Was Sie zum neuen Datenschutzgesetz wissen müssen
Ab Freitag gilt in ganz Europa die neue Datenschutz-Grundverordnung. Auch private Website-Betreiber sind in der Pflicht. Was man zur DSGVO wissen muss.
Wenn am Freitag die neue Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, betrifft das nicht nur Behörden, Unternehmen oder Vereine. Auch private Website-Betreiber müssen ihre Seiten an die neuen Richtlinien anpassen. IT-Fachanwältin Vera Franz aus der Augsburger Kanzlei JuS Rechtsanwälte Schloms und Partner betont: "Wer erst jetzt anfängt, sich mit dem Thema zu befassen, hat in der Vergangenheit schon viel verpasst."
Schon lange vorher hat es ähnliche Gesetze gegeben, sagt auch Rechtsanwalt Thomas Schwenke, der Datenschutzbeauftragter bei Tüv Süd ist. Allzu viel ändere sich im Vergleich zu vorher nicht. Aber: "Das neue Gesetz ermöglicht Internetnutzern, den Schutz ihrer Daten auch aktiv einzuklagen. Außerdem sei der Datenschutz erst durch die EU-Reform wieder ins Bewusstsein der Menschen gelangt.
Doch tatsächlich wissen viele Blogger und Betreiber eigener Internetseiten noch nicht genau, was zu tun ist. Sie fürchten Abmahnungen und hohe Bußgelder. Wir haben bei Experten nachgefragt und bieten einen Überblick über die wichtigsten Änderungen.
Wer ist von der DSGVO betroffen?
An die neuen Datenschutz-Richtlinien müssen sich alle Betreiber von Internetseiten anpassen, die persönliche Daten erheben und verarbeiten - egal ob Unternehmen, Vereine oder Blogger. Ausgenommen seien davon zwar ein paar wenige Blogs, die nur zu persönlichen oder familiären Zwecken dienen, sagt Rechtsanwalt Thomas Schwenke. "Grundsätzlich sollte aber jeder Website-Betreiber davon ausgehen, DSGVO-pflichtig zu sein."
Um welche Daten handelt es sich?
Bei den personenbezogenen Daten geht es nicht nur um Namen, E-Mailadressen oder Kontonummern, sagt Fachanwältin Vera Franz: "Das fängt schon bei der IP-Adresse an, die gespeichert wird, sobald ein Internetnutzer eine Seite besucht." Auch über Kontaktformulare oder externe Tools - zum Beispiel sogenannte Plugins - würden häufig personenbezogene Daten erfasst.
Was müssen Website-Betreiber jetzt konkret tun?
Das Wichtigste ist: "Auf jeder Website müssen Internetnutzer in einer Datenschutzerklärung transparent darüber aufgeklärt werden, was mit ihren personenbezogenen Daten passiert." Der Website-Inhaber muss diese Informationen in einfach verständlicher Sprache und in einem eigens gekennzeichneten Bereich auf seiner Seite platzieren, der für den Nutzer leicht zu erreichen ist - am besten mit nur einem Klick von der Startseite aus, rät Franz. "Die Informationen zum Datenschutz nur im Impressum zu platzieren wäre unzulässig."
Weil an dieser Stelle wirklich jede Auskunft zur Datenverarbeitung und Datenweitergabe dokumentiert werden muss, ist eine Datenschutz-Erklärung in der Regel sehr lang und ausführlich, sagt Rechtsanwalt Schwenke. "Viele Website-Betreiber müssen sich erst genau einlesen." Eine Anleitung erhalten Blogger und private Website-Betreiber online auf Schwenkes Daten-Generator. Hier können sie eine einfache Datenschutz-Erklärung für ihre Seite kostenlos zusammenstellen. Doch Schwenke sagt auch: "Damit die Erklärung vollständig ist, müssen sich Blogger und Website-Betreiber erst einmal Gedanken machen, welche Daten auf ihrer Seite überhaupt erhoben werden."
Wie gehen Website-Betreiber am besten vor?
- Verfügt die Seite über Kommentarfunktion und Kontaktformular, sollten private Betreiber gewährleisten, dass diese über eine verschlüsselte https-Verbindung kommunizieren, sagt Schwenke. Im Zweifel werde spätestens mit der neuen DSGVO ein Umzug nötig.
- Zudem sollten sich Blogger mit ihrem Hosting-Anbieter in Verbindung setzen und mit ihm einen so genannten Auftragsverarbeitungsvertrag schließen. "Dabei sichert der Anbieter dem Website-Betreiber zu, dass die Nutzerdaten bei ihm sicher sind", erklärt Schwenke und sagt: "Die meisten Anbieter haben einen solchen Vertrag bereits vorbereitet."
- Auch nutzen viele Website-Betreiber bewusst oder unbewusst externe Tools auf ihrer Website, die zusätzlich Daten erheben. Beispiele für Statistik-Tools sind etwa Google Analytics, Matomo oder Statify, die für den Seitenbetreiber erfassen, welche Beiträge wie häufig oder wie lange gelesen werden. Ein Beispiel für ein anderes Tool nennt IT-Fachanwältin Vera Franz: "Auch wenn ich eine einfache Karte zur Darstellung der Anfahrt einbinde, werden personenbezogene Daten gesammelt und weitergegeben."
Rechtsanwalt Schwenke rät: "Als privater Blogger sollte man sich überlegen, ob man diese Software wirklich braucht. Falls ja, bedarf es auch hier eines Auftragsverarbeitungsvertrags, den man mit dem jeweiligen Anbieter schließen muss." Zudem müsse man darauf achten, dass alle Tools möglichst rechtssicher eingestellt seien, warnt Schwenke. Bei der Datenweitergabe sollten die IP-Adressen unbedingt verschlüsselt werden.
Wer kann im Falle eines Datenschutz-Verstoßes abmahnen?
Abmahnungen können von verschiedenen Adressaten kommen, sagt Schwenke: "Es können Konkurrenten vorgehen, wenn sie glauben, dass ihnen durch nicht eingehaltene Datenschutz-Vorschriften des Konkurrenten ein Wettbewerbsnachteil entsteht. Auch Verbraucherzentralen und andere Organisationen können klagen, wenn sie einen Verstoß gegen die DSGVO bemerken. Genauso können aber auch Privatleute und alle Internetnutzer klagen, wenn sie sich in ihrem Datenschutz verletzt sehen."
Müssen Website-Inhaber jetzt mit einer Klagewelle rechnen?
Weil die europaweite DSGVO jetzt erst in Kraft tritt, ist noch nicht abzusehen, wie sich das Gesetz in der Praxis auswirkt. Mit einer großen Klagewelle rechnen aber weder IT-Fachanwältin Franz noch Rechtsanwalt Schwenke. Große Unternehmen und Behörden hätten ihre Websites ohnehin längst rechtssicher angepasst, sagt Franz. "Sie klagen aber meist nicht, weil sie anderes zu tun haben und es sich für sie nicht lohnt."
Auch kleineren Wettbewerbern rät die Anwältin von einer Abmahnung ab: "Ihre Klage könnte sich zum Bumerang entwickeln, wenn sie ihre Website selbst noch nicht so gut an die DSGVO angepasst haben. Dann sehen sie sich womöglich selbst mit einer Abmahnung konfrontiert."
Von Seiten der Aufsichtsbehörden drohe privaten Website-Betreibern zunächst auch noch kein Ungemach, sagt Rechtsanwalt Schwenke: "Die Behörden treten Privatleuten in der Regel verständnisvoll und in erster Linie beratend gegenüber. Bußgelder werden da eher nicht oder nur in geringem Maße verhängt."
Auch Schwenke rechnet nicht mit einer Abmahnwelle: "Wer abmahnt, setzt sich immer auch dem Risiko von langen Streitereien vor Gericht aus." Der Schadenersatz, der gezahlt werde, sei womöglich gar nicht so hoch. Wie sich die neue DSGVO am Ende wirklich entwickle, müsse sich aber erst noch zeigen, sagt Schwenke: "Vieles hängt nun von den ersten Gerichtsentscheidungen ab."
Die Diskussion ist geschlossen.