Hier finden Sie die Aufzeichnung des Live-Webinars mit Rechtsanwalt Lexow “Die DSGVO-Bußgeldwelle rollt” vom 16.07. Wir haben Ihre Fragen aus dem Webinar gesammelt und beantwortet. Sie finden die Fragen und Antworten unter dem Video:
Ihre Fragen aus dem Webinar
Beantwortet von RA Lev Lexow
- Ist es schlimm, wenn ich z.B: angebe, Google Analytics zu verwenden aber das doch nicht tue?Das sollten Sie nicht tun. Wenn Sie Tools angeben, die Sie nicht verwenden, ist Ihre Datenschutzerklärung falsch. Da Google Analytics von Behörden, Abmahnern und Kunden kritisch gesehen wird, könnten Sie außerdem unnötige „datenschutzrechtliche Aufmerksamkeit“ auf sich ziehen. Praxistipp: Erstellen Sie Ihre Datenschutzerklärung mit einem Datenschutzgenerator. Damit können Sie auch schnell nachjustieren, wenn sich auf der Webseite mal was ändert. PRIVE bietet in Zusammenarbeit mit eRecht24 einen solchen Generator an.
- Wie oft aktualisiert die Datenschutzerklärung denn? Wenn ich vor zwei Jahren die Erklärung aktualisiert habe, kann ich davon ausgehen, dass sie immer noch aktuell ist?Die Datenschutzerklärungen bei PRIVE und eRecht24 werden regelmäßig aktualisiert und an neue Urteile und Behördenentscheidungen angepasst. Wenn Sie unsere Generatoren verwenden und Ihre Datenschutzerklärungen regelmäßig aktualisieren, sind Sie auf einem guten Stand.
- Mich würden Tips / die aktuelle rechtliche Lage zur Facebook Pixel Nutzung interessierenFacebook-Pixel sollten Sie ausschließlich mit Einwilligung der Betroffenen verwenden. Auf den „Erweiterten Abgleich“ sollten Sie, wenn möglich, ganz verzichten.
- Braucht man bei Google Analytics eine aktive Einwilligung des Webseitenbesucher?Ja, nach Auffassung der Gerichte und der Datenschutzbehörden benötigen Sie für die Nutzung von Google Analytics eine ausdrückliche Einwilligung. Praxistipp: Wenn Sie das Cookie-Consent-Tool von PRIVE verwenden, wird dieses Tool automatisch für Sie entscheiden, wann Sie eine Einwilligung benötigen oder nicht. Diese Vorkategorisierung wurde von unseren Rechtsanwälten vorgenommen.
- Wenn meine Webseite nur auf Englisch existiert, wie kann ich sie dann datenschutzkonform machen? Muss die Datenschutzerklärung, Impressum etc. dann auf englisch verfügbar sein?Ja. Die auf einer Webseite vorhandenen Rechtstexte müssen für das Zielpublikum verständlich sein. Wenn sich Ihre Webseite an ein englischsprachiges Publikum richtet, muss auch das Impressum und die Datenschutzerklärung auf Englisch vorhanden sein. Bei PRIVE und eRecht24 bieten wir englischsprachige Datenschutzerklärungen an.
- Ich biete ein E-Book und eine Audiodatei im Austausch zu meinem Newsletter an. Läuft mit Double Opt In und ich sage auf meiner Seite auch, dass Leute sich für das EBook bei meinem NL anmelden. Ist das ok?Grundsätzlich ja – dieses Modell ist auch von den Datenschutzbehörden anerkannt.
- Wenn meine Website nur funktionale Cookies verwendet, brauche ich dann überhaupt ein Cookie-Banner?Nein, in diesem Fall brauchen Sie weder ein Consent-Tool noch ein Cookie-Banner.
- Wie sieht es aus mit selbstaufgesetzten Statistik-Tools aus, wie Matomo, früher Piwik?Matomo ist nach Auffassung der Datenschutzbehörden voraussichtlich ohne Einwilligung nutzen. Bis auf Widerruf kann man sich dieser Auffassung anschließen.
- Muss beim Consenttool zwingend beim Einblenden der verweigern-Button vorhanden sein oder kann dieser auch erst nach Klick auf Anpassen über einen gesonderten Dialog dargestellt werden?Über die Ausgestaltung der Consent-Tools gibt es aktuell noch viele Diskussionen, die nicht final abgeschlossen sind. Meine Empfehlung daher: Verwenden Sie am besten das Consent-Tool eines etablierten Anbieters. Dieser wird im Zweifel auch am schnellsten auf etwaige Rechtsänderungen reagieren können. Wir bei PRIVE bieten ein entsprechendes Tool in Zusammenarbeit mit Usercentrics an.
- Wie sieht es bei klassischen Übergangsseiten (“Hier entsteht eine Webseite…”) bzgl. Datenschutz aus. Muss eine Datenschutzerklärung und ein Impressum vorhanden sein? Sowohl bei gewerblichen Übergangsseiten als auch bei privaten? Wenn Matomo ohne Cookie eingesetzt wird, muss dann ebenfalls ein Cookie Consent bzw. eine Einwilligung eingeholt werden?Wenn eine solche Seite personenbezogene Daten erfasst (z.B. IP-Adressen oder Analysedaten) muss auch Datenschutzerklärung implementiert werden. Für Matomo muss nach der derzeiten Auffassung der Datenschutzbehörden keine Einwilligung eingeholt werden. Für andere Analysetool dagegen wahrscheinlich schon.
- Was heißt nur gelegentlich im Zusammenhang mit dem Verarbeitungsverzeichnis?Das klassische Beispiel für eine „gelegentliche“ Verarbeitung ist der freiberufliche Hauswart, der auf seinem Handy die Telefonnummern der Mieter des von ihm betreuten Hauses gespeichert hat. Alles was darüber hinausgeht ist eigentlich nicht mehr „gelegentlich“. Wie Sie sehen ist die Ausnahme daher sehr eng. In der Praxis rate ich jedem Mandanten ein Verarbeitungsverzeichnis anzulegen, da es besser ist eines zu haben und es nicht zu brauchen als umgekehrt. Zudem können Sie Ihr Verarbeitungsverzeichnis bei PRIVE ganz einfach mit Hilfe eines Generators erstellen.
- Brauche ich ein Verarbeitungsverzeichnis, wenn ich nur eine Homepage habe (zur reinen Information), ohne Online-Shop oder E-Mail Verteiler.Da auf der Homepage zumindest die IP-Adressen erfasst werden, sollten Sie ein solches Verzeichnis sicherheitshalber führen. Mit PRIVE können Sie dieses sehr einfach anlegen.
- Braucht man einen AV-Vertrag wenn man beim Hoster lediglich einen (komplett selbst verwalteten) Root-Server hat, auf den der Hoster überhaupt keinen Zugriff hat?Das ist die Unterscheidung zwischen Hosting und Housing (letzteres dürfte hier vorliegen). Gerichtliche und behördliche Entscheidungen gibt es hierzu zwar noch nicht. Allerdings kann ich bestätigen, dass die meisten Datenschützer (mich eingeschlossen) keinen AVV für das Housing verlangen.
- Wer ist verpflichtet den AV-Vertrag zu stellen? Der Auftraggeber oder der Dienstleister?Das ist in der DSGVO (im Gegensatz zum alten BDSG) nicht geregelt. Wenn der AV-Vertrag aber fehlt, können beide ein Bußgeld bekommen. Es ist daher im Interesse beider Parteien, sich auf einen AV-Vertrag zu einigen. Praxistipp: Mit PRIVE können Sie Ihre AV-Verträge stressfrei per E-Mail schließen. Auf diese Weise können Sie entsprechende Diskussionen mit Vertragspartnern vermeiden und sie vor „vollendete Tatsachen“ stellen.
- Also für welche Interaktionen mit Kunden brauche ich nun den AV Vertrag?Faustformel: Wenn Ihr Auftraggeber Ihnen Daten von Dritten gibt (z.B. Daten von dessen Kunden), damit Sie diese Daten in seinem Auftrag weiterverarbeiten brauchen Sie voraussichtlich einen AV-Vertrag. In Einzelfällen ist die Abgrenzung noch schwierig und umstritten. Bei unklaren Fällen sollten Sie sich gegebenenfalls rechtlich beraten lassen.
- Wie kann der Kunde die Auskunft-Anfrage stellen? Per Mail oder Post? Wie kann ich sicherstellen, dass der Anfrage auch wirklich der ist, für den er sich ausgibt?Der Kunde kann seine Auskunftsanfrage über jeden Kommunikationskanal stellen. Bei einer E-Mail lässt sich die Identität relativ einfach prüfen. Wenn er von der E-Mail-Adresse schreibt, die Sie von ihm in seiner Kundenkartei haben, können Sie in der Regel davon ausgehen, dass die Identität korrekt ist. Bei telefonischen Anfragen sollten Sie hingegen einige Prüfungsfragen stellen (z.B. Geburtsdatum, Kundennummer o.Ä.). Sollten Sie anschließend noch immer Zweifel haben, müssen weitere Prüfmechanismen eingesetzt werden – welche das sind hängt aber letztlich sehr stark von Ihren konkreten Geschäftsprozessen ab.
- Wie sieht das mit öffentlichen Mailadressen aus? Also wenn die Kontaktdaten auf der Homepage des Unternehmens stehen. Grds. ist dann ja die Adresse öffentlich bekannt gegeben. Muss dann erst eine Einwilligung eingeholt werden, bevor man eine Anfrage o. ä. per Mail übersendet?Ja, und zwar aus datenschutzrechtlicher und wettbewerbsrechtlicher Sicht. Kaltakquise kann nämlich abgemahnt werden.
- Darf ich meinen Kunden eigentlich noch frohe Weihnachten per Mail wünschen? Oder komme ich dann ins Gefängnis bei 1000 Kunden?Aus datenschutzrechtlicher Sicht dürfen Sie entsprechende Weihnachtsmails nach Auffassung einiger Datenschutzbehörden verschicken. Aus wettbewerbsrechtlicher Sicht ist es dagegen schwieriger, weil es sich hierbei auch um Werbung handelt, die potenziell abgemahnt werden kann.
- Brauche ich als einzelner Versicherungsvermittler einen DSB?Als Einzelkämpfer brauchen Sie in der Regel keinen Datenschutzbeauftragten. Wenn Sie dagegen eine Kanzlei mit einem zweiten oder dritten Versicherungsvermittler gründen, ist ein Datenschutzbeauftragter ggf. erforderlich.
- Muss der Datenschutzbeauftragte ein entsprechendes Zertifikat haben, wenn ich einen Mitarbeiter als verantwortlichen nenne?Der benannte Datenschutzbeauftragte muss seine datenschutzrechtliche Qualifikation nachweisen können. Ein Zertifikat ist hier hilfreich aber kein Muss.
- Benötige ich auch einen Datenschutzbeauftragten, wenn ich ein ganz normales Coachingbusiness habe? Als Einzelunternehmerin?In der Regel nein.
- Bei manchen Online Shop erhält man oft Newsletter, ohne dass man sich aktiv dafür angemeldet hat. Ist dies DSGVO konform?Wenn sich die Shops auf die sogenannte Bestandskundenregelung stützen – ja. Danach können Bestandskunden (also Käufer) Werbung zu vergleichbaren Produkten erhalten, wenn Sie auf diese Art der Werbung beim Kauf hingewiesen wurden und bestimmte weitere Pflichtinformationen erhalten haben.
- Folgender Sachverhalt: Online-Shop eines Kleingewerbebetreibenden (weniger 5000 €/Monat). Der Shop nutzt ausschließlich Session-Cookies und einen Zahlungsdienstleister, erhebt selbst keine personenbezogenen Daten. Muss ein AV-Vertrag mit dem externen Hosting-Dienstleister geschlossen werden? Vielen Dank für Antworten!Ja. Der Hoster verarbeitet ja zumindest die IP-Adressen Ihrer Webseitenbesucher. Zudem werden vermutlich auch die Käuferdaten beim Hoster (zwischen-)gespeichert.
- Reicht eine Datenschutzerklärung im PDF-Format auf der Homepage?Ich würde empfehlen, die Datenschutzerklärung in die Webseite einzubetten. Es gibt Fälle, in denen PCs PDF-Dokumente nicht öffnen können. In diesem Fall müssten Sie sich ggf. dem Vorwurf stellen, keine leicht erreichbare Datenschutzerklärung bereitgestellt zu haben.
- Benötige ich einen AV-Vertrag mit einem Server-Anbieter, wenn die Daten in der Cloud komplett verschlüsselt sind und auch der Server-Anbieter keinen Zugriff hat?Ja, auch in diesem Fall benötigen Sie einen AV-Vertrag. Denn auch das reine Speichern von Daten gilt als Datenverarbeitung bzw. Auftragsverarbeitung.
- Bin Betreiber diverser Webseiten (Affiliate-Projekte). Braucht man für jede Webseite einen Account? Oder genügt ein Account? (Prive One)PRIVE ist so ausgelegt, dass jeder Account für ein Unternehmen gilt. Wenn alle Webseiten von ein und demselben Unternehmen betrieben werden, benötigen Sie auch nur einen Account.
- Muss ich AV-Verträge an meine Kunden versenden, habe ich das richtig verstanden oder gehen diese an den Dienstleister, z.B. Webseitenanbieter?Überall dort, wo ein Auftragsverarbeitungsverältnis vorliegt, müssen Sie einen AV-Vertrag schließen. Je nach Geschäftsmodell sind das sowohl Ihre Kunden auch Ihre Dienstleister. Mit PRIVE können Sie diese AV-Verträge aber schnell und einfach online abschließen.
- Wie sieht es mit Google Webfonts aus? Wenn die Website auf Google zugreift und den Webfont anzeigt oder ist es besser wenn ich die Schriften auf meinem Server ablege?Wir empfehlen, die Schriften auf Ihrem eigenen Server abzulegen (lokale Einbindung).
- Meine Webseite ist nur ein Portfolio, was ich für Bewerbungen nutze, aber ich wurde darauf hingewiesen, dass das geschäftlich genug ist, um ein Impressum nutzen zu müssen. Stimmt das?Das ist korrekt. Ein Impressum ist außerdem schnell erstellt und wirkt auch im Rahmen von Bewerbungen professioneller.
- Gibt es einen Unterschied beim Thema Einwilligung zum Newsletter zwischen B2C und B2B Kunden?Nein. In beiden Fällen gelten die gleichen gesetzlichen Vorgaben.
- Darf ein Unternehmen, das eine UR-alte Kunden E-Mail Liste hat, die lange vor DSGVO aufgebaut wurde, all diese alten Kunden anmailen um auf ein neues Angebot aufmerksam zu machen? (Das Angebot ist thematisch im gleichen Bereich wie frühere Dienstleistungen). Was ist wenn in dieser alten Liste nicht nur Kunden sind, die etwas gekauft hatten, sondern auch bloße Interessenten? MUSS man all diese alten Kunden nach einer ersten E-Mail noch durch ein Double-Opt-In schicken ODER reicht der Verweis in jeder weiteren E-Mail auf den Abmelde-Link in jeder Mail? Danke und haben Sie einen schönen Tag 🙂Alteinwilligungen können auch unter der DSGVO weitergelten. Es kommt aber natürlich darauf an, wie Sie die Einwilligungen damals eingeholt haben. Dies sollte geprüft werden.