th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung: Auswirkungen auf Websites und Webshops

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab 25. Mai 2018 unmittelbar. Der Text ist im Amtsblatt der EU bereits veröffentlicht.

Nähere Informationen finden Sie in der Checkliste.

Die Verordnung enthält viele sogenannte "Öffnungsklauseln"; das sind Spielräume für Mitgliedsstaaten, wodurch die nationale Gesetzgebung Änderungen bzw Adaptionen vornehmen kann oder auch muss. Diese nationalen Umsetzungen sind derzeit noch nicht erfolgt, sodass endgültige Aussagen über die künftige Rechtssituation noch nicht getroffen werden können.

Dennoch ist es sinnvoll und notwendig, sich rechtzeitig auf das neue Datenschutz-System einzustellen. Diese Übersichtsseite soll Ihnen dabei helfen, indem sie die wichtigsten für Websites relevanten Themen erläutert und konkrete Anpassungsnotwendigkeiten aufzeigt. In jedem Kapitel finden Sie zu wichtigen Begriffen im Text Links zu weiterführenden Inhalten sowie konkrete To Do–Vorschläge.

Für Cookies und Online-Direktwerbung (z.B. E-Mail-Newsletter) wird es eine eigene Datenschutz-Verordnung elektronische Kommunikation – E-DSVO) geben. Bis dahin gelten die Bestimmungen des Telekommunikationsgesetzes (TKG). Informationen zur derzeitigen Rechtslage finden Sie im Dokument „Speicherung von Kundendaten: Zustimmungserklärung – Cookies – Datenschutzerklärung“ bzw im Dokument „E-Mails versenden – aber richtig“.

Verarbeitung von Nutzerdaten – Grundsätze (Art 5 DSGVO)

Wenn Sie (auf Ihrer Website) personenbezogene Daten verarbeiten (insbesondere Erheben, Erfassen, Speichern, Auslesen, Abfragen, Verwenden, Ändern, Abgleichen, Übermitteln, Bereitstellen, Verknüpfen) haben Sie die geltenden Datenschutzbestimmungen einzuhalten.

Wenn Sie einen Webshop betreiben, verarbeiten Sie jedenfalls personenbezogene Daten und haben daher die jeweils geltenden Datenschutzbestimmungen einzuhalten.

Jede Datenverarbeitung hat den in der DSGVO normierten Grundsätzen zu entsprechen. Dazu gehört neben einem gerechtfertigten Zweck und dem Grundsatz der Datenminimierung (auch im Hinblick auf Speicherdauer) unter anderem die Rechtmäßigkeit der Datenverarbeitung.

Wann ist eine Datenverarbeitung „rechtmäßig“ (Art 6 DSGVO)?

Sowohl nach der derzeitigen Rechtslage als auch künftig dürfen personenbezogene Daten von Usern /Nutzern/Kunden/Website-Besuchern (die DSGVO spricht von „Betroffenen“) nur dann verarbeitet werden, wenn die Verarbeitung „rechtmäßig“ ist.

Eine Datenverarbeitung ist dann rechtmäßig, wenn einer der folgenden Punkte vorliegt:

  • Verarbeitung ist zur Erfüllung des Vertrages unmittelbar notwendig (z.B. zur Abwicklung eines Online-Kaufes; Marketing nach dem Kauf ist aber bereits nicht mehr zur Vertragserfüllung notwendig; es dürfen auch nicht mehr Daten als unbedingt erforderlich erhoben werden)

    Beispiel:
    Für die Zustellung der Bestellung im Webshop wird die Zusendeadresse erhoben.  Diese muss für die Vertragserfüllung gespeichert und verarbeitet werden. Dies ist zulässig. Das bedeutet aber noch nicht automatisch, dass diese Adresse auch für die Zusendung von Werbematerial verwendet werden darf.

  • Berechtigtes Interesse des Verantwortlichen (des Datenverarbeiters), sofern nicht die Interessen des Betroffenen überwiegen (vom Datenverarbeiter vorzunehmende Interessenabwägung). Nach Erwägungsgrund 47 kann Direktwerbung als ein berechtigtes Interesse betrachtet werden.

    Beispiel:
    Die Zusendung von Werbematerial per Post (per E-Mail bestehen Sondervorschriften; hier ist in der Regel eine vorherige Einwilligung notwendig) könnte als berechtigtes Interesse des Webshopbetreibers gesehen werden.

  • Einwilligung des Betroffenen für einen oder mehrere genau bezeichnete und bestimmte Zwecke

    Beispiel:
    Der Besucher einer Website willigt ausdrücklich ein, vom Unternehmen X E-Mail-Newsletter zu erhalten.

  • Erfüllung einer rechtlichen Verpflichtung des Datenverarbeiters

  • Erfüllung einer Aufgabe im öffentlichen Interesse

In Zweifelsfällen wird in der Praxis auch im Bereich des „berechtigten Interesses“ oft mit einer Einwilligung (z.B. via Checkbox) gearbeitet werden müssen.

Nur dann, wenn in einem Webshop ausschließlich Daten verarbeitet werden, die zur Vertragsabwicklung notwendig sind und die Daten auch ausschließlich zur Vertragsabwicklung verwendet werden, kann eine Einwilligung entfallen. Informationspflichten (siehe unten) gibt es aber auch in diesem Fall.

To Do:

  • Evaluieren, welche Daten zu welchen Zwecken erhoben/verarbeitet/wie lange gespeichert werden.
  • Erforderlichenfalls mit Einwilligungen arbeiten.

Bei sensiblen Daten (ethnische Herkunft; politische, religiöse oder weltanschauliche Überzeugung; Gewerkschaftszugehörigkeit; genetische Daten; biometrische Daten; sexuelle Ausrichtung) ist eine ausdrückliche Erklärung (aktives Ankreuzen einer Checkbox) notwendig.

Wie sieht eine gültige Einwilligung aus (Art 7 DSGVO)?

Um gültig zu sein, muss eine Einwilligung folgende Kriterien erfüllen:

  • freiwillig

  • in informierter Weise und unmissverständlich (dies ergibt sich aus den Erläuterungen – „den sogenannten Erwägungsgründen“ - der DSGVO)

  • nachweisbar

  • inhaltlich und optisch von anderen Erklärungen oder Texten abgegrenzt (nicht in AGB versteckt und nicht mit anderen Erklärungen gekoppelt; dieses sogenannte „Koppelungsverbot“ bedeutet in der Praxis: im Zweifel für jede Datenanwendung eine eigene Checkbox, die aktiv angekreuzt werden muss)

  • in verständlicher, leicht zugänglicher Form; in klarer und einfacher Sprache

  • jederzeit widerrufbar

Aus dem Kriterium, dass die Einwilligung „in informierter Weise und unmissverständlich“ erfolgen muss, kann abgeleitet werden, dass vor bzw im Zuge der Einwilligungserklärung die Informationspflichten (Art 13, Art 14) zur Kenntnis gebracht werden müssen.

Das Koppelungsverbot bedeutet: Eine Einwilligung ist unzulässig, wenn die Erfüllung eines Vertrages, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung des Vertrages nicht erforderlich ist.

Beispiel:
Die Website/der Webshop muss auch ohne Datenauswertung, die für die Bestellung bzw die Dienste auf der Website nicht unmittelbar notwendig sind, funktionsfähig sein.


To Do:

  • Evaluieren, ob die Einwilligung alle erhobenen Daten, Anwendungen und Zwecke genau umfasst.
  • Keine vorangekreuzten Check-Boxen.

Die Einwilligung eines Kindes ist nur dann rechtmäßig, wenn das Kind das 16. Lebensjahr vollendet hat. Hier besteht eine Öffnungsklausel, wonach die Mitgliedsstaaten die Altersgrenze bis zum 13. Lebensjahr herabsetzen können. Wie der Nachweis des Erreichens der relevanten Altersgrenze erfolgen soll, ist derzeit noch offen. 

To Do:

  • Altersgrenzen setzen.

Dürfen Daten, deren Verwendung vom ursprünglichen Verwendungszweck nicht umfasst ist, für weitere Zwecke als den ursprünglichen Zweck verwendet werden (Art 6 Abs 4 DSGVO)?

Sie haben Daten rechtmäßig (z.B. auf Grund einer Einwilligung oder im Rahmen der Vertragserfüllung) erhoben und wollen diese Daten für einen weiteren Zweck (z.B. Geburtstagsgrüße), der von der ursprünglichen Rechtsgrundlage (z.B. Einwilligung oder Vertragserfüllung) nicht umfasst ist, verwenden. Dafür besteht eine „Erleichterung“ im Vergleich zur bisherigen Rechtslage insofern, als dass künftig rechtmäßig erhobene Daten auch zu anderen als zu den ursprünglichen Zwecken verwendet werden dürfen, ohne dass dafür eine eigene Einwilligung erforderlich ist. Dies aber nur dann, wenn folgende Punkte eingehalten werden:

  • Es besteht eine inhaltliche Verbindung bzw ein Zusammenhang zwischen den ursprünglichen und den neuen Zwecken und der ursprünglichen Datenerhebung (z.B. Kundenbindung, Marketing für eigene Produkte)

  • Vorhandensein angemessener Garantien gegen einen Missbrauch, wie insbesondere eine Pseudonymisierung oder Verschlüsselung der Daten. Bei der Frage, welche Maßnahmen als angemessen angesehen werden, sind die Art der Daten sowie mögliche Folgen der Weiterverarbeitung für betroffene Personen zu berücksichtigen.

  • Der Betroffene ist von den weiteren Verwendungszwecken zu informieren. 

Beispiel:
Im Zuge einer Bestellung wird auch das Geburtsdatum erhoben – entweder als freiwillige Angabe oder um das Alter des Bestellers überprüfen zu können oder um für den Fall einer erst nachträglichen Zahlung (bzw nicht-Zahlung) den Schuldner für einen Exekutionsantrag eindeutig identifizieren zu können. Ohne dass dafür eine ausdrückliche Einwilligung vorliegt, soll dieses Datum auch für einen zusätzlichen Zweck, nämlich die Zustellung von Geburtstagsgrüßen verwendet werden. Wenn der Betroffene z.B. in der Datenschutzerklärung über diese Verwendung informiert wird, kann diese Verwendung wohl als zulässig erachtet werden. Allerdings sollte dazu nicht eine offene Postkarte verwendet werden, aus der jedermann das Geburtsdatum oder gar das Alter ersehen kann.

Welche Informationspflichten gibt es bei der Datenerhebung (Art 13 DSGVO)?

Neu ist, dass die DSGVO anders als das bisherige Datenschutzgesetz (aber ähnlich wie das bisherige Telekommunikationsgesetz; § 96 TKG) losgelöst von einem aktiven Auskunftsbegehren eines Betroffenen umfangreiche Informationspflichten  bereits im Zeitpunkt der Datenerhebung kennt. Da außerdem eine allenfalls zusätzlich erforderliche Einwilligungserklärung „in informierter Weise und unmissverständlich“ erfolgen muss, setzt dies voraus, dass diesen Informationspflichten vor bzw im Zuge der Einverständniserklärung nachgekommen wird. Aber auch wenn keine Einverständniserklärung notwendig ist, ist den Informationspflichten nachzukommen.

Bei den Informationspflichten handelt es sich um folgende Punkte (so diese im konkreten Einzelfall zutreffen):

  • Name und Kontaktdaten des für die Datenverarbeitung Verantwortlichen

  • Zweck sowie Rechtsgrundlage für die Verarbeitung

  • Angabe der berechtigte Interessen zur Datenverarbeitung (wenn diese nicht auf einer Einwilligung, sondern auf einer Interessenabwägung beruht)

  • Empfänger oder Kategorien von Empfängern

  • Absicht, Daten an ein Drittland oder eine internationale Organisation zu übermitteln

  • Speicherdauer, bzw Kriterien für die Festlegung der Dauer

  • Hinweis auf das Auskunftsrecht, Berichtigungsrecht und Löschungsrecht oder Einschränkung der Verarbeitung sowie auf das Widerspruchsrecht und das Recht auf Datenübertragbarkeit

  • Hinweis auf das Widerrufsrecht, wenn die Daten durch Einwilligung erhoben wurden

  • Hinweis auf ein allfälliges Beschwerderecht bei einer Aufsichtsbehörde

  • Hinweis, wie weit die Datenbereitstellung gesetzlich oder vertraglich vorgeschrieben ist oder für den Vertragsabschluss erforderlich ist

  • Hinweis, ob die betroffene Person verpflichtet ist, die Daten bereit zu stellen und welche möglichen Folgen die Nichtbereitstellung hätte

  • Hinweis, ob die Daten zu einer automatisierten Entscheidungsfindung (einschließlich Profiling) verwendet werden und eine allgemein verständliche Darstellung der Entscheidungslogik sowie der Tragweite der Auswirkungen einer derartigen Verarbeitung

  • Verwendung der Daten für einen anderen als den ursprünglichen Verwendungszweck

In diesen im Gegensatz zur bisherigen Rechtslage sehr umfassenden Informationspflichten besteht die wesentlichste inhaltliche Neuerung durch die DSGVO. Diese Informationspflichten entsprechen in etwa dem, was schon bisher als „Datenschutzerklärung“ auf vielen Websites zwar nicht in dieser Tiefe gesetzlich (TKG) vorgeschrieben, aber weitgehend best practice war.  

Welche Informationspflichten gibt es, wenn Daten aus anderen Quellen verwendet werden (Art 14 DSGVO)?

Wenn Daten nicht direkt vom Betroffenen, sondern von Dritten erhoben werden, bestehen zusätzliche Informationspflichten (Art 14 DSGVO), insbesondere:

  • Angabe der Quellen aus denen allenfalls Daten eingespeist bzw gesammelt werden

To Do:

  • Datenschutzerklärung anpassen oder erstellen

Welche Datensicherungsmaßnahmen sind bereits beim Webauftritt notwendig?

Datenanwendungen nach Möglichkeit sind so zu konfigurieren, dass bereits durch technische Voreinstellungen oder Konfigurationen der Website ein möglichst hohes Datenschutzniveau erreicht und erhalten wird (privacy by design/privacy by default).

Dazu gehört auch die möglichst weitgehende Pseudonymisierung der Daten.

To Do:

  • Website nach Stand der Technik möglichst sicher und datenschutzfreundlich konfigurieren

Informationen zur technischen Umsetzung finden Sie auf der Website der European Union Agency for Network and Information Security (ENISA).

Wann muss ich eine Datenübertragbarkeit gewährleisten (Art 20 DSGVO)?

Datenverarbeiter haben die Übertragbarkeit von Daten in andere Portale oder Foren zu gewährleisten (Datenportabilität).

To Do:

  • Website so erstellen, dass eine Datenübertragbarkeit möglich ist.

Welche Dokumentationspflichten treffen mich?

Weil Sie mit Ihrer Website Nutzerdaten verarbeiten, trifft Sie eine betriebsinterne Dokumentationspflicht darüber, welche Daten zu welchem Zweck erhoben werden und was mit den erhobenen Daten geschieht sowie unter Umständen die Pflicht, das datenschutzrechtliche Risiko Ihrer Nutzer einzuschätzen (Datenschutz-Folgenabschätzung). Die Ausnahme für KMUs bis 250 Mitarbeiter greift gerade beim Webshop in der Regel nicht, weil die Datenverarbeitung nicht nur, wie in der Ausnahme gefordert, gelegentlich erfolgt und unter Umständen auch sensible Daten enthalten kann.

Nur durch Einhaltung der Dokumentationspflicht können Sie auch Ihren sonstigen Verpflichtungen als „Verantwortlicher“ nachkommen.

Zusammenfassung der TO DO-Liste:

  • Evaluieren, welche Daten zu welchen Zwecken erhoben/verarbeitet/wie lange gespeichert werden
  • Datenschutzerklärung anpassen oder erstellen
  • Erforderlichenfalls mit Einwilligungen arbeiten
    • Evaluieren, ob die Einwilligung alle erhobenen Daten, Anwendungen und Zwecke genau umfasst
    • Keine vorangekreuzten Check-Boxen verwenden
  • Altersgrenzen setzen
  • Website nach Stand der Technik möglichst sicher und datenschutzfreundlich konfigurieren
  • Website so erstellen, dass eine Datenübertragbarkeit möglich ist
  • Betriebsinternes Daten-Dokumentationssystem aufbauen
Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.