Controlling 21

Dr. J. Schuhmacher

vg

DSGVO, Datenschutz-Grundverordnung, DS-GVO, General Data Protection Regulation, GDPR, deutsches Bundesdatenschutzgesetz

Hier erfahren Sie alles Wichtige über die europäische Datenschutz-Grundverordnung (DS-GVO), die international unter dem Namen General Data Protection Regulation (GDPR) bekannt ist, sowie über Neuerungen am deutschen Bundesdatenschutzgesetz.

Weitere Namen sind DS-GVO, Datenschutzgrundverordnung, europäisches Datenschutzgesetz, europäische Datenschutzverordnung, VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES - vom 27. April 2016, zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

Selbständige, Handwerker, Kleinunternehmer und mittelständische Unternehmer (KMU) erfahren hier ganz konkret und verständlich, was Sie bezüglich der DS-GVO wie wo in Ihrem eigenen Internet-Auftritt ändern müssen - mit einfacher Einbauanleitung zum sofortigen kostenlosen Umsetzen.

Ein Inhaltsverzeichnis mit direkten Sprungmarken und Überblick über alle bei DS-GVO, Datenschutz-Grundverordnung, General Data Protection Regulation, GDPR, deutsches Bundesdatenschutzgesetz - behandelten Themenbereiche finden Sie als Pop-Up.

Da ich praktisch täglich (manchmal sogar mehrfach täglich) Ergänzungen zu diesem Artikel eintrage, verzichte ich auf die Datumsangabe. Der Artikel ist aktuell.

Drei Forderungen gemäß DS-GVO

Die europäische DS-GVO = Datenschutz-Grundverordnung stellt drei Informationsforderungen an alle Persondendaten Verarbeitende:

  1. Öffentliche Publikation aller datenschutzrelevanten Tätigkeiten - z.B. im Internet. Das wird in diesem Artikel hier behandelt.
  2. Schriftliche Auskunftserteilung an die aufsichtsführende Behörde mittels Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 der DS-GVO. Siehe hierzu den eigenständigen Artikel VVT.
  3. Schriftliche Auskunftserteilung an jeden einzeln anfragenden Auskunftssuchenden. Siehe den hierzu eigenständigen Artikel Auskunftspflicht.

Mein Versprechen an Sie: Alle Artikel bleiben öffentlich zugänglich, kostenlos und werden ständig gepflegt sowie ausgebaut resp. aktualisiert.

Zweiteilung

Der Aufbau des Artikels über die DS-GVO ist zweiteilig:

Sie mögen keine Theorie? Das ist verständlich. Aber von den folgenden Punkten hängt die Zukunft Ihrer Firma ab:

Hintergrund

Externe Helfer und Hilfen

Firmenverantwortung

Die DS-GVO - die neue europäische Datenschutz-Grundverordnung

Im Folgenden wird auf die DS-GVO - die neue europäische Datenschutz-Grundverordnung - eingegangen, damit Sie verstehen, worum es überhaupt geht. Die DS-GVO wird offiziell auch gerne als Richtlinie (EU) 2016/679 bezeichnet. - Es ist einfacher, als Sie vielleicht glauben. Man kann es auch ohne Jura-Studium oder Promotion verstehen. Wer bei Amazon einkaufen kann, kommt auch damit klar.

Vorab: Präzise heißt es Erwägungsgrund. Da diese Erwägungsgründe jedoch dem eigentlichen Rechtstext mit den Artikeln vorangestellt werden, nennen sie viele auch Präambel. Zum Rechtscharakter der Präambeln bei EU-Gesetzen/-EU-Verordnungen siehe z.B. Gabler.

Ferner gilt derzeit noch der wichtige Hinweis: Es finden sich 2 Versionen des Bundesdatenschutzgesetzes (BDSG): Die derzeit bis 24.05.2018 gültige Variante und die ab dem 25.05.2018 geltende. Letztere wird in diesem Artikel ausdrücklich als BDSG NEU gekennzeichnet.

Grundsätzlich gilt, dass die allgemeine europäische DS-GVO Vorrang genießt vor dem spezifischeren deutschen BDSG. § 1 (5) (BDSG NEU) lautet: Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.

Betroffene der DS-GVO

Wer fällt unter die europäische Datenschutz-Grundverordnung? - Aufgrund des Marktortprinzips fast jeder.

Zur Klarstellung: Vieles ist in der DS-GVO, der europäischen Datenschutz-Grundverordnung, bewusst vage gehalten worden, damit die nationalen Instanzen - Gesetzgeber und Gerichte - sich hierzu im Detail gestalterisch äußern können. D.h. solange es keine rechtskräftigen höchstinstanzlichen Urteile gibt, kann man leider auch nichts Genaues sagen. Aber man kann Rahmenbedingungen abschätzen. Und diese sind mit dem neuen Bundesdatenschutzgesetz sowie der DS-GVO erstaunlich eng.

Rechtmäßigkeit der Verarbeitung

Informationspflichten laut DS-GVO

Nutzen Sie die Liste der folgenden Punkte der DS-GVO als Checkliste zum Abhaken bei Ihrer Datenschutzerklärung. Alles muss erfüllt sein.

Artikel 30 - Verzeichnis von Verarbeitungstätigkeiten - VVT

Siehe hierzu den eigenständigen Artikel Artikel 30 - Verzeichnis von Verarbeitungstätigkeiten - Das müssen Sie als Firma intern führen.

Auskunftspflicht des Betreibers / Auskunftsrecht der betroffenen Person

Schriftliche Auskunftserteilung an jeden einzeln anfragenden Auskunftssuchenden. Siehe den hierzu eigenständigen Artikel Auskunftspflicht.

Weitere Rechte des Betroffenen / Pflichten des Betreibers

Die folgenden Details sind im Grunde banal und (hoffentlich) bekannt:

Auch, wenn mir jetzt viele Juristen widersprechen werden, so wage ich folgende Prognose: Da zahlreiche Dinge im neuen BDSG für nichtöffentliche Stellen (EU-Verordnung 2016/679) nicht mehr erwähnt werden, werden sich Richter in Streitfällen vermutlich analog auf die Paragrafen BDSG NEU § 45 ff. berufen, obwohl dies für öffentliche Stellen (EU-Verordnung 2016/680) gedacht sind, da dort einiges spezifischer erklärt wird.
Um es kurz zu machen: Die hier weiter unten angebotenen Texte berücksichtigen auch die engere Sichtweise aus der EU-Verordnung 2016/680 und dem BDSG NEU § 45 ff.

Praxistipps - Teil 2

Hier finden Sie die praktische Umsetzung der Datenschutz-Grundverordnung (DS-GVO) sowie des deutschen Bundesdatenschutzgesetzes mit allen mir bekannten Details.

Falls Sie Ihr spezifisches Problem zur DS-GVO hier nicht finden sollten, so dürfen Sie mir dies gerne gemäß den Bestimmungen unten zukommen lassen.

Salvatorische Klauseln vorab

Von den großen Firmen lernen

Interessant fand ich, dass z.B. Apple Dinge wie Beruf oder individuelle Geräteidentifizierungsmerkmale bewusst unter nicht-personenbezogenen Daten rubriziert. Das ist immerhin das exakte Gegenteil. Aber an Apple wagt sich kein Abmahner heran.

Gestaltung der Datenschutzerklärung gemäß der Datenschutz-Grundverordnung (DS-GVO) sowie des deutschen Bundesdatenschutzgesetzes

Dazu finden sich in den beiden Rechtstexten keine genauen Angaben.

Der Seitenname / die Überschrift / der Name

Noch nicht einmal der Name ist festgelegt:

Technische Gestaltung

Auch ist nicht geregelt, dass es unbedingt eine eigene Seite sein muss.

Form

Auch die Form ist nicht geregelt.

Reihenfolge der Inhalte

Auch die Reihenfolge der Inhalte ist nicht geregelt.

Umfang der Inhalte

Einleitung

Das in diesem Kapitel aufgeführte ist freiwillig. Bei Gefallen dürfen Sie sich hier gerne etwas aussuchen. Es muss jedoch nichts davon in einer Datenschutzerklärung stehen.

Die meisten Firmen verwenden eine lächerliche, überflüssige, aber zur Einlullung der Nutzer hilfreiche höfliche und rechtlich völlig unverbindliche Einleitung der folgenden Art. Die Schrägstriche / kennzeichnen die üblichen Varianten, aus denen Sie sich das für Sie Passendste zusammenstellen dürfen:

Dann folgt ein fast überall zu findender ähnlicher Satz:

Dann findet sich meist auch sofort ein Zusatz der Art:

Andere Einleitungen lauten z.B.:

Hauptteil

Danach folgen in völlig freier Reihenfolge die von der europäischen Datenschutz-Grundverordnung (DS-GVO) sowie dem Bundesdatenschutzgesetz geforderten Punkte, welche unbedingt vorhanden sein müssen.

Kennzeichnungspflicht

Datenerhebung

Sie müssen für jede Gruppe von Daten / jeden Anwenderfall kennzeichnen, welche Daten Sie erheben, wozu und auf welcher Gesetzesgrundlage.

Beginnen wir mit den E-Mails und Kontaktformularen, die sich m.E. auf jedem Internet-Auftritt befinden:

Auch der letzte Satz ist wichtig und gefordert. Sie müssen nun bei jeder Aufnahme von Personendaten deutlich machen, was geschieht, wenn der Nutzer sie verweigert.

Kommen wir nun zu den direkt kommerziell genutzten Daten:

Rechte des Nutzers / Kunden

Sie müssen nun explizit auf die Rechte der Nutzer und Kunden durch die DS-GVO hinweisen, wobei 3 Gruppen wichtig sind und alle schriftlich erwähnt werden müssen:

Da diese drei Punkte zentral und neu sind, empfehle ich hier eine Überschrift der Art: Ihre Rechte / Rechte des Nutzers / Ihre Rechte als Nutzer / Ihre Rechte als Kunde (etc.).

Kinder / Jugendliche

Privat können Kinder und Jugendliche ein Quell der Freude sein. Als Nutzer sowie Kunden sind sie jedoch problematisch und in Punkto Datenschutz wirklich riskant.

Unter einer Überschrift zu Kinder / Jugendliche sollten Sie Ihre Standpunkte unmissverständlich klar machen.

Falls Sie keine Kinder als Nutzer wünschen:

Falls Sie sich speziell an Kinder und Jugendliche als Nutzer wenden, ...

Sonderfälle

Cookies

Generell gilt bei Cookies das Verbot mit Erlaubnisvorbehalt. D.h.: Der Nutzer im Internet muss einwilligen.

Grundsätzlich muss man mehrere Arten und Anwendungen von Cookies unterscheiden:

Diese obigen Varianten kann man in der Datenschutzerklärung einfach und schnell behandeln.

Ferner reicht ein kurzer textlicher Hinweis darauf (mit Link zur Datenschutzerklärung) bei der ersten Seite, welche derartige Cookies verwendet: Das ist i.d.R. die Login-Seite mit der Eingabemaske für Benutzerkennung und Passwort. - Sie müssen die Nutzer vor der ersten Nutzung von Cookies darauf aufmerksam machen.

Daneben finden sich jedoch sogenannte Tracking- und Tracing-Cookies (auch persistente Cookies genannt, da sie lange - teilweise über Jahre - erhalten bleiben).

In jenen Hinweisbalken und der Datenschutzerklärung müssen Sie dann auch weitere Angaben machen:

Zählpixel, Pixel Tags, Beacons und Webbeacons

Ein weiterer Punkt sind sogenannte Zählpixel:

Sehen Sie es locker. Die meisten Nutzer stören sich überhaupt nicht an Cookies. Die Einen wissen nichts davon. Die Anderen besitzen bereits massive Schutzvorkehrungen, welche die Cookies sowieso löschen.

Google Maps

Wer andere externe Dienste wie z.B. Maps von Google verwendet, muss auch hierzu einiges beachten und angeben.

Social Plugins

Seit über zehn Jahren sind diese Social Plugins bei Facebook, Twitter, Google+ etc. üblich. Aber die meisten Anwender wissen wenig darüber.

Derartige Social Plugins verbergen sich meist hinter dem Link Teilen, Empfehlen oder Weiterempfehlen sowie Seite empfehlen oder Seite weiterempfehlen respektive hinter den Grafiken / Logos der sozialen Netzwerke.

De facto handelt es sich um komplexe Verlinkungen zu den externen Anbietern, wobei jene in die Lage versetzt werden, bereits bei Ihnen auf Ihrer Seite extrem umfangreiche Personendaten zu erheben.

Kontaktformulare

Bestellformulare / Auftragsformulare

Die Formen sind vielfältig. Deshalb kann man nur pauschale Aussagen machen.

Aus allgemeinen Beweisgründen - und nun auch zur Erfüllung der Dokumentationspflicht für den Datenschutz - halte ich das Verfahren des Double-Opt-In zumindest für den ersten Auftrag / den ersten Bestellvorgang eines Nutzers für erforderlich:

Newsletter / Gewinnspiele

Hierbei werden einzelne Dinge für nur einen einzigen Verwendungszweck abgefragt.

Kombinationsformulare

Hierbei werden zwei oder mehrere Dinge zusammengefasst. Z.B. wird:

usw.

Kombinationsformulare bleiben weiterhin erlaubt - wie die DS-GVO im Grunde nichts verbietet, was früher nicht bereits illegal war -, sind jedoch nun datenschutzrechtlich aufwändiger.

Verlinkung, Banner, Werbung

Wer (Fremd-) Werbung auf seinen Seiten schaltet, muss nun erklären, was damit passiert.

Interne Suchmaschinen

Zwar sind interne Suchmaschinen selten. Aber meist etwas tückisch bezüglich des Datenschutzes:

Was Sie selbst nicht tun

SSL HTTPS

Fakten

Da Letzteres dennoch immer wieder von interessierten Kreisen behauptet wird, hier einmal die angeblichen Fundstellen, auf die sich diese Mindermeinung bezieht:

Dennoch sehe ich die latente Gefahr, dass Abmahnvereine und geldgierige Rechtsanwälte gnadenlos darauf bestehen werden. Dies wird einer der Hauptpunkte bei zukünftigen Abmahnungen sein. Denn das grüne Schloss ist leicht zu erkennen. Eine sorgfältige Textanalyse der Datenschutzangaben im Internet-Auftritt hingegen ist mühsam und kostet viel Zeit. - Die Erfahrung zeigt, dass Abmahnanwälte und Abmahnvereine - resp. deren schlecht bezahlten Angestellten - oft oberflächlich und schnell arbeiten, da es um den Massenumsatz geht. Ein grünes Schloss oder dessen Fehlen kommt dabei natürlich zu Pass. - Wer in einem Streitfall gegen solche Auswüchse meine Hilfe sucht, darf auf mich und entsprechende Gutachten zählen.

Ratschläge

Änderungen

Reale Zielgruppen der Datenschutzerklärung

Für wen machen Sie nun eigentlich die ganze Arbeit mit der DS-GVO?

Schutz vor Abmahnungen

Da wir nun erkannt haben, dass die Arbeit zum DS-GVO überwiegend als Schutz vor Abmahnern anzusehen ist, stellen sich einige Problemzonen.

Bereits am Stichtag, den 25.05.2018, begann die Abmahnwelle als heftige Brandung bei den Betroffenen einzuschlagen.

Nachdem Sie sich den obigen Artikel durchgelesen haben, werden Sie hoffentlich die meisten Fallen sowieso schon behoben haben. Falls Sie dennoch abgemahnt werden sollten, so beherzigen Sie folgende Details:

Erpressung wegen angeblicher Cookies

Die DSGVO war erst wenige Wochen alt, da fanden sich bereits die ersten dreisten Erpresser. Ihre Masche ist ganz einfach: Sie kommen in Ihr Geschäft und behaupten, dass Sie Cookies auf Ihrem Internet-Auftritt verwenden [in allen mir bekannten Fällen falsch - d.h. eine klare Lüge] und dass dies strafbar wäre [pauschal ist dies so unrichtig], dass Sie als Betreiber dies bis zu 10 Mio. Euro kostet und bis zu 3 Jahre ins Gefängnis bringen kann [das ist für schwere Verstöße gegen die DSGVO leider wahr]. Dann kommt jedoch der Dreh: Der vermeintliche Kunde ist bereit, von einer Strafanzeige abzusehen, sofern Sie ihm ein Produkt oder eine Dienstleistung günstiger oder kostenlos abgeben. Alternativ erzählt er es weiter und leitet zudem rechtliche Schritte gegen Sie ein.
Die rechtlich etwas versierteren Erpresser gehen feinfühliger vor, indem sie nach der Drohung bedeutsam schweigen, oder den Firmeninhaber süffisant fragen: Was können wir denn da machen, da ich Sie eigentlich nicht anzeigen will. - Aber auch das bleibt Erpressung.

Rechtliche Aspekte

Praxis-Tipps

Technische Fakten

Spielen wir den klassischen Fall einmal durch:

Fazit: Es kommt auch technisch auf die Details an. Spätestens in den höheren Instanzen werden Richter diese Details würdigen. Lassen Sie sich also nicht ins Boxhorn jagen - und auf keinen Fall einschüchtern oder erpressen.

Fragen

Sofern Sie die folgenden Bedingungen erfüllen...

... bin ich gerne bereit, Ihre Fragen per Kontaktformular kostenlos zu beantworten.

Meine Antworten...

Aufträge

Gerne dürfen Sie mir auch einen Dienstleistungs-Auftrag zur Umsetzung der DS-GVO bei Ihnen erteilen.

Ich freue mich auf Ihren Auftrag.

Quellen

Hilfe / Feedback

Liebe Leserinnen und Leser,

damit diese umfangreichen, kostenlosen, wissenschaftlich fundierten Informationen schnell weiter ausgebaut werden können, bin ich für jeden Hinweis von Ihnen dankbar.

Deshalb freue ich mich über jede schriftliche Rückmeldung Ihrerseits per E-Mail oder Kontakt-Formular.

Da ich bewusst von niemandem irgendwelche Zuwendungen jeglicher Art für das Verfassen der absolut unabhängigen Artikel annehme, um meine völlige Neutralität zumindest auf dem hier beschriebenen Feld wahren zu können, verdiene ich mit diesen Artikeln kein Geld. Auch von Zeitschriften oder Magazinen aus dem IT-Bereich erhalte ich keinerlei Zuwendungen.

Deshalb freue ich mich, wenn Sie mein unabhängiges Engagement für Sie durch einen gelegentlichen Kauf bei Amazon über die hier angegebenen Links unterstützen. Dadurch erhalte ich ggf. eine sehr kleine prozentuale Prämie, welche mir hilft, die hohen Kosten bei der Erstellung der Artikel zumindest teilweise zu decken.

Herzlichen Dank an alle für Ihre bisherige Unterstützung.

Ja, ich möchte die Unabhängigkeit dieser Seite unterstützen und kaufe über diesen Link bei Amazon

Ja, ich möchte die Unabhängigkeit dieser Seite unterstützen und den Autor durch eine kleine private Zuwendung unterstützen.

Zum Seitenanfang

Controlling21.de - Dr. J. Schuhmacher
Internet und Multimedia in Perfektion