Cookies, Newsletter, Verträge - so bereiten sich Website-Betreiber auf die EU-DSGVO vor
Ab heute gilt die EU-DSGVO – auch für viele Schweizer Unternehmen. Was bedeuten die neuen Datenschutzregeln für die Betreiber von Websites? An einem Workshop von Plan.net Suisse erhielten die Besucher rechtliche Infos, praktische Tipps und Hinweise zur Umsetzung.
Was bedeutet die EU-DSGVO für Onlineshops und Webaufritte? Wie erreichen Unternehmen auch in Zukunft ihre Kunden im Web? Wie sieht es mit dem Datenschutz aus, wenn man mit IT-Dienstleistern zusammenarbeitet? Die Digitalagentur Plan.net Suisse hat in Zürich einen Tag vor dem Stichtag einen Workshop veranstaltet, der sich um diese und weitere Fragen zum neuen Datenschutz der EU drehte.
In einem ersten Teil zeigte der Anwalt Lukas Bühlmann, Partner bei Meyerlustenberger Lachenal, den rund 70 Besuchern die Auswirkungen der EU-DSGVO auf digitale Kanäle. "Ich träume mittlerweile von der DSGVO", sagte Bühlmann zur Begrüssung. Er sprach damit wohl einigen im Publikum aus dem Herzen.
Kein Weltuntergang
Doch die "Hysterie", die in den vergangenen Wochen die Runde gemacht habe, sei übertrieben. Die EU-DSGVO sei kein Weltuntergang und schon gar kein digitaler EU-Beitritt. Einen entsprechenden Kommentar in der Basler Zeitung bezeichnete Bühlmann als "Bullshit".
Ausserdem bedeute die Verordnung für die Wirtschaft keine Gefahr, sondern ermögliche ausser mehr Datenschutz für den Einzelnen auch mehr Rechtssicherheit. Die EU stelle mit ihr klare Vorschriften auf, was Unternehmen mit personenbezogenen Daten machen dürfen – und was nicht.
Bühlmann erklärte dem Publikum die rechtlichen Hintergründe der EU-DSGVO. Die Verordnung sei für Schweizer Unternehmen jeder Grösse relevant, wenn sie:
durch eine eigene Niederlassung im EU-Raum Daten bearbeiten lassen,
Dienstleistungen oder Waren für Personen mit EU-Wohnsitz anbieten,
das Verhalten von Personen im EU-Raum überwachen oder
Daten von einem Dienstleister im EU-Raum bearbeiten lassen.
Damit betreffe die EU-DSGVO geschätzt 80 Prozent der schweizerischen Wirtschaft, sagte Bühlmann.
Spielregeln der EU-DSGVO
Im Grundsatz halte die Verordnung fest, dass die Verarbeitung von Personendaten künftig unzulässig sei. Damit Unternehmen trotzdem weiter ihren Geschäften nachgehen können, seien aber Ausnahmen von diesem Verbot vorgesehen. Am wichtigsten sei hier die Einwilligung durch den Nutzer, sagte Bühlmann. Dazu kämen eine Reihe von Spielregeln, an die man sich halten müsse.
Transparenz ist eine davon. Sie besagt, dass Nutzer detailliert informiert werden müssen, warum ihre Daten erhoben werden und was das Unternehmen mit ihren Daten macht. Dies geschehe mittels einer neuen Datenschutzerklärung auf der Website. Eine andere Regel ist die Zweckbindung. Sie besagt, dass mit den Daten nichts anderes gemacht werden darf, als ursprünglich angegeben.
Weitere Pflichten und Rechte, die die EU-DSGVO auferlege, seien etwa die Erstellung einer Datenschutz-Folgeabschätzung, die firmeninterne Dokumentierung des Umgangs mit den Daten, das Auskunftsrecht der Betroffenen oder das Recht auf Löschung der Personendaten. Wie die Behörden diese Spielregeln letzten Endes auslegten, werde sich erst in der Rechtssprechung zeigen.
Bürokratisches Monster
Alles in allem hat die EU mit der DSGVO laut Bühlmann einen extremen Formalismus und viel Bürokratie geschaffen. "Da wurde ein Monster geboren", sagte er. Das bedeute aber auch, dass längst nicht alle Rechte und Pflichten im Alltag durchgesetzt würden. Dazu seien die Datenschutzbehörden gar nicht in der Lage.
Das heisse allerdings nicht, dass man die EU-DSGVO nicht ernst zu nehmen brauche. Sollte es etwa zu einem Datenleck kommen, müssten Unternehmen wie gefordert in der Lage sein, ein Verzeichnis der internen Datenbearbeitung vorzulegen. Dessen Pflege sei aufwendig, für die Einleitung von Massnahmen bei "Data Breaches" allerdings notwendig.
Information, Einwilligung, Dokumentation
Was bedeutet das Regelwerk für Website-Betreiber? Ausser der technischen Realisierung der Auskunftspflicht, der Dokumentationspflicht und dem Recht auf Löschung müssten die Nutzer mittels einer Datenschutzerklärung "gut sichtbar" über die Datenbeschaffung informiert werden. Deren Inhalte seien in Art. 13 der Verordnung vorgegeben. Auch wenn die Daten nicht selbst erhoben würden, sondern von Dienstleistern stammten, müsse darüber informiert werden. Die Einzelheiten seien in Art. 14 nachzulesen.
Die Einwilligung zur Datenbearbeitung müsse freiwillig, informiert und in Form einer bestätigenden Handlung vorgenommen werden. Das stelle hohe Anforderungen an die Betreiber, sagte Bühlmann. Stillschweigen, bereits angekreuzte Kästchen im Formular oder sonstige Opt-out-Verfahren seien explizit keine Einwilligungen. Bereits früher gegebene Einwilligungen seien nur noch gültig, wenn die EU-DSGVO bereits damals eingehalten worden sei.
In diesem Zusammenhang riet Bühlmann vom massenhaften Versand von Bestätigungsmails für Newsletter ab, wie er aktuell stattfindet. Die Rücklaufquote solcher E-Mails sei erfahrungsgemäss sehr klein. Wer darauf aber nicht reagiere, sage rechtlich gesehen "nein". Der Idee, man könne einmal unrechtmässig erhobene Daten gewissermassen "heilen", erteilte Bühlmann eine Absage.
Neue Verträge mit Dienstleistern
Ein weiteres Thema ist die Auftragsdatenbearbeitung. Sie sei immer dann relevant, wenn Unternehmen Dienstleistungen von Dritten bezögen, in denen Personendaten verarbeitet würden. Darunter falle ein Newsletter-Versender ebenso wie Google Analytics, Web-Plug-ins oder diverse Cloud-Lösungen wie Microsoft Office 365, Google Docs oder Salesforce. Hier sei es wichtig, Rechte und Pflichten in einem sogenannten "Datenverarbeitungsvertrag" festzulegen.
Vorlagen, wie so ein Vertrag aussehen könne, seien etwa auf der Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen erhältlich. Unternehmen seien gut beraten, nur mit Partnern zusammenzuarbeiten, die eine EU-DSGVO-Compliance gemäss dem "Privacy Shield"-Programm vorweisen könnten, sagte Bühlmann. Bei grossen Anbietern wie AWS oder Microsoft sei das der Fall, obwohl die USA aus EU-Sicht in Sachen Datenschutz als unsicher gelten. Auch hier sei es zudem unerlässlich, alle externen Datenbearbeitungen in der Datenschutzerklärung offenzulegen.
Gefahr von Abmahnungen
Noch unklar sei die Situation aktuell bei den Cookies, sagte Bühlmann. Die EU wolle das Thema mit der "E-Privacy-Verordnung" regeln, die allerdings erst im Verlauf des Jahres 2019 in Kraft treten dürfte. Aktuell müssten Schweizer Websites die Nutzer über die Verwendung und den Zweck von Cookies informieren.
Die Drohkulisse der Sanktionen – bis zu 4 Prozent des globalen Jahresumsatzes oder 20 Millionen Euro – relativierte Bühlmann. Solche Beträge würden nur schwere Datenskandale erreichen. Ein viel wahrscheinlicheres Szenario sei dagegen die Zunahme von Abmahnungen. Firmen könnten versuchen, Konkurrenten wegen Nichteinhaltung der EU-DSGVO abzumahnen.
Matthias Strebel, DSGVO-Verantwortlicher von Plan.net Suisse, gab Tipps zur Umsetzung. (Source: Alexandre Gaeng/Plan.net Suisse)
Websites per SSL verschlüsseln
Die Umsetzung der EU-DSGVO in der Praxis demonstrierte Matthias Strebel, der Datenschutz-Verantwortliche von Plan.net Suisse. Als ersten Schritt riet Strebel, die eigene Website per SSL zu verschlüsseln, damit sie nur noch per HTTPS-Protokoll erreichbar sei. Websites ohne HTTPS würden Inhalte für Hacker sichtbar übertragen und würden dafür von Google und Browsern abgestraft.
Es lohne sich, in ein kostenpflichtiges SSL-Zertifikat mit "Extended Validation" zu investieren, sagte Strebel. Dieses teile den Nutzern im Unterschied zu Gratiszertifikaten die Identität des Seitenbetreibers mit und signalisiere somit Seriosität. Den Zeitaufwand zur Umstellung auf HTTPS gab Strebel mit zwei Tagen an.
Cookie-Auswahl
Bei Web-Cookies empfahl Strebel, nicht nur wie bisher per Banner auf die Tracking-Dateien hinzuweisen, sondern dem Nutzer aktiv die Wahl zu geben, welche Cookies er aktivieren möchte. Dies könne etwa über erweiterte Cookie-Banner geschehen.
Websites müssten dann so konfiguriert werden, dass je nach Entscheidung des Nutzers nur die für den Betrieb notwendigen Cookies (Warenkorb, Login) oder auch weitere zu Marketing- oder Statistik-Zwecken platziert würden.
Das sei nicht nur technisch aufwendig. Remarketing werde damit in Zukunft schwieriger, da nur die wenigsten Nutzer bewusst nicht notwendige Cookies akzeptieren dürften und Browser diese per default blockieren dürften. Noch heikler sei die Nutzung des sogenannten "Facebook-Pixels", da er keine Opt-out-Funktion vorsehe. Strebel riet, hier den "erweiterten Abgleich" zu deaktivieren und die Situation im Auge zu behalten.
Vier Schritte für Google Analytics
Für Nutzer von Google Analytics seien vier Schritte zu machen, sagte Strebel weiter. Erstens müsse, wie von der EU-DSGVO vorgeschrieben, ein Auftragsverarbeitungsvertrag mit Google abgeschlossen werden. Dies geschehe online in den Kontoeinstellungen unter der Rubrik "Zusatz zur Datenverarbeitung".
Zweitens müsse man den Tracking Code anpassen. Dies könnten Nutzer mit der Erweiterung "anonymizeIp" und der Setzung eines Opt-out-Cookie für Google Analytics bewerkstelligen.
Drittens müsse in den Analytics-Einstellungen die Aufbewahrungsdauer der erhobenen Daten festgelegt werden. Dies betreffe nur Daten auf Nutzer- und Ereignisebene, aggregierte Daten seien nicht betroffen. Strebel empfahl eine Dauer von 14 Monaten.
Viertens sei die Datenschutzerklärung so anzupassen, dass sie über die Nutzung von Google Analytics Auskunft gebe. Darin müsse der Umfang der Datenerhebung, die Rechtsgrundlage, die Speicherdauer, das Widerspruchsrecht, das Opt-out-Cookie sowie die Anonymisierung der IP enthalten sein.
Newsletter
Beim Versand von Newslettern müsse künftig neben der Zustimmung zum Empfang der E-Mail auch eine Einwilligung zur Erfassung und Auswertung von personenbezogenen Daten eingeholt werden, wenn eine solche Auswertung stattfinde.
Um Missbrauchsfälle zu verhindern, empfahl Strebel, bei der Anmeldung zum Newsletter auf das "Double Opt-in"-Verfahren zu setzen, bei dem der Nutzer über einen Bestätigungs-Link zweimal zustimmen müsse. Jeder Newsletter müsse ausserdem einen Abmelde-Link, ein vollständiges Impressum sowie ein Verweis auf die Datenschutzerklärung der Website enthalten.
Grundsätzlich sei bei allen Datenerhebungen auf der Website auf Daten-Sparsamkeit zu achten, sagte Strebel. Das bedeute, dass nur diejenigen Angaben abgefragt würden, die für die jeweilige Funktion zwingend notwendig seien. Beim Newsletter wäre das strenggenommen nur die E-Mail-Adresse.
Rechtstexte auf der Website
Das Herzstück der EU-DSGVO-Konformität für jede Website ist laut Matthias Strebel die Datenschutzerklärung. Sie müsse den Anforderungen der Verordnung genügen und auf jeder Seite des Internetauftritts verlinkt sein. Es gebe hierfür deutschsprachige Tools, bei umfangreicheren Datenerhebungen empfahl er allerdings, einen Anwalt beizuziehen.
Ebenfalls auf jeder Seite müssten Betreiber das Impressum verlinken. Werden über die Website Verkäufe getätigt, komme dazu noch eine AGB-Seite, ebenfalls überall verlinkt.