Der Datenschutz ist in der heutigen Zeit sehr wichtig, aber gerade für Selbstständige im Netz oft auch schwer zu durchschauen und überaus bürokratisch.
Mit der DSGVO (Europäische Datenschutzgrundverordnung) kommt im Mai 2018 nun die nächste Herausforderung auf uns zu.
In diesem Artikel gehe ich auf die wichtigsten Veränderungen ein, die für Blogger, Affiliates und andere ab kommendem Jahr mit der DSGVO kommen werden.
Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden.
DSGVO – Europäische Datenschutzgrundverordnung
Lange hat es gedauert, bis man sich auf europäischer Ebene auf eine gemeinsame Datenschutzgrundverordnung einigen konnte. Dass eine einheitliche Regelung auf europäischer Ebene sicher Sinn macht, darüber besteht wenig Diskussionsbedarf.
Die konkreten Inhalte der Verordnung und welche weiteren besonderen Regelungen in den einzelnen Ländern bestehen, hat jedoch viele Gemüter beschäftigt. Die Datenschutzgrundverordnung gilt nach einer aktuell laufenden Übergangsfrist ab dem 25.Mai 2018 zwingend auch in Deutschland, aber viele Details können die Länder in eigenen Gesetzen regeln.
Deshalb hat man im April das Bundesdatenschutzgesetz (BDSG) angepasst, in dem das Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) beschlossen wurde. Darin gibt es einige stärkere Anpassungen und Abwandlungen von der DSGVO, wo noch nicht ganz sicher ist, ob diese dauerhaft bestehen bleiben können
Die vielen Änderungen des DSGVO durch das neue BDSG macht die ganze Sache nicht unbedingt einfacher.
Die wichtigsten Änderungen durch das DSGVO und das neue BDSG
Das DSGVO und das angepasste BDSG enthalten eine Vielzahl an Regelungen und Vorschriften, die aber nicht alle für Selbstständige im Netz relevant sind. Im Folgenden stelle ich die wichtigsten Regelungen vor.
Opt-In
Im Wesentlichen bleiben die Regelungen für die Erfassung personenbezogener Daten wie bisher auch. Einfach persönliche Daten zu erfassen ohne aktive Erlaubnis ist verboten, allerdings gibt es weiterhin einen Erlaubnisvorbehalt.
Das bedeutet, dass es bei bestimmten rechtlichen Pflichten und anderen genau in der DSGVO definierten Gründen erlaubt ist, auch ohne aktive Erlaubnis personenbezogene Daten zu erfassen. Einwilligungen müssen auch in Zukunft nachgewiesen werden können. Auch daran ändert sich nichts. Allerdings sind die Informationspflichten bei der Einwilligung zukünftig umfangreicher.
Neu ist der besondere Schutz von Kindern und das Kopplungsverbot (notwendige und nicht notwendige Daten), was aber beides für die meisten Selbstständigen im Netz nicht so relevant ist.
Identifizierung statt Personenbezogen
Eine kleine, aber feine Änderung betrifft die Formulierung „identifizierbar“. Diese ersetzt „personenbeziehbar“.
Dadurch werden in Zukunft auch IP-Adressen und Cookies umfasst, die zwar keine Möglichkeit boten die konkrete Person zu erkennen, es aber ermöglichen, einen Nutzer später wieder zu identifizieren.
Dadurch muss man auch bei der Erfassung der IP-Adresse und beim Einsatz von Cookies in Zukunft eine Interessenabwägung vornehmen, auf die ich weiter unter noch zu sprechen komme.
Hinweispflichtigen
Die DSGVO bringt deutlich umfangreichere Informationspflichten mit. Dabei geht es um Angaben, welche Daten gesammelt werden und was damit gemacht wird.
Man muss also z.B. angeben, was genau gespeichert wird, wofür und wie lange. Das wird dazu führen, dass die Hinweistexte nur noch umfangreicher werden. Als ob die heute noch irgendjemand liest.
Deshalb wird es hoffentlich weiterhin Datenschutzgeneratoren geben, die es auf einfacher Art und Weise ermöglichen diesen Hinweispflichtigen nachzukommen.
Umfangreichere Melde-, Dokumentations, Auskunft- und Löschungspflicht
Bei Hackerangriffen oder sonstigen Verlusten von personenbezogenen Daten gibt es in Zukunft strengere Meldepflichten.
Grundsätzlich muss genau dokumentiert werden, welche Daten erhoben und verarbeitet werden und wie das geschieht.
Zudem haben die Nutzer das Recht zu erfahren, welche Daten von Ihnen gespeichert/erhoben werden. Auf Wunsch müssen diese geändert oder gelöscht werden, wenn nicht z.B. eine gesetzliche Pflicht dem im Wege steht.
Gilt auch für Betreiber außerhalb der EU
Zum einen gilt die DSGVO natürlich für alle Unternehmen, die in der EU ansässig sind. Allerdings kann man nicht einfach aus der EU „flüchten“, um sich den Regelungen zu entziehen.
Jeder, der Daten von EU Bürgern erhebt oder Waren oder Dienstleistung an EU Bürger verkauft, muss sich nach der DSGVO richten, auch wenn der Sitz des Unternehmens außerhalb der EU ist.
Auftragsdatenverarbeitungsverträge notwendig
Wer Google Analytics nutzt, hat hoffentlicht den Auftragsdatenverarbeitungsvertrag abgeschlossen. Das wird in Zukunft für alle Dienstleister notwendig sein, die personenbezogene Daten im eigenen Auftrag verarbeiten.
Wenn man also einen Service einsetzt, an den man personenbezogene Daten weiterleitet, muss die Verarbeitung per Vertrag geregelt werden.
Schmerzensgeldanspruch
Für Betroffene gibt es in Zukunft die Möglichkeit Schadensersatz bei materiellen und immateriellen Schäden zu fordern.
Wer also z.B. personenbezogene Daten ohne Einwilligung verarbeitet, kann mit Schadensersatzforderungen konfrontiert werden. Das ist für viele Unternehmen natürlich sehr heikel und tendenziell existenzgefährdent.
Höhere Bußgelder
Statt wie bisher 50.000 bis 300.000 Euro, sind nun Bußgelder in Millionenhöhe möglich.
Bis zu 20 Millionen Euro oder 4% Jahresumsatz (je nachdem was höher ist) können für Verstöße anfallen. An dieser Regelung wird klar, in welche Richtung die DSGVO grundsätzlich zielt.
Große und datenhungrige Unternehmen wie Facebook, Google und Co. sollen damit gezwungen werden einen besseren Datenschutz umzusetzen.
Dass dabei gerade kleine Unternehmen und Einzelunternehmer von den vielen neuen Vorschriften erdrückt werden, scheint keinen zu stören. Außnahmen für kleine Unternehmen gibt es nur in wenigen Bereichen (z.B. Datenschutzbeauftragter).
Was bedeutet die DSGVO konkret für Blogger, Website-Betreiber und Affiliates
Die oben aufgelisteten Punkte sind doch recht allgemein und auch ich habe da teilweise Probleme die praktischen Konsequenzen zu erkennen.
Viele Regelungen sind in der DSGVO wieder nicht so klar geregelt. So sind z.B. Abwägungen zwischen den Interessen der Nutzer und den Interessen der Unternehmen möglich und angedacht.
Da gibt es z.B. die Formulierung „vernüftige Erwartungen der Betroffenen“. Da bedeutet, dass bestimmte Daten (nicht personenbezogen), die einfach überall erfasst werden, keine aktive Einwilligung erfordern. Gibt es z.B. überall Hinweise auf den Einsatz von Cookies für Google Analytics, dann kann man von einer vernüftigen Erwartung diesbezüglich ausgehen und man braucht keine aktive Einwilligung dafür.
Die folgenden Ausführungen sind nur Vermutungen meinerseits und keinesfalls in Stein gemeißelt. Man muss in den kommenden Monaten genau beobachten, was dazu noch geschrieben wird. Da die DSGVO nur die Grundlagen des zukünftigen Datenschutzes in Europa regelt, muss man auf jeden Fall noch die neue E-Privacy-Verordnung abwarten, auf die ich weiter unten noch zu sprechen komme.
für Google AdSense
Was genau die DSGVO für Google AdSense bedeutet, ist nicht klar. Schließlich gibt es hier mit Remarketing-Funktionen schon eindeutige Identifizierungen der Nutzer.
Derzeit ist hier ein Cookie-Hinweis ausreichend, was aber in Zukunft wohl nicht mehr ausreichend ist. Stattdessen hat Google selbst eine Opt-In-Lösung vorgestellt.
Zudem kann man AdSense auf nichtpersonalisierte Anzeigen umstellen, aber noch ist nicht klar, ob das zum problemfreien weiteren Einsatz von AdSense reicht. Hier wird es erst nach dem 25.5.2018 Aufklärung geben.
für Google Analytics
Schon lange gibt es eine Regelung, die den Einsatz von Google Analytics nach aktuellem Datenschutzrecht ermöglicht.
Daran wird sich wohl auch mit der DSGVO nichts ändern, wenn man sich an alle Punkte hält, auch wenn manche Datenschützer da andere Meinung sind. Auf jeden Fall sollte man Analytics anonymisieren und ein Opt-Out bieten.
für das Affiliate Marketing
Auch hier sollte es laut DS-GVO erstmal keine größeren Probleme geben. Schließlich sammelt man selbst keine Daten und auch die Partnerprogramme setzen maximal ein Cookie ein.
Auf der sicheren Seite ist man, wenn man auf Textlinks setzt, die ja nicht dafür sorgen, dass auf der eigenen Seite irgendwelche Daten erfasst werden. Problematischer sind da schon manche Werbemittel der Anbieter, die genau das teilweise tun.
Hinweise in der Datenschutzerklärung, wie bisher z.B. schon bei Amazon, sind aber wohl noch umfangreicher in Zukunft notwendig.
für eigene Produkte
Hier kommt es stark darauf an, ob man diese selbst verkauft oder eine externe Plattform dafür nutzt.
Auch wenn es in der DSGVO Ausnahmen bei der Erfassung persönlicher Daten ohne explizite Einwilligung gibt, so z.B. bei Online-Shops, so müssen sich Shopbetreiber doch auf viele neue Pflichten einstellen.
Verkauft man seine Produkte, z.B ein E-Book, aber auf anderen Plattformen und sammelt selber keine Daten, so ist man erstmal raus aus vielen Verpflichtungen. Allerdings sollte man bei der Auswahl der Plattform sehr sorgfältig sein, da man im Zweifel dennoch mit im Boot sitzt, falls z.B. von Anfang an klar war, dass mit den Kundendaten dort nicht rechtmäßig umgegangen wird.
für Online-Services und Mitgliederseiten
Hier sammelt man eine Menge personbezogene Daten und muss entsprechend die Verarbeitung der Daten dokumentieren, für deren Sicherheit sorgen, bei Datenleaks Meldungen abgeben und vieles mehr.
Sicher werden sich auch dazu in Zukunft Best Practices entwickeln, aber ob man als Einzelunternehmer noch in der Lage sein wird so was zu stemmen, bezweifle ich.
für das Newsletter-Marketing
Das Newsletter-Marketing ist wohl der Bereich, bei dem sich am wenigsten ändert. Das liegt einfach daran, dass es dort auch jetzt schon strenge Regelungen bezüglich der Einwilligung (Double Opt-In) gibt.
Im Detail muss man natürlich auch hier prüfen, welchen Service man nutzt (Newsletter-Services außerhalb der EU sind problematisch) und ob dieser die Anforderungen der DSGVO erfüllt.
Zudem gibt es in Zukunft stärkere Einschränkung bzgl. der Kopplung von kostenlosen Angeboten und der Newsletter-Anmeldung.
für die Weitergabe von Daten
Die Weitergabe personenbezogener Daten ist auch bisher schon streng geregelt und auch in Zukunft nur mit Einwilligung möglich.
Ein paar kleinere Ausnahmen macht die DSGVO zwar, aber hier sollte man genau hinschauen, was erlaubt ist.
Sonstiges
Sicher werden sich in der Praxis noch weitere Problemfelder ergeben. So sehe ich z.B. bei Kommentaren in Blogs in Zukunft noch einigen Klärungsbedarf.
Viele Content Management Systeme speichern hier die Mailadresse und oft auch die IP der Kommentatoren. Das sind aber Daten, die eine Identifizierung erlauben und deshalb nun strengeren Regelungen unterliegen.
Auf der anderen Seite sollte man einen Kommentar nicht zulassen, ohne eine Möglichkeit dessen Autor im Zweifel identifizieren zu können. Stichwort „Beleidigungen“, „Verleumdungen“ etc..
Ich befürchte, dass es hier in Zukunft zu noch strengeren Auslegungen kommen wird. Ist das der Tot solcher interaktiver Elemente im Netz?
Bedeutet die DSGVO neuen Ärger für Selbstständige im Netz?
In einem abmahnfreundigen Land wie Deutschland kann einem die DSGVO schon ein wenig Sorgen bereiten. Auch wenn manche Dinge darin sehr klar geregelt sind, so sind neue Gesetze (oder in diesem Fall eine Vorschrift) leider oft eine Goldgrube für Abmahnanwälte.
Vieles ist doch recht schwammig formuliert, wie z.B. der ganze Punkt mit den Abwägungen und andere Bereich sind gar nicht so konkret erfasst. Deshalb wird es erst wieder durch konkrete Urteile in vielen Bereichen klarer werden.
Man muss auch sagen, dass manche Sachen für Einzelunternehmer schwer umzusetzen sind. Auch hier wird erst die Praxis zeigen, was wirklich wichtig ist und wie manche Sachen gehandhabt werden sollen.
Ein Beispiel ist der Wunsch eines Nutzers nach zukünftiger Unterlassung des Trackings. Um bei diesem Nutzer in Zukunft keine Daten mehr zu erfassen, muss man diesen ja identifizieren können. Aber das ist ja auch schon wieder eine Art Tracking.
Zumal das z.B. nur über ein bestimmtes Cookie möglich ist, welches der Nutzer aber natürlich wissentlich oder unwissentlich löschen kann. Und dann kann man den Nutzer nicht mehr identifizieren und trackt ihn, weil er ein neuer Nutzer zu sein scheint. Hier wären Maßnahmen auf der Nutzerseite (z.B. Einstellungen im Browser) deutlich zuverlässiger und eindeutiger.
Die europäische Datenschutzgrundverordnung sorgt also für einigen Mehraufwand beim Datenschutz und in einigen Bereich besteht Unsicherheit, wie genau das in Zukunft gehandhabt wird. Allerdings scheint die DSGVO das vergleichsweise kleine „Übel“ zu sein.
Die EU hat Anfang des Jahres einen Entwurf für eine neue E-Privacy-Verordnung vorgelegt, die gleichzeitg mit der DSGVO 2018 in Kraft treten soll (Update: Diese verzögert sich nun doch noch deutlich und wird wohl erst 2019 oder 2020 in Kraft treten). Darin werden konkrete Punkte in der digitalen Kommunikation geregelt. Diese Verordnung ist aber so streng, dass viele schon das Ende des Online-Business kommen sehen.
So soll nach dieser E-Privacy-Verordnung z.B. jeder Cookie, der personenbezogen ist bzw. eine Identifizierung erlaubt, eine aktive Einwilligung (Opt-In) erfordern. Das würde z.B. Google AdSense und das Affiliate Marketing betreffen. Man müsste in Zukunft erstmal um Erlaubnis fragen, in diesem Bereich Cookies einzusetzen. Ebenfalls nötig wäre die Einwilligung wohl bei Google Analyics, auch wenn man die geforderte Anonymisierung der IP-Adresse einsetzt.
Aber die E-Privacy-Verordnung ist nochmal ein ganz anderes Thema, auf das ich in einem zukünftigen Artikel eingehen werde. Schließlich ist hier wohl noch nichts endgültig beschlossen und zudem können die Länder wieder einzelne Dinge anpassen.
Wie gehe ich mit den neuen Datenschutzregelungen um
Bis zum 25.Mai 2018 scheint noch viel Zeit zu sein, aber je nach eigenem Business, sollte man frühzeitig anfangen sich darauf einzustellen.
Ich sammle aktiv keine Daten von Kunden, da ich weder einen Shop habe, noch einen Online-Service oder ähnliches. Dennoch bin natürlich auch ich von vielen Regelungen betroffen.
Wie genau ich auf einzelne Dinge eingehen werde, steht zwar noch nicht fest, aber klar ist, dass ich versuchen werde in Zukunft so wenig Daten wie möglich zu sammeln. Das betrifft natürlich vor allem Einnahmequellen, die Cookies setzen oder sonst irgendwie Daten erheben.
So werde ich z.B. keine Widgets oder ähnliche Werbemittel mehr von Partnerprogrammen einsetzen, sondern nur noch auf normale Textlinks oder Plugins setzen, die ebenfalls keine Daten erheben (z.B. AAWP).
Google AdSense kommt auch auf den Prüfstand, wobei ich mir dabei eigentlich wenig Sorgen mache. Google wird hier schon für die notwendigen Anpassungen sorgen, um es, ähnlich wie Google Analytics, in Zukunft weiter einsetzen zu können. (Update: Ich werde Google AdSense doch erstmal komplett ausbauen.)
Genauer hinschauen muss ich auch bei den verschiedenen Online-Services, die ich nutze. Welche davon enthalten ggf. Daten Dritter und kann man diese noch in Zukunft nutzen?
Die immer umfangreicheren Datenschutzregelungen werden dazu führen, dass ich versuche so wenig wie möglich irgendwelche Daten auf meinen Websites erfassen zu lassen. Privacy bei Design nennt das der Gesetzgeber und ich denke, dass man auch online erfolgreich Geld verdienen kann, ohne massig Daten zu sammeln und durch andere sammeln zu lassen.
Eine Welt ohne Cookies wäre schön, aber ganz vermeiden lassen wird es sich wohl nicht. Aber ich werde zumindest alles ausbauen, was später eine aktive Einwilligung erfordert, da das meiner Meinung nach einfach nicht machbar ist. Oder sollen Website-Besucher erstmal eine Liste durchgehen und Häkchen setzen, welche Cookies sie zulassen und welche nicht?
Ich werde das Thema auf jeden Fall in den kommenden Monaten weiter verfolgen und hier darüber berichten. Auch meine eigenen Maßnahmen diesbezüglich werde ich sicher in dem einen oder anderen Artikel nochmal genauer vorstellen.
Ich würde mich natürlich auch über eure Meinungen, Erfahrungen und zukünftigen Vorgehensweisen diesbezüglich freuen.
[the_ad id=“18198″]