Neue Regeln für den Datenschutz im Web

Ab dem 25. Mai 2018 gilt innerhalb der Europäischen Union die neue Datenschutz-Grundverordnung (DSGVO). Rechtsanwalt Marcus Dury erklärt im dd24-Interview, was dies für den Datenschutz im Internet bedeutet. Dury ist Fachanwalt für IT-Recht und Inhaber der Kanzlei DURY Rechtsanwälte. Die Kanzlei berät Unternehmen im Bereich des IT-Rechts und des gewerblichen Rechtsschutzes an drei Standorten in Rheinland-Pfalz und dem Saarland. Zusammen mit der Website-Check GmbH bietet die Kanzlei eine rechtliche Zertifizierung und Mängelanalyse für professionelle Internetseiten oder Online Shops an.

dd24: Was genau ist die Datenschutz-Grundverordnung, für wen gilt sie und was ist ihr Hauptziel?

Dury: Bei der DSGVO handelt es sich um unmittelbar geltendes EU-Recht. Alle Unternehmen, und auch die öffentliche Verwaltung, müssen sich unmittelbar nach ihr richten. Das bisher geltende Bundesdatenschutzgesetz (BDSG) ist Geschichte und gilt so ab dem 25.05.2018 nicht mehr. Ziel der DSGVO ist die Vereinheitlichung des Europäischen Datenschutzniveaus um dadurch auch den rechtssicheren Datenfluss innerhalb der EU zu ermöglichen.

Die DSGVO lässt allerdings ein paar Bereiche ungeregelt, damit sie von den Mitgliedsstaaten genauer oder konkreter geregelt werden können. Sie dürfen dabei aber die DSGVO nicht verwässern. Deutschland hat diese Regelungsspielräume extensiv genutzt und ein neues BDSG verabschiedet, das bereits in Kraft getreten ist.

dd24: Was sind die größten, durch die DSGVO bewirkten Veränderungen bei der Erhebung und Verarbeitung personenbezogener Daten für kommerzielle Betreiber von Webseiten in Deutschland?

Dury: Auf Websitebetreiber kommen durch die DSGVO gravierende Verschärfungen zu. Wobei es natürlich abzuwarten bleibt, wie scharf Verstöße in der Praxis verfolgt werden. Am wichtigsten sind meines Erachtens die folgenden Aspekte:

• Als Seitenbetreiber kann ich nicht mehr einfach jedes Skript und Plug-In eines außereuropäischen Anbieters auf der Website einbinden. Erforderlich ist, dass ein Angemessenheitsbeschluss der EU-Kommission hinsichtlich Sitzstaates des Anbieters des Skripts bestehen muss (z.B. Schweiz), oder wenn ein solcher Angemessenheitsbeschluss nicht vorliegt, dass der Anbieter sich freiwillig und soweit entsprechende bilaterale Regelungen bestehen, auf die Einhaltung europäischer Datenschutzstandards verpflichtet hat. Dies geht für US-Unternehmen z.B. durch eine Konformitätserklärung hinsichtlich des aktuell geltenden EU-US Privacy-Shields.
• Jede Website, über die personenbezogene Daten (z.B. auch die IP-Adresse des Users) zu weiteren Zwecken als der reinen Auslieferung der Website erhoben werden, muss in Zukunft SSL-verschlüsselt bereitgestellt werden (Forced-SSL).
• Soweit ein Datenschutzbeauftragter bestellt werden muss, muss dieser auch auf der Website mit Namen und Geschäftsanschrift sowie weiteren Kontaktinformationen in der Datenschutzerklärung der jeweiligen Website genannt werden.

dd24: In welchen Fällen und auf welche Weise müssen sich auch Blogger, Betreiber von Vereinswebseiten und anderen Webseiten mit privatem oder nicht-kommerziellem Fokus an die DSGVO anpassen?

Dury: Alle genannten Punkte gelten nur für kommerzielle Websites, Vereins- bzw. öffentlich-rechtlich betriebene Websites. Rein private Hobby- und Familienseiten sind ausgenommen. Die Grenze ist allerdings auch jetzt schon fließend. Blogger, die Werbebanner oder sonstige Monetarisierungsquellen nutzen, handeln nach ständiger Rechtsprechung nicht mehr „privat“.

Entscheidend ist, ob der Betrieb der Website eine auf Dauer angelegte Tätigkeit ist. Das ist bei den meisten ernsthaft betriebenen Blogs der Fall. Eine Gewinnerzielungsabsicht ist nicht erforderlich. Im Zweifel sollte man davon ausgehen, dass ein Blog bzw. eine Website als „geschäftsmäßig“ angesehen werden könnte. Wir raten daher stets dazu, ein Impressum und eine Datenschutzerklärung auf einer Website einzubauen.

dd24: Gibt es Best Practice-Hinweise bezüglich Datenschutz, Cookies und Informationspflicht für private Webseitenbetreiber?

Dury: Grundsätzlich sollten alle Websites mit Forced-SSL laufen. Aktiven Skripten und Plug-Ins von Drittanbietern sollte man nicht blind vertrauen. Letztlich ist jeder Seitenbetreiber dafür verantwortlich, was er auf seiner Website einbindet. Eine Datenschutzerklärung ist obligatorisch, auch für nicht kommerzielle Angebote.

dd24: Was bedeutet die DSGVO für Nutzer von Tools zum Webseiten-Tracking wie z.B. Google Analytics?

Dury: Google hat sich 2016 dem EU-US Privacy-Shield angeschlossen und behauptet von sich, europäische Datenschutzstandards einzuhalten. Ob dies in den USA überhaupt noch funktionieren kann, sollte jeder seit den Enthüllungen von Edward Snowden selbst entscheiden. Bis der Europäische Gerichtshof aber wieder über das Schicksal des EU-USPrivacy-Shield entscheiden wird, dürfte sich für Nutzer von Google-Analytics nichts ändern. Man muss schlicht den Auftragsdatenverarbeitungsvertrag mit Google abschließen und innerhalb der Datenschutzerklärung entsprechend rechtskonforme Informationstexte mit entsprechenden Opt-Out-Möglichkeiten vorhalten.

dd24: Die Datenschutz-Grundverordnung sieht umfangreiche Informations- und Löschpflichten der Anbieter vor. Was bedeutet dies konkret für die Nutzer der Internet-Angebote, was bringt ihnen die DSGVO?

Dury: Die Anbieter müssen die Nutzer von Online-Angeboten nach der DSGVO über eine ganze Menge informieren, wenn sie personenbezogene Daten verarbeiten. Um eine Zusammenfassung zu versuchen: Man muss eigentlich über alles informieren, was man mit den Daten macht und darüber hinaus auch noch, warum man es macht und inwiefern das erlaubt ist. Eine erschöpfende Liste würde den Rahmen dieses Interviews sprengen.

Darüber hinaus müssen die Nutzer der Online-Angebote auch noch über ihre Rechte informiert werden, unter anderem über das Recht auf Löschung ihrer Daten. Wichtig ist dabei, dass diese Informationen dem sogenannten Transparenzgebot entsprechen müssen. Sie müssen einfach und klar verständlich sein und zwar nicht für mich oder den Anbieter des Online-Angebots, sondern für einen durchschnittlich verständigen Verbraucher.

Was die Löschung konkret betrifft, können Betroffene in der Tat jederzeit die Löschung ihrer Daten verlangen. Ob man sie wirklich löschen muss, hängt davon ab, ob sie nicht, z.B. auf Grund anderer Vorschriften einer Aufbewahrungsfrist unterliegen, z.B. aufgrund steuerrechtlicher Vorschriften.

dd24: Wieso und inwiefern sind auch Anbieter, die nicht aus EU-Ländern stammen, von der europäischen Datenschutz-Grundverordnung betroffen?

Dury: Neben der Vereinheitlichung des Datenschutzniveaus innerhalb Europas hat die DSGVO auch einen Export Europäischer Datenschutzstandards in alle Welt zum Ziel. Jedes Unternehmen muss sich in Zukunft an die DSGVO halten, wenn es Datenverarbeitungsprozesse mit Bezug auf Europa und europäische Verbraucher anbietet, selbst wenn es seinen Sitz in China hat.

dd24: Die DSGVO hat auch Konsequenzen für die Erhebung und Speicherung von Daten im Zuge einer Domainregistrierung. Was wird sich hierbei verändern?

Dury: Nach der DSGVO dürfen personenbezogene Daten nur erhoben werden, wenn die betroffene Person ausdrücklich einwilligt oder wenn die Verarbeitung sonstwie gerechtfertigt ist. Bei der Domainregistrierung werden bei Resellern direkte Kundendaten erhoben, die zur Vertragsabwicklung nötig sind. Die Datenerhebung ist dort daher gerechtfertigt.

Registrare wie Key-Systems brauchen allerdings nur einen Teil dieser Daten, nämlich um die Domain tatsächlich bei den Registries zu registrieren. Die darüber hinaus gehenden Daten werden nur im Auftrag des eigentlich Verantwortlichen, dem Reseller verarbeitet bzw. erhoben. Die Registrierung wiederum setzt die Übertragung personenbezogener Daten an die Registry voraus. Diese sitzen nicht alle innerhalb der EU. Die Vertragswerke der Registrare mit Reseller und Registries müssen also alle auf den Prüfstand.

dd24: Auch das Whois, sozusagen das Adressbuch im Internet, in dem Kontaktdaten zu jeder Domain hinterlegt sind, steht aktuell auf dem Prüfstand: warum?

Dury: Die Whois-Regeln einiger TLDs sind sehr weitreichend und verpflichten zur Offenlegung des Namens, der Adresse, Telefonnummer und weiterer Kontaktdaten. Das ist insbesondere bei allen TLDs der Fall, die den ICANN-Regularien zum Whois unterworfen sind. Diese Praxis widerspricht in großen Teilen der DSGVO, insbesondere dem Grundsatz der Datenminimierung und war auch schon in der Vergangenheit kaum zu rechtfertigen.

Im Prinzip hat man zwei Möglichkeiten. Entweder wäre eine explizite Einwilligung aller Registranten einzuholen oder aber man schafft das Whois in der derzeitigen Form ab. Eine Übergangslösung steht für den europäischen Raum ja mit dem Gutachten der Kollegen von Rickert und Fieldfisher zur Verfügung, das der eco-Verband im Dezember 2017 präsentiert hat und das zur Datensparsamkeit rät.

dd24: Das Bundesdatenschutzgesetz und weitere deutsche Rechtsvorschriften wurden vergangenes Jahr an die Erfordernisse der DSGVO angepasst. Können Sie diese Anpassungen und ihre Folgen für uns zusammenfassen?

Dury: Da die DSGVO direkt geltendes Recht ist und darüber hinaus auch noch über nationalem Recht steht, hat der deutsche Gesetzgeber nur die Möglichkeit Gestaltungsspielräume auszufüllen, die explizit zur Regelung in den Mitgliedsstaaten freigegeben wurden. Daher wurde das deutsche BDSG zunächst an das europäische Recht angepasst. Gleichzeitig wurden zum Beispiel spezielle Regelungen im Bereich der Beschäftigungsverhältnisse getroffen, es wurden schwere und gewerbliche Datenschutzverletzungen unter Strafe gestellt und spezielle Regelungen für die Bestellung von Datenschutzbeauftragen aufgestellt.

dd24: Was bleibt trotz der DSGVO und der angepassten Gesetzte in Deutschland gleich beim Datenschutz im Internet?

Dury: Das deutsche Datenschutzrecht funktionierte schon immer nach dem Grundsatz des Verbots mit Erlaubnisvorbehalt. Das heißt, dass personenbezogene Daten immer nur dann verarbeitet werden durften, wenn die Verarbeitung durch eine Einwilligung der betroffenen Person oder eine gesetzliche Vorschrift gestattet war. Daran ändert sich auch nach der DSGVO nichts. Es wird also nicht alles anders. Es wird aber erwartet, dass die Verbindung von konkreten Rechten der Bürger und des neuen sehr hohen Bußgeldrahmens zum besseren und vor allem transparenterem Umgang mit Daten führen wird.

dd24: Es gibt viel Kritik zur Datenschutz-Grundverordnung, sowohl von Seiten der Daten- und Verbraucherschützer als auch von Seiten der Wirtschaft. Was sind die größten Kritikpunkte der beiden Lager und warum gehen die Meinungen so weit auseinander?

Dury: Es ist wie immer, den einen geht es nicht weit genug, für die anderen wurde über das Ziel hinausgeschossen. Verbraucherschützer kritisieren vor allem, dass aktuelle Entwicklungen den Schutz personenbezogener Daten und damit das Recht auf informationelle Selbstbestimmung der Menschen bedrohen, wie Big Data, das Anfüttern von künstlichen Intelligenzen, das Internet der Dinge und allgemein Ubiquity Computing und natürlich auch Industrie 4.0. Die DSGVO kennt keine speziellen Regelungen für einzelne Technologien, sondern stellt abstrakte Regeln auf, die überall gelten. Manche Verbraucherschützer befürchten, dass das so nicht funktioniert, weil die jeweiligen Anforderungen an den Datenschutz in den einzelnen Kontexten teilweise ganz unterschiedlich sind.

Einige Stimmen aus der Wirtschaft bemängeln übrigens ebenfalls, dass viele Vorschriften zu wenig konkret sind. Was genau bedeutet es zum Beispiel, dass eine Software, wie es die DSGVO fordert, „by desgin“ den Datenschutz beachtet? Verantwortliche müssen jedoch möglicherweise mit Bußgeldern rechnen, wenn sie Software einsetzen, die nicht der Vorschrift entspricht. Nimmt man dann den außerordentlich hohen Bußgeldrahmen im Zusammenspiel mit in den Blick, sorgen diese abstrakten Pflichten aus der Perspektive einiger Kritiker für Unsicherheit.

dd24: Herr Dury, wir bedanken uns für das Interview und wünschen Ihnen alles Gute!