Die neue DSGVO: Interview mit Rechtsanwalt Dr. Graf

28. Februar 2018 von Jennifer Rosinke

Die neue Datenschutzgrundverordnung (DSGVO) für den Online-Handel tritt ab dem 25. Mai 2018 in Kraft.

Der Händlerbund befragte Ende 2017 hunderte Online-Händler, ob sie sich bereits mit den Inhalten der neuen DSGVO befasst haben. Das Ergebnis: Lediglich 4% der Befragten gaben an, noch nie etwas von der DSGVO gehört zu haben. Für die restlichen 96% ist das Thema Datenschutzverordnung nichts Neues. Aber: Ein Großteil (61 Prozent) der befragten Online-Händler gab in der Befragung mit Händlerbund an, eher nicht oder gar nicht für die neue Verordnung gerüstet zu sein. Die Änderungen sind vielen Händlern also durchaus bekannt, es hapert allerdings an der Umsetzung.

Was macht die Umsetzung der Änderungen so schwierig? Welche gravierenden Änderungen gibt es überhaupt? Und ist es wirklich so wichtig, sich als Online-Händler auf die neue Verordnung einzustellen? Was kann im schlimmsten Fall passieren, wenn man gegen die Verordnung verstößt? Wir haben mit Rechtsanwalt Dr. Thorsten Graf ein Interview geführt und ihn ausführlich zum Thema DSGVO befragt.

Neue DSGVO - Interview mit Dr. Graf

Die neue Datenschutzgrundverordnung: Änderungen für den Online-Handel

ABAKUS: Herr Dr. Graf, die neue Datenschutzgrundverordnung beinhaltet sehr viele Änderungen. Was sind Ihrer Meinung nach die wichtigsten und gravierendsten?

Aus meiner Sicht ist dies die Einführung einer Rechenschaftspflicht des Verantwortlichen gemäß Artikel 5 Abs. 2, 24 Abs. 1 DSGVO. Die Unternehmen müssen nicht nur die Grundsätze des Datenschutzes umsetzen, sondern auch einen Nachweis dafür gegenüber der Aufsichtsbehörde führen. Es handelt sich dabei um eine Umkehr der Beweislast. Im engen Zusammenhang damit steht die Führung des Verzeichnisses der Verarbeitungstätigkeiten nach Artikel 30 DSGVO. Dieses gilt zum einen bei Unternehmen ab 250 Mitarbeitern, aber auch, wenn die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt. Der Begriff ist allerdings derzeit noch ungeklärt. Im Zweifel sollte man als Unternehmen Rücksprache mit der Aufsichtsbehörde halten. Entscheidend sind natürlich auch die Erhöhung des Bußgeldrahmens und die Einführung weiterer Bußgeldtatbestände. So darf das Bußgeld inzwischen bis zu 4 % des jährlichen weltweiten, konzernweiten Umsatzes sein oder 20 Mio. €, je nach dem, was höher ist. Bislang lag das maximale Bußgeld bei 300.000,00 €.

ABAKUS: Finden Sie denn alle Änderungen sinnvoll? Sind manche Änderungen in Ihren Augen vielleicht sogar unnötig?

Als Rechtsanwalt mache ich mir nicht allzu viele Gedanken darüber, ob alle Änderungen sinnvoll sind. Dabei handelt es sich ja eher um eine philosophische Frage, denn die Änderungen sind nun einmal anzuwenden. Meine Aufgabe ist es, die Unternehmen sachgerecht zu beraten. Natürlich kann man darüber streiten, ob eine Erhöhung des Bußgeldrahmens um den Faktor 66 notwendig und sinnvoll ist. Aber umso wichtiger ist es natürlich zu verhindern, dass es zu Bußgeldern kommt.

Web-Analytics und die DSGVO

Die Artikel 13 bis 14 der DSGVO sehen diverse Informationspflichten vor. Dazu gehört unter anderem auch die Informationspflicht bei der Erhebung von personenbezogenen Daten. Das betrifft auch den Bereich der Web-Analytics, beispielsweise Google Analytics.

ABAKUS: Müssen Unternehmen jetzt Angst haben, Tools wie Google-Analytics zu verwenden? 

Die Nutzung von Google-Analytics ist auch weiterhin gefahrlos möglich, wenn folgende Voraussetzungen erfüllt sind:

  •  Die IP-Adresse des Users muss anonymisiert werden.
  • Auf die Verwendung von Google-Analytics muss der User in der Datenschutzerklärung hingewiesen werden. Dort ist aufzulisten, welche Arten von Daten erfasst werden.
  • Nach der DSGVO steht dem Betroffenen ein Widerspruchsrecht zu. Auf dieses muss ebenfalls hingewiesen werden (Möglichkeit des Opt-Out).
  • Wie schon bislang stellt die Nutzung von Google-Analytics eine Datenverarbeitung durch einen Dritten dar. Deshalb bedarf es eines Vertrags zur Auftragsdatenverarbeitung.
    Google –Analytics darf erst dann eingesetzt werden, wenn der Vertrag zur Auftragsdatenverarbeitung mit Google abgeschlossen ist. Bislang geschieht dies in Papierform. Unter der DSGVO kann dies auch in elektronischer Form erfolgen (Artikel 28 Abs. 9 DSGVO).

ABAKUS: Worauf ist beim Einsatz von Web Analytics Tools generell zu achten?

Beim Einsatz von Web Analytics Tool ist auf die oben genannten Punkte zu achten.

ABAKUS: Und was sagt die neue DSGVO zum Einsatz von Cookies?

Cookies sind personenbezogene Daten im Sinne des Artikels 4 Nr. 1 DSGVO. Dies ergibt sich aus dem Erwägungsgrund 30 der DSGVO:

„(30) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und – Tools oder Protokolle liefern oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“

Umstritten ist, ob eine Privilegierung für die Nutzung von Cookies über § 15 Abs. 3 TMG weiter gilt oder ob die DSGVO vorrangig ist. Ausdrückliche Regelungen zur Verwendung von Cookies finden sich in der DSGVO nicht, nur der genannte Artikel 4 Nr. 1 DSGVO. Es kommt also auf eine Rechtfertigung für den Einsatz der Cookies an, da in der DSGVO der Grundsatz des Verbots mit Erlaubnisvorbehalt gilt. Das bedeutet, dass jede Erhebung von personenbezogenen Daten vom Ausgangspunkt her unzulässig ist und einer Rechtfertigung bedarf. Artikel 6 Abs. 1 LIT  f) DSGVO ist ein derartiger Rechtsmäßigkeitsgrund:

„Artikel 6 Abs. 1 LIT f) DSGVO
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen …“

Es kommt also auf eine Abwägung zwischen den berechtigten Interessen des Webseitenbetreibers und den Interessen oder Grundrechten der betroffenen Person an. Der Webseitenbetreiber kann dann auf seine wirtschaftlichen, rechtlichen und ideellen Interessen verweisen. Wichtig ist dabei die Anpassung der Datenschutzerklärung gemäß DSGVO. Insbesondere muss Artikel 6 Abs. 1 f) DSGVO ausdrücklich als Rechtmäßigkeitsgrund genannt werden. Zusätzlich und zur Absicherung kann der Webseitenbetreiber den Nutzer der Website durch einen Banner auf die Verwendung von Cookies hinweisen. Dadurch wird der Nutzer darüber informiert, dass der Betreiber beim weiteren Nutzen der Website von einer Einwilligung des Nutzers in die Verwendung von Cookies ausgeht.

 ABAKUS: Dann gibt es ja auch noch die Social Plugins, die von vielen Webseitenbetreibern gerne genutzt werden. Gibt es hier auch etwas zu beachten?

Vom Ausgangspunkt her muss man unterstellen, dass beim Einsatz von Social Plugins personenbezogene Daten erhoben werden. Es wäre fahrlässig hier anzunehmen, dies wäre nicht der Fall. Jede Erhebung personenbezogener Daten bedarf einer Rechtfertigung. Diese könnte in der Wahrung berechtigter Interessen gemäß Artikel 6 Abs. 1 lit. f) DSGVO zu sehen sein. Ohne hier weiter ins Detail gehen zu wollen, ist diese Rechtsgrundlage jedoch als äußerst unsicher anzusehen. Es bedarf also einer anderen Rechtfertigung. Diese könnte in einer Einwilligung in die Datenerhebung gemäß Artikel 6 Abs. 1 lit. a) DSGVO zu sehen sein. Die DSGVO erfordert eine sogenannte informierte Einwilligung, Artikel 4 Nr. 11 DSGVO. Die Einwilligung darf daher nicht pauschal erfolgen. Es muss zu erkennen sein, welche personenbezogenen Daten zu welchem Zweck vom wem verarbeitet werden. Dies muss auch nachgewiesen werden, ferner muss auf das Widerrufsrecht hingewiesen werden. Da dem Webseitenbetreiber sehr wahrscheinlich nicht bekannt ist, welche Daten von Facebook etc. tatsächlich erhoben werden, kann er hierüber auch nicht aufklären. Außerdem wird das für den notwendigen Nachweis der Einwilligung erforderliche Double-Opt-In-Verfahren nicht zu implementieren sein. Eine Einwilligung erscheint daher ebenfalls unmöglich.

Die Lösung kann nur in technischer Hinsicht erfolgen. Der derzeit wohl einzige Lösungsweg liegt in der Nutzung von Shariff. Dabei handelt es sich lediglich um eine Verlinkung. Ein Datenaustausch mit dem sozialen Netzwerk findet von der Seite des Webseitenbetreibers nicht statt. Dies geschieht erst, wenn sich der Kunde einloggt. Zu diesem Zeitpunkt liegt die Informationspflicht für die Datenerhebung und Verarbeitung jedoch nicht mehr beim Webseitenbetreiber, sondern beim Betreiber des Social Plugins bzw. sozialen Netzwerks.

Sanktionen

Überall liest man (und Herr Graf hat es am Anfang des Interviews auch schon selbst angesprochen), dass Unternehmen Strafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes zahlen müssen, wenn sie sich nicht an die DSGVO halten.

ABAKUS: Uns interessiert: Gibt es Unterschiede bei den angesprochenen Zielgruppen, wird Datenschutz im B2B Bereich weniger strenggenommen?

Mir ist nicht bekannt, dass Datenschutz im B2B Bereich weniger streng genommen wird. Genaugenommen findet das Datenschutzrecht auch nicht direkt auf die Unternehmen im B2B Bereich Anwendung. Dies geschieht vielmehr darüber, dass geradezu zwangsläufig auch bei einem B2B Verhältnis personenbezogene Daten z. B. von Mitarbeitern, Ansprechpartnern etc. abgespeichert werden, z. B. auf Lieferscheinen, Rechnungen etc. Die Datenschutzaufsichtsbehörden haben natürlich ein entsprechendes Ermessen bei der Festsetzung des Bußgeldes. Dabei kommt es immer auch die Umstände des Einzelfalles an. Wie die Datenschutzbehörden dies im Einzelfall umsetzen werden, muss abgewartet werden.

ABAKUS: Sind die Strafzahlungen tatsächlich so hoch, wie überall angegeben oder will man Händlern nur „Angst“ machen?

Da die Umsetzungsfrist für die Datenschutzgrundverordnung erst am 28.05.2018 aufläuft, gibt es naturgemäß noch keine Erfahrungswerte hinsichtlich der Höhe der Bußgelder. Man kann jedoch davon ausgehen, dass diese deutlich höher ausfallen werden als bisher. Hinzu kommt, dass die DSGVO im Verhältnis zum derzeitigen Datenschutzrecht weitere Bußgeldtatbestände eingeführt hat. Es gibt also mehr Sachverhalte, die bußgeldbewehrt sind. Ich würde daher davon abraten, davon auszugehen, dass die Strafgeldzahlungen nicht steigen werden.

ABAKUS: Wie kann es überhaupt zu Sanktionen kommen? Der Staat kann schließlich nicht jede Webseite auf die Einhaltung der DSGVO kontrollieren?

Zu Sanktionen kann es aufgrund der oben genannten Rechenschaftspflicht gemäß Artikel 5 DSGVO kommen. Auf den ersten Blick müssen manche Unternehmen, die offensichtlich 250 oder mehr Mitarbeiter haben, ein Verzeichnis der Verarbeitungstätigkeit nach Artikel 30 DSGVO führen. Auch muss in diesen Fällen ein Datenschutzbeauftragter benannt werden (dies gilt schon ab 10 Mitarbeitern, die mit personenbezogenen Daten arbeiten), wobei derzeit unklar ist, ob dieser namentlich genannt werden muss oder ob eine E-Mail-Adresse ausreicht, wofür einiges spricht.

Auch müssen Datenschutzbestimmungen angepasst werden. Gleiches gilt für die Einholung von Einwilligungen und Möglichkeiten zum Widerruf. Derartige Texte sind auf Websites abrufbar, so dass die Datenaufsichtsbehörde hier von sich aus die notwendigen Informationen für mögliche Sanktionen finden kann. Es ist natürlich auch denkbar, dass Mitbewerber untereinander entsprechende Meldungen an die Datenschutzbehörden machen. Gleiches gilt für Betroffene, die einen Datenschutzverstoß bei der Datenaufsichtsbehörde melden.

Vorbereitung auf die neue DSGVO

ABAKUS: Was glauben Sie, macht die Umsetzung der Änderungen für viele Händler so schwierig?

Datenschutzrecht ist eine trockene, nicht besonders leicht zugängliche Rechtsmaterie. Hinzu kommt, dass Unternehmen möglicherweise davon ausgehen, Investitionen in den Datenschutz würden sich nicht auszahlen. Dabei kann man mit einem guten und funktionierenden Datenschutzmanagement auch hervorragendes Marketing betreiben. Die Umsetzung ist in jedem Falle zeitintensiv. Entweder müssen Mitarbeiter zumindest teilweise dazu abgestellt werden, die DSGVO im Unternehmen umzusetzen. Oder es müssen externe Dienstleister beauftragt werden, wie z. B. Datenschutzbeauftragte oder Rechtsanwälte, die natürlich auch umfangreiche Rücksprachen und Beratungen mit dem Unternehmen durchführen werden.

ABAKUS: Wie können sich die Händler am besten auf die DSGVO vorbereiten?

Da die Zeit drängt, ist es zum einen notwendig, sofort tätig zu werden. Wenn das Datenschutzrecht bislang im Unternehmen keine große Rolle gespielt hat, wird es wahrscheinlich schwierig, sich in die Materie jetzt noch schnell genug einzuarbeiten. Aus meiner Sicht ist daher die Hinzuziehung externer Berater notwendig. Auch dabei sollte man sich beeilen, denn die Kapazitäten bei derartigen Beratern sind natürlich begrenzt.

ABAKUS: Vielen herzlichen Dank für das wirklich sehr ausführliche Interview mit Ihnen, Herr Dr. Graf!

▶ Frage an unsere Leser: Wie gut sind Sie bereits auf die neue DSGVO vorbereitet?

Eine Antwort hinterlassen

Verwandte Beiträge

Neue DSGVO - Interview mit Dr. Graf
Die neue DSGVO: Interview mit Rechtsanwalt Dr. Graf

Die neue Datenschutzgrundverordnung (DSGVO) für den Online-Handel tritt ab dem 25. Mai 2018 in Kraft. Der Händlerbund befragte Ende 2017 hunderte Online-Händler, ob sie sich bereits mit den Inhalten der neuen DSGVO befasst haben. Das Ergebnis: Lediglich 4% der Befragten gaben an, noch nie etwas von der DSGVO gehört zu haben. Für die restlichen 96% mehr…

Interiew mit Barry Schwartz
Interview mit Barry Schwartz

Barry Schwartz ist ist einer der bekanntesten Google-Experten. Sein Wissen rund um Google & Co. kann in diversen Blogs (z. B. auf seroundtable.com, searchengineland.com) nachgelesen werden. Auch auf Konferenzen ist Barry ein begehrter Speaker. Hauptberuflich ist er übrigens für das Führen seines Unternehmens RustyBrick, eine Web.- und Mobile Software Development Firma in New York, verantwortlich. mehr…

Interview mit Pavlos Tsulfaidis, Vorstand der Smartstore.net AG

SmartStore.NET ist eine kostenlose und moderne ASP.NET E-Commerce Lösung. Das Tool verspricht perfektes Design, eine einfache Bedienung und einen modularen Aufbau. Im Sommer dieses Jahres hat das Unternehmen die neue Version SmartStore.NET 3 herausgebracht, die alles noch einfacher für den Händler machen soll. Wir wollten das Unternehmen SmartStore.net AG genauer kennen lernen und haben ein mehr…

Interview mit Kaspar Szymanski von den SearchBrothers

Kaspar Szymanski, SEO Berater und ehemaliger Mitarbeiter des Google Search Quality Teams, ist einer der wenigen Suchexperten mit jahrelanger Erfahrung mit der Gestaltung und Umsetzung von Googles internen Richtlinien, Webspam Bekämpfung und einem hohen Bekanntheitsgrad als Sprecher auf SEO Events. Seit der Gründung von SearchBrothers steht er Unternehmen beratend zur Seite und spezialisiert sich im mehr…