EU-Grundverordnung: Websitebetreiber aufgepasst!

Fachbeitrag

Dieser Beitrag gibt Websitebetreibern einen Überblick über die Auswirkungen der kommenden EU-Grundverordnung auf die Anforderungen an Website-Compliance. Zum einen bleiben viele gesetzliche Pflichten erstmal bestehen, zum anderen sollten die Datenschutzerklärungen aber auf die Vorgaben der EU-DSGVO abgestimmt werden. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Wo finden sich momentan gesetzliche Vorgaben zur Website-Compliance?

Regelungen zur Website-Compliance finden sich u.a. in den §§ 11 ff. Telemediengesetz (TMG), insbesondere in § 13 TMG, der die Pflichten des Diensteanbieters vorgibt.

I. TMG vs. EU-DSGVO

In welchem Verhältnis stehen die §§ 11 ff. TMG zur EU-DSGVO?

Da die EU-DSGVO als europäische Verordnung direkt in den Mitgliedstaaten anwendbar sein wird, geht sie als europäisches Recht den nationalen Regelungen vor, genießt dementsprechend Anwendungsvorrang.

Was fällt durch das In-Kraft-Treten der EU-Grundverordnung dann weg?

Aufgrund der Vereinheitlichung des europäischen Datenschutzrechts werden die §§ 11 ff. TMG – die aktuell noch die Pflichten des Diensteanbieters regeln – aller Voraussicht nach zunächst durch allgemeine, sich nicht explizit an Telemedien orientierende, Normen der EU-DSGVO verdrängt. Durch eine weitere speziellere Verordnung auf EU-Ebene (liegt bislang nur im Entwurf vor) könnten dann wiederum die Regelungen der EU-DSGVO verdrängt werden.

Was tritt konkret an die Stelle der TMG-Normen?

Aktuell spricht viel dafür, dass zunächst die Art. 12 bis 14 EU-DSGVO an die Stelle der §§ 11 ff. TMG treten. Allerdings sind diese sehr abstrakt gehalten und nicht ausschließlich für den Umgang mit Telemedien konzipiert worden. Aus diesem Grund wurde ein Entwurf für eine ePrivacy-Verordnung erarbeitet, die – wenn sie verabschiedet wird – spezielle Regelungen für diesen Bereich trifft.

Bietet die EU-DSGVO Sondertatbestände zu Themen wie Websites, Big Data, Social Media oder Cookies?

Nein, die EU-DSGVO nimmt in diesem sensiblen Bereich Rückgriff auf die abstrakten Erlaubnistatbestände der Datenschutzrichtlinie 95/46/EG. Einzelne Artikel, die sich explizit auf derartige Einzelthemen der digitalen Welt beziehen, finden sich in der EU-DSGVO grundsätzlich nicht. Bis zur Verabschiedung einer ePrivacy-Verordnung sind die für Websitebetreiber wichtigsten allgemeinen Rechtfertigungen einer Datenverarbeitung daher (vgl. Art. 6 I EU-DSGVO)

  • das Vorliegen einer Einwilligung des Betroffenen
  • die Notwendigkeit der Datenverarbeitung für die Durchführung eines Vertrags und
  • das legitime Interesse des Datenverarbeiters, sofern nicht die Rechte des Betroffenen überwiegen.

Was bedeutet das konkret für die Zulässigkeit von Social Media Projekten oder Websiteoptimierungssoftware?

Grundsätzlich wird das legitime Interesse des Verarbeiters unter der EU-DSGVO nicht anders bestimmt und abgewogen werden, als es unter dem Rechtsrahmen der Datenschutzrichtlinie 95/46/EG und deren nationalen Umsetzungen der Fall ist. Demzufolge bleiben die hierzu entwickelten dezidierten Abwägungsmaßstäbe und Differenzierungen der Interessen des Verarbeiters und des Betroffenen weitestgehend bestehen.

Welchen Vorteil bringt die EU-DSGVO dann im Bereich Telemedien?

Nach deutscher Rechtslage ist die Unterscheidung zwischen Inhalts-, Nutzungs- und Bestandsdaten nicht immer leicht zu treffen. Die Differenzierung ist (noch) notwendig, um das anwendbare Gesetz, TMG oder BDSG, und dessen Rechtsfolgen zu bestimmen. Diese schwierige Abgrenzung fällt in Zukunft weg, was zu einer begrüßenswerten Steigerung der Rechtssicherheit im Sektor Telemedien führen wird.

Welche Anforderungen stellt § 13 TMG aktuell an Websitebetreiber?

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG […] in allgemein verständlicher Form zu unterrichten.

Welche Anforderungen wird Art. 12 EU-DSGVO an Websitebetreiber stellen?

Der für die Verarbeitung Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […] die sich auf die Verarbeitung personenbezogener Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Wo liegt denn der Unterschied?

Die EU-DSGVO legt vor allem mehr Wert auf eine präzise, transparente, verständliche, klare und einfache Sprache.

Gibt es Unterschiede bei Websites, die sich hauptsächlich an Kinder richten?

Ja, wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer kindgerechten Sprache erfolgen. In Bezug auf Dienste der Informationsgesellschaft, die Kindern direkt angeboten werden, ist in der Verordnung festgelegt, dass die Person, die die elterliche Verantwortung für ein Kind trägt, der Verarbeitung der personenbezogenen Daten eines Kindes zustimmen muss.

Wo ist die Altersgrenze für die Zustimmung bei Kindern geregelt?

Nach Art. 8 EU-DSGVO legen die Mitgliedstaaten die Altersgrenze im Bereich von 13 bis 16 Jahren selbst fest.

Ist die Zustimmung desjenigen, der die elterliche Verantwortung trägt, immer notwendig?

Nein, die Zustimmung ist nicht erforderlich, wenn einem Kind Präventions- oder Beratungsdienste angeboten werden, wie z. B. bei psychischen Belastungen oder familiären Problemen des Kindes. In diesen Fällen muss keine Zustimmung eingeholt werden, das Kind kann diese Dienste grundsätzlich ohne Kenntnis desjenigen nutzen, der die elterliche Verantwortung trägt.

Wie wird das Erfordernis der Zustimmung praktisch umgesetzt werden?

Um die Umsetzung der Vorschrift zu kontrollieren ist eigentlich eine Altersverifikation im Internet notwendig. Zudem müssen Eltern, als auch Kind eindeutig identifizierbar sein. Wie so oft ist die grundsätzliche Intention der Regelung erfreulich, allerdings wird eine sinnvolle Anwendung zu enormen praktischen Problemen führen.

II. Datenschutzerklärung

Bleiben die aktuellen Vorgaben zur Datenschutzerklärung bestehen?

Ja. Insofern ist weiterhin besonderer Wert auf datenschutzkonforme Erklärungen zu

  • Facebook „Like“-Buttons oder ähnlicher Social-Plugins anderer Anbieter (Twitter, LinkedIn etc.),
  • Webformulare (Kontaktformulare, Newsletter etc.),
  • Cookies (Informationen zu Zweck, Empfänger der Daten etc.)
  • Analyse-Tools (wie Piwik oder etracker) und
  • Tageting- bzw. Audience Optimisation Tools (z. B. AddThis)

zu legen. In diesem Bereich ist – auch aufgrund einiger aktueller Gerichtsentscheidungen – weiterhin noch viel im Fluss. Festzustellen ist aber, dass die gesetzlichen (teilweise recht abstrakten) Regelungen nicht mit der technischen Entwicklung und den sich daraus ergebenden Möglichkeiten Schritt halten können. Dieses grundsätzliche Problem zwischen Recht und Technik kann auch die EU-DSGVO nicht lösen.

Welche Auswirkungen hat die EU-DSGVO auf die Datenschutzerklärung meiner Website?

Die Auswirkungen sind noch nicht abzuschätzen. Allerdings wird die Datenschutzerklärung eher länger, als kürzer werden. Insbesondere die konträren Anforderungen der präzisen und transparenten Information des Betroffenen werden mit der geforderten verständlichen, klaren und einfachen Sprache kollidieren. Um diese Pflichten in Einklang zu bringen, wird ein gewisses Fingerspitzengefühl in den Formulierungen und dem Aufbau notwendig sein. Außerdem sollten die Entwicklungen bei der Einführung der ePrivacy-Verordnung im Auge behalten werden.

III. Umsetzung des Rechts auf Vergessenwerden

Wie sind Unternehmen daran beteiligt?

Die Unternehmen, also auch die Websitebetreiber, sollen bei der Durchsetzung des Rechts auf Vergessenwerden helfen. Wenn sie Daten an Dritte weitergegeben oder veröffentlich haben, müssen sie die Löschungsanfrage weitergeben oder wenn sie es ohne Zustimmung des Betroffenen getan haben, sogar die Löschung für den Betroffenen durchsetzen.

Was ist Websitebetreibern nun zu raten?

Alle Websitebetreiber sollten unbedingt die weiteren Entwicklungen und Gerichtsentscheidungen zum Thema Website-Compliance verfolgen. Für die konkrete Ausgestaltung der Datenschutzerklärung ist eine kompetente Beratung nahezu unumgänglich. Ansonsten begibt man sich nur zu leicht in die Gefahr von unangenehmen Maßnahmen der Aufsichtsbehörden, Abmahnungen durch Wettbewerber oder durch Verbraucherschutzverbände.

Weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung finden Sie hier.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

11 Kommentare zu diesem Beitrag

  1. Na… das ist doch auch eine Möglichkeit den Kleinst- und Kleinunternehmen den Gar aus zu machen. Hier als normaler Websitebetreiber noch den Durchblick zu behalten fast unmöglich. Wenn man Gerichtsurteile verfolgt kann es ja schon zu spät sein und man hat schon eine Abmahnung bekommen. Was genau und wie genau formuliert sein muss würde hier helfen…eine klare und verständliche Formulierung für (Kleinst-)Unternehmen die sich eine entsprechende Rechtsberatung nicht leisten können und einen Datenschutzbeauftragten dazu…das würde helfen! Stattdessen dürfen wir nun „Rundum-pakete kaufen oder Dokumenten-Management-System, oder oder oder….Ich finde Verbraucherschutz und Datenschutz sehr wichtig und würde hier gerne KEINE Fehler machen….aber dann lieber Gesetzgeber….bitte verständlich und für den Einzelnen UMSETZBAR und ausgereift inclusive für das Telemediengesetz und nicht „schwammig“ und „viel im Fluss“

  2. Sorry, aber das mag ich nicht unterschreiben.

    Solange Sie nicht gegen unlauteren Wettbewerb (UWG) verstoßen, sollten Sie in Sachen DSGVO bestenfalls vom Verbraucherschutz/Behörden kontaktiert werden.

    Bei einer einfachen Webseite sollte es reichen, auf „klare und leicht verständliche“ Weise etwas zu einem „Kontaktformular“ oder „Cookies“ zu sagen (wie im Artikel beschrieben).

    Die erhöhten Strafen sollen es ermöglichen, mehr Druck auf große Konzernen auszuüben und nicht, um einem Kleinunternehmer das Leben schwer zu machen.

    • Ja so war das Gesetzt geplant, was aber in der Reallität damit gemacht wird kommt erst noch auf.

      Ich gehe davon aus, dass wieder zig Abmahnfirmen aus dem Boden wachsen, welche als einzige Tätigkeit kleine Webseiten, die nicht zu 100% alles umsetzen, zu verklagen.

  3. Und, nicht zu vergessen, sollte eine Website Daten SSL-verschlüsselt versenden (https). Wenn Sie also ein Kontaktformular anbieten, ist SSL unbedingt anzuraten.

  4. ich glaub es wird zeit sich einen bunker zu bauen und den kontakt zur umwelt sein zu lassen.
    aber da giebt es mit sicherheit auch wieder irgend welche § die kein normal sterblicher verstehen kann. deutsch und beamtisch sind zwei verschiedene sprachen. so wie deutsch und bayrisch. wen der los redet in seiner üblichen sprach gechwindigkeit. da steh ich auch davor und schau ihn an wie ein reh vorm lkw. ok. als klein normalo die von dem grossen gerede und technick kram keine ahnung mit ihrer mini hp hat heist das: weg mit dem kontakt formular. ein teures formular system kaufen, oder sich irgend welchen obskuren strafen ausetzen. nur … weil jemand in mein kontakt formular schreibt: hallo ich bin suse, kannst du mir bei meinem haustier hellfen und eine tipp geben weil……..??!

  5. Was genau ist denn die „rechtliche definition von persönlichen zwecken auf Grundlage des neuen datenschutzrechtes“ für den Betreiber einer Informationsseite im Internet? Heißt dass solange ich behaupte, dass alles auf der angebotenen öffentlichen Informationswebsite dem „persönlichen Zwecke“ dient „das eigene Ego zu Erhöhen und seine Meinung kundzutun“ hat man rechtlich Narrenfreiheit?

    • Soweit Sie das „berechtigte Interesse“ des Webseiten-Betreibers meinen, wenn Sie von „persönlichen Zwecken“ sprechen, so finden Sie Ausführungen dazu, in Erwägungsgrund 47 zur DSGVO.
      Natürlich kann das berechtigte Interesse als Rechtsgrundlage nicht für alle Aktivitäten des Webseiten-Betreibers herangezogen werden. Vielmehr ist für die Zulässigkeit der Datenverarbeitung stets eine einzelfallbezogene Abwägung erforderlich, bei denen das Interesse des Webseiten-Betreibers dem Interesse des Users an seinen Daten überwiegen muss.

  6. Im oben getroffene Vergleich zwischen dem § 13 TMG und dem Art. 12 DSGVO wird doch aber ein Aspekt komplett außer acht gelassen. Das TMG bestimmte die Pflicht zu „unterrichten“, sodann diese „Unterrichtung“ für den User dauerhaft verfügbar zu halten. Das wurde sodann die bekannte und überall verwendete „Datenschutzerklärung“.

    Die DSGVO kennt diese Pflicht nicht. Die DSGVO weißt ein aktives Handeln an. Der Verantwortliche wird aufgefordert die Informationen zu „übermitteln“. Hier soll nicht bereitgestellt oder zur Verfügung gestellt, sondern „übermittelt“ werden. Das beschreibt eine konkrete Handlung.
    Die Erbringung der Informationspflichten nach DSGVO ist nicht umsetzbar, sofern man per Link auf seine Datenschutzerklärung nach § 13 TMG (sodann um Infos nach DSGVO ergänzt) verweist, da dies eben nicht einer „Übermittlung“ im Sinne der DSGVO entspricht. Übermittlung bedeutet, dass der Verantwortliche die Information zu überbringen hat. Das heißt – live in dem Moment = „zum Zeitpunkt“, in dem ich als neuer Kunde meine Daten in ein Formular im Onlineshop oder zur Neuregistrierung oder sonst was eintrage – sofort an Ort und Stelle optisch anzeigen lassen.
    Eine Übermittlung als Pflicht der Verantwortlichen wird auch nicht erreicht, indem ich als Kunde ein Kästchen anhake, das bestätigt, dass ich die Datenschutzerklärung (welche sodann per Link erreichbar ist oder als PDF-Datei herunterladbar wäre) gelesen habe. Auch das ist nicht „übermitteln“. Übermitteln bedeutet, dass die Informationen zu mir gebracht werden/ mir angezeigt werden, ohne, dass ich irgendetwas dafür tun muss.

    Wenn wir also davon reden, dass wir die Datenschutzerklärung einer Webseite der DSGVO entsprechend anzupassen haben, so verstehe ich nicht wovon die Rede ist. Unsere bisherigen Datenschutzerklärungen auf Webseiten basieren auf dem § 13 TMG, und der dort hinterlegten Pflicht „dauerhaft verfügbar sein zu müssen“. Die DSGVO kennt das überhaupt nicht. Die Datenschutzerklärungen auf Webseiten müssen nicht nach der DSGVO angepasst werden.

    Die DSGVO interessiert sich für Datenschutzerklärungen auf Webseiten (also allgemeine, statische Konstrukte) überhaupt nicht, da die DSGVO immer konkret „zum Zeitpunkt“ der jeweiligen Verarbeitung der personenbezogenen Daten Anwendung findet (Informationspflichten nach Art. 13 +14). Der Verantwortliche hat über die sodann konkret zur Verarbeitung (Erhebung) anstehenden personenbezogenen Daten zu informieren, und diese Informationen sind an den Betroffenen „zu übermitteln“.

    An einer – wie bisher nach dem TMG oder sonstigen deutschen Rechtsnormen – leicht zu findenden Stelle, zu hinterlegende Erklärungen, erfüllt die Pflichten nach der DSGVO überhaupt nicht.

    Wir dürfen nicht vergessen, dass die DSGVO nicht eine Aktualisierung oder Weiterentwicklung des Telemediengesetzes ist, sondern die Weiterentwicklung des Bundesdatenschutzgesetzes. Das findet auch in der echten Welt Anwendung.

    Wenn ich ab dem 26.05.2018 zum Frisör gehe und der möchte auf einmal meinen Namen, Adresse und Geburtsdatum haben, so benötigt er dafür einen Rechtsgrund (Art. 6 Abs. 1 DSGVO) und er muss mir sodann „zum Zeitpunkt“ dieser Verarbeitung (Erhebung) die Informationen nach Art. 13 DSGVO „übermitteln“.
    Da reicht es, wenn er mit einen Zettel in die Hand drückt wo alles draufsteht. Ein Hinweis im Sinne von: „Wir haben da hinten im Nebenraum einen Aushang, wenn es dich interessiert, geh gucken“ erfüllt die Anforderungen an „übermitteln“ nach der DSGVO jedoch ebenso nicht.

    Wieso glaubt jemand, dass …“Informationen sind Zum Zeitpunkt der Verarbeitung an den Betroffenen zu übermitteln“ … bedeutet, dass der Betroffene sich selbst drum zu kümmern hat an die Informationen zu gelangen, indem er Links anklickt, Webseiten durchwandert oder PDFs herunterlädt?

    Na weil das bisher auch so war?

    Ja, und Hintergrund hierfür ist und war und bleibt § 13 Abs. 1 TMG. Das hat aber mit der DSGVO nichts zu tun. Weder löst die DSGVO das TMG ab, noch passt sie das TMG an, noch passiert sonst was. Das TMG ist ein Spezialgesetz für Telemediendienste.

    Die DSGVO ist allgemein gültig, sobald personenbezogene Daten von natürlichen Personen verarbeitet werden, in der realen Welt oder der digitalen.

    Selbstverständlich kann jeder seine Informationspflichten auch zusätzlich in seine Datenschutzerklärung auf seiner Webseite packen. Das hat jedoch nichts mit der „Einhaltung“ der DSGVO zu tun.

    Auch wird der Website-Betreiber an seinen diversen Informationspflichten scheitern, sofern er sich weiter auf Social-Media-Dienste oder auch sonstige Google-Plugins weiterhin einlässt. Er ist beispielsweise nach Art. 13 Abs. 2 (a) DSGVO verpflichtet die Löschfristen (Dauer der Speicherung) der jeweiligen personenbezogenen Daten anzugeben, bzw. wenn dies nicht möglich ist die Kriterien, die zur Löschung führen. Na wie sind denn die Löschfristen bei seinem Auftragsdatenverarbeiter = Google und Co. ??

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.