Die neue Datenschutz-Grundverordnung (DSGVO) macht ab Mai 2018 für Unternehmen in der EU vieles klarer. Kompliziert wird es allerdings, wenn es um Internetseiten geht. Denn die neue Verordnung berührt viele damit verbundene Themen – aber formuliert sie nicht explizit aus.
Bisher war das Telemediengesetz (TMG) die rechtliche Grundlage für das Betreiben von Websites. Das TMG wird nun durch das neue Europarecht verdrängt. Datenschutzbeauftragte müssen zudem weiterhin die ePrivacy-Richtlinie beachten – aber in einer neuen Fassung. Denn der offizielle Entwurf der EU-Kommission konkretisiert die Bestimmungen der DSGVO bezüglich digitaler Dienste. Die neuen ePrivacy-Regeln sollen wie die Datenschutz-Grundverordnung im Mai 2018 in Kraft treten. Deshalb erlässt sie die EU in Form einer Verordnung. Das bedeutet, dass sie unmittelbar gelten: anders als eine Richtlinie müssen sie nicht erst in nationales Recht übertragen werden.
Grundsätzlich verlangt die DSGVO, Datenbestände, Datenflüsse und Datenverarbeitungsprozesse im Unternehmen zu ermitteln, zu dokumentieren und anzupassen. Das muss dann natürlich auch für Webseiten gemacht werden – von der Internetseite des Ein-Mann-Betriebes bis hin zur Konzern-Website. Für jede Online-Präsenz braucht es künftig eine Datenschutzerklärung. Allerdings muss sie mehr als bislang „in klarer und einfacher Sprache“ formuliert sein.
Datenschutzerklärung wird länger
Zudem müssen in der Datenschutzerklärung viele Details angegeben werden. Zum Beispiel:
- die Kontaktdaten des Datenschutzbeauftragten
- Informationen zum Interesse an der Datenverarbeitung
- ob eventuell die Absicht besteht, die Daten in Drittstaaten zu übertragen
- Informationen über Betroffenenrechte wie Berichtigung, Beschwerde oder Löschung.
Die Datenschutzerklärung wird also deutlich umfangreicher. Außerdem: Alle Informationen müssen „präzise, transparent, verständlich und in leicht zugänglicher Form“ zur Verfügung stehen, verlangt die DSGVO. Für viele Unternehmen wird es eine große Herausforderung sein, die richtigen Formulierungen zu finden.
Zustimmung ist Pflicht
„Am sichersten ist es, wenn Unternehmen sich von den Betroffenen der Website die Einwilligung für ihre Verarbeitungsprozesse einholen“, sagt Melanie Braunschweig, Datenschutz-Expertin bei der TÜV NORD Akademie. Dabei sind ältere Zustimmungen nur dann gültig, wenn sie den neuen Anforderungen entsprechen: „Wenn Unternehmen die Einwilligung für die Datenverarbeitung besitzen, dürfen sie diese Informationen genau wie bisher nutzen – zum Beispiel, um Kunden die bestellte Ware zu schicken und eine Zahlung abzubuchen“, erklärt Braunschweig.
Die Einwilligung umfasst in der Regel das Ausüben des „berechtigten Interesses“ eines Unternehmens. Die Anforderungen daran sind nicht allzu streng. Bei der Auslegung des Begriffs „berechtigtes Interesse“ kommt es unter anderem auf eine aus dem US-Recht bekannte Maxime der „vernünftigen Erwartung“ (Reasonable Expectations of Privacy) des Betroffenen an. Der Internetnutzer muss beispielsweise davon ausgehen, dass Unternehmen ein Web-Analysetool verwenden.
So ist auch das Auswerten und Analysieren von Kundendaten erlaubt. Zum Beispiel um personalisierte Angebote zu unterbreiten oder die Kundenzufriedenheit zu messen. Für die Weitergabe von Daten an Dritte reicht es aus, dass diese Dritten ihrerseits ein berechtigtes Interesse geltend machen. Das ist vor allem rund um den Adresshandel wichtig.
IP-Adressen gelten nicht mehr als anonym
Eine wesentliche Änderung gegenüber der bisherigen Gesetzgebung: Cookie- oder User-IDs, IP- oder Mac-Adressen werden nicht mehr als anonym eingestuft. Bislang fiel deren Verarbeitung nicht unter die Datenschutzgesetze. Die neue DSGVO sieht das anders: Sie behandelt Online-Identifier wie personenbezogene Daten. Unternehmen müssen für deren Verarbeitung künftig eigentlich die Einwilligung der Betroffenen einholen. Allerdings stellt das DSGVO fest, dass diese Zustimmung auch durch „schlüssige Handlungen“ zum Ausdruck kommen kann, etwa durch das Weiternutzen von Onlinediensten.
Die meisten Online-Geschäftsmodelle werden auch mit Inkrafttreten der neuen DSGVO im Mai 2018 möglich bleiben. Allerdings sollten Unternehmen unbedingt darauf achten, dass sie die umfangreichen Neuregelungen beachten. Denn Verstöße können drastische Geldstrafen nach sich ziehen. Mehr Informationen zu den relevanten Änderungen für Unternehmen bieten die Datenschutz-Seminare der TÜV Nord Akademie.