Auf Initiative des Zentralverband Karosserie- und Fahrzeugtechnik (ZKF) und der ETL Kanzlei Voigt Rechtsanwalts GmbH wurde das Rechtsforum Rhein Main mit rund 130 Teilnehmern ins Leben gerufen. Verschiedene Top Referenten aus unterschiedlichen Bereichen waren dort am 20.02.2020 vertreten und hielten unter dem Titel „Werkstattrecht Frontal“ gezielt für Betriebsinhaber der Branche spannende Vorträge zu aktuellen Themen. Für viele Werkstättenbetreiber und Sachverständige zwar nicht gerade spannend aber dennoch brandaktuell und eklatant wichtig: das Thema Datenschutz. Neben den Vorträgen zu Rechnungskürzungen sowie Tipps und Tricks zur Schadensabwicklung, deckte die as-con mit ihren Vertretern Frau Heil und Herrn Becker die unliebsame Materie mit verständlichen Basics, zentralen Tipps und speziellen Angeboten zum Homepage-Check ab.

Viele Datenschutzrisiken lassen sich mit wenig Aufwand minimieren

Auch in der Karosserie- und Fahrzeugtechnik kommt man um die Vorgaben der DS-GVO nicht herum, die rund zwei Jahre nach ihrem Inkrafttreten mit Nichten an Bedeutung verloren hat. Besonders in dieser Branche ist vielen Betriebsinhabern nicht bewusst, dass gerade auf der digitalen Visitenkarte des Unternehmens viele Fallstricke für gravierende Datenschutzprobleme lauern. An keiner anderen Stelle ist für jedermann sichtbar, wie ernst ein Unternehmen den Schutz der ihm anvertrauten persönlichen Informationen wirklich nimmt, wie auf der Website. Dabei lassen sich viele Risiken bereits mit relativ wenig Aufwand erheblich minimieren. Gut gestärkt gab es daher nach der Mittagspause von Frau Heil mit dem Vortrag „Aktuelles aus dem Medienrecht: Cookies, Einwilligungen, Fotos etc. – Homepage, Werbeaktionen, Social Media & Co.: Datenschutzrisiken mit wenig Aufwand minimieren“ wertvolle Tipps für die datenschutzkonforme Gestaltung des Firmenauftritts.

Der Vortrag „beinhaltete zwar viel Theorie und Juristik, fasste das Thema jedoch kompakt und vor allem verständlich zusammen“. Frau Heil beleuchtete in ihrem Vortrag vor allem die drei großen medienrechtlichen Brennpunkte Homepage, Werbung und Social-Media.

Brennpunkt I Homepage

Um eine Homepage datenschutzkonform zu betreiben, sind so einige Dinge zu beachten. Ein besonderes Augenmerk sollte hier auf den eingebundenen Cookies inkl. Cookiebanner, dem Kontaktformular und selbstverständlich dem Herzstück des Internetauftritts – der Datenschutzerklärung – liegen.

Cookies – hörte sich zwar mal gut an, wurde jedoch in Zeiten der DS-GVO zum Zentrum vieler Auseinandersetzungen. Da Cookies personenbezogene Daten erheben und an das Unternehmen bzw. Dritte weiterleiten, ist in den meisten Fällen zum Zeitpunkt der Datenerhebung (also bevor der User beginnt auf der Seite zu surfen) die Einwilligung des jeweiligen Homepagebesuchers erforderlich. Um den Cookie-Einsatz DS-GVO konform zu gestalten, gibt es daher einiges zu beachten und es reicht gerade nicht aus, ein einfaches Cookie-Consent-Tool zu installieren. Um Cookies datenschutzkonform einzusetzen, ist weit mehr nötig als die Installation eines Plugins. Es muss stattdessen genau analysiert werden, welche Cookies sich wirklich auf der Seite befinden und ob diese überhaupt personenbezogene Daten verarbeiten. Anschließend sollte geprüft werden, ob die Anwendungen zwingend erforderlich sind. Auch hier gilt, umso weniger desto besser. Erst auf dieser Basis lässt sich anschließend das Cookiebanner erstellen und der Text korrekt gestalten. Werden diese Aspekte nicht beherzigt, ist auch für viele Laien leicht erkennbar, dass dem Datenschutz keine all zu große Bedeutung beigemessen wird.

Telefonnummer, Handynummer, E-Mail-Adresse, Postadresse – so manch einer wundert sich, welche Fülle an Daten bei Kontaktformularen teilweise angegeben werden müssen, nur um eine kurze Anfrage zu stellen. Ab und an fragt man sich dann doch, ob es nicht auch einfach die E-Mail-Adresse getan hätte. Und ja: datenschutzrechtlich müssen Kontaktformulare genau so gestaltet werden, dass für die Bearbeitung der Frage so wenig Daten wie möglich angegeben werden müssen. In der Fachsprache heißt das dann „Grundsatz der Datenminimierung“. Bei den einzelnen Datenfeldern gilt deshalb: Pflichtangaben minimieren und alles andere freiwillig abfragen! Zu den Pflichtangaben gehört im Übrigen auch das sog. Datenschutz-Opt-In, also die Bestätigung und Verlinkung der Datenschutzinformationen. Erfahrungsgemäß verwechseln aber über 80 Prozent der von der as-con geprüften Homepages die Bestätigung mit einer Einwilligung. Aus Datenschutzsicht ein eklatanter und ebenso vermeidbarer Fehler, der schnell behoben ist.

Die Datenschutzerklärung ist das Herzstück eines datenschutzkonformen Internetauftritts und dient als Werkzeug, den Anforderungen aus Art. 12 DS-GVO nachzukommen. Websitebetreiber müssen ihre Besucher mit einer Datenschutzerklärung über alle Vorgänge aufklären, bei denen sie personenbezogene Daten verarbeiten. Da kaum etwas so fehleranfällig ist, wie die Erstellung dieser Informationstexte, lieferte der praxisnahe Vortrag von Frau Heil die Hitliste der beliebtesten Fehler. Ganz weit oben stehen dabei die ungeprüfte Übernahme von Textbausteinen aus diversen Generatoren, verwirrende Kurzzusammenfassungen und uneinheitliche Cookie-Informationen.

Brennpunkt II Werbung

Im zweingen Brennpunkt erläuterte Frau Heil die wichtigsten Basics für Werbeaktionen sowie die wichtigstens Rechte von Werbeempfängern. Genervte Empfänger sind nach den aktuellen Berichten der Aufsichtsbehörden mit die größte Gruppe, die Datenschutzverstöße an die Aufsichtsbehörde melden. So werden teure Marketingaktionen leicht zu noch teureren Bumerangs, wenn Betriebsinhaber die wichtigsten Grundlagen nicht beachten.

Als mögliche Rechtsgrundlagen im Werbebereich kommen aus Datenschutzsicht nur eine Einwilligung (Art. 6 Abs. 1 S.1 lit a) DS-GVO) oder ein überwiegend berechtigtes Interesse (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO) in Frage. An die Rechtsgrundlage der Einwilligung werden hohe Anforderungen gestellt. So müssen Einwilligungen immer ausdrücklich und freiwillig abgegeben werden sowie vor der Verarbeitung der Daten eingeholt werden. Außerdem müssen sie sich auf einen konkreten Verarbeitungszweck beziehen und die betroffene Person umfassend über die Verarbeitung der Daten informieren.

Beim überwiegend berechtigten Interesse muss vor der Datenverarbeitung eine Interessenabwägung durchgeführt und dokumentiert werden. Betroffene können der Verarbeitung ihrer Daten aber jederzeit widersprechen. Je nach Werbekanal kann die Interessensabwägung zudem aus wettbewerbsrechtlichen Gründen nicht ausreichend sein.

Auch bei Werbung haben die Empfänger als sog. Betroffene gem. der DS-GVO einige Rechte. Die wichtigsten der sog. Betroffenenrechte sind unter anderem das Auskunftsrecht (Art. 15 DS-GVO), das Widerspruchsrecht (Art. 21 DS-GVO) und der Widerruf der Einwilligung (Art. 7 Abs. 3 DS-GVO). Insbesondere das Auskunftsrecht hat seit Inkrafttreten der DS-GVO einiges an Bedeutung erlangt und wird bei unerwünschter Werbung gern in Anspruch genommen. Betroffene haben durch den Auskunftsanspruch das Recht zu erfragen, ob und wie von ihnen personenbezogene Daten verarbeitet werden.

Ein solches Auskunftsersuchen muss innerhalb eines Monats beantwortet werden und ist dem Anfragenden kostenlos (auch inklusive der Kopie der Daten) zur Verfügung zu stellen. Damit die Daten nicht in falsche Hände gelangen, ist davor selbstverständlich eine Identitätsprüfung notwendig.

Um herauszufinden, wie lange welcher Nutzer auf der Website verweilt und für welche Produkte sich der jeweilige Nutzer interessiert, wird häufig Werbetracking verwendet. Um Werbetracking datenschutzkonform verwenden zu können, muss vorab unbedingt die Einwilligung des Beworbenen eingeholt werden. Damit der Beworbene auch weiß, wozu er einwilligt, muss er umfangreich über die Details des Trackings informiert werden. Zudem muss dem Beworbenen dann natürlich auch die Möglichkeit gegeben werden, seine Einwilligung zu widerrufen.

Brennpunkt III Social-Media

Ein datenschutzkonformes Agieren auf Social-Media-Kanälen ist auch für Karosseriebetriebe nicht möglich. Frau Heil eräuterte aber verschiedene Möglichkeiten, um möglichst nah an die Einhaltung der Vorgaben ran zu kommen. Nur weil man die eigene Wohnung nicht in einen Hoch-Sicherheits-Trakt verwandelt, lässt man schließlich die Haustür für Einbrecher nicht ganz offen. Zwischen schwarz und weiß gibt es eine Reihe verschiedener Schattierungen – auch im Datenschutz.

Auch für das Einstellen von Bildern auf Social-Media-Kanälen gilt – jede Datenverarbeitung muss auf eine zulässige Rechtsgrundlage gestützt werden. Bilder von Kunden, Mitarbeitern oder Geschäftspartnern dürfen also nicht nach Belieben im Internet verwendet werden. Als mögliche Rechtsgrundlage könnte z. B. eine Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DS-GVO) der Betroffenen in Frage kommen. Die Einwilligung muss jedoch vorab eingeholt werden. Erst Bilder einstellen und danach um Erlaubnis fragen, funktioniert nicht. Weitere Rechtsgrundlagen stellen die des überwiegend berechtigten Interesses (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO) oder die Notwendigkeit zur Erfüllung eines Vertrags (Art. 6 Abs. 1 S. 1 lit. b) DS-GVO) dar. Ein überwiegend berechtigtes Interesse könnte z. B. bei Großveranstaltungen bestehen, hier müssten dann entsprechende Hinweisschilder sichtbar aufgehängt und ausführliche Informationen zur Veröffentlichung gegeben werden.

Einer der wesentlichen Grundgedanken der DS-GVO ist, dass jede Person genau wissen soll, was mit den eigenen Daten passiert. Somit müssen Unternehmen alle betroffenen Personen einer Datenverarbeitung ganz genau aufklären, welche Daten auf welche Weise verarbeitet werden, zu welchem Zweck diese verarbeitet werden und welche Rechte den Betroffenen dabei zustehen. Diese Informationen müssen in klarer und verständlicher Sprache formuliert und den Betroffenen leicht zugänglich gemacht werden. Hierzu sind auch eine Reihe direkter Informationen vom Betreiber des Kanals nötig, an die Unternehmen oft nicht bis ins letzte Detail herankommen.

Die Nutzung sozialer Netzwerke bedeutet für Unternehmen auch eine gemeinsame Verantwortung mit dem jeweiligen Social-Media-Kanal, da diese die Daten der Nutzer auch für ihre eigenen Zwecke nutzen. Im Rahmen der gemeinsamen Verantwortung müssen die Zuständigkeiten nach Art. 26 DS-GVO klar vertraglich geregelt sein. Zudem müssen die User transparent über die gemeinsame Verantwortung und deren Kerninhalt informiert werden. Dies ist praktisch zwar nicht zu erfüllen, jedoch erhält man dadurch ein steuerbares Risiko, bis die einzelnen Fragen gerichtlich geklärt werden.

Fazit

Der Werbebereich und der Internetauftritt halten damit eine Reihe von Fallstricken bereit, die aber teilweise mit leichten Mitteln umschifft oder zumindest deutlich minimiert werden können. Voraussetzung dafür ist aber, dass sich Unternehmen ihrer Verantwortung bewusst sind und das notwendige Fachwissen holen. Die Datenschutz-Standards gelten auch für kleine Betriebe und einfache gestrickte Firmenhomepages. Oftmals sind es nur kleine Formulierungsfehler oder leichte Umgestaltungen.

Kennen Sie uns Seminar „Datenschutzkonforme Werbung und Internetpräsenz“?

Dieses Tagesseminar vermittelt Ihnen die datenschutzrechtlichen Basics für die Gestaltung Ihrer Homepage und Werbeaktionen. Es zeigt Ihnen anhand vieler praktischer Beispiele, in puncto Datenschutz beachten müssen und gibt Ihnen Leitlinien an die Hand, um die Anforderungen der DS-GVOD mit praktikablen Mitteln zu beachten.