23.01.2018

Gastbeitrag: Wichtige Änderungen im Datenschutz 2018

Ab 25. Mai 2018 gilt die Datenschutzgrundverordnung. Das Datenschutzrecht wurde umfassend neugestaltet. Bisher gelten in den einzelnen Mitgliedstaaten der EU kein einheitliches Datenschutzrecht. Das ändert sich ab Mai 2018.

Die wichtigsten Änderungen

Im Datenschutzrecht kommt der Einwilligung bereits heute eine Schlüsselrolle zu. Wollen Sie z.B. Newsletter verschicken, benötigen Sie dazu die Einwilligung des Empfängers. Aber wie wird sich das Thema „Einwilligung“ im neuen Datenschutzrecht entwickeln?

Anders als heute erfährt der Begriff „Einwilligung“ in Art. 4 Nr. 11 DSGVO eine ausdrückliche Definition. Demnach ist eine Einwilligung

„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

Die Einwilligung hat also freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich zu erfolgen. „Für den bestimmten Fall“ heißt dabei, dass zum Zeitpunkt der Einwilligung klar und bestimmt sein soll, wofür diese erteilt wird – auch bewusst abgegebene pauschale Einwilligungen sind daher nicht wirksam. Hierzu ist eine vorherige transparente Information der betroffenen Person („in informierter Weise“) erforderlich.

Interessensabwägung beim Einsatz von Cookies

Diese Frage ist vor Einsatz des Cookies mittels einer dreistufigen Prüfung zu beantworten:

  1. Gibt es ein berechtigtes Interesse des Online-Händlers?
  2. Ist die beabsichtigte Datenverarbeitung, der Einsatz des Cookies, zur Wahrung dieses Interesses erforderlich?
  3. Überwiegen die Interessen der Betroffenen am Schutz Ihrer Daten dem Interesse des Online-Händlers?

Ein berechtigtes Interesse ist bereits jedes nicht rechtswidrige rechtliche, wirtschaftliche oder ideelle Interesse.

Das Kriterium der Erforderlichkeit lehnt sich an den Grundsatz der Datensparsamkeit an, nach dem Daten nur zu einem Zweck erhoben werden dürfen, wenn sie zu dessen Erfüllung auch tatsächlich erforderlich sind.

Beispiele

Was ist nach alldem also erlaubt? Wo überwiegen die Interessen des Online-Händlers am Einsatz bestimmter Cookies die Interessen der Webseitenbesucher?

  • Bei einem Cookie, der der besseren Nutzerfreundlichkeit einer Webseite dient, werden die Interessen des Online-Händlers die Schutzinteressen der Webseitebesucher regelmäßig überwiegen. Dies kann zum Beispiel eine Merkfunktion für Spracheinstellungen oder den Warenkorb sein. Die Besucher haben selbst ebenfalls ein Interesse an der anwenderfreundlichen Gestaltung der Webseite. Werden nur pseudonyme Daten im Rahmen dieser Cookies (z.B. UserID zur Wiedererkennung) verarbeitet, ist gleichzeitig die Einschränkung der schutzwürdigen Interessen nicht besonders tiefgreifend.
  • Ein Cookie zur Webseitenanalyse, das nach heutiger Rechtslage zulässig eingesetzt wird, kann in der Regel unter der DSGVO ebenfalls über die Interessenabwägung aus Art. 6 Abs. 1 Satz 1 lit. f DSGVO gerechtfertigt werden. Auch hier dürften die Interessen des Online-Händlers an der bedarfsgerechten Gestaltung im Zusammenhang mit einer Verarbeitung pseudonymer Daten überwiegen.

Einsatz von Social Media PlugIns

Das Teilen von Produkten auf Facebook, Instagram und co. ist mittlerweile fester Marketing-Bestandteil von vielen Online-Händlern. Aber darf man nach der Datenschutzgrundverordnung Social PlugIns überhaupt noch einsetzen?

Grundsätzlich bietet die DSGVO die Möglichkeit, Datenverarbeitungen über die sog. Interessenabwägung zu rechtfertigten. Vereinfacht gesagt: Überwiegen die Interessen des Unternehmers an der Datenverarbeitungen den Interessen des Nutzers am Schutz seiner Daten, kann die Datenverarbeitung zulässig sein.

Zu diesem Ergebnis wird man aber bei Social PlugIns nicht kommen.

Also wird man nur über eine ausdrückliche Einwilligung zur Zulässigkeit kommen. Allerdings kann diese nicht wirksam eingeholt werden. Denn der Kunde müsste hierfür ausführlich darüber informiert werden, welche Daten zu welchen Zwecken erhoben und verarbeitet werden. Diese Informationen stellen aber Facebook und Co. nicht zur Verfügung.

Eine alternative Lösung wäre die Shariff-Lösung, da bei dieser keine Daten an die Social Media Plattformen übertragen werden.

Fazit

Die DSGVO hält viele inhaltliche Neuerungen bereit. Und auch die Bußgelder werden drastisch erhöht. In Zukunft drohen Strafzahlungen von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes. Das macht deutlich, dass man sich gut auf das neue Recht vorbereiten sollte, will man Abmahnungen und hohe Bußgeldzahlungen vermeiden.

Über den Autor

Martin Rätze

Studium des Deutschen und Europäischen Wirtschaftsrechts an der Universität Siegen, Abschluss als Diplom-Wirtschaftsjurist, einschließlich einjährigem Auslandsstudium an der National & Kapodistrian University, Athen. Seit Oktober 2008 Mitarbeiter der Trusted Shops GmbH und Autor des Shopbetreiber-Blog.de. Autor zahlreicher weiter Fachbeiträge und Referent zum Thema E-Commerce Recht.