DSGVO und TTDSG: wichtiges Thema für Website-Betreiber

Die zahlreichen Änderungen, die die DSGVO seit dem 25. Mai 2018 mit sich bringt, treffen jeden Unternehmer und Webseitenbetreiber. Es gibt in fast allen Bereichen des Datenschutzrechts umfangreiche Neuregelungen. Einige sind relativ einfach umzusetzen, andere sind sehr komplex. Seit dem 1. Dezember 2021 gilt zudem das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Es konkretisiert für Deutschland die Anforderungen an Datenschutz und Einverständnis. Hier ein Überblick.

Wichtiger Hinweis: Teile des folgenden Beitrags stellen wir dir als eRecht24 Agenturpartner in Zusammenarbeit mit eRecht24 Premium zur Verfügung. Er soll einen Überblick über die Anforderungen der DSGVO geben. Zum Schluss stellen wir auch das TTDSG noch kurz vor.

Bitte beachte: Wir können und dürfen hier keine Rechtsberatung anbieten! Alle Angaben ohne Gewähr. Weiterführende Links in den jeweiligen Abschnitten helfen dir, tiefer in das Thema einzusteigen. Eine individuelle Rechtsberatung im Einzelfall kann dies natürlich nicht ersetzen.

1. Einführung

Die DSGVO regelt ab dem 25. Mai 2018 den Umgang von Unternehmen mit personenbezogenen Daten – einheitlich europaweit. Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. das BDSG wird zeitgleich neu gefasst.

Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards gelten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt.

Die Verordnung gilt aber auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten. So soll sichergestellt werden, dass sich auch Cloud-Dienste oder soziale Netzwerke (etwa aus den USA) an die Regeln halten müssen.

Die DSGVO betrifft dabei wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen.

Im Einzelnen:

2. Datenschutzerklärung und Impressum

Zunächst benötigt jede Webseite eine neue Datenschutzerklärung, die den Vorgaben der DSGVO entspricht.

Die Grundsätze einer DSGVO-konformen Datenschutzerklärung sind:

• Einfache und verständliche Sprache
• Ggf. eine vorgeschaltete, allgemein-zusammenfassende Erklärung
• Kontaktdaten des Seitenbetreibers
• Benennung des Datenschutzbeauftragten, sofern vorhanden bzw. benötigt
• Die Rechtsgrundlage der jeweiligen Datenerhebung/Verarbeitung (gesetzliche Regelung oder Einwilligung) muss konkret benannt werden.

Die folgenden Punkte muss eine Datenschutzerklärung nach DSGVO mindestens enthalten:

•  Nennung aller Datenverarbeitungsvorgänge auf der Webseite
  •    Umgang Kunden- / Bestelldaten
  •    Tracking, Cookies, Social Media
  •    Newsletter, A(D)V
  •    Dauer der Speicherung, Löschungsfristen
  •    Auskunft, Berichtigung, Löschung, Widerspruch
  •    Recht auf Datenherausgabe und Übertragbarkeit

Eine Einwilligung darf nicht innerhalb der Datenschutzerklärung erklärt werden.

Achtung! Löschpflicht Art. 17 DSGVO:

Daten müssen gelöscht werden, wenn:

• der Erhebungszweck weggefallen ist,
• die Einwilligung widerrufen wurde (z.B. Newsletter-Abmeldung),
• ein Widerspruch des Nutzers erfolgt („Löschen Sie meine Daten“) und keine gesetzlichen Speicherpflichten entgegenstehen (Steuern und Buchhaltung)

Im Impressum sind keine Änderungen notwendig. Allerdings wird momentan diskutiert, dass für Auskunfts-, Berichtigungs- und Löschungsansprüche ein spezielles Kontaktformular geschaffen werden soll, das in die allgemeine Menüstruktur (bei Datenschutzerklärung und Impressum) integriert werden soll.

3. Verarbeitungsverzeichnis (bisher: Verfahrensverzeichnis)

Du benötigst zwingend ein Verarbeitungsverzeichnis, wenn du mehr als 250 Mitarbeiter beschäftigen und wenn du besondere Datenkategorien verarbeitest.

Die Pflicht gilt auch für Unternehmen unter 250 Mitarbeitern, wenn die Verarbeitung „nicht nur gelegentlich“ erfolgt. Es ist aber noch nicht abschließend geklärt, was dies genau bedeutet. Bis die Voraussetzungen abschließend geklärt sind, solltest du im Zweifel ein solches Verzeichnis anlegen.

Welche Inhalte gehören hinein?

• Angaben des Verantwortlichen
• Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten (sofern vorhanden)
• Zwecke der Verarbeitung
• Kategorien betroffener Personen und personenbezogener Daten
• Kategorien von Empfängern
• Übermittlungen von personenbezogenen Daten an ein Drittland
• Fristen für Löschung
• Beschreibung der technischen und organisatorischen Maßnahmen
• Angaben des Auftragsverarbeiters
• Name und Kontaktdaten des Auftragverarbeiters und des Verantwortlichen, ihrer Vertreter und des Datenschutzbeauftragten
• Kategorien von Verarbeitungen
• Übermittlungen von personenbezogenen Daten an ein Drittland

Beispiele und Aufbau eines solchen Verarbeitungsverzeichnisses findest du z. B. bei Bitkom:

https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf

4. Cookies und Tracking

Am 1.12.2021 trat das TTDSG in Kraft und vereinheitlicht damit die Vorgaben für den Einsatz von Cookies und Tracking. Jetzt ist gesetzlich festgeschrieben:

Wenn du Cookies (oder vergleichbare Informationen) setzen möchtest, benötigst du eine echte und informierte Cookie-Einwilligung des Nutzers.

Ausgenommen hiervor sind lediglich:

• technisch zwingend notwendige Cookies
• Cookies, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.

Damit gilt: Ein Cookie Banner bzw. Cookie Hinweis ist Pflicht. Die gute Nachricht: Google Analytics bleibt auch nach der DSGVO wie bisher „erlaubt“, wenn folgende Voraussetzungen erfüllt sind:

• A(D)V Vertrag mit Google abgeschlossen
• IP Anonymisierung aktiviert
• Opt-out Möglichkeiten für Desktop und Mobil

5. Newsletter und Einwilligungen

Einwilligungen von Nutzern, z. B. zum Newsletter-Versand, die bereits nach altem Recht wirksam eingeholt wurden (double opt-in) gelten grundsätzlich weiter.

Ausgenommen hiervon sind:

• Koppelungsverbot bei alten Einwilligungen nicht beachtet
• Einwilligungen durch Minderjährige

Was ist mit neuen Newsletter-Aktionen oder Preisausschreiben?

Wenn keine gesetzliche Erlaubnis zum Speichern / Übertragen von Daten vorhanden ist, wird immer eine Einwilligung benötigt!

Auch unter der DSGVO sollte das double opt-in Prinzip beachtet werden, um die Einwilligung im Zweifel nachweisen zu können. Die Einwilligung muss in jedem Fall elektronisch dokumentiert werden.

Die Einwilligung muss dabei „freiwillig“ erfolgen: Echtes Koppelungsverbot in Art. 7 Abs.4 DSGVO.

In der Regel gilt: Keine Daten gegen Inhalte (z. B. E-Books, Gewinnspiele, Checklisten) und keine Koppelung von Newsletter-Versand an Vertragsschluss!

6. Datenschutzbeauftragter

Unternehmen, die in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen oder zu einer Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO verpflichtet sind (Einzelheiten unten bei Ziff. 9.), müssen einen Datenschutzbeauftragten benennen.

Interessenskonflikte

Bei der Besetzung des Datenschutzbeauftragten dürfen keine Interessenkonflikte bestehen. Daher kann ein Vorstandsmitglied, ein Geschäftsführer oder der Unternehmensinhaber nicht Datenschutzbeauftragter sein. Diese Personen können im Fall von Konflikten zwischen den Unternehmensinteressen und den datenschutzrechtlichen Vorschriften nicht vermitteln.

Du kannst auch einen externen Datenschutzbeauftragten bestellen, um Konflikte zu vermeiden.

Qualifikationen des Datenschutzbeauftragten

Der Datenschutzbeauftragte muss zuverlässig sein. Juristische sowie technische Fachkunde sind ebenfalls unumgänglich für die Position des Datenschutzbeauftragten. Schulungen/Seminare inkl. Prüfung werden bundesweit angeboten, um die entsprechenden Qualifikationen zu erwerben, z. B. beim TÜV.

7. Mitarbeiterdaten

Mit der DSGVO kommen auch Neuregelungen zum Mitarbeiterdatenschutz. Die neuen Vorschriften enthalten zahlreiche Pflichten und Obliegenheiten, die Arbeitgeber künftig einhalten müssen.

Es sollen nur die Daten erhoben werden, die „erforderlich“ sind.

Mitarbeiterdaten sollen nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist.

Erlaubt ist die Verarbeitung auch dann, wenn sie für die Erfüllung gesetzlicher Rechte und Pflichten, eines Tarifvertrags oder einer Betriebs- oder Dienstvereinbarung oder zum Zwecke der Strafverfolgung erforderlich ist.

Ob und wann die Erhebung bestimmter Daten tatsächlich erforderlich ist, muss dabei immer anhand des konkreten Einzelfalls bestimmt werden.

Einwilligungen einholen

Wer sich den rechtlichen Unsicherheiten rund um die „Erforderlichkeit“ entziehen will, kann freiwillig abgegebene Einwilligungen von seinen Arbeitnehmern einholen. Im Streitfall muss eine behauptete Freiwilligkeit der Einwilligung vom Arbeitgeber allerdings nachgewiesen werden.

Eine wirksame Einwilligung muss bestimmte formale Kriterien erfüllen: So muss sie grundsätzlich in Schriftform erfolgen, d. h. eigenständig unterschrieben werden. Da das allerdings nicht immer praktikabel ist, kann unter besonderen Umständen auch eine elektronische Einwilligung eingeholt werden. Zudem muss der Beschäftigte in geeigneter Form darauf hingewiesen werden, dass die Einwilligung jederzeit widerruflich ist. Schlussendlich müssen durch den Arbeitgeber bestimmte Voraussetzungen für die Widerrufserklärung geschaffen werden.

Ein Arbeitgeber muss die Einhaltung der soeben genannten Pflichten im Zweifel nachweisen können (Dokumentationspflichten). Des Weiteren sind Arbeitgeber künftig mit strengeren Informationspflichten bei Datenschutzverstößen und zahlreichen weiteren Pflichten (z. B. Löschungspflichten) konfrontiert.

Arbeitgeber sollten im Hinblick auf diese Pflichten ihre unternehmensinternen Prozesse gründlich überprüfen und ggf. anpassen lassen (Stichwort: Compliance-Management).

8. Auftragsverarbeitung/Auftragsdatenverarbeitung

Wenn das Erheben und Verarbeiten personenbezogener Daten durch ein „externes“ Unternehmen erfolgt, muss dies – wie auch im alten Recht – vertraglich geregelt werden.

Beispiele

• Agentur führt Werbemaßnahmen aus
• Externer Newsletter-Anbieter
• Webhoster
• Externe Wartungsverträge

Was ändert sich am Inhalt der A(D)V-Verträge?

Wenige inhaltliche Neuregelungen:

• Auftragsverarbeiter muss u.U. ein Verfahrensverzeichnis führen
• Auftragsverarbeiter muss die Weisungen des Verantwortlichen protokollieren
• keine Schriftform der Verträge mehr notwendig

9. Datenschutz bei Minderjährigen

Bei Jugendlichen unter 16 Jahren müssen die Eltern einwilligen. Dies gilt aber nur für Fälle, bei denen die DSGVO eine Einwilligung vorschreibt (z. B. für Werbung) und in der Praxis nur dann, wenn es sich um Angebote handelt, die sich direkt an Kinder und Jugendliche richten.

Bei gemischten Angeboten (für Erwachsene und Jugendliche) sind keine spezifischen Vorgaben umzusetzen.

10. Datenschutz-Folgenabschätzung

In bestimmten Fällen bist du verpflichtet, die Folgen der Datenverarbeitung zu bewerten und dies in einer sog. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO festzuhalten. Eine sog. DSFA ist grundsätzlich immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.

Dies ist z. B. bei den folgenden Konstellationen der Fall:

• Verarbeitung von Gesundheitsdaten, Religion, Sexualität
• Geschäftsgeheimnisse
• Profiling/Scoring
• Strafbare Handlungen
• u.v.m.

11. Einsichtsrecht und Meldepflicht

Generell haben Betroffene Anspruch auf Auskunft zu ihren gespeicherten personenbezogenen Daten (Art. 15 DSGVO).

Form der Auskunft:

• schriftlich
• elektronisch (E-Mail)
• auf Verlangen mündlich

Frist der Auskunft: Unverzüglich, aber spätestens 1 Monat nach Eingang des Antrags.

Wann müssen bei Datenpannen die Betroffenen und Aufsichtsbehörden informiert werden?

Hier gelten mittlerweile strengere Anforderungen als bisher. Nach Art 33 DSGVO müssen Datenpannen gegenüber Aufsichtsbehörden unverzüglich (möglichst binnen 72 Stunden) mittels umfassender Dokumentation vorgelegt werden.

Details zum Inhalt regelt Art. 33 Abs. 5 DSGVO
https://dejure.org/gesetze/DSGVO/33.html

12. Bußgelder und Abmahnungen

Datenschutzverstöße können abgemahnt werden!

Bei Verstößen drohen Abmahnungen und Gerichtsverfahren, denn:

• Datenschutzrecht hat wettbewerbsrechtliche Relevanz!V
• Verstöße können auch nach der DSGVO abgemahnt werden!

Bußgelder

Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor.

Bisher haben Datenschutzbehörden den oberen Rahmen der Bußgelder nur sehr selten und bei dauerhaften Verstößen ausgereizt.

Das wird sich aber sehr wahrscheinlich ändern, der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO.

Wichtig: Anfragen/Beschwerden von Nutzern ernst nehmen.

Noch wichtiger: Anfragen/Beschwerden von Datenschutzbehörden ernst nehmen.

Weiterführende Informationen

Ausführliche Informationen, Checklisten, Tools und praxisorienterte Hilfestellung finden Sie unter anderem im DSGVO-Special bei eRecht24-Premium (kostenpflichtig) sowie allgemein auf der Website von eRecht24 (kostenlos).

Empfehlenswert und von uns selbst genutzt für die DSGVO-Umsetzung finden wir auch die Broschüre Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine, herausgegeben vom Herausgegeben vom Bayerischen Landesamt für Datenschutzaufsicht.

Sowohl kostenpflichtige wie kostenlose Informationsangebote und Hilfestellung zur DSGVO bietet oftmals auch Ihre örtliche IHK.

TTDSG konkretisiert Anforderungen an Datenschutz und Einverständnis

Weitgehend unbeachtet von der Öffentlichkeit ist am 1. Dezember 2021 das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Für Unternehmen, Websitebetreiber und Agenturen relevant sind einige wesentliche Neuerungen beziehungsweise Klarstellungen. Zum Beispiel benötigen nun Cookies und Tracking-Dienste in der Regel eine echte ausdrückliche Einwilligung.

Hierzu heißt es in Absatz 1 des § 25 TTDSG: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Von der Notwendigkeit einer aktiven Einwilligung ausgenommen sind nur mehr Cookies und gespeicherte Informationen, die für den technischen Betrieb der Website unbedingt erforderlich sind.

Hierzu definiert § 25 Abs. 2 des TTDSG:

„Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Entsprechend dieser Formulierung dürfte eine Nutzung von Cookies, Web Storage, Browser-Fingerprinting und ähnlichen Technologien aufgrund wirtschaftlicher Notwendigkeit ohne Einwilligung nicht zulässig sein. Wer also Google Analytics, Facebook-Pixel, Affiliate-Programme oder Ähnliches ohne Cookie-Consent nutzt, wird dies sehr wahrscheinlich nicht gesetzeskonform tun.

Integration von Personal Information Management Services und Single Sign On Lösungen

Eine weitere wesentliche Neuerung des TTDSG mit Relevanz für Website-Betreiber findet sich in §26. Hier geht es um sogenannte Personal Information Management Services (PIMS) und Single Sign On Lösungen. Demnach sollen künftig Dienste anerkannt werden, über die Websitebesucher einmalig definieren können, wo und unter welchen Voraussetzungen sie dem Setzen von Cookies zustimmen. Hierdurch könnten die allgegenwärtigen Cookie-Banner entbehrlich werden.

Das Ende der Cookie-Banner als Folge des TTDSG wird derzeit in Fachkreisen viel diskutiert. Anzumerken ist jedoch, dass dieser Paragraph relativ weit in die Zukunft greift.

Zuerst einmal müssen sich entsprechende Anbieter von PIMS am Markt organisieren und die notwendige technische Infrastruktur schaffen. Dann müssen diese Dienste laut §26 TTDSG auch ausdrücklich anerkannt werden. Das hierfür notwendige Verfahren existiert noch nicht und die Bundesregierung muss zuerst eine passende Rechtsverordnung festlegen.

Bis es so weit, wird werden sicherlich noch einige Jahre vergehen. Die Cookie-Banner dürften uns also noch eine ganze Weile begleiten. Umso wichtiger ist es für Websitebetreiber, dass sie diese jetzt entsprechend der neuen gesetzlichen Vorgaben anpassen und korrekt in die Website einbauen.

Weitere Regelungen im TTDSG

Neben diesen für Webdesigner, Website-Betreiber und Agenturen wesentlichen Änderungen beinhaltet das TTDSG noch weitere Punkte: Anbieter von Telemediendiensten müssen unter Umständen öffentlichen Stellen Auskunft über Bestands- und Nutzerdaten geben. Verstöße gegen das TTDSG können mit erheblichen Bußgeldern belegt werden (bis zu 300.000 Euro). Die Zuständigkeiten für die Überwachung und Durchsetzungen wurden definiert und es gibt Änderungen im Umgang mit dem Fernmeldegeheimnis.

TTDSG: Warum noch ein Gesetz zum Datenschutz?

Ziel des TTDSG ist es, für mehr Rechtsklarheit zu sorgen. Dafür werden im Rahmen des Gesetzes die bisherigen Datenschutzbestimmungen für Telemedien und Telekommunikationsdienste an die EU-Datenschutz-Grundverordnung angepasst und die Regelung der ePrivacy-Richtlinie in nationales Recht umgesetzt.

Weiterführende Informationen

TTDSG: Informationen Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Neues Telekommunikations-Telemedien-Datenschutzgesetz: Aus für Cookie-Banner?

Das neue TTDSG: Neues bei Cookies und Co. für Webseitenbetreiber und Agenturen (e-recht24)

Ihr sucht Unterstützung beim Einbau oder der Anpassung von Cookie-Bannern?

Mit den Konkretisierungen im TTDSG steht im Grunde fest: Ein Cookie Consent Tool ist Pflicht, sobald ihr Tracking-Cookies, Third-Party-Cookies, sonstige Marketing Cookies und Co. einsetzt. Hierfür ist eine echte Einwilligung erforderlich.

Gerne unterstützen unsere Webentwickler dein Unternehmen bei nun notwendigen technischen Anpassungen oder bei der erstmaligen Integration eines Cookie Banners bzw. Cookie Consent Tools. Insbesondere für unsere beiden präferierten Content Management Systeme Joomla! und WordPress haben wir dies schon viele Male gemacht.

Jetzt anfragen: info@formativ.net

Bitte beachte: Wir kümmern uns lediglich um die technische Umsetzung nach euren Vorgaben und bieten keine Rechtsberatung an! Das dürfen wir auch gar nicht. Hierfür sind euer Datenschutzbeauftragter oder entsprechend qualifizierte Rechtsanwälte zuständig. Dieser Artikel wurde nach bestem Wissen zum Tag der Veröffentlichung recherchiert. Er stellt jedoch keine rechtliche Beratung dar, alle Angaben ohne Gewähr.

Bild: congerdesign auf Pixabay