Die regelmäßigen Aktualisierungen der DSGVO treibt viele Unternehmer in den Wahnsinn. Begriffe wie Cookies, Datenschutzerklärung, Einwilligung und Auftragsverarbeitung sollten jedoch bekannt sein und im Detail beachtet werden. DSGVO steht für die Datenschutz-Grundverordnung der Europäischen Union - im englischen auch bekannt als GDPR (General Data Protection Regulation). Im Folgenden erfahren Sie, auf was Sie in Bezug auf die DSGVO 2022 achten müssen und wie Sie sich selber und Ihr Unternehmen vor teuren Abmahnung schützen können.
Zusammenfassung der Neuerungen in Bezug auf Datenschutz in der EU und Deutschland im Jahr 2022
Neues Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist am 1.12.2021 in Kraft getreten. Dieses regelt nun genauer, wie mit Cookie-Bannern Einwilligungen einzuholen sind und welche Cookies auch ohne Einwilligung des Nutzers gesetzt werden dürfen. Dies sind nur technisch-notwendige Cookies.
Keine Änderungen an der EU-DSGVO zum Jahreswechsel 2022
Neues Datenschutzgesetz in der Schweiz, welches sich stark an der EU-DSGVO orientiert
Erhöhte Aufmerksamkeit von Datenschutzbehörden zum Thema Einwilligung, Cookie-Consent und Nutzerdaten-Verarbeitung
Während Daten innerhalb des Europäischen Wirtschaftsraums frei übermittelt werden können, muss außerhalb der EU (sog. „Drittstaaten“) die Einhaltung des Datenschutzniveaus der Datenschutz-Grundverordnung („DSGVO“) gewährleistet sein. Üblicherweise geschieht dies in der Praxis durch den Abschluss sogenannter Standardvertragsklauseln („SCCs“) nach Art. 46 Abs. 2 lit. c DSGVO. Diese werden von der Europäischen Kommission in Form von Vertragsmustern zur Verfügung gestellt. Mit Umsetzung des Beschlusses Nr. 2021/914 vom 4. Juni 2021 hat die Kommission nun ein neues Vertragsmuster veröffentlicht. Somit wird der Datentransfer in die USA deutlich kritischer.
Datenübertragung in die USA und andere Staaten außerhalb der EU
Die Datenübertragung in die USA wird immer kritischer behandelt. Dies wurde nicht zuletzt auch durch ein Beschluss des Verwaltungsgerichtes Wiesbaden (https://rewis.io/urteile/urteil/2tj-01-12-2021-6-l-73821wi/) verstärkt. Hier wurde die Verwendung von Google Tag Manager zur Kontrolle der Cookie Zustimmung untersagt, da hier schon vorab Daten an Google übermittelt wurden. Auch vor der Zustimmung durch den Nutzer. Es wurden hier nicht nur die IP-Adresse des Nutzers, sondern auch der benutze Browser, Gerät, Uhrzeit und sogar Standort über GeoIP übermittelt. Zudem wurde in oben genanntem Urteil ein Cookie-Banner oder Cookie-Tool aus Dänemark verwendet. Auch dieses schickte vor der Einwilligung Daten nach Dänemark um die Zustimmung zu verwalten. Solche Einbindungen sind rechtswidrig. Verbindungen zu externen Quellen sollten in jeder Form erst nach Zustimmung durch den Nutzer geschehen.
Für wen gilt die DSGVO?
Die Datenschutz-Grundverordnung regelt, wie Unternehmer, Unternehmen und Behörden mit personenbezogenen Daten von Verbrauchern, Kunden und Nutzern umgehen müssen. Die DSGVO gilt hier allerdings nur auf Ebene der europäischen Union. In Deutschland gelten neben dieser auch weitere Datenschutz-Gesetze wie das Bundesdatenschutzgesetz Deutschland (BDSG), das TMG, das TTDSG und das TKG. Besonders müssen sich allerdings Unternehmen mit den damit verbundenen Änderungen befassen. Die Umsetzung der DSGVO ist mit weitreichenden Pflichten und enormem Aufwand verbunden. Zudem weitet die DSGVO Verbraucherrechte im Netz deutlich aus.
Was ist das Ziel der DSGVO?
Die DSGVO soll einen europäischen Standard herstellen um Verbraucher-, Kunden- und Nutzerdaten zu verarbeiten. Der zentrale Punkt macht den Schutz des Verbrauchers aus. Ein Nutzer im Internet soll für Webseiten-Betreiber, Unternehmer und Behörden kein Glaskasten darstellen, von welchem etliche Daten verfügbar sind und beliebig verarbeitet werden dürfen. Die DSGVO gibt vor wie mit Besucher- und Nutzerdaten auf Unternehmensebene umzugehen ist, welche Daten gespeichert werden dürfen und wie diese verarbeitet werden dürfen.
Seit wann gibt es die europaweite DSGVO?
Der erste Entwurf der DSGVO wurde am 14. April 2016 vom EU-Parlament beschlossen und trat in der finalen Fassung am 25. Mai 2016 in Kraft. Seit dem 25. Mai 2018 müssen EU-Mitgliedsstaaten diese umsetzen. Der eigentliche Name der DSGVO laut Gesetz lautet: „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“.
Welche Strafen bei Nichteinhaltung der DSGVO können auf Webseiten-Betreiber zukommen?
Wenn die Unternehmens-Webseite nicht allen Vorgaben der DSGVO entspricht muss man sich auf hohe Bußgelder gefasst machen. Diese können in Form von Abmahnungen, Gerichtsverfahren und durch Aufsichtsbehörden auf Sie zu kommen. Aufsichtsbehörden können bis zu 20 Mio. Euro Bußgeld verhängen. Abmahnungen bewegen sich oft im mittleren dreistelligen Euro Bereich.
Ab wann ist die DSGVO für Webseitenbetreiber relevant? - Ein Kurzüberblick
Im Grundsatz der DSGVO gilt: Sie dürfen als Unternehmer und Webseitenbetreiber Daten von Nutzern und Kunden nur verarbeiten, wenn Sie einen rechtlichen Grundsatz zur Verarbeitung haben oder der Kunde oder Nutzer der Verarbeitung zugestimmt hat. Je nach Ausrichtung Ihrer Webseite stecken Sie sehr schnell in der DSGVO-Falle.
Einige Beispiele:
Sie haben eine Webseite und analysieren Nutzerdaten mit Tracking-Tools wie z.B. Google Analytics oder Google Tag Manager
Sie haben einen Online-Shop und speichern Kunden- sowie Bestelldaten
Sie versenden einen Newsletter und speichern somit Nutzerdaten in Form von Email-Adressen
Sie verwenden auf Ihrer Webseite ein Kontaktformular
Sie verwenden auf Ihrer Webseite externe Einbindungen wie z.B. Facebook, Instagram, iFrames und externe Skripte
Sie nutzen auf Ihrer Homepage ein CDN, welches nicht innerhalb der EU ansässig ist
Es sollte nun offensichtlich sein, dass sich fast jeder an die DSGVO zu halten hat und die Umsetzung dieser nicht auf die leichte Schulter genommen werden darf.
Grundsätze der EU-DSGVO
Um die Vorgaben der DSGVO besser verstehen zu können haben wir die wichtigsten Grundsätze kurz zusammengefasst. Die Grundsätze sollten jedem Unternehmen, Webseitenbetreiber, aber auch jedem Verbraucher und Nutzer bekannt sein.
Das sind die wichtigsten Bausteine der DSGVO:
Verarbeitung der Daten erst nach erteilter Erlaubnis
Als Unternehmer und Webseitenbetreiber dürfen sie grundsätzlich keine personenbezogen Daten speichern, verarbeiten oder nutzen. Die einzige Ausnahme besteht in der Zustimmung zur Verarbeitung der Daten durch den Nutzer oder durch Gesetze, welche die Datenverarbeitung erlauben. Siehe hierzu: BDSG, TMG
Sparsamer Umgang mit Daten
Webseitenbetreiber dürfen nur so viele Daten erheben und nutzen wie Sie tatsächlich benötigen.
Datenverarbeitung nur Zweckgebunden
Alle erhobenen Daten sind zweckgebunden. Das heißt: Werden personenbezogene Daten für einen Newsletter erhoben, dürfen diese nicht für anderweitige Marketing-Zwecke genutzt werden. Oder wenn Kontaktdaten für einen Immobilienverkauf erhoben werden dürfen diese nicht für Werbung für eine andere Immobilie verwendet werden.
Datenrichtigkeit
Gespeicherte Daten müssen richtig sein und aktuell gehalten werden.
Datensicherheit
Personenbezogene Daten müssen, je nach dem wie schützenswert diese sind, geschützt werden. Die jeweiligen Maßnahmen sind anhand dessen zu bemessen wie sensibel die gespeicherten Daten sind und welches Schutzniveau notwendig ist.
Recht auf Auskunft und Löschung
Jeder Nutzer hat einen Anspruch darauf, die von Ihm gespeicherten Daten einzusehen und löschen oder sperren zu lassen. Hierfür muss nur einer der beiden Gründe vorliegen: -> Der Zweck zur Verarbeitung der Daten ist weggefallen -> Der Nutzer widerruft seine Einwilligung und wünscht die Löschung seiner Daten
Datenportabilität
Nutzer haben das Recht rhre personenbezogenen Daten zu einem anderen Anbieter mitzunehmen. Dies hat gerade Relevanz in Bezug auf den Wechsel der Bank, des Arbeitgebers oder des Dienstleisters. Die personenbezogenen Daten müssen in einem gängigen Format weitergegeben werden und gesammelt werden.
Rechenschaftspflicht
Sollten Sie als Webseitenbetreiber von der Aufsichtsbehörde aufgefordert werden jegliche Datenschutzmaßnahmen darzustellen, müssen Sie dies tun können. Können Sie nicht nachweisen, dass Sie die Anforderungen der DSGVO einhalten, drohen bis zu 20 Millionen Euro Bußgeld oder bis zu 4% des Vorjahresumsatzes.
Die gesamte DSGVO, auch mit Links zum schnellen Einsteigen findet sich unter: https://dsgvo-gesetz.de
