DSGVO

Grund zur Panik? Die Datenschutz-Grundverordnung gilt ab Mai 2018

Veröffentlicht am StephanieVeröffentlicht in Affiliates, Online Business

So langsam macht sich Nervosität breit unter Online Marketern, denn in einigen Wochen tritt die neue Datenschutz-Grundverordnung der Europäischen Union in Kraft. Die Abkürzung EU-DSGVO sorgt bei manch einem für Schweißausbrüchen, bei anderen für Ratlosigkeit. Und bei wieder anderen für Schulterzucken. Aber was soll man davon halten?

Richtig ist: Ab 25. Mai 2018 muss die neue Datenschutz-Grundverordnung in allen EU-Ländern angewendet werden. Sie ist allerdings schon am 25. Mai 2016 in Kraft getreten. Sie betrifft alle Unternehmen, die in der EU ansässig sind oder eine Niederlassung haben.

Bereits jetzt gilt für Unternehmer in Deutschland das Bundesdatenschutzgesetz, das gleichzeitig auch aktualisiert wird. Die EU-DSGVO ist eine EU-weite Verordnung, die in Kraft tritt ohne dass es eine nationale Verordnung braucht. Die deutschsprachige Fassung der DSGVO findest du hier als PDF.

Was ändert sich?

Deutschland hat schon seit einiger Zeit vergleichsweise strenge Regeln, was den Datenschutz angeht. Wer also bisher seine Webseiten datenschutzkonform betrieben hat, sollte keine allzu großen Schwierigkeiten haben, sich der neuen Gesetzeslage anzupassen. Einige Neuheiten sind allerdings einen Blick wert und brauchen gegebenenfalls Anpassungen.

Recht auf Löschung

Das „Recht vergessen zu werden“ ist nicht ganz neu. Kurz gesagt: Wenn ein Nutzer verlangt, dass seine Daten gelöscht werden, dann muss der Betreiber der Webseite sicherstellen, dass das auch wirklich geschieht. Komplett und ein für alle Mal. So sagt es Artikel 17 der DSGVO.

Recht auf Datenübertragbarkeit

Dem Nutzer muss die Möglichkeit gegeben werden, seine Nutzerdaten zu einem anderen Anbieter mitzunehmen. Da die meisten Online-Unternehmer nicht mehr als E-Mail-Adressen und eventuell noch den Namen ihrer Leads haben, dürfte das in der Realität kein Problem sein. Dieses Recht geht aus Artikel 20 hervor.

Die Rechtschaffenheitspflicht

Der Paragraf regelt, dass der Betreiber seine Maßnahmen zum Datenschutz dokumentiert. Im Klartext: Er kann jederzeit eine Auflistung hervorholen, aus der genau hervorgeht, welche Daten gesammelt werden, wo und wie sie gespeichert werden und wie sichergestellt wird, dass sie nicht in fremden Händen gelangen können. Die zuständige Aufsichtsbehörde ist berechtigt, eine solche Dokumentation zu verlangen, steht sinngemäß in Artikel 5 DSGVO.

Bestimmungen zur Einwilligung

Die Einverständniserklärung zur Verwendung von personenbezogenen Daten ist ein wesentlicher Aspekt der DSGVO. Es muss sichergestellt sein, dass ein Nutzer damit einverstanden ist, dass seine Daten (beispielsweise die E-Mail-Adresse) gespeichert werden. Im Großen und Ganzen betrifft es bei Affiliates und anderen Online Marketern das Einsammeln von Adressen in Autorespondern.

Was die Sicherheit der Nutzerdaten in Bezug auf Diebstahl oder Manipulation betrifft, so ist der Dienstleister in der Pflicht. Wer sich bei einem Autoresponder registriert, muss darauf vertrauen, dass dieser mit den Nutzerdaten sorgfältig umgeht. Blindes Vertrauen ist hier aber kein Ausrede – man sollte schon mal nachfragen, welche Maßnahmen der Dienstleister in Hinblick auf die Anforderungen der Verordnung getroffen hat.

Genauso wie der Interessent sein Einverständnis erklärt, muss er dieses auch jederzeit zurückziehen können. Das Opt-Out muss dabei leicht zu finden sein und genauso einfach und zuverlässig funktionieren wie das Opt-In. Autoresponder bieten diese Möglichkeit – der Link sollte natürlich nicht gelöscht oder versteckt werden.

Und was jetzt?

Nun scheint es so, alles wäre damit alles geklärt und geregelt. Datenschutzerklärung anpassen, Opt-Ins und Outs überprüfen, Dokumentation anlegen – fertig. So fürchterlich und bedrohlich ist die neue DSGVO also nicht. Ich denke, für die meisten kleinen Unternehmer wie beispielsweise Affiliates mit Landingpages und Blogs dürften die Anforderungen machbar sein. Vielleicht nicht aus dem Handgelenk, aber mit etwas Recherche und Gründlichkeit ist es keine Raketentechnik.

Wer sich nicht sicher ist, ob er alles richtig verstanden hat und ordnungsgemäß befolgt, tut gut daran, sich einen Expertenrat anzuhören. In diesem Hörbuch geht Andreas Schwarzlmüller auf alle wichtigen Neuerungen ein und übersetzt das „Juristensprech“ in verständliches Deutsch. Für den Preis wird man bei einem Anwalt bestenfalls höflich begrüßt… Hier klicken für das Hörbuch zur DSGVO

Nicht zu vergessen: Nachfragen wie es bei den Dienstleistern aussieht, mit denen man zusammenarbeitet. Auch wenn sich eine direkte Verantwortung eventuell wegdiskutieren ließe, gebietet es die Sorgfalt. Die Verordnung ist etwas nebulös, wenn es um Verantwortung und Maßnahmen geht. Es heißt ausdrücklich, dass es einen Zusammenhang zwischen Risiken und zumutbaren Kosten der Implementierung (also Umsetzung) gibt. Verhältnismäßigkeit ist geboten. Das heißt nicht, dass man gar nichts machen muss. Es bedeutet viel mehr, dass es ein zumutbares Verhältnis zwischen Aufwand und Nutzen geben muss. Lass dir am besten von Andreas erklären, was es zu beachten gilt, denn ich möchte diesen Blog-Artikel nicht so in die Länge ziehen. Im Hörbuch bekommst du viele wertvolle Details und Praxisbeispiele für die Umsetzung. (Darüber hinaus: Ich bin keine Rechtsanwältin. Was ich in diesem Blog schreibe, ersetzt keine fachmännische Rechtsberatung und ist meine persönliche Einschätzung der Situation.) Hier gibt es mehr als ein Dutzend Vorlagen für die Dokumentation und ein Handbuch, wie du vorgehen solltest, um deine Websites an die neue Gesetzeslage anzupassen.

Werden Cookies verboten?

Damit ist es leider noch nicht erledigt. Was die Datenschutzverordnung noch im Ungewissen oder Unklaren lässt, macht die ePrivacy-Richtlinie konkreter. Diese Richtlinie trat erstmals 2002 in Kraft, eine Änderung gab es 2009. Damals wurde sie auch „Cookie-Richtlinie“ genannt. Diese EU-Richtlinie soll im Zuge der DSGVO ebenfalls erneuert werden. Das EU-Parlament hat bereits zugestimmt, fehlt noch der EU-Rat und anschließend muss sie (anders als die DSGVO) noch in nationales Recht umgesetzt werden.

Was dort verabschiedet wurde, ist für die Digitalwirtschaft von weitaus größerer Tragweite. Die Richtlinie im derzeitigen Wortlaut würde Tracking, wie es im Moment eingesetzt wird, praktisch unmöglich machen. Leider sind Cookies momentan der gängige Weg, um Affiliates ihre Verkäufe zuzuweisen und Provisionen auszuzahlen. Außerdem werden Cookies umfangreich eingesetzt, um Herkunft und Verhalten von Besuchern zu analysieren.

Die neue Richtlinie würde es verbieten, Cookies allgemein zu akzeptieren. Jeder Cookie müsste einzeln genannt werden. Außerdem muss die Nutzung der Seite auch grundlegend möglich sein, wenn der Nutzer einen oder mehrere Tracking-Maßnahmen abgelehnt hat. Das wäre für Affiliates fatal, denn ohne Cookie -> keine Provision.

Als Affiliate war ich es allerdings gar nicht selbst, der das Tracking ausgelöst hat. Ich habe eine Webseite. Auf dieser Seite wird kein Tracking eingesetzt. Allerdings gibt es auf der Seite verschiedene Affiliate-Links mit meiner ID darin. Wenn ein Leser draufklickt, wird er auf die Angebotsseite weitergeleitet. Diese Seite setzt die Cookies, unter anderem um mir meine Provision zukommen zu lassen. Aber ich als Affiliate habe keinen Einfluss auf die Art und den Inhalt des Trackings. Ich muss mich darauf verlassen, dass der Hersteller und das Affiliate-Netzwerk eine praktikable Lösung finden, die Besucher nicht abschreckt und mir meine wohlverdiente Provision sichert.

Branchenverbänden haben geschlafen

Seit die neue Richtlinie den Weg ins Parlament gefunden hat, haben verschiedene Beteiligte an Lösungen gearbeitet: Verimi sollte eine Art „digitaler Generalschlüssel“ werden, der von vielen Webseiten eingesetzt werden könnte. Von den verschiedenen Branchenverbände wie dem Bundesverband Digitalwirtschaft und anderen hörte man derweil wenig. Die Aufregung ist groß seit die Richtlinie das Parlament passiert hat. Im Vorfeld hatte die Lobby-Arbeit aber wohl geschwächelt, denn anders ist es nicht zu erklären, dass eine Gesetzesgrundlage geschaffen wurde, die der Digitalwirtschaft so großen Schaden zufügen könnte. Die neue Cookie-Richtlinie würde schließlich nicht nur Affiliates und ihre Provisionen betreffen, sondern alle kommerziellen Webseiten, die Tracking einsetzen – allen voran die Werbewirtschaft und ihre Anzeigen.

Die Bundesregierung hat sich auch kurz zu der neuen ePrivacy-Richtlinie geäußert: Man geht davon aus, dass es vor 2019 keine neue Gesetzgebung gibt. Das ist ein schwacher Trost und (wie so oft) auch keine irgendwie belastbare Aussage, womit in der Zukunft zu planen ist. Wenn man vom Schlimmsten ausgeht, wird das Tracking so gut wie unmöglich. Worst Case Scenario dabei: Die Affiliate-Netzwerke holen nicht rechtzeitig eine technische Lösung aus der Schublade, die eine brauchbare Alternative darstellt. Das wäre tatsächlich eine Katastrophe, bei der aber die Affiliates wohl eher ein Kollateralschaden wären. Andere hätten noch größere Einbußen, aber das ist dann kein Trost.

Die Richtlinie könnte im EU-Rat auch scheitern und abgeschwächt werden. Doch danach sieht es momentan auch nicht aus. Nach der DSGVO kommt also früher oder später die große Unbekannte auf uns zu. Folgen: nicht absehbar. Vielleicht ändert sich durch die nächste Cookie-Richtlinie so gut wie gar nichts oder aber auch fast alles.

Achtung Abmahnung

Die Gefahr der neuen Gesetzgebung geht indes wahrscheinlich nicht so sehr von den Gesetzeshütern aus. Mit der DSGVO wurden horrende Bußgelder angedroht. Aber es ist wohl sehr unwahrscheinlich, dass ein kleiner Affiliate-Blog wegen einer lückenhaften Datenschutzerklärung zu einer Zahlung von 20 Millionen verdonnert wird. Das wäre auch Blödsinn: Der Blogger würde Insolvenz anmelden und damit nie zahlen. Wer aber sicher schon auf der Lauer liegt, ist die Gemeinde der Abmahn-Anwälte. Es geht ihnen nicht um tatsächliche Schäden für Nutzer durch Verstöße. Sie durchsuchen das Netz nach Unmengen von kleinen Webseiten, die ein kleines Manko haben. Die Abmahn-Anwälte verschicken dann massenhaft Abmahnungen und verlangen eine saftige Zahlung, falls der Mangel nicht sofort abgestellt wird. Das Absurde: Es ist niemandem ein Schaden entstanden, aber der Webseiten-Betreiber kann tatsächlich vor Gericht zur Zahlung gezwungen werden. Ein lukratives Geschäftsfeld für Anwälte, die nicht wirklich Mandanten verteidigen wollen, sondern Geld machen.

Weiterführende Links

Zu guter Letzt noch einige Empfehlungen, um dieses Thema zu vertiefen: