Kapitel in diesem Beitrag:
Am 25. Mai 2018 tritt die neue, EU-weite Datenschutzgrundverordnung, kurz DSGVO, in Kraft. Mit ihr soll der Datenschutz für EU-Bürger verbessert werden. Hier ansässige Unternehmen sowie andernorts befindliche Firmen mit EU-Kunden bzw. deren Daten müssen sich an die neuen Regeln halten. Das betrifft neben Online Shops und E-Mail-Marketing-Firmen nicht nur soziale Netzwerke, sondern auch Blogger, die zum Beispiel Newsletter verschicken oder Gewinnspiele veranstalten. Ein paar Hinweise, Tipps und Quellen zum Thema habe ich euch hier zusammengetragen.
Achtung: Dieser Beitrag ist nicht als Rechtsberatung gedacht, sondern spiegelt nur nach bestem Wissen und Gewissen meine Rechercheergebnisse wider!
Die EU-DSGVO ist die Datenschutzgrundverordnung, die am 25. Mai 2018 in der Europäischen Union gültig wird. Infos zum neuen Datenschutz für EU-Bürger bekommt ihr hier – auch für Blogger, die bspw. Newsletter verschicken, Cookies verwenden und Gewinnspiele veranstalten.
Anstelle des Bundesdatenschutzgesetzes (BDSG) und anderen deutschen Gesetzen tritt nun bald auch in Deutschland die Verordnungen der Europäischen Union in Kraft. Diese vereinheitlich den Datenschutz für Verbraucher und deren personenbezogene Daten. Unter anderem Cookies und die Hinweise auf deren Verwendung (bzw. eine Einwilligung auf das Hinterlegen von Cookies) sind davon betroffen. Ein gutes Video zum Thema, vor allem zur Cookie-Verwendung von Webseiten, Blogs und Shops gibt es hier (auf Deutsch):
Lesenswert: Der im Video erwähnte Blogeintrag
Die neue Datenschutzverordnung der EU gilt für alle Unternehmen, die mit personenbezogenen Daten umgehen. Ob Mailing-Liste, Kundendaten, Nutzer eines Forums oder Cloud-Services – es gibt viele Beispiele. Wenn ihr als Blog-Betreiber Daten von Lesern sammelt, speichert und nutzt, dann solltet ihr auch mal einen Blick auf die EU-DSGVO werfen. Denn personenbezogene Daten fangen schon beim Namen und der E-Mail-Adresse an. Insgesamt gehören unter anderem diese Daten dazu:
So weit ich es gelesen habe: Nein. Bereits erhobene Daten und bis Ende Mai gesetzte Cookies, etc. müssen nicht noch einmal sonderbehandelt werden. Wenn ihr also schon dutzende, hunderte oder tausende Newsletter-Abos habt, dann muss nicht noch einmal jeder Abonnent in EU-DSGVO-konformer Form der Nutzung seiner Daten zustimmen. Für kommende Abos, für zukünftige Cookies und ähnliches solltet ihr aber vorsorgen.
Unternehmen, die Personendaten (im größeren Umfang) sammeln und nutzen, müssen eine Datenschutzfolgenabschätzung durchführen. Das heißt, sie müssen prüfen, ob die personenbezogenen Daten sicher sind, nicht von unbefugten Dritten eingesehen / genutzt werden können und / oder ob sich Gefahren für die Dateninhaber ergeben können. Es handelt sich bei der Datenschutzfolgenabschätzung also um eine Einordnung der Datensicherheit und ihrer möglichen Folgen. Können diese negativ ausfallen, dann sind gegebenenfalls Anpassungen nötig.
Die DSGVO gilt auch für Unternehmen, die EU-Bürger bzw. EU-Unternehmen als Kunden respektive Auftraggeber haben. Deshalb müssten US-Mailing-Dienstleister wie MailChimp sich ebenfalls dran halten. Ein Anhaltspunkt, dass alles seriös abläuft, ist beispielsweise das „Double Opt-In“, also die doppelte Zustimmung fürs Newsletter-Abo – einmal beim Eintragen und einmal über einen Bestätigungslink in der entsprechenden E-Mail.
Jedoch gehen die Sicherheitsfragen auch danach weiter. So lagern die Daten für MailChimp-Newsletter beispielsweise auf US-Servern – außerhalb der EU und als attraktives Angriffsziel für Hacker und Geheimdienste. Ob dies mit der EU-DSGVO zu 100% d’accord geht, das ist fraglich. Aus meinem Bekannten- und Kundenkreis ziehen aus dem Grund gerade einige Leute mit ihren Newsletterlisten von MailChimp zu Cleverreach, Klick-Tipp oder anderen deutschen Newsletter-Service-Dienstleistern um. Wenn ihr alle Anbieter abchecken wollt, dann klickt mal rein:
Bei weiterer Recherche ist mit dieser Beitrag aufgefallen. Darin wird u. a. beschrieben, dass man mit MailChimp einen Vertrag eingehen müsste, in dem die Auftragsdatenverarbeitung (ab Mai nur noch „Auftragsverarbeitung“) mit der neuen Verordnung konform geklärt ist. Externe Anbieter wie etwa Google Analytics bedürfen, so wie ich es verstanden habe, keines schriftlichen Vertrags, den man hin und her schicken muss. Hier kann der Anbieter, also Google, die Formalitäten digital per Knopfdruck regeln. In der Kontoverwaltung von Analytics geht das im Menüpunkt „Zusatz zur Datenverarbeitung“. MailChimp könnte so einen Automatismus theoretisch nachrüsten.
Doch was ändert sich nun im Detail, auf was muss man in Zukunft achten, und welche bestehenden Regelungen, Verordnungen und Gesetze werden erweitert? Ich habe mal ein bisschen recherchiert und unter anderem in dieser Quelle dazu Informationen gefunden. Hier also ein paar wichtige Punkte, die ihr als datenverarbeitende Unternehmer, Blogger, Shop-Betreiber und Mailing-Marketing-Firma beachten solltet:
Zur obigen Liste kommen noch zwei Punkte hinzu, die vielleicht einer kurzen Erläuterung bedürfen. Zum einen wäre das die „Datenportabilität“ und zum anderen das „Recht auf Vergessenwerden“. Ich habe euch mal in kurzen Erklärungen zusammengefasst, um was es dabei geht:
Die neue EU-Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Es wird keine weitere Übergangsfrist geben und in Deutschland muss auch kein neues Gesetz daraus gemacht werden. Als Verordnung wird die neue Sammlung an Regeln und Richtlinien direkt übernommen. Wenn ihr also mit personenbezogenen Daten von Kunden, Lesern, Nutzern, Auftraggebern, Mitarbeitern und anderen Personen zu tun habt, dann solltet ihr euch mal einlesen. Im Zweifelsfall kann es hilfreich sein, einen entsprechend spezialisierten Anwalt einzuschalten, um auf Nummer Sicher zu gehen. Denn wie eingangs schon erwähnt: Dieser Blogeintrag ist keine Rechtsberatung, sondern nur ein gut gemeinter Hinweis als Ergebnis meiner Recherche zum Thema ;)
Jens betreibt das Blog seit 2012. Er tritt für seine Leser als Sir Apfelot auf und hilft ihnen bei Problemen technischer Natur. Er fährt in seiner Freizeit elektrische Einräder, fotografiert (natürlich am liebsten mit dem iPhone), klettert in den hessischen Bergen rum oder wandert mit der Familie. Seine Artikel beschäftigen sich mit Apple Produkten, Neuigkeiten aus der Welt der Drohnen oder mit Lösungen für aktuelle Bugs.