Maximilian Conrad, Rechtsanwalt der Anwaltskanzlei Conrad aus Berlin, gibt im Gespräch mit Content Fleet wichtige Tipps.
1. Die 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) hat viele Webseitenbetreiber verunsichert. Ist es überhaupt noch möglich, eine DSGVO-konforme Website zu betreiben und gleichzeitig Nutzerdaten zu speichern?
Auf jeden Fall. Das Gerücht, die DSGVO hätte viel verboten, was vorher erlaubt gewesen wäre, hält sich hartnäckig, ist aber falsch. Es stimmt, dass die Europäische Union ein paar Dinge spezifiziert hat. Der Kern der DSGVO ist jedoch ein anderer: Webseitenbetreiber müssen transparenter werden und es ist rechtlich riskanter geworden, die auch früher schon bestehenden Regeln zu brechen. Eine verbreitete Praxis war ja, Daten allein nach wirtschaftlicher Zweckmäßigkeit zu nutzen, Anfragen zur Verarbeitung von Daten gar nicht zu beantworten, sehr vage zu antworten oder einfach falsch zu beantworten. Für einen redlichen Seitenbetreiber hat sich durch die DSGVO also gar nicht viel verändert: Er muss wissen, welche Daten er erfasst, wo und wie er sie speichert, sich an den Zweck halten, zu dem er die Daten bekommen hat und schließlich, wenn jemand fragt, zu diesen Themen auch Auskunft geben können. Das dürfte für die meisten Seitenbetreiber kein Problem sein.
2. Worauf sollten Webseiten-Betreiber besonders achten und was sind die größten Fehler, die sie im Umgang mit Nutzerdaten machen können?
Ein großes Risiko gehen Seitenbetreiber ein, die nicht wissen, was auf ihrer Seite eigentlich technisch passiert. Firmen sind immer wieder überrascht, wenn wir auf die Menge an Cookies oder Skripten hinweisen, die auf ihren Seiten laufen. Wer die technische Realität nicht kennt, dem nützen auch lange Rechtstexte wenig.
Ein zweiter großer Fehler ist es, Anfragen oder Wünsche zu Daten unbeantwortet zu lassen. Natürlich werden auch die Auskunftsrechte missbraucht und es werden unsinnige Löschanfragen gestellt. Trotzdem sollte eine Webseite darauf vorbereitet sein, sich mit jeder Anfrage kurz auseinanderzusetzen.
3. Kunden haben nun nach Artikel 15 DSGVO ein Auskunftsrecht gegenüber Unternehmen oder Vereinen bezüglich ihrer dort gespeicherten persönlichen Daten. Wie antworte ich korrekt, wenn ich eine solches Auskunftsersuchen erhalte?
Wer eine Dateninventur auf seiner Webseite gemacht hat, den können solche Anfragen eigentlich nicht erschrecken. In welchen Silos bewahre ich Daten auf, wie werden diese Silos befüllt und wer hat darauf Zugriff? Wenn ich das weiß, kann ich auch leicht erklären, woher mein Vertriebsteam eine Emailadresse hatte oder welcher Zahlungsdienstleister mir mitgeteilt hat, mit diesem Besucher meiner Webseite besser keinen Kaufvertrag ohne Vorkasse einzugehen.
4. Nach dem Safe-Harbour-Abkommen haben EU-Richter jetzt auch die Nachfolge-Vereinbarung Privacy Shield gekippt, die das Speichern von Daten europäischer Nutzer auf US-Servern regeln sollte. Das betrifft nicht nur Google oder Facebook, sondern auch mittelständische Unternehmen, die beispielsweise Newsletter versenden. Was sollten europäische Firmen nun tun, um ihre Kundendaten rechtskonform zu schützen, wenn diese auf US-Servern gehostet werden?
Zunächst mal ist die Aufbewahrung von Daten außerhalb der Europäischen Union nicht automatisch illegal, auch wenn in der gegenwärtigen hitzigen Diskussion manchmal der Eindruck entsteht. Es können dadurch lediglich zusätzliche Informations- oder Zustimmungspflichten entstehen. Für viele Unternehmen sind diese vermutlich nicht schwer umzusetzen und die meisten Kunden werden gegen den Einsatz solcher Dienste auch keine Einwände erheben. Ich empfehle hier offen mit der Verwendung von Tools und Services umzugehen und es den Kunden zu überlassen, ob der Ort der Vereinbarung eine Rolle spielt.
Der beste Ort für so eine Frage nach Firmen außerhalb der Europäischen Union könnte die Stelle sein, an der der Besucher erstmals Daten eingibt. Hier muss er ohnehin Entscheidungen treffen und hat zudem die Daten, um die es geht, direkt vor sich. Eine gute Datenschutzerklärung listet verwendete Tools und Dienstleister auf. Es spricht nichts dagegen, auch Speicherorte aufzuführen und als Teil des Eingabeformulars um Zustimmung zu bitten.
5. Kann ich mich hierbei absichern, indem ich Kundendaten nur auf inländischen Servern speichere? Wie stelle ich sicher, dass dies auch bei Cloud-Anwendungen funktioniert?
Eine Verwendung von Servern auf dem Gebiet der Europäischen Union kann eine Lösung sein, wenn man auf zusätzlichen Aufwand im Zusammenhang mit US-Servern verzichten will. Arbeitet man mit Dienstleistern, sollte man von diesen verlangen, dass sie sich auf den Ort der Verarbeitung und Speicherung festlegen und das auch vertraglich absichern.
6. Gibt es denn im Zeitalter globaler Clouds überhaupt noch so etwas wie ein Daten-Inland, in dem ganz klar nationaler Datenschutz greift?
Zwei Fragen zeigen, dass die Antwort darauf derzeit nicht einfach ist:
Erstens: Welche Auswirkungen hat es, dass ausländische Sicherheitsdienste heimischen Firmen auferlegen können ihnen auch Zugriff auf Server im Ausland zu erlauben - zum Beispiel zu Servern, die auf dem Gebiet der Europäischen Union stehen.
Und zweitens: Moderne Serverstrukturen verteilen Daten häufig aus Sicherheitsgründen auf viele Standorte. Wo „sind“ diese Daten nun aber rechtlich, wenn sie an jedem der Standorte allein gar nicht lesbar sind? Diese Fragen sind ungeklärt. Ich empfehle Firmen, die Diskussion zu verfolgen und sich auf ständige Veränderung einzustellen.
7. Cookies, also kleine Textdateien, die von Webseiten auf dem Computer des Betrachters gespeichert werden, sind Datenschützern ein Dorn im Auge. Eigentlich sollen Cookies dem Nutzer helfen, für seinen nächsten Besuch Login-Daten oder einen Warenkorb zwischenzuspeichern. Doch immer wieder werden Cookies auch zum Besuchertracking genutzt. Wie gewährleiste ich als Webseiten-Betreiber, dass meine Cookies aktuellem EU-Recht entsprechen?
Ein Seitenbetreiber sollte zunächst drei Gruppen von Cookies unterscheiden. Cookies, die technisch für den Betrieb der Seite notwendig sind, muss ein Besucher nicht zustimmen, er muss nur über ihre Verwendung in geeigneter Form informiert werden. Cookies, die vielleicht nicht notwendig sind, deren Verwendung der Seitenbetreiber aber aus technischen Gründen für sinnvoll hält, befinden sich derzeit in einer Grauzone. Und schließlich gibt es Cookies, die nicht technisch notwendig, aber für den Seitenbetreiber wirtschaftlich interessant sind. Besonders die zweite und dritte Gruppe von Cookies sind also im Einzelfall kritisch zu prüfen.
8. Viele Webseiten-Betreiber sichern sich mit einem vom Besucher zu bestätigenden Cookie-Hinweis ab und gehen davon aus, damit ihre Informationspflicht bezüglich verwendeter Cookies erfüllt zu haben. Ist es wirklich so einfach? Hat das BGH-Urteil im Fall „Planet 49“ hier Klarheit geschaffen?
Das vielzitierte BGH-Urteil ist leider bei der Abgrenzung der oben genannten drei Gruppen von Cookies keine Hilfe gewesen. Es hat nur festgestellt, dass WENN eine Einwilligung erforderlich ist (also bei Gruppe 3 und vielleicht bei Gruppe 2) das Anklicken einer vom Betreiber vorausgefüllten Zustimmung durch den Website-Besucher nicht ausreicht.
9. Was empfehlen Sie Betreibern von Websites daher konkret im Umgang mit Cookies?
Ich empfehle hier, sehr genau zu überlegen, welche Cookies wirklich gebraucht werden und ob sie den eventuell entstehenden Aufwand, die Zustimmung des Nutzers einzuholen und zu verwalten, wirklich wert sind.
10. Cookies sind ein wichtiges Instrument zur Reichweitenmessung, aber auch umstritten. Erste Anbieter denken deshalb über Cookie-freie Werbewirkungsmessung nach. Sind Cookies ein Auslaufmodell, das auf Dauer nicht mehr Datenschutz-konform sein wird?
Ich denke, viele Cookie gestützte Systeme werden uns noch sehr lange begleiten und ich halte das auch bei vielen Funktionen datenschutzrechtlich für völlig unkritisch. Was das Targeting betrifft: Dort wurde der Tod der Cookies schon oft vorhergesagt. Ich halte es hier wie alle anderen und lasse mich vom Einfallsreichtum der Werbebranche und der Zähigkeit der Parlamente überraschen.
11. Als Webseiten-Betreiber möchte ich meinen Besuchern genau den Content bieten, der zu ihren Interessen passt. Aber welche Daten darf ich überhaupt noch von ihnen speichern, um solche individuellen Inhalte generieren zu können?
Ein Seitenbetreiber sollte sich immer überlegen, ob er den gewünschten Erfolg nicht auch mit einem „weniger“ an Daten erreichen kann. So werden häufig die IP-Adresse oder eine Mailadresse mit einem Interessenprofil verknüpft, ohne dass diese Informationen wirtschaftlich betrachtet überhaupt benötigt werden. Wirklich anonyme Profile können hier eine Lösung sein.
Ein anderer Weg ist es, mit diesen Anpassungen offen umzugehen und den Nutzern ein Profil einzurichten. Gmail macht beispielsweise für seine Nutzer sichtbar und einstellbar, welche Interessen vermutet werden und passt seine Werbeanzeigen daran an.
12. Unternehmen sind zur Datensparsamkeit angehalten. Andererseits verlangt der Gesetzgeber aber auch, produktbezogene Kundenrückmeldungen zu erfassen, etwa wenn ein Patient einem Arzneimittelhersteller via Social Media mitteilt, dass sein Medikament Nebenwirkungen hat. Wie ist dieser Spagat DSGVO-konform zu bewältigen?
Ich beneide die Kollegen, die in diesem Rechtsgebiet tätig sind, zwar nicht um die Aufgabe, diese Fragen im Detail zu klären, das Problem erscheint mir aber lösbar. Drei Anmerkungen dazu: Wer Informationen via Facebook & Co übermittelt, unterhält bei diesen Firmen ein Profil und hat die Regeln der Seiten akzeptiert, die er nutzt. Hinzu kommt der Zweck der Datenübermittlung: Der Nutzer verlangt ja in der Regel wenigstens konkludent, dass der Empfänger seine Erfahrungen ernst nimmt und berücksichtigt. Beides belastbare rechtliche Gründe, von einer zulässigen Datennutzung des Empfängers auszugehen. Und schließlich: Unterliegt der Empfänger nach den Produkthaftungsgesetzen der Pflicht, diese Daten aufzunehmen und sich damit auseinanderzusetzen, so kann schon das ein datenschutzrechtlich ausreichender Grund für Speicherung und Verarbeitung sein.
UNSER INTERVIEW-PARTNER:
Rechtsanwalt Maximilian Conrad ist 45 Jahre alt und berät Content Fleet seit der Gründung der Gesellschaft. Er vertritt mit seiner Berliner Kanzlei Mandanten im Bereich Technik, Produktentwicklung und Urheberrecht.
Sein Lieblingssatz: "Ein Anwalt sollte nicht nur eine rechtliche Meinung haben sondern konkret umsetzbare Ideen und Lösungen liefern."
