Am 25. Mai 2018 ist es soweit: Die Europäische Grundverordnung zum Datenschutz (DSGVO) gilt ab diesem Tag verpflichtend für Firmen, Vereine und auch Selbstständige.
Die DSGVO ist bereits vor zwei Jahren in Kraft getreten, muss aber am 25.Mai 2018 verbindlich umgesetzt werden. Noch ist also ein wenig Zeit, sich darauf vorzubereiten. Und die Zeit sollten Sie auch nutzen, denn viele User gehen davon aus, dass bereits zahlreiche Abmahn-Anwälte in den Startlöchern stehen, um Abmahnungen an Freelancer, Unternehmen und Vereine zu verschicken.
DSGVO und die Folgen
Grundsätzlich gilt – und das schon länger –, dass alle personenbezogenen Daten dem Datenschutz unterliegen. Wie diese Daten behandelt werden sollen, regelt die DSGVO. Bis zum 25. Mai haben Betreibern einer eigenen Homepage oder Website Zeit, diese Regelungen umzusetzen.Wer das nicht tut, muss mit empfindlichen Strafen rechnen: Bis zu 20 Millionen Euro oder vier Prozent des Umsatzes (Berechnungsgrundlage ist der jeweils höhere Wert) können Verstöße gegen die DSGVO kosten.
Was ändert sich mit der EU-Datenschutzgrundverordnung (DSGVO)?
Die gute Nachricht vorab: Datenschutz ist in Deutschland ohnehin wichtig. So wichtig, dass sich die EU-Kommission, die die DSGVO ausgearbeitet hat, in vielen Punkten an den aktuell geltenden Regelungen zum Datenschutz in Deutschland orientiert hat.An dem Grundgedanken des Datenschutzes ändert sich dabei nichts: Verbraucherrechte sollen geschützt werden und jede Person soll ihr verbrieftes Selbstbestimmungsrecht in Bezug auf die eigenen personenbezogenen Daten behalten. Das Gleiche gilt für den Datenschutzbeauftragten in Unternehmen mit dauerhafter Datenerhebung und die Weiterverarbeitung personenbezogener Daten – auch hier ändert sich im Vergleich zur aktuell geltenden Datenschutzrichtlinie 95/46/EG nichts.
Die Änderungen der DSGVO
Daneben gibt es aber auch Bereiche, die von der Neuregelung des Datenschutzes betroffen sind. Einer der Bereiche betrifft die Personen selbst, von denen die Daten erhoben werden. Ab dem 25. Mai 2018 müssen Unternehmen von ihren Nutzern eine deutliche und nachvollziehbare Einverständniserklärung zur Verarbeitung ihrer Daten einholen. Und dabei ist es auch häufig nicht mit einer einzigen Einverständniserklärung getan. Möchte der Betreiber der Seite nämlich unterschiedliche Daten von der Person erheben, muss der Nutzer jedem einzelnen Schritt gesondert zustimmen.Neu ist auch, dass der Nutzer durch die neuen Regelungen der DSGVO seine Einverständniserklärung zur Nutzung seiner personenbezogenen Daten jederzeit formlos widerrufen und sogar einzelnen bestimmten Teilaspekten, wie beispielsweise dem Direktmarketing, widersprechen kann.Auf Unternehmen und Selbstständige mit eigener Website kommt aber noch mehr zu: Ab Ende Mai müssen sie ihren Nutzern deren personenbezogene Daten auf Nachfrage in einer tragbaren Form, die noch dazu den Anforderungen des Datenschutzes Rechnung tragen muss, zugänglich machen. Außerdem müssen sie die Kriterien und Rechtsgrundlage nennen, nach denen die Daten gespeichert und verarbeitet werden.Sollten Unternehmen falsche oder veraltete Daten an Dritte weitergeben, müssen sie sich fortan um die Löschung dieser Daten kümmern und das auch nachweisen.
Das Vorgehen bei einem Datenleck
Überall dort, wo Daten verarbeitet werden, kann es auch zu Pannen kommen. Die DSGVO verlangt von Unternehmen, dass solche Pannen innerhalb von 72 Stunden gemeldet werden müssen. Und nicht mehr wie bisher manchmal erst nach Wochen oder gar Monaten.Sollten Unternehmen oder auch Selbstständige dagegen verstoßen, müssen sie mit empfindlichen Strafen rechnen. Daneben haben auch die Nutzer, deren personenbezogene Daten betroffen sind, die Möglichkeit, Schadensersatzansprüche geltend zu machen.Um Datenpannen zu verhindern, muss daher eine regelmäßige Datenschutzfolgenabschätzung durchgeführt werden.
Was Betreiber einer Website tun sollten
Die umfangreicheren Regelungen der DSGVO verunsichern viele Betreiber vor allem kleinerer Seiten oft erheblich. Sie sollten allerdings nicht in Panik verfallen, sondern Ihre Seite auf einige Punkte hin überprüfen:
- Nutzen Sie Google-Analytics oder ein anderes Programm, um Statistiken über die Besucher Ihrer Seite zu erheben?
- Gibt es auf Ihrer Seite ein Kontaktformular oder die Anmeldung zu einem Newsletter?
- Verwenden Sie Cookies auf der Seite?
- Haben Sie eine Kommentarfunktion unter Ihren Beiträgen?
Wenn Sie eine dieser Fragen mit einem Ja beantworten, gelten die neuen Regelungen der DSGVO auch für Sie und Ihre Seite. Was tun?
Darauf sollten Freelancer ihre Seite überprüfen
Jede Website muss über eine Datenschutzerklärung verfügen. Die meisten Seiten haben das bereits, jedoch sollten Sie das Inkrafttreten der DSGVO dafür nutzen, die Datenschutzerklärung auf Vollständigkeit zu überprüfen. Die Datenschutzerklärung sollte individuell auf Ihre Seite und Ihr Angebot abgestimmt sein. In der Erklärung müssen Sie Ihre Nutzer darüber informieren, welche Daten Sie erheben werden und welchen Zweck Sie damit verfolgen. Aber nicht nur das: Ihr Nutzer muss auch erfahren, welche Möglichkeiten er hat, seine Daten zu schützen. Auch mit der DSGVO gilt, dass das Impressum und vor allem auch die Datenschutzerklärung gut sichtbar auf der Seite erscheinen müssen. Das bedeutet, dass Besucher mit nur wenigen Klicks (idealerweise ist es sogar nur einer) finden können.
Speichern Sie so wenig wie möglich
Einer der wichtigsten Tipps in Bezug auf die DSVGO lautet, dass Sie so wenig wie möglich personenbezogene Daten abrufen und speichern sollten. Bieten Sie beispielsweise Whitepaper auf Ihrer Seite zum Download an, reicht die Email Adresse des Interessenten aus. Sie benötigen in diesem Fall nicht noch weitere Daten wie den Namen oder gar die Adresse.
Denken Sie bei Tracking-Diensten an den ADV-Vertrag
Tracking-Dienste, wie beispielsweise Google Analytics bedeuten, dass Sie die Daten ihrer Kunden an Drittdienste weitergeben. Ein ganz heikler Punkt in Bezug auf die DVGVO. Denn sollte das so sein, müssen Sie einen Auftragsdatenverarbeitungs-Vertrag (ADV-Vertrag) schließen. Allerdings nicht mit Ihren Kunden oder Lesern, sondern mit dem Anbieter, an den Sie die Daten weitergeben. Im Falle von Google-Analytics wäre das also Google selbst. Glücklicherweise bietet das Unternehmen über einen Link den Vertrag zum Download an. Den müssen Sie nun ausfüllen, unterschreiben und an die Rechtsabteilung von Google schicken. Auch ein Forum, das nicht von Ihnen direkt gehostet wird, fällt unter diesen Punkt. Das sollten Sie daher ebenfalls über einen ADV-Vertrag rechtsgültig abgesichern.
Sehr geehrter Herr Gawenda, Sie sind Datenschutzbeauftragter für Westhouse tätig und stehen uns für Fragen bezüglich der Europäischen Grundverordnung zum Datenschutz (DSGVO) zu Verfügung.
Können Sie unseren Lesern verraten, was Freelancer im SAP Bereich beachten müssen, die eine eigene Website betreiben?
Nicht nur Freelancer, sondern generell alle Websitebetreiber sollten eine kurze Überprüfung ihrer Einstellungen vornehmen: Gibt es Bereiche, in denen irgendwo personenbezogene Daten erfasst werden? Oftmals erfolgt dies bspw. in einem Kontaktformular – was häufig übersehen wird. Aber auch eine durch den Websitebesuch erfasste IP-Adresse, z. B. durch Google Analytics, gehört dazu. Hierauf muss der Besucher hingewiesen werden und ggf. eine Möglichkeit zur Anonymisierung bereitgestellt werden.
Der Einsatz von Cookies bleibt auch weiterhin kritisch.
Das ist aber nichts neues, gerät jedoch durch die Stärkung der Betroffenenrechte in den Fokus und ist womöglich erster Ansatzpunkt bei einer Überprüfung durch die Aufsichtsbehörden.
Die Betreiber sollten sich zudem überlegen, ihre Websites auf SSL umzustellen, da die DSGVO über Datenschutz „by design“ und „by default“ nur noch einen generell verschlüsselten Datentransfer über das Netz fordert.
Wie verhält es sich mit Emails, die Freelancer vom Kunden bekommen, dürfen sie diese abspeichern? Gibt es dabei etwas zu beachten?
Geschäftliche Emails sind zu behandeln wie herkömmliche Geschäftsbriefe, deshalb gelten für sie dieselben gesetzlichen Aufbewahrungsfristen. Ein Spannungsfeld ergibt sich jedoch bei der Übermittlung von Emails und deren enthaltenem Personenbezug. Die DSGVO fordert ganz konkret die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.
Eine geschäftliche Email beinhaltet diesen Personenbezug beispielsweise allein schon durch Emailadresse und die vorgeschriebene Signatur. Ergo entspricht eine Übermittlung – sobald die personenbezogenen Daten das Unternehmen verlassen – nur noch verschlüsselt den gesetzlichen Anforderungen.
Diese Verpflichtung ist übrigens auch nicht neu, sondern bestand schon durch das Bundesdatenschutzgesetz.
Brauchen Freelancer nun ein spezielles Programm um Auftraggeber-Emails zu speichern? Hintergrund: Steuerrechtlich betrachtet müssen Mails und personenbezogene Daten, wenn sie relevant sind, zehn Jahre aufbewahrt werden.
Für die Archivierung empfehle ich ebenfalls eine Verschlüsselungssoftware, hier muss allerdings gewährleistet sein, dass auch nach zehn Jahren auf den Klartext zugegriffen werden kann – sonst ist eine Nachricht nur sehr schwer auffindbar.
Wie sehen die Änderungen bezüglich des Impressums aus?
Neben dem Impressum, das über wenige Klicks erreichbar sein sollte, ist eine sogenannte Datenschutzerklärung unumgänglich. Die hier aufzuführenden Pflichtangaben gibt der Artikel 13 der Datenschutzgrundverordnung wieder.
Die Neuregelung des DSVGO beinhaltet auch das sogenannte „Verzeichnis der Verarbeitungstätigkeiten“. Können Sie erklären, wie dieses Verzeichnis aussehen und welcher Personenkreis eins führen muss?
In diesem Verzeichnis soll die Verarbeitung von personenbezogenen Daten klar und transparent beschrieben werden, sprich was mit den Daten passiert. Dieses Verzeichnis ist eine der wichtigsten Grundlagen für die Nachweispflichten im Bereich Datenschutz und – mit sehr wenigen Ausnahmen – verpflichtend für alle Unternehmen, Unternehmer, Selbständige und sogar Vereine. Eine automatische Verarbeitung ist dabei nicht erforderlich.
Die DSGVO ist nur eine Grundverordnung. Haben Sie Hinweise auf bereichsspezifische Regelungen und Öffnungsklauseln, die für Freelancer interessant sein könnten?
Die DSGVO ist nicht „nur“ eine Grundverordnung – es ist wichtig zu wissen, dass hier EU-Recht Vorrang vor den jeweiligen nationalen Gesetzen hat. Das Ziel ist eine Vollharmonisierung zwischen den EU-Ländern, es wird aber den jeweiligen Mitgliedsstaaten über knapp 70 sogenannte Öffnungsklauseln ein gewisser Handlungsspielraum eingeräumt, ihre nationalen Regelungen einzubinden.
Inwieweit dies insbesondere für Freelancer interessant sein könnte, kommt auf den Einzelfall an.
Was raten Sie Freelancern, die Fotos oder Videos auf ihrer Seite eingebaut haben?
Neben dem Urheberrecht gilt es selbstverständlich auch, die Persönlichkeitsrechte der abgebildeten Personen zu wahren – eine Einverständniserklärung der Betroffenen über die Verwendung von Ton- und Bildaufnahmen ist daher zwingend erforderlich.
Haben Sie weitere Hinweise für unsere Leser?
Die DSGVO wird auch nach dem 25.05.2018 spannend bleiben, insbesondere was die Kontrolltätigkeiten durch die Aufsichtsbehörden angeht. Die ersten Rechtsprechungen werden dann hoffentlich auch rasch Klarheit über einige bisherige Interpretationen bringen.
Herr Gawenda, wir danken Ihnen ganz herzlich für das Gespräch.
Grundsätzlich gilt: Bewahren Sie Ruhe und lassen Sie sich nicht zu sehr verunsichern. Informieren Sie sich im Zweifel bei einem Anwalt oder direkt auf folgender Seite zur DSGVO.
Hinweis: Dieser Artikel erhebt keinen Anspruch auf Rechtsgültigkeit und kann die Beratung durch einen Anwalt nicht ersetzen.