Alles neu macht der Mai? EU „bessert“ last minute bei der DSGVO nach!

Nicht genug, dass die ab dem 25.05.2018 geltende DSGVO derzeit den Ecommerce massiv auf Trab hält, grätscht nun der Europäische Rat in letzter Minute noch mit einer Berichtigung der DSGVO dazwischen. Doch was bedeutet diese Korrektur für die Praxis?

Berichtigung auf den letzten Drücker

Nahezu jeder Händler steckt aktuell noch in den Anpassungen zur Umsetzung der DSGVO – immerhin ist in gut drei Wochen „Deadline“: Zum 25.05.2018 müssen Internethändler die DGSVO zwingend beachten.

Mit seinem Corrigendum Download hier verfügbar: [http://data.consilium.europa.eu/doc/document/ST-8088-2018-INIT/en/pdf vom 19.04.2018 sorgt der Europäische Rat nun kurz vor dem Stichtag für weitere Verunsicherung.

386 Seiten starke Berichtigung – primär sprachliche Nachbesserungen

Das Berichtigungsdokument ist 386 Seiten stark, da die Anpassungen in allen EU-Amtssprachen dargestellt werden. Auf den deutschen Part entfallen immerhin noch 18 Seiten.

Solche Berichtigungen sind bei europäischen Rechtsvorschriften nicht unüblich. Durch diese werden in erster Linie sprachliche Ungenauigkeiten bzw. Abweichungen nachgebessert, die bei der Übersetzung der Originalfassung in die einzelnen Amtssprachen entstanden sind. Es geht in erster Linie also um grammatikalische bzw. sprachliche Korrekturen bzw. Abrundung.

So auch nun im Falle der DSGVO - wenn da nicht ein kleines Detail wäre…

„Privacy by default“

Die DSGVO verfolgt den Grundsatz „Privacy by default“.

So regelt die Vorschrift des Art. 25 Abs. 2 S. 1 DSGVO, dass Verantwortliche technische und organisatorische Maßnahmen dahingehend zu treffen haben, dass bei ihnen datenschutzfreundliche Voreinstellungen herrschen.

Mit anderen Worten: Die „Werkseinstellungen“ bei der Verarbeitung personenbezogener Daten, etwa bei der Nutzung von Formularen auf Internetseiten, sind von Haus aus möglichst datenschutzfreundlich auszugestalten und nicht umgekehrt, zunächst datenschutzunfreundlich und erst durch Tätigwerden des Nutzers datenschutzfreundlich werden.

Dies vor dem Hintergrund, dass insbesondere wenig technikaffine Nutzer im Internet in Bezug auf den Datenschutz besonders gefährdet sind und meist gar nicht auf die Idee kommen, entsprechend weitreichende (vorausgewählte / aktive) Datenverarbeitungsvorgänge zu erkennen bzw. zu deaktivieren.

Von daher soll durch datenschutzfreundliche Voreinstellungen ein hohes Schutzniveau auch für technisch Unbedarfte geschaffen werden.

Das Wort „grundsätzlich“ wurde ersatzlos gestrichen

Die Vorschrift des Art. 25 Abs. 2 S. 1 DSGVO lautete bis zur Berichtigung wie folgt:

"Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden."

Durch die Berichtigung wurde das Wort „grundsätzlich“ gestrichen, so dass aus der weichen Vorgabe nun eine harte Anordnung wurde:

"(…) trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten (…) verarbeitet werden."

Der Entfall dieses Wortes kann nicht mehr nur als sprachliche Klarstellung bzw. Korrektur angesehen werden. Damit bringt der Gesetzgeber nun vielmehr zum Ausdruck, dass er einen „Weichmacher“ weniger haben will, und nimmt der Regelung die bisher gegebene gewisse Unverbindlichkeit.

Die DSGVO ordnet in der korrigierten Fassung nun also an, dass durch Voreinstellung nur personenbezogene Daten verarbeitet werden dürfen, die für den konkreten Verarbeitungszweck auch erforderlich sind. Ohne Ausnahme.

Optionale Angaben als „Voreinstellung“?

Im Ecommerce stellt sich nun die Frage: Dürfen neben den erforderlichen Daten überhaupt noch weitere (freiwillige) Daten des Nutzers der Internetdienste erhoben werden, wenn dies „formularmäßig“ geschieht?

Am Beispiel einer Email-Newsletter-Anmeldung: Darf ich als Onlinehändler in der Anmeldemaske nun überhaupt noch nach (freiwilligen) Angaben wie Vorname, Nachname, Telefon fragen?

Oder arbeite ich dann mit einer bösen, datenschutzunfreundlichen Voreinstellung?

Nach bisheriger Rechtslage gilt bei der Anmeldung zum Email-Newsletter: Die Angabe der Email-Adresse darf als Pflichtfeld ausgestaltet sein (ohne diese keine Durchführung des Newsletters möglich). Die (freiwillige) Abfrage von weiteren Kundendaten (z.B. Telefonnummer) ist zulässig, sofern es sich dabei nicht um Pflichtfelder handelt und für den Nutzer auch ersichtlich ist, dass er diese Angaben zur erfolgreichen Anmeldung nicht tätigen muss.

Nach der erfolgten Korrektur der DGSVO (siehe oben) könnte man nun die Ansicht vertreten, auch mittels freiwilliger Angaben gestaltete „Abfragen“ von nicht notwendigen personenbezogenen Daten sei nun unzulässig, da darin eine datenschutzunfreundliche Voreinstellung zu sehen ist.

Schließlich sind diese optionalen Felder ja im Formular (etwa bei der Newsletteranmeldung) „immer da“ und könnten damit als Voreinstellung betrachtet werden.

Enorme Sprengkraft

Würde man der vorgenannten Ansicht folgen, wäre dies in der Praxis mit einem massiven Umstellungsaufwand für nahezu jeden Händler und jedes Shopsystem verbunden. Denn dies beträfe bei Weitem nicht nur die Anmeldung zu einem Email-Newsletter

Rein beispielhaft seien nur einmal die folgenden Szenarien in Betracht gezogen, die häufig fakultativ die Angabe nicht notwendiger Daten vorsehen:

• Kontaktformulare
• Checkout im Onlineshop
• Bestellformulare
• Widerrufs- und Rückgabeformulare
• Retourenabwicklung
• Gewährleistungsabwicklung
• Garantieabwicklung

All diese Vorgänge wären – wollte man dieser Ansicht folgen – dann entsprechend anzupassen. Ein riesiger, zusätzlicher Aufwand würde dann auf die Händler zurollen…

Optionale und entsprechend als „freiwillig“ gekennzeichnete Felder/Angabemöglichkeiten sind keine (datenschutzunfreundliche) Voreinstellung

Eine solche „böse“ Voreinstellung ist nach Auffassung der IT-Recht Kanzlei noch nicht darin zu sehen, dass bei der Gestaltung von Formularen (etwa Newsletteranmeldung oder Kontaktformular) fakultative Felder vorgehalten werden, in denen – einzig auf entsprechende, freie Entscheidung und Eingabe des Nutzers hin – Daten eingetragen werden können, die gar nicht für die Erfüllung des Anliegens erforderlich sind.

Denn es ist dabei die alleinige Entscheidung des Verbrauchers, ob er diese Daten überhaupt angibt und ob er diese Angabe dann auch aktiv vornimmt (und nur dann würde eine Verarbeitung dieser Daten überhaupt erfolgen).

Eine datenschutzunfreundliche Voreinstellung existiert dann jedenfalls nicht.

Wenn man dabei überhaupt von einer Vorsteinstellung im Sinne von Art. 25 Abs. 2. S.1 DSGVO sprechen möchte (rein technisch betrachtet vertretbar, in Bezug auf die Verarbeitung von Daten – und nur darauf dürfte die DSGVO abzielen – eher nicht), wäre diese dann jedenfalls nicht datenschutzunfreundlich.

Schließlich kann der Nutzer den Dienst ja auch ohne das Tätigen solcher Daten nutzen. Durchläuft er das Formular ohne diese Angaben zu machen, kommt er zum „Erfolg“, ohne dabei mehr als erforderlich über sich preisgegeben zu haben.

Saubere Kennzeichnung vom Pflichtfeldern und freiwilligen Angaben

Wichtig ist jedoch, dass diese Felder tatsächlich keine Pflichtfelder sind und sich dies für den Nutzer auch deutlich ergibt.

Selbstredend müssen alle Felder mit fakultativen Angaben dann auch so ausgestaltet sein, dass der Nutzer den Dienst auch ohne dortige Angaben nutzen kann (sich also z.B. zum Newsletter erfolgreich anmelden kann, wenn er seine Telefonnummer nicht angibt).

Wie kann ich kennzeichnen?

Am sichersten ist eine eindeutige, direkte Kennzeichnung solcher Felder mit optionalen Angaben durch einem Zusatz wie „freiwillige Angabe“ direkt im oder neben dem jeweiligen Feld.

Vorstellbar ist aber auch ein mittelbarer Hinweis, indem alle Pflichtfelder als solche deutlich gekennzeichnet werden. Dann kann im Umkehrschluss davon ausgegangen werden, dass alle anderen Felder keine Pflichtangabe beinhalten.

Fazit: Erst einmal abwarten…

Die DSGVO zeigt einmal mehr, dass der Gesetzgeber im Bereich des Ecommerce seine Gesetze seit Jahren weit an der Praxis vorbei schreibt.

Weder Verbraucher noch Händler haben etwas von kryptischen und maximal auslegungsbedürftigen Normen. Erst Recht dann nicht, wenn diese zudem die Abwicklung von alltäglichen, etablierten Vorgängen in der Praxis massiv erschweren.

Die nunmehr erfolgte Korrektur der DSGVO wenige Tage vor deren Geltung ist in erster Linie sprachlicher und grammatikalischer Natur. In Bezug auf die datenschutzfreundliche Voreinstellung dürfte jedoch von einer tatsächlichen, inhaltlichen Verschärfung der gesetzlichen Vorgabe auszugehen sein, und nicht nur von einer sprachlichen Korrektur.

Es erscheint - schon aufgrund des erheblichen Umstellungsaufwands - jedoch übereilt, deswegen derzeit Anpassungen an Prozessen dahingehend vorzunehmen, dass künftig keine freiwillige Angabe personenbezogener Daten mehr möglich ist, die nicht für den konkreten Verarbeitungszweck erforderlich sind, solange bis durch die Rechtsprechung die Reichweite der gesetzlichen Anordnung nicht präzisiert wurde.

Wir halten Sie hierzu natürlich auf dem Laufenden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.