Die neue EU-Datenschutz-Grundverordnung: Das ändert sich für Webseiten und Onlineshops

Ab dem 25. Mai 2018 tritt die EU Datenschutzgrundverordnung (DSGVO) in Kraft. In diesem Artikel wollen wir einen groben Überblick geben, was sich für Betreiber von Webseiten und Onlineshops ändert.

Hintergrund vektor durch Freepik entwickelt

Die EU Datenschutzgrundverordnung (EU-DSGVO) ist eine neue EU-Verordnung -  also eine Vorschrift, die in der ganzen Europäischen Union gilt. Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher in jedem Land unterschiedliche Datenschutzgesetze und damit unterschiedliche Standards gelten.

Die EU Datenschutzgrundverordnung wurde schon am 25. Mai 2016 aufgestellt. Die verbindliche Anwendung für alle EU Mitgliedstaaten tritt aber erst ab dem 25. Mai 2018 in Kraft. Die Datenschutzgrundverordnung müssen die Mitgliedstaaten als Verordnung nicht noch in nationales Recht umsetzen. Sie gelten direkt (anders als bei EU-Richtlinien). Allerdings haben die Mitgliedstaaten in einigen Bereichen auch Gestaltungsspielräume, so dass es keine 100%ig einheitliche Rechtslage geben wird. Die EU-DSGVO wird in vielen Teilen das momentan bestehende Bundesdatenschutzgesetz (BDSG) ersetzen. Dies gilt auch für die bisher geltenden Regelungen des Telemediengesetzes (TMG).

Die DSGVO betrifft generell jedes Unternehmen, das personenbezogene Daten verarbeitet, mit Sitz in der EU oder wenn es sich um Daten von EU-Bürgen handelt. Kurzgesagt alle die im Internet aktiv sind. Denn zu personenbezogenen Daten zählen nicht nur offensichtliche Daten wie Namen, Anschriften, E-Mail-Adressen, sondern auch IP-Adressen, Standortdaten, Browserkennungen, Cookies, etc.

Pauschal lässt sich das gar nicht beurteilen. Da sich viele Details ändern müssen eigentlich sämtliche Prozesse, die Nutzer- und oder Kundendaten verarbeiten, überprüft werden.
Wir wollen uns in diesem Artikel mal auf die Änderungen für Ihre Website, beziehungsweise Ihren Onlineshop betreffend konzentrieren.

Konkret sind hier Änderungen an

• Newsletter
• Formularen, wie z.B. Kontaktformular
• Login-Bereichen
• Datenschutzerklärung
• Social Media Plugins
• Cookies

nötig. Als Kunden der workID Internetagentur sind Sie mit Ihrer Website oder Ihrem Onlineshop schon gut aufgestellt. Denn in Deutschland haben wir mit dem BDSG schon ein recht hohes Datenschutzniveau, daher ändert sich an vielen bekannten Grundsätzen gar nicht so viel. Die Änderungen liegen eher im Detail.

Im Klartext: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis. Diese kann entstehen aus:

• Gesetz, z.B. aus dem BDSG, TMG, EU-DSGVO
• Einwilligung der betroffenen Person

Im Klartext: Sie dürfen nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen.

Im Klartext: Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.

Der nun neu in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Verarbeiter von Daten unter Berücksichtigung des Stands der Technik, der Implementierung (Kosten, Art, Umfang) und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten.

Den genauen Wortlaut mit allen Anforderungen können Sie auch noch einmal hier nachlesen: https://dsgvo-gesetz.de/art-32-dsgvo/

Im Klartext: Je nach Schutzbedürftigkeit der personenbezogenen Daten müssen geeignete Maßnahmen zum Schutz dieser getroffen werden. So sollten z.B. Seiten bei denen personenbezogene Daten erfasst werden (z.B. Kontaktformular) SSL verschlüsselt sein.

In Zukunft schützt ein effektives Datenschutzmanagement und eine Dokumentierung der Einhaltung der Datenschutzanforderungen vor drohenden Bußgeldern. So können Sie die datenschutzrechtliche Umsetzung gegenüber nationaler und europäischer Aufsichtsbehörden nachweisen.

Als Pflichtfeld darf nur die E-Mail-Adresse erfasst werden alle anderen Angaben müssen auf freiwilliger Basis erfolgen. Die Seite der Newsletter-Anmeldung sollte SSL geschützt sein.

Als Pflichtfeld sollte auch hier nur die E-Mail-Adresse und maximal zur persönlichen Ansprache der Nachname erfasst werden. Alle weiteren Angaben sollten nur auf freiwilliger Basis erfolgen.
Seiten wie das Kontaktformular welche personenbezogenen Daten erfassen sollten über SSL abgesichert werden.

Quelle: http://shopbetreiber-blog.de/2017/06/23/dsgvo-kontaktformular/

Logins erfordern meist Benutzername oder Email und Passwort. Hier ist ein Benutzername der Email vorzuziehen da dieser anonymisiert möglich ist. Bei der Registrierung für einen eingeschränkten Bereich ist der Grundsatz der Datensparsamkeit zu beachten. Es sollten also nur die Daten erhoben werden die zwingend benötigt werden. Ein Login Bereich sollte zwingend über SSL geschützt werden.

An der Verpflichtung, eine Datenschutzerklärung mit umfangreichen Informationen bereitzuhalten, ändert sich grundsätzlich einmal nichts, aber inhaltlich gibt es einige Änderungen. Art. 13 Abs. 1 DSGVO enthält eine genaue Auflistung der Informationspflichten, die in Zukunft in der Datenschutzerklärung erfüllt werden müssen.

• Namen und Kontaktdaten des Verantwortlichen, sowie ggf. einen Vertreter
• Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten^*1
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
• wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
• gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

^*1 Ob Sie in Ihrem Unternehmen einen Datenschutzbeauftragten benötigen können Sie hier nachlesen:
http://shopbetreiber-blog.de/2017/08/11/datenschutzbeauftragte-datenschutzgrundverordnung/

Quelle: http://shopbetreiber-blog.de/2017/07/13/neues-datenschutzrecht-das-muss-in-zukunft-in-die-datenschutzerklaerung/

Social Media Plugins

Hintergrund vektor durch Freepik entwickelt

Die Einbindung von Social Media PlugIns ist bereits heute nicht ohne weiteres möglich, da eine Übertragung von personenbezogenen Daten stattfindet. Diese ist aber nur mit Einwilligung notwendig, sodass sich Lösungen wie die 2-Klick-Lösung entwickelt haben. Nach neuem DSGVO muss für die Erhebung von Daten ohne Einwilligung eine Rechtfertigung vorliegen. Diese ist bei Social Media Plugins nicht gegeben. Es müsste also vor dem Anzeigen der Social Media Plugins eine Einwilligung eingeholt werden. Aber auch diese wird man nicht wirksam einholen können, da dem Betroffenen keine Informationen zur Datenverarbeitung erteilt werden können. Denn niemand weiß genau, wie Facebook, Twitter und Co. diese Daten verarbeiten.

Wer rechtlich sichergehen möchte, sollte daher lieber auf die PlugIns verzichten und z.B. auf die Möglichkeiten von Shariff (verlinken) zurückgreifen. Dabei handelt es sich nur um eine Verlinkung und es findet noch kein Datenaustausch mit dem sozialen Netzwerk statt. Erst wenn sich der Kunde dann einloggt, gelangt er auf sein Profil. Dadurch liegt die Informationspflicht über die Datenerhebung und -verarbeitung bei dem Betreiber des sozialen Netzwerkes.

Quelle: http://shopbetreiber-blog.de/2017/06/29/dsgvo-social-media/

Cookies

Bisher hat sich in der Praxis die sogenannte „Cookie-Bar“ durchgesetzt.
Ein Overlay welches den Besucher auf den Einsatz von Cookies hinweist um in dieser Form sein Einverständnis einzuholen. Wie muss dies ab dem 25. Mai 2018 geregelt werden?

Mit Wirksamwerden der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 werden die bisherigen datenschutzrelevanten Regelungen des TMG keine Anwendung mehr finden. Gleichzeitig hält die DSGVO keine dementsprechende Ausnahmeregelung für pseudonymisierte Daten bereit, ebenso wenig enthält sie eine ausdrückliche Regelung speziell für Cookies.

Daher gilt für in Cookies hinterlegte personenbezogene Daten nichts anderes, als für anderweitig erhobene oder verarbeitete personenbezogene Daten, unabhängig davon, ob es sich dabei um Pseudonyme handelt oder nicht.
Es bleibt insoweit bei dem Verbot mit Erlaubnisvorbehalt, das auch der DSGVO zugrunde liegt: Die Verarbeitung personenbezogener Daten ist grundsätzlich nicht zulässig, es sei denn, eine der in Art. 6 DSGVO aufgeführten Bedingungen ist erfüllt. Diese Bedingungen sind neu, ähneln inhaltlich jedoch Regelungen, die heute bereits aus §§ 28 ff. BDSG bekannt sind.

Müssen also nun für alle Cookies im Vorhinein eine Einwilligung eingeholt werden?

Kurz gesagt: Nein. Vielmehr bietet Art. 6 Abs. 1 Satz 1 lit. f DSGVO eine Möglichkeit für die zulässige Verarbeitung von personenbezogenen Daten, der nicht nur im Hinblick auf Cookies voraussichtlich eine große Relevanz zukommen wird. Nach dieser Vorschrift ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

Es kommt also auf eine Interessenabwägung im Einzelfall an.
Diese Frage ist vor Einsatz des Cookies mittels einer dreistufigen Prüfung zu beantworten

1. Gibt es ein berechtigtes Interesse des Online-Händlers?
2. Ist die beabsichtigte Datenverarbeitung, der Einsatz des Cookies, zur Wahrung dieses Interesses erforderlich?
3. Überwiegen die Interessen der Betroffenen am Schutz Ihrer Daten dem Interesse des Online-Händlers?

Was ist nach alldem also erlaubt? Wo überwiegen die Interessen des Websitebetreibers oder Online-Händlers am Einsatz bestimmter Cookies die Interessen der Webseitenbesucher?

• Bei einem Cookie, der der besseren Nutzerfreundlichkeit einer Webseite dient, werden die Interessen des Online-Händlers die Schutzinteressen der Webseitenbesucher regelmäßig überwiegen. Dies kann zum Beispiel eine Merkfunktion für Spracheinstellungen oder den Warenkorb sein. Die Besucher haben selbst ebenfalls ein Interesse an der anwenderfreundlichen Gestaltung der Webseite. Werden nur pseudonyme Daten im Rahmen dieser Cookies (z.B. UserID zur Wiedererkennung) verarbeitet, ist gleichzeitig die Einschränkung der schutzwürdigen Interessen nicht besonders tiefgreifend.
• Ein Cookie zur Webseitenanalyse, das nach heutiger Rechtslage zulässig eingesetzt wird, kann in der Regel unter der DSGVO ebenfalls über die Interessenabwägung aus Art. 6 Abs. 1 Satz 1 lit. f DSGVO gerechtfertigt werden. Auch hier dürften die Interessen des Online-Händlers an der bedarfsgerechten Gestaltung im Zusammenhang mit einer Verarbeitung pseudonymer Daten überwiegen.

Ist der Einsatz eines Cookies also über Art. 6 Abs. 1 Satz 1 lit. f DSGVO zulässig, ist folglich keine Einwilligung erforderlich. Dadurch entfällt auch die Notwendigkeit eines Cookie-Banners.

Hinweis: Mit der sog. ePrivacy-Verordnung der Europäischen Union, welche sich aktuell im Entwurfsmodus befindet kann sich dies alles nochmals ändern. Dort ist eine Neuregelung der Inhalte aus der Cookie-Richtlinie im Einklang mit der DSGVO geplant.

Quellen:
http://shopbetreiber-blog.de/2017/06/01/dsgvo-cookies-1/
http://shopbetreiber-blog.de/2017/06/08/dsgvo-cookies-2/

Dieser Artikel liefert nur einen kurzen Überblick über die neue DSGVO. Die ausführliche Mitteilung zur Verordnung des Europäischen Parlaments und des Rates "zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG finden Sie unter http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679