DSGVO: So verhindern Sie teure Abmahnungen – vollkommen automatisch
Die europäische Datenschutz-Grundverordnung ist bereits in Kraft. Wenn sie aber ab dem 25. Mai 2018 auch durchgesetzt wird, dann wird sie viele Unternehmen unvorbereitet treffen. Verstöße können mit bis zu 4 % des Umsatzes geahndet werden und mit Bußgeldern von bis zu 20 Mio. Euro. Beunruhigend dabei: Das gelebte Regelwerk wird noch eine ganze Weile in Bewegung bleiben. Gosign bietet einen DSGVO-Schutzschild, der dieses Betriebsrisiko deutlich mindert, indem er sich mit der Rechtsprechung mitbewegt. Und das ganz automatisch.
Worum geht es überhaupt? Die Datenschutzreform hat den Sinn, den Nutzern von Online-Angeboten mehr Transparenz darüber zu verschaffen, wie ihre persönlichen Daten verwendet werden.
Die Anforderungen daran, wie Sie als Websitebetreiber darüber aufklären müssen, können fast unübersichtlich hoch ausfallen.
Grundsätzlich unterscheidet man zwischen
- Personenbezogenen Daten
- Pseudonymisierten Daten
- Anonymisierten Daten
Anonym sind Daten nur dann, wenn eine Zuordnung der Daten zu einer Person in der Praxis nahezu unmöglich ist. Das ist beispielsweise bei Stimmzetteln zur Bundestagswahl der Fall. Bei pseudonymisierten Daten werden die Daten zur entsprechenden Person so getrennt, dass sie nur mit erheblichem Aufwand wieder einander zuzuordnen sind – zum Beispiel durch einen Schlüssel. Alles andere sind personenbezogene Daten. Aller Wahrscheinlichkeit nach sammelt Ihr Unternehmen solche Daten von den Besuchern Ihrer Website.
Dabei geht es nicht nur um Besucherstatistiken, die häufiger als es Ihnen lieb ist, personenbezogen sein können. Auch Tools von Drittanbietern, mit denen Kunden ihre Kontaktanfragen an Sie senden, mit denen Bewerber ihre Lebensläufe hochladen und wieder andere, die eine Newsletter-Anmeldung erlauben, sie alle senden sensible personenbezogene Daten – oft an Drittparteien. Wussten Sie, dass einige Ihrer Anbieter für Stock-Fotos personenbezogen nach Hause funken? Klärt Ihre Datenschutzerklärung darüber auf? Was passiert, wenn Sie Ihre Website aktualisieren und einen oder mehrere dieser Anbieter austauschen – schreiben Sie Ihre Datenschutzerklärung dann um?
Gehen Sie davon aus, dass Ihr Unternehmen personenbezogene Daten sammelt
Der entscheidende Punkt ist nun der, dass Ihre alte Datenschutzerklärung weit davon entfernt ist, Ihre Besucher ausreichend im Sinne der DSGVO darüber aufzuklären. Unsere bisherigen Erfahrungen und Beobachtungen zeichnen ein eher betrübliches Bild davon, wie DSGVO-ready die allermeisten Unternehmen bisher sind.
Denn die verantwortlichen Stellen werden nicht zimperlich dabei sein, die Unternehmen zur Kasse zu bitten. Es ist ein erklärtes Ziel der neuen Regelungen, den Missbrauch äußerst unattraktiv und schmerzhaft bei Verstößen zu machen. Deshalb sind auch erheblich höhere Strafen vorgesehen als bisher.
Experten sehen auch Klagen von Verbraucherschutzverbänden als drohende Gefahr. Sie haben jetzt sehr wirksame Werkzeuge an der Hand, ihre Interessen durchzusetzen.
Die neuen Datenschutzregelungen sehen nun vor, dass Sie Ihre Nutzer vollständig und verständlich darüber aufklären, was mit ihren Daten geschieht, und welche Rechte sie an ihren Daten haben.
Im kurzen Überblick sind es die folgenden Rechte:
- Ihre Besucher haben das Recht, über die Verwendung ihrer Daten informiert zu werden
- Sie haben das Recht dieser Verwendung zu widersprechen
- Sie haben das Recht auf Berichtigung und Vergessen
- Sie haben das Recht auf die vollständige Übertragung ihrer Daten zu einem anderen Dienst
Allein der erste Punkt verlangt einen erheblich größeren Aufwand von jedem Unternehmen, das im Internet Dienste anbietet oder einfach nur präsent ist, als es bisher laut § 13 im Telemediengesetz vorgesehen war. So muss unter anderem darüber aufgeklärt werden, auf welcher rechtlichen Grundlage Sie diese Daten erheben, und dass Sie ein berechtigtes Interesse am Sammeln dieser Daten haben.
Falls Sie bisher keinen Datenschutzbeauftragten in Ihrem Unternehmen haben, dann müssen Sie das ebenfalls ändern und ihn benennen – auch das gehört zur Informationspflicht.
„Aber wir sammeln doch gar keine Daten – nicht richtig, jedenfalls“
Ausreden dieser Art werden gar nicht gern gesehen. Denn jeder Nutzer digitaler Dienste (im Gesetz ist vom „Betroffenen“ die Rede) hat ein Recht darauf, dass seine Daten ordentlich erfasst und gehalten werden. Auch dafür zeichnet der Datenschutzbeauftragte verantwortlich. Er hat ein sogenanntes Verfahrensverzeichnis zu führen, das Behörden und Betroffenen gegenüber jederzeit und ohne viel Aufhebens strukturiert darüber aufklärt, welche Daten wie verwendet werden, und dass sie dabei kontrolliert und sicher verarbeitet werden. Ein solches strukturiertes Vorgehen soll auch sicherstellen, dass jedem Betroffenen eine Sammlung seiner Daten auf Anfrage sofort ausgehändigt werden kann.
Jeder Seitenbesuch löst einen gewaltigen Datenstrom an Dritte aus
Es ist den meisten Nutzern, aber auch vielen Unternehmen nicht klar, welch eine Kaskade an Datenströmen die Interaktion mit einer Website auslösen kann. Im häufigsten Fall meldet die Analysesoftware von Google jeden Seitenbesucher pseudonymisiert (wenn der Seitenbetreiber darauf geachtet hat) weiter. Setzt die Seite Schriften von Google ein, liefert Google diese Schriften aber ebenfalls an die IP-Adresse des Besuchers aus und macht sie damit bekannt, selbst wenn Google Analytics gar nicht am Werk sind. Google lernt den Besucher also trotzdem kennen, selbst wenn Sie es nicht tun.
Stammen die Schriften von einem anderen Anbieter, dann kennt dieser den Besucher jetzt ebenfalls. Das gleiche gilt für diverse technische Frameworks oder andere eingebundene Dienste wie zum Beispiel für Formulare, Newsletter oder Zahlungsdienste, die dynamisch in den Browser des Besuchers geladen werden.
Das gilt natürlich erst recht für die Empfehlungsschaltflächen diverser Social Media wie Facebook. Sie identifizieren und verfolgen jeden Nutzer, der gerade gleichzeitig dort eingeloggt ist (meist der Fall) namentlich, während er Seiten aufruft, die Like- und Empfehlungsbuttons auf der Seite ohne zusätzliche Schutzfunktion eingebunden haben.
Dazu kommen die Tracking-Technologien hunderter Werbenetzwerke, die auf Medien- und Shoppingportalen zum Einsatz kommen. Sie dienen dazu, das Angebot dieser Seiten zu monetarisieren, selbst wenn es auf ihnen nicht sofort zu einem Kauf kommt.
In den Unternehmen fehlt es an Expertise für die Folgeabschätzung der DSGVO
Es ist kein Wunder, dass es in den Unternehmen an Personal fehlt, all die nötigen Vorschriften umzusetzen und einzuhalten. Noch nie waren die eingesetzten Technologien so komplex und dynamisch miteinander vernetzt. Genau dieser Wildwuchs ist aber der Hintergrund dafür, den Laien darüber besser aufzuklären.
Nur wenige Fachleute sind in der Lage, die Funktionsweise der eingesetzten Technologien weit genug zu durchdringen und sie gleichzeitig mit einem juristisch gültigen Aufklärungstext in Einklang zu bringen.
Deshalb kommen überall dieselben Standardtexte zum Einsatz, die heute schon in vielen Fällen veraltet sind. In der Folge stellen sie Sachverhalte dar, die tatsächlich gar nicht stimmen oder unvollständig sind. In den meisten Fällen sind sie längst nicht so verständlich formuliert, wie es die neue EU-Datenschutzgesetzgebung vorsieht.
Selbst der glückliche Umstand, dass Ihr Unternehmen einen Juristen beschäftigt, garantiert noch lange nicht, dass Sie wirklich abgesichert sind. Oft genug ist er nämlich gar nicht informiert, wenn etwas Neues installiert wird. In anderen Fällen ist Ihr Anwalt versiert in grundsätzlichen datenschutzrechtlichen Fragen, ein Techniker ist er aber nicht.
Vielen Juristen ist nicht immer im Detail klar, was die eingesetzten Technologien tun, wohin sie ihre Daten streuen, und wo sie Spuren hinterlassen. Lesen Sie die Datenschutzerklärungen von Anwaltskanzleien, und fragen Sie sich, wie viel sie bei der anspruchsvollen Umsetzung der EU-DSGVO für Ihr Unternehmen tun können.
Datenschutzrechtlich qualifizierte Anwälte sind ausgebucht
Viele Unternehmen, die nicht schon in der Vergangenheit Pläne zur Umsetzung der DSGVO gemacht haben, stehen nun rat- und beratungslos da. Die Zahl der auf IT- und Datenschutzrecht spezialisierten Kanzleien in Deutschland ist überschaubar. Die besten unter ihnen nehmen seit geraumer Zeit keine Aufträge mehr an.
Die Folgen: Es wird für viele Unternehmen immer schwieriger, überhaupt einen Termin bei einem Fachanwalt zu bekommen. Im Anschluss kann die detaillierte Aufbereitung des Status Quo und des entsprechenden Bedarfs ein aufwändiger Prozess sein, der viel Zeit in Anspruch nimmt – besonders wenn die Dokumentation datenschutzrechtlich relevanter Prozesse in der Vergangenheit lückenhaft oder nicht vorhanden war.
Im nächsten Schritt müssen Sie die organisatorischen und prozessualen Maßnahmen definieren, damit Sie in Zukunft rechtssicher und datenschutzkonform arbeiten können. All das braucht Zeit. Denn erst im Anschluss hat Ihr Unternehmen die nötigen organisatorischen und personellen Strukturen implementiert, zu denen ein verantwortlicher Datenschutzbeauftragter, ein Verfahrensverzeichnis und eine aussagekräftige und verständliche Datenschutzerklärung im Sinne der DSGVO gehören.
Bei all diesen Prozessen können wir mit unserem DSGVO-Schutzschild helfen. Er hilft, standardisierte Prozesse und Analysen zu beschleunigen, Teile davon und weitere andere zu automatisieren. Der Gewinn an Tempo und Rechtssicherheit bei der Umsetzung der Datenschutz-Grundverordnung ist beträchtlich – erhebliche betriebliche Risiken fallen weg.
Das Datenschutzrecht der DSGVO bleibt in Bewegung
Wir sind gemeinsam mit unseren Fachanwälten davon überzeugt, dass die Rechtsprechung sich in der praktischen Anwendung noch lange Zeit bewegen wird. Es gibt jetzt einen neuen rechtlichen Rahmen, der von allen Unternehmen in der Eingangsphase zunächst einmal getestet und erprobt werden muss.
Wie in der Vergangenheit auch wird es unterschiedliche Einschätzungen und Bewertungen der Sachlage geben. Präzedenzfälle werden erscheinen, Musterprozesse geführt werden, Verbraucherschützer werden Verschärfungen anstrengen, Industrieverbände werden dagegen argumentieren – in der Folge werden viele berechtigte Interessen gegeneinander abzuwägen sein und miteinander in Einklang zu bringen.
In der Zwischenzeit erscheinen neue Technologien auf dem Markt, die andere nach und nach ablösen, und die erneut Änderungen im Umgang mit Nutzerdaten mit sich bringen.
Die DSGVO fordert Privacy by Design und Privacy by Default. Das kann mit der Zeit sehr positive Auswirkungen für alle Nutzer haben, sollten viele der heute eingesetzten technischen Lösungen auf Websites sich in dieser Richtung weiterentwickeln.
Denn diese beiden Begriffe fordern von allen Anbietern digitaler Dienste und ihren Entwicklern, dass sie ihre Anwendungen von vornherein auf Datensparsamkeit trimmen. Privacy by Default bedeutet hingegen, dass jedes digitale Angebot ohne bewusste und informierte Einwilligung des Nutzers grundsätzlich keine persönlichen Daten sammelt.
Allein die Tatsache, dass es sich bei diesen beiden Themen um Forderungen der DSGVO handelt und nicht um eine Zustandsbeschreibung, verrät uns, dass es in vielen Fällen noch nicht umgesetzt ist, sondern ab sofort umgesetzt werden soll. Das bedeutet, dass viele technologische Lösung in Zukunft anders aussehen werden als sie es heute tun. Und mit ihrer neuen Funktionsweise ändern sich auch die zukünftigen Ansprüche an die Datenschutzerklärungen derer, die sie einsetzen – also jeden Betreiber einer Website, zum Beispiel.
Fazit
Die neue EU-Datenschutz-Grundverordnung verlangt eine ständige Auseinandersetzung mit dem Thema – auch nach der erfolgreichen Umsetzung aller erforderlichen Maßnahmen.
Weil die eingesetzten Technologien und die lebendige Rechtsprechung sich bewegen und ändern, müssen es auch die datenschutzrechtlichen Verfahren und Erklärungen – ein aufwändiger und fehlerträchtiger Prozess.
Auch wenn Sie die Regelungen der DSGVO gewissenhaft und mit den besten Absichten umsetzen möchten, es bleiben zahllose Fallstricke, über die Sie stolpern können. Es ist anzunehmen, dass ab dem 25. Mai 2018 sogenannte Abmahnanwälte in alle erdenklichen Versäumnisse und Lücken vorstoßen, um sich zu bereichern. Denn neuerdings lohnen sich die Streitsummen dafür. Das was diese Anwälte nicht schaffen, das überprüfen die zuständigen amtlichen Stellen und Verbraucherschutzverbände. (this is test)
Die damit verbundenen Bußgelder sind eine Gefahr für jedes Unternehmen.
Zum Glück können Sie sich absichern.
Automatisieren Sie den DSGVO-Prozess!