Das Damokles-Schwert
Darum geht es: Am 25. Mai 2018 tritt die europäische DS-GVO in Kraft und bringt neue Pflichten und Regelungen für alle, die Personendaten oder "personenbeziehbare" Daten verarbeiten.
Und das ist jeder, der auf seiner Website z.B. ein Kontaktformular oder gar ein Newsletter-Bestellformular anbietet.
Oder auch nur einen persönlichen Login für die Redakteure seiner Website, sei es TYPO3, Wordpress, ... - auch dies sind Personendaten.
Die Regeln, die sich daraus ableiten, kann man grob in zwei Gruppen einteilen:
- Regeln, deren Einhaltung für Außenstehende nicht erkennbar ist und
- Regeln, deren Einhaltung für Außenstehende erkennbar ist.
Wir sprechen hier vom Typ 2 - Fehler, die von außen sichtbar sind, können und werden zu kostenpflichtigen Abmahnungen führen.
Enorme Summen im Spiel
Nun gibt es Abmahnungen schon immer, und im Grunde auch zu Recht - wenn einer sich nicht an Regeln hält, darf ein anderer (z.B. ein Wettbewerber) ihn durchaus darauf hinweisen und sich entstandene Kosten erstatten lassen.
Neben diesem Anwendungsfall gibt es aber einen weiteren: So genannte Abmahnvereine setzen sich offiziell die Verbesserung der Welt zum Ziel, schreiben möglichst viele Abmahnungen, und dürften von den Einnahmen der beauftragten Anwälte profitieren.
Und dabei geht es nicht um Kleingeld: Jede Abmahnung schlägt mit ein paar hundert Euro zu Buche, und das Potential ist mindestens eine sechsstellige Anzahl von Websites.
Die Welle kommt schnell und massiv
Das Thema "Abmahnwelle" ist nicht neu, war zuletzt gut zu beobachten, als die Impressumspflicht durchgesetzt wurde.
In diesem Fall aber dürfte der Effekt mehrere Ligen größer sein, denn die Abmahner sind inzwischen wesentlich professioneller und bereiten sich seit langer Zeit vor.
Und sie werden möglichst schnell "zuschlagen", um der Erste zu sein und das Geld nicht anderen zu überlassen - es kommt also zu einem Wettrennen der Abmahner.
Zu diesem Zweck wird längst das Web automatisiert nach abmahnbaren Websites durchforstet: In Logfiles kann man einen spürbaren Anstieg an Zugriffen z.B. auf Kontaktformulare feststellen.
Was lernen wir daraus? Unbedingt am 25.5. fertig sein, sonst kann am 26.5. die Abmahnung im Briefkasten sein!
Gefahr erkannt, Gefahr gebannt
Vorab wie immer der Hinweis: Wir berichten hier unverbindlich von Meinungen, Beispielen und Erfahrungen, können aber keinesfalls verbindliche Rechtsberatung geben!
Im Prinzip ist die Sache übersichtlich:
Für außenstehende interessant sind generell nur solche Seiten, die entweder
a) Online-Formulare beherbergen oder
b) einen Login bieten.
Ist eines von beiden gegeben, wird der Abmahner nach
- Datenschutzerklärung und
- durchgehende SSL-Verschlüsselung
schauen - beide dürften in diesem Falle verpflichtend sein (und sind relativ zu erfüllen.)
Im Falle (a), also bei Online-Formularen, muss dann genauer hingeschaut werden: Findet hier wirklich eine relevante Datenerhebung statt? Bei rein anonymen Daten zieht die DS-GVO gar nicht, also kein Problem.
Ansonsten ist nun für jedes Formular die rechtliche Bewertung mit deren Folgen durchzugehen, die ich hier nur andeuten kann. Kernfrage:
Um welchen Erhebungstatbestand handelt es sich überhaupt? Neben "Zustimmung" (dem berühmten Ankreuzfeld) kommen vor allem auch "Berechtigtes Interesse" und "Vertragserfüllung" in Frage und sind oft die besser Wahl!
Von der Entscheidung hängt dann z.B. auch die Informationspflicht am Formular ab, mindestens aber die Verlinkung auf die Datenschutzerklärung darf nicht vergessen werden. Außerdem ist das Thema Datensparsamkeit zu beachten (Beispiel "Newsletterabo": Nur E-Mail und ggf. Name dürfen überhaupt abgefragt werden!), und Pflichtfelder sind klar zu kennzeichnen. Zu den weiteren Themen gehört das vermeintliche "Kopplungsverbot": Wer bestimmte Leistungen (wie "Download eines Whitepapers" oder "Nutzung eines kostenfreien Services") an die Preisgabe von Nutzerdaten koppeln möchte, kann dies zwar weiterhin tun, muss aber bei der rechtlichen Gestaltung sehr sorgfältig sein.
Der um sich greifende "Cookie-Hinweis" ist übrigens nach meinem Verständnis bei uns in den meisten Fällen nach wie vor nicht Pflicht, wenn man nicht gerade Adsense oder DoubleClick nutzt. (Dies hat auch gar nicht direkt mit der DS-GVO zu tun, sondern mit der ePrivacy-Richtlinie und deren Nachfolgering, der ePrivacy-Verordnung. Diese ist derzeit in der EU noch heiß umkämpft, Ausgang und Zeitpunkt ungewiss.) Viele empfehlen dennoch, einen Cookie-Hinweis bereits jetzt einzubauen, um Streitigkeiten vorzubeugen. Na gut... Nun haben wir ihn sogar auf www.bitmotion.de :)