Ab 25. Mai gilt in der gesamten EU die DSGVO. Seit knapp zwei Jahren bereiten sich Unternehmen, Dienstleister und Juristen auf diesen Stichtag vor, viele sind schon fertig mit allen Vorbereitungen. Und nun das: Der Europäische Rat hat ein 386 Seiten-Dokument mit Änderungen der DSGVO beschlossen und veröffentlicht.
Die EU hat ein “Corrigendum” zur DSGVO veröffentlicht. Das Dokument umfasst insgesamt 386 Seiten und ändert alle Sprachfassungen der DSGVO. Die Änderungen für die deutsche Sprachfassung beginnen auf Seite 42 und umfassen 18 Seiten.
Mit solchen Dokumenten sollen eigentlich Rechtschreib- und/oder Grammatikfehler in den einzelnen Sprachvarianten beseitigt werden, die bei der Übersetzung passieren. Die Änderungen, die jetzt veröffentlicht wurden, sind überwiegend auch sprachlicher Natur.
Aber eben nicht nur. Vielmehr wird die DSGVO auch inhaltlich geändert.
Datenschutzfreundliche Voreinstellungen (alt)
Die DSGVO verpflichtet Unternehmen bei der Datenerhebung die Beachtung von datenschutzfreundlichen Voreinstellungen. So heißt es in Art. 25 Abs. 2 Satz 1 DSGVO (bzw. jetzt müssen wir sagen “hieß es bisher”):
“Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.”
Das bedeutet z.B. für das Formular zur Newsletter-Anmeldung:
Wirklich erforderlich für den Versand des Newsletters ist nur die E-Mail-Adresse des Empfängers. Der Name, das Alter oder das Geschlecht spielen keine Rolle. Das sind zwar für die Marketing-Abteilung auch wichtige Daten, mit deren Hilfe man den Inhalt des Newsletters an den Empfänger anpassen kann, aber wirklich erforderlich für den Newsletter-Versand an sich sind diese Daten nicht.
Dass man diese zusätzlichen Daten auf freiwilliger Basis abfragen darf, lässt das kleine Wörtchen “grundsätzlich” zu. Denn das bedeutet, dass es eben auch Ausnahmen von dem Grundsatz geben kann. Und wenn der Nutzer diese Daten freiwillig bekannt gibt, ist ja alles gut soweit.
Das bedeutet nach der bisherigen Fassung: Nur die E-Mail-Adresse darf im Formular zur Newsletter-Anmeldung ein Pflichtfeld sein. Die anderen Daten dürfen zwar abgefragt werden, aber eben nur auf freiwilliger Basis, das heißt, die Anmeldung muss auch funktionieren, wenn der Empfänger ausschließlich seine Mail-Adresse angibt und seinen Namen oder sein Geschlecht etc. lieber verschweigen möchte.
Datenschutzfreundliche Voreinstellungen (neu)
Diese Vorschrift wird nun durch das Corrigendum angepasst. Jetzt heißt die Vorschrift:
“Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.”
Das Wort “grundsätzlich” wurde ersatzlos gestrichen.
Damit wird der deutsche Wortlaut der DSGVO an die englische Sprachversion angepasst. Wenn so ein Wort gestrichen wird, handelt es sich aber nicht nur um eine sprachliche Korrektur, sondern durch das Streichen wird auch der Inhalt der Vorschrift geändert.
Jetzt steht dort also, dass sichergestellt sein muss, dass nur für den Verarbeitungszweck erforderliche Daten verarbeitet werden dürfen.
Bezogen auf das obige Beispiel des Newsletters könnte das bedeuten, dass die Behörden es in Zukunft als Verstoß gegen Art. 25 DSGVO ansehen, wenn bei der Anmeldung zum Newsletter neben der Mail-Adresse noch weitere Daten erhoben werden – auch wenn diese keine Pflichtfelder sind.
Verstöße gegen Art. 25 DSGVO können mit einem Bußgeld in Höhe von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist, geahndet werden.
Fazit
Die Veröffentlichung des Corrigendums ist noch ganz frisch. Ob und in welchem Maße hier Unternehmen evtl. erneut tätig werden müssen, um die (neuen) Vorschriften einzuhalten, ist noch offen. Bisher haben sich die Datenschutzbehörden noch nicht zu den möglichen Folgen der Änderungen geäußert. Sobald es hier Neuigkeiten gibt, werden wir Sie selbstverständlich informieren.
Nochmals der Hinweis: Wir möchten hier keineswegs behaupten, dass die neue Rechtslage das freiwillige Abfragen von zusätzlichen Angaben zur E-Mail verbietet. Wir möchten nur darauf hinweisen, dass das eine mögliche Interpretation der neuen Vorschrift darstellt, wir aber nicht wissen, wie sich die Datenschutzbehörden (und später die Gerichte) in dieser Frage positionieren werden.
Hier haben wir die wichtigsten Informationen zur DSGVO für Sie zusammengetragen. (mr)
Bildnachweis: Bloomicon/shutterstock.com
Ich empfehle an dieser Stelle einen kühlen Kopf zu bewahren. Es ist eh schon schlimm genug, was den einfachen Webseiten-Betreibern zugemutet wird. Aber wer will und soll die alle beweissicher abmahnen?
Es geht doch nicht ums Abmahnen bei diesen Themen. Es geht darum, dass der Verantwortliche im Zweifel der Aufsichtsbehörde beweisen muss, dass er sich an das Datenschutzrecht hält.
Nun, ich zitiere:
“Bezogen auf das obige Beispiel des Newsletters könnte das bedeuten, dass die Behörden es in Zukunft als Verstoß gegen Art. 25 DSGVO ansehen, wenn bei der Anmeldung zum Newsletter neben der Mail-Adresse noch weitere Daten erhoben werden – auch wenn diese keine Pflichtfelder sind.”
Sofern also ein “Abmahnwütiger” online ein Kontaktformular bzw. Newsletter im Shop sieht, dass mehr als nur die Mailadresse als Pflichtfeld enthält- also noch Optionalfelder dort stehen-: kann er dann nicht auch schon abmahnen oder genießt diesen “Luxus” nur eine Aufsichtsbehörde?
Im Übrigen habe ich gerade mein Kontaktformular so umprogrammieren lassen, dass die jetzige Rechstssprechung erfüllt wird- es wäre ärgerlich schon wieder eingreifen zu müssen und hoffe dass die Optionalfelder sichtbar bleiben dürfen. Ich gehe davon aus dass eben auch die Kontaktanfrageformulare davon betroffen sind- oder irre ich mich?
Gruss M.Q.
Das heißt doch nur, dass wenn ich für einen Newsletter mehr als die E-Mail-Adresse haben will dies nicht verpflichtend sein darf und dass ich in dem Falle die ausdrückliche Erlaubnis brauche und eben dabei auch erklären muss, wieso ich mehr als die E-Mail-Adresse brauche. Die Kritik daran kann ich nicht nachvollziehen.
Schon heute dürfen die anderen Felder keine Pflichtfelder sein.
Wir wollten auch nur eine mögliche Interpretation der Änderung aufzeigen.
Aber genau diese Möglichkeit wird doch (möglicherweise) ausgeschlossen:
„Bezogen auf das obige Beispiel des Newsletters könnte das bedeuten, dass die Behörden es in Zukunft als Verstoß gegen Art. 25 DSGVO ansehen, wenn bei der Anmeldung zum Newsletter neben der Mail-Adresse noch weitere Daten erhoben werden – auch wenn diese keine Pflichtfelder sind.“
Also … was denn nun?
Und überhaupt: Ich persönliche finde es schade, denn gerade die persönliche Anrede macht doch einen gewissen Charme aus. Fällt auch das weg, dann können wir uns in Zukunft mehr und mehr mit unpersönlichen Mails beschäftigen. Ich persönlich finde, dass das ein Schritt in die falsche Richtung ist und einige Punkte der DSVGO weit über das Ziel hinausschießen.
Der Artikel macht aber überhaupt nicht deutlich, dass es sich nur um eine mögliche Interpretation handelt. Der Artikel behauptet, es genau zu wissen:
“Jetzt steht dort also, dass sichergestellt sein muss, dass nur für den Verarbeitungszweck erforderliche Daten verarbeitet werden dürfen.”
@Marc Perl-Michel: Nicht nur das, es macht es auch nicht leichter um Spam von gewünschter Mail zu unterscheiden, da die Personalisierung fehlt.
Nun, da bin ich aber mal gespannt, wie der Gesetzgeber selbst die DSGVO Norm umsetzt.
Denn z.B. auf Seite der CSU ist VORNAME, NAME und ANREDE ein Pflichtfeld bei der Newsletteranmeldung, zusätzlich zur Emailadresse
https://www.csu.de/aktuell/newsletter/
Gruss
Vielen Dank für diesen Artikel! Wie sieht es bei Kontaktformularen aus? Dürfen für eine personalisierte Ansprache und Bearbeitung der Kontaktanfrage Name, Vorname und Anrede (Geschlecht) erhoben werden (Pflichtfelder)?
Darf man denn – wie hier in dieser Kommentarfunktion – dann überhaupt der Name abgefragt werden? Oder die Email? Sind diese für einen Kommentar notwendig? Ich finde ja – aber sieht das Gesetz dies auch so?
Es lebe die übliche Perversion …
Was wäre … wenn ich “Anmeldung zum personalisierten NL” drüber schreibe. Was ist wenn falsche Daten angegeben werden. Mal abgesehen davon das ich Vor- und Zuname für die Anmeldung eines Newsletters auch nicht für nötig halte warum bitte schön gibt es diese Regel? Ein Newsletter ist kaum essentiell. Wenn der Versender also von mir verlangt ich soll vorher 3 Pirouetten machen dann ist es eine Sache zwischen Ihm und mir!
Anders sieht es schon zum Beispiel bei einer Bestellung aus. Der Händler kann der einzige sein, wo dieser Artikel erhältlich ist. Wie schaut es mit der Telefonnummer im Bestellvorgang aus? Für Spedi wichtig, für Normalversand eher nicht, ich glaube die wenigsten Shopprogramme bekommen das differenziert.
Und jetzt sind wir mal ganz spitzfindig … Die Abfrage einer Emailadresse ist dann auch nicht notwendig, die Rechnung kann im Paket liegen, oder?
Was ist denn mit den Worten “durch Voreinstellung”? Das begreife ich nicht. Denn wenn es eine Voreinstellung gibt, dann kann die auch nachher noch geändert werden.
Ich rate zur Augenmaß. Die Datenschutzbehörden haben was ganz anderes zu tun, als die Webauftritte von einer Millioen Betriebe rechtssicher zu prüfen und dagegen vorzugehen. Das wird eher nur bei größeren bzw. wichtigen Webseiten gemacht werden.
Die weiteren Felder waren bisher auch nur optional. Das “datenschutzfreundliche Voreinstellung” nun bedeuten soll, dass man weitere Felder gar nicht mehr anbieten darf, schießt über das Ziel hinaus, weil es den Kunden auch in seiner Entfaltung hindert. Vielleicht möchte er ja sogar seinen vollen Namen angeben können.
Ich würde dem Shopbetreiber Blög raten, nicht alles und jedes Thema so sehr aufzublasen und mit dem größt möglichen Damoklesschwert Furcht und Unsicherheit zu verbreiten, insbesondere wenn man als Medizin dagegen dann ein Abo verkauft. Das reduziert die Glaubwürdigkeit..
@Shopbetreiber-Blog: ich möchte mich an dieser Stelle meinem Vorredner gerne anschließen. Es hat wirklich schon ein gewisses Geschmäckle Abmahnschutz für DSGVO zu 40,- EUR pro Monat !! anzubieten und dabei das besagte Thema hier mächtig aufzublasen!
Wenn das alles so strigide gehandhabt werden soll, dann haben wir in Zukunft nur noch mit Synonymen und Nicknames zu tun wie z.B. supermann@Domain.de und nicht mehr mit einem reellen Namen, wie man nach den moralischen und respektvollen Umgangsformen seinen Kunden anspricht.
Also ehrlich, das geht mittlerweile gar nicht mehr. Wir überlegen uns schon seit geraumer Zeit, ob wir nicht doch aus dem kompletten Onlinegeschäft aussteigen und uns auf unsere Filialkundschaft konzentrieren sollten. So, wie es schon zu einer vergangenen Zeit auch funktionierte …
Hallo Achim,
ich habe soeben am Ende des Beitrages noch einmal den Hinweis aufgenommen, dass nicht wir der Meinung sind, man darf keine Namen mehr als freiwillige Angabe abfragen, sondern dass dies eine mögliche Interpretation der neuen Rechtslage ist.
Wir blasen gar nichts auf, sondern informieren über die neue Rechtslage.
@shopbetreiber-blog:
Ich möchte auch in Zukunft weiterhin umfassend informiert werden und bedanke mich für die Hinweise.
Es bleibt jedem selbst überlassen, eigene Schlüsse aus den Informationen zu ziehen. Bloß, weil einem die Regelungen nicht passen, kann man sie nicht einfach ignorieren, denn sie können sie bei Nichtbeachtung erhebliche Konsequenzen haben.
Unwissenheit schützt vor Strafe nicht, sagt man. Ich bin lieber wissend und entscheide selbst über das Risiko, das ich eingehen möchte. Und der Unterschied zwischen einem “grundsätzlich” und einem dann fehlenden “grundsätzlich” ist zumindest juristisch erheblich.
Was wäre … wenn ich “Anmeldung zum personalisierten NL” drüber schreibe. Was ist wenn falsche Daten angegeben werden. Mal abgesehen davon das ich Vor- und Zuname für die Anmeldung eines Newsletters auch nicht für nötig halte warum bitte schön gibt es diese Regel? Ein Newsletter ist kaum essentiell. Wenn der Versender also von mir verlangt ich soll vorher 3 Pirouetten machen dann ist es eine Sache zwischen Ihm und mir!
Anders sieht es schon zum Beispiel bei einer Bestellung aus. Der Händler kann der einzige sein, wo dieser Artikel erhältlich ist. Wie schaut es mit der Telefonnummer im Bestellvorgang aus? Für Spedi wichtig, für Normalversand eher nicht, ich glaube die wenigsten Shopprogramme bekommen das differenziert.
Und jetzt sind wir mal ganz spitzfindig … Die Abfrage einer Emailadresse ist dann auch nicht notwendig, die Rechnung kann im Paket liegen, oder?
Das mit der Newsletter-Anmeldung scheint ja nun klar zu sein. Aber oben hat jemand gemeint, dass es bei Bestellungen schon wieder ganz anders aussieht. Kann das nochmal jemand kommentieren?
Betreff: Anrede, Telefonnummer & Geburtsdatum
Mein Wissensstand:
-Telefonnummer ist wenn man keinen Express-Versand anbietet nur optional möglich, weil es für eine Normalbestellung keine Relevanz hat.
– Anrede: Es ist ein Pflichtfeld, weil wenn man eine Mahnung schicken muss bzw. selbst wenn man die Rechnung per Vorkasse sendet, die korrekte Anrede vorhanden sein muss. Im Internet gibt es einen Fall, dass jemand nicht bezahlt hat, weil sie mit “er” angesprochen wurde – auf anwaltliche Empfehlung
– Alter: Wenn man im Shop nicht gerade Dinge zum Verkauf anbietet wie z.B. Baumaterial, sondern insbesondere Jugendliche interessiert sein könnten, muss man das Alter abfragen – weil wenn sie minderjährig sind (weiß nicht mehr das genaue Alter, kann auch sein 14 oder 16), kann es passieren, dass die Eltern nicht verpflichtet sind, das Bestellte zu bezahlen. Jugendliche haben immerhin heutzutage die Möglichkeit online zu bestellen.
Ich gilt das Primat des Minimalismus. Aber die Rechtsprechungen sind ja auch zu berücksichtigen. Herr Rätze, was sagen Sie?