Das wichtigste zur DSGVO

DSGVO einfach und verständlich erklärt

An allen Ecken und Enden des Internets sehe ich immer mehr Cookie oder Datenschutz-Banner. Dies kommt nicht von ungefähr, denn die DSGVO (Datenschutz Grundverordnung) ist nun fest im europäischen Gesetz verankert. Aber was fällt unter den Datenschutz und was nicht? Muss ich etwas anpassen und wenn ja, was? Wenn du diesen Post gelesen hast, habe ich dir die Grundlagen der DSGVO einfach und verständlich erklärt.

Da dieser Post sehr ausführlich ist, ist er in verschiedene Abschnitte unterteilt. Du kannst mit den untenstehenden Anker-Links direkt auf einen jeweiligen Abschnitt springen. Sie dir aber bewusst, dass dies erst die Spitze des Eisberges ist, aber dennoch alles einfach und verständlich erklärt.

Breaking News

1) Mein persönlicher DSGVO Grundsatz

In der Schweiz ist die DSGVO noch nicht so stark angekommen wie in Deutschland oder den restlichen europäischen Staaten. Trotzdem müssen wir auch auf der Hut sein, damit wir nicht plötzlich eine Busse bekommen. Auch hier gilt der Grundsatz: «wo kein Kläger, da kein Richter». Und für kleine Unternehmen oder Vereine ist es sicher nicht so strikt wie für Cloud-Anbieter oder grosse Unternehmen wie Google, die bekanntlich Datenkraken sind.

Man muss sich immer bewusst sein, wann etwas unter den Datenschutz fällt und wann nicht. Hier gilt zu beachten, dass wenn ich etwas für mich selbst mache, dass wesentlich unkomplizierter ist, als wenn ich Daten, Bilder, etc. als Unternehmen veröffentlichen will! Im Allgemeinen will ich sagen, dass wenn du etwas veröffentlichen willst, du über die DSGVO Grundlagen informiert sein solltest.

EU-DSGVO Datenschutz-Grundversorgung

2) Geschichte der DSGVO

Bei der DSGVO handelt es sich um eine vom europäischen Gesetzgeber erlassenen Verordnung. Zwar war diese bereits am 25. Mai 2016 in Kraft getreten, jedoch wurde sie erst am 25. Mai 2018 wirksam. Im Unterschied zu seinem Vorgänger, der europäischen Datenschutz-Richtlinie aus dem Jahre 1995, ist eine EU-Verordnung direkt an allen Mitgliedsstaaten der Europäischen Union anwendbar. Daher kann sich nun beispielsweise jeder Bürger direkt auf die Rechte berufen, die ihm nach der DSGVO zustehen.

Eine der vielleicht wichtigsten Neuerungen, die die DSGVO mit sich bring, sind die deutlich gestiegenen und nunmehr abschliessend geregelten Informationspflichten bei der Datenverarbeitung. So sind die von der Verarbeitung betroffenen Personen beispielsweise darüber informiert, welche Daten zu welchem Zweck verarbeitet werden. Dies gehört zu den DSGVO Grundlagen.

EU-DSGVO Datenschutz-Grundversorgung

3) Auf welche Daten bezieht sich die DSGVO?

Nicht jede Datenverarbeitung ist ein Fall für die Regelung der DSGVO. Das Gesetz gilt nur für bestimmte Anwendungsbereiche und Personenkreise.

Die Frage, ob man die gesetzlichen Vorgaben der DSGVO zu beachten hat, hängt massgebend von zwei Voraussetzungen ab. Werden überhaupt personenbezogene Daten verarbeitet? Und, ob man zum Kreis der (juristischen) Personen gehört, an die sich die gesetzlichen Bestimmungen richtet.

Die DSGVO definiert personenbezogene Daten in Artikel 4 als «Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen». Damit ist gemeint, dass die infrage stehenden Informationen einer bestimmten natürlichen Person zugeordnet werden kann. Dies lässt sich am besten in einem kleinen Beispiel zeigen:

  • Identifizierte Person – Wenn die Daten direkt mit der Person verbunden sind oder sich ein solcher Bezug unmittelbar herstellen lässt: «Herr Müller arbeitet bei der Firma Schornstein AG»
  • Identifizierbare Person – mithilfe von Zusatzwissen kann die Person ausfindig gemacht werden: «Der Mitarbeiter mit dem Kürzel «psu» hat letzten Monat zehn Überstunden geleistet»

Es reicht also schon, wenn eine Person mithilfe der zur Verfügung stehenden Daten identifiziert werden kann, damit es unter die DSGVO fällt!

Hier folgen einige Beispiele was personenbezogene Daten sind:

  • Name, Adresse, Alter, Geburtsdatum, Familienstand
  • Telefonnummer, E-Mail-Adresse, IP-Adresse
  • KFZ-Kennzeichen, Kontonummer
  • Bild einer Person
  • Unterschrift
  • Zeugnisse
  • Positionsdaten
  • Kaufverhalten
  • Aufzeichnung von Arbeitszeiten

Beispiele für besondere Kategorien bei denen verschärfte Vorschriften gelten:

  • Gewerkschaftszugehörigkeit
  • Politische Meinung
  • Genetische / Biometrische Daten
  • Gesundheitsdaten (Zum Beispiel auch Brillenstärke in der Kundendatenbank eines Optikers)
  • Rassische und ethnische Herkunft (z.B. Checkbox «Asylbewerber» in der Datenbank eines Bildungsunternehmens)
  • Religionszugehörigkeit

Datenschutzrechtlich nicht relevante Daten, die nicht personenbezogen sind, fallen nicht unter den Datenschutz:

  • Anonyme / anonymisierte Daten
  • Lagerbestände
  • Verkaufsdaten (reine Materialwerte)
  • Reine Firmendaten (Vorsicht: nicht bei Nennung von Ansprechpartnern im Unternehmen)
  • müller@schronsteinag.xy (personenbezogen also relevante Daten)
  • vertrieb@schronsteinag.xy (nicht personenbezogen also nicht relevante Daten)
Auskunft

4) Auskunftspflichten der DSGVO einfach und verständlich erklärt

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die Person ein Recht auf Auskunft über die personenbezogenen Daten und auf weitere Informationen (Art. 15 DSGVO). Das heisst, das ich, der Daten von meinen Kunden speichere, laut DSGVO Grundlage diverse Auskünfte geben muss. 

Zum Beispiel eine Kopie seiner Daten:

  • Bitte stellen Sie mir kostenfrei eine Kopie meiner bei Ihnen gespeicherten personenbezogenen Daten zur Verfügung. Sofern ich den Antrag elektronisch stelle und nichts anderes vermerke, so sind mir die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen.

Weiter kann ich zum Beispiele folgendes verlangen:

  • Welche Daten über meine Person werden bei Ihnen gespeichert oder verarbeitet (Personenbezogene Daten wie oben).
  • Weiterhin wollen Sie mich bitte über die Verarbeitungszwecke meiner Daten ebenso informieren wie über die Kategorien personenbezogener Daten, die bezüglich meiner Person verarbeitet werden.
  • Die Empfänger oder Kategorien von Empfänger, die meine Daten bereits erhalten haben oder künftig noch erhalten werden.
  • Die geplante Dauer für die Speicherung meiner Daten, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Dauer.
  • Über das Bestehen meiner Rechte auf Berechtigung, Löschung oder Einschränkung der Verarbeitung meiner Daten, ebenso wie über mein Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DSGVO und mein Beschwerderecht bei der zuständigen Aufsichtsbehörde.
  • Sofern die Daten nicht bei mir erhoben werden, fordere ich Sie auf, mir alle verfügbaren Informationen über Herkunft der Daten mitzuteilen, sowie mir darzulegen, ob eine automatische Entscheidungsfindung einschliesslich Profiling gemäss Art. 22 DSGVO besteht. In diesem Fall wollen Sie mir bitte aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person mitteilen.
  • Wurden meine personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt, wollen Sie mir bitte mitteilen, welche geeigneten Garantien gemäss Art. 46 DSGVO im Zusammenhang mit der Übermittlung vorgesehen sind.

Weiter kann ich mich Fristen und Rechtsfolgen beruhen

  • Auskunftserteilung müssen gemäss Art. 12 Abs. 3 DSGVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Sollte ich innerhalb dieser Frist keine Auskunft von Ihnen erhalten, so werde ich mich an die zuständige Aufsichtsbehörde wenden. Ich mach darauf aufmerksam, dass unterlassene oder nicht vollständige Auskunftserteilungen nach Art. 83 Abs. 5 DSGVO mit einer hohen Geldbusse bestraft wird.

Löschung meiner Daten

  • Weiterhin verlange ich nach Art. 17 DSGVO die unverzügliche Löschung meiner bei Ihnen verarbeiteten personenbezogenen Daten. Die Voraussetzung des Art. 17 DSGVO liegt nach meiner Ansicht vor, sofern ich eine Einwilligung zur Verarbeitung meiner Daten erteilt habe, widerrufe ich diese hiermit, bzw. lege gemäss Art. 21 DSGVO Widerspruch gegen die Verarbeitung ein. Dies gilt ebenso für das Profiling gemäss Art. 22 DSGVO. Lehen Sie die Löschung ab, so haben Sie dies mir gegenüber zu begründen.
  • Sofern Sie meine personenbezogenen Daten öffentlich zugänglich gemacht haben und gemäss Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet sind, haben Sie angemessene Massnahmen zu ergreifen, um sämtliche Empfänger meiner Daten darüber gemäss Art. 19 DSGVO zu informieren, dass ich die Löschung aller Links zu diesen personenbezogenen Daten oder Kopien dieser personenbezogenen Daten verlang habe.
EU-DSGVO Datenschutz-Grundversorgung

5) Folgen für Vereine

Der DSGVO hängt der Ruf an, die ehrenamtliche Arbeit erheblich zu erschweren oder sogar unmöglich zu machen. Tatsächlich gibt es seit dem Wirksamwerden der DSGVO vermehrt Berichte und Meldungen über Vereine, die aus Angst vor Bussgeldern ihre Webseiten abgeschaltet oder ihre Tätigkeiten eingestellt haben.

Das war nicht beabsichtigt, kleine ehrenamtliche Vereine sind nicht der Hauptadressat der neuen Regelung zum Datenschutz. Die Gesetzgeber in Brüssel hatten bei der Ausarbeitung der DSGVO eher grosse Unternehmen und Behörden vor Auge. Dennoch gelten zahlreiche Pflichten der Verordnung auch für Vereine.

Mitgliederlisten dürfen also künftig nicht mehr für jedermann zugänglich offen im Regal aufbewahrt oder auf der Webseite veröffentlicht sein. Computer auf denen personenbezogene Daten sind, müssen Passwort-gesichert sein. Selbst die Büros sollten abgeschlossen werden. Die Webseite sollte darüber hinaus mit einer Datenschutzerklärung ausgestattet werden.

Hier einige Fragen und Antworten zum Thema DSGVO und Vereine:

Frage: Welche Kosten können auf meinen Verein zukommen, wenn der Datenschutz nicht richtig beachtet wird?

Antwort: Dir dürfte aus den Medien bekannt sein, das schon 20 Millionen Euro verhängt wurden. Solche Summen sind jedoch für Grosskonzerne vom Schlage Googles, Facebook, Amazon, etc. gedacht. Der lokale Schuhladen ist zwar nicht vor Bussgeldern geschützt, dies dürfte jedoch deutlich moderater ausfallen und werden letztlich immer an der Schwere des jeweiligen Verstosses orientiert. Adressat eines Bussgeldbescheids ist in der Regel der Verein, denn das Verhalten des Vereinsvorstands und der Mitglieder wird dem Verein zugerechnet. Daneben kommt aber auch eine Haftung des Vorstands oder einzelner Mitglieder in Betracht.

Frage: Muss ich meine Vereinsmitglieder über die Verarbeitung ihrer Daten informieren?

Antwort: Grundsätzlich werden Mitglieder immer informiert, wenn sie nach Auskunft verlangen. Alle seit dem 25.05.2016 neu eintretenden Mitglieder müssen aktiv über die Art und Weise der Datenverarbeitung aufgeklärt werden. Es empfiehlt sich daher, dies direkt mit dem Aufnahmeantrag zu verbinden. Ein Rundbrief an Bestandsmitglieder ist jedoch nicht notwendig, da die Informationspflicht nicht rückwirkend gilt.

Frage: Was muss ein Verein bei seiner Webseite beachten und welche Informationen dürfen online abrufbar sein?

Antwort: Vereine, die sich online präsentieren, benötigen eine Datenschutzerklärung auf der Webseite. Ausserdem gilt die Faustregel das keine personenbezogenen Daten ohne die Einwilligung der Betroffenen veröffentlicht werden dürfen. Das heisst, dass jedes Mitglied zugestimmt haben muss, bevor die Daten veröffentlicht werden.

Frage: Wann müssen Daten gelöscht werden?

Antwort: Wenn Daten nicht mehr benötigt werden, um einen bestimmten Zweck zu erreichen, müssen sie gelöscht werden. Zum Beispiel beim Austritt. Ausnahmen bilden gesetzliche Aufbewahrungspflichten wie beispielsweise steuerrechtliche Gründe.

EU-DSGVO Datenschutz-Grundversorgung

6) Rechtmässige Videoüberwachung nach DSGVO

Die Erfassung von Personen durch Videokameras stellt potenziell einen tiefen Eingriff in die Rechte der Betroffenen dar. Deshalb sollte man vorab genau prüfen (lassen), ob und wie man die Überwachung rechtskonform durchführen kann.

Videoüberwachung definiert der Gesetzgeber als die «Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen». Wesentliches Merkmal ist dabei, dass die Kamera ein Bildsignal überträgt. Irrelevant ist, ob auch eine Aufzeichnung stattfindet oder man lediglich eine Streaming-Lösung wählt. Ebenso wenig macht es einen Unterschied, ob ein flüssiges Video oder in regelmässigen (kurzen) Abständen aufgenommene Einzelbilder übertragen werden.

Unter öffentlichem Räumen versteht man alle Bereiche, die der Öffentlichkeit ausdrücklich oder aufgrund einer nach aussen erkennbarer Zweckbestimmung zugänglich sind. Dies gilt auch, wenn man den Bereich nur nach vorheriger Anmelden oder gegen Entgelt betreten darf, sofern diese Möglichkeiten grundsätzlich jedem offen stehen.

In diesem Sinn sind öffentliche Bereiche daher beispielsweise Bus-Stationen, Tankstellen, Verkaufsflächen von Ladengeschäften, Konzertgelände, Fussballstadien sowie öffentliche Gehwege und Strassen.

Eine rein private Nutzung von Überwachungskameras, zum Beispiel im heimischen Garten, unterliegt nicht der Regelung der DSGVO. Erfasst die Videokamera dabei jedoch auch öffentliche Flächen wie den angrenzenden Gehweg, so sind die Datenschutzrechtlichen Anforderungen zu beachten.

Bei der Videoüberwachung gelten für die Verantwortlichen besondere Hinweispflichten. Personen müssen sich frei entscheiden können, ob sie den überwachten Bereich betreten wollen oder nicht. Hierzu müssen an geeigneten Stellen entsprechende Hinweisschilder gut sichtbar angebracht werden. Inhaltlich müssen diese auf den Umstand der Überwachung hinweisen und die Kontaktdaten des Verantwortlichen aufführen. Die Grösse eines solchen Schildes sollte mindestens DIN A3 betragen. Neben den Kontaktdaten des Verantwortlichen müssen insbesondere Informationen zur Rechtsgrundlage, Zweck, Speicherdauer und Datenweitergabe enthalten sein.

Notebook-Arbeitsplatz

7) DSGVO für Webseiten-Betreiber

Nicht nur Unternehmens-Webseiten oder Online-Shop müssen den Anforderungen der DSGVO genügen, sondern in den allermeisten Fällen auch Blogs und Internetseiten von Vereinen. Denn ohne die Verarbeitung personenbezogener Daten, also Information jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare natürliche Person beziehen, lässt sich keine Webseite betreiben.

Erwägungsgrund 30 der DSGVO stellt klar, dass auch IP-Adresse als «Online-Kennung» und damit als personenbezogene Daten zu werten sind. Dies deckt sich auch mit der Rechtsprechung, dass es sich auch bei dynamisch vergebenen IP-Adresse um personenbezogene Daten handelt. Da der Browser selbst bei einem reinen Lesezugriff auf eine Webseite die IP-Adresse übermittelt, ist allein schon deswegen der Anwendungsbereich der DSGVO eröffnet. Hier gilt natürlich zu beachten, was ich mit diesen Daten anstelle.

Auf dieser Seite geht es ja darum, das dir die DSGVO einfach und verständlich erklärt wird. In Bezug auf Webseiten gibt es sehr viel zu beachten. Darum habe ich diesen Abschnitt in zusätzliche Absätze eingeteilt.

7.1) Impressumspflicht

In der Schweiz ist seit 2012 ein Impressum Pflicht. Darin soll erfasst sein, wer die Webseite betreibt. Dabei ist es nötig folgende Angaben zu hinterlegen:

  • Bei Privaten: Vorname und Name
  • Bei Unternehmen: Inhaber des Unternehmens, Firmenbuchnummer und Gerichtsstand

Ausserdem ist es notwendig, folgende Angaben zu machen:

  • Postadresse (Wohnsitz bzw. Sitz und weitere Adressangaben, Postfachnummer genügt nicht)
  • E-Mail-Adresse
  • Die Telefonnummer kann optional angegeben werden
  • Wer für den Inhalt der Webseite verantwortlich ist.

 Optional ist es sinnvoll zu regeln, wie man bei Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle vorgehen will.

Ausserdem erstelle ich bei den von mir erstellten Webseiten immer je einen Abschnitt für den Haftungsausschluss, die Haftung für Links und die Urheberrechte.

7.2) Die Datenschutzerklärung

Webseiten-Betreiber müssen ihre Besucher mit einer Datenschutzerklärung (auch «Privacy Policy» genannt) über alle Vorgänge aufklären, bei denen sie personenbezogene Daten verarbeiten. Eine solche Erklärung ist schon lange obligatorisch, allerdings muss diese nun mehr der DSGVO entsprechen.

Die Datenschutzerklärung muss etwa die konkrete Rechtsgrundlage für die Datenverarbeitung aus Artikel 6 der DSGVO nennen. Rechtsgründe für die Verarbeitung können zum Beispiel die Bearbeitung eines Kaufvertrages in einem Online-Shop, aber auch berechtigte Interessen des Webseitenbetreibers sein.

Im letzten Fall ist dann auch das konkret verfolgte Interesse zu formulieren. Bei Webseiten-Betreiber kann das beispielsweise das Interesse an der Betriebssicherheit ihrer Webseiten sein. Um Angriffe erkenn und abwehren zu können, dürfen sie dafür die IP-Adressen der Besucher maximal 14 Tage speichern. Dabei muss in der Datenschutzerklärung hingewiesen werden.

Webseiten-Betreiber müssen die Besucher darüber informieren, wo Besucher-beziehbare Daten erhoben und verarbeitet werden. Neben Log-Files zählen auch Geo-Lokalisierungsfunktionen, Registrierungsmöglichkeiten, Kommentarfunktionen, das Abonnement eines Newsletters, die Verwendung von Cookies, die Nutzung von Social-Sharing-Funktionen und die Verwendung von Analyse und Tracking-Diensten dazu.

7.3) Webformulare verschlüsseln!

Bietet die Webseite Nutzern die Möglichkeit, ihre personenbezogenen Daten in Webformulare einzugeben, zum Beispiel in einem Online-Shop während des Bestellprozesses oder beim Registrieren eines Newsletters, muss dieser Vorgang verschlüsselt ablaufen.

Webseitenbetreiber dürfen nach dem Grundsatz der Datenminimierung nur die Daten anfordern, die sie für die jeweiligen Aufgaben benötigen. Bei Newsletter-Anmeldungen solltest du beispielsweise nicht das Geburtsdatum oder die postalische Adresse abfragen. Wie du die Versendung von Newslettern DSGVO konform gestaltest, kannst du unten nachlesen.

7.4) Und was ist nun mit den Cookies?

Der Einsatz von Cookies sorgt schon länger für Verunsicherungen bei Webseiten-Verantwortlichen. Viele Webseiten weisen derzeit durch Banner oder Pop-ups Besucher darauf hin, dass sie Cookies verwenden, wobei diese Hinweisschilder in vielen Fällen entweder nicht erforderlich oder rechtlich nicht einwandfrei gestaltet sind. Da die Cookie-Thematik sehr komplex ist, kläre ich das in einem anderen Abschnitt.

7.5) Vorsicht bei Plugins

Vorsicht ist bei Social-Media-Plugins geboten. Teilweise übertragen diese Daten, auch wenn beispielsweise der Webseiten-Besucher nicht auf den Facebook-Like Button gedruckt hat. Webseiten-Betreibern sollten deshalb genau prüfen, was sie anbieten möchten. Bei Videos von Sharing-Plattformen wie, YouTube, Vimeo oder Facebook-Videos können datenschutzfreundlich eingebunden werden. Denn nur schon das Anzeigen eines Vorschaubildes ist in diesem Sinne ein Zugriff auf eine fremde Datenquelle und kann womöglich personenbezogene Daten übermitteln.

7.6) Webhosting und Webhousing

Heutzutage macht es überhaupt keinen Sinn einen eigen Webserver zu betreiben. Daher müssen auch hier einige Dinge beachtet werden. Ein Webseiten-Betreiber darf nicht ohne Weiteres personenbezogene Daten auf einem von Dritten bereitgestellten «Webspace» speichern. Beauftragt er einen Dienstleister mit dem Hosting seiner Webseite, muss er dafür die Einwilligung der Besucher einholen oder eine andere Rechtsgrundlage schaffen.

Da dies sehr unrealistisch ist, jeden einzelnen Besucher nach seiner Einwilligung zu fragen, ist es sinnvoll den Hoster mit einer Auftragsverarbeitung nach Artikel 28 DSGVO einzubinden. Dies erlaubt dem Webhoster die für die Verarbeitung verantwortlichen Daten, also die Daten des Webseiten-Betreibers, zu verarbeiten. Im Rahmen dieses Konstrukts gilt der Webhoster rechtlich nicht mehr als aussenstehender Dritter, sondern es bezieht ihn in den Verantwortungsbereich des Webseiten-Betreibers ein. Der bleibt damit also selbst «Herr seiner Daten».

Hier einige Fragen und Antworten zum Thema DSGVO für Webseiten-Betreiber:

Frage: Wo platziere ich am besten die Datenschutzerklärung und das Impressum

Antwort: Der Webseiten-Besucher muss die Datenschutzerklärung und das Impressum einfach finden können. Daher empfiehlt es sich diese Punkte im Footer zu hinterlegen. Ausserdem sollte man die Datenschutzerklärung und das Impressum auf zwei verschiedenen Seiten getrennt haben. Der Linktext zu den jeweiligen Seiten muss ausserdem klar sein. Das heisst, der Link sollte zum Beispiel Datenschutzvereinbarungen, Datenschutzerklärung, Datenschutz, etc. heissen.

Frage: Wann muss ich auf die Datenschutzerklärung verweisen?

Antwort: Als Faustregel gilt, überall wo der Webseiten-Besucher aktiv personenbezogene Daten eingeben muss. Also zum Beispiel bei Kontaktformularen, Online-Bestellungen, etc.

Notebook mit Video-Inhalt

8) Sozial-Media, Blogs, Fanseiten, Foren, etc.

Wenn es um die Aussendarstellung geht, kommt kaum ein Unternehmen mehr ohne Facebook, Google, Twitter, Instagram und Co. aus. Gerade für kleinere Firmen oder Selbstständige ist der Betrieb einer sogenannten Fanpage, ein kostengünstiger und einfacher Weg, um mit Kunden in Kontakt zu kommen.

Neben den normalen Funktionen eines eigenständigen Profils stehen Administratoren einer Fanpage verschiedene Statistiken rund um die Seite zur Verfügung. Die Daten aus diesen Insight-Statistiken, wie Alter des Besuchers, Geschlecht, Interaktion mit Beiträgen, etc. können Fanpage-Betreiber nutzen, um Werbung und Inhalte gezielt an seine Besucher auszurichten zu können.

Wichtig dabei ist, dass Fanpage-Betreiber für die Verarbeitung von Daten ihrer Besucher mitverantwortlich sind! Das heisst, sie sind mitverantwortlich für das Sammeln oder Verarbeiten von Daten wie oben beschrieben. Somit reicht die Aussage, «Ich betreibe nur das Grundgerüst und bin nicht für Kommentare, etc. zuständig», nicht aus.

Auch bei der «Gefällt mir» Schaltfläche die Webseiten-Betreiber auf ihren Webseiten einbinden können, ist eine Datenverarbeitung. Denn das Darstellen eines solchen Knopfes kann dazu führen, dass auch ohne das Drücken dieses Knopfes, Daten wie IP-Adressen und Webseitendaten an Facebook und Co. weitergeleitet werden können.

Daher gilt die Faustregel: Wenn der Einsatz von Social-Media-Plugins keine messbaren wirtschaftlichen Vorteile bringt, sollte darauf verzichtet werden.

EU-DSGVO Datenschutz-Grundversorgung

9) E-Mail-Marketing

Grundsätzlich gilt, dass nur E-Mail-Adressen verwendet werden dürfen, die der Kunden bisher über eine DSGVO konforme Methode, zur Verwendung seiner Mailadresse, zugestimmt hat. Jegliche Mail-Adressen die über eine Adressdatenbank, aus Gewinnspielen, Flyern, Visitenkarten oder wenn es sich um gekauft E-Mail-Adressen handelt, sind NICHT zugelassen! Da es sich hierbei um personenbezogene Daten handelt, benötigt der Versender eine in der DSGVO geregelte Rechtsgrundlage.

Anders gilt es natürlich bei einem berechtigten Interesse wie den Versand des Gemeindebriefs einer Kirche, die Einladung zur Veranstaltung einer gemeinnützigen Organisation und andere nicht werbliche Informations-Briefe. Auch Pressemitteilungen per Mail fallen darunter, weil man beim empfangenden Journalisten ein Interesse vermuten darf.

Wichtig zu wissen: Als unlauteren Wettbewerb gilt es als unzumutbare und damit unzulässige Belästigung, Werbemails, ohne vorherige ausdrückliche Einwilligung des Adressaten zu versenden. Diese Regelung hat nichts mit dem Datenschutz zu tun, sondern dient in erster Linie der Vermeidung von Spam.

Der Versender muss daher die E-Mail-Adresse des Empfängers im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen erhalten haben und er darf nur ähnliche Produkte bewerben. Ausserdem muss dem Kunden bei der Erhebung der Daten, sowie in jedem Mailing, auf sein Widerspruchsrecht hingewiesen werden! Dies heisst, dass man im Werbemail einen entsprechenden Opt-out Link platzieren soll. Ausserdem muss man in jedem Werbemail seine komplette postalische Firmenanschrift platzieren!

9.1) Pflichtinformationen einholen

Grundsätzlich gilt, dass der Kunde, wenn er einen solchen Newsletter abonnieren will, diesen freiwillig und in unmissverständlicher Form bestätigen muss. Ein schlichtes «Ja, ich möchte einen Newsletter erhalten», reicht nicht aus. Wenn du dies über eine Checkbox lösen willst, darf diese Checkbox auch nicht vorgängig ausgewählt sein. Diese muss der Kunde selbst anklicke.

Der Einwilligungstext muss alle Datenschutzrechtlichen Pflichtinformationen enthalten. Damit er dennoch einigermassen kurz und verständlich bleibt, setzt man am besten einen Link zur ohnehin notwendigen Datenschutzerklärung der eigenen Webseite ein. Dort muss dann ein ausführlicher Abschnitt zum Newsletter-Versand enthalten sein. Im Einwilligungstext selbst muss erkennbar sein, welcher Inhalt zu erwarten ist. Wichtig ist hier auch wieder der Hinweis auf die Widerrufs-Möglichkeiten.

Wenn sie neben der E-Mail-Adresse zur Personalisierung des Newsletters auch den Namen abfragen, sollten Sie den Grund hierfür ebenfalls kurz im Einwilligungstext erwähnen. Die Erhebung weiterer Daten, wie Geschlecht oder Alter, lässt sich mit dem Grundsatz Datenminimierung jedoch nicht mehr vereinbaren.

Erfasst die Newsletter-Software nicht pseudonymisierte Daten, wann der Empfänger die Mail öffnet und wann er welchen Link darin anklickt, muss der Versender auf dieses Tracking im Einwilligungstext hinweisen!

9.2) Zustimmung nur per Double-Opt-in

Die DSGVO bestimmt, dass der Verantwortliche die Einwilligung in der Verarbeitung personenbezogener Daten nachweisen können muss. Das Double-Opt-in-Verfahren ist daher obligatorisch. Weil der Newsletter-Versand erst startet, wenn der Link in einer Bestätigungs-Mail angeklickt wurde, kann der Absender insbesondere verhindern, dass ein Unbefugter Dritter die E-Mail-Adresse im Anmeldeformular angegeben hat. Die Bestätigungs-Mail selbst darf noch keine Werbung enthalten. Dagegen sollte aber der Einwilligungstext wiederholt werden.

Das Verfahren gilt zu dokumentieren. Das blosse Abspeichern der IP-Adresse eines Newsletter-Abonnenten und die Behauptung, dass eine Einwilligung von diesem vorliege, reicht nicht aus.

Hier einige Fragen und Antworten zum Thema E-Mail-Marketing:

Frage: Ich möchte ein Newsletter-Abonnent in den Kaufprozess meines Online-Shops integrieren. Wie löse ich das rechtlich sauber?

Antwort: Wenn der Versender die Einwilligung während anderer Vorgänge einholt, etwa beim Abschluss eines Kaufvertrags in einem Online-Shop, muss das separat mit einer nicht vorausgefüllten Checkbox erfolgen. Nur so wird das Kriterium der «eindeutigen Handlung» erfüllt. Die Einwilligung darf auch nicht mit dem Abhaken der allgemeinen Geschäftsbestimmungen kombiniert werden. Es empfiehlt sich daher die Einwilligung zum Beispiel auf der «Thank-You-Page» «Nach erfolgreicher Bestellung» anzuzeigen. Oder zum Beispiel in einem Footer.

Ergänzung: Was ich schon viel gesehen habe, ist, dass der Webseitenbetreiber etwas kostenfrei anbietet, aber dass man das Angebot nur beziehen kann, wenn man den Newsletter abonniert hat.

EU-DSGVO Datenschutz-Grundversorgung

10) Cookies

Mit der DSGVO greift das Phänomen der Cookie-Hinweise immer weiter um sich. Kaum ein Webauftritt hat nicht auf der Startseite, beim ersten Besuch, ein Banner der aufpoppt. Dieses wird dann häufig schnell weggeklickt wird, weil es meist die Inhalte der Webseite überdeckt.

Oftmals sind die Banner einfach nur überflüssig, weil sich die Verantwortlichen nicht im Klaren sind, warum man auf der eigenen Webseite überhaupt auf Cookies hinwiesen sollte oder gar, wann man eine Einwilligung einholen muss. Dann wird irgendeine halbgare Erklärung per Copy-and-paste von einer anderen Seite übernommen. Frei nach dem Motto: «Wenn es die anderen so machen, kann es ja nicht falsch sein».

Cookies sind nicht per se datenschutzrechtlich bedenklich. In vielen Fällen ist ihr Einsatz für grundlegende Funktionen der Webseite erforderlich oder zumindest nützlich, etwa um die bevorzugte Sprache, Seiteneinstellungen oder im Falle eines Online-Shops, den Inhalt eines Warenkorbes zu speichern. Darüber hinaus werden Cookies aber auch für Webseiten-Analyse verwendet. So ist es Webseiten-Betreiber möglich, wiederkehrende Besucher zu erkennen und typische Klick-Pfade zu verfolgen.

Ein ehre schlechten Ruf haben Cookies im Zusammenhang mit Online-Werbung. Mithilfe der kleinen Datenpakete tracken werbetreibende Internetnutzer über viele Webseiten hinweg und legen von ihnen individuelle Profile an, um so gezielter personalisierte Werbung anzeigen zu können.

Neben Informationen zur verwendeten Hardware und Software können Cookies auch Informationen beinhalten, die einen Webseiten-Besucher identifizierbar machen. Sprich, IP-Adressen, E-Mail-Adressen, Namen, Telefonnummern, etc. Und an dieser Stelle kommt der Datenschutz ins Spiel. Für den Datenschutz nicht relevant sind somit technisch notwendige Cookies, die keine Wiedererkennung eines Webseiten-Besuchers ermöglichen.

Fotograf mit zwei Frauen

11) DSGVO für Fotografen

Menschen zu fotografieren heisst, personenbezogene Daten zu verarbeiten. Betätigt der Fotograf den Auslöser seiner Kamera und eine Person erscheint vor seiner Linse, benötigt er eine Datenschutzrechtliche Legitimation. Das gilt in der Regel sogar dann, wenn die fotografierte Person nicht eindeutig zu erkennen ist. Denn bei der modernen digitalen Fotografie, kann davon ausgegangen werden, dass anhand zusätzlich gespeicherten Daten eine Person identifiziert werden kann. Datum Uhrzeit und GPS-Daten einer Aufnahme lassen neben dem eigentlichen Bildnis Rückschlüsse zu, wann sich die betroffene Person wo befunden hat. Damit stehen auch Fotografen vor der Aufgabe, die Erfordernisse der DSGVO im Alltag praktikabel umzusetzen.

Datenschutzrechtlich betrachtet ist es grundsätzlich verboten, Aufnahmen von Personen zu veröffentlichen. Möglich ist es laut DSGVO dennoch, wenn eine Erlaubnis vorliegt. Der Fotograf ist daher verantwortlich die nötigen Zustimmungen schriftlich einzufordern. Nur so lässt es sich in einem Streitfall auch klar belegen.

Wichtig zu wissen ist auch, dass eine Einwilligung widerrufen werden kann. Schlimmstenfalls müssten dann bereits veröffentlichte Fotos gelöscht oder geschwärzt werden. Der Widerruf einer Einwilligung nach DSGVO kann ohne Angaben von Gründen erfolgen.

11.1) Fotografieren im Auftrag

Wird ein Fotograf beauftragt Aufnahmen zu machen, darf er die Daten des Auftraggebers für die Erfüllung des Vertrages verarbeiten, das heisst, ihn ablichten. Wie zum Beispiel bei Bewerbungsfotos. Auch für das Brautpaar, das einen Hochzeitsfotografen engagiert hat, gilt diese Rechtsgrundlage. Problematisch wird es bei den Hochzeitsgästen, da sie selbst dem Fotografen nicht den Auftrag und somit die Erlaubnis erteilt haben. Hier kann aber von der Wahrung berechtigter Interessen gesprochen werden. Laut DSGVO liegt ein «berechtigtes Interesse» vor, wenn eine massgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, etwa wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Es lässt sich also gut vertreten, dass man beim Besuch einer Hochzeit, eines Konzerts oder einer Sportveranstaltung vom Vorhandensein einer solchen angemessenen Beziehung zwischen Veranstalter und Besucher ausgegangen werden kann.

11.2) Event-Fotografie

Rechtsunsicherheit besteht insbesondere in der Event-Fotografie, wenn von den abgebildeten Personen keine Einwilligung eingeholt werden kann. Wie zum Beispiel bei Menschenansammlungen im Rahmen öffentlicher Events, wie zum Beispiel eines Konzerts oder einer Sportveranstaltung. Es wird auch gross unterschieden ob es sich dabei um Journalistische Zwecke handelt oder nicht. Dies werde ich hier aber nicht weiter behandeln.

Hier einige Fragen und Antworten zum Thema DSGVO für Fotografen:

Frage: Wie genau ist das nochmals mit dem Widerrufsrecht?

Antwort: Eine datenschutzrechtliche Einwilligungserklärung kann tatsächlich jederzeit frei und ohne Angaben von Gründen widerrufen werden. Für Fotografen ist das ein echtes Problem. Rechtmässig erstellte Bilder dürfen dann nicht mehr genutzt werden. Daher empfiehlt es sich, möglichst nicht auf Einwilligungen zu setzen. Es sollte im Vertrag eine Klausel enthalten sein, die die unwiderrufliche Übertragung vor Verwendungszwecken regelt.

Frage: Ich möchte ein Foto veröffentlichen. Leider habe ich von einer Person, die dort abgebildet ist, keine Einwilligung. Recht es, das Bild zu verpixeln?

Antwort: Fehlt eine erforderliche Einwilligung oder wurde diese vom Betroffenen widerrufen, muss der Fotograf die Bilder, auf denen die Person abgebildet ist, löschen. So sieht es die DSGVO vor. Es genügt in der Regel nicht, das Gesicht der jeweiligen Person zu verpixeln. Denn oft beseitigt die Verpixelung eines Gesichts den Personenbezug nicht. Die vermeintlich unkenntlich gemachte Person bleibt häufig für andere Personen erkennbar. Als Beispiel: Es nützt nichts das Hochzeitspaar zu verpixeln den jeder weiss, wer geheiratet hat.

Frage: Ich möchte Mitarbeiter-Fotos veröffentlichen. Darf ich das ohne Weiteres?

Antwort: Nein. Der Mitarbeite muss zwingend einwilligen. Im Unternehmen muss diese Einwilligung nicht zwingend schriftlich eingeholt werden. Meist genügt es, wenn der Mitarbeiter seine Zustimmung in elektronischer Form erteilt.

Ergänzung(!): Nicht zu empfehlen ist es, eine derartige Einwilligung direkt im Arbeitsvertrag unterzubringen. Eine solche Klausel dürfte aufgrund unangemessener Benachteiligung unwirksam sein. Da dies unter Zwang zustande kommen könnte (ohne Einwilligung kein Job).

Frage: Dürfen Kinder ohne Weiteres fotografiert werden?

Antwort: Bei Kindern unter 16 Jahren muss die Einwilligung der Eltern eingeholt werden! Sollte bei einem Kinder-Fotoshooting nur ein Sorgeberechtigter eintreffen, sollte sich der Fotograf schriftlich bestätigen lassen, dass der erschienene Elternteil entweder mit der Zustimmung des Partners handelt oder das alleinige Sorgerecht hat.

Frage: Muss ein Verein für die Veröffentlichung von Mannschaftsfotos die Einwilligung der Mitglieder einholen?

Antwort: Vereine dürfen Mannschaftsfotos auch ohne vorherige Einwilligung der Mitglieder veröffentlichen, da ein berechtigtes Interesse besteht, über das Vereinsgeschehen zu informieren. Wichtig ist allerdings, dass die Mitglieder über mögliche Fotoveröffentlichungen unterrichtet werden. Zum Beispiel an der Generalversammlung.

Kassenbeleg

12) Beispiele für nach DSGVO verhängte Bussgelder

Wo Bussgelder drohen

  • Anhängig von Landesdatenschutzbehörden. Sehr unterschiedliche «Schärfe» zu erwarten
  • Keine «Datenschutzrazzien» in Unternehmen zu erwarten
  • Möglich sind aber automatisierte Abfragen für Webseiten via Bots
  • Tätigkeit der Aufsichtsbehörden wahrscheinlich bei massenhaften Beschwerden oder hoher öffentlicher Aufmerksamkeit durch Berichterstattung
  • Fehlende Datenschutzfolgenabschätzung bei riskanten Projekten
  • Hohe Strafen sind vor allem bei fehlenden Data-Breach-Meldungen und fehlender Dokumentation und Datenschutz-Folgenabschätzungen zu erwarten

Zusammenfassung

Grundsätzlich gilt: Wo kein Richter, da kein Kläger. Dies sage ich auch allen meinen Kunden. Wenn ich jedoch sehe, dass du eine grosse Newsletter-Kampagne starten willst, oder du Cloud oder Hosting-Angebote hast, ist das eine andere Angelegenheit. Dann müssen wir das vertieft anschauen. Bei den meisten meiner Kunden ist dies aber nicht der Fall.