Kurz vor Inkrafttreten der EU-DSGVO am 25. Mai 2018 hat der Europarat in einem Korrigendum letzte Änderungen und Korrekturen des Gesetzestextes bekanntgegeben. Änderungen sind nicht ungewöhnlich. Sie dienen dazu unklare Formulierungen und Fehler zu korrigieren.
Die Änderung und Korrektur des Gesetzestextes betrifft alle Händler und Onlineanbieter, die Daten von Benutzern und Kunden zur Abwicklung von Aufträgen, Anfragen oder Services anbieten.
Alle Händler und Onlineanbieter müssen darauf achten, nur die Daten vom Benutzer bzw. Kunden zu erheben, die zweckmäßig sind.
EU ändert kurzfristig die neue DSGVO/GDPR
Die Anpassung betrifft Betreiber von Shops und Webseiten. Diese müssen sicherstellen, dass technische und organisatorische Vorkehrungen getroffen werden, um standardmäßig datenschutzfreundliche Einstellungen bereitzustellen. Das bedeutet zum Beispiel, dass Benutzer nicht proaktiv ihr Einverständnis zur Datenerhebung und -verarbeitung entziehen müssen, sondern das ein Privacy by Design / Privacy by Default-Verfahren angewendet werden muss.
Eine Anpassung der Formulierung des Artikel 25 Absatz 2 S. 1 DSGVO: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“ wirft die Frage auf, welche Angaben in Formularen und Webseiten künftig zulässig sein werden. Die Streichung des Wortes „grundsätzlich“ lässt Ausnahmen nicht mehr zu.
Es gilt, nur jene Daten zu erheben, die zur Bearbeitung oder dem Bezug von Informationen notwendig und zulässig sind. Für die Anmeldung eines E-Mail Newsletters ist es beispielsweise nicht zulässig den Namen oder die Anschrift vom Benutzer einzufordern.
Bisher konnten diese Angaben jedoch freiwillig abgefragt und gespeichert werden. Die geänderte Formulierung lässt keine Ausnahmen mehr zu. Ob die Speicherung ab dem 25. Mai 2018 noch rechtens ist, ist unklar.
Wer ist von der Änderung betroffen? Nur Händler und Onlineanbieter?
Die Änderung betrifft alle Händler und Onlineanbieter, die Daten von Benutzern und Kunden zur Abwicklung von Aufträgen, Anfragen oder Services anbieten. Sie müssen darauf achten, nur die Daten vom Benutzer bzw. Kunden zu erheben, die zweckmäßig sind.
Was zweckmäßig bedeutet, muss vom Anbieter im Vorfeld geklärt werden. So kann beispielsweise die Speicherung einer Telefonnummer oder einer Altersangabe für altersbeschränkte Dienste zwar zulässig sein, jedoch nur im Rahmen der Anmeldung.
Die Daten dürfen für keine anderen Zwecke (z. B. Marketingkampagnen) genutzt oder ausgewertet werden.
Wie bislang auch, ist unklar wie das Gesetz letzten Endes ausgelegt und angewendet wird. Es ist wichtig datenschutzfreundliche Anpassungen an Webseiten und Formularen vorzunehmen und die personenbezogene Datenerhebung zu dokumentieren.
Welche Vorkehrungen sollten bis zum 25. Mai 2018 getroffen werden?
Zu den wichtigsten Aufgaben gehört es die Verantwortlichen für die personenbezogene Datenerhebung zu benennen und zu dokumentieren. Dazu gehört auch die Beschreibung der Systeme mit personenbezogenen Daten.
Es muss dokumentiert werden, welche Daten, zu welchem Zweck und wie lange in welchen Systemen gespeichert werden. Für diese Dokumentation sind die fachlichen Abteilungen verantwortlich. Die IT-Abteilung ist zwar auch in die Datenerhebung involviert, jedoch nicht der erhebende Verantwortliche. Die Aufgaben können daher nicht an die IT-Abteilung abgeschoben werden.
Aus Sicht der IT ist es jedoch wichtig intern auf Verstöße hinzuweisen und rechtswidriges Handeln zu unterbinden, da sonst auch die IT-Verantwortlichen haften.
Zudem sind Vorkehrungen bzw. Prozesse zur Löschung personenbezogener Daten zu treffen. Eine Löschung von Daten ist notwendig, wenn der Zweck der Datenerhebung und -verarbeitung nicht länger gegeben ist.