DSGVO – Die neue Datenschutzerklärung

DSGVO - Die neue Datenschutzerklärung im Web

DSGVO – Die neue Datenschutzerklärung

Seit Monaten beschäftigen sich alle Unternehmen und Selbständigen mit der neuen europäischen Datenschutz-Grundverordnung DSGVO, die seit 25.05.2018 in Kraft ist. Denn jeder, der Kundendaten aufbewahrt, und sei es im Zettelkasten, ist davon betroffen. Alle Websites, die mit Datenbank und einem Content-Management-System wie WordPress betrieben werden, benötigen eine detaillierte Datenschutzerklärung. Diese kann von einem Rechtsanwalt bzw. über Online-Rechtsportale (ebenfalls meist kostenpflichtig) erstellt werden. Zwingender Weise ist dabei der Webdesigner eingebunden, denn welche relevanten PlugIns und (Analyse-)Tools tatsächlich auf einer Website eingebunden wurden, ist für den Anwalt begrenzt ersichtlich. Daraus resultieren Fehler, die auf den Website-Betreiber zurück fallen, denn er muss den Anwalt über die verwendeten Hilfsmittel informieren! Nicht jedes problematische Element, wie z.B. ein Kontaktformular, findet man sichtbar vor, wenn man die Website besucht. Und nicht alle sichtbaren PlugIns, wie z.B. eingebundene Social Media Buttons, sind tatsächlich problematisch.

Erhalte ich z.B. eine unzureichende Datenschutzerklärung zum Einbau auf der Website, und der Kunde besteht auf die Verwendung, bin ich gezwungen, alle dort nicht deklarierten Tools und PlugIns von der Website zu entfernen. Das ist insbesondere bei Sicherheits-PlugIns nicht zweckmäßig.

Keine Panik oder doch?

DSGVO relevant: Datensammlung mit Google AnalyticsDie neuen Bestimmungen betreffen so viele Themen, dass oft umfangreichere Arbeiten und vor allem viele Recherchen notwendig werden. Unsere Arbeit wird wieder einmal komplizierter. Bei vielen Erweiterungen = PlugIns, die wir verwenden, muss nun geklärt werden, welche Daten damit gesammelt werden. Dies ist aber nicht immer transparent dokumentiert… Wir müssen uns daher auf die Aussagen der PlugIn-Entwickler und auf die Tests und Veröffentlichungen von Kollegen verlassen. Gleiches gilt für die Themes, die wir als Grundlayout nutzen. Mit jedem Update kann es diesbezüglich wieder Veränderungen geben. Und fast täglich ändert sich die rechtliche Bewertung. Für viele Elemente wird erst durch künftige Verfahren und Urteile mehr Rechtssicherheit entstehen. 2019 soll die ePrivacy Verordnung weitere Richtlinien bringen. Im Moment kann die Empfehlung nur sein: Je weniger PlugIns verwendet werden, desto besser. Die Verantwortung für Verstöße liegt beim Website-Betreiber – und ggf. auch beim Webdesigner, wenn er sich nicht vorab schriftlich davon entbinden lässt.

Was kann passieren?

1. Empfindliche Bußgelder können fällig werden | Dass die zuständigen Datenschutzbehörden zunächst beim Thema Prüfungen überlastet sein werden, davon kann man wohl ausgehen. Insofern ist eine Prüfung nicht spontan zu befürchten. Aber man muss zumindest in Erwägung ziehen, dass ein Konkurrent die Gelegenheit nutzt, Anzeige wegen einer möglichen Datenschutzverletzung zu stellen. Hier ist vor allem der Anspruch auf Gewinnabschöpfung nach § 10 UWG zu nennen, wenn es sich um einen wettbewerbsrechtlichen Datenschutzverstoß handelt. Diesen können Wettbewerbs- und Verbraucherschutzverbände geltend machen. Eine solche Summe kann erheblich sein.

2. Abmahnungen sind möglich | Wenn eine darauf spezialisierte Kanzlei mit einem Mitbewerber eine sichtbare wettbewerbsrelevante Datenschutzverletzung auf der Website findet und Unterlassungs- und Beseitigungsansprüche geltend macht, ist dem wenig entgegen zu setzen. Auch Schadensersatzansprüche sind möglich.

Beispiele für leicht erkennbare Datenschutzverstöße

  • Keine aktuelle auf DSGVO ausgerichtete Datenschutzerklärung
  • Die Datenschutzerklärung ist nicht sichtbar von jeder Seite erreichbar
  • Sie haben ein Kontaktformular, aber die Website hat kein SSL-Zertifikat (https statt http)
  • Sie fragen Daten als Pflichteingabe ab, die für die Kontaktaufnahme nicht relevant sind
  • Es fehlt in der Datenschutzerklärung die Information, wie die Daten aus dem Kontaktformular verwendet werden, welche Rechte und Widerrufsmöglichkeit der Nutzer hat
  • Sie weisen im Kontaktformular nicht per Checkbox auf die Datenschutzerklärung hin
  • Es werden ohne Datenschutzhinweis oder erweiterte Datenschutzmaßnahmen PlugIns und Tools verwendet, die Cookies setzen, IP-Adressen und persönliche Daten sammeln. Dazu zählen z.B.:
    – Analyse Tools wie Google Analytics
    – Sicherheits-PlugIns wie Wordfence Security
    – Social Media PlugIns (ohne Datenschutzlösung)
    – eingebettete Videos von Vimeo und YouTube
    – Google Fonts
  • Kommentare sind möglich, aber die Website hat kein SSL-Zertifikat (https)
  • Kommentare mit Gravatar sind möglich, die Funktion ist nicht deaktiviert
  • Bei Newslettern wird das Double Opt-in Verfahren nicht verwendet

Eventuelle Datenschutzverstöße können nicht nur direkt auf der Website, sondern auch im Verbindungshinweis (Cookies unter „I“ bzw SSL-Schloss) des Browsers und im Quellcode der Website eingesehen und erkannt werden.