Datenschutzgrundverordnung ab Mai 2018 Was sich durch die DSGVO auch für Firmen-Webseiten ändert

Ab Mai 2018 tritt innerhalb der gesamten EU die neue Datenschutzgrundverordnung in Kraft.

12.01.2018

Am 25. Mai wird die neue Datenschutzgrundverordnung (DSGVO) wirksam. Vieles soll dadurch klarer werden. Doch kompliziert wird es, wenn es um Internetseiten geht. Denn die neue Verordnung berührt viele damit verbundene Themen – aber formuliert sie nicht explizit aus.

Bisher war das Telemediengesetz (TMG) die rechtliche Grundlage für das Betreiben von Websites. Das TMG wird nun durch das Europarecht verdrängt. Datenschutzbeauftragte müssen zudem weiterhin die ePrivacy-Richtlinie beachten – aber in einer neuen Fassung. Denn der offizielle Entwurf der EU-Kommission konkretisiert die Bestimmungen der DSGVO bezüglich digitaler Dienste. Die neuen ePrivacy-Regeln sollen wie die Datenschutz-Grundverordnung im Mai 2018 in Kraft treten. Deshalb erlässt sie die EU in Form einer Verordnung. Das bedeutet, dass sie unmittelbar gelten: anders als eine Richtlinie müssen sie nicht erst in nationales Recht übertragen werden.

Grundsätzlich verlangt die DSGVO, Datenbestände, Datenflüsse und Datenverarbeitungsprozesse im Unternehmen zu ermitteln, zu dokumentieren und anzupassen. Das muss dann natürlich auch für Webseiten gemacht werden – von der Internetseite des Ein-Mann-Betriebes bis hin zur Konzern-Website. Für jede Online-Präsenz braucht es künftig eine Datenschutzerklärung. Allerdings muss sie mehr als bislang „in klarer und einfacher Sprache“ formuliert sein.

Zudem müssen in der Datenschutzerklärung viele Details angegeben werden wie zum Beispiel:

  • die Kontaktdaten des Datenschutzbeauftragten

  • Informationen zum Interesse an der Datenverarbeitung

  • ob Daten in Drittstaaten übetrragen werden

  • Informationen über Betroffenenrechte wie Berichtigung, Beschwerde oder Löschung

Die Datenschutzerklärung wird also deutlich umfangreicher. Außerdem: Alle Informationen müssen „präzise, transparent, verständlich und in leicht zugänglicher Form“ zur Verfügung stehen, verlangt die DSGVO. Für viele Unternehmen wird es eine große Herausforderung sein, die richtigen Formulierungen zu finden.

Zustimmung ist Pflicht

„Am sichersten ist es, wenn Unternehmen sich von den ‚Betroffenen’ der Website die Einwilligung für ihre Verarbeitungsprozesse einholen“, sagt Melanie Braunschweig, Datenschutz-Expertin bei der TÜV Nord Akademie. Dabei sind ältere Zustimmungen nur dann gültig, wenn sie den neuen Anforderungen entsprechen: „Wenn Unternehmen die Einwilligung für die Datenverarbeitung besitzen, dürfen sie diese Informationen genau wie bisher nutzen – zum Beispiel, um Kunden die bestellte Ware zu schicken und eine Zahlung abzubuchen“, erklärt Braunschweig. Die Einwilligung umfasst in der Regel das Ausüben des „berechtigten Interesses“ eines Unternehmens. Die Anforderungen daran sind nicht allzu streng. Bei der Auslegung des Begriffs „berechtigtes Interesse“ kommt es unter anderem auf eine aus dem US-Recht bekannte Maxime der „vernünftigen Erwartung“ (Reasonable Expectations of Privacy) des Betroffenen an. Der Internetnutzer muss beispielsweise davon ausgehen, dass Unternehmen ein Web-Analysetool verwenden. So ist auch das Auswerten und Analysieren von Kundendaten erlaubt. Zum Beispiel um personalisierte Angebote zu unterbreiten oder die Kundenzufriedenheit zu messen. Für die Weitergabe von Daten an Dritte reicht es aus, dass diese Dritten ihrerseits ein berechtigtes Interesse geltend machen. Das ist vor allem rund um den Adresshandel wichtig.

IP-Adressen gelten nicht mehr als anonym

Eine wesentliche Änderung gegenüber der bisherigen Gesetzgebung: Cookie- oder User-IDs, IPoder Mac-Adressen werden nicht mehr als anonym eingestuft. Bislang fiel deren Verarbeitung nicht unter die Datenschutzgesetze. Die neue DSGVO sieht das anders: Sie behandelt Online-Identifier wie personenbezogene Daten. Unternehmen müssen für deren Verarbeitung künftig eigentlich die Einwilligung der Betroffenen einholen. Allerdings stellt das DSGVO fest, dass diese Zustimmung auch durch „schlüssige Handlungen“ zum Ausdruck kommen kann, etwa durch das Weiternutzen von Onlinediensten. Die meisten Online-Geschäftsmodelle werden auch mit Inkrafttreten der neuen DSGVO im Mai 2018 möglich bleiben. Allerdings sollten Unternehmen unbedingt darauf achten, dass sie die umfangreichen Neuregelungen beachten. Denn Verstöße können drastische Geldstrafen nach sich ziehen.

Firmen zu diesem Artikel
Verwandte Artikel