DSGVO - Zusammenfassung wichtiger Infos

Aus Marketing United
Wechseln zu:Navigation, Suche
DSGVO Zusammenfassung
Dieser Artikel hilft dir den Zauberwürfel DSGVO zusammenzubauen.

[Letztes Update: 25.9.2018]
Die EU-Datenschutzgrundverordnung (abgekürzt DSGVO) regelt den Umgang mit personenbezogenen Daten und trat nach zweijähriger Übergangsfrist am 25. Mai 2018 EU-weit in Kraft. Sie ist strenger als das bisherige Bundesdatenschutzgesetz (BDSG) und gilt für alle Unternehmer, die in der EU personenbezogene Daten verarbeiten.

Offizielles Ziel der DSGVO ist, dass die Bürger ihre Daten besser kontrollieren können und Unternehmen von Wettbewerbsgleichheit profitieren.

Dieser Artikel beantwortet häufige Fragen rund um die Grundverordnung, sammelt Tipps und Informationspakete zur praktischen Umsetzung und listet auch Kritik an der Grundverordnung.

Ein WordPress-Plugin für die DSGVO-konforme Umsetzung von Tracking-Pixeln (zum Beispiel dem Facebook Pixel) ist Pixelmate*.


Hinweis:
Dieser Artikel ist eine Informations-Sammlung von Nicht-Juristen rund um die DSGVO. Die Infos sind weder eine Rechtsberatung, noch ersetzen sie diese.

1 Abkürzungen

  • AV = Auftragsverarbeitung (ehemals Auftragsdatenverarbeitung, ADV)
  • BDSG = Bundesdatenschutzgesetz
  • DPA = Data Processing Addendum (manchmal auch "Data Processing Agreement") (englische Übersetzung von "Auftragsverarbeitungs-Vertrag")
  • DSGVO = Datenschutzgrundverordnung
  • GDPR = General Data Protection Regulation (englische Übersetzung von "Datenschutzgrundverordnung")
  • PBD = Personenbezogene Daten
  • TOM = Technische und organisatorische Maßnahmen zum Datenschutz
  • VV = Verzeichnis von Verarbeitungstätigkeiten

2 Häufige Fragen

2.1 Für wen gilt die DSGVO?

  • Die DSGVO gilt für alle Unternehmer, die in der EU personenbezogene Daten verarbeiten. Sie gilt auch für Kleinunternehmer.
  • Die DSGVO gilt für alle in der EU tätigen Unternehmen, egal wo sie ansässig sind[1]. Somit müssen sich zum Beispiel auch amerikanische Firmen, die sich an europäische Kunden wenden, an die Grundverordnung halten.

2.2 Was ist das Ziel der DSGVO?

Ziel der DSGVO ist, dass

  • die EU-Bürger eine bessere Kontrolle über ihre Daten haben
  • Unternehmen von Wettbewerbsgleichheit profitieren (vor der DSGVO gab es Wettbewerbsverzerrungen durch unterschiedliche nationale Datenschutzbestimmungen)
  • durch hohe Bußgelder die Durchsetzbarkeit des Datenschutzes verbessert wird[2].

Die Datenschutzgrundverordnung soll das Verbrauchervertrauen erhöhen und so die Unternehmen fördern.[1].

2.3 Was heißt „Datenverarbeitung“?

Die DSGVO regelt die Verarbeitung personenbezogener Daten. Zur Datenverarbeitung gehören beispielsweise:

  • Datensammlung
  • Datenspeicherung
  • Datenverwaltung
  • Datenverwendung
  • Datenaufbereitung
  • Datenauslesen

Dr. Stephan Gärtner sagt, dass jeder Umgang mit personenbezogenen Daten eine Datenverarbeitung ist.[3]
Achtung: Somit ist auch bereits das reine Betrachten von personenbezogenen Daten auf dem Bildschirm oder auf einem Papier eine "Datenverarbeitung".[4]

Beispiele für Datenverarbeitungen:

  • Bezahlvorgänge über Zahlungsdienstleister
  • Entgegennehmen einer Visitenkarte
  • Datensicherung
  • Führen einer Mitarbeiterliste
  • Newsletter-Versand
  • Hosting von Websites

2.4 Was sind personenbezogene Daten?

Zum Einstieg 3 Definitionen, was personenbezogene Daten sind:

  • RA Dr. Stephan Gärtner:
    „Personenbezogene Daten sind Informationen über menschliche Wesen.“[3]
  • Mittwald:
    „Daten gelten dann als personenbezogen, wenn mit ihrer Hilfe eine natürliche Person theoretisch identifiziert werden kann.“[2]
  • Offizielle Definition nach DSGVO:
    „Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“[5]

Personenbezogene Daten sind beispielsweise:

  • Namen
  • E-Mail-Adresse
  • Postanschrift
  • Telefonnummer
  • Geburtsdatum und Alter
  • Standortdaten (vor allem in Kombination mit anderen Daten, wie zum Beispiel der IP-Adresse)
  • Zugangsdaten (Benutzername und dazugehöriger Dienst)
  • IP-Adresse (da diese über Umwege zurück auf eine Person verfolgt werden kann)
  • Cookies (aber nur solche die persönliche Daten speichern)
  • Transaktionsnummern (zum Beispiel bei Online-Shop-Bestellungen)
  • Bild- oder Video-Aufnahmen der Person
  • KFZ-Kennzeichen
  • Personalausweisnummer, Reisepassnummer, Sozialversicherungsnummer
  • Gesundheitsdaten
  • Bewerberdaten
  • Zeugnisse (zum Beispiel Schul- oder Arbeitszeugnisse)
  • Unterschrift
  • Bankverbindung, Kreditkartendaten
  • Einkommen
  • Ethnische Herkunft
  • Überzeugungen (zum Beispiel politisch, religiös, philosophisch)
  • Gewerkschaftszugehörigkeit

Wenn man sich unsicher ist, ob ein Datum personenbezogen ist oder nicht, sollte man einen Personenbezug annehmen.[6]

Als Unternehmer muss man erklären können, mit welcher Berechtigung man personenbezogene Daten verarbeitet und welche Maßnahmen man zum Schutz der Daten ergreift. Wenn man personenbezogene Daten an Dritte weitergibt, muss man den Betroffenen explizit darüber informieren.[4]

2.5 Wie ist es mit Bußgeldern und Abmahnungen?

Bei Nichteinhalten der Datenschutzverordnung drohen Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes[1] (je nachdem welcher Betrag höher ist) - und das angeblich für jeden einzelnen Verstoß gegen die DSGVO[7].

Artikel 83 der DSGVO formuliert, dass „die Verhängung von Geldbußen [...] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend” sein muss[8]. Wenn dein Unternehmen bestraft werden sollte, würde also dein Gewinn angeschaut werden und ein Bußgeld verhängt werden, das dir weh tut, aber auch nicht mehr. Die 20 Millionen Strafe würden sehr sicher nur sehr große Konzerne treffen.[9]

ThriveThemes sagt, dass die Bußgelder der DSGVO eher auf Firmen zielen, die ihr Geschäft allein mit den Daten ihrer Nutzer machen, also zum Beispiel Facebook oder Google. Für kleine Unternehmen ist das Problem eher, den Rechten der Nutzer nachzukommen. Erst wenn man Nutzer-Anfragen ignoriert, der Nutzer Beschwerde einlegt und man dann noch Warnungen von Behörden ignoriere, drohe Gefahr.[10]

Datenschutz-Experten von Heise.de sagen, dass es von 2018 an 5 bis 10 Jahre Rechtsunsicherheit geben wird. Um eventuelle Abmahnungen zu schreiben, benötigen Anwälte nach wie vor einen Konkurrenten des Abzumahnenden, der die Abmahnung beauftragt. Es ist umstritten, ob die DSGVO überhaupt zu Abmahnungen führen kann, da Abmahnungen nur im Wettbewerbsrecht ausgesprochen werden dürfen, die DSGVO aber vorrangig das Ziel hat, die Verbraucher besser zu schützen und somit das Wettbewerbsrecht eventuell gar nicht direkt betrifft.[11]

RA Matthias Hechler sagt, dass in Deutschland die Ansicht herrscht, dass Verstöße gegen die DSGVO die Mitbewerber weder zur Abmahnung oder Klageerhebung berechtigen[12].

Der Online-Marketer Nico Lampe kommt zum Schluss, dass eigentlich nur von Datenschutzbehörden eine Gefahr für dich ausgehen könnte. Diese hätten aber genug damit zu tun, große Unternehmen datenschutzkonform zu machen.[9] Beruhigend kann auch die Tatsache sein, dass bereits vor der DSGVO Strafen bis zu 300.000 Euro möglich waren[13].

Mario Wolosz (Gründer von Klick-Tipp) behauptet, dass es durch die DSGVO eine Marktbereinigung geben wird. Unsaubere Anbieter, die sich nicht an den Datenschutz halten, würden vom Markt verschwinden. Es würde Datenschutzvorreiter und Datenschutzverweigerer geben.[14]

3 Grundsätze der DSGVO

Die DSGVO regelt beispielsweise, wie sensible Daten verarbeitet werden, an wen sie weitergegeben werden dürfen und wann sie zu löschen sind.[2]

3.1 Verarbeitung personenbezogener Daten

Personenbezogene Daten dürfen nicht verarbeitet werden, außer es liegen bestimmte Erlaubnistatbestände vor.[15]

Es gibt 2 Erlaubnistatbestände. Man darf personenbezogene Daten verarbeiten, wenn

  1. man sich eine wirksame 'Einwilligung der Person eingeholt hat.[15]
  2. es rechtliche Vorschriften gibt.

Laut RA Stephan Gärtner gibt es sehr viele Rechtsvorschriften. Davon sollte man als Unternehmer Gebrauch machen. Dies ist auch im Sinne des Verbrauchers, weil Rechtsvorschriften weniger erlauben als eine Einwilligung.[3]

Beispiele für Rechtsvorschriften:

  • Die steuerliche Aufbewahrungspflicht
  • Man muss einen Vertrag erfüllen.
    Beispiele:
    • Bei einem Kaufvertrag muss man dem Kunden Waren zusenden. Dazu braucht man seine Postanschrift, bei digitalen Produkten wenigstens eine E-Mail-Adresse.
    • Es liegt ein AV-Vertrag vor.
  • Wenn man selbst oder ein Dritter ein „berechtigtes Interesse“ hat, welches nicht durch

höhere Interessen der betroffenen Personen überwogen wird (nach Art. 6 Abs. 1 S.1 lit. f DSGVO).
Beispiele:

    • Um mit einem Kunden einen Termin abzustimmen, braucht man seine Kontaktdaten[15].
    • Ein Erwägungsgrund für das berechtigte Interesse ist „Direktmarketing“. Ob dazu auch Newsletter gehören, kann man nicht mit absoluter Sicherheit sagen[15].
    • Erfassung von IP-Adressen zur IT-Sicherheit[2]

Wenn Daten verarbeitet werden sollen, muss also immer geklärt werden, ob die Datenverarbeitung rechtmäßig ist. Wenn dies der Fall ist, dürfen die Daten verarbeitet werden.[8]

Ob man als Unternehmer eher auf die Einwilligung oder auf eine Rechtsvorschrift setzt, hängt nicht nur von deinem Risikoprofil ab, sondern mehr vom Vertrauen deiner Empfänger. Vertrauen dir deine Empfänger, werden sie dir keine Probleme machen.[3]

3.2 Datenspeicherung und -minimierung

Die Speicherung der Daten muss zweckmäßig erfolgen.

  • Der Zweck, für den die Daten erhoben werden, muss vor der Erhebung und Speicherung dieser Daten festgelegt werden.[2]
  • Die Daten dürfen nur so lange gespeichert werden, bis der Zweck erfüllt ist.
  • Sie dürfen nur für den Zweck verwendet und gespeichert werden, für den sie ursprünglich eingesammelt wurden (Zweckbindung).[15]

Datenminimierung:
Man darf nur solche personenbezogenen Daten einsammeln, die man für die Erbringung der vertraglichen Leistung tatsächlich benötigt.[8]

3.3 Anforderungen an eine Einwilligung

Eine Einwilligung muss nach der DSGVO folgende Punkte erfüllen[15][6]:

  • Sie muss freiwillig erfolgen.
  • Man darf sie nicht an davon unabhängige Dinge koppeln (Kopplungsverbot, siehe auch den Abschnitt #Kopplungsverbot bei Freebies).
  • Die Einwilligung muss auf einen bestimmten Fall beschränkt sein.
  • Sie muss unmissverständlich sein.
  • Der Einwilligende muss informiert werden über Widerrufsrecht, Nennung des Verantwortlichen und Zweck der Datenverarbeitung.
  • Sie muss widerrufen werden können.
  • Die Person muss in Deutschland mindestens 16 Jahre alt sein. Wenn sie jünger ist, braucht man die Einwilligung von Erziehungsberechtigten.
  • Die Einwilligung muss nachweislich protokolliert werden (zum Beispiel über Double Opt-In).

Eine Einwilligung kann schriftlich, elektronisch oder auch mündlich erfolgen. Außerdem muss sie eine proaktive Handlung des Betroffenen beinhalten (zum Beispiel das Anhaken einer Checkbox). [4]

Man sollte sparsam mit Einwilligungen umgehen, denn dort kann man auch viel falsch machen.[16][14]

3.4 Betroffenen-Rechte

Der Betroffene hat folgende Rechte:[6][7]

  • Recht auf Auskunft über all seine im Unternehmen gespeicherten Daten (wenn ein Kontakt davon Gebrauch macht, muss er vor der Auskunft gegenüber dem Datenverarbeiter beweisen, dass er diese Person ist - zum Beispiel über eine teilweise geschwärzte Kopie seines Personalausweises) - der E-Mail-Marketing-Anbieter Klick-Tipp bietet dazu die "automatisierte Selbstauskunft" an (über die Signatur)
  • Recht auf Berichtigung der Daten
  • Recht auf Löschung (wenn ein solcher Antrag eingeht, muss man prüfen ob der Löschung zum Beispiel eine Aufbewahrungspflicht entgegen steht. Wenn dies der Fall ist, musst du dem Kunden mitteilen, dass dir eine Löschung seiner Daten nicht „zumutbar“ ist.)
  • Recht auf Widerspruch gegen die Verarbeitung (bei berechtigtem Interesse)
  • Recht auf Widerruf der Einwilligung
  • Recht auf Einschränkung der Verarbeitung (dem Widerspruch / Widerruf nachgelagertes Recht)
  • Recht auf Datenübertragbarkeit / Datenportabilität

3.5 Dokumentationspflichten

Im Vergleich zum alten BDSG fordert die DSGVO erheblich mehr Transparenz. Man muss dem Verbraucher viel transparenter darlegen, was man mit dessen Daten macht.[7] Auch muss man zum Beispiel seine Lieferanten und seine Mitarbeiter darüber informieren, wie man deren Daten verarbeitet.

Wenn eine Prüfstelle bei dir nachforscht, ist es wichtig, dass du einen (Papier)Ordner hast, in dem alle wichtigen Datenschutz-Dokumentationen abgeheftet sind.[17]

Es gibt verschiedene konkrete Dokumentationspflichten:

  • Verzeichnis von Verarbeitungstätigkeiten (VV), früher als "Verfahrensverzeichnis" bezeichnet
  • Technische und organisatorische Maßnahmen (TOM)

3.5.1 Verzeichnis von Verarbeitungstätigkeiten (VV)

Mit dem „Verzeichnis von Verarbeitungstätigkeiten (VV)“ behält man als Unternehmer selbst den Überblick darüber, wo und wie im eigenen Unternehmen personenbezogene Daten verarbeitet werden. Das Verzeichnis dient auch dazu, die Tätigkeiten gegenüber den Behörden darzulegen, wenn es zu Beschwerden kam oder eventuell eine zufällige Prüfung stattfindet.

Weitere Infos zum VV:

  • Unternehmen mit weniger als 250 Mitarbeitern, die nur „gelegentlich“ personenbezogene Daten verarbeiten, müssen kein VV erstellen.[18] Dies wird allerdings auf kaum eine Firma zutreffen, da fast jeder (auch Einzelunternehmer) fortlaufend personenbezogene Daten verarbeiten.
  • Man sollte seine VV fortlaufend aktualisieren.
  • Die Anlage A eines AV-Vertrages ähnelt dem VV sehr.[2]
  • Der alte Name für das „Verzeichnis von Verarbeitungstätigkeiten“ lautete „Verfahrensverzeichnis“.

3.5.2 Technische und organisatorische Maßnahmen (TOM)

In den "Technischen und organisatorischen Maßnahmen (TOM)" hält man fest, welche technischen und organisatorischen Schutzvorkehrungen im eigenen Unternehmen getroffen wurden, um eine sachgemäße Verarbeitung personenbezogener Daten sicherzustellen.

Bei den TOM geht es um die Frage, wie man personenbezogene Daten konkret schützt. Man muss zum Beispiel sicherstellen, dass die Daten vor unbefugtem Zugriff geschützt werden.

Weitere Infos zu den TOM:

  • Die Anlage B eines AV-Vertrages entspricht den TOM.[2]
  • Man sollte bestrebt sein seine TOM stetig zu verbessern und dementsprechend auch zu dokumentieren.[2]
  • Wenn man das Schutzniveau absenkt, muss man die AV-Verträge mit seinen Kunden neu schließen.[2]

3.6 Meldepflicht bei Datenschutzpannen

Eine Datenschutzpanne liegt dann vor, wenn personenbezogene Daten unrechtmäßig weitergegeben werden oder es zu einem Verlust solcher Daten kommt. Der Unternehmer muss innerhalb von 72 Stunden nach Kenntnisnahme der Panne diese an die zuständige Datenschutzaufsichtsbehörde melden. Die Panne sollte zudem möglichst umfassend dokumentiert werden.[2]

Es wird empfohlen einen Prozess zu definieren, wie man auf Datenlecks beziehungsweise Datenverluste im Unternehmen reagiert. Dieser Prozess sollte in den „Technischen und organisatorischen Maßnahmen zum Datenschutz“ festgehalten werden.[2]

3.7 Auftragsverarbeitung

Werden personenbezogene Daten von einem anderen Unternehmer verarbeitet, sind beide Parteien nach Artikel 28ff der DSGVO dazu verpflichtet einen sogenannten Vertrag zur Auftragsverarbeitung (kurz „AV-Vertrag“) miteinander abzuschließen. Mit dem AV-Vertrag stellen die zwei Parteien sicher, dass personenbezogene Daten gemäß rechtlicher Vorgaben verarbeitet und geschützt werden.

Weitere Informationen:

  • Der Unternehmer, der im Auftrag des anderen personenbezogenen Daten verarbeitet, wird als „Auftragsverarbeiter“ bezeichnet.[6]
  • Hat der Auftragsverarbeiter seinen Sitz außerhalb der EU, so benötigt man einen AV-Vertrag, der sogenannte „Model Clauses“ (Standardvertragsklauseln) beinhaltet. Diese von der EU vorgegebenen Vertragsklauseln müssen in jedem AV-Vertrag mit Firmen außerhalb der EU verwendet werden, andernfalls ist der AV-Vertrag ungültig.​[19]
  • Wenn kein AV-Vertrag vorhanden ist, sind beide Seiten haftbar.[20]
  • Ein AV-Vertrag ist bereits dann notwendig, wenn ein Geschäftspartner nur die Möglichkeit hat, personenbezogene Daten des Auftraggebers zu lesen. Dies ist zum Beispiel bereits dann der Fall, wenn man als Webmaster den Zugang des Kunden zu dessen E-Mail-Marketing-Anbieter hat.[6]
  • Ein Webmaster / eine Agentur ist in einer Art Sandwich-Position. Einerseits nutzt sie Tools, zum Beispiel eine Buchhaltungs-Software die Kundendaten verarbeitet. Auf der anderen Seite sind die Kunden, deren personenbezogene Daten die Agentur wiederum verarbeitet. Für beide Seiten müssen AV-Verträge vereinbart werden.[6]
  • Grundsätzlich können jede der beiden Parteien einen Vertrag vorlegen. Es ist jedoch sinnvoll, dass die Agentur ein Schreiben für ihre Kunden aufsetzt, da die Agentur besser weiß, welche Daten des Kunden sie verarbeitet.
    Wenn der Kunde sich sträubt, den AV-Vertrag zu unterschreiben, sollte man dies dokumentieren.
    Menschen, die einem bei der Umsetzung der Arbeit für den Kunden helfen, sollten im AV-Vertrag genannt werden.[6]
  • Früher hieß es nicht „Auftragsverarbeitung“, sondern „Auftragsdatenverarbeitung“. Alte Verträge über eine Auftragsdatenverarbeitung können durch die DSGVO hinfällig sein.[6]
  • Seit 25. Mai 2018 müssen Auftragsverarbeitungsverträge von deutschen Websitebetreibern nicht mehr per Unterschrift auf Papierform geschlossen werden, sondern dürfen elektronisch per Mausklick abgeschlossen werden.[21]

Ein AV-Vertrag hat 2 Anlagen:

  • „Anlage A: Details zum Auftrag“: Sie entspricht inhaltlich dem „Verzeichnis von Verarbeitungstätigkeiten“ (VV)
  • „Anlage B: Technische und organisatorische Maßnahmen (TOM)"

Auswahl an Dienstleistern, mit denen man normalerweise einen Vertrag zur Auftragsverarbeitung (englisch "DPA - Data processing agreement") abschließen muss:

  • Webhost
  • Webmaster/Agenturen
  • Tracking-Services wie Google Analytics (dort muss man den „Zusatz zur Datenverarbeitung“ per Mausklick akzeptieren, siehe offizielle Anleitung von Google)
  • E-Mail-Marketing-Anbieter
  • Terminbuchungs-Software
  • Druckerei (wenn diese personalisierte Druckdaten wie Rechnungen oder Lohnabrechnungen druckt)
  • Virtuelle Assistenten
  • Externe Lohn- und Gehaltsabrechner
  • Externer Rechnungsbearbeiter / Buchhalter
  • Papier-, Akten-, oder Datenträgervernichter
  • Externe CRM-Systeme

Auswahl an Dienstleistern, mit denen man keinen AV-Vertrag schließen muss:

Listen mit Informationen, welcher Dienstleister einen AV-Vertrag zur Verfügung stellt, stellen wird oder nicht zur Verfügung stellt, finden sich zum Beispiel hier und hier.

Vorlagen für AV-Verträge gibt es zum Beispiel hier beim GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) oder hier beim Bayerischen Landesamt für Datenschutz.

3.8 Datenschutzbeauftragter

Ob ein Datenschutzbeauftragter (DSB) verpflichtend ist, hängt allgemein von folgenden Punkten ab:[1]

  • der Art und der Menge der von deinem Unternehmen gesammelten Daten
  • ob die Datenverarbeitung dein Hauptgeschäft ist
  • und ob du diese in großen Umfang betreibst.

Ein Unternehmen in Deutschland braucht dann einen Datenschutzbeauftragten, wenn mindestens 10 Mitarbeiter ständig Kontakt mit personenbezogenen Daten haben[20].

Zum Beispiel zählt jeder Mitarbeiter, der digital Kontakt mit Kunden hat, zu diesen 10 Mitarbeitern.

Zu den 10 Personen können zum Beispiel auch Freelancer, Leiharbeiter oder Praktikanten gehören. Der Begriff „ständig“ ist in diesem Zusammenhang weit auszulegen. So ist ein Mitarbeiter auch dann mitzuzählen, wenn seine Kernaufgabe nicht die Datenverarbeitung ist.[24]

Es müssen nur solche Personen nicht berücksichtigt werden, die für allgemeine Tätigkeiten wie Reinigung zuständig sind. Somit müssen die allermeisten Unternehmen ab zehn Mitarbeitern einen Datenschutzbeauftragten bestellen.[2]

Aufgrund von §38 BDSG (neu) liest man oft, dass ein Datenschutzbeauftragter dann notwendig ist, wenn man als Verantwortlicher in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
Die „automatisierte Verarbeitung“ bedeutet dabei, dass „Datenverarbeitungsanlagen“ zum Einsatz kommen. Eine Datenverarbeitungsanlage ist beispielsweise ein PC.

Der Datenschutzbeauftragte darf von extern kommen oder ein normaler Angestellter sein. Es darf jedoch kein Angestellter sein, der in Kerngeschäfte des Unternehmens verwickelt sein darf, da dieser Mensch sonst in Interessenskonflikte geraten könnte.[20]

Man darf auch freiwillig einen Datenschutzbeauftragten bestellen. Wenn man keinen Datenschutzbeauftragten bestellt, ist man selbst als Unternehmer komplett für den Datenschutz seiner Firma verantwortlich.[14]

Wenn man verpflichtet ist, einen Datenschutzbeauftragten zu stellen, so muss man diesen auch offiziell der zuständigen Behörde mitteilen.[11]

Im Englischen heißt der Datenschutzbeauftragte „data protection officer (DPO)“.

4 Tipps zur Umsetzung

  • Man sollte mit den Dingen starten, die nach außen hin sichtbar sind.[6]
  • Um zu prüfen welche externen Dienste deine Website nutzt, kannst du diesen Artikel von Ernesto Ruge konsultieren. Eine andere Möglichkeit ist das Browser-Plugin Ghostery.
  • Cloudspeicher-Dienste wie Dropbox zu nutzen ist (meistens) sicherer als sich eigene Backup-Systeme aufzubauen. Denn die Cloudspeicher sind sich auf die Speicherung von Daten spezialisiert und sie wollen die Daten ihrer Kunden natürlich bestmöglich schützen.[25]

Konkrete Anleitungen und Checklisten für die DSGVO findest du im Abschnitt „Informationspakete“

4.1 Newsletter / E-Mail-Marketing

In diesem Abschnitt sammeln wir konkrete Tipps und Hinweise zum Thema E-Mail-Marketing.

4.1.1 Wie muss die Einwilligung aussehen?

Eine Einwilligung für den Newsletter muss nach der DSGVO folgende Punkte erfüllen:

  • Freiwillig: Man darf den Besucher zu nichts zwingen. Siehe auch den Abschnitt #Kopplungsverbot bei Freebies.
  • Für den bestimmten Fall: Der Besucher muss erkennen können, welche seiner personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden[15]. Man muss angeben, um welche Themen und Angebote es im Newsletter geht[15][20].
  • Informiert: Man muss zum Beispiel angeben, wie oft der Newsletter erscheinen wird.[15]
  • Unmissverständlich: Der Abonnent versteht, dass er sich gerade in einen Newsletter einträgt.[15]

4.1.2 Kopplungsverbot bei Freebies

Die meisten Newsletter-Abonnenten werden eingesammelt, indem man den Interessenten ein Freebie als Anreiz für Eintrag anbietet. Das Kopplungsverbot der DSGVO sieht vor, dass man unabhängige Dinge nicht miteinander koppeln darf. Streng ausgelegt könnte das bedeuten, dass man das Freebie nicht an den Eintrag der E-Mail-Adresse koppeln darf, weil man als Anbieter das Freebie ja auch direkt, ohne Eintrag der E-Mail-Adresse, zum Download anbieten könnte.

Hier sammeln wir verschiedene Meinungen von Experten zum Freebie-Kopplungsverbot:

  • Nach Meinung von RA Schwenke ist eine Kopplung von einem E-Book an ein Newsletter-Abonnenment zulässig, solange das E-Book nicht mehr wert ist als ein Goldbarren. Man sollte jedoch schon auf der Einstiegsseite auf die Kopplung hinweisen, nicht erst dann, wenn der Interessent schon Daten von sich in ein Formular eingetragen hat. Schwenke bezieht sich dabei unter anderem auf Kurzpapier Nr. 3 der Datenschutzkonferenz DSK von Juni 2017.[26]
  • Experten von Mittwald sagen, dass das Kopplungsverbot relativ soft sei. Eine relativ sichere Vorgehensweise wäre, das Freebie nach wie vor erst nach dem Eintrag der E-Mail-Adresse herauszugeben, aber im Opt-in-Formular den Newsletter in den Vordergrund zu stellen und das Freebie erst unterhalb der Newsletter-Vorstellung zu erwähnen.[6]. Das Gleiche sagt ThriveThemes: Solange man den Besucher klar darüber informiert, dass er sich für einen Newsletter einträgt, ist es in Ordnung zu sagen, dass er dadurch auch das Freebie erhält.[10]
  • Um weiterhin mit Freebies Leads einzusammeln, empfiehlt Klick-Tipp, dass man sein zukünftiges E-Mail-Marketing zum Bestandteil seines Freebies macht. Dazu sollte man einen Informationsvertrag mit dem Lead abschließen (Klick-Tipp beruft sich hierbei auf die Vertragsfreiheit). Ein Beispiel wie Klick-Tipp es selbst formuliert, sieht man hier.[14]
  • Die ganz saubere Lösung wäre, auf der LandingPage wirklich nur den Newsletter zu bewerben (sogar mit Checkbox bei der Einwilligung) und das Freebie unabhängig vom Newsletter direkt öffentlich zum Download anzubieten.[15]

4.1.3 Darf man bestehende E-Mail-Adressen weiterverwenden?

  • Man darf bestehende Kontakte (E-Mail-Adressen) weiterverwenden, solange man sie damals DSGVO-konform eingesammelt hat. Das heißt man muss damals zum Beispiel auch auf die Widerrufs-Möglichkeit hingewiesen haben.[20]
  • Digistore sagt, dass vor dem 25.5.2018 erhobene personenbezogene Daten weiterhin verarbeitet werden dürfen, sofern eine nachweisbare Einwilligung des Betroffenen vorliegt oder ein berechtigtes Interesse des Verantwortlichen oder eines Dritten besteht, das das Interesse des Betroffenen überwiegt.[4]
  • Klick-Tipp sagt, dass man Double-Opt-In-Kontakte weiterverwenden darf, man muss diesen jedoch die Transparenzerklärung zuschicken und in dieser Mail auch eine Möglichkeit zur Abmeldung bieten.[14]

4.1.4 Text fürs Anmeldeformular / Checkbox

  • Eine zusätzliche Checkbox in Anmeldeformularen ist nicht notwendig. Unterhalb des Anmeldeformulars muss man aber auf den Datenschutz hinweisen. Ein Textvorschlag wäre: „Bevor du dich hier anmeldest, lies bitte [diese wichtigen Informationen] zum Datenschutz und zur DSGVO.“
    Dabei verlinkt „diese wichtigen Informationen“ in einem neuen Browserfenster auf die eigene Transparenzerklärung.
    Um sich zusätzlich abzusichern, empfiehlt Gärtner, dass man die Transparenzerklärung in die Bestätigungsmail einfügt und auch die Datenschutz-Archiv-Adresse ins CC der Bestätigungsmail einfügt.[14]
  • Laut RA Schwenke muss das Anmeldeformular einen „Teaser“ für die vollständige Datenschutzerklärung darstellen. Über diese Punkte sollte man die Interessenten informieren[26]:
    • Inhalt des Newsletters (nicht zu eng, aber auch nicht zu weit gefasst)
    • Falls man weitere Angaben einsammelt als nur die E-Mail-Adresse: Begründung, warum man dies tut
    • Erfolgsmessung
    • Widerrufsmöglichkeit
    • Seines Erachtens nicht notwendig: Welche Newsletter-Software verwendet wird, Protokollierung der Anmeldung
  • Eine Checkbox auf dem Opt-in-Formular braucht man nur dann, wenn der Newsletter ein Zusatz zur eigentlichen Aktion ist, zum Beispiel also bei einem Kauf im Online-Shop oder bei der Teilnahme an einem Gewinnspiel. Diese Checkbox darf nicht vorausgewählt sein.
  • Bei einem reinen Newsletter-Opt-in-Formular ist das Klicken auf „Absenden“ die eindeutige Einwilligung. Hier braucht man also keine Checkbox.[20]

4.1.5 Erfolgsmessung

Wenn der Anbieter der Newsletter-Software eine Erfolgsmessung/Tracking/Profiling macht, muss man den Abonnenten darüber informieren. Dafür gibt es prinzipiell 3 Möglichkeiten[26]:

  • Hinweis in Opt-in-Formular oder sogar Hinweis nur in der Datenschutzerklärung - hierbei würde die Erfolgsmessung auf Grundlage berechtigter Interessen des Versenders (Art. 6 Abs. 1 lit. f DSGVO) erfolgen
  • Einwilligung umfasst die Erfolgsmessung - dies empfiehlt RA Schwenke.
  • Extra Opt-In für die Erfolgsmessung über eine zusätzliche Checkbox

4.1.6 Sonstiges

  • In der Bestätigungsmail nach dem Double-Opt-In sollten die Informationen aus dem Anmeldeformular wiederholt werden[26]. Dazu gehören: Möglichkeit zum Widerspruch, Inhalte des Newsletters, Erfolgsmessung[20].
  • Beim Verkauf von digitalen Produkten kann man die E-Mail-Adresse des Kunden ohne Double-Opt-in vom Zahlungsanbieter übernehmen, wenn man in seiner Produktbeschreibung die Transparenzerklärung verlinkt und auch einen Informationsvertrag einfügt.[14]
  • Die DSGVO schreibt nicht vor, dass man Single-Opt-In oder Double-Opt-In nutzt, sondern man muss „nur“ nachweisen können, dass man den Kontakt kontaktieren darf.[14]

4.2 Hosting

Hier eine Auswahl von Seiten, auf denen bekannte Hoster darüber aufklären, welche Daten von den Besuchern erhoben werden, wenn du dort deine Website hostest:

4.3 Firmen in Drittländern

  • Wenn ein Unternehmen außerhalb der EU sitzt, wird es als Unternehmen in einem „Drittland“ bezeichnet.
  • Wenn man seine personenbezogene Daten von US-amerikanischen Firmen weiterverarbeiten lässt, sollte man darauf achten, dass diese Firmen dem Privacy Shield angehören[20]. Unter diesem Link kannst du testen, ob dein Dienstleister Mitglied im Privacy Shield ist. Mitglied im Privacy Shield sind zum Beispiel Google, Facebook, Dropbox, SurveyMonkey, AWeber, Basecamp, Disqus und Zapier.

4.4 Facebook Ads / Facebook Pixel

Wie es um Facebook Ads und das Facebook Pixel in Sachen DSGVO bestellt ist, erfährst du zum Beispiel

Was klar ist:

  • Kundenlisten darf man nur dann zu Facebook hochladen (Custom Audiences), wenn man die Einwilligung der Kunden dafür hat.[25] Klick-Tipp empfiehlt wiederum eine Transparenzerklärung und einen Informationsvertrag dafür zu nutzen.[14]
  • Wenn eine Löschanfrage eines Nutzers hereinkommt, muss man diese auch aus der Custom Audience löschen. Facebook erlaubt nicht, einzelne E-Mail-Adressen aus Zielgruppen zu löschen. Deshalb müsste man bei jeder Löschanfrage die komplette Custom Audience löschen und neu hochladen. Eine automatisierte Möglichkeit bietet Klick-Tipp über sein Privacy Dashboard und dem Audience Sync an.[14]
  • Facebook-Nutzer können sehr einfach nachsehen, welche Unternehmer ihre E-Mail-Adresse bei Facebook hochgeladen haben. Dazu geht man auf https://web.facebook.com/ads/preferences/?entry_product=ad_settings_screen, klickt auf „Werbetreibende, mit denen du interagiert hast“ und sieht die Unternehmen dann unter „Die ihre Kontaktliste zu Facebook hinzugefügt haben“.
  • Zur Unterscheidung, wann Facebook Datenverantwortlicher ist und wann Auftragsverarbeiter, siehe diese offizielle Facebook-Hilfeseite
  • Es gibt ein WordPress-Plugin, mit dem du deinen Besucher eine Opt-Out-Möglichkeit vom Facebook-Pixel zur Verfügung stellen kannst.
    Besser ist das Plugin Pixelmate*. Mit diesem wird das das Facebook-Pixel erst geladen, wenn der Besucher zugestimmt hat (Opt-in).

4.5 Affiliates

Klick-Tipp sagt, dass man mit Transparenzerklärung und Informationsvertrag die Affiliates zum Beispiel von Digistore24 ohne Double-Opt-In in sein E-Mail-Marketing-System übernehmen kann.[14]

4.6 Datenschutzerklärung

Die Datenschutzerklärung muss laut DSGVO so verständlich sein, dass der Nutzer sie versteht, ohne dass er Jurist ist oder einen solchen zurate ziehen muss[8]. Es ist besser eine Datenschutzerklärung zu haben als gar keine[11].

Was unter anderem in die Datenschutzerklärung (auch "DSE", englisch "Privacy Policy") sollte:

  • Wer in deinem Unternehmen für den Datenschutz verantwortlich ist[25] und dessen Kontaktdaten. Wenn es einen Datenschutzbeauftragten gibt, muss dieser namentlich mit Kontaktdaten genannt werden[2].
  • Welche Daten des Besuchers werden von welchen Diensten wie verarbeitet[25]. Konkreter: Angaben zu einzelnen Verarbeitungstätigkeiten, Rechtsgrundlagen der Datenverarbeitung, Löschzeitpunkte, Quelle der Daten[27]
  • Hinweis auf die Rechte der Nutzer
  • dass man als Affiliate tätig ist

Kostenlose DSGVO-Datenschutzerklärungs-Generatoren:

4.6.1 Transparenzerklärung

Eine Transparenzerklärung ist eine spezialisierte Datenschutzerklärung für einen bestimmten Fall (zum Beispiel Visitenkarteneintragung). In der Transparenzerklärung verlinkt man auf die allgemeine Datenschutzerklärung. Einige weitere Anforderungen an die Transparenzerklärung:[14]

  • einfache Sprache (die Transparenzerklärung kann auch als Infografik, zum Beispiel als Datenflussdiagramm vorliegen)
  • leicht zugänglich
  • wird dem Kontakt in der Regel vor oder zum Zeitpunkt der Erhebung bekannt gemacht

4.7 Messenger-Bots

Messenger-Bots sind in Sachen DSGVO ähnlich wie Newsletter zu behandeln:

  • In jeder Message muss ein Link zum Impressum, zur Datenschutzerklärung und eine Möglichkeit zum Abmelden vorhanden sein.[25]

4.8 Cookies

Meinungen zu den weit verbreiteten Cookie-Bannern / Cookie-Hinweisen:

  • Die Banner würden erst dann die vom Gesetzgeber gewünschte Wirkung haben, wenn die Cookies erst gesetzt würden, wenn der Besucher auf das „Okay“ im Hinweis klickt.[20]
  • Ein Cookie-Hinweis in der Datenschutzerklärung ist ausreichend. Möchte man noch sicherer sein, kann man einen Cookie-Banner einblenden.[6]
  • Das Cookie-Banner darf auf keinen Fall den Link zum Impressum und/oder zur Datenschutzerklärung verdecken. Tut er das, ist das ein Abmahngrund.[20]

Vor April 2018 waren sich Datenschützer einig, dass für Tracking-Tools wie Google Analytics kein Opt-in des Besuchers notwendig ist um Cookies bei ihm setzen zu dürfen. Seitdem sich die „Datenschutzkonferenz von Bund und Ländern“ in einem Informationspapier vom 26.4.2018 für das Opt-in ausgesprochen hat, gibt es Verunsicherung wie nun vorgegangen werden muss. Eine Liste von Opt-in-Lösungen für das Setzen von Cookies findet man jedenfalls hier.[2]. Das WordPress-Plugin Pixelmate* lädt erst dann Cookies / Pixel, wenn der Besucher zugestimmt hat (Opt-in).

Der konkrete Einsatz von Cookies wird in der ePrivacy-Verordnung geregelt werden, die noch nicht veröffentlicht ist. Der Bundesverband Digitaler Wirtschaft (BVDW) geht davon aus, dass die Verordnung Ende 2019 in Kraft tritt und nach einer Übergangsfrist dann erst im Jahr 2020 oder 2021 angewendet werden muss[28].

4.9 Kontaktformulare

  • Daten, die über ein Kontaktformular verschickt werden, müssen verschlüsselt übertragen werden. Unverschlüsselte Kontaktformulare wurden bereits abgemahnt.
  • Es muss ein Datenschutzhinweis in das Kontaktformular rein, der den Besucher informiert was mit seinen Daten geschieht.
  • Man braucht nicht für jedes Kontaktformular eine Einwilligung. Deshalb braucht man auch keine Checkbox.[16]. Auch Mittwald sagt, dass eine Checkbox, die der Anfragende anhakt, nicht notwendig sei.[6]
  • Nach dem Grundsatz der Datensparsamkeit dürfen nur Informationen abgefragt werden, die für die weitere Verarbeitung zwingend erforderlich sind. Pflichtfelder müssen als solche gekennzeichnet werden.[2]

4.10 Informationspakete

Hier eine Auswahl von kostenlosen und kostenpflichtigen Angeboten, die informieren, was du in Sachen DSGVO tun und beachten musst:

5 Sonstiges

  • Hier kann man das Beschwerdeformular des Bayrischen Landesamtes für Datenschutz begutachten.
  • Der Orginal-Text der DSGVO mit ihren 99 Artikeln auf 88 Seiten (und über 50.000 Wörtern) kann zum Beispiel schön strukturiert auf dsgvo-gesetz.de oder in einem Dokument auf europa.eu nachgelesen werden.
  • Ein DSGVO-Muster für Vereine findet man hier beim Bayerischen Landesamt für Datenschutzaufsicht.
  • Das Bundesdatenschutzgesetz (BDSG) trat in geänderter Form ebenfalls am 25. Mai 2018 in Kraft. Zusammen mit der DSGVO ersetzt das BDSG-neu somit das alte BDSG, das bereits 1978 in Kraft trat.
  • Eine Richtlinie (wie zum Beispiel die Cookie-Richtlinie) muss erst in ein Gesetz gegossen werden. Im Gegensatz zu einer Richtlinie gilt eine Verordnung sofort und wird sofort anwendbares Recht.[25]

6 Kritik

Es gibt nicht wenige Menschen, die die DSGVO kritisch beäugen. In diesem Abschnitt sammeln wir erwähnte Kritikpunkte:

  • Die Umsetzung der DSGVO ist aufwändig. Große Firmen haben entsprechende Rechtsabteilungen, die sich darum kümmern. Kleinunternehmer oder sogar private Blogger müssen sich selbst um die Umsetzung kümmern, da für sie die DSGVO genauso gilt wie für Konzerne. Dies ist in Augen vieler eine Zumutung und wird teilweise als Schlag gegen kleine und mittelständische Unternehmen gesehen[29][30].
  • Fotos, auf denen Menschen zu sehen sind, sind personenbezogene Fotos. Ohne Einwilligung der gezeigten Personen dürfen solche Fotos nur noch von der „institutionalisierten Presse“ verwendet werden[31]. Dies erschwert der freien Presse (nicht institutionalisiert) das Veröffentlichen von Fotos und investigativer Journalismus könnte bestraft werden.[29]
  • Jeder, der sich öffentlich kritisch über eine konkrete natürliche Person äußern möchte, müsse vorher die betreffende Person um Erlaubnis fragen, diese Kritik äußern zu dürfen. Dies könnte das Ende von kritischen Medien (zum Beispiel Whistleblower-Seiten) bedeuten.[29]

7 Weiterführendes


Autoren

Jeder Autor hat seine eigenen Passagen zu diesem Artikel beigesteuert. Deshalb muss nicht jeder Autor alle Passagen des Artikels unterstützen.
Zahl in Klammern = Anzahl der Artikel-Bearbeitungen dieses Autors. Eine hohe Anzahl bedeutet nicht zwangsweise, dass dieser Autor auch viel Inhalt zum Artikel beigesteuert hat.

Einzelnachweise

  1. a b c d Webseite der Europäischen Kommission, abgerufen am 7.5.2018
  2. a b c d e f g h i j k l m n o Mittwald DSGVO-Wissenspaket vom 15.5.2018
  3. a b c d E-Mail-Marketing und die DSVGO – RA Dr. Stephan Gärtner, Klick-Tipp Academy April 2018, abgerufen am 23.5.2018
  4. a b c d Digistore-DSVO-Kurs: Lektion 1 - DSGVO Basics, Begriffsbestimmungen, abgerufen am 16.5.2018
  5. Artikel 4, Nummer 1 der DSGVO, abgerufen am 23.5.2018
  6. a b c d e f g h i j k l DSGVO-Webinar vom Hoster Mittwald, abgerufen am 13.5.2018
  7. a b c Klick-Tipp Release Keynote April 2018, abgerufen am 15.5.2018
  8. a b c d Gut organisiert und vorbereitet stellt die DSGVO kein Problem dar, abgerufen am 14.5.2018
  9. a b DSGVO - SCHLUSS mit der PANIKMACHE von Nico Lampe, abgerufen am 21.5.2018
  10. a b The Smart Way to Make Your Opt-In Forms & Email Marketing GDPR Compliant, abgerufen am 14.6.2018
  11. a b c heiseshow: Die DSGVO kommt – Was genau passiert jetzt? am 24.5.2018, abgerufen am 27.5.2018
  12. Erste Abmahnungen wegen DSGVO-Verstößen liegen vor, abgerufen am 28.5.2018
  13. Webinar für Online-Gewerbetreibende zur DSGVO*
  14. a b c d e f g h i j k l Klick-Tipp-Webinar mit Dr. Stephan Gärtner am 23.5.2018
  15. a b c d e f g h i j k Checkliste „DSGVO kompakt“, abgerufen am 7.5.2018
  16. a b Stephan Hansen-Oest: Braucht mein Kontaktformular jetzt eine Checkbox?, abgerufen am 18.5.2018
  17. Spreadmind ist DSGVO-konform*, abgerufen am 14.5.2018
  18. Wer verpflichtet ist ein Verfahrensverzeichnis nach DSGVO zu führen, abgerufen am 19.6.2018
  19. a b Digistore-DSVO-Kurs: Lektion 4 - Auftragsverarbeiter - was müssen Sie beachten?, abgerufen am 16.5.2018
  20. a b c d e f g h i j Facebook-Live "Q&A zur DSGVO" von Rechtsanwalt Dr. Thomas Schwenke, April 2018, abgerufen am 12.5.2018
  21. Google Analytics – Sollte ich den „Zusatz zur Datenverarbeitung“ akzeptieren? von Dr. Thomas Schwenke, abgerufen am 18.5.2018
  22. Kommentar von "DSGVO Navigator" im Artikel "Liste mit AV-Verträgen", abgerufen am 18.5.2018
  23. Auftragsverarbeitung: Mit wem müssen Sie Verträge schließen?, abgerufen am 13.6.2018
  24. DSGVO: Pflichten und Stellung des Datenschutzbeauftragten, abgerufen am 8.6.2018
  25. a b c d e f Rei Baumeister interviewt die Rechtsanwältin Sabrina Keese-Haufs, April 2018, abgerufen am 10.5.2018
  26. a b c d MailChimp, Newsletter und die DSGVO – Anleitung für rechtssicheres E-Mail-Marketing von RA Dr. Thomas Schwenke, abgerufen am 31.5.2018
  27. Die DSGVO und Digistore24 - Ihre Fragen, unsere Antworten, abgerufen am 13.6.2018
  28. ePrivacy Update: Kommt das Cookie-Verbot?, abgerufen am 5.6.2018
  29. a b c DSGVO – totale Meinungsversklavung im EU-Stil, 23.05.2018, abgerufen am 6.6.2018
  30. Dirk Müller - Datenschutzverordnung ist reines Zensur- und Machtinstrument! vom 25.5.2018, abgerufen am 6.6.2018
  31. Das DSGVO-Chaos ist angerichtet von Christoph Jehle am 3.5.2018, abgerufen am 6.6.2018
Erzähl's weiter:

Was sagst du zu diesem Thema?