Am 25. Mai 2018 tritt in der EU eine neue Datenschutz-Grund­verordnung in Kraft. Sie betrifft alle Unternehmen, die persönliche Daten erheben oder verarbeiten – sowohl von Kunden als auch Mitarbeitern. Damit sind auch alle Betreiber von Marken-Websites tangiert, ganz gleich ob im Shop Kundendaten erfasst werden oder Analyse-Tools wie Google Analytics mitlaufen.

Digitale Privatsphäre

Von der Datensammelwut der Großkonzerne ist jeder einzelne betroffen. Die DSGVO will die Privatsphäre besser schützen – und nimmt dabei auch kleine Web-Anbieter ins Visier.

Wenn Ende Mai 2018 die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft tritt, dann hat das fundamentale Auswirkungen auf alle Unternehmen, die Daten erfassen und verarbeiten. Und zwar nicht nur die von Kunden, sondern auch von Mitarbeitern. Mit der DSGVO lösen diese EU-weit vereinheitlichten Regelungen die bisherigen nationalen Vorschriften ab. Auch muss die DSGVO nicht erst in nationales Recht umgesetzt werden, sondern sie gilt ab dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedsstaaten. Daher wurde bereits im Juni 2017 das Bundesdatenschutzgesetz neu gefasst, um nationales Datenschutzrecht aufzuheben oder um die bei Inkrafttreten der Datenschutz-Grundverordnung unwirksamen Regelungen des bisherigen Bundesdatenschutzgesetzes (BDSG) in andere Gesetzeswerke zu überführen. Dabei wurde Regelungen angepasst und auch neue Vorschriften für den Datenschutz erlassen.

Die DSGVO ändert die Konzeption und weitgehend auch die Detailregelungen des geltenden Datenschutzrechts nicht gravierend. Vielmehr werden zumeist Bestimmungen der bisherigen EG-Datenschutzrichtlinie 95/46 übernommen, die die Grundlage auch des BDSG bilden. Andererseits gibt es aber auch zahlreiche neue datenschutzrechtliche Vorgaben, die zu erfüllen allein schon wegen des immens erhöhten Bußgeldrahmens außer Diskussion stehen sollte. Doch dazu später mehr. Im Übrigen gilt das neue europäische Datenschutzrecht auch für außereuropäische Unternehmen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten.

Tragweite der DSGVO

So gut wie alle Markenunternehmen und Händler mit einer eigenen Website müssen die neuen Regeln beachten. Wer einen Shop betreibt, erfasst und verarbeitet Daten. Und sei es nur, um eine Rechnung zu erzeugen und einen Lieferschein zu erstellen. Nutzt er dazu einen Dienstleister, ist er dennoch verpflichtet, die Regeln zu beachten. Auch wer auf seiner Website ein Analyse-Tool wie Google
Analytics
oder Piwik mitlaufen lässt, ist in der Pflicht. Auch Facebook-Buttons und andere Funktionen einer Website erfassen und verarbeiten Daten nach der DSGVO, sodass die Verordnung selbst dann greift, wenn ein kleiner Hersteller eine einfache Website aus dem Baukasten verwendet und per Klick die eine oder andere sammelwütige Funktionalität aktiviert hat – falls diese nicht ohnehin „out of the box“ als Standardfunktion aufgeschaltet ist. 

Werbung und Newsletter 

Digitale Daten:
Wer Daten von Kunden erfasst oder speichert, muss künftig neue Vorschriften beachten.

Die Verordnung ist vor dem Hintergrund der großen US-amerikanischen Sammelleidenschaft der Suchmaschinen und sozialen Netzwerke konzipiert worden. Inzwischen gibt es zahlreiche Presseberichte und Bücher darüber, welche Informationen sich über jeden Einzelnen zusammentragen lassen, wenn nicht nur das Nutzerverhalten bei einem Anbieter ausgewertet wird, sondern, wie längst üblich, mittels Cookies von Werbefirmen die Aktivitäten eines Nutzers über ganz unterschiedliche Anbieter hinweg verfolgt und verdichtet werden. Inzwischen scheint die gesetzgeberische Ohnmacht, die sich lange mit dem Verweis auf Anbieter jenseits des eigenen Rechtsraums breitgemacht hatte, überwunden zu sein. Offenbar ließ sich das konventionelle Datenschutzrecht aushebeln, sodass sich Unternehmen nahezu hemmungslos mit Nutzerdaten vollsaugen konnten. Nicht zuletzt der Verdacht, die US-amerikanischen Präsidentschaftswahlen könnten mithilfe der sozialen Netzwerke manipuliert worden sein, scheint selbst im Land der unbegrenzten Möglichkeiten zu einem Umdenken zu führen. Dass eine stärkere Regulierung der Riesen der digitalen Branche überfällig sei, ist hierzulande weithin vorherrschende Meinung. Doch die DSGVO, so erste Kommentare, wird auch die alltäglichen Möglichkeiten vieler kleiner Unternehmen stark beeinflussen. Und das nicht etwa, weil diese sich einer besonderen Datensammelwut befleißigt hätten, sondern allein weil die Vorschriften der Verordnung so weitreichend sind, dass manchem die Lust an der digitalen Exploration seiner Kunden, Follower und Markenfans noch vergehen wird. So gibt es eine Reihe von Vorschriften, die bei der Werbung und im Vertrieb vor allem im Hinblick auf Kundendaten unbedingt beachtet werden müssen. 

Auskunftsanspruch

Kunden und, wie schon erwähnt, auch Mitarbeiter, haben einen umfassenden Informationsanspruch. Die Informationen darüber müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein. Die von jeglicher Datenverarbeitung betroffene Person kann Auskunft verlangen unter anderem über den Zweck, die Empfänger und die Verantwortlichen der Datenverarbeitung, die Dauer der Datenspeicherung, die Rechte zur Berichtigung, zum Sperren und Löschen und die Verwendung der Daten für Profiling-Zwecke. Sobald sich der Zweck der Datenerfassung und -speicherung ändert, ist die betroffene Person übrigens künftig aktiv zu informieren.

Auf die leichte Schulter sollte man die DSGVO auf keinen Fall nehmen. Denn wer gegen das Datenschutzrecht verstößt, dem drohen bei Prüfung durch Datenschutzbehörden empfindliche Bußgelder, die deutlich höher ausfallen als bisher. Diese können bis zu 20 Millionen Euro oder bei Unternehmen bis zu vier Prozent ihres gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen. Dabei ist die Sanktion nicht auf den geringeren der beiden Beträge beschränkt, sondern sie kann den höheren der beiden Beträge ausmachen. 

Keine automatische Einwilligung mehr

Bei der Konzeption der DSGVO lagen Begrifflichkeiten wie „data protection by design“ und „data protection by default“ zugrunde. Diese Ansätze bedeuten, dass die Technik („design“) der Datenverarbeitung von vorneherein darauf ausgelegt ist und die Voreinstellungen („defaults“) so ausgewählt sein sollen, dass den Grundsätzen des Datenschutzes Genüge getan wird. Ein solches dokumentiertes Vorgehen kann dabei helfen, die Einhaltung der DSGVO nachzuweisen. Daher sollten auf Websites zum Beispiel Checkboxen, die eine Zustimmung für Werbezwecke oder Newsletter-Eintragungen abfragen, nicht standardmäßig angekreuzt sein. Der Nutzer muss seine Bereitschaft aktiv bekräftigen können. Während kleine Unternehmen in der Regel davon ausgenommen sind, müssen mittlere und größere Unternehmen einen Datenschutzbeauftragten bestellen. Grundsätzlich gilt, dass Datenbestände, Datenflüsse und Prozesse der Datenverarbeitung ermittelt, dokumentiert und angepasst werden müssen. Hierzu gibt es strenge Vorschriften.

Führen von Verfahrens­verzeichnissen

Online-Shops und Unternehmen ab 250 Mitarbeitern müssen alle Systeme und Verfahren, mit denen personenbezogene Daten verarbeitet werden, in einem „Verzeichnis von Verarbeitungstätigkeiten“ auflisten. Es muss unter anderem festgehalten werden, welchen Zwecken die Verarbeitung dient, welche Kategorien personenbezogener Daten erhoben werden, welche Kategorien von Personen, zum Beispiel Kunden-Cluster, es gibt, welche Fristen zur Löschung der Daten vorgesehen sind und mit welchen Maßnahmen die Datensicherheit gewährleistet wird. Auch ist festzuhalten, wenn gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation erfolgen.

Anpassen der Auftrags­datenverarbeitung

Die bereits nach heutigem Recht zu schließenden Auftragsdaten-Verarbeitungsverträge mit Dienstleistern, die Kundendaten verarbeiten, worunter auch Cloud- und Internet-basierte Anwendungen wie zum Beispiel Mailing-Dienste von Mailchimp, CRM-Systeme oder Google Analytics fallen, müssen aufgrund neuer Pflichten der Auftragsverarbeiter aktualisiert werden.

Anpassung der Rechtstexte

Und auch die Umformulierung von Werbeeinwilligungstexten, Datenschutzinformationen und AGBs sowie sonstigen Informationstexten in Online-Shops ist aufgrund teilweise neuer, umfangreicherer Informationspflichten notwendig. Leider wird das erfahrungsgemäß Tür und Tor für Abmahnvereine öffnen. Daher gilt: zügig drum kümmern!