Unternehmen, die Websites betreiben, müssen eine Reihe von aktuellen Änderungen umsetzen, die sich aus der Datenschutz Grundverordnung ergeben.

1.    Datenschutzerklärungen

Seit dem 25. Mai 2018 gilt die Datenschutz Grundverordnung (DSGVO). Hierdurch haben sich erhebliche Änderungen für Betreiber von Websites ergeben. Die notwendige Datenschutzerklärung ist wesentlich umfangreicher und detaillierter geworden. Außerdem können Datenschutzbehörden hohe Bußgelder verhängen, wenn die Datenschutzerklärung nicht den gesetzlichen Vorgaben entspricht.

Die Datenschutzerklärung muss eine genaue Beschreibung der Daten enthalten, die verarbeitet werden. Das gilt bspw. für die automatisch erhobenen Daten beim Besuch der Website oder für die Daten, die bei Bestellungen im Webshop oder sonst erhoben werden.

Der Verantwortliche muss auch genau beschreiben, was er mit den Daten tut. Daher ist es wichtig, bei Gestaltung der Datenschutzerklärung zu prüfen, für welche Zwecke Daten genutzt werden. Die Website muss auch Angaben dazu enthalten, wie lange Daten gespeichert werden.

In den Datenschutzerklärungen muss auch die Rechtsgrundlage für die Datenverarbeitung genannt werden. Das ist in zweierlei Hinsicht von Bedeutung. Zum einen sollte der Verantwortliche hier selbst prüfen, ob seine Datenverarbeitung im Einklang mit den Vorgaben der DSGVO erfolgt. Zum anderen dient die Angabe der Rechtsgrundlage der Information der Betroffenen. Diese können anhand der Datenschutzerklärung prüfen, was das Unternehmen mit den Daten tut und ob diese rechtmäßig ist.

Wenn die Datenverarbeitung auf Basis einer Einwilligung erfolgt, wie z. B. bei dem Empfang von Newslettern oder beim Tracking, so muss der Verantwortliche auf der Website darauf hinweisen, dass die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann.

Ein weiterer wichtiger Punkt ist die Angabe dazu, an wen die Daten weitergegeben werden. Das umfasst auch die Weiterleitung an Dienstleister, sogenannte Auftragsverarbeiter, also Rechenzentren, IT-Serviceanbieter oder sonstige Dienstleister. Da Betreiber von Websites häufig Dienstleister für unterschiedliche Zwecke einsetzen, können diese Angaben teilweise recht umfangreich werden.
Außerdem ist der Website-Betreiber verpflichtet, den Besucher der Seite auf seine Rechte als Betroffener hinzuweisen. Das gilt sowohl für das Informationsrecht als auch das Recht auf Auskunft, das Recht auf Löschung sowie Widerspruchs- und Beschwerderechte. Die Belehrung muss so umfangreich, dass der Betroffene in der Lage ist, seine Rechte auszuüben.

Insgesamt ist zu sagen, dass die Erstellung von Datenschutzerkärungen aufwendiger geworden ist. Man muss sehr sorgfältig vorgehen, wenn man die erhobenen Daten und ihre Verarbeitung beschreibt.
Nach der DSGVO drohen bei Verstößen hohe Bußgelder. Außerdem besteht das Risiko, durch Wettbewerber, Verbraucherschutzvereine oder auch durch professionelle Abmahner abgemahnt zu werden.

2.    Cookies und Tracking

Kurz vor dem Stichtag 25. Mai 2018, ab dem die DSGVO gilt, haben die Datenschutzbehörden ihre Auffassung verkündet, wonach Cookies nach der DSGVO grundsätzlich nur nach vorheriger Einwilligung des Website-Besuchers verwendet werden dürfen.

Nach deutschem Recht galt für Cookies grundsätzlich die Opt-out Lösung. Cookies durften gesetzt werden, es sei denn, der Besucher der Website dem widersprochen.

Datenschutzbehörden sehen dies seit jeher kritisch. Am 26. April 2018 haben sie ihren Beschluss zu Cookies nach der DSGVO veröffentlicht: Cookies, die für den Betrieb der Seite technisch erforderlich, dürfen weiterhin ohne Zustimmung des Website-Besuchers gesetzt werden. Andere Cookies, die nicht erforderlich sind, bedürfen allerdings der vorherigen Einwilligung („Opt-in“). Im Moment gibt es eine umfangreiche Diskussion zu dem Thema. Man kann aber bereits jetzt sagen, dass Maßnahmen wie das Tracking über mehrere Websites hinweg und auch das Anlegen von Nutzerprofilen künftig nur noch nach Einwilligung erfolgen können. Betreiber von Websites sollten ihre Seiten entsprechend umstellen.

3.    Facebook-Fanpages

Facebook-Fanpages sind bei vielen Unternehmen beliebt, da sie leicht einzurichten sind und von Facebook-Mitgliedern häufig besucht werden. Das Problem dabei besteht darin, dass Facebook nicht genau mitteilt, wie die Daten der Fanpagebesucher verarbeitet werden. Facebook hat generell auch Schwierigkeiten, deutsches oder europäisches Datenschutzrecht einzuhalten.

Aus diesen Gründen hatte die Datenschutzbehörde Schleswig-Holstein beanstandet, dass die Wirtschaftsakademie Schleswig-Holstein eine Facebook-Fanpage betreibt. Die Wirtschaftsakademie wehrte sich gegen die Beanstandung und bekam vor dem Verwaltungsgericht und dem Oberverwaltungsgericht Recht. Diese Gerichte waren der Meinung, datenschutzrechtlich verantwortlich sei allein Facebook, da Facebook über die Verarbeitung der Daten bestimme und das deutsche Unternehmen, das die Fanpage betreibe, überhaupt keinen Einfluss darauf haben.

Das Bundesverwaltungsgericht legte diese Frage dem Europäischen Gerichtshof (EuGH) vor. Der EuGH entschied am 5. Juni 2018, das Facebook und der deutsche Betreiber der Fanpage gemeinsam für die Fanpage verantwortlich seien. Damit kommen auch auf das deutsche Unternehmen erhebliche datenschutzrechtliche Verpflichtungen zu. Gegenwärtig kann es diese Verpflichtung nicht erfüllen, weil Facebook nicht ausreichend Informationen erteilt.

Nachdem das Urteil des EuGH verkündet wurde, haben zahlreiche Betreiber ihre Facebook-Fanpage geschlossen, da sie Beanstandungen fürchteten. Das ist zum jetzigen Zeitpunkt übertriebe.  Zwei Dinge sind im Moment wichtig. Zum einen gehört auf jede Fanpage eine Datenschutzerklärung, die den Besucher über die Verarbeitung informiert. Diese Erklärung kann nicht so umfangreich wie auf Websites, aber sie enthält doch wesentliche Elemente. Zum anderen müssen Unternehmen die Entwicklungen beobachten. Die deutschen Datenschutzbehörden verhandeln mit Facebook und sobald hier eine Einigung erzielt ist, muss man diese zügig umsetzen.

Arnd Böken, Rechtsanwalt und Notar
Berlin