Im Interview erzählt die Rechtsanwältin Sabrina Keese-Haufs, was jeder Kreative über die DSGVO wissen sollte.
Als Anwältin mit Spezialisierung auf IT-Recht kennt sich Sabrina Keese-Haufs mit der DSGVO bestens aus. In ihrer Düsseldorfer Kanzlei K2 Law berät sie vor allem mittelständische Unternehmen. Wir fragten sie, was jeder Kreative über die DSGVO wissen sollte und ob es auch gute Seiten der Verordnung gibt.
Was muss auf die Website eines Gestalters, damit sie DSGVO-konform ist?
Sabrina Keese-Haufs: Vor allem ein rechtlich einwand-freies Impressum und eine Datenschutzerklärung. Und dann kommt es natürlich darauf an, was man mit der Seite macht. Fast jede hat ja zum Beispiel ein Kontaktformular, aber längst nicht jede nutzt Social-Media-Plug-ins oder hat einen E-Mail-Newsletter.
Was hat sich beim Kontaktformular verändert?
Zum Beispiel darf man nicht mehr Namen und Vornamen abfragen. Es muss jetzt möglich sein, nur mit meiner E-Mail-Adresse eine Anfrage zu schicken. Auch darf man den Absender nicht direkt in den Newsletter ziehen, wie es früher meist der Fall war.
Beim E-Mail-Newsletter oder den diversen Plug-ins wird es dann komplizierter?
Da gibt es tatsächlich einiges zu beachten. Beim Newsletter ist der entscheidende Unterschied, dass der Kunde durch aktives Anklicken einer Checkbox dem Erhalt ausdrücklich zustimmen muss. Außerdem muss man das Double-Opt-in-Verfahren anwenden, das heißt, ein Empfänger bekommt bei der Anmeldung zum Newsletter eine Mail mit einem Bestätigungslink, bevor er in den Verteiler aufgenommen wird.
Es gibt diverse Generatoren für Datenschutzerklärungen. Was halten Sie davon?
Einige sind gar nicht schlecht. Wenn jemand auf seiner Seite nur Google Analytics nutzt oder nicht mal das, geht das. Doch muss man sich darüber im Klaren sein, dass diese Generatoren keinerlei Haftung und Aktualisierung übernehmen. Installiert man zum Beispiel ein neues Plug-in, muss man sich selbst darum kümmern, den entsprechenden Textblock dafür zu bekommen.
Bei kostenpflichtigen Generatoren ist das anders?
Da übernimmt der Anbieter die Haftung, dennoch empfiehlt es sich, noch einmal in dessen AGB zu schauen oder konkret nachzufragen, auf was genau sich diese bezieht. Nachteilig kann hier sein, dass unter Umständen nicht alles enthalten ist, was man benötigt. Es gibt so viele Plug-ins, wir haben in der Kanzlei mittlerweile über 500 Textblöcke.
Und wenn man auf Nummer sicher gehen will?
Am besten ist, sich eine individuelle Datenschutzerklärung aufsetzen zu lassen. Dann wird vorher genau abgefragt, was man auf der Webseite alles verwendet.
Was kostet so eine individuelle Erklärung?
Bei uns rund 280 Euro, da ist das Impressum für Deutschland, Österreich und die Schweiz mit drin. Die regelmäßigen Updates dann etwa 50 Euro im Jahr.
Was sollten Kreative noch beachten?
Wenn etwa ein Digitaldesigner dauerhaft die Seite seines Kunden pflegt, also auch ein Log-in hat, ist er Auftragsverarbeiter und braucht einen Auftragsverarbeitungsvertrag. Diese Info wird nicht vom Kunden kommen, das müssen Kreative selbst wissen. Es gibt auch Juristen, die sagen, es würde reichen, eine Verschwiegenheitserklärung zu unterschreiben. Es ist tatsächlich ein Grenzfall, aber sicherer ist man mit dem Auftragsverarbeitungsvertrag. Kommen beim Kunden tatsächlich Daten abhanden, haften seit Inkrafttreten der DSGVO nämlich beide.
Muss ich als Kreativer meine Kunden auch beraten können?
Natürlich ist es gut, wenn ein Designer sich auskennt und dem Kunden etwa sagt: »Das normale Facebook-Plug-in sollte man nicht nehmen, für deine WordPress-Seite geht aber dieses oder jenes Plug-in.« Allerdings sollten Kreative nicht den DSGVO-Check von Websites anbieten, denn die Rechtsberatung ist Anwälten vorbehalten. Das kann sonst schon mal Ärger geben.
Wenn zum Beispiel Foundries ihre Lizenzen über die IP-Adressen kontrollieren, argumentieren sie mit Artikel 6 Absatz 1 (f) der DSGVO, also mit einem berechtigten Interesse zur kurzzeitigen Verarbeitung der IP. Was halten Sie davon?
Dieses berechtigte Interesse eines Unternehmers sollte man sehr eng auslegen. Aber achten Sie mal darauf, in wie vielen Datenschutzerklärungen das »(f)« auftaucht, das für berechtigtes Interesse steht. Da kann man dann lesen: »Wir nutzen Facebook-Pixel (f)«, »Wir nutzen Google Analytics (f)«. Das halte ich für sehr gefährlich, denn die Gerichte und auch die Datenschutzbehörden finden es überhaupt nicht witzig, wenn jemand die Leute über Facebook-Pixel trackt, um damit Geld zu verdienen.
Bei Schriften finde ich es persönlich übertrieben, eine extra Einwilligung einzuholen. Als Rechtsanwältin muss ich natürlich den sichersten Weg empfehlen. Man kann aber auch in der Datenschutzerklärung sagen: »Wir nutzen die Schrift XY von Foundry XY. Und diese Schrift ist erforderlich, damit die Seite funktioniert. Das kann dann ein berechtigtes Interesse sein. Wie ein Gericht das sehen würde, müssen wir abwarten. Die Datenschutzbehörden sind der Ansicht, dass Cookies, die für das Betreiben der Website erforderlich sind, ohne Einwilligung eingesetzt werden können. Wenn man aber darüber hinaus geht und zusätzlich Daten erhebt wie für den Newsletter oder Analysen, dann verlässt man den Bereich des berechtigten Interesses, muss eine Einwilligung einholen und den Leuten auch die Möglichkeit geben, zu sagen: »Ich möchte das nicht!«
Gab es schon Abmahnungen?
Wenige. Ein paar für die Nutzung von Google Fonts. Oder wenn jemand gar keine Datenschutzerklärung hat. Der hat dann allerdings auch selbst schuld. Und einige für Google Analytics, aber nur weil die IP-Adresse nicht anonymisiert wurde.
Heute verschickt man Rechnungen oder Briefe ja meist digital? Gibt es da etwas zu beachten?
Da hat sich nicht viel verändert. Außer dass Websites eine SSL-Verschlüsselung haben und E-Mails über SMTP oder TLS verschickt werden müssen. Außerdem sollte man darauf achten, dass Mails vom Geschäfts- und nicht vom privaten Account versendet werden – das schreibt das Trennungsgebot in der DSGVO vor. Die Rechnung muss natürlich alle Angaben wie Rechnungsnummer oder Umsatzsteuer-ID enthalten, das hat aber nichts mit der DSGVO zu tun. Was nicht jeder weiß: Man muss auch das PDF der Rechnung zehn Jahre speichern. Die Rechnung ausdrucken und die digitale Datei wegwerfen geht nicht.
Welche DSGVO-Fehler begegnen Ihnen am häufigsten?
Die größten Schwierigkeiten gibt es bei der Integration in den Alltag. Wenn ich jemanden anrufe, was mache ich dann mit den Daten? Im Prinzip muss ich eine E-Mail hinterherschicken, in der steht: »Hallo, wir haben gerade telefoniert, darf ich die Daten speichern, damit ich mich wieder melden kann.« Gleiches gilt für Visitenkarten. Da ist die DSGVO nicht wirklich praxisnah. Eigentlich müsste man beim Überreichen gleich eine mehrseitige Datenschutzerklärung mitgeben. Generell herrscht noch viel Unsicherheit, wo man jetzt eine Einwilligung benötigt, wen man anschreiben darf. Das fällt eigentlich unter das Wettbewerbsrecht, hat aber mit der DSGVO eine andere Awareness bekommen. Das gilt auch für die Offlinewelt: Darf ich am Telefon überhaupt noch sagen: »Könnte ich bitte Ihre E-Mail-Adresse bekommen?«? Schließlich kann ich ja später nicht nachweisen, dass man sie mir gegeben hat.
Und darf ich?
Manchmal sollte man einfach den normalen Menschen-verstand einsetzen und sich nicht irremachen lassen. Überlegen, was für einen selbst in Ordnung wäre. Wenn ich jemandem meine Karte gebe, dann bin wohl damit einverstanden, dass er sich mal meldet. In der DSGVO steht gar nicht so selten, dass etwas angemessen sein muss. Und für ein großes Unternehmen ist etwas anderes angemessen als für einen Ein-Mann-Betrieb.
Was nervt Sie an der DSGVO, was finden Sie gut?
Ein großes Ärgernis ist, dass die Datenschutzbehörden wenig bis gar keine Ahnung vom Online-Business haben. Jeder, der Google Analytics nutzt, wird heute als böse Datenkrake angesehen. Das stimmt so natürlich nicht. Aber die DSGVO hat auch Gutes. Mir gefällt, dass man nicht mehr automatisch in Newsletter gezogen wird. Und man muss kreativ werden und neue Marketingstrategien entwickeln. Viele Dinge gehen eben nicht mehr, da muss man sich etwas Neues einfallen lassen und die Qualität der Angebote im Internet wird wieder besser.
Noch viel mehr Infos und schöne Projekte rund um das Thema Geschäftsausstattung in digitalen Zeiten sowie Statements von Kreativen lesen Sie in der PAGE 11.2018, die Sie hier bestellen können.
