EU-Datenschutz – was kommt auf Webseitenbetreiber und Webshops zu?
Am 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (EU-DSGVO) bindend geltendes Recht in allen Mitgliedsstaaten der Europäischen Union. Die neue Verordnung verstärkt in vielen Bereichen die Rechte von Betroffenen und verschärft auf der anderen Seite den Pflichtenkreis bei den datenverarbeitenden Verantwortlichen. Sie löst einen Großteil der nationalen Vorschriften ab, lässt dennoch über Öffnungsklauseln auch Raum für Konkretisierungen durch den nationalen sowie den europäischen Gesetzgeber zum Beispiel mit der ePrivacy-Verordnung. Daneben droht sie bei Datenschutzverstößen mit drastisch erhöhten Bußgeldrahmen von bis zu 20 Millionen Euro, beziehungsweise 4 % des weltweiten Vorjahresumsatzes. Was müssen speziell Webseiten- und Shopbetreiber zukünftig beim EU-Datenschutz beachten?
EU-DSGVO – Datenschutzerklärung rechtskonform gestalten
Da nach den Erwägungsgründen der EU-DSGVO bereits IP-Adressen als Online-Kennung personenbezogene Daten darstellen, fällt allein die Bereitstellung einer Website außerhalb rein familiärer und persönlicher Zwecke inhaltlich in den Geltungsbereich der neuen Verordnung. Auch räumlich ist letzterer weit gezogen, weil es für die Geltung nicht auf den Sitz des Betreibers ankommt. Vielmehr reicht es für die Anwendung der EU-DSGVO aus, dass jemand in der EU Waren und/oder Dienstleistungen anbieten will. Wichtig für Webseiten-Shop-Betreiber ist, dass Auftragsverarbeiter im Rahmen der EU-DSGVO stärker in den datenschutzrechtlichen Pflichten- und Haftungsbereich einbezogen werden. Deshalb sollten die Betreiber von Webseiten/Webshops als potentielle Verantwortliche der Datenverarbeitung bei der Auswahl eines Webhosters dessen Datenschutzkonformität ebenfalls einer Prüfung unterziehen. Der Webhoster gilt hier als Auftragsverarbeiter, der gemeinsam mit dem Website-Betreiber für datenschutzrechtliche Unterlassungen/Fehlleistungen einsteht.
Aktiv werden müssen Webseiten-Shop-Betreiber vor allem in Bezug auf eine mögliche Neufassung ihrer Datenschutzerklärung in Anpassung an die EU-DSGVO und den EU-Datenschutz. Hier sind vor allem die Art.12-14 EU-DSGVO zu beachten, besonders der umfassende, sehr in die Tiefe gehende Informationspflichtenkatalog in Art.13 EU-DSGVO. Bei der Abfassung der Datenschutzerklärung sollten schwerpunktmäßig unter anderem die Themenbereiche Registrierungsmöglichkeiten, Logfiles, der Einsatz von Cookies und von Analyse- sowie Trackingdiensten Berücksichtigung finden. Zu beachten ist auch, dass bei Webseiten, die sich vorwiegend an Kinder richten, datenschutzrechtliche Informationen in einer kindgerechten Sprache gefasst werden müssen. Einige Handlungspflichten für Websitebetreiber im Kontext der EU-DSGVO folgen aus sehr allgemeinen Grundsätzen der neuen Verordnung. So ist im Zuge von geforderter Datenminimierung und dem Grundsatz der Vertraulichkeit eine Verschlüsselung bei der Übertragung der Daten über Kontaktformulare unverzichtbar.
Datenschutzkonformität sollte auch beim zustimmungspflichtigen Einsatz von Social Media Plug-ins hergestellt werden.
EU-DSGVO – Proaktives Handeln gefragt
Im EU-Datenschutz ist zunehmend eine vorausschauende Aktivität bei der Einhaltung eines hohen Datenschutzniveaus auch beim Webauftritt Pflicht. So sollten Webseiten zukünftig nach dem aktuellen Stand der Technik besonders datensicher gestaltet sein. Ferner sollten sich Webseitenbetreiber darauf einrichten, dass personenbezogene Daten auf Wunsch des Betroffenen an ein anderes Unternehmen übertragen werden müssen. Der Zustimmung des Dateninhabers kommt ebenfalls eine weitaus höhere Bedeutung zu als bisher. Schließlich muss der Webseiten-Shop-Betreiber für eine überzeugende Dokumentation seiner datenschutzrechtlichen Bemühungen und Vorkehrungen sorgen. Außerdem sind datenschutzrechtliche Routinen für den Fall eines meldepflichtigen Datenschutzrechtsverstoßes zu entwickeln, weil die neue Verordnung die entsprechenden Melde- und Informationspflichten weit fasst.
Nicht nur die EU-DSGVO kommt, sondern auch ePrivacy
Viele Vorschriften der neuen EU-DSGVO sind nicht konkret auf Websites zugeschnitten. So fehlen Details zu Fragen wie Cookies, Big Data und ähnlichen Themen. Hier sieht unter anderem die ePrivacy Verordnung weitere Detailregelungen im EU-Datenschutz vor. Deren Entwurf liegt noch bei den nationalen Staaten zur Prüfung vor, so dass sie nicht wie geplant gleichzeitig mit der EU-DSGVO im Mai 2018 bindend werden wird. Geht der Entwurf der EU-DSGVO wie jetzt vorgesehen durch, kommt es zu weiteren Konkretisierungen im EU-Datenschutz. Webseitenbetreiber müssen sich dann darauf einrichten, dass der Cookie-Einsatz damit europaweit als zustimmungsbedürftige Opt-In Lösung geregelt ist.
