Recht 

Web­sites und Co.: Ver­mei­den Sie Datenschleudern

21/12/2020

Mag. Katha­ri­na Bisset
Rechts­an­wäl­tin & Senior Bera­te­rin O.P.P — Beratungsgruppe

© Wolf­gang Lehner

 

Katha­ri­na Bisset ist Exper­tin für Daten­schutz. Im Inter­view erklärt sie, worauf Agen­tu­ren bei der Erstel­lung von Web­sites achten müssen, welche Strafen es gibt und warum auch Fotos nicht von der Daten­schutz-Grund­ver­ord­nung aus­ge­nom­men sind.

Welche Haus­auf­ga­ben müssen Agen­tu­ren bei der Erstel­lung von Web­sites in Bezug auf die DSGVO machen?
Katha­ri­na Bisset: Das Wich­tigs­te ist, dass Agen­tu­ren wissen, ob und wenn ja, welche Daten ver­ar­bei­tet und an Dritte geschickt werden. Ein prak­ti­sches Bei­spiel: Viele ver­wen­den Wor­d­Press mit Plugins, die auch gut funk­tio­nie­ren. Oft ist den Agen­tu­ren aber nicht klar, ob bei diesen Plugins Daten an Dritte geschickt werden. Wir sehen dann oft beim Check, dass Dut­zen­de Cookies gesetzt werden und niemand weiß, woher die über­haupt kommen. Also wenn Sie was ein­bau­en in einer Website, Plugins, Code­schnip­sel von anderen oder For­mu­la­re, schauen Sie darauf, ob da Daten geschickt werden oder nicht. Dann ist es leich­ter, darauf zu achten, ob Sie ein Cookie-Banner brau­chen oder nicht und wo welche Infor­ma­tio­nen hin­kom­men sollen. Die Haus­auf­ga­be sollte sein, ein Grund­ver­ständ­nis für Daten­schutz zu entwickeln.

Wie sieht es dann mit den daten­schutz­recht­li­chen Infor­ma­ti­ons­pflich­ten aus?
Die Daten­schutz-Grund­ver­ord­nung ist die Rechts­grund­la­ge, auf der alles basiert. Darin steht, dass man, wenn man Daten in irgend­ei­ner Form ver­ar­beit, darüber infor­mie­ren muss, was mit den Daten pas­siert. Das kann im Cookie-Banner oder bei einem For­mu­lar stehen oder in der Daten­schutz­in­for­ma­ti­on. Das Impres­sum kommt aus dem Medi­en­recht im E‑Commerce. Also irgend­ei­ne Art von Impres­sum wird man als Unter­neh­men brau­chen. Wie umfang­reich es sein muss, kommt auf den Inhalt der Website an. Bei Online­shops zum Bei­spiel müssen mehr Infor­ma­tio­nen preis­ge­ge­ben werden als nur Fir­men­na­me, Adresse und Geschäfts­füh­rer bei ein­ge­tra­ge­nen Unternehmen.

Was sind die häu­figs­ten Fehler, die began­gen werden?
Die häu­figs­ten Fehler sind, dass Daten­schleu­dern ein­ge­baut werden, nur weil es prak­ti­sche Tools sind, über die man sich keine Gedan­ken macht. Oft werden Cookie-Banner falsch oder nur ali­bi­hal­ber ein­ge­baut. Ein wei­te­rer Fehler ist, dass die Infor­ma­ti­ons­pflich­ten nicht erfüllt werden. Wenn man sich zum Bei­spiel zu einem News­let­ter anmel­det, muss man akri­bisch darüber infor­miert werden, was mit den Daten pas­siert, und es braucht eine saubere Ein­wil­li­gung zum News­let­ter. Wenn das nicht rechts­gül­tig ist und sich jemand beschwert, kann man seine ganze Abon­nen­ten­lis­te kübeln.

Bei Nicht­ein­hal­tung der Vor­schrif­ten: Was kann pas­sie­ren und wie hoch sind die Strafen?
Im schlimms­ten Fall bis zu 20 Mil­lio­nen Euro oder 4 Prozent des welt­wei­ten Jah­res­um­sat­zes bei Kon­zer­nen. In der Praxis sind die Strafen aber oft ganz prak­ti­sche. Also wenn Cookies falsch ein­ge­setzt werden, ver­ord­net die Daten­schutz­be­hör­de einen Umbau – da geht dann sehr viel Zeit und Geld drauf. Es geht im Daten­schutz nicht nur um die Strafen am Ende des Tages. Es kann auch pas­sie­ren, dass die Daten­schutz­be­hör­de ein Audit macht bei der Firma. Das heißt, man muss alle inter­nen Doku­men­te vor­le­gen – das kann extrem viel sein. Man muss das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten vor­le­gen oder bekannt­ge­ben, welche tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men man getrof­fen hat, wie man Ein­wil­li­gun­gen einholt, wie die Dienst­leis­ter­ver­trä­ge aus­se­hen. Und oft hat man dafür nur zwei Wochen Zeit – da gehen schon sehr viele interne Res­sour­cen drauf. Und es kommt zu Kosten beim Berater und beim Anwalt – das ist oft teurer als die Strafe selbst. Aber: Die Daten­schutz­be­hör­de arbei­tet auch häufig mit Empfehlungen.

Agen­tu­ren arbei­ten sehr viel mit Fotos. Greift dieses Thema auch in die DSGVO ein?
Kann auch. Bei Fotos haben wir zwei Themen: Einmal das Urhe­ber­recht, und wenn Per­so­nen darauf abge­bil­det sind, kann das auch ein Daten­schutz­the­ma sein. Denn ein Foto, auf dem man jeman­den erkennt, ist ein per­so­nen­be­zo­ge­nes Datum. Da muss man darauf achten, dass man, gerade im kom­mer­zi­el­len Bereich, eine Ein­wil­li­gung von den Per­so­nen hat. Die Leute müssen wissen, dass mit dem Foto etwas passiert.

Wo kann ich mir als Agentur Hilfe holen?
Ich glaube, es ist leich­ter zu sagen, wo es keine Hilfe gibt. Das Problem ist nämlich, dass Leute etwas googeln und sich von dort Infos holen. Dann kommen sie oft auf deut­sche Web­sites. Diese Rege­lun­gen gelten bei uns aber nur zum Teil. Dann kommt noch das Problem des Urhe­ber­rechts auf uns zu. Denn man darf nicht Texte von irgend­wel­chen Web­sites kopie­ren. Wenden Sie sich dabei an seriöse Unter­neh­men oder natür­lich auch an uns. Also bitte nichts kopie­ren, das kann böse enden und teuer werden.

Was kostet ein DSGVO-Anwalt?
Es kommt wirk­lich darauf an, was die Unter­neh­men mit den Daten machen wollen. Wenn wir uns eine ganz ein­fa­che HTML-Seite ansehen, ist natür­lich der Aufwand gerin­ger. Wenn man sich die Website ansieht, kann man die Kosten recht gut einschätzen.

Über den Daumen, mit wie viel Euro muss man rechnen?
Es fängt bei ein paar hundert Euro an, wenn es was Ein­fa­ches ist. Bei grö­ße­ren Web­sites von Kon­zer­nen sind wir schon in einem höheren Bereich. Die Kosten sind wirk­lich indi­vi­du­ell und es kommt auch viel auf das Vor­wis­sen der Kunden an. Es gibt aber relativ gute Pau­scha­len und Ange­bo­te, so können die Kosten relativ gut ein­ge­schätzt werden.

Links zum Thema Datenschutz:
Infor­ma­tio­nen für die Wer­be­bran­che zur EU-Daten­schutz-GrundVO (DSGVO)
All­ge­mei­ne Infor­ma­tio­nen zur EU-Daten­schutz-GrundVO (DSGVO)

Vorherige | Nächste Seite › ›