Datenschutz?

Ist nicht Ihr Ding?
Das kann teuer werden. Abmahnungen können schnell hohe Kosten verursachen. Wenn ich im Rahmen meiner Tätigkeit so manche Webseiten, insbesondere solche von Hotels und Ferienwohnungen, in Augenschein nehme, habe ich den Eindruck, dass der Datenschutz keine besondere Rolle spielt.


So ist es wohl zu erklären, dass zum Beispiel fast alle Newsletter-Formulare nicht den rechtlichen Vorgaben entsprechen.Und dass die bald am 25. Mai 2018 unmittelbare in Kraft tretende Datenschutz-Grundverordnung der EU (DSGVO) bislang völlig außer Acht gelassen wird.


Im folgenden möchte ich die wichtigeste Punkte der DSVGO vorstellen. Bitte beachten Sie aber, dass dieser Blogeintrag keine verbindliche Rechtsberatung darstellt und eine anwaltliche Fachberatung zu diesem Thema nicht ersetzen kann noch will!





Geltung

Es wurde bereits eingangs erwähnt: Die DSGVO ist eine Verordnung der EU, die nach ihrem Inkrafttreten unmittelbar in jedem Mitgliedstaat der EU gilt. Dies bedeutet, dass es zu ihrer Geltung keines zusätzlichen nationalen Rechtsaktes mehr bedarf. Kurz gesagt: Ab dem 25.05.2018 gelten die Bestimmungen dieser Verordnung.
Den Text in deutscher Übersetzung um Nachschlagen finden Sie zum Beispiel hier.


 

Wichtige Grundsätze

Die wichtigsten Grundsätze finden sich in Art. 5 DSGVO.

Verarbeitung jeweils nur für bestimmte Zwecke
Nach Abs.1 b dürfen personenbezogene Daten nur "für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden". Dies bedeutet zum Beispiel, dass Daten, die zum Zwecke der Abwicklung eines gebuchten Hotelaufenthaltes erhoben wurden, nicht ohne weitere Einwilligung für die Zusendung von Werbemails genutzt werden dürfen.


Datenminimierung
Die personenbezogenen Daten müssen nach Art 5 Abs. 1 c "auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein". Hier darf man sich fragen, ob als obligatorische Felder bei einer Newsletter-Anmeldung tatsächlich auch die postalische Anschrift des Anmelders erfragt werden dürfen. Oder verlangt der Grundsatz der Datenminimierung letztendlich die Beschränkung auf die E-Mail-Anschrift?
Bei der Planung von Formularen ist daher stets zu hinterfragen, welche Angaben zu dem jeweiligen Zweck unbedingt erforderlich sind und welche Angaben (zum Beispiel meist das Geburtsdatum) weggelassen werden können, ohne dass der Zweck selbst gefährdet wäre.


Zu beachten ist vor dem Hintergrund der bereits älteren Gleichbehandlungsrichtlinien, dass bei bestimmten Daten eine besondere Prüfung angezeigt ist, ob diese erhoben werden dürfen. Lieber ein zweites und drittes Mal zu prüfen ist daher, ob Angaben zu ethnischer Herkunft oder sexuellen Neigungen überhaupt erfragt werden dürfen (vgl. Art.9 DSGVO).



Einrichtung geeigneter Ablaufroutinen
Was ist damit gemeint? Art. 5 Abs. 1 d bis f fordert die Einrichtung von internen Prozessen, die gewährleisten, dass
a) unrichtige Daten unverzüglich gelöscht oder berichtigt werden
b) Daten nur so lange gespeichert werden, wie es der zugrundeliegende Zweck erfordert
c)gesichert ohne Gefahr unbefugter Zugriffe verarbeitet werden.


Einwilligung
Gleich einige wichtige Punkte sind bei der Einwilligung des Dateninhabers zu beachten, die nach Art. 6 Nr. 1 a DSGVO die Rechtmäßigkeit der Datenverarbeitung begründen kann.

Nach Art. 7 Abs. 1 DSGVO obliegt dem Verantwortlichen der Nachweis, dass die erforderliche Einwilligung erteilt worden ist. Dies bedeutet, dass intern sicherzustellen ist, dass notfalls die Einwilligung belegt werden kann - in welcher Form auch immer.

Die Einwilligung selbst muss so eingeholt werden, dass sie sich klar und deutlich auf einen eng abgegrenzten Zweckbereich bezieht. Dies ist kein Selbstzweck: Nach Art. 7 Abs. 2 Satz 2 DSGVO kann eine Einwilligung, die diesen Vorgaben nicht entspricht, also nicht hinreichend klar und deutlich abgefasst ist, rechtlich unverbindlich sein und damit als Grundlage für die Datenverarbeitung entfallen. Die Datenverarbeitung bei einer solchen unklaren Einwilligung wäre - sofern nicht ein weiterer Zweck im Sinne des Art 6 DSGVO hinzukommt - unzulässig und ein Verstoß gegen die Datenschutzverordnung.

Über die Möglichkeit eines Widerrufs der Einwilligung muss vor Abgabe der Einwilligung in Kenntnis gesetzt werden. Weiterhin heißt es in Art. 7 Abs. 3 Satz 3 DSGVO: "Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein." Dies bedeutet, dass zum Beispiel bei einem Newsletter-Formular auf die Möglichkeit des Widerrufs und das Wie unbedingt hinzuweisen ist! Idealerweise sollte der Widerruf - bei einem Newsletter das Abbestellen desselben - auf dieselbe Art und Weise wie das Abonnement erfolgen können - quasi spiegelbildlich!


Informationen
Ein weiterer wichtiger Punkt: Was gehört in die Datenschutzerklärung?
Art. 12 DSGVO gibt hierüber Aufschluss: "Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln..." (Abs. 1 Satz 1).
Dies bedeutet im Klartext, dass in die Datenschutzerklärung folgende Angaben gehören:
Art. 13 - Verantwortlicher und Kontaktdaten, Zweck und Rechtsgrundlage, Rechte auf Auskunft, Berichtigung und Löschung, Widerruf, mögliche Empfänger bei Weiterleitung der Daten und weitere Sonderfälle.
Die meisten Datenschutzerklärungen entsprechen bereits dieser Anforderung. Art. 14 hingegen betrifft die (wohl selteneren) Fälle, bei denen die Daten nicht bei dem Dateninhaber erhoben wurden.


Weiterhin ist sicherzustellen, dass Mitteilungen an den Dateninhaber erfolgen, sollte dieser gewisse Rechte in Anspruch nehmen:
Art. 15- Mitteilungen an den Dateninhaber bei Inanspruchnahme seines Auskunftsrechts.Soll heißen, dass zum Beispiel ein Hotelgast auf Anfrage eine verständliche Mitteilung darüber erwarten darf, wie lange seine Daten gespeichert bleiben.
Art. 19 - Mitteilungen zu Berichtigung bzw. Löschung von Daten oder eingeschränkte Verarbeitung nach Art. 16 - 18.
In jedem Falle ist zu beachten, dass nach Art 20 DSGVO die Daten "in einem strukturierten, gängigen und maschinenlesbaren Format" zu übermitteln sind.


Widerspruchsrecht
Erheblich ist auch die Regelung von Art. 21 Abs. 2. Danach hat ein Dateninhaber in den Fällen, in denen die Daten zum Zwecke der Direktwerbung eingesetzt werden, "das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen". Die weitere Nutzung der Daten für solche Werbemaßnahmen ist dann unzulässig. Wichtig ist hierbei folgendes: "Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen." Auf das Widerspruchsrecht ist mithin gesondert hinzweisen!


Die Fälle der Art. 22 und 34 dürften für die meisten Webseitenbetreiber von untergeordneter Relevanz sein, so dass auf eine weitergehende Darstellung insofern verzichtet werden soll.


Sie sehen, bei der Gestaltung von Newslettern und Datenschutzerklärungen sind einige Punkte hinzugekommen, die Beachtung finden sollten.
Im Zweifelsfall sollten Sie einen Anwalt aufsuchen und um Überprüfung Ihrer Webseite bitten. Dies kann Ihnen möglicherweise viel Ärger ersparen...

© Eva Ausserhofer 2019

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Ok Ablehnen