DSGVO – Wie Sie Abmahnungen vermeiden

Endspurt

Ab Freitag, den 25.05.2018, also in 7 Tagen, gilt nun die neue EU-Datenschutz-Grundverordnung. Seit mehr als 1,5 Jahren weise ich auf dieses Datum hin. Dennoch hat sich nur ein kleiner Teil der Mandanten dem Thema frühzeitig und mit voller Kraft gewidmet. Mich erreichen nun viele Anrufe von verzweifelten Mandanten, die in der nächsten Woche noch schnell die DSGVO im Unternehmen umsetzen möchten. Sie ahnen, dass so etwas nicht möglich ist. Die DSGVO umzusetzen bedeutet u.a.

• ein aktuelles Verarbeitungsverzeichnis
• einen Datenschutzbeauftragten (soweit erforderlich) bestellt
• alle Datentransfers im Unternehmen ermittelt und dokumentiert (Weiterleitung und Zugriffgewährung von Daten)
• mit allen Dienstleistern (bei Datenzugriff) einen aktuellen AV-Vertrag geschlossen
• ein Verfahren zur Erkennung, Meldung und Lösung von Datenpannen installiert und dokumentiert
• ein Verfahren zur Umsetzung einer Datenschutz-Folgenabschätzung installiert und dokumentiert
• ein Verfahren zur Umsetzung von Betroffenenrechten (Auskunft, Löschung, Datenübertragbarkeit etc.) installiert und dokumentiert
• die Datenschutzerklärung und Einwilligungserklärungen in Online-Formularen aktualisiert
• die IT-Sicherheitsmaßnahmen kontrolliert sowie angepasst, eine diesbezügliche Risikobewertung durchgeführt und eine IT-Sicherheitsrichtlinie erstellt
• ein Löschkonzept installiert und dokumentiert
• ein Verfahren zur Umsetzung von Privacy by Design und Privacy by Default installiert und dokumentiert
• eine Datenschutz-Richtlinie erstellt
• alle Empfänger von Newslettern über die neuen Pflichten des Art. 13 DSGVO informiert
• eine diesbezügliche Einwilligung eingeholt
• eine neue Verpflichtungserklärung von beschäftigten Mitarbeitern und freien Mitarbeitern eingeholt
• ein Schulungskonzept und entsprechende Schulungsfolien zur DSGVO entworfen
• ein Datenschutz-Management-System installiert

zu haben.

Wenn Sie also obige Punkte jeweils bejahen können, dann sind Sie wohl sicher. Falls nicht, dann geht es um die Frage, welche Maßnahmen Sie denn bis kommenden Freitag auf jeden Fall umgesetzt haben müssen. Aus heutiger Sicht würde ich sagen: Das sind diejenigen Maßnahmen, die nach außen greifen, denn dort lauern die Abmahnanwälte, die derzeit eine größere Gefahr darstellen, als die Aufsichtsbehörden (die noch nicht einmal in den Startlöchern stecken). Was also ist hierfür zu tun?

1. Stellen Sie eine aktuelle Datenschutzerklärung auf Ihre Website (oder Websiten, falls mehrere)
2. Sorgen Sie dafür, dass jedes Eingabeformular auf Ihrer Website (Kontaktformular, Newsletter, Blog, Registrierung etc.) mit einer gültigen Einwilligungserklärung und einem Link auf die Datenschutzerklärung versehen ist
3. Löschen Sie alle Cookies, Plugins und Webtracking-Tools von Ihrer Website oder binden Sie noch schnell ein Opt-In-Popup ein (z.B. bei cookiebot)
4. Schicken Sie Ihren Newsletterempfängern eine E-Mail mit den neuen Informationen zur DSGVO und holen Sie (soweit erforderlich) eine Einwilligung ein.
5. Melden Sie Ihren Datenschutzbeauftragten online bei der Datenschutzbehörde.

Hierzu nun im Einzelnen:

1. Datenschutzerklärung

Art. 13 DSGVO sagt Ihnen genau, was alles in der Datenschutzerklärung stehen muss. Eine gute Vorlage für eine neue Datenschutzerklärung finden Sie beim Anwaltsverein.  Hier müssen Sie natürlich diejengen Tools herausstreichen, die Sie nicht verwenden (bestenfalls überhaupt keine, hierzu weiter unten).

2. Eingabeformulare

Wenn Sie ein Eingabeformular auf der Website haben, dann binden Sie direkt unterhalb ein Einwilligungsfeld ein, soweit noch nicht geschehen. Hier sollte stehen, was Sie genau mit den Daten machen werden. Zudem muss hier zur weiteren Information auf die Datenschutzerklärung verlinkt werden. WICHTIG: Zu Zwecken der Datenminimierung dürfen hier nur diejenigen Felder zwingend (also als Pflichtfeld) abgerufen werden, die absolut für die Zweckerfüllung notwendig sind. Bei einem Newsletter also nur das Feld „E-Mail-Adresse“, nicht Vorname, Name, Geburtsdatum oder ähnliches.   Ein Einwilligungstext zum Kontaktformular könnte lauten (unverbindliches Beispiel):

„Mit dem vorstehenden Kontaktformular können Sie Ihre Anfrage an uns richten. Ihre Daten werden über unseren Provider per eMail an uns weitergeleitet und nach Beantwortung umgehend gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Eine Nutzung zu einem anderen Zweck oder eine Datenweitergabe an Dritte findet nicht statt. Sie können Ihre Einwilligung zur Datenerhebung und Datennutzung jederzeit durch Nachricht an uns widerrufen. Im Falle des Widerrufs werden Ihre Daten umgehend gelöscht. Bitte entnehmen Sie weitere Informationen unserer Datenschutzerklärung.”

Unterhalb des Formulars muss dann ein Kästchen auftauchen, wo eine AKTIVE Zustimmung erteilt wird. Dieses Kästchen darf noch nicht angekreuzt sein.

3. Tracking

Die Datenschutzbehörden haben bekanntlich vor wenigen Wochen ein Positionspaper zum Tracking veröffentlicht. Hierin wird nun überraschend festgestellt, dass für alle Cookies, Plugins und Trackingtools die vorherige Einwilligung eingeholt werden muss (Opt-In). Zuvor waren alle Unternehmen in Deutschland von der Pflicht zum Opt-Out ausgegangen. Das bedeutet:

• Entweder Sie schalten alle Cookies, PlugIns (Facebook etc.) und Trackingtools (z.B. eTracker, Google Analytics) ab und entfernen die entsprechenden Hinweise in Ihrer Datenschutzerklärung oder
• Sie binden ein Einwilligungskästchen auf Ihrer Website ein, damit beim Aufrufen ein Popup-Fenster auftaucht, wo der Nutzer seine Einwilligung zur Nutzung der jeweils angegebenen Cookies, Plugins, Trackingtools etc. erteilen kann. Ohne diese Einwilligung per Mausklick darf das jeweils Tools nicht aktiviert und der Cookie nicht gesetzt werden (!) Ein Anbieter solcher Opt-In-Tools ist z.B. Cookiebot. Ein gutes Beispiel für die Umsetzung finden Sie bei activemind.de. Das dortige Pop-Up taucht allerdings nur beim ersten Besuch auf. Insoweit müssten Sie (falls Sie das dortige Fenster noch einmal sehen möchten) in Ihren Browsereinstellungen die Option „Cookies entfernen/löschen“ anklicken oder ein neues Browserfenster im „private Modus“ (Firefox: „Datei/Neues Privates Fenster“) starten

4. Newsletter

Viele Mandanten haben Sorge, dass sie ihre Kunden und Kontakte nicht mehr per E-Mail anschreiben dürfen, insbesondere per Newsletter.  Diese Sorge ist berechtigt, denn ohne ausdrückliche Einwilligung des Empfängers oder Bestehen eines Vertragsverhältnisses mit diesem darf man ihm keine Werbe-E-Mail schicken (§ 7 UWG). Daher gilt:

Falls Sie die ausdrückliche, damalige Einwilligung des Empfänger heute nicht mehr nachweisen können, so müssen Sie entweder a.) die Person aus der Empfängerliste streichen oder b.) nun eine ausdrückliche Einwilligung einholen und gleichzeitig über die zukünftige Verwendung der Datennutzung ausführlich informieren (Art. 13 DSGVO), bestenfalls per Link auf die Datenschutzerklärung. Hier besteht natürlich die große Gefahr, dass keiner den Link anklickt und damit Ihre Empfängerliste wertlos wird. Sie könnten sich daher als „Dankeschön“ etwas ausdenken, das die Zustimmungsmotivation erhöht. Denken Sie hierbei allerdings an das Kopplungsverbot (Art. 7 IV DSGVO). Es sollte lediglich ein kleines, wertgeringes „Goodie“ sein, auf das es der Nutzer eigentlich nicht anlegt.

Falls Sie keine Einwilligung nachweisen können, jedoch ein Vertragsverhältnis mit der betreffenden Person haben, so dürfen Sie den Empfänger im Rahmen der Erfüllung des Vertrages per E-Mail anschreiben. Für andere Zwecke (z.B. Werbung) benötigen Sie wiederum die Einwilligung. Allerdings gilt hier eine Privilegierung nach § 7 III UWG, wonach auch ohne ausdrückliche Einwilligung die Zusendung von E-Mails unter bestimmten, dort benannten Voraussetzungen zulässig ist.

Falls Sie die damalige Einwilligung nachweisen können und diese aus heutiger Sicht zulässig ist (wovon auszugehen ist, wenn sie damals von einem Juristen formuliert wurde), dann müssen Sie in der nächsten E-Mail (vor dem 25.05.2018) nur gemäß Art. 13 DSGVO informieren. Sie würden daher keine Einwilligung einholen, sondern nur schreiben, dass der Empfänger bitte die neuen Datenschutzhinweise lesen möge.

Alles klar? Leider stehe ich für Rückfragen bis zum 25.05.2018 nicht mehr zur Verfügung, denn ich bin bis dahin komplett durchterminiert. Wenn Sie allerdings obige Hinweise beachten, so dürfte die anstehende Abmahnwelle an Ihnen vorbeirauschen. Vielleicht bekommen Sie auch noch einen Platz zu meinem Vortrag am Mittwoch bei der Handelskammer?