DSGVO: Änderungen für Webseitenbetreiber

Die EU-Datenschutzgrund-Verordnung schafft in vielen Bereichen Neuerungen. Websitebetreibern müssen auch vieles beachten und bekommen hier einen Überblick über die Auswirkungen der kommenden EU-Grundverordnung. Einerseits bleiben viele gesetzliche Vorgaben gleich, andererseits müssen gerade Unternehmen die Datenschutzerklärungen auf die Vorgaben der EU-DSGVO ausrichten.

Derzeitige Website-Compliance Vorgaben?

Aktuelle Regelungen zur Website-Compliance der Webseitenbetreiber finden sich im Telemediengesetz (TMG). Dabei ist insbesondere § 13 TMG zu nennen, der die Pflichten des Diensteanbieters vorgibt.

Das Verhältnis von §§ 11 ff. TMG und der EU-DSGVO

Die EU-DSGVO geht als europäische Recht den nationalen Regelungen vor, es herrscht folglich Anwendungsvorrang.

Fällt am 25.Mai 2018 bei Eintritt der EU-Grundverordnung etwas weg?

Aufgrund der Vereinheitlichung des europäischen Datenschutzrechts fallen jetzige Vorgaben höchstwahrscheinlich weg. An deren Stelle treten dann allgemeine Normen der EU-DSGVO.

Die Art. 12 bis 14 EU-DSGVO könnten an die Stelle der §§ 11 ff. TMG treten. Diese sind sehr abstrakt gehalten und nicht nur für den Umgang mit Telemedien ausgerichtet. In Entwicklung ist eine ePrivacy-Verordnung. Diese würde speziell den Bereich dann regeln.

Es wird aber auch dieses Mal in der EU-DSGVO keine speziellen Regeln zu Social Media, Cookies, Websites etc. geben. Die EU-DSGVO nimmt aufgrund mangelnder eigener Regelungen folglich Bezug auf die abstrakten Erlaubnistatbestände der Datenschutzrichtlinie 95/46/EG. Es sind in der EU-DSGVO grundsätzlich nur allgemeine Vorgaben zu finden. Vorgaben, die Einzelfragen regeln, sind dort nicht zu finden.

Websitebetreiber sollten bis zur Verabschiedung der Privacy Verordnung folgende Vorgaben daher gem. Art. 6 I EU-DSGVO unbedingt beachten:

  • das Vorliegen einer Einwilligung des Betroffenen
  • die Notwendigkeit der Datenverarbeitung für die Durchführung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen und
  • das legitime Interesse des Datenverarbeiters, sofern nicht die Rechte des Betroffenen überwiegen.

Dabei sind insbesondere bei der EU-DSGVO die Rechte von Kindern zu beachten.

Wie ändert sich die Zulässigkeit von Social Media Projekten oder Websiteoptimierungssoftware?

Grundsätzlich eigentlich nicht. Das legitime Interesse des Datenverarbeiters wird in Anlehnung an die Datenschutzrichtlinie 95/46/EG abgewogen. Vorerst bleiben die Abwägungsmaßstäbe der Interessen des Verarbeiters und des Betroffenen bestehen. Danach wird sich die Zulässigkeit einzelner Projekte wie bisher bestimmen.

Welchen Vorteil bringt die EU-DSGVO dann im Bereich Telemedien?

Mit In-Kraft-Treten der EU-DSGVO fällt eine schwierige Abgrenzung weg. Die führt folglich zu einer Steigerung der Rechtssicherheit im Bereich der Telemedien. Aktuell richtet sich die Beurteilung noch nach der Unterscheidung zwischen Inhalts-, Nutzungs- und Bestandsdaten. Diese Unterscheidung fällt nicht immer leicht. Derzeit ist die Unterscheidung noch wichtig, um das anwendbare Gesetz und dessen Rechtsfolgen zu ermitteln. Nach der Unterscheidung landet man im TMG oder im BDSG.

Anforderungen des § 13 TMG an Websitebetreiber?

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG […] in allgemein verständlicher Form zu unterrichten.

Anforderungen des Art. 12 EU-DSGVO an Websitebetreiber?

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß … , die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Was genau ist der Unterschied?

Die EU-DSGVO verlangt eine präzise, transparente, verständliche, klare und einfache Sprache. So klar und deutlich wird es im TMG nicht kommuniziert.

An Kinder ausgerichtete Websites

Websites, die speziell an Kinder gerichtet sind, bedürfen einer genaueren Betrachtung aufgrund der besonderen Schutzwürdigkeit von Kindern. Alle Hinweise und Informationen müssen in einer kindgerechten Sprache erfolgen. Personen, die die elterliche Verantwortung für ein Kind tragen, müssen der Verarbeitung der personenbezogenen Daten eines Kindes zustimmen.

Wie ist die Altersgrenze geregelt?

Die Mitgliedstaaten legen nach Art. 8 EU_DSGVO die Altersgrenze im Bereich von 13 bis 16 Jahren für ihre nationalen Vorgaben fest.

Muss die Person mit elterlicher Verantwortung immer zustimmen?

Es gibt Ausnahmen, bei denen die Person mit elterlicher Verantwortung nicht zustimmen muss. Kinder, die Präventions- oder Beratungsdienste wie z. B. bei psychischen Belastungen durch die Schule oder private Probleme benötigen, können ohne Zustimmung die Hilfe aufsuchen. Das Kind muss auch keine Zustimmung einholen, wenn das Kind familiäre Probleme überwinden muss. Diese Dienste können sie grundsätzlich ohne Kenntnis der Person nutzen, die die elterliche Verantwortung trägt.

Wie prüft man die Zustimmung am besten?

Im Normalfall ist eine Altersverifikation einzuholen. Allerdings gibt es in vielen Fällen Probleme, da die Abfragen der Altersverifikation zu leicht umgangen werden können. Daher wird man abwarten müssen, welche Ansätze sich bei In-Kraft-Treten der EU-DSGVO durchsetzen werden.

Datenschutzerklärung

Mit den Webseiten eng verbunden sind die Datenschutzerklärungen. Diese sollten auf den Websites zu finden sein und den Nutzer umfassend über Datenerhebungen und andere Informationen aufklären.

Bleiben die aktuellen Vorgaben?

Aktuelle Vorgaben zu den Datenschutzerklärungen bleiben bestehen. Daher ist insbesondere Wert auf datenschutzkonforme Erklärungen zu

  • Cookies (Informationen zu Zweck, Art der Daten, Empfänger der Daten etc.),
  • Social-Plugins (Facebook, Twitter, LinkedIn etc.),
  • Targeting- und Optimization Tools ,
  • Webformulare wie Kontaktformulare, Newsletter etc. und
  • Analyse-Tools wie Google Analytics oder Piwik

zu legen.

Aufgrund einiger aktueller Gerichtsentscheidungen ist hier vieles stets im Wandel. Aufgrund des technischen Wandels und den sehr großen technischen Sprüngen passen die teilweise abstrakten Vorschriften meistens nicht genau. Daher müssen stets neue Vorschriften erlassen werden, was einen gewissen Zeitraum benötigt. Dieses Problem zwischen Recht und der schnellentwickelnden Technik kann auch die EU-DSGVO nicht lösen.

Wie wird sich die Datenschutzerklärung meiner Website ändern?

Wie genau sich die Rechtsprechung nach In-Kraft-Treten der DSGVO entwickeln wird, steht noch nicht fest. Allerdings werden die genutzten Datenschutzerklärungen länger und komplizierter werden. Probleme werden sich insbesondere bei der Darstellung der Datenflussinformation ergeben. Einerseits soll genau aufgeklärt werden, wozu auch Fachbegriffe benötigt werden, um komplizierte Abläufe zu erklären. Andererseits soll dies in einfacher, präziser Sprache – wie von der EU-DSGVO gefordert – geschehen. Um diese Pflichten in Einklang zu bringen, wird unter anderem nicht nur die juristische Perfektion gefragt sein, sondern vielmehr auf die Fähigkeit, komplizierte Sachverhalte einfach zu erklären. Dies wird viele vor eine hohe Herausforderung stellen. Wenn die in Ausblick gestellte EPrivacy-Verordnung im Jahr 2018 oder 2019 kommen wird, müssen eventuell neue Anforderungen beachtet werden.

III. Umsetzung des Rechts auf Vergessenwerden

Mit der DSGVO wird den Nutzern ein Recht auf Vergessenwerden gewährt.

Was müssen Unternehmen tun?

Die Unternehmen, bzw. auch die Websitebetreiber, müssen die Löschungsanfrage an Dritte weitergeben, wenn sie Daten an den Dritten übermittelt haben. Für den Fall, dass sie die Daten ohne Zustimmung des Betroffenen übermittelt haben, müssen sie folglich die Löschung für den Betroffenen erreichen. Unternehmen müssen den Betroffenen bei seinem Recht unterstützen.

Alle Websitebetreiber sollten alles zum Thema Websiten-Compliance verfolgen. Es ist eine Beratung hinsichtlich einer Datenschutzerklärung durchzuführen, da ansonsten wichtige Details übersehen werden. Maßnahmen der Aufsichtsbehörden, Abmahnungen durch Wettbewerber oder durch Verbraucherschutzverbände sind vorprogrammiert.