Am 25. Mai 2016 trat die Datenschutz-Grundverordnung (DS-GVO) in Kraft, eine EU-weit gültige Verordnung, die das Bundesdatenschutzgesetz (BDSG) ergänzt und ersetzt. Ab 25. Mai 2018 muss die DSG-VO zwingend angewendet werden. Das ist dann der Zeitpunkt, ab dem Abmahnanwälte tätig werden könnten. Was bedeutet das neue Recht für Autorinnen und Autoren? Ich habe mich darüber mit dem Rechtsanwalt René Jorde unterhalten.
Mal ganz naiv gefragt: Ich erhebe doch als Autor überhaupt keine Daten, warum sollte ich mich dann für die Datenschutz-Grundverordnung (DS-GVO) interessieren?
Da haben Sie recht. Wer tatsächlich auf seiner Autorensite keine Daten erhebt, braucht sich um den Datenschutz auch keine Sorgen zu machen. Das ist aber nur noch selten der Fall, denn auf Internetseiten läuft vieles im Hintergrund ab. Sobald eine Autorenseite Social-Media einbindet, Google Analytics nutzt oder Zugriffsstatistiken erstellt, ist die neue Datenschutz-Grundverordnung zu beachten. Dann werden nämlich personenbezogene Daten an Facebook, Google oder den Web-Hosting-Provider übermittelt. Wer also einen Like-Button auf seiner Internetseite hat, ein Gästebuch anbietet oder Newsletter verschicken will, muss sich mit der DSG-VO befassen.
Meine Website besitzt ein ordentliches Impressum und eine Datenschutzerklärung. Muss ich da Änderungen vornehmen?
An der Impressumspflicht ändert sich durch die DS-GVO nichts. Die Datenschutzerklärung müssen Sie aber höchst wahrscheinlich anpassen, denn das neue Datenschutzrecht verlangt ab dem 25. Mai 2018 mehr Transparenz und sieht zahlreiche Informationspflichten vor. Im Klartext bedeutet das: Sie müssen die Nutzer Ihrer Internetseiten genau darüber informieren, welche Daten erhoben werden und was Sie damit machen. Sie müssen darüber aufklären, welche Rechte der Nutzer hat und wie er diese ausüben kann. Die Datenschutzerklärung wird also umfangreicher als bisher. Daher empfehle ich, diese übersichtlich zu gliedern und nicht mit dem Impressum auf eine Seite zu „quetschen“.
Was muss ich in Zukunft beachten, wenn ich Leser zu meinem Newsletter einlade?
Mit der Datenschutz-Grundverordnung wird der Grundsatz der Datensparsamkeit festgeschrieben. Es sollen daher nur personenbezogene Daten erhoben werden, die dem Zweck angemessen sind. Für den „Zweck“, einen Newsletter zu versenden, genügt daher die E-Mail-Adresse. Wenn Sie weitere Informationen über den Empfänger Ihres Newsletters speichern möchten, brauchen Sie dafür eine Einwilligung. Diese können Sie sich holen, indem Sie auf Ihrer Internetseite ein Formular einrichten, auf dem der Nutzer mit einem Häkchen einwilligen kann. Das Häkchen darf nicht voreingestellt sein, sondern muss durch Anklicken des Nutzers gesetzt werden. Auch muss dem Nutzer konkret mitgeteilt werden, worauf sich seine Einwilligung bezieht. Das können Sie in der Datenschutzerklärung erläutern und im Formular einen Link zur Erklärung bereitstellen.
Ansonsten bleibt es wie bisher: Es gilt das Double-Opt-In-Verfahren. Ein Newsletter-Abo darf daher erst dann beginnen, wenn ein Link in der Bestätigungs-E-Mail geklickt wurde. Und jeder Newsletter sollte neben einem Impressum auch einen Link zum Abbestellen haben.
Die meisten Newsletter-Anbieter bieten die Möglichkeit, Klicks auf Links in der Mail und damit die Öffnungsrate zu erfassen. Ist das ein Problem?
Bei der Umsetzung der DS-GVO gibt es noch viele ungeklärte Fragen. Aus meiner Sicht brauchen Sie aber für die Erfassung der Öffnungsraten eines Newsletters die Einwilligung des Nutzers. Diese sollten Sie dokumentieren, indem Sie Datum, Uhrzeit, den Text der Einwilligung, E-Mail und IP-Adresse des Nutzers speichern und beweissicher erfassen, dass eingewilligt wurde. Das bedeutet organisatorischen und technischen Aufwand, dient aber Ihrem eigenen Schutz. Denn die DS-GVO sieht bei Verstößen empfindliche Bußgelder vor. Darüber hinaus hat das Oberlandesgericht Hamburg entschieden, dass die Erhebung von Daten, ohne eine ausreichende Datenschutzerklärung ein Verstoß gegen das Wettbewerbsrecht ist und abgemahnt werden kann (OLG Hamburg, Urteil vom 27.06.2013, AZ 3 U 26/12).
Eine beliebte Möglichkeit, Abonnenten für den Newsletter zu gewinnen, bestand bisher darin, diese für den Bezug des Newsletters mit einem Goodie (kostenloses E-Book o.ä.) zu belohnen. Kann ich das weiterhin?
Das dürfte auch weiterhin möglich sein. Voraussetzung ist allerdings, dass Sie die Abonnenten nicht verpflichten, den Newsletter für eine bestimmte Zeit zu beziehen und dass Ihr „Goodie“ nicht so wertvoll ist, dass die Nutzer gedankenlos in alles einwilligen würden, nur um in den Genuss der kostenlosen Zugabe zu kommen.
Betrifft die DS-GVO auch Statistiken von Google Analytics und die Nutzung von Social-Media-Plugins, Buttons oder Tracking Pixel?
Ja, denn bei Statistiken und der Nutzung oder Optimierung von Social-Media übermittelt Ihre Autorensite personenbezogene Daten an Dritte. Daher müssen Sie organisatorische und technische Anpassungen zum Schutz der Daten vornehmen. Bei Google Analytics bedeutet das:
- Abschluss eines Vertrages zur Auftragsverarbeitung mit Google
- Anonymisierung von IP-Adressen
- Möglichkeit zur Ausübung des Widerspruchsrechts
- Anpassung der Datenschutzerklärung
Eine praktische Anleitung dazu finden Sie hier.
Beim Like-Button von Facebook ist nicht eindeutig nachvollziehbar, welche Daten übermittelt werden. Daher hat das Landgericht Düsseldorf den Like-Button als Verstoß gegen den Datenschutz eingestuft. (LG Düsseldorf, Urteil vom 09.03.2016, AZ: 12 O 151/15). Diese Frage, wurde nun dem Europäischen Gerichtshof (EuGH) zur Klärung vorgelegt. Auch zum +1 Button von Google+ besteht die Ansicht, dass dieser gegen den Datenschutz verstößt. Im Bereich Social-Media Plugins bestehen daher leider noch viele Unklarheiten.
Bei mir ist alles noch viel komplizierter, weil ich einen Shop betreibe o.ä., wo bekomme ich Hilfe?
Wenn Sie einen Online-Shop betreiben, erheben Sie unter Umständen „sensible“ Daten wie Bankverbindungen oder Kreditkarteninformationen. Daher sind Sie im besonderen Maße dazu verpflichtet, technische Maßnahmen zum Schutze der Daten zu ergreifen. Auch sind Ihre Informationspflichten noch umfangreicher und die Themen Allgemeine Geschäftsbedingungen (AGB) und Widerrufsbelehrung werden relevant. Hierzu gibt es im Internet viele hilfreiche Informationen. Zum Beispiel die Broschüre „Datenschutz-Grundverordnung“ vom Bundesdatenschutz-Beauftragen oder das Informationsmaterial von Industrie- und Handelskammern zum Thema Online-Shops. Dort finden Sie allgemeine Hilfestellungen zum Thema. Wer dennoch unsicher ist, ob die eigene Autorensite gegen das Gesetz verstößt, kann diese auch von einem Rechtsanwalt prüfen lassen.
Beim Thema Datenschutz ist noch vieles in Bewegung: Bei der Europäischen Union ist eine ePrivacy-Verordnung in Vorbereitung und Trends, wie enhanced E-Books oder location based Audio-Books werfen neue Fragen auf. Um beim Datenschutz auf dem Laufenden zu bleiben, empfehle ich die Internetseiten des Bundesdatenschutzbeauftragten und der Verbraucherzentralen.
René Jorde ist Rechtsanwalt, Autor des Buches „Recht für Selbstverleger und Autoren“ und Betreiber von www.Recht-für-Autoren.de. Seine Kanzlei berät Autoren und Selfpublisher aus ganz Deutschland und vertritt deren Interessen gegenüber Verlagen, Agenturen und Distributoren.
Hinweis: einen Online-Generator für eine DSGVO-kompatible Datenschutzerklärung finden Sie hier.