Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Ich habe Andreas Karl, einen Konzern-Datenschutzbeauftragten gefragt, was mit der DSGVO für Blogger zu erwarten ist, wo die Fallstricke für Blogger liegen und was es mit der Abmahnwelle auf sich hat.
In der Bloggerszene herrscht viel Unsicherheit zu dem Thema. Daher habe ich diese Fragen gestellt und mir ein eigenes Bild gemacht.
Als Sie das erste Mal von der DSGVO gehört haben. Woran haben Sie gedacht?
Als ich Anfang 2016 den ersten Draft der Verordnung vor ihrer Verabschiedung in der EU las, dachte ich: „Wow, da kommt was auf uns zu.“ Damit meinte ich den Aufwand. In dieser Verordnung wird von nun an grundlegend geklärt wie wir mit personenbezogenen Daten umgehen müssen. Damit stellt die EU einen hohen Anspruch an den Schutz des Einzelnen.
Um welche Daten geht es eigentlich?
Es geht um personenbezogene Daten von Bürgern. Es steht also die natürliche Person im Mittelpunkt. Mit personenbezogenen Daten sind alle Daten gemeint, die den Einzelnen aus einer Masse heraus identifizierbar machen. Eine Masse kann aus 10 oder besser 50 Personen bestehen. Es geht sowohl um direkte personenbezogene Daten wie Name, Vorname, E-Mail-Adresse, aber auch Indirekte wie KfZ-Kennzeichen oder IP-Adressen.
In den Medien findet man immer wieder die hohen Strafen bei Verstößen gegen die DSGVO (20 Mio €, 4 % vom Umsatz). Wie hoch ist das Risiko einer solchen Strafe?
Dazu kann ich ohne vorangegangene Entscheidungen der Aufsichtsbehörden keine Schätzung abgeben. Die Aufsichtsbehörden sind zum Teil selbst noch unsicher, wann ein Verstoß vorliegt, da es oft Auslegungssache ist. Ich sehe auch die Gefahr von Unterschieden innerhalb von Europa. Manche Aufsichtsbehörden in der EU finanzieren sich über Strafgelder. So sind sie eher motiviert Verstöße zu ahnden. Ich hoffe, dass die Europäische Datenschutzkommission an dieser Stelle ausgleichend und harmonisierend wirkt.
Erwarten Sie eine Abmahnwelle?
Auf jeden Fall, durch sog. Abmahnvereine – vor allem bei vorgeschriebenen Inhalten, z.B. in den Datenschutzerklärungen. Aber daher ist es umso wichtiger, dass die Datenschutzhinweise auf den Websites aktualisiert werden. Diese werden in unserer Firma nochmals von einer spezialisierten Anwaltskanzlei geprüft. Außerdem muss ein Datenschutzbeauftragter benannt und ein Formular zum Widerspruch angebunden sein.
Aber es wird sicherlich erstmal die „Großen treffen“. Ich denke, am 26.5.2018 wird es Beschwerden verschiedener Verbraucherverbände bei den Aufsichtsbehörden in der EU gegen Facebook und Co. geben. Dann wird man drei bis fünf Jahre warten müssen bis vielleicht schlussendlich der EuGH entschieden hat und mit welchen Bußgeldern wirklich gerechnet werden muss.
Erwarten Sie, dass Ihr Unternehmen zeitnah überprüft wird?
Auch das ist schwierig einzuschätzen. Einerseits haben die Aufsichtsbehörden nur limitierte Kapazitäten, andererseits kann es natürlich jederzeit zu einer Prüfung kommen. Wir bereiten uns jedenfalls ausreichend gut vor und werden die Bestimmungen ab dem 25.05.2018 einhalten.
Wir arbeiten alle mit Software, die auf der Website eingebunden ist. Wie gehe ich vor, um meine Software entsprechend der DSGVO anzupassen?
Sie sollten sich folgende Fragen stellen:
- Welche Software verwende ich zu welchem Zweck?
- Welche persönlichen Daten werden erhoben?
- Brauchen wir die wirklich alle?
- Brauchen wir sie in der Form?
Anschließend sollte eine Zustimmung des Nutzers, ein Vertrag oder ein berechtigtes Interesse bei der Nutzung der personenbezogenen Daten vorhanden sein.
Wenn Sie zum Beispiel die Nutzerdaten für Werbung, wie einen Newsletter, verwenden, muss es einen Erlaubnistatbestand geben. Also einen Vertrag oder eine Einwilligung per Double-opt-in oder ein legitimes Interesse um Werbung zu rechtfertigen.
Was sind die größten Fallstricke der DSGVO für Blogger und auf den meisten Websites?
- Mangelndes oder fehlendes Cookiebanner
- Fehlender Hinweis auf die Cookies in den Datenschutzhinweisen
- Datenschutzhinweise fehlen ganz
- Datenschutzhinweise müssen mit max. 2 Klicks erreichbar sein
- Keine Auskunfts-/Beschwerde-/Widerrufsmöglichkeit zur Datennutzung
Gute Beispiele für die Umsetzung von Datenschutzhinweisen sind die verständlichen Summaries der Telekom oder BMW, auf die danach je ein Langtext folgt.
Ich habe eine Mailingliste, die ich per Double-opt-in Verfahren eingesammelt habe. Darf ich diese weiterverwenden? Was muss ich beachten?
Wenn die Daten per Double-opt-in-Verfahren (DOI) eingesammelt wurden, ist nichts weiter nötig. Wenn aber Unsicherheit herrscht, ob wirklich alle per DOI gespeichert wurden, sollten die fraglichen Adressaten noch einmal angeschrieben werden. Diese Abonennten sollten erneut um Zustimmung gebeten werden, dass ihre Daten wirklich zu diesem Zweck verwendet werden dürfen. An diese Zustimmung darf übrigens nur einmal erneut per Mail erinnert werden.
Hinweis: Diese Nachfrage und die Erinnerung sollte keine Werbung beinhalten, sondern nur auf den Zweck und dem Ziel der Einverständnis hinweisen und erklären.
Ich biete meinen Newsletterabonnenten ein Freebie mit der Anmeldung an. Ist das weiterhin legal? Worauf muss ich hier achten?
Nach der DSGVO darf man nicht „bundeln“. Das heißt:
- Das Freebie muss allein zugänglich und ein Newsletter abgewählt werden können.
- Stillschweigen oder ein Opt-in als bereits angehakte Kästchen sind keine Zustimmung.
- Wenn der Zweck zur Datenverarbeitung erloschen ist, weil das Freebie ohne Newsletter erhalten wurde, muss die E-Mail-Adresse gelöscht werden.
Mit wem muss ich als Websitebetreiber üblicherweise einen Vertrag zur Auftragsdatenverarbeitung abschließen? Wo bekomme ich diesen her? Was muss ich da hineinschreiben?
So einen Vertrag gibt es als Auftragnehmervertrag oder Auftraggebervertrag. Er kann auf Deutsch oder Englisch abgeschlossen werden.
Mit dem Hostingvertrag sollte üblicherweise ein solcher Mustervertrag mitkommen. Oder man wendet sich an seinen jeweiligen Landesdatenschutzbeautragten, an Branchenverbände wie BITKOM oder die GDD (Gesellschaft für den Datenschutz), die ebenfalls Musterverträge anbieten.
Worauf muss ich bei den Social Share Plugins achten?
Die Nutzung solcher Plugins muss in den Datenschutzbestimmungen erwähnt und erklärt werden. Dort muss dann auch kenntlich gemacht werden, welche Daten gespeichert werden, dass dies freiwillig erfolgt und dass Daten an Dritte weitergegeben werden.
Ich verwende Google Analytics und habe die IP Adressen schon anonymisieren lassen. Was muss ich noch tun, um das Statistiktool datenschutzsicher zu machen?
Sofern das Statistik-Tool in den Datenschutzbestimmungen entsprechend erwähnt wird, ist das derzeit ausreichend.
Möglicherweise ändern sich diese Vorgaben mit der angekündigten E-Privacy-Richtlinie der EU (voraussichtlich zu Mai 2019).
Was ist ein Löschkonzept?
In Bezug auf die personenbezogenen Daten muss vor Beginn der Verarbeitung definiert werden, wie lange die jeweiligen Daten vorgehalten müssen und wann sie gelöscht werden. Es ist ein Schriftstück für die Schublade. Die Aufsichtsbehörde kann deren Einsicht verlangen.
Wenn ein Nutzer eine Löschung verlangt, muss diese aber sofort erfolgen, sofern keine anderen Regeln eine Aufbewahrung vorschreiben, wie z.B. im Steuerrecht.
Wie werde ich eventuell geprüft?
Nur die federführende Aufsichtsbehörde hat das Recht zu prüfen. Ein Nutzer in Malta, deren personenbezogene Daten verarbeitet wurden, muss zum Beispiel zu seiner Aufsichtsbehörde in Malta gehen, diese wiederum wendet sich an die zuständige Stelle in der EU, welche dann eine Stellungnahme einfordern kann.
Alle anderen können nicht selbst prüfen.
Was würden Sie kleinen Unternehmen empfehlen um die DSGVO noch umzusetzen? Datenschutzbeauftragten als Berater, Fachanwalt, Behörden, Website-Empfehlungen, Literatur?
In jeden Fall sind Branchenverbände ein guter Ansprechpartner, aber auch Verbraucherschutzverbände und BITKOM sowie die GDD mit ihrem Leitfaden für Kleinunternehmen.
Auch die Aufsichtsbehörden sind beratend tätig. Ein Nachteil ist jedoch, dass man sich damit unnötig in den Fokus bringt.
Ein Fachanwalt ist zu dem Thema derzeit schwer zu bekommen oder schlecht oder sehr teuer.
Was empfehlen Sie Verbrauchern in Bezug auf die DSGVO? Worauf sollten diese in Zukunft selbst achten um die DSGVO einzuhalten?
Jeder einzelne sollte bei der Nutzung personenbezogener Daten sensibel sein und sich fragen, ob diese Daten in der Qualität und Quantität tatsächlich notwendig sind. Es geht um Datensparsamkeit und -minimierung. Die DSGVO soll ein Dilemma lösen und dem Einzelnen wieder die Hoheit über seine persönlichen Daten zurückgeben.
Wir als Verbraucher sollten uns viel mehr Gedanken machen, was und wie wir eigentlich mit unseren Daten bezahlen. Stellen Sie sich doch einfach die Frage: Wozu stimme ich alles zu? Nicht nur online, auch beim Hausarzt? Wir sollten ein Bewusstsein dafür entwickeln die permanente und generelle Datenfreigabe in Frage zu stellen.
Bisher hat uns niemand den Umgang mit unseren Daten beigebracht. Wir sind alle irgendwie hinein gewachsen. Die eigenen Eltern haben keine Ahnung und die Schulen sind immer noch mit dem Overheadprojektor beschäftigt.
Nun schreitet der Gesetzgeber ein und das halte ich für sehr sinnvoll, da heute schon Menschen zum Beispiel durch Auswertung von massenhaft personenbezogenen Daten ggf. eine schlechtere Krankenversicherung bekommen, keine Kreditzusage erhalten oder vom Onlineversender einfach nicht mehr beliefert werden.
Herr Karl, vielen Dank für das informative Gespräch.
Danke für das Tolle Interview.
Ich fand die Antworten auf die gestellten Fragen wirkten sehr entspannt, das hat wirklich gut getan zu lesen.
Besonders Inspirierend fand ich die Links zu Telekom und BMW – schon länger suche ich nach guten Beispielen. Überall steht „Die Erklärung muss für jeden verständlich formuliert sein“ und dann hauen die meisten Generatoren einen 5-Seitigen Text in bestem Fachchinesisch raus, den man nur versteht, wenn man selber mit den Datenschutzbestimmungen kämpft 🙂
Ich hoffe es ist ok, wenn ich das Interview in meinem eigenen Beitrag verlinke!
Dankeschön!
Liebe Grüße > sara