DSGVO infos
datenschutz
Neuregelungen zum 25. mai 2018
Seit Ende Mai 2018 ist die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Betroffen ist jeder Unternehmer und jeder Webseitenbetreiber. Diese Sonderseite verschafft Ihnen einen Überblick zum Thema und zeigt, wie Sie die nötigen Schritte einfach und schnell umsetzen können.
Als Agentur dürfen wir keine Rechtsberatung anbieten, die Informationen stammen aus unserer Kooperation mit der eRecht24 GmbH — sämtliche Angebote und Inhalte im Rahmen der DSGVO werden auf Basis deren Informationen und Tools als Vorlagen erstellt. Als weitere Möglichkeit bieten wir über einen anderen Partner auch eine automatisch aktualisierte Datenschutzerklärung inklusive Abmahnschutz für Ihre Homepage. Die Verwendung auf Ihrer Homepage erfolgt auf eigene Verantwortung, unsere Vorschläge ersetzen nicht die ggf. angebrachte individuelle anwaltliche Prüfung.
Bestandteil unserer umfangreichen Leistungen im Bereich Webseitenerstellung ist die Unterstützung bei der Umsetzung einer DSGVO-konformen Datenschutzerklärung und praktischer, anwaltlich geprüfter Inhalte zur DSGVO — als eRecht24 Agentur-Partner — oder die Unterstützung bei der Einbindung einer automatisch aktualisierten Datenschutzerklärung.
Die DSGVO regelt seit dem 25. Mai 2018 den Umgang von Unternehmen mit personenbezogenen Daten – einheitlich europaweit. Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, Unternehmer können also darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt. Die Verordnung gilt aber auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten — etwa Cloud- und Social-Media-Dienste aus den USA.
Die DSGVO betrifft dabei wirklich jedes Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen.
Auftragsverarbeitung
Mit uns als Ihrer Agenur für Werbemaßnahmen sowie Ihrem Webhoster oder CMS-Service-Provider mit <metatag>® benötigen Sie in jedem Fall einen Vertrag zur Auftragsverarbeitung (AV, früher ADV für Auftragsdatenverarbeitung). In unseren Entwurf müssen lediglich Kunden, die besonderen Geheimnisschutzregeln (z.B. §203 StGB) unterliegen, diese noch eintragen.
Bitte laden Sie Ihr von unserer Seite bereits gezeichnetes Exemplar herunter
Datenschutzerklärung Webseite
Zunächst benötigt jede Webseite eine neue Datenschutzerklärung, die den Vorgaben der DSGVO entspricht. Grundsätze einer DSGVO-konformen Datenschutzerklärung:
- Einfache und verständliche Sprache
- ggf. eine vorgeschaltete, allgemein-zusammenfassende Erklärung
- Kontaktdaten des Seitenbetreibers
- Datenschutzbeauftragter, wenn vorhanden
- Die Rechtsgrundlage der jeweiligen Datenerhebung/Verarbeitung (gesetzliche Regelung oder Einwilligung) muss konkret benannt werden
Die folgenden Punkte muss eine Datenschutzerklärung nach DSGVO mindestens enthalten:
- Nennung aller Datenverarbeitungsvorgänge auf der Webseite
- Umgang Kunden-/Bestelldaten
- Tracking, Cookies, Social Media
- Newsletter, AV-Vertrag
- Dauer der Speicherung, Löschungsfristen
- Auskunft, Berichtigung, Löschung, Widerspruch
- Recht auf Datenherausgabe und Übertragbarkeit
Eine Einwilligung darf nicht innerhalb der Datenschutzerklärung erklärt werden.
Achtung! Löschpflicht Art. 17 DSGVO
Daten müssen gelöscht werden, wenn:
- der Erhebungszweck weggefallen ist,
- die Einwilligung widerrufen wurde (Newsletter-Abmeldung),
- ein Widerspruch des Nutzers erfolgt („Löschen Sie meine Daten“) und keine gesetzlichen Speicherpflichten entgegenstehen (Steuern und Buchhaltung)
Wir erstellen Ihre DSGVO-konforme Datenschutzerklärung — bitte fragen Sie uns!
Impressum
Im Impressum sind — soweit auf aktuell korrektem Stand — keine Änderungen notwendig. Allerdings wird momentan diskutiert, dass für Auskunfts-, Berichtigungs- und Löschungsansprüche ein spezielles Kontaktformular geschaffen werden soll, das in die allgemeine Menüstruktur (bei Datenschutzerklärung und Impressum) integriert werden soll.
Im Zuge der Erstellung einer DSGVO-konformen DS-Erklärung erstellen wir parallel das Impressum nochmal aktuell neu — sicher ist sicher. Wir informieren an dieser Stelle über ggf. folgende Neuerungen und erforderliche Anpassungen.
Wir unterstützen Sie zum Thema Tracking — bitte fragen Sie uns!
Cookies und Tracking
Im Herbst 2019 wurde durch eine Entscheidung des EuGH die Verwendung von Cookies weiter eingeschränkt bzw. muss insbesondere Tracking-Cookies nun explizit zugestimmt werden. Wir empfehlen daher, die weitere Verwendung etwa von Google Analytics zu überdenken. Bitte stimmen Sie sich im Einzelfall mit uns ab, damit wir eine individuelle Lösung für Sie finden können.
Zusatz zur Datenverarbeitung mit Google abschließen.
Kunden von eg media, die über keinen eigenen Google-Account verfügen und/oder für die wir eine sog. "Google Analytics Property" über unseren Account (mit) verwalten*, müssen mit Google eine Zusatzvereinbarung zur Datenverarbeitung abschließen. Dazu kann in Vorbereitung bitte ggf. bereits ein Google Account angelegt werden — bitte teilen Sie uns die dazu verwendete eMailadresse mit, damit wir die GA-Property für Ihren Account freischalten können.
*falls Ihnen nicht bekannt ist, ob für Ihr <metatag>® CMS-Webs Google Analytics aktiv ist, können Sie es wie hier in der Onlinehilfe beschrieben einsehen: Wenn unter inhalt > s.e.o. > Google Tools im Feld Google Analytics "UA-..." steht, ist das Tracking aktiv. Für weitere Unterstützung kontaktieren Sie uns bitte am einfachsten direkt mit der dort eingetragenen UA-ID.
Infoseite von Google Analytics mit Anleitung für den Abschluß online
Bei anderen Tools wie z.B. dem Facebook Pixel kann man momentan leider keine genaue Aussage treffen.
Allerdings wird die Rechtslage wahrscheinlich komplizierter.
Newsletter und Einwilligungen
Einwilligungen von Nutzern, z.B. zum Newsletter-Versand, die bereits nach altem Recht wirksam eingeholt wurden (double opt-in) gelten grundsätzlich weiter.
Ausnahmen
- Koppelungsverbot bei alten Einwilligungen nicht beachtet
- Einwilligungen durch Minderjährige
- Dokumentation (inkl. Zeitpunkt) der Einwilligung nicht vorhanden
Was ist mit neuen Newsletter-Aktionen oder Preisausschreiben?
Wenn keine gesetzliche Erlaubnis zum Speichern/Übertragen von Daten vorhanden ist, wird immer eine Einwilligung benötigt. Auch unter der DSGVO sollte das double opt-in Prinzip beachtet werden, um die Einwilligung im Zweifel auch nachweisen zu können. Die Einwilligung muss in jedem Fall elektronisch dokumentiert werden.
Die Einwilligung muss dabei „freiwillig“ erfolgen: Echtes Koppelungsverbot in Art. 7 Abs.4 DSGVO. In der Regel: Keine Daten gegen Inhalte (z.B. E-Books, Gewinnspiele, Checklisten) und keine Koppelung von Newsletter-Versand an Vertragsschluss.
Was passiert mit dem Newslettermodul im CMS <metatag>®?
Zwar wurde bereits seit langem ein double opt-in Verfahren angewendet, es wurde jedoch kein Zeitpunkt vermerkt und zudem war bislang ein manueller Eingriff — um etwa rasch einen telefonischen Wunsch nach An- bzw. Abmeldung vom Newsletter erfüllen zu können — in die Empfängerlisten möglich.
Einige Anbieter wählten ein jursitisch wohl eher als "waghalsig" einzuordnendes Verfahren, bei dem die Newsletterempfänger lediglich informiert und nur bei Nicht-Einverständnis zur Abmeldung aufgefordert wurden. Wir hatten die mehrheitlich von Juristen vertretene Variante empfohlen, neue Einwilligungen aller Abonnenten einzuholen. Dies war jedoch nur bis zum 25.5.2018 mit bis dahin gültigen Einwilligungen möglich, gem. DSGVO müssen Sie die alten Empfängerlisten nun löschen!
Bitte kontaktieren Sie uns bei Interesse zum Thema Newsletter
Kontaktformulare
Insbesondere auf nicht-verschlüsselten Webseiten — Aufruf via http:// und noch nicht https:// (SSL) — sind Kontaktformulare ab dem 25.5.2018 einem verstärkten Abmahnrisiko ausgesetzt. Eine strenge Auslegung der noch unklaren Rechtslage würde zusätzlich einen Link zur Datenschutzerklärung bis hin zu einer Checkbox zur Einwilligung zur Datenverarbeitung fordern. Unser Rat lautet daher: wer auf sein Kontaktformular auch verzichten kann, sollte es einfacher entfernen. Beim "Schnellkontakt", der in vielen <metatag>® Designs per Banner aktiviert werden kann, ist uns mit geringem Aufwand das Hinzufügen einer Checkbox zur Zustimmung möglich.
Bitte kontaktieren Sie uns bei Fragen zum Kontaktformular!
Social Plugins
Die Originalversionen diverser Button und anderer Plugins sozialer Netzwerke übertragen schon bei Aufruf einer sie einsetzenden Seite Daten an das jeweilige soziale Netzwerk. Diese Praktik wurde zuletzt vermehrt von deutschen Gerichten als nicht zulässig erkannt. Problemlos ist hingegen ein eigener Button, der lediglich zur eigenen Präsenz auf dem sozialen Netzwerk verlinkt. Oder natürlich ein sog. "Safe Sharing Tool", bei dem erst nach einem Klick auf einen damit ausgestatteten Button Daten an das soziale Netzwerk übertragen werden.
— übrigens: hat ihre Facebook Fanpage ein (korrektes) Impressum...?
Bitte kontaktieren Sie zum Thema "Social Media & DSGVO"!
Weitere DSGVO Themen, auch jenseits des Webs
Wir haben im Folgenden weitere wichtige Themen rund um die neue Datenschutzgrundverordnung für Sie gesammelt. Als Agentur dürfen wir keine Rechtsberatung anbieten, die Texte stammen aus unserer Kooperation mit eRecht24.
Datenschutzbeauftragter
Unternehmen, die in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen oder zu einer Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO verpflichtet sind (s.u.), müssen einen Datenschutzbeauftragten benennen.
Interessenskonflikte
Bei der Besetzung des Datenschutzbeauftragten dürfen keine Interessenkonflikte bestehen. Daher kann ein Vorstandsmitglied, ein Geschäftsführer oder der Unternehmensinhaber nicht Datenschutzbeauftragter sein. Diese Personen können im Fall von Konflikten zwischen den Unternehmensinteressen und den datenschutzrechtlichen Vorschriften nicht vermitteln.
Sie können auch einen externen Datenschutzbeauftragten bestellen, um Konflikte zu vermeiden.
Qualifikationen des Datenschutzbeauftragten
Der Datenschutzbeauftragte muss zuverlässig sein. Juristische sowie technische Fachkunde sind ebenfalls unumgänglich für die Position des Datenschutz- beauftragten. Schulungen/Seminare inkl. Prüfung werden bundesweit angeboten, um die entsprechenden Qualifikationen zu erwerben, z.B. beim TÜV.
Verarbeitungsverzeichnis (bisher: Verfahrensverzeichnis)
Sie benötigen ein Verarbeitungsverzeichnis, wenn Sie mehr als 250 Mitarbeiter beschäftigen und wenn Sie besondere Datenkategorien verarbeiten.
Die Pflicht gilt auch für Unternehmen unter 250 Mitarbeitern, wenn die Verarbeitung „nicht nur gelegentlich“ erfolgt. Es ist aber noch nicht abschließend geklärt, was dies genau bedeutet. Bis die Voraussetzungen abschließend geklärt sind, sollten Sie im Zweifel ein solches Verzeichnis anlegen.
Welche Inhalte gehören hinein?
- Angaben des Verantwortlichen
- Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten
- Zwecke der Verarbeitung
- Kategorien betroffener Personen und personenbezogener Daten
- Kategorien von Empfängern
- Übermittlungen von personenbezogenen Daten an ein Drittland
- Fristen für Löschung
- Beschreibung der technischen und organisatorischen Maßnahmen
- Angaben des Auftragsverarbeiters
- Name und Kontaktdaten des Auftragverarbeiters und des Verantwortlichen, ihrer Vertreter und des Datenschutzbeauftragten
- Kategorien von Verarbeitungen
- Übermittlungen von personenbezogenen Daten an ein Drittland
Beispiele und Aufbau eines solchen Verarbeitungsverzeichnis finden Sie z.B. bei der Bitkom:
Bitkom Leitfaden Verarbeitungsverzeichnis
Mitarbeiterdaten
Mit der DSGVO kommen auch Neuregelungen zum Mitarbeiterdatenschutz. Die neuen Vorschriften enthalten zahlreiche Pflichten und Obliegenheiten, die Arbeitgeber künftig einhalten müssen.
Es sollen nur die Daten erhoben werden, die „erforderlich“ sind.
Mitarbeiterdaten sollen nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist.
Erlaubt ist die Verarbeitung auch dann, wenn sie für die Erfüllung gesetzlicher Rechte und Pflichten, eines Tarifvertrags oder einer Betriebs- oder Dienstvereinbarung oder zum Zwecke der Strafverfolgung erforderlich ist. Ob und wann die Erhebung bestimmter Daten tatsächlich erforderlich ist, muss dabei immer anhand des konkreten Einzelfalls bestimmt werden.
Einwilligungen einholen
Wer sich den rechtlichen Unsicherheiten rund um die „Erforderlichkeit“ entziehen will, kann freiwillig abgegebene Einwilligungen von seinen Arbeitnehmern einholen. Im Streitfall muss eine behauptete Freiwilligkeit der Einwilligung vom Arbeitgeber allerdings nachgewiesen werden.
Eine wirksame Einwilligung muss bestimmte formale Kriterien erfüllen. So muss sie grundsätzlich in Schriftform erfolgen, d. h. eigenständig unterschrieben werden. Da das allerdings nicht immer praktikabel ist, kann unter besonderen Umständen auch eine elektronische Einwilligung eingeholt werden. Zudem muss der Beschäftigte in geeigneter Form darauf hingewiesen werden, dass die Einwilligung jederzeit widerruflich ist. Schlussendlich müssen durch den Arbeitgeber bestimmte Voraussetzungen für die Widerrufserklärung geschaffen werden.
Ein Arbeitgeber muss die Einhaltung der soeben genannten Pflichten im Zweifel nachweisen können (Dokumentationspflichten). Des Weiteren sind Arbeitgeber künftig mit strengeren Informationspflichten bei Datenschutzverstößen und zahlreichen weiteren Pflichten (z.B. Löschungspflichten) konfrontiert.
Arbeitgeber sollten im Hinblick auf diese Pflichten ihre unternehmensinternen Prozesse daher gründlich überprüfen und ggf. anpassen lassen (Stichwort: Compliance-Management).
Datenschutz bei Minderjährigen
Bei Jugendlichen unter 16 Jahren müssen die Eltern einwilligen. Dies gilt aber nur für Fälle, bei denen die DSGVO eine Einwilligung vorschreibt (z.B. für Werbung) und in der Praxis nur dann, wenn es sich um Angebote handelt, die sich direkt an Kinder und Jugendliche richten.
Bei gemischten Angeboten (für Erwachsene und Jugendliche) sind keine spezifischen Vorgaben umzusetzen.
Datenschutz-Folgenabschätzung
In bestimmten Fällen sind Sie verpflichtet, die Folgen der Datenverarbeitung zu bewerten und dies in einer sog. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO festzuhalten. Eine sog. DSFA ist grundsätzlich immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.
Dies ist z.B. bei den folgenden Konstellationen der Fall:
- Verarbeitung von Gesundheitsdaten, Religion, Sexualität
- Geschäftsgeheimisse
- Profiling/Scoring
- Strafbare Handlungen
- u.vm.
Wann und wie eine solche Datenschutz-Folgenabschätzung im Detail durchzuführen ist, können Sie im umfangreichen Whitepaper des Forum Privatfreiheit nachlesen.
Einsichtsrecht und Meldepflicht
Generell haben Betroffene Anspruch auf Auskunft zu ihren gespeicherten personenbezogenen Daten (Art. 15 DSGVO).
Form der Auskunft:
- schriftlich
- elektronisch (E-Mail)
- auf Verlangen mündlich
Frist der Auskunft:
Unverzüglich, aber spätestens 1 Monat nach Eingang des Antrags
Wann müssen bei Datenpannen die Betroffenen und Aufsichtsbehörden informiert werden?
Hier gelten mittlerweile strengere Anforderungen als bisher. Nach Art 33 DSGVO müssen Datenpannen gegenüber Aufsichtsbehörden unverzüglich (möglichst binnen 72 Stunden) mittels umfassender Dokumentation vorgelegt werden.
Details zum Inhalt regelt Art. 33 Abs. 5 DSGVO
Bußgelder und Abmahnungen
Datenschutzverstöße können abgemahnt werden!
Bei Verstößen drohen Abmahnungen und Gerichtsverfahren, denn:
- Datenschutzrecht hat wettbewerbsrechtliche Relevanz!
- Verstöße können auch nach der DSGVO abgemahnt werden!
Bußgelder
Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des weltweiten Vorjahresumsatzes vor. Bisher haben Datenschutzbehörden den oberen Rahmen der Bußgelder nur sehr selten und bei dauerhaften Verstößen ausgereizt. Das wird sich aber sehr wahrscheinlich ändern, der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO.
Wichtig: Anfragen/Beschwerden von Nutzern ernst nehmen.
Noch wichtiger: Anfragen/Beschwerden von Datenschutzbehörden ernst nehmen.
Was sollten Sie jetzt konkret tun?
Bei der Umsetzung einer DSGVO-konformen Datenschutzerklärung und praktischer, anwaltlich geprüfter Inhalte zur DSGVO für Ihre Webseite unterstützen wir sie als eRecht24 Agentur-Partner — wir kümmern uns anhand Ihrer Angaben um Impressum & Datenschutz auf Ihrer Webseite, koordinieren mit Ihnen die nötigen AV-Verträge oder klären die zukünftige Verwendung des Newsletter-Moduls unseres CMS <metatag>® mit Ihnen.
Bitte nehmen Sie bei Interesse an unserer Unterstützung zur DSGVO-Umsetzung im Web zeitnah Kontakt zu uns auf!
Sie wissen, dass Sie sich um Themen wie Datenschutz, Impressum, Bildrechte oder Facebook & Co. noch weitreichender kümmern müssen? Sie haben keine Zeit, alle komplizierten rechtlichen Vorgaben aufwendig selbst zu recherchieren? Sie wollen oder können nicht für jede Webseitenprüfung einen teuren Anwalt bezahlen? Sie brauchen klare Antworten, verständliche Lösungen und praktische Tools statt noch mehr Fragen?