Am 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten geltendes Recht. Durch die DSGVO wird das bisher geltende Datenschutzrecht weitgehend reformiert. Shop-Betreiber müssen zu diesem Zeitpunkt auch eine neue Datenschutzerklärung in ihren Shop einstellen. Was sich durch die DSGVO in Bezug auf die Datenschutzerklärung konkret ändert, erfahren Sie im folgenden Gastbeitrag der IT Recht Kanzlei München.
ÄNDERUNGEN DURCH DIE DSGVO
Einige Vorschriften des TMG werden durch die DSGVO ergänzt, andere werden weitgehend bestehen bleiben. Wiederum andere Regelungen des TMG werden durch die DSGVO vollständig ersetzt. Welche Änderungen es konkret bezüglich der Datenschutzerklärung ab dem 25. Mai 2018 geben wird, erläutern wir im Folgenden.
I. Wirkung der DSGVO
Anders als EU-Richtlinien, die durch die einzelnen Mitgliedstaaten erst noch in nationales Recht umgesetzt werden, sind EU-Verordnungen unmittelbar anwendbar. Das bedeutet: Die DSGVO gilt ab dem 25. Mai 2018 in Deutschland wie nationales Recht, Shop-Betreiber müssen die Regelungen ab diesem Zeitpunkt umsetzen.
II. Sachlicher Anwendungsbereich der DSGVO: Informationspflichten nur bei personenbezogenen Daten
Ziel der DSGVO ist es, ein einheitliches Regelwerk in der ganzen EU zum Schutz personenbezogener Daten zu schaffen. Auch die datenschutzrechtlichen Informationen werden nach der DSGVO demnach nur ausgelöst, wenn personenbezogene Daten verarbeitet werden.
Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
1. Relative oder absolute Bestimmbarkeit der Person?
Hinter dieser auf den ersten Blick recht eindeutigen Definition von personenbezogenen Daten steckt jedoch folgendes Problem, welches das Datenschutzrecht schon seit geraumer Zeit beschäftigt:
– Kommt es bei der Beurteilung der Identifizierbarkeit einer Person darauf an, ob gerade die datenverarbeitende Stelle die Person identifizieren kann (relative Bestimmbarkeit)?
– Oder genügt die theoretische (technische) Möglichkeit einer Identifizierung der Person unter Berücksichtigung des „gesamten Weltwissens“ (absolute Bestimmbarkeit)?
Praxisrelevant wird dieser Meinungsstreit insbesondere bei der Beurteilung, ob (dynamische) IP-Adressen personenbezogene Daten sind (vgl. dazu https://www.it-recht-kanzlei.de/index.php?_action=%2FPDF%2Fprint&_rid=6258). Fraglich ist, ob die DSGVO diesem Streit nun ein Ende setzt.
Für den Ansatz der „relativen Bestimmbarkeit“ spricht, dass der Erwägungsgrund 26 zur DSGVO darauf abstellt, dass die Identifizierbarkeit einer Person danach zu beurteilen ist, ob sie „der verantwortlichen Stelle […] mit Mitteln möglich ist, die sie nach allgemeinem Ermessen wahrscheinlich nutzen würden.“ Andererseits stellt der Erwägungsgrund 26 alternativ auf eine nicht näher definierte „andere Person“ ab, was dafür spricht, dass eine absolute Bestimmbarkeit genügt. Gegen den absoluten Ansatz spricht jedoch wiederum Erwägungsgrund 30 zur DSGVO, der exemplarisch darstellt, dass IP-Adressen unter Umständen dazu genutzt werden können, natürliche Personen zu identifizieren. IP-Adressen sind nach dem Erwägungsgrund 30 zur DSGVO also nicht für jede Stelle automatisch personenbezogen.
Diese Zweideutigkeit könnte dafür sprechen, dass der europäische Gesetzgeber hier einen Mittelweg gehen wollte. So dürfte es nach der DSGVO genügen, wenn der Webseitenbetreiber über die notwendigen Mittel verfügt, die ihm die Bestimmung der hinter den Daten stehenden Person grundsätzlich ermöglichen. Unerheblich dürfte also sein, ob die hinter den Daten stehende Person tatsächlich im konkreten Fall identifiziert wird. Entscheidend ist vielmehr, ob die Mittel den Webseitenbetreiber grundsätzlich hierzu in die Lage versetzen. Für diese Interpretation spricht auch die Entscheidung des EuGH vom 19.10.2016 (C-582/14) (http://www.it-recht-kanzlei.de/speicherung-dynamische-ip-adressen-eugh.html#abschnitt_7).
2. Grenze: Anonyme Daten
Eine Grenze zieht die DSGVO erst dort, wo die Daten tatsächlich anonym sind, d. h. bei Informationen, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.
3. Die Folgen für die Praxis
Auch künftig werden nur personenbezogene Daten die datenschutzrechtlichen Informationspflichten auslösen. Dies bezüglich unterscheiden sich BDSG und DSGVO nicht. Auswirkungen hat die DSGVO jedoch auf die Beurteilung, ob eine IP-Adresse personenbezogen ist und demnach den datenschutzrechtlichen Informationspflichten unterliegt. Dies beurteilt sich künftig danach, ob der Webseitenbetreiber über die notwendigen Mittel verfügt, die ihm die Bestimmung der hinter den Daten stehenden Person grundsätzlich ermöglichen.
INHALT EINER DATENSCHUTZERKLÄRUNG NACH DSGVO
Art. 13 Abs. 1 DSGVO zählt durch einen Katalog an Pflichtinformationen genau auf, welche Informationen eine Datenschutzerklärung enthalten muss. Dieser Katalog an Pflichtinformationen ersetzt ab dem 25. Mai 2018 den § 13 Abs. 1 TMG, der lediglich allgemein vorschreibt, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten.
Der Katalog in Art. 13 Abs. 1 DSGVO schreibt Online-Händlern vor, ihre Datenschutzerklärung mit Informationen über alle der nachstehenden Punkte zu versehen:
- den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Händlers (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
- sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Einwilligung oder gesetzlicher Erlaubnistatbestand), wobei zwischen verschiedenen Zwecken deutlich zu differenzieren ist
- wenn die Verarbeitung auf Artikel 6 Abs. 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe)
- gegebenenfalls die Absicht des Händlers, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist oder wo sie verfügbar sind
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen der Betroffenenrechte, also des Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
- wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte
- soweit der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
Eine wesentliche Neuerung liegt darin, dass künftig nicht nur die Zwecke der Datenverarbeitung zu nennen sind, sondern auch eine klare Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten.
Zu beachten ist, dass nach dem Wortlaut des Art. 13 DSGVO keine Pflicht besteht, über die Arten und den Umfang der Datenverarbeitungsvorgänge so zu informieren, wie es derzeit noch § 13 Abs. 1 TMG vorsieht.
Weil die Informationspflicht das Schutzniveau für die Betroffenen aber weiter anheben soll (Erwägungsgrund 10 der DSGVO), muss davon ausgegangen werden, dass die Datenschutzerklärung auch weiterhin über sämtliche auf der Webseite ablaufende Datenvorgänge belehren muss. Dies lässt sich zum einen darauf stützen, dass die Belehrung über Art und Umfang der Datenvorgänge im Zusammenhang mit den übrigen Informationen von der DSGVO logisch vorausgesetzt wird. Insofern knüpft nämlich Art. 13 Abs. 1 DSGVO dem Wortlaut nach stets an bestimmte personenbezogene Daten und nicht generell an ein Konvolut derselben an, zumal auch Erwägungsgrund 39 Hinweise auf die Art und den Umfang der Datenvorgänge als Ausprägung des Transparenzgebots in die Informationspflicht einbezieht. Zum gleichen Ergebnis gelangt man im Angesicht der Tatsache, dass der Hinweis auf die Arten und den Umfang der Erhebung und Verarbeitung eine logische Voraussetzung dafür ist, den jeweiligen Verarbeitungszweck nach Art. 13 Abs. 1 lit. c DSGVO zu definieren. Dieser kann nur dann dargestellt werden, wenn die betroffenen Daten im Kontext von Seiten des Händlers gleichermaßen identifiziert werden.
FORM EINER DATENSCHUTZERKLÄRUNG NACH DSGVO
§ 13 Abs. 1 Satz 1 TMG schreibt bezüglich der Form der Datenschutzerklärung vor, dass die Informationen in allgemein verständlicher Form erfolgen müssen. Daraus folgt, dass technische oder juristische Fachbegriffe und Formulierungen nach Möglichkeit vermieden werden sollten. Nach § 13 Abs. 1 Satz 3 TMG müssen die Informationen außerdem jederzeit abrufbar sein. Nach bisheriger Rechtslage ist somit erforderlich, dass die Datenschutzerklärung wie das Impressum von jeder Seite der Webseite zu erreichen ist.
Art. 12 Abs. 1 DSGVO ergänzt § 13 Abs. 1 TMG dahingehend, dass die Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln sind. Das kann schriftlich oder in anderer Form, auch elektronisch und mit visuellen Elementen (bspw. standardisierte Bildsymbole), erfolgen.
FAZIT
Die DSGVO enthält im Vergleich zur bisherigen Rechtslage nach § 13 Abs. 1 TMG wesentlich detaillierte Informationspflichten. Dies bietet für Händler den Vorteil, dass sie alle Punkte ihrer Datenschutzerklärung anhand des Katalogs Schritt für Schritt abarbeiten und die Datenschutzerklärung so rechtssicher umstellen können. Passen Händler ihre Datenschutzerklärung nicht bis zum Stichtag an, drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Darüber hinaus drohen wettbewerbsrechtliche Abmahnungen von Konkurrenten.
Der komplette, ungekürzte Artikel ist auf den Seiten der IT Recht Kanzlei München zu lesen.