Was bedeutet die DSGVO für den Onlineauftritt?

Am 25.05.2018 tritt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. Was heißt das konkret für den Online-Bereich? Halbwissen ist derzeit im Umlauf. Bei einigen Unternehmern herrscht nach wie vor Verwirrung. Viele Passagen im Gesetz lassen Spielraum. Eine Richtungsweisung wird in einigen Bereichen erst durch die Praxis erlangt werden – vieles steht aber bereits fest. Für all jene, die die Verordnung ignorieren, kann es teuer werden, denn es drohen Strafen bis zu 20 Millionen Euro. Die Behörde holt sich zur Überprüfung Unterstützung und steht in den Startlöchern. Mag. Wolfgang Ehß, Datenschutzexperte und Rechtsanwalt der Grazer Anwaltskanzlei Aspida Rechtsanwälte, steht Rede und Antwort.

Ende Mai 2018 ist es soweit. Die Datenschutzbestimmungen der EU werden verbindlich. Herr Mag. Ehß, was ist Hintergrund der neuen Regelungen?

Wolfgang Ehß: Ziel der europäischen Verordnung ist die Vereinheitlichung der Datenschutzbestimmungen innerhalb der EU. Diese Vereinheitlichung soll dem Datenschutz aber auch dem „freien Verkehr personenbezogener Daten“ dienen. Der Datenschutz soll auch professioneller werden, weswegen allen Unternehmen erhöhte Anforderungen an die Datenschutzdokumentation durch Führung von Verfahrensverzeichnissen und weitreichenderen Nachweis- und Rechenschaftspflichten auferlegt werden. Das sorgt natürlich in den Unternehmen für einen erhöhten Verwaltungsaufwand.

Wen betrifft die Verordnung?

Wolfgang Ehß: Betroffen sind alle Unternehmen, die personenbezogene Daten verarbeiten, also auch EPU und Kleinstunternehmen. Personenbezogene Daten sind all jene Angaben, die sich auf eine zumindest theoretisch identifizierbare Person beziehen. Auch pseudonyme Cookies und IP-Adressen fallen darunter. Eine Verarbeitung liegt praktisch bei allen erdenklichen Verwendungen wie Erheben, Speichern, Offenlegung durch Übermittlung, Löschen, etc. vor.

Viele Unternehmen die einen Websiteauftritt haben, Onlinehandel betreiben bzw. Kundendaten für die Abwicklung Ihrer Geschäftstätigkeit speichern, fürchten die anstehenden Herausforderungen. Kommen bereits bei der herkömmlichen Geschäftsabwicklung neue Herausforderungen auf Unternehmer zu? Ändert sich bei der regulären Geschäftsbeziehung etwas.

Mag. Wolfgang Ehß ist Datenschutzexperte aus Graz

Wolfgang Ehß: Jede natürliche Person hat ein Recht darauf zu wissen, was mit seinen personenbezogenen Daten passiert und wie sie im Unternehmen – auch im EPU oder Kleinstunternehmen – verwendet werden. Darüber ist im Zuge des Geschäftsabschlusses aufzuklären, beispielsweise mittels einer Datenschutzerklärung darauf hinzuweisen. Selbstverständlich ist es auch außerhalb des Onlinehandels erforderlich. Auch dort über die Datenverwendung, ähnlich wie dies über die AGBs passiert, aufzuklären.

Wenn Kunden mittels Newsletter über Neuigkeiten informiert werden und diese in der Vergangenheit ihr Einverständnis erteilt haben, müssen Unternehmen durch die DSGVO erneut ein Einverständnis einholen?

Wolfgang Ehß: Im Rahmen des laut Gesetzeswortlaut vorliegenden berechtigen Interesses sind reguläre Marketingmaßnahmen durchaus gerechtfertigt, gerade dort wo eine ständige Geschäftsbeziehung besteht.

Alle, die bereits Newsletter erhalten und in der Vergangenheit und schon das Einverständnis abgegeben haben, wird man nicht nochmal eine Einwilligungserklärung abverlangen müssen. Eine allgemeine Aussendung zum Thema aktualisierte Datenschutzerklärung wird aber auf jeden Fall Sinn machen.

Stichwort Website: Was müssen Unternehmer im Sinne der DSGVO vor allem beachten?

Wolfgang Ehß: 

  • IP Adressen gelten ab 25.5. als personenbezogene Daten. Eine Pseudonymisierung wird bei der Übermittlung von personenbezogenen Daten im elektronischen Datenverkehr erforderlich. Gerade wenn Daten von der Website an andere Unternehmen bzw. Auftragsverarbeiter (Logistik, Bezahlanbieter, etc.) ausgewertet werden sollen. Die Weiterleitung kann beispielsweise mit SSL-Verschlüsselung vorgenommen werden, wie es bei vielen Webshops und Websites schon Standard ist.
  • Double-Opt-In ist bei Newsletteranmeldung zu empfehlen. Ein Häkchen für „Ich akzeptiere die AGB, die Datenschutzerklärung und bin mit dem Erhalt von Newsletter, Werbung etc. einverstanden“ ist ab 25.05. nicht mehr rechtmäßig. Vielmehr muss für AGBs, Datenschutzerklärung und Newsletter jeweils ein Häkchen vom Kunden gesetzt werden, damit die Einwilligung rechtmäßig ist. Auch bei Kundendateneingabe über ein Kontaktformular auf der Homepage ist vorab auf die Datenschutzerklärung des Unternehmens hinzuweisen und zu empfehlen, dass der Kunde – wie für AGBs und Datenschutzerklärung – ein eigenes Häkchen setzen muss, um der Verarbeitung seiner Daten zuzustimmen.
  • Datenschutzerklärungen von Unternehmen müssen für den Kunden auch vorab einsehbar sein. Diese sollte auf der Website getrennt von AGBs ausgewiesen und per Link direkt abrufbar sein.

Kann man als Unternehmer das Risiko eingehen und den 25. Mai abwarten und erst dann mit der Umsetzung beginnen? Welche Gefahren kommen so auf Unternehmer zu?

Wolfgang Ehß: Vom Zuwarten oder gar von der Nichtumsetzung ist jedenfalls abzuraten, da bei Verstößen mit empfindlich hohen Strafen zu rechnen ist und zu erwarten ist, dass die Behörde mit spezialisierten IT-Unternehmen, die Websites auf Verstöße hin durchforsten werden, zusammenarbeiten wird (der Gewinn hat berichtet).

Mit welchem zeitlichen Aufwand ist für die Umsetzung bei Unternehmen zu rechnen?

Wolfgang Ehß: Dies hängt von der Größe des Unternehmens und der Anzahl der Mitarbeiter ab. Generell gilt: Wenn sich das Unternehmen in der Vergangenheit bereits mit den Themen des Datenschutzes beschäftigt hat, wird es überschaubar sein. Wenn sich ein Unternehmen jedoch noch nie mit den einzelnen Datenströmen auseinandergesetzt hat, wird es im ersten Schritt eine mühsame und sicherlich auch teilweise langwierige Aufgabe sein, diese alle herauszufiltern und nachzuvollziehen, wie z.B. einzelne Mitarbeiter mit den Daten umgehen und welche Mitarbeiter und eventuell auch externe Unternehmen mit den personenbezogenen Daten in Berührung kommen. Diese Unternehmen müssen sich daher zunächst mit folgenden Fragen auseinandersetzen:

  1. Woher kommen welche Daten?
  2. Wo und wie bzw. wie langen werden die Daten verarbeitet und gespeichert?
  3. Wer hat intern und extern Zugriff darauf?
  4. Wohin gehen die Daten bzw. werden die Daten ins EU-Ausland versendet?

In einem nächsten Schritt ist dann zu prüfen, ob die Datenverarbeitung im Unternehmen überhaupt rechtmäßig erfolgt und wem es überhaupt gestattet ist, die personenbezogenen Daten zu verarbeiten. Es muss daher ein gesamtes Datenverarbeitungskonzept mit einem Sicherheitskonzept erstellt werden.

Was umfasst das Sicherheitskonzept?

Wolfgang Ehß: Das Sicherheitskonzept beinhaltet, wie das Unternehmen sicherstellt, dass nur jene Mitarbeiter Zugriff auf die personenbezogenen Daten haben, die auch laut Datenverarbeitungskonzept dazu berechtigt sind. Weiters muss der Zugriff durch unbefugte Dritte verhindert werden. Viele Kleinunternehmen sind in diesem Bereich noch nicht hinreichend sensibilisiert und werden oft die einfachsten Schutzmaßnahmen nicht umgesetzt. Beispielsweise habe ich vor kurzem einen Einzelunternehmer beraten, wobei er seinen PC direkt im Verkaufsraum stehen hat, dies jedoch ohne Passwortschutz. Verlässt er den Arbeitsplatz, bleibt der PC quasi ungeschützt zurück und könnte jeder, der sich im Geschäft befindet, auf die Daten zugreifen.

Kommen die Bestimmungen auch zur Anwendung, wenn die Daten nur in Papierform und nicht elektronisch gespeichert werden?

Wolfgang Ehß: Die DSGVO gilt nicht nur für die rein elektronische bzw. automatisierte, sondern auch für die teil- und nicht automatisierte Verarbeitung von Daten. Wer also noch seine Kundendaten rein analog speichert, muss trotzdem die Bestimmungen beachten.

 

MMPR setzt Lösungen für den Online-Auftritt um, die DSGVO-konform sind. Mag. Wolfgang Ehß ist Rechtsanwalt und Partner der Grazer Anwaltskanzlei Aspida Rechtsanwälte, und erstellt Datenschutz-Audits und Datenschutz-Maßnahmenpakete für Unternehmer. Zu seinen Tätigkeitsschwerpunkten zählt neben dem Datenschutzrecht Wirtschafts- und Unternehmensrecht.