Datenschutz-Grundverordnung (DSGVO) Eine kurze Übersicht

Zweck dieses Beitrags, Haftungsausschluss

Ich verwalte beruflich Internet-Server und gestalte WordPress-Websites. Bislang habe ich auch für die meisten meiner Website-Kunden Impressum und Datenschutzerklärung nach bestem Wissen und Gewissen erstellt.

Mit der DSGVO steigen die Anforderungen an Datenschutzerklärungen in erheblichem Maße. Auch die möglichen Strafen bei Verletzungen der Pflichten sind mit bis zu 20 Millionen Euro oder 4% des Jahresumsatzes ziemlich schmerzhaft. Ich kann mir gut vorstellen dass die „Abmahnanwälte“ nicht unglücklich sind darüber…

Aus diesen Gründen muss ich meinen Kunden darauf hinweisen, dass sie die Hilfe eines auf Internetrecht spezialisierten Anwalts in Anspruch nehmen sollen. Doch das Problem damit ist, dass meistens weder der Kunde noch der Anwalt wissen genau was die Website macht, oder was der Webserver tatsächlich in Protokolldateien speichert und wie lange sie aufgehoben werden.

Ich habe selber einiges recherchiert, und mehrere Datenschutzerklärungs-Generatoren probiert. Auch die am 18.5. freigegebene Version von WordPress enthält neue Funktionen bzgl. der DSGVO, mitunter einen Generator für die Datenschutzerklärung.

Meine Beurteilung der Ergebnisse dieser Generatoren fällt gemischt aus: Einerseits zeigen sie die Themen schon auf, die man in seiner Datenschutzerklärung adressieren muss. Andererseits werden diese dann zwangsmäßig (mangels genaueren Angaben) ziemlich pauschal behandelt – zum Beispiel „Diese Website verwendet Cookies blah blah rechtliches blah“; oder „Der Webserver speichert Daten aller abgerufenen Seiten, wie IP-Adresse, User-Agent, blah blah“. Ich strebe es jedoch an, eben keine Cookies zu verwenden wenn das irgendwie geht, und auch zu schauen dass die IP-Adressen der Besucher nur anonymisiert gespeichert werden – womit die Pauschalaussagen der Generatoren manchmal schlichtweg falsch sind. Darüber hinaus: Wenn schon ein Cookie sich nicht vermeiden lässt, dann will ich haar genau darüber Auskunft geben.

Somit sehe ich für meine Kunden folgende Möglichkeiten:

  1. Sie beschäftigen einen Anwalt, der ihnen die Datenschutzerklärung erstellt. Sie müssen den Anwalt mit allen nötigen Informationen versorgen, die technischen Informationen wird man teilweise bei mir erfragen wollen bzw. müssen.
  2. Sie verwenden einen Generator, und lassen die Ergebnisse von einem Anwalt prüfen. Die meisten meiner Kunden werden nicht in allen Fällen wissen, welche der vielen Häkchen sie beim Bedienen des Generators setzen müssen, und werden auch die pauschalen Ergebnisse nicht auf technischer Korrektheit prüfen können. Ein Anwalt sollte mit der Prüfung des Ergebnisses beauftragt werden, wie es auch bei allen Generatoren nahegelegt wird.
  3. Sie bitten mich darum, die Website möglichst zu verschlanken was Cookies und Personenbezogenen Daten betrifft, und dann eine DSGVO-konforme und technisch zutreffende Datenschutzerklärung online zu bringen. Dafür habe ich eine Menge kleiner Textbausteine erarbeitet, welche die verschiedenen Fälle treffend beschreiben, so dass dies relativ schnell geht. Die fertige Datenschutzerklärung sollte selbstverständlich auch von einem Anwalt geprüft werden.

Aufgrund der Komplexität der DSGVO muss ein Softwarespezialist wie ich seinen Kunden wenigstens für die Prüfung der Datenschutzerklärung unmissverständlich an einen auf Internetrecht spezialisierten Rechtsanwalt verweisen. Ich stelle hier klar, dass ich für die Richtigkeit und Vollständigkeit von Datenschutzerklärungen keine Haftung übernehmen kann, auch nicht für die Ausführungen in diesem Beitrag – obgleich ich sie selbstverständlich mit großer Sorgfalt erstellt habe.

DSGVO = Mehr als Datenschutzerklärungen

Die DSGVO ist eine sehr umfangreiche Verordnung, die den Umgang mit personenbezogenen Daten im Allgemeinen regelt. Es regelt z.B. auch die Pflichten in innerbetrieblichen Abläufen, und die Weitergabe solcher Daten an Dritte – unabhängig davon ob die Daten in Papierform oder elektronisch vorliegen.

Aus diesem Grund habe ich eine neue Seite zu meinem persönlichen Umgang mit Kundendaten auf meine Website gestellt. Für einige Berufszweige gibt es von ihren Verbänden Mustervorlagen für solche Erklärungen, die natürlich personalisiert werden müssen. Online habe ich Hilfestellungen für KFZ-Werkstätten, Apotheken und Heilpraktiker gefunden, und direkt beim Bayerischen Landesamt für Datenschutzaufsicht eine Seite Handreichungen für kleine Unternehmen und Vereine.

In dieser Hinsicht kann ich keine inhaltliche Hilfe leisten, zumal die Vorgaben für unterschiedlichen Berufszweige sowie Arten personenbezogener Daten sehr spezifisch sein können. Ich weise aber eindringlich darauf hin, dass jedes Unternehmen – auch von Einzelpersonen – die DSGVO innerbetrieblich berücksichtigen muss.

Es betrifft auch Anbieter außerhalb der EU

Alle Unternehmen, die mit Daten von Unternehmen, Einwohnern oder Bürgern der EU arbeiten, müssen die DSGVO einhalten – unabhängig von der Gerichtsbarkeit ihres Unternehmenssitzes. Diese Aussage ergibt sich aus Art. 3 DSGVO sowie Art. 27 DSGVO. Um dies in der Praxis begreiflicher zu machen: Eine Seminaranbieterin in Zürich, Schweiz, hat eine Website in deutscher Sprache, darin eine Newsletter-Anmeldung – und es kommen auch viele Deutsche über die Grenze und nehmen an Wochenendseminaren teil. Ganz klar: Die Anbieterin muss die DSGVO berücksichtigen.

Umgang mit Personenbezogenen Daten

Nach meinem Verständnis vieler Lektüren gelten Grundsätze wie (umgangssprachlich formuliert): „Was nicht ausdrücklich erlaubt ist, ist verboten“ und „So viel wie nötig zur Zweckerfüllung – und kein Deut mehr“.
Ab jetzt gilt der Grundsatz der Datenminimierung!

Was genau unter „personenbezogene Daten“ gemeint ist, wird in Art. 4 DSGVO geregelt. Hier ein übersichtlicher Artikel darüber. Dazu gehören auch die IP-Adressen von Besuchern, wie sie in Webserver-Protokolldateien gespeichert werden – insofern sie vollständig (also nicht anonymisiert) dort stehen. Wer solche Daten sammelt, muss über die Rechte der betroffenen Personen in seiner Datenschutzerklärung aufklären (und diese selbstverständlich auch einhalten). Die – sehr weitgehenden – Rechte von Betroffen sind im DSGVO Kapitel 3 (Art. 12 – 23) festgehalten. Es folgt das Wesentlichste im Überblick:

  • Informationspflicht (DSGVO Art. 13)
    Schon zum Zeitpunkt der Datenerhebung muss der Verantwortliche der betroffenen Person sehr viel Auskunft gewähren – Einzelheiten siehe Gesetzestext.
  • Rechtmäßigkeit der Verarbeitung (DSGVO Art. 6)
    Einfach ausgedrückt: Entweder der Betroffene willigt zur Datenerhebung explizit ein (nachweislich!), oder er geht einen „Vertrag“ (oder Vorvertrag) ein, zu dessen Erfüllung die Erhebung und Verarbeitung der Daten nötig sind (implizite Einwilligung).
  • Recht auf Einsicht („Auskunftsrecht der betroffenen Person“, DSGVO Art. 15)
    Der Betroffen kann vom Verantwortlichen weitreichende Auskunft anfordern, zu den gespeicherten Daten selbst, deren Verarbeitung, der geplante Dauer der Speicherung, Herkunft der Daten (falls nicht Eingabe durch den Betroffenen), u.v.a.m.
  • Recht auf Löschung („Recht auf Vergessenwerden“, DSGVO Art. 17)
    Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen… (weitere Einzelheiten siehe Gesetzestext).
  • Recht auf Datenübertragbarkeit („Recht auf Mitnahme“, DSGVO Art. 20)
    Das ist ein echtes Novum: Man kann verlangen, seine bei Website XY gespeicherten persönlichen Daten in maschinenlesbarer Form zu erhalten, um sie bei einer anderen Website einlesen zu lassen. Plump ausgedrückt: Man nimmt seine ganzen Daten von Facebook mit und spielt sie bei einem anderen Portal ein. Dies beschäftigt die Hersteller von CMSen, Portalen usw. zur Zeit, die die entsprechenden Funktionen dafür unter Hochdruck schreiben müssen – obwohl Unklarheit über die Formate für den Datenaustausch herrscht. WordPress zum Beispiel hat in seiner neuesten Version vom 18.5.2018 Funktionen zum Export und zur Löschung personenbezogener Daten eingebaut (aber noch nicht zu deren Import). Der Export umfasst nur die Kontodaten, keine etwaigen Beiträge, Kommentare usw.

Es gibt weitere Rechte, z.B. das Widerspruchsrecht und das Beschwerderecht bei einer Aufsichtsbehörde, die in der DSGVO Kapitel 3 aufgeführt sind.

Cookies

Wessen Website Cookies im Browser der Besucher absetzt, muss hierüber berichten. So viel war und bleibt eindeutig. Auch klar ist, dass in der Datenschutzerklärung eine „Opt-Out“ Möglichkeit zur Verhinderung des Setzens von Cookies angeboten werden muss.

Alles andere – z.B. welches Gesetz Vorrang hat, was in der kommenden ePrivacy-Verordnung stehen wird, und ob ein Cookie-Banner absolut nötig ist oder ob ein Hinweis in der Datenschutzerklärung reicht – ist leider unklar. Dies ist übereinstimmend in den Texten von IT-Anwälten zu lesen:

Bei IT-Recht-Kanzlei.de

Bei eRecht24.de

Am hilfreichsten fand ich das Fazit im erstgenannten Artikel:

  1. Ein Opt-In zur Verwendung von Cookies ist nicht nötig (auch nicht für Cookies Dritter)
  2. Ein Cookie-Hinweis-Banner, der auf die implizite Einwilligung durch weitere Verwendung der Website hinweist, ist anzuraten. Damit steht man auf der sicheren Seite.
  3. Aus der Datenschutzerklärung muss hervorgehen, dass die Voraussetzungen des Art. 6 Abs. 1 lit f DSGVO zur Verwendung von Cookies gegeben sind:
    • Art. 6 Abs. 1 lit f DSGVO muss ausdrücklich als Rechtmäßigkeitsgrund benannt werden.
    • Es liegen berechtigte wirtschaftliche, rechtliche oder ideelle Interessen des Händlers vor.
    • Die Anwendung von Cookies sind zur Erreichung dieser Interessen erforderlich.
    • Überwiegende Interessen des Betroffenen stehen der Anwendung von Cookies nicht entgegen.

Für die meisten meiner Kunden wird der dritte Punkt „Cookie-Anwendung erforderlich“ zum KO-Kriterium: In meinem letzten Beitrag DSGVO – Keine Cookies, Keine Fremdaufrufe lege ich sehr ausführlich dar, wie viele Szenarien ohne Cookies und ohne versteckten Aufrufe zu fremden Webadressen (für Tracking oder Schriftarten) auskommen. Ausnahmefälle sind:

  • Wer ein Online-Shop betreibt – Cookies sind für den Einkaufswagen unumgänglich
  • Wer Registrierung und Einloggen von Besuchern erlaubt, z.B. um ein Forum oder Portal zu betreiben (für diejenigen sind Cookies das kleinste Problem, hier geht es dann um Themen wie vorherige Einwilligung, Recht auf Einsicht, Recht auf Löschung usw.)
  • Wer eine mehrsprachige Website betreibt und die Auswahl der Sprache durch Besucher ermöglicht (die Auswahl muss in ein Cookie notiert werden)

Die Weisheit meines vorgenannten Artikels habe ich auf diese Website angewandt – und konnte komplett auf Cookies verzichten, obwohl ich Statistiken über Seitenbesuche sammele, ein Kontaktformular habe und das Kommentieren von Beiträgen erlaube. Mein Cookie-Banner ist weg!

Auftragsdatenverarbeiter – Vertrag ist ratsam

Auftragsdatenverarbeiter ist jeder, der nicht der Verantwortliche selbst ist, aber Zugang zu personenbezogenen Daten des Verantwortlichen erhält. Auch dann, wenn der „Verarbeiter“ keine Einsicht in die Daten nimmt – es reicht, wenn er das könnte.
Grundlage ist DSGVO Art. 28.

Damit bin ich selbst massiv betroffen – obwohl ich überhaupt keine „Datenverarbeitung“ für meine Kunden vornehme, ich habe als WordPress- oder Server-Administrator grundsätzlich Zugang zu sämtlichen vorliegenden personenbezogenen Daten!

Aus diesem Grund sehe ich nur zwei Möglichkeiten, um hier sauber vorzugehen:

  1. Der Kunde sammelt gar keine personenbezogenen Daten
    In diesem Fall lasse ich die Webserver-Logs „durchgehen“, solange sie entweder anonymisierte IP-Adressen enthalten, oder zeitnah gelöscht werden (max. Aufbewahrung 14 Tage).
  2. Mein Kunde und ich schließen einen Auftragsdatenverarbeiter-Vertrag ab, um uns gegenseitig rechtlich abzusichern.

Anmerkung zu Webhostern: Die meisten meiner Kunden haben ihre Webpräsenzen bei einem der großen Webhoster (All-Inkl, Strato, 1&1…). Die Administratoren dort haben sicherlich auch letztenendes Zugang zu personenbezogenen Daten ihrer Kunden, z.B. direkt über die entsprechenden Datenbankeinträge. Demnach sind sie formell auch Auftragsdatenverarbeiter – für alle ihrer Kunden! Über dieses Thema ist mir jedoch nichts untergekommen, denn der explizite Abschluß eines diesbezüglichen Vertrages mit jedem einzelnen Kunden wäre derart praxisfern dass man vermutlich das Thema verdrängt (oder pauschal in den AGBs abhandelt).

Bei einfachen Websites ohne Registrierungsmöglichkeit für Besucher fallen oft keine explizit gesammelten personenbezogenen Daten an – bis auf (womöglich) die IP-Adressen in den Webserver-Logs. Daher habe ich die Frage der Webserver-Logdateien untersucht:

  • Strato: die IP-Adresse wird anonymisiert, siehe hier und hier.
  • All-Inkl: Einstellbar im Webhosting-Paket als:
    Complete IP / IP-Shortened / IP removed / none
    Ich empfehle „none“, damit ist die Frage eindeutig geklärt (wer nutzt die Statistiken die in der Paketverwaltung sonst verfügbar wären?)
  • 1 & 1: die IP-Adresse wird anonymisiert (ich habe sie geprüft)

Generatoren

Stand 18.05.2018

Wer Generatoren selber probieren will: Ich habe ungefähr 7 kostenlosen Generatoren untersucht und festgestellt, dass ca. die Hälfte die Daten ihrer Benutzer speichern – was kaum im Sinne der DSGVO ist, wie ein Kollege feststellt. Solche habe ich selber nicht benutzen wollen und führe hier nur die auf, die ich anonym verwenden konnte. Allerdings: Wenn man das Ergebnis als Datenschutzerklärung nimmt, darf man den Link zum Generator am Ende des Textes nicht entfernen – so sieht jeder Besucher (und Abmahnanwalt) dass der Betreiber lediglich einen Generator benutzt hat.

Off-Topic: Impressum und verlinkte Webseiten

Vielfach findet man im Impressum eine pauschale Distanzierung von verlinkten Inhalten mit Verweis auf ein Urteil des LG Hamburg von Mai 1998. Dies ist aus dem Zusammenhang gerissen und gilt eher umgekehrt als wie es zitiert wird. Mehr zum Thema hier und hier. Wenn ich für einen Kunden bzgl. DSGVO tätig werde, möchte ich auch das Impressum prüfen, anhand dieser Ausführungen des IHK Leipzig.

Impressum-Generatoren, Stand 20.05.2018
Man kann sich zwar beim eRecht24-Generator bedienen, allerdings muss man seine E-Mail angeben und künftige Newsletter akzeptieren, um das Ergebnis zu erhalten. Das Ergebnis zu erhalten geht über zwei E-Mails (Double Opt-In). Der Generator von JuraForum akzeptiert es, wenn keine eigene E-Mail Adresse angegeben wird – das Ergebnis wird im Browser bereitsgestellt.

Nachwort: Künftig wachsam bleiben

Diverse kritischen Stimmen haben angemerkt, dass während die DSGVO zunächst einen sehr respektvollen Umgang mit Personendaten fordert, die Gefahr besteht dass Bürger sich dann generell diesbezüglich in Sicherheit wiegen – und im Anschluss daran gewöhnt werden könnten, ihre Daten „freiwillig“ weiterzugeben, um in den Genuss von verwalterischen Erleichterungen zu kommen. Daher gilt es, künftig wachsam zu bleiben.

Mehr zum Thema:

Artikel von Norbert Häring

Video von Dirk Müller

Warum der 25.5.18 der Auftakt zum Bürgerkrieg sein kann?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Untenstehende Gleichung bitte lösen *