Webseiten / Online Auftritte:
Die Wirtschaftskammer Österreich hat eine To-Do-Liste für Webseitenbetreiber im Hinblick auf die DSGVO ausgearbeitet. Hier einige Punkte die zu beachten sind:
- Genaue Evaluation welche Daten zu welchen Zwecken erhoben, verarbeitet und wie lange diese gespeichert werden.
- Mit Einwilligungen arbeiten
- Datenschutzerklärung anpassen oder erstellen falls noch keine vorhanden ist.
- Evaluieren, ob die Einwilligung alle erhobenen Daten, Anwendungen und Zwecke genau umfasst.
- Keine vorangekreuzten Checkboxen benutzen.
- Webseiten datenschutzfreundlich und am neuesten Stand der Technik konfigurieren bzw. erstellen.
- Ein Betriebsinternes Daten-Dokumentationssystem einführen
- Auftragsverarbeiter-Verträge schließen bzw. bestehende Verträge adaptieren (z.B. wenn mit Web-Analyse-Tools, wie Google Analytics, gearbeitet wird).
ePrivacy und Cookies
Nein, mit Keksen hat die neue Datenschutzgrundverordnung nichts zu tun. Cookies zeichnen Fußabdrücke und Spuren auf, die Internetnutzer beim Surfen hinterlassen. Cookies verarbeiten beispielsweise personenbezogene Daten wie IP-Adressen. Unter anderem werden auch Werbeeinblendungen und das Navigieren auf Internet-Seiten mit Cookies gesteuert. Die DSGVO (ab 25. Mai 2018) aber auch die ePrivacy-Verordnung (deren in Kraft treten noch aussteht) bieten den privaten Internetnutzern die Möglichkeit, sich selbst zu entscheiden, ob sie den Cookies zustimmen oder eben nicht. Webseitenbetreiber müssen den Nutzern eine Lösung bieten diese Entscheidung aktiv zu treffen.
Social Media
Warum haben Unternehmen einen Auftritt auch in Sozialen-Netzwerken? Ziele sind unter anderem der Vertrauensaufbau zu potenziellen Kunden und natürlich auch die Kundenbindung und Bekanntheitssteigerung des Unternehmens. Durch eine Analyse der Beiträge auf sozialen Medien können Trends frühzeitig erkannt werden und für zukünftige Marketingmaßnahmen und Produktentwicklung aufbereitet werden. Das eigene Unternehmen auf Sozialen Medien zu präsentieren und dabei die eigenen Unternehmensdaten zu veröffentlichen ist eine freiwillige Entscheidung.
Bei Mitarbeiter und Kundendaten sieht die Sache aber schon wieder anders aus. Diese dürfen ohne Einwilligung der betroffenen Kunden (am Sichersten ist natürlich eine schriftliche Zustimmungserklärung), nicht veröffentlicht werden. Facebook-Buttons oder Google Maps werden oft in Webseiten eingebunden und fallen unter die datensammelnden Dienste von US-Anbietern. Diese Dienste müssen nicht gleich von der eigenen Webseite verbannt werden, sondern es muss konkret auf die „Datensammlung“ hingewiesen werden. Wobei dieses Vorgehen nicht komplett neu ist, denn es muss schon bereits heute auf Social-Plugins hingewiesen werden. Bei Messenger-Diensten wie beispielsweise WhatsApp oder Facebook-Messenger ist die Geschichte deutlich komplexer. Es stellen sich konkrete Fragen zu Themen wie Datensicherheit, Datenweitergabe im Konzernverhältnis bzw. ins EU-Ausland und auch über den Datenzugriff. Diese Themen sind aber bei weitem nicht alle, die beachtet werden müssen. Die Entscheidung ob WhatsApp verwendet wird liegt beim Unternehmen, denn im Hinblick auf das Datenschutzgesetzt ist die Nutzung nicht ausgeschlossen. Bezüglich einer Datenweitergabe ins EU-Ausland sind aber die Datenschutz-Richtlinien des Anbieters an datenschutzrechtliche Voraussetzungen gebunden, welche auch von den Verantwortlichen selbst zu überprüfen sind.
Ein weiteres Thema sind Fotos auf Facebook und Instagram. Ein klassisches Beispiel sind Vorher-Nachher-Fotos von Kunden. Werden diese gepostet ohne, dass diese Personen am Foto zu erkennen sind stellt das Foto auch keinen personenbezogenen Datensatz dar. Sind jedoch die Personen zu erkennen, ist auch hier eine schriftliche Zustimmungserklärung vom Kunden die sicherste Variante, Fotos zu posten und bis zu einem möglichen Wiederruf der Einwilligung im Social-Media-Kanal zu behalten. Das Thema Social-Media und DSGVO ist eine „never ending story“ und fordert viel Zeit und Geduld von allen Betroffenen.
Newsletter/ Mail Versand
Tatsache ist: Wer ein Unternehmen hat verschickt meistens auch Newsletter. Dieses Thema wirft im Zusammenhang mit der Datenschutzgrundverordnung einige wichtige Fragen auf. Beispielsweise stellt sich die Frage, welche Arten von E-Mails dürfen überhaupt versendet werden und wie sieht die Versendung eigentlich aus? Zum Schutz der Internet-Nutzer sind einige Arten der E-Mailversendung nicht erlaubt, andere wiederum schon. Bei E-Mails die an mehr als 50 Empfänger (Massen Mails) oder Mails zum Zweck der Direktwerbung (Werbe Mails) verschickt werden, muss grundsätzlich die Zustimmung des Empfängers eingeholt werden.
Dabei gibt es drei unterschiedliche Möglichkeiten:
- E-Mails werden mit der Einwilligung des Empfängers versendet
- E-Mails werden ohne Einwilligung an bis zu 50 Empfänger versendet, aber nur dann, wenn diese nicht der Direktwerbung dienen
- Das Senden von E-Mails ohne die Einwilligung der Kunden (dies gilt aber nur, wenn besondere Voraussetzungen erfüllt sind!)
- Mehr Informationen: Emails richtig versenden (WKO)
Zwei Tipps der Wirtschaftskammer Österreich zum Newsletter-Versand:
Verbot anonymer Absenderadressen dh. der E-Mail-Absender muss deutlich ersichtlich sein. Werbung muss immer deutlich gekennzeichnet sein. Auch bei E-Mails müssen bestimmte Angaben enthalten sein, wie:
- Name/Firma (bei Einzelunternehmen beides)
- lt. Firmenbuch bzw. Standort der Gewerbeberechtigung
- Rechtsform (nur bei Firmenbucheingetragenen Unternehmen notwendig)
- Firmenbuchnummer
- Firmenbuchgericht
- Bei Angaben über das Geschäftskapital – dann Stammkapital und Betrag der nicht einbezahlten Einlagen angeben.
Wenn Aussendungen mindestens viermal im Kalenderjahr in ähnlicher Form elektronisch verarbeitet werden (E-Mail-Newsletter) muss lt. Mediengesetz im Newsletter ein Impressum angeführt werden. Gleiches gilt, wenn eine DVR-Nummer (siebenstellige Registriernummer, die das Datenverarbeitungsregister vergibt) vorhanden ist.
Sollten E-Mails unerlaubt versendet werden drohen Geldstrafen im Zusammenhang mit sogenannten Verwaltungsübertretungen. Weitere Rechtsfolgen sind nicht auszuschließen. Deshalb gilt auch beim Versenden von E-Mails, immer einen Blick in das Mediengesetzt und die DSGVO zu werfen oder kompetente Partner um Unterstützung in diesen Bereichen zu bitten.
E-Commerce und Web-Shops
Wichtig ist es, sich als Betreiber eines Web-Shops mit der neuen Datenschutzgrundverordnung vertraut zu machen, um dann entsprechend auf das neue Gesetz notwendige Änderungen vorzunehmen. Zu beachten ist auch, dass die neue Datenschutzgrundverordnung immer im Zusammenhang mit dem Telekommunikationsgesetz (TKG) gilt. Ein weiterer Punkt ist in naher Zukunft das e-Privacy Gesetz, welches derzeit noch auf EU-Ebene überarbeitet wird. Besonders zu beachten ist im Zusammenhang mit Web-Shops und Webseiten, die Verarbeitung personenbezogener Daten. In jedem Web-Shop werden grundsätzlich personenbezogene Daten verarbeitet. Dies gilt auch dann, wenn zum Beispiel Cookies gesetzt werden. Wichtig zu wissen ist auch, dass IP-Adressen (egal ob statisch oder dynamisch) als personenbezogene Daten gelten.
Voraussetzung dafür ist, dass alle Informationen und Mitteilungen bei der Verarbeitung personenbezogener Daten leicht zugänglich und verständlich bzw. in klarer Sprache verfasst sind. Für die Umsetzung von Informationspflichten hat die Wirtschaftskammer ein Muster Muster-Datenschutzerklärung (WKO) zur Datenschutzerklärung erstellt. Die Erklärungen zu den einzelnen Punkten liefert erneut die Wirtschaftskammer Österreich: Information Datenverarbeitung (WKO)
Achtung:
Der Datenverarbeiter (Webseiten-Betreiber, „Verantwortlicher“) ist für die Einhaltung der oben genannten Grundsätze verantwortlich und muss diese Einhaltung auch nachweisen können (Rechenschaftspflicht). Zur Rechtmäßigkeit der Datenverarbeitung zählt unter anderem die sogenannte „Einwilligung“ durch den Betroffenen (Nutzer der Webseite oder Kunde des Online-Shops). Die „Einwilligung“ ist somit eine Rechtsgrundlage. Natürlich gibt es weitere Rechtsgrundlagen, bei denen dann in der Folge zwischen „sensiblen Daten“ und „nicht sensiblen Daten“ unterschieden wird. Welche Rechtsgrundlagen bei einem Web-Shop typischerweise zur Anwendung kommen und welche nicht, hat wiederum die Wirtschaftskammer genau zusammengefasst und kann hier: Information (WKO) nachgelesen werden.
Nutzer müssen nicht nur über den ursprünglichen Verarbeitungszweck informiert werden, sondern auch über andere Zwecke. Informiert werden Nutzer zum Beispiel in einer Datenschutzerklärung. Wenn keine anderen Rechtsgrundlagen vorhanden sind, ist von der betroffenen Person eine Einwilligung einzuholen. Davor ist in jedem Fall zu prüfen ob eine andere Rechtsgrundlage für die Datenverarbeitung bereits vorliegt, denn dann wäre keine Einwilligung notwendig. Aber auch hier ist besondere Vorsicht geboten!!!
Einwilligungserklärungen die schon vorformuliert sind und bereits ein zustimmendes Häkchen enthalten, gelten NICHT als gültige Einwilligungserklärung!
Insbesondere ist es wichtig, sich für jeden Verarbeitungszweck eine gesonderte Einwilligung einzuholen! Dabei unbedingt auf das Kopplungsverbot achtgeben. Eine datenschutzrechtliche Einwilligungserklärung in den AGB’s festzuhalten ist eine schlechte Idee, am besten ist es diese textlich abzugrenzen.
Auch im Bereich Web-Shop ist das Thema „Cookies“ (vorheriges Kapitel) besonders zu beachten. Auch beim virtuellen Einkauf werden Cookies eingesetzt. Webseiten-Betreiber die auf ihren Seiten keine Cookies verwenden, müssen diesen speziellen Bereich auch nicht beachten. Natürlich kommt auch beim Thema Cookies eine Einwilligungserklärung zum Einsatz. Dabei muss darauf geachtet werden, dass der Betroffene (Webseiten Nutzer, Kunde im Web-Shop) ein „aktives Verhalten“ setzen muss (=Opt-in-Lösung). Wenn Kästchen bereits vorausgefüllt sind, ist die Einwilligungserklärung ungültig. Eine Checkliste für Cookies und Web-Analyse im Webshop findet man unter: Checkliste (WKO). Cookies speichern sowohl personenbezogene- und auch nicht personenbezogene Daten. Sobald aber mit den in Cookies gespeicherten Infos ein Bezug zu einer Person hergestellt werden kann, MÜSSEN datenschutzrechtliche Pflichten beachtet werden!
Allgemeine Informationspflichten für Websites und Webshops (laut ECG)
- Infos müssen leicht und unmittelbar zugänglich sein
- Namen und Firma enthalten
- Eine geografische Anschrift, wo die Firma niedergelassen ist enthalten
- Kontaktinfos mit denen der Kunde (Nutzer) direkt mit dem Anbieter des Dienstes in Verbindung treten kann (inkl. E-Mailadresse)
- Firmenbuchnummer und Firmenbuchgericht, sofern vorhanden
- Zuständige Aufsichtsbehörde
- Kammer (z.B. Wirtschaftskammer)
- Umsatzsteueridentifikationsnummer (UID), sofern vorhanden
- Preise müssen leicht les- und zuordnenbar sein (lt. Preisauszeichnungsgesetz)
- AGB, wenn diese verwendet werden
Informationspflichten bei Werbung
- Muss klar erkennbar sein
- Auftraggeber der Werbung muss erkennbar sein
- Angebote zur Absatzförderung wie z.B. Zugaben und Geschenke müssen erkennbar ausgewiesen sein
- Preisausschreiben und Gewinnspiele müssen als solche erkennbar sein und einen Zugang zu den Teilnahmebedingungen enthalten.
Informationspflichten für Web-Shops
Web-Shops müssen zusätzlich klar, eindeutig und verständlich informieren über:
- Die einzelnen technischen Schritte, die zur Vertragserklärung des Nutzers und zum Vertragsabschluss führen.
- Den Umstand, ob ein Vertragstext nach Vertragsabschluss gespeichert wird und ob man Zugang zu einem solchen Text erhält.
- Die technischen Mittel zur Erkennung und Berichtigung von Eingabefehlern vor Abgabe der Vertragsablärung (das sind Angaben, wie der Kunde seine Bestellung gegebenenfalls ändern bzw. korrigieren kann – z.B. eine „Zurück“ Funktion)
Auch dazu hat die Wirtschaftskammer eine Umfangreiche Information zusammengestellt: Informationspflichten (WKO). Aber auch das Telekommunikationsgesetz und das Fern- und Auswärtsgeschäfte-Gesetz (FAGG) sehen weitere Informationspflichten vor.
Wie immer gilt, wenn man in Eigenregie nicht weiterkommt, unbedingt professionelle Hilfe in Anspruch nehmen.
Haftungsausschluss/Disclaimer
Die Darstellungen in diesem Blog-Artikel ersetzten keine Rechtsberatung. Der Autor (die media cube communications GmbH) übernimmt keinerlei Gewähr für die Aktualität, Richtigkeit und Vollständigkeit der bereitgestellten Informationen in diesem Blog-Artikel. Wir haben uns mit den Bestimmungen der DSGVO zwar intensiv beschäftigt, um die Regelungen für unsere Web-Seite umsetzen zu können, sind aber weder Jurist noch Datenschutzexperten. Haftungsansprüche gegen den Autor, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen, sofern seitens des Autors kein nachweislich vorsätzliches oder grob fahrlässiges Verschulden vorliegt. Alle Angebote sind freibleibend und unverbindlich. Der Autor behält es sich ausdrücklich vor, Teile der Seite oder das gesamte Angebot ohne gesonderte Ankündigung zu verändern, zu ergänzen, zu löschen oder die Veröffentlichung zeitweise oder endgültig einzustellen.
Verweise und Links
Bei direkten oder indirekten Verweisen auf fremde Webseiten („Hyperlinks“), die außerhalb des Verantwortungsbereichs des Autors liegen, würde eine Haftungsverpflichtung ausschließlich in dem Fall in Kraft treten, in dem der Autor von den Inhalten Kenntnis hat und es ihm technisch möglich und zumutbar wäre, die Nutzung im Falle rechtswidriger Inhalte zu verhindern. Der Autor (die media cube communications GmbH) hat keinen Einfluss auf Inhalt und Gestaltung der verlinkten Seiten. Die Nutzung von Links, die zu Seiten außerhalb der media cube communications GmbH betriebenen Webseiten führen, erfolgt auf eigenes Risiko der Nutzer.