Auch im neuen Jahr: DSGVO und kein Ende…

Der aktuelle DSGVO-Index zeigt, dass erst 43% aller Unternehmen ihre eigenen IT-Aktivitäten als vollkommen DSGVO-konform bewerten würden. 39% arbeiten nach eigener Aussage immer noch an der praktischen Umsetzung und stolze 18% haben bisher gar nichts geändert. Damit riskiert mehr als jedes zweite Unternehmen Bußgelder für eine Verordnung die nun schon seit fast drei Jahren bekannt und seit fast einem Jahr – seit Ende Mai 2018 – in Kraft ist!

 Trotz zweijähriger Übergangsfrist ist es vielen kleinen und mittelständischen Firmen nicht gelungen, ihren Datenschutz anzupassen. Auch in der jüngsten Umfrage gaben eine ganze Reihe von Unternehmen an, noch definitiv mehr als ein halbes Jahr mit der Umsetzung beschäftigt zu sein. Gründe sind die Komplexität der DSGVO, mangelnde Ressourcen im Unternehmen und Unwissenheit: Nur 17% der Befragten wussten, dass bis zu 20 Millionen Euro Strafe fällig werden können. 61% dachten, die Strafzahlungen könnten sich auf maximal 100.000 Euro belaufen.

Zwar hat sich die DSGVO der EU als ein Vorbild u.a. für Brasilien und Japan etabliert, dennoch beschweren sich 4 von 5 Unternehmen in Deutschland über einen zu hohen Aufwand für den Datenschutz, v.a. die erweiterten Dokumentations- und Informationspflichten. 86% der Unternehmen fordern Nachbesserungen für kleinere Betriebe. Knapp 80% wünschen sich, dass die Informationspflichten der DSGVO praxisnäher gestaltet werden. Dass nun die Bestellung eines Datenschutzbeauftragten zur Pflicht geworden ist, sieht nur gut jedes dritte Unternehmen als ein Problem an.

Es gibt aber auch positive Rückmeldungen zur DSGVO: So glauben 62%, dass die neuen Datenschutzregeln zu einheitlicheren Wettbewerbsbedingungen in der EU führen werden. 42% sehen die DSGVO als einen Wettbewerbsvorteil für Unternehmen der EU. Fast jede dritte Firma stimmt der Aussage zu, dass die DSGVO für sie vorteilhaft ist.

Tatsächlich haben sich mehrere große Tech-Firmen (Avedos, Microsoft, QSC, SEP und Tarox) zusammengeschlossen und eine gemeinsame Checkliste entworfen.

Unter https://www.dsgvo-index.de/ können Sie anhand einiger Dutzend Fragen herausfinden, ob Sie vollkommen DSGVO-konform unterwegs sind. Am Ende wird Ihnen in jedem Teilbereich aufgeschlüsselt, wo noch Handlungsbedarf besteht und was schon DSGVO-konform läuft.

Inzwischen liegen erste Gerichtsurteile zur DSGVO vor, die ich einmal kurz vorstellen möchte:

Zwar haben unterschiedliche Gerichte unterschiedliche Auffassungen geäußert, aber es scheint sich durchzusetzen, dass Verstöße gegen die DSGVO nicht nur von den Aufsichtsbehörden, sondern wohl auch von Wettbewerbern und noch wahrscheinlicher von „Abmahnverbänden“ abgemahnt werden können. Denn ein Verstoß gegen den Datenschutz ist in der Regel auch ein Verstoß gegen den fairen Wettbewerb und geht daher zu Lasten des Mitbewerbers. Beliebt sind Abmahnungen u.a. …

• wegen des schlichten Fehlens einer Datenschutzerklärung
• wegen der Einbindung von Google Fonts
• wegen fehlerhafter Einbindung von Google Analytics
• wegen Facebook-Like- und Share-Plugins
• wegen fehlender Verschlüsselung von Kontaktformularen

Achtung! Webdesigner und Agenturen können nach Ansicht der Gerichte auch für rechtliche Fehler auf den Seiten ihrer Kunden haftbar gemacht werden. Mehr dazu hier.

Was tun?

Hier sind die fünf wichtigsten Schritte, die Sie unbedingt erfüllen müssen. Bei Rückfragen stehe ich Ihnen natürlich gern als Ihr Ansprechpartner zur Seite.

• Ihre Webseite benötigt eine auf Ihr Unternehmen zugeschnittene DSGVO-konforme Datenschutzerklärung, in der über jeglichen Umgang mit den Daten der Besucher der Webseite aufgeklärt wird
• Ihre Kontaktformulare müssen verschlüsselt sein, damit kein Dritter mitlesen kann.
• Stellen sicher, dass z.B. Bestellprozesse und Newsletter DSGVO-konform sind.
• Wenn nötig, schließen Sie zusätzliche Verträge bezüglich des Datenschutzes mit Bestandskunden ab.
• Und: Überprüfen Sie ihre Webseite auf nicht DSGVO-konforme Plugins und Dienste, insbesondere Social Media Buttons.

Der Europäische Gerichtshof beschäftigt sich nämlich zur Zeit (mal wieder) mit Facebooks „Gefällt mir“-Button – diesmal mit dem, der auf anderen Webseiten, außerhalb von Facebook, eingebunden wird. Für den User ist das praktisch: Man muss nicht extra zu Facebook gehen, dort die Unternehmensseite suchen, und dann liken, um auf dem aktuellen Stand zu bleiben. Der Generalanwalt des EuGH ist aber der Auffassung, dass jede Webseite, die den Facebook-Like-Button einbindet, den User einzeln über den Datentransfer, den der Button veranlasst, informieren muss.

Einige Webseiten machen das bereits seit Längerem, z.B. wenn ZDFheute Beiträge von Twitter einbindet. Diese werden nicht automatisch geladen, sondern werden erst „nach einem Klick für den Datenschutz“ freigegeben. Laut Generalanwalt Bobek ist seine Rechtsauffassung die logische Folge des Urteils vom Juni 2018, wonach Facebook-Seitenbetreiber und Facebook gemeinsam für den Datenschutz verantwortlich sind.

Problematisch ist, dass Seiten, die einen Facebook-Button einbinden, oft schon beim Aufrufen der Seite die IP-Adresse und den genutzten Browser an Facebook weitergeben, auch wenn der Nutzer die Seite gar nicht liket oder nicht mal ein Facebook-Profil hat… Facebook verteidigt sich, der Like-Button werde zur Kundengewinnung und für die Personalisierung der Werbung benötigt, die letztlich zum Erstellen umfangreicher Nutzerprofile führen (können).

Wie jeden Monat: Es bleibt spannend.