Blogger und Datenschutz: EU-Datenschutzgrundverordnung (DSGVO) ab Mai 2018 in Kraft

Am 25. Mai 2018 tritt die neue, EU-weite Datenschutzgrundverordnung, kurz DSGVO, in Kraft. Mit ihr soll der Datenschutz für EU-Bürger verbessert werden. Hier ansässige Unternehmen sowie andernorts befindliche Firmen mit EU-Kunden bzw. deren Daten müssen sich an die neuen Regeln halten. Das betrifft neben Online Shops und E-Mail-Marketing-Firmen nicht nur soziale Netzwerke, sondern auch Blogger, die zum Beispiel Newsletter verschicken oder Gewinnspiele veranstalten. Ein paar Hinweise, Tipps und Quellen zum Thema habe ich euch hier zusammengetragen.

Achtung: Dieser Beitrag ist nicht als Rechtsberatung gedacht, sondern spiegelt nur nach bestem Wissen und Gewissen meine Rechercheergebnisse wider!

Die EU-DSGVO ist die Datenschutzgrundverordnung, die am 25. Mai 2018 in der Europäischen Union gültig wird. Infos zum neuen Datenschutz für EU-Bürger bekommt ihr hier – auch für Blogger, die bspw. Newsletter verschicken, Cookies verwenden und Gewinnspiele veranstalten.

EU-DSGVO – Änderung im Datenschutzrecht 2018

Anstelle des Bundesdatenschutzgesetzes (BDSG) und anderen deutschen Gesetzen tritt nun bald auch in Deutschland die Verordnungen der Europäischen Union in Kraft. Diese vereinheitlich den Datenschutz für Verbraucher und deren personenbezogene Daten. Unter anderem Cookies und die Hinweise auf deren Verwendung (bzw. eine Einwilligung auf das Hinterlegen von Cookies) sind davon betroffen. Ein gutes Video zum Thema, vor allem zur Cookie-Verwendung von Webseiten, Blogs und Shops gibt es hier (auf Deutsch):

Lesenswert: Der im Video erwähnte Blogeintrag

Datenschutzgrundverordnung für Blogger

Die neue Datenschutzverordnung der EU gilt für alle Unternehmen, die mit personenbezogenen Daten umgehen. Ob Mailing-Liste, Kundendaten, Nutzer eines Forums oder Cloud-Services – es gibt viele Beispiele. Wenn ihr als Blog-Betreiber Daten von Lesern sammelt, speichert und nutzt, dann solltet ihr auch mal einen Blick auf die EU-DSGVO werfen. Denn personenbezogene Daten fangen schon beim Namen und der E-Mail-Adresse an. Insgesamt gehören unter anderem diese Daten dazu:

• Name + Anschrift
• E-Mail-Adresse und Telefonnummer
• Geburtstag, Ausweisnummer, etc.
• Kontodaten + Kreditkartennummer
• Fahrzeugkennzeichen (Auto, Motorrad, etc.)
• Standortdaten + IP-Adresse
• Cookies

Muss ich meine Newsletter-Abonnenten noch einmal nach Erlaubnis fragen?

So weit ich es gelesen habe: Nein. Bereits erhobene Daten und bis Ende Mai gesetzte Cookies, etc. müssen nicht noch einmal sonderbehandelt werden. Wenn ihr also schon dutzende, hunderte oder tausende Newsletter-Abos habt, dann muss nicht noch einmal jeder Abonnent in EU-DSGVO-konformer Form der Nutzung seiner Daten zustimmen. Für kommende Abos, für zukünftige Cookies und ähnliches solltet ihr aber vorsorgen.

Was ist eine Datenschutzfolgenabschätzung?

Unternehmen, die Personendaten (im größeren Umfang) sammeln und nutzen, müssen eine Datenschutzfolgenabschätzung durchführen. Das heißt, sie müssen prüfen, ob die personenbezogenen Daten sicher sind, nicht von unbefugten Dritten eingesehen / genutzt werden können und / oder ob sich Gefahren für die Dateninhaber ergeben können. Es handelt sich bei der Datenschutzfolgenabschätzung also um eine Einordnung der Datensicherheit und ihrer möglichen Folgen. Können diese negativ ausfallen, dann sind gegebenenfalls Anpassungen nötig.

Eigene Einschätzung: Sind US-Mailing-Dienste sicher?

Die DSGVO gilt auch für Unternehmen, die EU-Bürger bzw. EU-Unternehmen als Kunden respektive Auftraggeber haben. Deshalb müssten US-Mailing-Dienstleister wie MailChimp sich ebenfalls dran halten. Ein Anhaltspunkt, dass alles seriös abläuft, ist beispielsweise das „Double Opt-In“, also die doppelte Zustimmung fürs Newsletter-Abo – einmal beim Eintragen und einmal über einen Bestätigungslink in der entsprechenden E-Mail.

Jedoch gehen die Sicherheitsfragen auch danach weiter. So lagern die Daten für MailChimp-Newsletter beispielsweise auf US-Servern – außerhalb der EU und als attraktives Angriffsziel für Hacker und Geheimdienste. Ob dies mit der EU-DSGVO zu 100% d’accord geht, das ist fraglich. Aus meinem Bekannten- und Kundenkreis ziehen aus dem Grund gerade einige Leute mit ihren Newsletterlisten von MailChimp zu Cleverreach, Klick-Tipp oder anderen deutschen Newsletter-Service-Dienstleistern um. Wenn ihr alle Anbieter abchecken wollt, dann klickt mal rein:

• MailChimp
• Klick-Tipp
• Cleverreach
• RapidMail
• Newsletter2Go

Theoretisch ist ein Vertrag nötig

Bei weiterer Recherche ist mit dieser Beitrag aufgefallen. Darin wird u. a. beschrieben, dass man mit MailChimp einen Vertrag eingehen müsste, in dem die Auftragsdatenverarbeitung (ab Mai nur noch „Auftragsverarbeitung“) mit der neuen Verordnung konform geklärt ist. Externe Anbieter wie etwa Google Analytics bedürfen, so wie ich es verstanden habe, keines schriftlichen Vertrags, den man hin und her schicken muss. Hier kann der Anbieter, also Google, die Formalitäten digital per Knopfdruck regeln. In der Kontoverwaltung von Analytics geht das im Menüpunkt „Zusatz zur Datenverarbeitung“. MailChimp könnte so einen Automatismus theoretisch nachrüsten.

Wichtige Änderungen im Überblick

Doch was ändert sich nun im Detail, auf was muss man in Zukunft achten, und welche bestehenden Regelungen, Verordnungen und Gesetze werden erweitert? Ich habe mal ein bisschen recherchiert und unter anderem in dieser Quelle dazu Informationen gefunden. Hier also ein paar wichtige Punkte, die ihr als datenverarbeitende Unternehmer, Blogger, Shop-Betreiber und Mailing-Marketing-Firma beachten solltet:

• Pflicht zur Datenschutzfolgenabschätzung und zur Dokumentation von Umgang mit Daten
• Datenverarbeitungstätigkeiten müssen in einem Verzeichnis festgehalten werden
• Einwilligungserklärungen (online sowie offline) werden erneuert, wie oben im Video zum Thema Cookies bereits angeschnitten
• Datenschutzerklärungen auf Webseiten müssen erweitert werden
• Auch für die Auftragsdatenverarbeitung gibt es neue Richtlinien
• Für Mitarbeiterdaten gilt ebenfalls ein höherer Schutz
• Personenbezogene Daten von Kindern sind als Sonderfall ebenfalls sensibler zu behandeln
• Für Datenschutzbeauftragte im Unternehmen gibt es neue Regelungen / eine neue Stellung
• Datenpannen (Datenklau, unlautere Nutzung, Leaks, etc.) müssen ab 25. Mai 2018 gemeldet werden
• Es gibt neue Regelungen zur Haftung und härtere Bußgelder für Datensünder

Was sind „Datenportabilität“ und „Recht auf Vergessenwerden“?

Zur obigen Liste kommen noch zwei Punkte hinzu, die vielleicht einer kurzen Erläuterung bedürfen. Zum einen wäre das die „Datenportabilität“ und zum anderen das „Recht auf Vergessenwerden“. Ich habe euch mal in kurzen Erklärungen zusammengefasst, um was es dabei geht:

• Datenportabilität: Alle personenbezogenen Daten müssen vom Dateninhaber abgefragt werden können. Sie müssen von der Firma / von der Person, welche die Daten erhebt bzw. sammelt und nutzt, in einem gängigen, aktuellen und lesbaren Format übermittelt werden.
• Recht auf Vergessenwerden: Wie bei einer Suchmaschine auf Anfrage Daten, Artikel und Angaben zu Personen respektive Unternehmen entfernt werden können, so müssen auch personenbezogene Datensätze auf Wunsch der betreffenden Personen entfernt werden.

Fazit zur EU-Datenschutzgrundverordnung (DSGVO)

Die neue EU-Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Es wird keine weitere Übergangsfrist geben und in Deutschland muss auch kein neues Gesetz daraus gemacht werden. Als Verordnung wird die neue Sammlung an Regeln und Richtlinien direkt übernommen. Wenn ihr also mit personenbezogenen Daten von Kunden, Lesern, Nutzern, Auftraggebern, Mitarbeitern und anderen Personen zu tun habt, dann solltet ihr euch mal einlesen. Im Zweifelsfall kann es hilfreich sein, einen entsprechend spezialisierten Anwalt einzuschalten, um auf Nummer Sicher zu gehen. Denn wie eingangs schon erwähnt: Dieser Blogeintrag ist keine Rechtsberatung, sondern nur ein gut gemeinter Hinweis als Ergebnis meiner Recherche zum Thema 😉