Recht

Websites und Co.: Vermeiden Sie Datenschleudern

21/12/2020

Mag. Katharina Bisset
Rechtsanwältin & Senior Beraterin O.P.P - Beratungsgruppe

© Wolfgang Lehner

 

Katharina Bisset ist Expertin für Datenschutz. Im Interview erklärt sie, worauf Agenturen bei der Erstellung von Websites achten müssen, welche Strafen es gibt und warum auch Fotos nicht von der Datenschutz-Grundverordnung ausgenommen sind.

Welche Hausaufgaben müssen Agenturen bei der Erstellung von Websites in Bezug auf die DSGVO machen?
Katharina Bisset: Das Wichtigste ist, dass Agenturen wissen, ob und wenn ja, welche Daten verarbeitet und an Dritte geschickt werden. Ein praktisches Beispiel: Viele verwenden WordPress mit Plugins, die auch gut funktionieren. Oft ist den Agenturen aber nicht klar, ob bei diesen Plugins Daten an Dritte geschickt werden. Wir sehen dann oft beim Check, dass Dutzende Cookies gesetzt werden und niemand weiß, woher die überhaupt kommen. Also wenn Sie was einbauen in einer Website, Plugins, Codeschnipsel von anderen oder Formulare, schauen Sie darauf, ob da Daten geschickt werden oder nicht. Dann ist es leichter, darauf zu achten, ob Sie ein Cookie-Banner brauchen oder nicht und wo welche Informationen hinkommen sollen. Die Hausaufgabe sollte sein, ein Grundverständnis für Datenschutz zu entwickeln.

Wie sieht es dann mit den datenschutzrechtlichen Informationspflichten aus?
Die Datenschutz-Grundverordnung ist die Rechtsgrundlage, auf der alles basiert. Darin steht, dass man, wenn man Daten in irgendeiner Form verarbeit, darüber informieren muss, was mit den Daten passiert. Das kann im Cookie-Banner oder bei einem Formular stehen oder in der Datenschutzinformation. Das Impressum kommt aus dem Medienrecht im E-Commerce. Also irgendeine Art von Impressum wird man als Unternehmen brauchen. Wie umfangreich es sein muss, kommt auf den Inhalt der Website an. Bei Onlineshops zum Beispiel müssen mehr Informationen preisgegeben werden als nur Firmenname, Adresse und Geschäftsführer bei eingetragenen Unternehmen.

Was sind die häufigsten Fehler, die begangen werden?
Die häufigsten Fehler sind, dass Datenschleudern eingebaut werden, nur weil es praktische Tools sind, über die man sich keine Gedanken macht. Oft werden Cookie-Banner falsch oder nur alibihalber eingebaut. Ein weiterer Fehler ist, dass die Informationspflichten nicht erfüllt werden. Wenn man sich zum Beispiel zu einem Newsletter anmeldet, muss man akribisch darüber informiert werden, was mit den Daten passiert, und es braucht eine saubere Einwilligung zum Newsletter. Wenn das nicht rechtsgültig ist und sich jemand beschwert, kann man seine ganze Abonnentenliste kübeln.

Bei Nichteinhaltung der Vorschriften: Was kann passieren und wie hoch sind die Strafen?
Im schlimmsten Fall bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes bei Konzernen. In der Praxis sind die Strafen aber oft ganz praktische. Also wenn Cookies falsch eingesetzt werden, verordnet die Datenschutzbehörde einen Umbau – da geht dann sehr viel Zeit und Geld drauf. Es geht im Datenschutz nicht nur um die Strafen am Ende des Tages. Es kann auch passieren, dass die Datenschutzbehörde ein Audit macht bei der Firma. Das heißt, man muss alle internen Dokumente vorlegen – das kann extrem viel sein. Man muss das Verzeichnis der Verarbeitungstätigkeiten vorlegen oder bekanntgeben, welche technischen und organisatorischen Maßnahmen man getroffen hat, wie man Einwilligungen einholt, wie die Dienstleisterverträge aussehen. Und oft hat man dafür nur zwei Wochen Zeit – da gehen schon sehr viele interne Ressourcen drauf. Und es kommt zu Kosten beim Berater und beim Anwalt – das ist oft teurer als die Strafe selbst. Aber: Die Datenschutzbehörde arbeitet auch häufig mit Empfehlungen.

Agenturen arbeiten sehr viel mit Fotos. Greift dieses Thema auch in die DSGVO ein?
Kann auch. Bei Fotos haben wir zwei Themen: Einmal das Urheberrecht, und wenn Personen darauf abgebildet sind, kann das auch ein Datenschutzthema sein. Denn ein Foto, auf dem man jemanden erkennt, ist ein personenbezogenes Datum. Da muss man darauf achten, dass man, gerade im kommerziellen Bereich, eine Einwilligung von den Personen hat. Die Leute müssen wissen, dass mit dem Foto etwas passiert.

Wo kann ich mir als Agentur Hilfe holen?
Ich glaube, es ist leichter zu sagen, wo es keine Hilfe gibt. Das Problem ist nämlich, dass Leute etwas googeln und sich von dort Infos holen. Dann kommen sie oft auf deutsche Websites. Diese Regelungen gelten bei uns aber nur zum Teil. Dann kommt noch das Problem des Urheberrechts auf uns zu. Denn man darf nicht Texte von irgendwelchen Websites kopieren. Wenden Sie sich dabei an seriöse Unternehmen oder natürlich auch an uns. Also bitte nichts kopieren, das kann böse enden und teuer werden.

Was kostet ein DSGVO-Anwalt?
Es kommt wirklich darauf an, was die Unternehmen mit den Daten machen wollen. Wenn wir uns eine ganz einfache HTML-Seite ansehen, ist natürlich der Aufwand geringer. Wenn man sich die Website ansieht, kann man die Kosten recht gut einschätzen.

Über den Daumen, mit wie viel Euro muss man rechnen?
Es fängt bei ein paar hundert Euro an, wenn es was Einfaches ist. Bei größeren Websites von Konzernen sind wir schon in einem höheren Bereich. Die Kosten sind wirklich individuell und es kommt auch viel auf das Vorwissen der Kunden an. Es gibt aber relativ gute Pauschalen und Angebote, so können die Kosten relativ gut eingeschätzt werden.

Links zum Thema Datenschutz:
Informationen für die Werbebranche zur EU-Datenschutz-GrundVO (DSGVO)
Allgemeine Informationen zur EU-Datenschutz-GrundVO (DSGVO)

Vorherige | Nächste Seite › ›