Themen: DSGVO
NEUE DSGVO ABMAHNUNGEN: Das sollten Sie jetzt beachten!
Veröffentlich am
27. Juni 2018
5 Minuten
Es WIRKT WIE ein FELDZUG der Bürokratie gegen die Digitalisierung
Durch unklare Formulierungen in der DSGVO und die fehlende Rechtsprechung sind besonders kleine und mittelständische Unternehmen aktuell hohen Risiken ausgesetzt. Die Einschätzung einiger Anwälte, dass es erst mal nicht zu Abmahnwellen kommen dürfte, hat sich leider als falsch erwiesen.
Bereits direkt nach Inkrafttreten der DSGVO gingen die ersten Anwaltsschreiben bei Website-Betreibern ein. Besonders brisant: Die Verwendung von Google Analytics ohne Zustimmung wurde abgemahnt (zum Artikel auf t3n). Eigentlich hatten viele erst im Rahmen der für 2019 erwarteten ePrivacy Verordnung mit Abmahnungen zu Google Analytics gerechnet, da diese den rechtlichen Rahmen für die Verwendung von Drittanbieter-Cookies regeln soll. Ein schnelles Abmahn-Verbot scheitert am Widerstand der SPD und nun soll erst im September ein Gesetzentwurf gegen Abmahnungen vorgelegt werden. Der Händlerbund berichtet aktuell von einer besonders dreisten Abmahnung mit der Forderung von 12.500 EUR Schmerzensgeld wegen eines fehlenden SSL-Zertifikats im Shop eines Händlers.
Ein SSL-Zertifikat ist bereits seit Jahren Pflicht, sobald personenbezogene Daten online über Formulare verarbeitet werden. Die technische Einbindung erfordert meist nur wenig Zeitaufwand und die Kosten für ein einfaches Zertifikat betragen bei unseren Hostern rund 25 Euro pro Jahr. Die Rechtslage rund um die Verwendung von Google Analytics sollte man aber im Auge behalten. Wer auf Nummer sicher gehen will, kann nur auf die Verwendung von Google Analytics verzichten oder den Besucher gezielt um Einwilligung bitten und zwar vor dem Setzen der Cookies. Da dies jedoch die Statistik verfälschen und so die Verwendung von Google Analytics obsolet machen könnte, müssen wir auf eine schnelle Lösung durch Google hoffen.
Digitalisierung gebremst:
Die Datenschutz-Keule gegen den globalen Wettbewerb
Bei der Nutzung jeglicher Online-Dienste müssen Sie als Website-Betreiber nun primär nach Datenschutz-Kriterien und nicht nach Preis, Funktionalität oder Usability auswählen. Das schränkt die Wettbewerbsfähigkeit ein und ist dann ein echtes Problem, wenn geschäftsrelevante Dienste nicht DSGVO-konform einsetzbar sind
Für die meisten Website-Betreiber ist besonders das jüngste Urteil des Europäischen Gerichtshofs EuGh von Interesse. Es betrifft alle Betreiber von Facebook Fanpages und auch die Nutzung von Diensten wie Google Maps oder Google Fonts. Denn Sie sind jetzt als Betreiber für die DSGVO-konforme Datenverarbeitung beim Anbieter mit verantwortlich.
Tipps und aktuelle Diskussionspunkte zu den beiden meistgenutzten Anbietern Google und facebook
Google Fonts & Google Maps
Google Fonts und Google Maps sind kostenlos, praktisch und einfach zu integrieren, daher werden sie auf vielen Websites eingesetzt. Die Kartendaten von Google Maps müssen immer von Google Servern geladen werden. Daher wird der Dienst direkt innerhalb der eigenen Webseite integriert und stellt dann eine Verbindung zu Google-Servern her. Auch Google Fonts können direkt über Google Server auf der eigenen Webseite eigebunden werden.
Vorteil: Entlastung des eigenen Servers und weltweit schnell geladen.
Nachteil: Google liest ggf. die IP Adresse aus und „merkt“, wenn ein User bei Google angemeldet ist, kann dadurch also selbst einen Personenbezug herstellen.
Und genau hier liegt das Problem, denn in diesem Fall benötigen Sie zuvor die Einwilligung des Users aufgrund der eingesehenen personenbezogenen Daten.
Bei den Google Fonts ist dieses leicht zu lösen, denn man kann die Schriftart herunterladen und dann lokal über den eigenen Web-Server einbinden.
Bei Google Maps ist das nicht so ohne weiteres möglich, denn Sie können die Karten und das Programm ja nicht herunterladen. Auch hier wäre sicher die einfachste Lösung Google Maps schlichtweg von der Website zu entfernen und einen externen Link mit Adresse zur Routenplanung auf Google Maps setzen. In vielen Fällen ist Google Maps aber tiefer integriert, z.B. bei Kartensuche nach lokalen Standorten oder Handelspartnern. In diesem Falle wäre ein vorgeschaltetes Einwilligungsfenster direkt im Bereich, in dem die Karte später geladen wird, eine gute Alternative. Die Einwilligung kann auch in Verbindung mit anderen Einwilligungen, z.B. für das Setzen von Tracking-Cookies, direkt beim Betreten der Website eingeholt werden. Erst nach Zustimmung wird dann der Dienst im Browser ausgeführt bzw. das zustimmungspflichtige Cookie gesetzt. Die Umsetzung in der Praxis wird also stark von den ersten Urteilen abhängen und außerdem durch die noch ausstehende ePrivacy-Verordnung beeinflusst werden. Daher empfehle ich die aktuelle Berichterstattung zu diesen Themen zu verfolgen. Die unten verlinkten Websites bieten ständig aktuelle Infos rund um DSGVO-Themen.
Was also jetzt tun?
Facebook, YouTube & Co
Zur Frage der Einwilligungspflicht gesellt sich noch die generelle Fragestellung, welche externen Dienste überhaupt noch ohne erhebliche Risiken eingesetzt werden dürfen. Insbesondere dann, wenn ich als Seitenbetreiber keinen Einfluss und keinen Vertrag zur Auftragsdatenverarbeitung mit dem jeweiligen Dienstanbieter schließen kann. Google Analytics und viele andere Marketing-Tools wie Newsletter-Dienste lassen sich durch solche AV-Verträge DSGVO-konform einsetzen. Aber selbst Google bietet nicht für alle seiner Dienste einen AV-Vertrag. Auch Facebook ist derzeit noch nicht DSGVO-konform und hat zudem noch mit Datenskandalen zu kämpfen.
Am 6. Juni hat der EuGH über die Mitverantwortung der Betreiber von Fanpages entschieden. Dabei ging es um die Frage, ob eben ein Betreiber einer Fanpage für die Datenverarbeitung durch Facebook rechtlich mit verantwortlich ist. Das Urteil hat für große Verunsicherung gesorgt, denn der EuGH urteilte, dass ein Fanpage-Betreiber in der EU gemeinsam mit Facebook Irland als für die Datenverarbeitung Verantwortlicher anzusehen ist.
Und wie können Sie sicher stellen, dass Facebook sich an die Regeln hält?
Sollten also alle Fanpages nun besser abgeschaltet werden?
Unsere Bewertung: Derzeit liegt die Entscheidung komplett in der Risikobereitschaft der Betreiber, also bei Ihnen! Selbst erfahrene Anwälte trauen sich aktuell kaum noch Empfehlungen auszusprechen. Vor allem, weil es wider allen Erwartungen doch bereits direkt nach dem 25.Mai zu ersten Abmahnungen gekommen ist. Wir haben uns nach Abstimmung mit unserem Anwalt, auf Basis des Artikels von Dr. Schwenke und den Videos von Dr. Christian Solmecke dafür entschieden, ein gewisses Risiko zu akzeptieren und erst einmal abzuwarten. Wir versuchen aber auch am Ball zu bleiben und werden schnell reagieren, sobald es Abmahnungen, erste Rechtsprechung oder Hinweise von zuständigen Stellen gibt.
KAPITULATION: Website abgeschaltet! Bin ich jetzt sicher?
Antwort: Nein! Die DSGVO-Bürokratie duldet selbst leere Seiten nicht als rechtsfrei. Sie brauchen immer Impressum und Datenschutzerklärung. Einzige Möglichkeit wäre das Abschalten der Domain ;-)
Langsam wird es absurd. Wir hoffen, dass sich die große Koalition endlich mal einigt, dem Ganzen einen Riegel vorzuschieben und Abmahnungen sowie Strafen zu verhindern, bis mehr Rechtssicherheit herrscht.
Auch „analog“, zum Beispiel bei Anrufen oder dem Übergeben von Visitenkarten sind Sie nicht raus - hierzu zwei lustige Videos von WBS:
DSGVO Wahnsinn Teil 1: So absurd wird es WIRKLICH, wenn man sich daran hält
https://www.youtube.com/watch?v=Q_P6Q3fkZB8
DSGVO-Wahnsinn Teil 2: Telefonieren trotz DSGVO
https://www.youtube.com/watch?v=RZB67nZmXWg