Inxmail Blog

20 Jahre Inxmail

DSGVO: Welche Betroffenenrechte müssen Online-Marketer beachten?

  • 21.11.2016 von Frank Stiegler (Gastautor)
  • Rubrik: Fachwissen

Sie haben in Teil 1 einen Überblick über die Neuerungen durch die DSGVO insbesondere bei Hinweispflichten bekommen und in Teil 2 erfahren, dass und unter welchen Voraussetzungen Sie zukünftig bestimmte Maßnahmen auch ohne Einwilligung des jeweils Betroffenen durchführen dürfen. In Teil 3 kann der gebotenen Kürze wegen auch hier nicht auf jedes Detail eingegangen werden, aber Sie bekommen einen groben Überblick, welche Betroffenenrechte nach der DSGVO unabhängig von den bereits besprochenen Hinweispflichten existieren.

<></>

Auskunft

Nach Art. 15 DSGVO haben Betroffene das Recht zu erfahren, ob und gegebenenfalls welche personenbezogenen Daten über sie bei einem Unternehmen gespeichert sind, wer diese Daten zu sehen bekommt, wie lang sie gespeichert sind (bzw. die Kriterien für die Speicherdauer), ob die Daten an eine Stelle außerhalb der EU übermittelt werden und im Grunde über alles Weitere, worüber der Betroffene zuvor schon aufgeklärt werden musste (lesen Sie hierzu bitte Teil 1. Auf Verlangen müssen Sie, wenn eine solche Anfrage bei Ihnen landet, dem Betroffenen auch eine Kopie seiner personenbezogenen Daten zurVerfügung stellen, was in der Praxis oft gar nicht so einfach ist.

Berichtigung, Löschung

Nach Art. 16 und 17 dürfen Berechtigte ebenso fordern, dass ihre bei einem Unternehmen gespeicherten Daten berichtigt werden (natürlich nur, wenn sie zu der Zeit nicht richtig sind), und ebenso, dass sie gelöscht werden, jedenfalls soweit keine Aufbewahrungspflichten entgegen stehen, etwa aus gesetzlichen Gründen oder weil das Unternehmen die Daten noch zur Vertragserfüllung oder einen anderen legitimen Zweck benötigt. Das ist an sich nichts Neues, aber eine inhaltliche Veränderung bringt die DSGVO auf jeden Fall: Zukünftig, anders als im BDSG (§ 3 Abs. 4 Nr. 5), findet sich in der DSGVO keine ausdrückliche Definition der Anforderung an „Löschen“ (von Daten) mehr. In Art. 4 Nr. 2 DSGVO allerdings finden sich die Begriffe „Löschen“ und „Vernichtung“ nebeneinander, sodass der Gesetzgeber davon ausgehen muss, dass Löschen keine Vernichtung erfordert. Solange und soweit das die Daten speichernde Unternehmen zur Aufbewahrung gesetzlich verpflichtet ist, ist diese Aufbewahrung logischerweise auch zulässig. Dem Gedanken des Löschungsersuchens gemäß müssen Daten aber durchaus für den gewöhnlichen Gebrauch unbenutzbar gemacht werden. Das bedeutet, dass Sie Ihrer Löschpflicht genügen können, wenn Sie Betroffenendaten Ihrem üblichen Backup-Turnus gemäß „löschen“ und die Daten dann dementsprechend erst im normalen Verlauf vernichtet werden.

Das „‘Löschen Sie meine Daten‘ und ‚Do not track‘“-Paradoxon

Heutzutage wird Online-Tracking beliebiger Website-Besucher immer verbreiteter (um nicht zu sagen: Wer das heute noch nicht macht, hat vermutlich einen triftigen Grund dafür). Wenn ein Betroffener Sie als Website-Inhaber dazu auffordert, alle seine bei Ihnen gespeicherten Daten zu löschen und ihn zukünftig nicht mehr zu tracken, müssen Sie diesen Aufforderungen wie gesagt nachkommen. Die Frage ist aber, wie Sie das tun sollen bzw. überhaupt können. Beides zusammen ist nämlich kompliziert, wenn nicht gar unmöglich.

Eine Möglichkeit ist, ihm einen „no-track“-Cookie zu setzen, mit dem Sie ihn als „nicht tracken Besucher“ wiedererkennen können. Wenn dieser Cookie keinen Rückschluss auf ihn als Person zulässt, beinhaltet der Cookie pseudonyme Daten, sodass das Setzen eines solchen Cookies m. E. ein zulässiges Verhalten sein kann, selbst wenn der Betroffene Sie aufgefordert hat, alle seine Daten zu löschen. Das Problem ist aber, dass der[nbsp]Betroffene diesen Cookie löschen kann, ohne dass Sie etwas davon mitbekommen. Wenn er danach wieder auf Ihre Website kommt und Sie ihn auch pseudonym nicht wiedererkennen können, tracken Sie ihn automatisch wieder, was genau das Gegenteil von dem ist, wozu er Sie aufgefordert hat. Dummerweise sind Sie in einer schlechten Beweislage, wenn ein für Sie (wieder) völlig unbekannter Betroffener abmahnt oder verklagt und beweisen kann, dass er Sie zur Unterlassung des Trackings aufgefordert hat. Dass Ihnen hier auch nur der Beweis gelingt, dass er den von Ihnen achtsam gesetzten Cookie selbst gelöscht hat, halte ich für zweifelhaft.

Das Problem entsteht vermutlich vor allem deshalb, weil der Betroffene in diesen Fällen nicht versteht, dass er zwei gegensätzliche Dinge fordert. Vorrangiges Ziel muss es sein, Rechtsstreits und vor allem Bußgelder zu vermeiden. Bußgelder werden vor allem dann verhängt, wenn Unternehmen sich vorsätzlich nicht an geltendes Recht halten. Hier können jedoch wie gesagt Rechts- und Beweislage weit auseinander klaffen. Wie auch immer; Sie als Online-Marketing-Unternehmen müssen sich ein möglichst risikoarmes Vorgehen überlegen.

Handlungsempfehlung in diesem Fall:

Wenn der Betroffene die Löschung „all seiner Daten“ und die Unterlassung zukünftigen Trackings fordert, ist der m. E. vernünftigste Weg der folgende:

  • Weisen Sie den Betroffenen darauf hin, dass beide Aufforderungen (also Löschen aller Daten und nicht mehr getrackt zu werden) nicht verlässlich zusammen erfüllbar sind, weil Sie ihn nach dem Löschen all seiner Daten bei Ihnen auch nicht mehr verlässlich als nicht-mehr-tracken-Besucher identifizieren können.
  • Informieren Sie ihn, dass Sie ihm ein no-track-Cookie im Browser setzen, mit dem er zukünftig auf der betreffenden Website bei Verwendung dieses Browsers nicht mehr „getrackt“ (am besten mit einem Link zur Stelle Ihrer Datenschutzerklärung, an der Sie das Tracking erläutern) werden wird. Weisen Sie außerdem darauf hin, dass er, wenn er nicht getrackt werden möchte, weiterhin diesen Browser nutzen und den besagten Cookie nicht löschen soll, da er anderenfalls erneut getrackt werden wird. Setzen Sie den besagten Cookie.
  • Nach diesen Hinweisen fragen Sie ihn, ob er unter diesen Umständen wirklich alle seine Daten gelöscht haben möchte oder doch lieber die für seine verlässliche Erkennung durch Sie nötigen Daten gespeichert behalten möchte. Wenn er sich für Letzteres entscheidet, behalten Sie die Daten, mit denen Sie ihn auch dann wieder erkennen können, wenn er mit einem anderen Browser und/oder Ihre Website ohne den no-track-Cookie besucht.

Mit dieser Variante verbleibt ein gewisses Restrisiko, nämlich dass Sie im Ernstfall möglicherweise Schwierigkeiten haben können zu beweisen, dass Sie einer bestimmten Person gegenüber die hier aufgeführten Hinweise gegeben haben. Da Sie keine Daten mehr über den Betroffenen haben, können Sie logischerweise auch nicht mehr personenbezogen Hinweise an diese Person nachweisen. Dennoch können Sie den hier beschriebenen Prozess über Zeugenaussagen z. B. von Mitarbeitern [nbsp]und Beschreibung des Prozesses belegen. Jedenfalls ist m. E. ein Bußgeld einer Datenschutzbehörde bei diesem Vorgehen sehr unwahrscheinlich, ist der Prozess doch der vernünftigste und transparenteste, den Sie (und jedes Unternehmen in Ihrer Situation) beschreiten können. Ein Grund, ein Löschungsersuchen eines Betroffenen abzulehnen, ist wie gesagt eine Aufbewahrungspflicht, aber selbst bei Raum für Argumentation ist das nicht in jedem Fall ein verlässlicher Grund, die Daten zu behalten.

Damit sind Sie am Ende dieses Blog-Dreiteilers angekommen und haben nun einen Überblick über das, was Sie und uns alle durch die Neuerungen der DSGVO erwartet. Bis zum 25. Mai 2018 haben Sie Zeit für die Anpassung an die neue Rechtslage, wobei manche Details noch durch die nationale Gesetzgebung konkretisiert werden müssen. Sollten Sie Begleitung bei der Anpassung Ihrer Prozesse wünschen, steht Ihnen RA Stiegler gern zur Verfügung. Kontaktdaten finden Sie unter www.stiegler-legal.com.

<></>

Weitere Beiträge der Serie

Das Webinar zum Artikel

Über den Autor

Frank Stiegler (Gastautor)

Frank Stieglers Kanzlei Stiegler Legal ist auf Recht in IT und neuen Medien inkl. Gewerblichem Rechtsschutz und Datenschutz ausgerichtet. Die Kanzlei unterstützt und vertritt hauptsächlich Unternehmen im Hard- und Software-Bereich, E-Commerce-Händler, Agenturen und Berater, vom Einzelunternehmer bis zum Großkonzern. Frank Stiegler arbeitet auf Deutsch und Englisch und gibt von Herzen gern Seminare und Workshops.

Zur Übersicht

Wissen

Ob Studien, Whitepaper, Webinare oder Case Studies – hier haben wir noch mehr E-Mail-Marketing-Wissen für Sie zusammengestellt:

Produkte & Services

Sie interessieren sich für unsere leistungsstarken Produkte oder unsere Services? Hier erfahren Sie mehr:

Inxmail Newsletter

Bleiben Sie mit unserem Newsletter auf dem Laufenden: Melden Sie sich gleich an und bekommen Sie Neuigkeiten rund ums E-Mail-Marketing direkt in Ihr Postfach.

Jetzt anmelden