DSGVO: Nicht-Einhaltung der Vorschriften kann teuer werden

Mit dem Inkrafttreten der Datenschutz-Grund-Verordnung (DGSVO) wurde zwar ein EU-weiter einheitlicher Rahmen geschaffen, aber viele Fragen offengelassen.
Zu begrüßen ist, dass klare Verantwortlichkeiten und Haftungsregelungen geschaffen wurden. Weniger schön ist die Tatsache, dass der Betreiber einer kleinen Fanpage auf Facebook etc. für die Aktivitäten von Facebook haftbar gemacht werden kann.

Dilemma Social Media und Anbieter außerhalb der EU

Obige Betreiber von kleineren Fanpages und anderen Social Media Präsenzen werden hier vorerst allein gelassen: Die Datenschutzkonferenz (Oberste Vereinigung aller Datenschutzbehörden) hat zumindest klargestellt, dass der Betreiber einer Fanpage rechtlich für die ordnungsgemäße Verarbeitung der Daten verantwortlich ist. Kann er der Rechenschaftspflicht gegenüber einem Benutzer nicht nachkommen, so ist ein DSGVO-konformer Betrieb nicht möglich. An dieser Stelle kann nur geraten werden, regelmäßig zu prüfen, ob die jeweilige Plattform eine aktualisierte Datenschutzerklärung besitzt. Diese muss den eigenen Besuchern zugänglich gemacht werden.

 

Werbung muss willkommen sein

Ein weiterer Fallstrick lauert im Bereich Werbung: Soll ein Nutzer angeschrieben werden, so muss eine explizite Einwilligung vorliegen, die eindeutig überprüft worden ist. Dieses nennt sich „Double-Opt-In“ und bedeutet, dass der Empfänger eines Newsletter die Anmeldung durch eine Antwort auf eine Bestätigungsmail nochmals bestätigen muss. Hierdurch soll vermieden werden, dass jemand gegen seinen Willen auf Mailverteilern eingetragen wird. Dieser komplette Vorgang ist zu protokollieren, da ansonsten bei Beschwerden von Empfängern nicht eindeutig nachgewiesen kann, dass diese eingewilligt haben. Dies betrifft nur Werbung oder Kontakt per Email, klassische Briefpost ist hiervon nicht betroffen. Mehr zu erfolgreichem Online Marketing für Handwerker.

 

 

Erst informieren, dann surfen

Ein Besucher einer Webseite muss vor Betreten informiert werden, was mit seinen Daten passiert. Dies fängt an bei der Information und Genehmigung, Cookies verwenden zu dürfen, und hört bei dem Speichern von Anmeldedaten auf. In jedem Fall muss explizit um Genehmigung gefragt werden. Eine Nachricht, die dem Benutzer darüber informiert, dass „mit Benutzung der Webseite folgende Dinge anerkannt und genehmigt sind“, ist nicht ausreichend. Derartige Versäumnisse können im Ernstfall zu Klagen führen.

 

Die Rechte des Betroffenen

Es besteht ein generelles Auskunftsrecht. Jeder Besucher einer Webseite (oder facebook-Fanpage) hat das Recht, vom Betreiber zu erfahren, welche Daten von ihm gespeichert sind. Darüber hinaus kann eine betroffene Person verlangen, dass diese Daten berichtigt, gelöscht, eingeschränkt und übertragen werden können, sowie einer vorherigen Einwilligung widersprechen.
Hier hat innerhalb eines Monats eine Auskunft zu erfolgen, welche Daten vorliegen und wie mit diesen umgegangen wird. Gemäß dem Grundsatz der Datensparsamkeit müssen Daten, die nicht zwingend benötigt werden, nach angemessener Zeit gelöscht werden.

 

Umsetzung, Kontrollen und Bußgelder

Mit der DSGVO werden einige Betreiberpflichten etwas enger gefasst. Solange hier die wesentlichen Maßnahmen getroffen sind, besteht allerdings kein Grund zur Panik. Es muss eine Datenschutzerklärung/Datenschutzinformation mit Hinweisen für Kunden und Mitarbeiter vorliegen. Danach muss festgehalten werden, welche Systeme Daten verarbeiten, welcher Mitarbeiter damit arbeiten darf, und wann diese Daten gelöscht werden. Wenn Dienstleister Daten verarbeiten (bsp. Webhoster der Webseite), dann ist eine Auftragsverarbeitungsvertrag abzuschließen, den die meisten Anbieter als fertigen Vordruck besitzen.
Bei schwerwiegenden oder wiederholten Verstößen gegen diese Pflichten werden zunehmend von den Aufsichtsbehörden erste Bußgelder verhängt.