EU-DSGVO: Fertig mit Fake News – höchste Zeit mit ein paar Unklarheiten aufzuräumen – Teil 2

09. April 2018 von Dominic Brander Veröffentlicht unter Know-how/Tipps&Tricks, Online Marketing/Social Media, Schulungen Verschlagwortet mit ,

Im letzten Beitrag zur DSGVO bin ich gleich drei Irrtümern auf den Grund gegangen und habe diese geklärt:

  1. Die EU-DSGVO betrifft die allermeisten Schweizer Unternehmen.
  2. Auch ohne ausdrückliche Einwilligung darf personenbezogene Datenverarbeitung betrieben werden.
  3. De facto verarbeiten Unternehmen mit dem Betrieb einer Website bereits personenbezogene Daten.

In diesem zweiten Beitrag möchte ich drei weitere Unklarheiten im Zusammenhang mit der Auslegung der EU-DSGVO aufgreifen und etwas mehr Klarheit verschaffen.

Es gibt noch viel zu tun bis am 25.05.2018 – haben Sie Ihre Todo-Liste schon abgearbeitet?

Irrtum 4: „Ab dem 25.05.2018 ist der Versand von Newslettern mit externen Dienstleistern wie Mailchimp nicht mehr erlaubt.“

Diese Aussage ist so pauschal formuliert nicht korrekt. Unter den richtigen Voraussetzungen können Sie auch nach dem 25. Mai weiterhin Ihre Newsletter über z.B. den US Service Mailchimp rechtssicher versenden.

Die Nutzung eines externen Newsletter-Services wie Mailchimp fällt unter den Anwendungsbereich der Auftragsverarbeitung. Bei der Auftragsverarbeitung setzt das Gesetz einen Abschluss und die Erfüllung eines Vertrages mit den beteiligen Parteien voraus. In einem Auftragsverarbeitungsvertrag (was für ein Wort, ich liebe die deutsche Sprache!) muss sich der Auftragnehmer dazu verpflichten, die Daten nur entsprechend dem Auftrag und nach entsprechender Weisung zu verarbeiten. Daneben gehören noch einige weitere Pflichten dazu, so unter anderem die Verpflichtung der Mitarbeitenden auf Vertraulichkeit, keine Beauftragung von weiteren Subunternehmern ohne Einverständnis/Bekanntgabe, Kontrollrechte sowie technische und organisatorische Massnahmen zum Schutz der Daten.

Die meisten Auftragsverarbeiter haben schon entsprechende Verträge vorliegen, die man schnell und unkompliziert abnicken (!) kann. Ich schreibe extra „abnicken“, da wohl kaum jemand sich durch endlose Verträge durchkämpft und auch noch jedes Detail wirklich überprüft, versteht und schliesslich jeden einzelnen Verweis gewissenhaft überprüft.

Beispiel gefällig? Der Vertrag von Mailchimp ist recht übersichtlich gestaltet, denn er umfasst nur  knapp 6 A4-Seiten. Und nachdem man sich durch das Juristen-Englisch durchgeackert hat, kriegt man als Nachspeise noch eine Liste der Subunternehmen vorgesetzt. Diese sind auch noch irgendwie mit dem Service verknüpft (und betreiben de facto auch Datenverarbeitung). Strenggenommen müsste man nun im Detail abklären, was die einzelnen Firmen (in diesem Fall u.a. Akamai, Amazon, Google, Zendesk, TaskUs) mit Ihren Daten ganz genau anstellen, in welchem Rahmen sie involviert sind und so weiter. Viel Vergnügen bei der Recherche!

Hat man die Vertragshürden endlich gemeistert, gilt es noch Ihre Datenschutzerklärung auf Ihrer Website auf Vordermann zu bringen. Sie müssen diese um die entsprechenden Passagen ergänzen. Die wichtigsten sind:

  • Hinweis, dass der Newsletter-Versand mit Hilfe Dritter gemacht wird
  • Rechtsgrundlage, auf welcher die rechtsmässige Datenverarbeitung basiert
  • Hinweis auf den Datenverarbeitungsvertrag
  • Hinweis zum Widerruf (Abmelden vom Newsletter)

Und schliesslich müssen Sie sicherstellen, dass sämtliche Einwilligungsformulare und auch die entsprechenden Bestätigungsmails die neue Situation, die sich mit der DSGVO ergeben hat, reflektieren: Klare Hinweis auf Rechte, Privacy by Default, usw.

Ich habe das Thema exemplarisch anhand des Newsletter-Versands mit Mailchimp erläutert. MailChimp verfügt über eine Zertifizierung nach dem “EU-US-Privacy-Shield”. Der “Privacy-Shield” ist ein Übereinkommen zwischen der Europäischen Union (EU) und den USA, das die Einhaltung europäischer Datenschutzstandards in den USA gewährleisten soll. Wenn Sie mit anderen Anbietern (ausserhalb der EU) zusammenarbeiten, dann müssen Sie zwingend abklären, ob diese ein angemessenes Datenschutzniveau einhalten. Welche Länder ein angemessenes Datenschutzniveau haben, können Sie auf der EU-Website nachschlagen.

Fakt: Um auch nach dem 25. Mai externe Dienstleister für den Newsletter-Versand rechtssicher verwenden zu können, müssen Sie folgende Punkte sicherstellen:

  1. Auftragsverarbeitung mit Ihrem externen Dienstleister vertraglich vereinbaren.
  2. Ergänzung der Datenschutzerklärung auf Ihrer Website/Shop mit dem entsprechenden Passus.
  3. Einwilligungsformulare und Bestätigungsmails aktualisieren.

Irrtum 5 : „Cookies abspeichern ohne ausdrückliche Einwilligung ist nach wie vor kein Problem.“

Solange die ePrivacy-Verordnung noch nicht eingeführt ist, wird hier wohl noch einige Unsicherheit herrschen. Die bulgarische EU-Ratspräsidentschaft hat Ende März 2018 einen neuen Entwurf bezüglich bestimmter Regelungsinhalte für die ePrivacy-Verordnung vorgestellt. Die Trilog-Verhandlungen sind demnach noch (lange?) nicht abgeschlossen. Wir werden also sicherlich nicht vor Q1/2019 viel mehr Klarheit in dieser Sache haben. Bis dahin gilt aber nach der DSGVO, dass nicht ohne weiteres Cookies bei Besuchern gespeichert werden dürfen. Denn es gilt auch hier das Verbot mit Erlaubnisvorbehalt. Mit anderen Worten: Cookies bei den Website-Besuchern abzuspeichern ist verboten, solange keine der Ausnahmebedingungen der DSGVO greift. Es lohnt sich also einen genaueren Blick auf diese Ausnahmen zu werfen. Die für die Digitalwirtschaft wichtigsten sind:

  • Ausnahme 1: Es besteht eine explizite Einwilligung (z.B. durch ein Cookie-Banner).
  • Ausnahme 2: Es besteht ein berechtigtes Interesse des Website-Betreibers und diese schränken die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht ein.

Wenn Sie als Rechtsgrundlage für die personenbezogene Datenverarbeitung die Ausnahme 2 wählen, dann ist kein Cookie-Banner nötig. Es reicht dann, dass Sie auf die Rechte des Betroffenen und den Zweck der Datenerhebung dieses Cookies in einem Datenschutz-Banner verweisen. Sie sehen, die lästigen Banner werden wir wohl in nächster Zeit so oder so nicht los.

Und wie sieht es mit Cookies von Dritten aus? Bei Cookies von Dritten müssen an erster Stelle die gleichen Überlegungen wie bei eigenen Cookies gemacht werden. Hinzu kommt, dass Sie an geeigneter Stelle auf das Speichern dieser Dritt-Cookies hinweisen müssen. Und stellen Sie sicher, dass je nachdem wo die Datenverarbeitung bei Dritten stattfindet, noch die entsprechenden Massnahmen je nach Bestimmung getroffen werden (Datenschutzniveau abklären, Datenschutzerklärung ergänzen, Auftragsverarbeitungsvertrag abschliessen).

Fakt: Ohne weiteres dürfen keine Cookies gespeichert werden. Auf das Speichern von Cookies ganz verzichten wird applikatorisch meist nicht möglich sein. Doch kein Gesetz ohne Ausnahme. Entscheiden Sie sich also für eine der oben aufgeführten Ausnahmen und implementieren Sie diese in allen Prozessen konsequent.

Irrtum 6: „Die DSGVO macht zu wenige Aussagen zu den geeigneten technischen  Massnahmen, die umgesetzt werden sollen.“

Klar ist, dass eine Verordnung keine spezifischen Aussagen zur technischen Umsetzung machen will und kann. Aber diese Aussage ist so nicht richtig, denn zu diesem Thema machen Art. 25 DSGVO, „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ und Art. 32 DSGVO „Sicherheit der Verarbeitung“ doch einige recht klare Angaben. Wenn man dann noch in die jeweiligen Erwägungsgründe eintaucht (Z.B. Nr. 78), dann lassen sich konkrete Massnahmen daraus ableiten.

Es lohnt sich einen genaueren Blick auf folgende Punkte zu werfen und abzuwägen, ob diese in Ihrem Fall sinnvoll umgesetzt werden können:

  • Verschlüsselung im Allgemeinen: Daten, Endgeräte wie Notebooks, Website nur über SSL/TLS
  • Anonymisierung und Pseudonymisierung: diese beiden Punkte werden sogar in der DSGVO ganz explizit aufgeführt
  • Authentisierung und Authentifizierung: gute Passwort-Policies, verschiedene Sicherheits- und Zugangsstufen
  • Netzwerksicherheit: Firewalls, VPN
  • Applikationssicherheit: regelmässig Patches und Updates einspielen!
  • Endpoint-Security sicherstellen: siehe auch Verschlüsselung von Notebooks, Virenscanner, Malware Protection
  • Penetrationstests: Testen der Wirksamkeit der getroffenen Massnahmen, Aufdecken von Sicherheitslöchern
  • Implementierung der beiden Prinzipien Privacy by Design, Privacy by Default
  • Backup-Lösungen: Daten vor Verlust schützen
  • Resilienz der Systeme: redundate, verteilte, adaptive Systeme
  • Protokollierungs- und Überwachungsmechanismen

Für grossen Interpretationsspielraum wird sicherlich die Anforderung „Einsatz von Technik und organisatorischen Vorkehrungen unter Berücksichtigung diverser Faktoren wie Stand der Technik, Implementierungskosten, Eintrittswahrscheinlichkeit“ sorgen. Es gilt also abzuschätzen, wie hoch die einzelnen Risiken versus der Aufwände für die Risikominimierungen sind.

Wie die Massnahmen genau umgesetzt werden müssen, ist logischerweise abhängig von den eingesetzten Technologien. Hierzu beraten wir Sie gerne fachmännisch. Die Liste zeigt, dass es auf verschiedenen Ebenen einen Blick auf Sicherheit und somit auch Datenschutz zu werfen gilt. Zahlreiche Punkte werden leider im operativen Geschäft nur sehr lax gehandhabt. Es ist zu hoffen, dass die DSGVO hier alle Betroffenen etwas mehr sensibilisiert.

Fakt:  Um den Datenschutz zu gewährleisten gilt es an verschiedenen Stellen technische Massnahmen zu treffen.
Aber eigentlich hat das ja nicht nur mit der DSGVO zu tun, sondern mit dem Betrieb einer sicheren ICT in Ihrem Unternehmen…

Fazit

Ich hoffe, ich konnte auch mit dem zweiten Teil noch mehr zur Klärung von Unsicherheiten beitragen. Und vielleicht hilft Ihnen bei der einen oder anderen Frage unser frei verfügbarer Leitfaden weiter?

Ich warte nun noch weitere Feedbacks ab und je nachdem, gibt es dann einen dritten Teil 😉

Möchten auch Sie einen DSGVO-Irrtum geklärt haben? Lassen Sie es uns wissen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.