmten Voraussetzungen) aus dem Google Register gelöscht werden.

Weniger bekannt ist die Tatsache, dass in der EU ansässige Personen dieses Recht gegenüber allen Unternehmen haben, die personenbezogene Daten verarbeiten.

In der DSGVO gibt es dafür nun zum ersten Mal eine eigenständige Regelung (Artikel 17). Dort sind auch die Gründe aufgelistet, unter denen das Recht auf vergessen werden greift. Die wichtigsten drei Gründe:

  • Der Grund der Datenverarbeitung existiert nicht mehr

  • Die Person hat ihre Einwilligung widerrufen

  • Die Datenverarbeitung war unrechtmäßig

Auch du bist verpflichtet, die persönlichen Daten deiner Kunden zu löschen, sofern einer der Gründe zutrifft.

Das Recht auf Datenübertragbarkeit

Datenverarbeiter sind jetzt dazu verpflichtet, die gespeicherten personenbezogenen Daten auf Verlangen in einem gängigen Format auszuhändigen, bzw. an einen anderen Verantwortlichen weiterzugeben. Dies kann zum Beispiel wichtig werden, wenn die betreffende Person zu einem anderen Anbieter umziehen, die Bank oder den Arbeitgeber wechseln möchte.

Die Rechenschaftspflicht

Nach Artikel 5 der DSGVO sind Datenverantwortliche verpflichtet, nach Aufforderung die Einhaltung aller Datenschutzprinzipien nachzuweisen. Ansonsten drohen hohe Bußgelder von bis zu 20 Millionen Euro!

Achte also darauf, die Einhaltung der Datenschutzanforderungen zu dokumentieren, damit du sie auf Anfrage nachweisen kannst. Das machst du am Besten über das sogenannte „Verzeichnis über Verarbeitungstätigkeiten“, dessen Führung ohnehin jetzt verpflichtend wird. Das Verzeichnis bietet sich als DAS zentrale Instrument für deinen Datenschutz an!

Wie du wirksame Einwilligungen einholst

Oben haben wir die Einwilligungen bereits angesprochen (Double Opt-In für Newsletter). Jetzt sehen wir uns genauer an, wie diese Einwilligungen aussehen müssen. Folgende Grundregeln müssen beachtet werden:

  • Form

  • Opt-In statt Opt-Out

  • Die Einwilligung muss freiwillig erfolgen

  • Zweckgebunden

  • Nachweisbarkeit / Protokollierung

  • Möglichkeit zum Widerruf

Form

Erlaubt sind sowohl mündliche, als auch schriftliche oder elektronische Einwilligungen. Da du aber auch dazu verpflichtet bist, die Einhaltung der Anforderungen ggf. nachzuweisen, solltest du auf mündliche Einwilligungen verzichten. Geh auf Nummer sicher und hole schriftliche oder elektronische Einwilligungen ein, die du ablegen und ggf. vorweisen kannst. Zudem darf der Einwilligungstext nicht in einem Fließtext untergehen und er sollte auch nicht „versteckt“ in Verträge oder AGB eingebunden werden.

Opt-In statt Opt-Out

Wenn du in einem Shop etwas bestellst, hast du sicherlich schon einmal gesehen, dass das Kästchen für „Ja, ich möchte den Newsletter erhalten“ bereits per default angehakt war. Willst du den Newsletter nicht haben, musst du den Haken aktiv entfernen. Das nennt sich Opt-Out und ist nach der DSGVO verboten. Der Grund ist einfach: Übersieht der Kunde das Feld, wird er ohne rechtskräftige Einwilligung und ohne sein Wissen eingetragen.

Deshalb muss der Weg des Opt-In gewählt werden – der Kunde muss den Haken aktiv setzen und den Newsletter ganz bewusst abonnieren.

Die Einwilligung muss freiwillig erfolgen

Dieser Absatz gilt besonders, wenn du bisher Freebies genutzt hast, um deine Newsletter-Liste zu füllen. Das ist ab dem 25. März 2018 nämlich vorbei. Die DSGVO schreibt vor, dass die Einwilligung zur Datenerhebung (wie sie bei der Eintragung in den Newsletter erfolgt) nicht mehr erzwungen werden darf. Das bedeutet, du musst dein Freebie auch ohne die Eintragung der E-Mail Adresse zur Verfügung stellen. Die Eintragung in deinen Newsletter kann zusätzlich und freiwillig erfolgen, darf aber keine Bedingung sein, um das kostenlose Produkt zu erhalten.

Zweckgebunden

Die Einwilligung muss immer zweckgebunden sein. Wenn der Kunde sich also in deinen Newsletter einträgt, um über dein neues eBook zu Thema X informiert zu werden, darfst du ihn nicht in den Funnel für deinen Online Kongress zum Thema Y eintragen. Der Abonnent muss genau aufgeklärt werden, für welchen Zweck er seine Daten hergibt. Brauchst du seine Daten für einen anderen Zweck, musst du die Einwilligung erneut einholen und auch bei der zweiten Abfrage genau angeben, wofür du die Daten erhebst. Eine Generaleinwilligung ist nicht rechtskräftig. Zu verschiedenen Verarbeitungsvorgängen brauchst du also unterschiedliche Einwilligungen.

Nachweisbarkeit

Wie bei der Form schon erwähnt, musst du nachweisen können, dass du die Einwilligung eingeholt hast. Deswegen rate ich noch einmal von mündlichen Einwilligungen ab. Im Zweifelsfall kannst du es nicht beweisen und da du in der Pflicht stehst, sichere dich lieber mit der schriftlichen Form (postialisch oder elektronisch) ab. Die meisten Newsletter-Tools bieten die Möglichkeit, den Einwilligungstext zusammen mit dem jeweiligen Namen oder der E-Mail-Adresse, sowie dem Eingabezeitpunkt (timestamp) gespeichert werden.

Möglichkeit zum Widerruf

Die betroffene Person hat jederzeit das Recht, ihre Einwilligung zu Widerrufen. Deine Aufgabe ist es, ihr diesen Widerruf so einfach wie möglich zu machen. Gehen wir nochmal auf das Beispiel des Newsletters ein: Achte hier darauf, in jeder E-Mail einen leicht auffindbaren und funktionierenden Unsubscribe-Link anzubieten.

Was ist mit alten Einwilligungen?

Wenn du alte Einwilligungen von Kunden hast, die den bisherigen Anforderungen des BDSG (Bundesdatenschutzgesetz) und TMG (Telemediengesetz) entsprechen, gelten sie auch weiterhin. Du musst also nicht alle Einwilligungen neu einholen. Im Klartext, wenn du die „alten“ Einwilligungen nachweisen kannst – super. Falls du bislang ohne Double Opt-In gearbeitet hast, schreib deine Liste einfach an und hole das nach.


Ausnahme: Einwilligungen von Minderjährigen (unter 16 Jahre) sind nur wirksam, wenn die Eltern einverstanden sind.

Musst du deine Datenschutzerklärungen anpassen?

Kurz gesagt: Ja!

Bislang war es nicht erforderlich, so detailliert auf die einzelnen Punkte einzugehen. Die DSGVO hat klare Anforderungen an die Aufklärung und Belehrung betroffener Personen. Das bedeutet, dass du deine Datenschutzerklärung in jedem Fall überprüfen solltest.

Jeder, der deine Datenschutzerklärung liest, muss verstehen, an welcher Stelle, von wem, warum und welche Daten erhoben werden, was genau damit passiert und welche Rechte er hat. Das alles muss in einer leicht verständlichen Sprache verfasst werden (also keine Juristensprache). Hinzu kommt, dass du bei bestimmten Tracking-Tools den Nutzer darauf aufmerksam machen musst, dass er dem Tracking widersprechen kann. Dafür musst du eine Opt-Out Möglichkeit vorhalten.

Zusammengefasst geht es hier um:

  • Präzision

  • Transparenz

  • Verständlichkeit

  • leichte Zugänglichkeit (also nicht versteckt auf der Seite – am besten ein eigener Tab im Header oder Footer deiner Seite)

Auftragsverarbeitung

Auch für die „alte“ Auftragsdatenverarbeitung – jetzt Auftragsverarbeitung (Data-Processing-Agreement), kurz AV – gelten nun einheitliche Anforderungen innerhalb der EU. Die AV wird für dich interessant, wenn du zum Beispiel Newsletter-Tools, einen Webhoster, Cloud-Dienste, Freelancer oder andere Software-as-a-Service Leistungen nutzt. Vermutlich trifft dies für die meisten aus dem Online Business zu. Durch den Vertrag zwischen dir und dem Auftragsverarbeiter wird die Datenweitergabe der Kundendaten quasi legitimiert.

Neu ist, dass falls der Auftragsverarbeiter selbst Subunternehmer einsetzt, dieses in dem AV-Vertrag erwähnt sein und du dem zustimmen musst. Es ergibt sich dann eine Kette: Zwischen dir und dem AV-Vertrag zum Auftragsverarbeiter, sowie vom Auftragsverarbeiter wiederum per AV-Vertrag zu seinem Auftragsverarbeiter.

Besondere Voraussetzungen müssen erfüllt werden, wenn der Auftragsverarbeiter seinen Sitz in einem Drittland hat, wie z.B. MailChimp. Dann muss neben dem AV-Vertrag auch noch eine der folgenden Voraussetzungen vorliegen:

  • Das Datenschutzniveau in dem Land muss angemessen sein. Das sind derzeit:

    • Andorra

    • Argentinien

    • Kanada (eingeschränkt)

    • Schweiz

    • Färöer-Inseln

    • Guernsey

    • Israel (eingeschränkt)

    • Isle of Man

    • Jersey

    • Neuseeland

    • Uruguay

    • USA, für alle dort ansässigen Unternehmen, die nach dem Privacy-Shield-Abkommen zertifiziert sind (MailChimp ist es )

  • Liegt kein angemessenes Datenschutzniveau vor, gibt es bestimmte Regularien, denen sich die Unternehmen selbst unterwerfen können und Standardklauseln. Das muss dann im Einzelfall geprüft werden.

Wie setze ich das alles am Besten um?

Für die Umsetzung hast du mehrere Möglichkeiten. Zum einen kannst du im Internet nach passenden Whitepapers, Artikeln und Beiträgen zu dem Thema suchen. Oder du suchst dir die entsprechende Fachliteratur zusammen und filterst die für dich relevanten Inhalte heraus.

Eine andere Möglichkeit ist es, dich an einen Datenschutzbeauftragten zu wenden, der dir hilft, all deine Prozesse datenschutzkonform zu überarbeiten.

 
 
 

Comentarios

bottom of page