Seit einigen Monaten geistert ein Begriff durch Blogs, Konferenzen und Fachmedien, mit dem die meisten von uns nicht viel anfangen können. Die Rede ist von der Datenschutz-Grundverordnung (DSGVO), deren Auswirkungen ab 25. Mai dieses Jahres zu spüren sein werden. Was das für für Website-BetreiberInnen, Organisationen und Marketing-Menschen bedeutet, wissen wir noch nicht genau, aber die Panik scheint beträchtlich zu sein. „Wir dürfen keine Daten mehr sammeln“, „Wenn die Website nicht DSGVO-konform ist, müssen wir 5 Prozent unseres Jahresumsatzes als Strafe zahlen“, „Da können wir ja unsere Website gleich offline nehmen“ – das sind so Sätze, die wir in diesem Zusammenhang schon einige Mal gehört haben. Auch beim Talk von Markus beim Mediencamp 2017 war die Aufregung recht groß, weil sehr große Unsicherheit bei dem Thema herrscht.

Wir sind keine JuristInnen, haben uns aber natürlich auch intensiv mit dem Thema beschäftigt und möchten das Thema DSGVO hier am Blog verständlich darstellen. Zur Unterstützung haben wir Markus dazugeholt, der sich im Rahmen seines Talks am Mediencamp ebenfalls damit auseinandergesetzt hat.

Los geht’s mit ein paar wichtigen Begriffen, die rund um das Thema DSGVO wichtig sind.

— DISCLAIMER — DISCLAIMER— DISCLAIMER— DISCLAIMER— DISCLAIMER—

Wir sind keine Rechts-ExpertInnen. Wir geben die genannten Informationen nach bestem Wissen weiter, können aber nicht für Fehlerfreiheit garantieren und übernehmen diesbezüglich keine Verantwortung. Für Ergänzungen oder Hinweise sind wir immer dankbar.

DSGVO – Was ist das?

Die Datenschutzgrundverordnung (DSGVO) ist schon seit 2016 in Kraft, aber erst seit kurzen beschäftigen sich Unternehmen zum ersten Mal ernsthaft mit ihren Auswirkungen. Denn erst mit dem 25. Mai 2018 bekommt die DSGVO Zähne. Und betroffen davon sind nicht nur Firmen, die innerhalb der EU ihren Sitz haben, sondern auch andere Firmen, die mit ihrem Angebot EU-BürgerInnen ansprechen möchten.

Um die DSGVO besser zu verstehen, sollten wir zuerst einige Begriffe kennen, die anhand dem Beispiel einer (fiktiven) Firma namens ACME GmbH, die einen eCommerce-Shop zum Vertrieb von Schaukelpferden betreibt, illustriert werden.

Datensubjekt (Data Subject)
Jede natürliche Person, die einE EU-BürgerIn ist, oder in der EU wohnt, fällt unter diese Bezeichnung. Das Datensubjekt ist der/die rechtmäßige EigentümerIn seiner/ihrer persönlichen Daten. Für unsere Beispiel-Firma sind das nicht nur KundInnen, die online eingekauft haben, sondern auch einfach nur BesucherInnen der Webseite, die sich eventuell nur einige Produkte ansehen und sonst nichts machen.

DatenverantwortlicheR (Data Controller)
 Das bezeichnet die Organisation, die persönliche Daten einsammelt. Sie bestimmt, welche Daten zu welchem Zweck gespeichert werden, unter welchen Bedingungen, und die genaue Art der Verarbeitung dieser Daten. Darunter fallen nicht nur Firmen, [sondern all jene, die automatisiert Daten verarbeiten, wie auch religiöse Organisationen.

Das ist in unserem Fall die ACME GmbH selbst. Sie bestimmt, welche Infos u.a. im Bestellprozess von dem/r KundIn angefordert werden, da es ohne die Rechnungsdaten und eine Lieferadresse z.B. keine Bestellung sinnvoll abgeschlossen werden kann. Genauso bestimmt sie aber auch, ob BesucherInnen auf der Webseite ein Pop-Up zu sehen bekommen, wo der Newsletter der Firma angepriesen wird (inklusive Formular für die Email-Adresse).

DatenverarbeiterIn (Data Processor)
 Das bezeichnet die Organisationen, die im Auftrag der Datenverantwortlichen die Daten auch tatsächlich verarbeiten, bzw. speichern. Dazu gehören nicht nur Cloud Provider, die z.B. Webseiten hosten, sondern auch Analytics-Provider wie Google Analytics, oder Newsletter-Anbieter.

Die ACME GmbH produziert Schaukelpferde und verkauft diese in ihrem Online-Shop. Sie kann sich keine eigene IT-Abteilung leisten sondern nimmt, wie viele andere kleinere Unternehmen, eCommerce-Hosting von einem Drittanbieter in Anspruch. Daneben gibt es auf der Website ein Newsletter-Formular und einen Facebook-Button zum Teilen der Inhalte. Da die Firma gerne mehr über ihre (potenziellen) KundInnen erfahren möchte, ist auch das Snippet einer Analytics-Software auf der Seite eingebunden (z.B. Google Analytics).

Damit hat die ACME GmbH mehrere DatenverarbeiterInnen beauftragt: Den Hoster des Shops, den Newsletter-Anbieter, Facebook, und die Analytics-Software. All diese Firmen verarbeiten und speichern im Auftrag der ACME GmbH Daten.

DatenschutzverantwortlicheR (Data Protection Officer)
Das ist die Person, die sich um die Einhaltung der DSGVO kümmert. Sie muss vom Datenverantwortlichen verpflichtend bestimmt werden. Das betrifft auch Nicht-EU Firmen. Diese Pflicht entfällt allerdings (sowohl für EU-Firmen als auch außerhalb), wenn die Organisation eine gewisse Größe (gemessen an der Anzahl der MitarbeiterInnen) nicht überschreitet.

Datenschutzbehörde
Jeder EU-Staat hat eine nationale Behörde, welche für den Schutz der persönlichen Daten verantwortlich ist. Als solche ist sie eine Vollzugsbehörde, und hat auch die Möglichkeit, Strafen zu verhängen. Firmen, die in mehreren EU-Ländern tätig sind, müssen mit jeder relevanten nationalen Datenschutz-Behörde interagieren.

Was sind eigentlich persönliche Daten?


Was nach einer relativ einfachen Frage klingt, kann leider schnell kompliziert werden, da die DSGVO auch verschiedene Arten von persönlichen Daten unterscheidet. Zum ersten sind da die offensichtlichen Kandidaten, wie Namen, Geburtsdaten, oder Adressen. Aber auch die ID eines Smartphones oder Computers zählt zu den persönlichen Daten, da diese ID dazu verwendet werden kann, eine Person eindeutig zu identifizieren.

Aber auch z.B. Facebook-Postings, Fotos, oder Daten, die von IoT-Geräten (Internet of Things: dazu gehören z.B. smarte Home-Lautsprecher, Kameras mit WLAN-Funktion usw.) gesammelt werden, zählen zu den persönliche Daten. Der Begriff „persönliche Daten“ umfasst also nicht nur diese, die ein Individuum identifizieren können, sondern auch Daten, die von diesem Individuum produziert wurden. Wenn also jemand ein Landschaftsfoto ohne Personen postet, fällt dieses zwar nicht unter die persönlich identifizierbaren Daten, aber sehr wohl zu den persönlichen Daten des/der Posters/Posterin.

Daneben gibt es noch die sensitiven persönlichen Daten. Darunter fallen Dinge wie Volkszugehörigkeit, Sexualität, aber auch Gewerkschaftsmitgliedschaften, oder Daten, die die Gesundheit betreffen. Diese müssen besonders geschützt werden.

Und zuletzt kennt die DSGVO noch biometrische Daten. Dazu gehören u.a. Fingerabdrücke, Gensequenzen, oder Gesichtsscans.

Die Rechte der Datensubjekte

Die DSGVO sieht eine Reihe von Rechten vor, mit denen jemand über die Verwendung und Speicherung seiner Daten bestimmen kann. Die vermutlich wichtigsten sind das „Recht auf Zugriff“, und das „Recht auf Löschen“. Mit Ersterem können wir von einer Organisation die Bestätigung einholen, dass die Daten gemäß den Angaben verarbeitet werden und eine Kopie der gespeicherten Daten erhalten. Mit dem „Recht auf Löschen“ können wir die Löschung der eigenen persönlichen Daten verlangen, sofern wir das Einverständnis zurückgezogen haben, bzw. es einfach keinen Grund mehr gibt, diese Daten zu speichern (ausgenommen, es stehen höhere Interessen, die Daten weiterhin zu behalten, wie z.B. für Rechnungen).

Was bedeutet das jetzt?

Das waren jetzt eine ganze Menge Begriffe, die wir aber kennen und verstehen sollten, wenn es um das Thema Datenschutz geht.

Grundsätzlich soll die DSGVO nämlich uns allen dabei helfen, dass Unternehmen unsere Daten eben nicht (mehr) unkontrolliert sammeln, verwerten, verkaufen und verwenden. Kurz gesagt ist es nämlich so: Unsere Daten gehören uns selbst. Unternehmen brauchen unsere explizite Zustimmung, wenn sie unsere Daten sammeln. Und diese Zustimmung müssen wir erst geben und können sie zurückziehen, wenn wir das möchten.

Was muss ich als BetreiberIn einer Website künftig tun, um nicht gegen die DSGVO zu verstoßen ? Das schauen wir uns im nächsten Blogbeitrag an. :)

Links: 

Rechtliche Rahmenbedingungen im Influencermarketing

 

Foto: MOKS/Michaela Wein