
Am 25. Mai 2018 tritt EU-weit die neue Datenschutz-Grundverordnung, kurz DSGVO, in Kraft. Hier finden Sie einen Überblick über die wichtigsten Themen zur DSGVO-konformen Gestaltung Ihrer Online-Instrumente wie Website, Online Shop, App oder Newsletter.
Die Datenschutz-Grundverordnung formuliert allgemeine Grundsätze, die für die Verarbeitung personenbezogener Daten gelten. Diese Grundsätze bilden somit auch die Grundlage für die DSGVO-konforme Gestaltung im Marketing wie z.B. Ihre Online-Instrumente. Sie besagen,
Umfangreiche Informationen zur DSGVO im Allgemeinen finden Sie unter
www.wko.at/service/wirtschaftsrecht-gewerberecht/Informationen-zur-EU-Datenschutz-Grundverordnung.html
Aufbauend auf den allgemeinen Grundsätzen der DSGVO lassen sich folgende Bestandteile für die DSGVO-konforme Gestaltung von Website, Online Shop, App oder Newsletter erkennen:
Eine umfassende Informationssammlung zur Datenverarbeitung in Online Shops und auf Websites finden Sie unter nachfolgendem Link. In diesem Dokument sind die relevanten Bestimmungen von DSGVO und TKG (Telekommunikationsgesetz) zusammengefasst:
www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html
Die Datenschutzerklärung enthält gesammelt alle Informationen zu Art, Umfang, Zweck und Dauer der Verarbeitung von Daten im Rahmen Ihrer Marketing-Aktivitäten. Ein Muster einer Datenschutzerklärung im Rahmen der DSGVO finden Sie hier:
www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html
Es wird empfohlen, die Datenschutz-Erklärung nicht als Teil des Impressums zu verfassen, sondern sie getrennt unter einem eigenen Link („Datenschutzerklärung“ oder „Privacy Policy“) abrufbar zu machen.
Die gültige Rechtsgrundlage ist ein weiterer Eckpfeiler Ihrer DSGVO-Implementierung. Die Rechtsgrundlage kann dabei die Erfüllung eines Vertrags sein oder eine vorliegende Einwilligung durch den Betroffenen. Geht es bspw. um Newsletter-Anmeldungen oder Kontaktformulare, so ist eine Einwilligungserklärung erforderlich. Formulierungsvorschläge, Gestaltungshinweise und vertiefende Informationen zum Thema „Einwilligungserklärung“ finden Sie in folgendem Dokument:
www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Einwilligungserklaerung-.html
Eine Einwilligung muss lt. DSGVO
Holen Sie sich daher für jeden Zweck eine eigene Einwilligung. Die Einwilligung erfolgt nach dem Prinzip des Opt-in. Sie kann schriftlich oder elektronisch (z.B. durch aktives Anklicken einer Check-Box) oder durch konkludentes, also schlüssiges Verhalten, vorliegen. Sie erfolgt immer zweckgebunden, der Verarbeitungszweck muss also angeführt sein.
NICHT zulässig sind unter anderem:
Cookies werden jene kleinen Textdateien genannt, in denen Informationen notiert und die auf den Endgeräten von Nutzer/-innen gespeichert werden. So bleiben etwa der Inhalt eines Warenkorbs oder Login-Daten gespeichert, was für den User das Surfen komfortabler macht. Cookies können auch für werbliche Zwecke genutzt werden und tracken das Verhalten des Nutzers. Cookies sammeln personenbezogene Daten und unterliegen damit der DSGVO.
Hinweis auf Cookies und Datenschutzerklärung
Die Verwendung von Cookies erfordert dementsprechend wieder eine Zustimmung, wobei hier das konkludente Verhalten in Form der Browser-Einstellungen vorliegen kann. Empfohlen wird daher – wie schon bisher – dass der Website-Besucher beim Beginn seines Website-Besuchs auf die Verwendung von Cookies hingewiesen wird und seine Zustimmung zur Verwendung der Cookies erteilt.
Im Muster der Datenschutzerklärung im Rahmen der DSGVO finden sich Formulierungsvorschläge für den Einsatz von Cookies:
www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html
In der Datenschutzerklärung muss der Webseitenbetreiber laut DSGVO auch auf Cookies hinweisen, genauso wie auf die Möglichkeit, diese Verwendung über die Browser-Einstellungen zu regulieren bzw. Cookies generell zu deaktivieren. Formulierungsvorschläge dazu finden Sie in diesem Dokument:
www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html
Wenn Sie Google Analytics oder andere Analytic-Tools zum Tracking Ihrer Webbesucher/-innen verwenden, erheben Sie damit über die IP-Adresse ebenfalls personenbezogene Daten und geben diese an Dritte (die Anbieter des Analyse-Tools) weiter. Daraus ergeben sich folgende Erfordernisse bzw. Empfehlungen:
Wenn Sie Google Analytics verwenden, so bietet Ihnen Google sowohl Informationen zur Datenverarbeitung als auch ein Muster für einen Vertrag zur Auftragsdatenverarbeitung an. Diesen Vertrag können Sie ausdrucken und an Google schicken. Soweit uns bekannt ist, liegt derzeit nur ein Muster nach dem deutschen Datenschutzrecht vor, das sich aber wiederum auf die gleiche europäische Rechtsgrundlage wie das DSGVO bezieht.
Weitere Informationen von Google gibt es hier:
www.google.com/analytics/terms/de.html
Den Vertrag zur Auftragsdatenverarbeitung finden Sie hier zum Download:
www.google.com/analytics/terms/de.html
Wir haben diese Informationen nach redaktionellen Gesichtspunkten für Sie zusammengestellt, Sie stellen keine rechtsverbindliche Auskunft, Empfehlung und auch keine Formulierungsvorschläge dar. Wenn Sie rechtliche Fragen dazu haben, stellen wir für Sie gerne den Kontakt zu spezialisierten Rechtsanwälten her.
Wir unterstützen Sie gerne dabei, Ihre Online-Instrumente bzw. generell Ihre Marketing-Instrumente DSGVO-fit zu machen. Bitte nehmen Sie Kontakt mit uns auf:
MMag. Bernd Maier, Tel +43 316 831444
Kontaktieren Sie mich per Mail
Datenschutz-Grundverordnung (DSGVO)
„Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kurz Datenschutz-Grundverordnung
Datenverarbeitung (Art. 4/2 DSGVO)
“Verarbeitung” bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.
Gültigkeit
Die DSGVO gilt für alle Unternehmen – ob Einzelunternehmer oder Konzern – mit Niederlassung in der EU sowie jene, die personenbezogene Daten von EU-Bürgern verarbeiten.
Personenbezogene Daten
Dazu zählen u.a. Name, Adresse, Geburtsdatum, E-Mail, Telefonnumer, IP-Adressen, Cookies, Kontodaten aber auch etc. Man unterscheidet nicht-sensible und sensible personenbezogene Daten.
Rechte des Betroffenen (Art. 15 bis 22 DSGVO)
Der Betroffene hat das Recht auf Löschen seiner Daten aus der Datenbank. Neben der Löschung gibt es weitere Rechte wie: Auskunft, Berichtigung, Einschränkung, Datenübertragbarkeit, Widerspruch und Unterlassung automatischer Entscheidungen im Einzelfall inkl. Profiling.
Strafen
Höchststrafen von 20 Millionen Euro oder vier Prozent des globalen Umsatzes (je nachdem, was höher ist)