DSGVO – Neuer Ärger durch die europäische Datenschutzgrundverordnung?

Der Datenschutz ist in der heutigen Zeit sehr wichtig, aber gerade für Selbstständige im Netz oft auch schwer zu durchschauen und überaus bürokratisch.

Mit der DSGVO (Europäische Datenschutzgrundverordnung) kommt im Mai 2018 nun die nächste Herausforderung auf uns zu.

In diesem Artikel gehe ich auf die wichtigsten Veränderungen ein, die für Blogger, Affiliates und andere ab kommendem Jahr mit der DSGVO kommen werden.

Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden.

DSGVO – Europäische Datenschutzgrundverordnung

Lange hat es gedauert, bis man sich auf europäischer Ebene auf eine gemeinsame Datenschutzgrundverordnung einigen konnte. Dass eine einheitliche Regelung auf europäischer Ebene sicher Sinn macht, darüber besteht wenig Diskussionsbedarf.

Die konkreten Inhalte der Verordnung und welche weiteren besonderen Regelungen in den einzelnen Ländern bestehen, hat jedoch viele Gemüter beschäftigt. Die Datenschutzgrundverordnung gilt nach einer aktuell laufenden Übergangsfrist ab dem 25.Mai 2018 zwingend auch in Deutschland, aber viele Details können die Länder in eigenen Gesetzen regeln.

Deshalb hat man im April das Bundesdatenschutzgesetz (BDSG) angepasst, in dem das Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) beschlossen wurde. Darin gibt es einige stärkere Anpassungen und Abwandlungen von der DSGVO, wo noch nicht ganz sicher ist, ob diese dauerhaft bestehen bleiben können

Die vielen Änderungen des DSGVO durch das neue BDSG macht die ganze Sache nicht unbedingt einfacher.

Die wichtigsten Änderungen durch das DSGVO und das neue BDSG

Das DSGVO und das angepasste BDSG enthalten eine Vielzahl an Regelungen und Vorschriften, die aber nicht alle für Selbstständige im Netz relevant sind. Im Folgenden stelle ich die wichtigsten Regelungen vor.

Opt-In
Im Wesentlichen bleiben die Regelungen für die Erfassung personenbezogener Daten wie bisher auch. Einfach persönliche Daten zu erfassen ohne aktive Erlaubnis ist verboten, allerdings gibt es weiterhin einen Erlaubnisvorbehalt.

Das bedeutet, dass es bei bestimmten rechtlichen Pflichten und anderen genau in der DSGVO definierten Gründen erlaubt ist, auch ohne aktive Erlaubnis personenbezogene Daten zu erfassen. Einwilligungen müssen auch in Zukunft nachgewiesen werden können. Auch daran ändert sich nichts. Allerdings sind die Informationspflichten bei der Einwilligung zukünftig umfangreicher.

Neu ist der besondere Schutz von Kindern und das Kopplungsverbot (notwendige und nicht notwendige Daten), was aber beides für die meisten Selbstständigen im Netz nicht so relevant ist.

Identifizierung statt Personenbezogen
Eine kleine, aber feine Änderung betrifft die Formulierung “identifizierbar”. Diese ersetzt “personenbeziehbar”.

Dadurch werden in Zukunft auch IP-Adressen und Cookies umfasst, die zwar keine Möglichkeit boten die konkrete Person zu erkennen, es aber ermöglichen, einen Nutzer später wieder zu identifizieren.

Dadurch muss man auch bei der Erfassung der IP-Adresse und beim Einsatz von Cookies in Zukunft eine Interessenabwägung vornehmen, auf die ich weiter unter noch zu sprechen komme.

Hinweispflichtigen
Die DSGVO bringt deutlich umfangreichere Informationspflichten mit. Dabei geht es um Angaben, welche Daten gesammelt werden und was damit gemacht wird.

Man muss also z.B. angeben, was genau gespeichert wird, wofür und wie lange. Das wird dazu führen, dass die Hinweistexte nur noch umfangreicher werden. Als ob die heute noch irgendjemand liest.

Deshalb wird es hoffentlich weiterhin Datenschutzgeneratoren geben, die es auf einfacher Art und Weise ermöglichen diesen Hinweispflichtigen nachzukommen.

Umfangreichere Melde-, Dokumentations, Auskunft- und Löschungspflicht
Bei Hackerangriffen oder sonstigen Verlusten von personenbezogenen Daten gibt es in Zukunft strengere Meldepflichten.

Grundsätzlich muss genau dokumentiert werden, welche Daten erhoben und verarbeitet werden und wie das geschieht.

Zudem haben die Nutzer das Recht zu erfahren, welche Daten von Ihnen gespeichert/erhoben werden. Auf Wunsch müssen diese geändert oder gelöscht werden, wenn nicht z.B. eine gesetzliche Pflicht dem im Wege steht.

Gilt auch für Betreiber außerhalb der EU
Zum einen gilt die DSGVO natürlich für alle Unternehmen, die in der EU ansässig sind. Allerdings kann man nicht einfach aus der EU “flüchten”, um sich den Regelungen zu entziehen.

Jeder, der Daten von EU Bürgern erhebt oder Waren oder Dienstleistung an EU Bürger verkauft, muss sich nach der DSGVO richten, auch wenn der Sitz des Unternehmens außerhalb der EU ist.

Auftragsdatenverarbeitungsverträge notwendig
Wer Google Analytics nutzt, hat hoffentlicht den Auftragsdatenverarbeitungsvertrag abgeschlossen. Das wird in Zukunft für alle Dienstleister notwendig sein, die personenbezogene Daten im eigenen Auftrag verarbeiten.

Wenn man also einen Service einsetzt, an den man personenbezogene Daten weiterleitet, muss die Verarbeitung per Vertrag geregelt werden.

Schmerzensgeldanspruch
Für Betroffene gibt es in Zukunft die Möglichkeit Schadensersatz bei materiellen und immateriellen Schäden zu fordern.

Wer also z.B. personenbezogene Daten ohne Einwilligung verarbeitet, kann mit Schadensersatzforderungen konfrontiert werden. Das ist für viele Unternehmen natürlich sehr heikel und tendenziell existenzgefährdent.

Höhere Bußgelder
Statt wie bisher 50.000 bis 300.000 Euro, sind nun Bußgelder in Millionenhöhe möglich.

Bis zu 20 Millionen Euro oder 4% Jahresumsatz (je nachdem was höher ist) können für Verstöße anfallen. An dieser Regelung wird klar, in welche Richtung die DSGVO grundsätzlich zielt.

Große und datenhungrige Unternehmen wie Facebook, Google und Co. sollen damit gezwungen werden einen besseren Datenschutz umzusetzen.

Dass dabei gerade kleine Unternehmen und Einzelunternehmer von den vielen neuen Vorschriften erdrückt werden, scheint keinen zu stören. Außnahmen für kleine Unternehmen gibt es nur in wenigen Bereichen (z.B. Datenschutzbeauftragter).

Was bedeutet die DSGVO konkret für Blogger, Website-Betreiber und Affiliates

Die oben aufgelisteten Punkte sind doch recht allgemein und auch ich habe da teilweise Probleme die praktischen Konsequenzen zu erkennen.

Viele Regelungen sind in der DSGVO wieder nicht so klar geregelt. So sind z.B. Abwägungen zwischen den Interessen der Nutzer und den Interessen der Unternehmen möglich und angedacht.

Da gibt es z.B. die Formulierung “vernüftige Erwartungen der Betroffenen”. Da bedeutet, dass bestimmte Daten (nicht personenbezogen), die einfach überall erfasst werden, keine aktive Einwilligung erfordern. Gibt es z.B. überall Hinweise auf den Einsatz von Cookies für Google Analytics, dann kann man von einer vernüftigen Erwartung diesbezüglich ausgehen und man braucht keine aktive Einwilligung dafür.

Die folgenden Ausführungen sind nur Vermutungen meinerseits und keinesfalls in Stein gemeißelt. Man muss in den kommenden Monaten genau beobachten, was dazu noch geschrieben wird. Da die DSGVO nur die Grundlagen des zukünftigen Datenschutzes in Europa regelt, muss man auf jeden Fall noch die neue E-Privacy-Verordnung abwarten, auf die ich weiter unten noch zu sprechen komme.

für Google AdSense
Was genau die DSGVO für Google AdSense bedeutet, ist nicht klar. Schließlich gibt es hier mit Remarketing-Funktionen schon eindeutige Identifizierungen der Nutzer.

Derzeit ist hier ein Cookie-Hinweis ausreichend, was aber in Zukunft wohl nicht mehr ausreichend ist. Stattdessen hat Google selbst eine Opt-In-Lösung vorgestellt.

Zudem kann man AdSense auf nichtpersonalisierte Anzeigen umstellen, aber noch ist nicht klar, ob das zum problemfreien weiteren Einsatz von AdSense reicht. Hier wird es erst nach dem 25.5.2018 Aufklärung geben.

für Google Analytics
Schon lange gibt es eine Regelung, die den Einsatz von Google Analytics nach aktuellem Datenschutzrecht ermöglicht.

Daran wird sich wohl auch mit der DSGVO nichts ändern, wenn man sich an alle Punkte hält, auch wenn manche Datenschützer da andere Meinung sind. Auf jeden Fall sollte man Analytics anonymisieren und ein Opt-Out bieten.

für das Affiliate Marketing
Auch hier sollte es laut DS-GVO erstmal keine größeren Probleme geben. Schließlich sammelt man selbst keine Daten und auch die Partnerprogramme setzen maximal ein Cookie ein.

Auf der sicheren Seite ist man, wenn man auf Textlinks setzt, die ja nicht dafür sorgen, dass auf der eigenen Seite irgendwelche Daten erfasst werden. Problematischer sind da schon manche Werbemittel der Anbieter, die genau das teilweise tun.

Hinweise in der Datenschutzerklärung, wie bisher z.B. schon bei Amazon, sind aber wohl noch umfangreicher in Zukunft notwendig.

für eigene Produkte
Hier kommt es stark darauf an, ob man diese selbst verkauft oder eine externe Plattform dafür nutzt.

Auch wenn es in der DSGVO Ausnahmen bei der Erfassung persönlicher Daten ohne explizite Einwilligung gibt, so z.B. bei Online-Shops, so müssen sich Shopbetreiber doch auf viele neue Pflichten einstellen.

Verkauft man seine Produkte, z.B ein E-Book, aber auf anderen Plattformen und sammelt selber keine Daten, so ist man erstmal raus aus vielen Verpflichtungen. Allerdings sollte man bei der Auswahl der Plattform sehr sorgfältig sein, da man im Zweifel dennoch mit im Boot sitzt, falls z.B. von Anfang an klar war, dass mit den Kundendaten dort nicht rechtmäßig umgegangen wird.

für Online-Services und Mitgliederseiten
Hier sammelt man eine Menge personbezogene Daten und muss entsprechend die Verarbeitung der Daten dokumentieren, für deren Sicherheit sorgen, bei Datenleaks Meldungen abgeben und vieles mehr.

Sicher werden sich auch dazu in Zukunft Best Practices entwickeln, aber ob man als Einzelunternehmer noch in der Lage sein wird so was zu stemmen, bezweifle ich.

für das Newsletter-Marketing
Das Newsletter-Marketing ist wohl der Bereich, bei dem sich am wenigsten ändert. Das liegt einfach daran, dass es dort auch jetzt schon strenge Regelungen bezüglich der Einwilligung (Double Opt-In) gibt.

Im Detail muss man natürlich auch hier prüfen, welchen Service man nutzt (Newsletter-Services außerhalb der EU sind problematisch) und ob dieser die Anforderungen der DSGVO erfüllt.

Zudem gibt es in Zukunft stärkere Einschränkung bzgl. der Kopplung von kostenlosen Angeboten und der Newsletter-Anmeldung.

für die Weitergabe von Daten
Die Weitergabe personenbezogener Daten ist auch bisher schon streng geregelt und auch in Zukunft nur mit Einwilligung möglich.

Ein paar kleinere Ausnahmen macht die DSGVO zwar, aber hier sollte man genau hinschauen, was erlaubt ist.

Sonstiges
Sicher werden sich in der Praxis noch weitere Problemfelder ergeben. So sehe ich z.B. bei Kommentaren in Blogs in Zukunft noch einigen Klärungsbedarf.

Viele Content Management Systeme speichern hier die Mailadresse und oft auch die IP der Kommentatoren. Das sind aber Daten, die eine Identifizierung erlauben und deshalb nun strengeren Regelungen unterliegen.

Auf der anderen Seite sollte man einen Kommentar nicht zulassen, ohne eine Möglichkeit dessen Autor im Zweifel identifizieren zu können. Stichwort “Beleidigungen”, “Verleumdungen” etc..

Ich befürchte, dass es hier in Zukunft zu noch strengeren Auslegungen kommen wird. Ist das der Tot solcher interaktiver Elemente im Netz?

Bedeutet die DSGVO neuen Ärger für Selbstständige im Netz?

In einem abmahnfreundigen Land wie Deutschland kann einem die DSGVO schon ein wenig Sorgen bereiten. Auch wenn manche Dinge darin sehr klar geregelt sind, so sind neue Gesetze (oder in diesem Fall eine Vorschrift) leider oft eine Goldgrube für Abmahnanwälte.

Vieles ist doch recht schwammig formuliert, wie z.B. der ganze Punkt mit den Abwägungen und andere Bereich sind gar nicht so konkret erfasst. Deshalb wird es erst wieder durch konkrete Urteile in vielen Bereichen klarer werden.

Man muss auch sagen, dass manche Sachen für Einzelunternehmer schwer umzusetzen sind. Auch hier wird erst die Praxis zeigen, was wirklich wichtig ist und wie manche Sachen gehandhabt werden sollen.

Ein Beispiel ist der Wunsch eines Nutzers nach zukünftiger Unterlassung des Trackings. Um bei diesem Nutzer in Zukunft keine Daten mehr zu erfassen, muss man diesen ja identifizieren können. Aber das ist ja auch schon wieder eine Art Tracking.

Zumal das z.B. nur über ein bestimmtes Cookie möglich ist, welches der Nutzer aber natürlich wissentlich oder unwissentlich löschen kann. Und dann kann man den Nutzer nicht mehr identifizieren und trackt ihn, weil er ein neuer Nutzer zu sein scheint. Hier wären Maßnahmen auf der Nutzerseite (z.B. Einstellungen im Browser) deutlich zuverlässiger und eindeutiger.

Die europäische Datenschutzgrundverordnung sorgt also für einigen Mehraufwand beim Datenschutz und in einigen Bereich besteht Unsicherheit, wie genau das in Zukunft gehandhabt wird. Allerdings scheint die DSGVO das vergleichsweise kleine “Übel” zu sein.

Die EU hat Anfang des Jahres einen Entwurf für eine neue E-Privacy-Verordnung vorgelegt, die gleichzeitg mit der DSGVO 2018 in Kraft treten soll (Update: Diese verzögert sich nun doch noch deutlich und wird wohl erst 2019 oder 2020 in Kraft treten). Darin werden konkrete Punkte in der digitalen Kommunikation geregelt. Diese Verordnung ist aber so streng, dass viele schon das Ende des Online-Business kommen sehen.

So soll nach dieser E-Privacy-Verordnung z.B. jeder Cookie, der personenbezogen ist bzw. eine Identifizierung erlaubt, eine aktive Einwilligung (Opt-In) erfordern. Das würde z.B. Google AdSense und das Affiliate Marketing betreffen. Man müsste in Zukunft erstmal um Erlaubnis fragen, in diesem Bereich Cookies einzusetzen. Ebenfalls nötig wäre die Einwilligung wohl bei Google Analyics, auch wenn man die geforderte Anonymisierung der IP-Adresse einsetzt.

Aber die E-Privacy-Verordnung ist nochmal ein ganz anderes Thema, auf das ich in einem zukünftigen Artikel eingehen werde. Schließlich ist hier wohl noch nichts endgültig beschlossen und zudem können die Länder wieder einzelne Dinge anpassen.

Wie gehe ich mit den neuen Datenschutzregelungen um

Bis zum 25.Mai 2018 scheint noch viel Zeit zu sein, aber je nach eigenem Business, sollte man frühzeitig anfangen sich darauf einzustellen.

Ich sammle aktiv keine Daten von Kunden, da ich weder einen Shop habe, noch einen Online-Service oder ähnliches. Dennoch bin natürlich auch ich von vielen Regelungen betroffen.

Wie genau ich auf einzelne Dinge eingehen werde, steht zwar noch nicht fest, aber klar ist, dass ich versuchen werde in Zukunft so wenig Daten wie möglich zu sammeln. Das betrifft natürlich vor allem Einnahmequellen, die Cookies setzen oder sonst irgendwie Daten erheben.

So werde ich z.B. keine Widgets oder ähnliche Werbemittel mehr von Partnerprogrammen einsetzen, sondern nur noch auf normale Textlinks oder Plugins setzen, die ebenfalls keine Daten erheben (z.B. AAWP).

Google AdSense kommt auch auf den Prüfstand, wobei ich mir dabei eigentlich wenig Sorgen mache. Google wird hier schon für die notwendigen Anpassungen sorgen, um es, ähnlich wie Google Analytics, in Zukunft weiter einsetzen zu können. (Update: Ich werde Google AdSense doch erstmal komplett ausbauen.)

Genauer hinschauen muss ich auch bei den verschiedenen Online-Services, die ich nutze. Welche davon enthalten ggf. Daten Dritter und kann man diese noch in Zukunft nutzen?

Die immer umfangreicheren Datenschutzregelungen werden dazu führen, dass ich versuche so wenig wie möglich irgendwelche Daten auf meinen Websites erfassen zu lassen. Privacy bei Design nennt das der Gesetzgeber und ich denke, dass man auch online erfolgreich Geld verdienen kann, ohne massig Daten zu sammeln und durch andere sammeln zu lassen.

Eine Welt ohne Cookies wäre schön, aber ganz vermeiden lassen wird es sich wohl nicht. Aber ich werde zumindest alles ausbauen, was später eine aktive Einwilligung erfordert, da das meiner Meinung nach einfach nicht machbar ist. Oder sollen Website-Besucher erstmal eine Liste durchgehen und Häkchen setzen, welche Cookies sie zulassen und welche nicht?

Ich werde das Thema auf jeden Fall in den kommenden Monaten weiter verfolgen und hier darüber berichten. Auch meine eigenen Maßnahmen diesbezüglich werde ich sicher in dem einen oder anderen Artikel nochmal genauer vorstellen.

Ich würde mich natürlich auch über eure Meinungen, Erfahrungen und zukünftigen Vorgehensweisen diesbezüglich freuen.

[the_ad id=”18198″]

Peer Wandiger

21 Gedanken zu „DSGVO – Neuer Ärger durch die europäische Datenschutzgrundverordnung?“

  1. Ich bin gespannt, wie sich die DSGVO auf das Business der großen Platzhirsche auswirken wird, deren Services ja in fast allen Affiliate-Seiten und auch so zum Tracking genutzt werden. Ich stehe dem Tracking generell unfreundlich gegenüber, weil ich der Meinung bin, dass es nicht ok ist, wenn Daten über Besucher gesammelt werden und Profile erstellt werden, ohne, dass dieser etwas dagegen tun kann (außer das Web oder die Site nicht mehr zu benutzen). Umgekehrt wird es wohl für kleinere Sites hart werden. Bei allen Erkenntnissen frage ich mich, wie viel Tracking man eigentlich wirklich benötigt, um einen Profit zu erwirtschaften. Vielleicht geht es ja auch mit wesentlich weniger?

    Antworten
  2. Hallo Peer,
    danke für deine tolle Zusammenfassung. Ich bin mal gespannt was mit den Google Rankings passiert, wenn einige Seiten Veränderungen vornehmen müssen. Ich würde behaupten die kleinen Nischenseiten haben dabei eher Vorteile gegenüber größeren Shops und ähnlichem, weil sie weniger verändern müssen.
    Ich hoffe du hältst uns weiter auf dem Laufenden 🙂 weiter so

    Antworten
  3. Hallo Peer,

    da dürfen wir sehr gespannt sein, wie das kommende Jahr unser Handeln verändern wird.
    Heißt deine Planung für die Zukunft “So werde ich z.B. keine Widgets oder ähnliche Werbemittel mehr von Partnerprogrammen einsetzen.” dass Du Anzeigen wie die Telekomanzeige, den Backlinkseller oder ähnlich gestaltete Partnerprogramme in Kürze nicht mehr bewerben wirst?

    Bedeutet ein solches Handeln nicht deutliche Umsatzeinbußen?

    Ich mache mir für manche Webseite zum Beispiel dann Sorgen, wenn man zum Beispiel digistore nutzt. Das eigentlich tolle “Hilfsmittel zur Vermarktung” bereitet vielleicht auch Probleme, wenn ab 2018 neue Regelungen durchgesetzt werden. Wie siehst du das?

    Könntest du ergänzend zu deinem interessanten Beitrag einmal beschreiben, woran der Laie erkennen kann, dass ein Werbemittel des Affiliate-Anbieters, irgendwelche Daten erfasst, die uns zukünftig Probleme bereiten könnten?

    Sämtliche Affili.net/AWIN-Werbemittel erfassen meines Wissens sehr viele Daten, nicht nur zwingend die Daten, von welcher Seite der Käufer gerade kommt. Wird es hier eventuell Probleme geben?

    Antworten
    • Ich glaube, die wirfst da zu viel in einen Topf. Normale Werbeanzeigen, normale Affiliatelinks oder normale Links zu einer Verkaufsplattform wie Digistore haben doch gar nichts damit zu tun. Es geht um Scripte oder Widgets, die bereits auf meiner Seite Daten sammeln bzw. Cookies setzen. Die kann man eigentlich recht einfach umgehen.

      Antworten
      • Danke für Deine Ergänzung, dann hatte ich einen Teil deines Beitrages missverstanden.
        Vielleicht lag es auch daran, dass mir als “Programmier-Laie” der Unterschied zwischen einem normalen Affiliatelink, wie ihn zum Beispiel Affili.net “auswirft” und einem eben unnormalen Link überhaupt nicht verständlich ist.

        Wenn die Standard-Links der großen Partnerprogramme alle keine Probleme bereiten, warum redet gerade “Gott-und-die-Welt” über dieses Thema? Dürfte dann doch wirklich an uns vorbei gehen? Für mich noch eine “unbekannte Größe” dieses Thema. Bin ich alleine mit meinem Unwissen und Unverständnis?

        Antworten
  4. Stichwort Mitgliederseite: Schon ein einfaches Forum sammelt ziemlich viele Daten über die angemeldeten Benutzer.
    Bin mal gespannt, wie die Lösungen im Detail aussehen werden. Hoffentlich kommt da keine neue Abmahnwelle auf uns zu.

    Antworten
  5. Auf einen wichtigen Punkt geht der obige Artikel leider nicht ein. Gemäß Art. 30 Abs. 5 DSGVO müssen alle Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen. Unternehmen mit weniger als 250 Mitarbeitern sind davon zwar eigentlich ausgenommen. Doch wenn die Verarbeitung nicht nur gelegentlich erfolgt, muss das Verzeichnis dennoch geführt werden.

    Soweit ich das sehe, bedeutet das, dass jeder Selbständige, der auch nur eine simple Newsletter-Anmeldung auf seiner Website bereitstellt, von der Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet ist. Wenn man IP-Adressen zu den personenbezogenen Daten zählt, ist strenggenommen sogar jeder Selbständige, der ein Website-Tracking-Tool einsetzt, davon betroffen, denn die IP-Adressen werden zwar nicht dauerhaft in voller Länge gespeichert, wohl aber vorher verarbeitet.

    Der Inhalt eines solchen Verzeichnisses ist meiner bisherigen Recherche nach ziemlich umfangreich und detailliert. Da das Verzeichnis jederzeit von Aufsichtsbehörden angefordert werden kann, kann man es im Bedarfsfall auch nicht mal eben schnell nachziehen.

    Ohne externe Hilfe dürfte ein solches Verzeichnis von Verarbeitungstätigkeiten für viele Selbständige wohl kaum erstell- und pflegbar sein. Jemandem, der lediglich ein paar Euro mit seinem Blog nebenbei verdient, die Blog-Artikel jedoch per E-Mail abonnierbar machen möchte, dürfte dieser Aspekt der DSGVO unnötig viel Zusatzarbeit bescheren. Die ungleich komplexer zu dokumentierende Nutzung eines Marketing-Automation-Systems mit individuellen Datenerfassungs- und Verarbeitungs-Setups für echtes Inbound-Marketing dürfte damit in Zukunft für kleine Unternehmen oder Selbständige sehr aufwändig werden.

    Oder gibt es diesbezüglich andere Tipps von Rechtsexperten?

    Antworten
    • Zu den Details werde ich sicher in Zukunft nochmal was schreiben, aber da ist ja in vielen Bereichen noch nicht klar, was notwendig ist und was nicht. Dazu wird es in den nächsten Monaten sicher auch von Anwälten noch eine Menge Informationen geben.

      Antworten
      • Ich habe gerade zudem aus gut informierten, inoffiziellen Quellen erfahren, dass manche Unternehmen das Verfahrensverzeichnis ganz bewusst so lange ignorieren werden, bis sich die Aufsichtsbehörde meldet. Das ist dann eine Risikoabschätzung, die aus betriebswirtschaftlicher Sicht natürlich völlig OK ist. Kleine Unternehmen, vor allem aus dem B2B-Sektor werden sehr wahrscheinlich nicht als erste von einer Aufsichtsbehörde geprüft werden.

        Also abwarten. Trotz der horrenden Bußgeld-Summen wird mich wohl niemand so schnell wegen einer fehlenden Dokumentation auf mehrere Millionen Euro verklagen. 😉 Dennoch immer wieder spannend, wie praxisfern die Gesetzgebung ist.

        Antworten
      • Kleines Update: Lt. Einschätzung von Rechtsanwältin Frau Sabine Heukrodt-Bauer muss streng genommen auch ein kleiner Selbstständiger in vollem Umfang ein Verfahrensverzeichnis führen muss, sobald er irgendeine Art von E-Mail-Abo anbietet, ein Marketing-Automation-System nutzt oder wahrscheinlich sogar auch nur Google Analytics einsetzt:
        https://www.siteboosters.de/beratung/webinarreihe-2017/dsgvo/faq-dsgvo/#c1287

        Bleibt zu hoffen, dass sich für typische Verarbeitungsprozesse aus den Bereichen E-Mail-Marketing, Marketing-Automation und Web-Analytics möglichst bald irgendwelche halbwegs einfach zu handhabenden Vorlage etablieren.

        Antworten
        • Wie soll denn so ein Verfahrensverzeichnis in der Dokumentationspflicht aussehen?
          Soll ich nun alle IPs meiner Seutenbesucher in eine Excel Tabelle einfügen? Alle Mailadressen und deren IP Adressen der Newsletter Abonnenten ebenfalls in eine Excel Tabelle schreiben?

          Antworten
          • Das ist genau die Frage, die noch keiner so richtig beantworten kann. Aber Dokumentation der Verfahren heißt ja eben nicht, dass man die Daten notiert, sondern dass man meiner Ansicht nach dokumentiert, welche Daten generell erfasst werden (z.B. eMail-Adressen für Newsletter) und was mit diesen generell geschieht.

            Aber Anfang 2018 werde ich dazu sicher nochmal was schreiben.

  6. Auf keinen Fall sollte man die Dokumentationspflichten vergessen – man sollte stets in der Lage sein, die Einhaltung der DS-GVO durch Dokumentation nachweisen zu können!

    Antworten
  7. Ich werde als gewerbetreibender Software-Entwickler von Recruitern mit Aufforderungen zur Abgabe einer Einwilligung zur Speicherung und Verwendung meiner Daten angemailt.
    Muss der Recruiter von Gewerbetreibenden (Gewerbe ist angemeldet, Rechtsform ist Einzelfirma ohne Handelsregistereintrag) eine solche Einwilligung einholen?
    Was ist mit mir? Müsste ich im Gegenzug auch vom Recruiter diese Einwilligung erbitten, damit ich seine Adresse, Telefonnummern und E-Mailadressen speichern und verwenden darf?

    Antworten
  8. Gibt es denn bereits Tools bzw. einfache Lösungen für WP-Seiten?
    Wenn ja, wäre es super hier ein paar Quellen dafür zu bekommen.

    Antworten
    • Einfache Lösungen gibt es hierzu sicher nicht. Nicht umsonst gibt es dicke Bücher zu dem Thema. Jeder Selbstständige und jedes Unternehmen muss die eigenen Datenverarbeitungsprozesse analysieren, ggf. anpassen und dokumentieren.

      Allerdings gibt es Services, die Websites analysieren. Dazu stelle ich in Kürze etwas vor.

      Antworten
  9. Warum erstellen die Leute von der DSGVO nicht einfach für alle eine Datenschutzerklärung, wo alles abgedeckt und Abmahnsicher ist.Kostet unnötig Zeit und Nerven, sich damit zu beschäftigen, statt die zeit in das eigentliche Projekt zu stecken.

    Müssen denn die Partnerprogramme, wie awin(zanox, belboon, affilinet) auch in den Datenschutzerklärung erwähnt werden? Selbst mit dem Generator von e-recht24 wird nichts erwähnt.

    Antworten
    • Die Datenschutzerklärung ist wohl das kleinste Problem bei der DSGVO. Die Datenschutz-Generatoren werden oder sind schon angepasst und werden auch in Zukunft relativ sichere Ergebnisse liefern. Natürlich eine 100% Sicherheit, aber immerhin.

      Eine Lösung für alle ist aber nicht möglich, da jedes was anderes nutzt und einsetzt.

      Das Problem ist auch, dass so ein neues Gesetz, denn das ist es ja defacto, auch unter Juristen unterschiedlich ausgelegt wird. Wir werden also erst mit den Gerichtsentscheidungen der nächsten Jahres wissen, was wie genau gemacht werden muss.

      Was die Partnerprogramme angeht. So wie ich es verstehe: Man muss alles erwähnen, was auf der eigenen Website Cookies setzt oder die Besucher trackt. Auch wenn es nur nur ein eingebundenes Bild vom Server des Partnerprogramms ist. Setzt man dagegen nur normale Textlinks oder z.B. Affiliate-Banner, die man lokal auf dem eigenen Server speichert, muss man meiner Meinung nach nicht darauf hinweisen.

      Aber das ist alles noch im Fluss und man wird sehen müssen, wie es dann in der Praxis genau aussieht.

      Zudem kommt dann ja 2019 die ePrivacy Verordnung und die bringt dann sicher auch nochmal einige Veränderungen mit sich.

      Antworten
    • > Warum erstellen die Leute von der DSGVO nicht einfach
      > für alle eine Datenschutzerklärung

      Der Gesetzgeber will (zurecht) sicherstellen, dass sich jeder, der persbez.Daten verarbeitet, selbst Gedanken macht. Der Datenschutz soll in jedem Schritt des Alltags Einzug halten. Das ist durchaus sinnvoll, wenn ich sehe, wie in manchen Firmen mit Daten oder WLAN-Passworten, Datenträgern, Patientenakten, Kundendokumenten etc umgegangen wird. Da nutzen Anwälte auf ihrem Handy whatsapp, Chefs fotografieren Dokumente und schicken sie dem Aussendienst via kostenloser USA-Cloud, im Arztztimmer liegen die Akten der nächsten 3 Patienten rum und so weiter.

      Leider ist das Paradoxon: Ein Staat, der GEsetzte erlässt, um die Freiheit und informelle Selbstbestimmung seiner Bürger/Unternehmen zu garantieren, schränkt gleichzeitig deren Handlungsfreiheit, deren kreativität und der Schaffenskraft ein, d.h. er beschneidet sie an anderer Stelle. Ich kenne nicht wenige, die bzgl. DSGVO kurz vor dem Hinschmeissen sind.

      Das Grundproblem ist aber: die meisten beschäftigen sich erst jetzt mit dem Thema Datenschutz im Unternehmen. Das Thema ist ja nicht bei weitem nicht neu; aber jetzt macht sich Panik breit und ich habe auch den Eindruck, dass jetzt schon manche Anwälte Angst verbreiten (“20 Mille Bußgeld drohen”), um bzgl. DSGVO Beratungsaufträge zu bekommen.

      In Kleinbetrieben wurde zudem die Aussage “unter 9 Mitarbeiter braucht man keinen DSB” missverstanden als “unter 9 Mitarbeitern braucht man keinen Datenschutz”.

      Antworten
  10. Hallo Peer,

    wenn ich recht informiert bin, ändert sich beim Newsletter schon gewaltig etwas. Jeder Opt-in der durch ein Kopplungsgeschäft erzielt wurde (Lade dir hier mein kostenloses Ebook herunter) ist damit ungültig. Das finde ich jetzt nicht “nichts” sondern wird unter Umständen einige kalt erwischen, da ein neuer Opt-in nötig ist.

    Gruß
    Daniel

    Antworten
    • Schwieriges Thema. Ob das Kopplungsverbot hier wirklich greift, ist die Frage. Oft ist der zusätzliche Download ein Bonus, aber nicht der Hauptgrund für das Newsletter-Abo. Und in wie weit Jahre später da noch jemand nachhakt, ist ebenfalls fraglich.

      Auf jeden Fall sollte man in Zukunft solche Boni beim Newsletter-Abo nicht mehr anbieten, das stimmt.

      Antworten

Schreibe einen Kommentar