Datenschutz Grundverordnung DSGVO – Informationspflichten

Meine neue Datenschutzerklärung, mein weithin sichtbares Zeichen, dass ich es mir mit dem Datenschutz ernst ist, ist fertig!

Das war keine Kleinigkeit, sondern hat einen kompletten Arbeitstag gedauert. Die Recherche vorher nicht mitgerechnet.

Aber der Aufwand ist nötig, denn wie ich im ersten Artikel dieser Serie beschrieben habe, müssen wir als Unternehmer ab dem 25. Mai 2018 die Datenschutz-Grundverordnung, die DSGVO, umsetzen.
Und ein Grundsatz der DSGVO ist die Informationspflicht, um die es heute gehen soll.

Bevor Ihr kurzerhand meine Datenschutzerklärung kopiert, schnell drei Hinweise 🙂

• Ich bin kein Rechtsanwalt sondern IT Experte, daher übernehme ich keinerlei Garantie für die Richtigkeit und Gesetzestreue des folgenden Artikels und meiner Datenschutzerklärung.
• Meine Datenschutzerklärung basiert grob auf der Vorlage der WKO
  
• Für die Verwendung meiner Datenschutzerklärung auf der eigenen Webseite ist mein Einverständnis erforderlich, das ich auf Anfrage gerne erteile. Die Abonnenten meines Newsletters bekommen die Freigabe automatisch, was doch ein Grund wäre, sich gleich anzumelden, oder? 🙂 Das Formular ist rechts.
• Ich werde die Erklärung in Zukunft immer wieder korrigieren oder verbessern. Man lernt ja nie aus…

Das Gesetzt gebietet „Transparenz“.
Wenn wir mit personenbezogenen Daten unserer (potentiellen) Kunden arbeiten, müssen wir also darüber informieren, welche Daten wir verarbeiten, zu welchem Zweck, usw.. Und zwar bevor wir die Daten sammeln.

Betreiben wir eine Webseite (und das tun wir alle, oder?), sammeln wir auch Daten. Kontaktformular, Newsletteranmeldung, Google Analytics oder auch nur die Protokolle auf dem Webserver. Wir kommen also nicht um eine Datenschutzerklärung herum. Auch nicht um einen Hinweis auf Cookies, wenn wir schon dabei sind.

Dabei könnten wir uns zunächst auf die Daten beschränken, die wir auf der Webseite einsammeln. Je nachdem womit wir unser Geld verdienen, benötigen wir aber noch weitere Daten, sobald jemand unser Kunde wird. Kontonummern, die Vornamen der Kinder, das Geburtsdatum, was auch immer für unser Angebot nötig ist. Dann könnten wir unserer Informationspflicht mit den Vertragsunterlagen nachkommen. Versicherungsverträge sind ein Beispiel. Oder wir bauen gleich alles in die Datenschutzerklärung auf der Webseite ein und verweisen bei Vertragsabschluss darauf. Den Ansatz verfolge ich mit meiner Datenschutzerklärung und habe versucht auch Daten zu berücksichtigen, die nichts mit der Webseite zu tun haben.

Im Detail müssen wir aufgrund der „Informationspflicht“ über folgende Punkte informieren (Beispiele kommen anschließend):

1. Wer ist verantwortlich für die gesammelten Daten?
2. Welche Daten werden gesammelt und wozu werden sie verwendet?
3. Woher stammen die Daten, falls der Kunde sie nicht selbst eingibt?
4. Aufgrund welcher Rechtsgrundlage dürfen wir die Daten sammeln?
5. Verfolgen wir berechtigte Interessen mit dem Sammeln der Daten? Welche?
6. Werden die Daten außerhalb der EU weitergegeben? Ist der Empfänger „sicher“?
7. Wie lange werden die Daten gespeichert?
8. Werden mit den Daten automatisch Entscheidungen getroffen? Welche?
9. Welche Rechte hat der Kunde? (Auskunft, Widerspruch, Beschwerde, etc.)
10. Gibt es einen Datenschutzbeauftragten und wie kann man ihn erreichen?

Gar nicht wenig, oder? Wir müssen uns also erst einmal klar werden, welche Daten wir speichern und warum. Mein Beispiel sollte für eine „normale“ Webseite schon mal ein guter Anhaltspunkt sein. Vor allem weil ich auch Dinge wie MailChimp, Google Analytics und die Server-Logdateien berücksichtige. Wer einen Webshop betreut, muss  die dort gespeicherten Daten berücksichtigen. Zahlungsdaten nicht vergessen! Die WKO Vorlage enthält ein knappes Beispiel, das für den Anfang reichen könnte.

Aber gehen wir die Punkte anhand von einzelnen Beispielen durch.

Wer ist verantwortlich für die gesammelten Daten?

Das ist einfach: Name, Anschrift, Telefonnummer und E-Mail der Firma. Bei EPUs auch der Name des Inhabers.
Ein Beispiel spare ich mir 🙂

Welche Daten werden gesammelt und wozu werden sie verwendet?

Wir dürfen Daten nur für einen bestimmten Zweck speichern, und den müssen wir angeben. Wenn wir z.B. die E-Mail Adresse und IP-Adresse speichern, wenn jemand einen Beitrag in unserem Blog kommentiert, könnte wir schreiben: „Wenn Sie auf dieser Webseite einen Beitrag kommentieren, wird Ihr Kommentar, Ihr Name, Ihre E-Mail-Adresse und Ihre IP-Adresse gespeichert. Die gespeicherten Daten sind nötig, um bei Bedarf gegen rechtswidrige Kommentare vorgehen zu können.“

Woher stammen die Daten?

Wenn der Besucher seine E-Mail Adresse selbst eingibt, ist das klar, aber wenn die Daten aus einer anderen Quelle stammen, müssen wir diese nennen. Wenn z.B. der Browser des Besuchers Daten liefert, die in unseren Webserver-Protokollen landen, schreiben wir: „Der Server, von dem diese Webseite bereitgestellt wird, speichert Informationen die von Ihrem Browser automatisch an uns übermittelt werden, in sogenannten Log-Files.“

Aufgrund welcher Rechtsgrundlage dürfen wir die Daten sammeln?

Die DSGVO nennt eine Reihe von Gründen, warum Daten gesammelt werden dürfen. Die wichtigsten sind „mit Einverständnis des Kunden“, „aus berechtigtem Interesse“ und „notwendig zur Vertragserfüllung“. Die WKO schlägt daher folgende Formulierung vor: „Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des § 96 Abs 3 TKG sowie des Art 6 Abs 1 lit a (Einwilligung) und/oder lit b (notwendig zur Vertragserfüllung) der DSGVO.“

Verfolgen wir berechtigte Interessen mit dem Sammeln der Daten? Welche?

Wenn wir als Rechtsgrundlage eigene berechtigte Interessen annehmen, müssen wir auch erklären, was für Interessen das sein könnten. Die DSGVO räumt uns hier einen ziemlich großen Spielraum ein, denn berechtigte Interessen sind nicht klar definiert. So ist zum Beispiel die „Entwicklung des Geschäfts“ durchaus ein berechtigtes Interesse, sofern es nur um E-Mail Adressen und nicht um Kreditkartennummern geht. Oder die „Optimierung des Angebots“, die „Verbesserung von Stabilität und Sicherheit der Webseite“.

So kann man z.B. mit folgender Formulierung das Interesse an Daten für Google Analytics beschreiben: „Unser Anliegen im Sinne der DSGVO (berechtigtes Interesse) ist die Verbesserung unseres Angebotes und unseres Webauftritts.“

Werden die Daten außerhalb der EU weitergegeben? Ist der Empfänger „sicher“?

Es ist absolut nicht verboten, Daten z.B. in die USA zu übertragen, sofern wir sicherstellen, dass sich der Empfänger an die EU Gesetze hält. Daher müssen wir darüber informieren, wer die Daten bekommt und wieso das sicher ist. Letzteres können wir Anhand von Zertifizierungen und Verträgen nachweisen. Ich verwende z.B. Mailchimp für meine Newsletter und erkläre das so: „Den Versand der Newsletter übernimmt „MailChimp“, eine Marke der Firma Rocket Science Group, LLC, 675 Ponce De Leon Ave NE #5000, Atlanta, GA 30308, USA. Ihre E-Mail-Adresse, das Datum Ihrer Anmeldung und die dabei verwendete IP Adresse werden auf den Servern von MailChimp in den USA gespeichert. MailChimp ist unter dem US-EU Datenschutzabkommen „Privacy Shield“ zertifiziert. Außerdem haben wir einen Auftragsverarbeiter-Vertrag abgeschlossen, in dem sich MailChimp verpflichtet, sich an die EU Datenschutz-Grundverordnung zu halten.“

Wie lange werden die Daten gespeichert?

Einer der Grundsätze der DSGVO besagt, dass wir Daten nur solange speichern dürfen, wie sie benötigt werden und solange wir die Erlaubnis dafür haben. Nun kann man nicht immer genau sagen, wie lange wir die Daten brauchen. Daher können wir alternativ auch Kriterien nennen. Z.B. „bis zum Ende des Vertrages“. Es kann auch sein, das wir per Gesetz verpflichtet sind, die Daten für eine bestimmte Zeit aufzubewahren. Daher sieht eine Angabe für Vertragsdaten z.B. so aus: „Sämtliche Daten aus einem Vertragsverhältnis werden bis zum Ablauf der steuerrechtlichen Aufbewahrungsfrist (7 Jahre) gespeichert.“

Werden mit den Daten automatisch Entscheidungen getroffen? Welche?

Was kann damit gemeint sein? Z.B. solche Dinge wie unterschiedliche Preise je nach verwendetem Browser, nach dem Motto „Safari-Nutzer werden wohl mehr Geld haben“. Aber es gibt auch weniger unbeliebte Anwendungen wie Produktvorschläge abhängig vom Wohnort oder vom Alter. Also vor allem für Webshop-Betreiber interessant. Ein Beispiel dazu habe ich leider nicht.

Welche Rechte hat der Kunde?

Welche Rechte ein Kunde in Hinsicht auf gespeicherte Daten hat, habe ich im ersten Artikel zur DSGVO schon beschrieben. Wir müssen den Kunden darüber informieren, welche Rechte er hat. Die WKO schlägt hier die folgende Formulierung vor: „Ihnen stehen grundsätzlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch zu. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist dies die Datenschutzbehörde.“

Gibt es einen Datenschutzbeauftragten und wie kann man ihn erreichen?

Einen Datenschutzbeauftragten benötigt man, wenn man sich hauptsächlich mit Datenverarbeitung beschäftigt, die eine „regelmäßige und systematische Überwachung“ von Personen nötig machen oder die Kerntätigkeit in der Verarbeitung sensibler Daten besteht. Das gilt weder für mich noch für einen meiner Kunden.

So viel zur Informationspflicht.

Die Datenschutzerklärung auf der Webseite ist auch deswegen so wichtig, weil sie öffentlich und dadurch leicht überprüfbar ist. Wer keine hat, erfüllt die Anforderungen der DSGVO mit Sicherheit nicht und ruft regelrecht nach Schwierigkeiten. Es wäre also eine gute Idee, sich vor Ende Mai damit zu beschäftigen.

Beim nächsten Mal geht es dann um die zukünftige Pflicht für Datensicherung, bevor ich mich dem Thema „Verfahrensverzeichnis“ widme.

Liebe Grüße,

Christian Toller