Die DSGVO ist zurzeit in aller Munde und sorgt auch unter Webmastern für sehr viel Gesprächsstoff. Was es mit diesen fünf Buchstaben auf sich hat, soll in diesem Artikel aufgezeigt werden.
DSGVO steht für (die neue) „Datenschutzgrundverordnung“ der EU, die per 25. Mai 2018 in Kraft treten wird. Die Thematik „Datenschutz“ ist in Zeiten von google, Facebook & Co. gerade auch für Webagenturen ein sehr herausforderndes Thema. Immer wieder stolpert man über den Begriff „Big Data“: Je mehr Informationen man als Webseite-Betreiber über Eigenschaften und Verhalten seiner Nutzer hat, desto besser kann das digitale Angebot auf Wünsche und Bedürfnisse der Nutzer ausgerichtet werden. Was auf den ersten Blick plausibel und ganz im Sinne der Wirtschaftlichkeit einer Unternehmung zu stehen scheint, birgt aber Risiken: Möchte ich als Website-Nutzer überhaupt, dass Daten über mich gesammelt werden? Und wie kann ich überhaupt wissen, dass dies der Fall ist? Und wenn ich es weiss, habe ich dann Möglichkeiten, meine Anonymität zu wahren? Wie sieht es mit dem „Recht auf Vergessen“ aus? Diese und ähnliche Fragen münden in die neue Verordnung, welche in diesem Sinne eine klare Verschärfung geltender Gesetze und vor allem den Schutz des Einzelnen (also auch des Website-Besuchers) bezwecken soll.
Ein (fiktives) Fallbeispiel
Stellen Sie sich vor, Sie melden sich auf der Webseite des Kursanbieters „Courses4You“ für einen Kurs an. Dabei geben Sie Ihre Personalien an. Diese Daten werden nun in einer Datenbank des Webseite-Betreibers gespeichert. Stellen Sie sich vor, Sie erhalten ein Jahr später eine Mail von einem anderen Kursanbieter namens „Digital Learning Made Fast“. Die Mail macht Werbung für eigene Kurse. Vermutlich sind Sie es sich gewohnt, die Mail einfach wegzuklicken, wenn Sie kein Interesse haben. Bevor Sie die Mail aber in den Papierkorb verschieben, könnten Sie sich auch fragen: „Warum habe ich diese Mail überhaupt erhalten? Ich hatte diese Webseite noch nie besucht. Wie können die wissen, dass ich an solchen Kursen interessiert bin bzw. noch konkreter, wie können die wissen, dass ich vor einem Jahr einen ähnlichen Kurs eines anderen Veranstalters besucht habe?“ Sie besuchen die Webseite von „Digital Learning Made Fast“ und stellen fest, dass sich dahinter die gleiche Firma wie bei „Courses4You“ verbirgt. Offenbar wurden Ihre persönlichen Daten von der ersten an die zweite Seite weitergegeben und das, ohne dass Sie im Vorfeld darüber informiert worden wären oder irgendwo Ihr Einverständnis gegeben hätten.
Wer sammelt was?
Natürlich ist dieses Beispiel etwas gesucht, es soll aber aufzeigen, was nach der neuen DSGVO eben gerade nicht mehr auftreten soll und darf:
1. Ihre Personendaten wurden ohne Ihr Wissen oder Einverständnis für ein anderes Angebot verwendet
2. Der Zeitraum zeigt zudem, dass Ihre Personendaten nicht wieder gelöscht wurden, obwohl Ihre Teilnahme bereits über ein Jahr zurück liegt
Ein solches Szenario hatten wohl auch die Verfasser der DSGVO vor Augen, als sie die Verordnung formulierten. Im Fokus steht bei den Artikeln 13 und 14 vor allem auch das „berechtigte Interesse“ des Anbieters: Wenn Sie einen Online-Shop betreiben und Ihren Kunden Produkte empfehlen, die bereits gekauften Artikeln entsprechen, so ist dies durchaus legitim. Problematischer wird es bei der Erhebung, Verarbeitung und Weitergabe von Personendaten durch / an Drittanbieter, wobei die Statistik-Software „google analytics“ als prominentes Beispiel fungiert.
Was heisst das für den Website-Betreiber?
-
Rechtsauskunft
Website-Betreiber sind keine Rechtsexperten. Beim DSGVO handelt es sich um ein rechtlich sehr komplexes Gebilde, das im Zweifelsfalle auch von einer Rechtsperson geprüft und bewertet werden sollte. Wir raten unseren Kunden darum unabhängig von bereits geplanten Massnahmen, den Kontakt zur eigenen Rechtsabteilung oder zu externen Rechtsdiensten zu suchen.
-
Informieren
Vieles kann bereits erzielt werden, indem auf der eigenen Webseite umfassend informiert wird. So könnten Sie als Anbieter auf einer Seite „Datenschutz“ spezifisch auf die Anforderungen der DSGVO eingehen und diese kommentieren. Transparenz, Verständlichkeit und Nachvollziehbarkeit sind dabei grundlegenden Anforderungen: Informieren Sie Ihre Besucher darüber, was Sie wie und warum an Daten speichern, geben Sie Ihren Besuchern die Möglichkeit, Kontakt aufzunehmen und zeigen Sie auf, dass Ihre Datenerhebung eben zu berechtigten Zwecken erfolgt. Ein Tipp am Rande: Diagramme können den Sachverhalt der Datenerhebung und -speicherung mitunter verständlicher erklären als Texte.
-
Informieren bei der Erhebung
Informieren Sie nicht nur auf einer allgemeinen Seite, sondern fangen Sie die Stellen ab, wo Personendaten direkt erhoben werden. Dies sind oftmals personalisierte Anmeldeformulare (bspw. Newsletter). Verweisen Sie dort wiederum auf Ihre Datenschutz-Richtlinien (indem Sie bspw. auf die allgemeine Datenschutz-Seite verlinken) und machen Sie dem User klar, dass er diesen Richtlinien mit Absenden des Formulars zustimmt. Eine etwas „elegantere“ Variante ist der Ansatz, dass der Besucher sein Einverständnis via Checkbox geben muss, damit er das Formular überhaupt abschicken kann. So muss sich der Besucher zwingend mit diesem Feld „auseinandersetzen“ (da es ein Pflichtfeld ist) und macht sich dann an dieser Stelle auch die entsprechenden Gedanken.
-
Cookies
Das Erheben von Daten erfolgt sehr oft über Cookies. „Cookies“ ist ein Stichwort, das in Verbindung mit der DSGVO sehr oft genannt wird. Nun ist es bekanntlich so, dass praktisch jede Webseite mit Cookies arbeitet. Schon nur das Bereitstellen eines Login-Bereichs bedingt ein Cookie. Auch hier gilt das Prinzip der Zweckmässigkeit: Wenn Sie einen Online-Shop betreiben, sind die für die Shop-Funktionalität notwendigen Cookies legitim, da im Interesse Ihrer Funktion als Shop-Betreiber. Nichtsdestotrotz gilt auch hier die Devise: Informieren! Einige Webseiten machen dies sehr elegant, indem sie auf einer eigenen Seite umfassend informieren, welche Cookies zu welchem Zweck im Einsatz sind. So kann der Besucher die Notwendigkeit und Zweckmässigkeit verwendeter Cookies selbst nachvollziehen. Eine weitere Ergänzung stellen sog. „Cookie-Banner“ dar. Bei diesen Banners handelt es sich um ein Overlay, das bspw. oben oder unten auf der Webseite eingeblendet wird und den User somit bei Aufruf der Webseite darüber informiert, dass Cookies im Einsatz sind.
-
Opt Out?
Informieren ist eine Sache, dem User aber die Möglichkeit zu geben, gewisse Cookies explizit zu unterbinden, eine andere. Hier spricht man vom sog. „Opt Out“. Ein sehr gutes Beispiel stellt wiederum die Statistik-Software google analytics dar. Diese trackt das Besucher-Verhalten anhand von mehreren Cookies. Um die Konformität mit der DSGVO zu gewährleisten, muss dem Besucher auch die Möglichkeit gegeben werden, dieses Tracking zu unterbinden. Dies hängt natürlich auch von dem jeweiligen Dienst ab und kann bspw. für den Drittanbieter google analytics über ein von google bereitgestelltes Snippet angeboten werden.
-
Recht auf Vergessen
Welcher Webmaster kennt es nicht: Nach mehreren Jahren Betrieb hat man in seiner Datenbank vielleicht mehrere tausend Adress-Datensätze gespeichert. In der Hektik des digitalen Alltags wird schnell vergessen, ob die Speicherung dieser Daten zum aktuellen Zeitpunkt überhaupt noch gerechtfertigt ist. Natürlich gibt es hierzu keine verallgemeinerte Regel: Wenn Sie bspw. einen Login-Bereich oder einen Newsletter anbieten und diese immer noch aktiv bewirtschaften, so liegt es am Besucher, sich von diesen Diensten auszutragen (Achtung: Diese Möglichkeit muss dem Nutzer aber gegeben sein). Wie aber verhält es sich mit einer einmaligen Kampagne oder den im Fallbeispiel behandelten Kursteilnehmern? Hier kommt das eingangs erwähnte „Recht auf Vergessen“ zum Zug. Der These widersprechend, dass „das Internet nie vergessen würde“, legt die DSGVO ein besonderes Augenmerk darauf, dass Personendaten gelöscht werden, wenn sie eben nicht mehr der Zweckmässigkeit der Dienstleistung entsprechen.
Was heisst das für die Schweiz?
Wenn Sie jetzt noch verwirrter sind als zuvor, so hat dies sicherlich auch damit zu tun, dass im Internet unterschiedliche technische und rechtliche Einschätzungen und Empfehlungen kursieren, wie die DSGVO konkret und korrekt anzuwenden sei. Gerade auch die Frage, wie diese EU-Verordnung auf die Schweiz zu übertragen sei, wird heiss diskutiert: Ist der Standort des Nutzers relevant? Oder ist es das Hosting der Webseite? Oder doch der in der DSGVO formulierte Ansatz, dass diese Verordnung dann zum Tragen kommt, wenn „Ihr Unternehmen personenbezogene Daten von EU-Personen verarbeitet, dies entweder für Waren- oder Dienstleistungsangebote in der EU“? Was aber, wenn Ihr Unternehmen explizit auf den Schweizer Markt ausgerichtet ist, sich aber Besucher aus der EU darauf tummeln? Gilt dann Schweizer- oder EU-Recht? Es sind genau solche Fragen, für deren Beantwortung der unter Punkt 1 erwähnte Rechtsbeistand zu empfehlen ist. Das Internet ist voll mit Einschätzungen und Hinweisen, welche wir in diesem Artikel versucht haben zusammenzufassen. Nichtsdestotrotz handelt es sich hier um einzelne Teile eines sehr komplexen Mosaiks, dessen endgültige Form sich noch nicht unbedingt vollständig erschliessen lässt. Obige Massnahmen sind also nicht als Gewähr für eine vollständige Abdeckung sämtlicher Massnahmen zu verstehen, sondern als Denkanstösse und Empfehlungen, die wir aus verschiedenen Quellen zusammengestellt haben.
Download: Statement des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten als PDF
Ihr Text zum Thema DSGVO ist solid und angenehm zu lesen. Nur ironischerweise auf einer Webseite mit Newsletter (ohne double opt in -> Nicht DSGVO konform), Analytics (ohne Hinweis -> Nicht DSGVO konform) und einem Beispiel welches auch genau auf diese Seite angewendet werden kann. YMMD
Hallo Cian Leva. Vielen Dank für den Hinweis. Sie haben Recht, unsere Datenschutzmassnahmen sind noch nicht ganz auf dem aktuellen Stand. Zum Glück haben wir noch bis zum 25. Mai Zeit, diese Massnahmen noch zu implementieren. Freundliche Grüsse, die TWEEKS-Redaktion.