Datenschutzgrundverordnung, Cookies & Co.

Interview mit DataReporter zum Europäischen Datenschutztag

Datenschutzgrundverordnung, Cookies & Co.

Am 28. Jänner findet der jährliche Europäische Datenschutztag statt. Erstmals ereignete sich dieser im Jahr 2007, an dem Tag, an dem die Europäische Datenschutzkonvention unterzeichnet wurde. Seit 2009 feiern auch die USA und Kanada an diesem Tag den Data Privacy Day. 

DataReporter wurde 2017 gegründet und ist seit 2019 ein Teil der E-Biz Group. Die juristisch geprüften Softwarelösungen WebCare und Privacy, bieten Unternehmen eine Lösung für automatisiertes Datenschutzmanagement für Organisationen jeglicher Größe, vom Start-up bis zum internationalen Konzern.

Wir haben uns mit Mag.jur. Robert Reitmann, Geschäftsführer & Chief Legal Officer der DataReporter GmbH, über das Thema Datenschutz im Web unterhalten. 

Vor allem in den letzten Jahren wurde vielen Menschen das Thema Datenschutz immer bewusster und auch die Anforderungen an Unternehmen im Netz wurden größer. Wie kann ich Userinnen und User auch ohne “Fachchinesisch” die Sicherheit vermitteln, dass ihre Daten datenschutzkonform verwendet werden?

Wichtig ist, die User von datenschutzrelevanten Vorgängen, ihre Daten betreffend zu informieren und zwar in einfacher, verständlicher und transparenter Weise. Aus diesem Grund wird der Erfüllung von Informationspflichten im Datenschutz eine sehr große Bedeutung beigemessen. Auf die Verletzung dieser Pflichten fußen auch bereits sehr viele empfindliche Strafen. 

Um hier als Verantwortlicher für den Datenschutz einen Unterschied zu machen, ist es wichtig, jede eingesetzte Technologie mit der personenbezogene Daten verarbeitet werden, auch selbst zu verstehen und natürlich auch zu nutzen. Analysetools deren Daten innerhalb der Organisation keine Verwendung finden, sollten nicht eingesetzt werden. 

Sollte man datenschutzrelevante Technologien verwenden und Daten daraus auch nutzen, dann ist der Betroffene darüber in seiner Sprache zu informieren. Es ist ihm die Chance zu bieten eine Datenverwendung nicht gegen seinen Willen zulassen zu müssen. Transparenz und Freiwilligkeit schaffen Vertrauen und Sicherheit, sodass der Kunde sehr rasch erkennen kann, dass seine Daten von einem Verantwortlichen datenschutzkonform verwendet werden.

 

Wann gilt eine Website oder ein Webshop rechtlich als datenschutzkonform? Was sollte dabei beachtet werden?

Es kommt natürlich immer darauf an, was man mit seiner Website machen möchte. Wenn man z.B. den Weg eines Nutzers durch den Internetauftritt verfolgen will (sogenanntes Nutzer-Tracking), gibt es an die Rechtskonformität höhere Ansprüche als dies der Fall wäre, als wenn man seine Website nur als reines virtuelles Schaufenster betreibt. Auch wenn derzeit Tools aus den USA eingesetzt werden, gibt es einiges an Anforderungen und rechtliche Unsicherheiten um den Webauftritt datenschutzkonform zu gestalten. 

Wichtig ist jedenfalls, dass der User stets darüber informiert ist, was mit seinen Daten geschieht und stets “Herr” über seine Daten bleibt. Er muss bestimmen können, was mit seinen Daten passiert und das in informierter Art und Weise. Ohne ein rechtlich konformes Consent Management und digitalen Helferlein, für die Erfüllung von Informationspflichten in Datenschutzerklärungen und Cookie-Richtlinien, ist aus meiner Sicht eine moderne Website mit all ihren Funktionen heute nicht mehr datenschutzkonform zu betreiben.

Damit man eine Ahnung hat was Rechtskonformität bei Websites bedeuten kann, haben wir von DataReporter eine Checkliste für einen Webauftritt entwickelt. Diese kann gerne kostenlos von uns angefordert werden - Bitte um Kontaktaufnahme.

 

Welche rechtlichen Folgen können für Unternehmen auftreten, wenn die Anforderungen nicht erfüllt werden?

Der Datenschutz öffnet sowohl den gerichtlichen als auch den verwaltungsstrafrechtlichen Weg für Betroffene, die sich in ihrem Recht auf Datenschutz beeinträchtigt oder verletzt fühlen. Neben klassischen Verwaltungsstrafen, können auch massive Schadenersatz- sowie Unterlassungansprüche aus dem Datenschutz folgen. Es ist nicht selten, dass manche Strafen ein sehr bedrohliches Ausmaß annehmen, da der Strafrahmen bis zu 20 Millionen EURO bzw. 4% vom weltweiten Jahresumsatz (je nachdem was höher ist!) beträgt.

Man sieht anhand der in einem sehr kurzen Rhythmus bekannt werdenden Strafen gegen bekannte Unternehmen (Google, Facebook, H&M, Post etc.), dass dieses Thema immer ernster genommen wird. Es ist dabei auch nicht zu erwarten, dass diese Strafen weniger oder geringer werden, im Gegenteil wird das Thema Datenschutz insbesondere auf Websites in Zukunft immer mehr an Wert gewinnen. Unternehmen die Datenschutz ernst nehmen, können aus meiner Sicht dadurch einen Wettbewerbsvorteil generieren (siehe auch die ganzen Aktivitäten im Hinblick auf ein CO2-neutrales Unternehmen etc.). 

Max Schrems hat sich mit seinem Verein NOYB als Wächter über den Datenschutz im Internet stilisiert. Sein Verein alleine ist verantwortlich dafür, dass 101 Beschwerden innerhalb der EU gegen Organisationen wegen fehlender Datenschutzkonformität auf der Website eingebracht wurden. Insbesondere haben es ihm dabei die Datenübermittlungen in die USA angetan, was eine kürzliche Entscheidung der österreichischen Datenschutzbehörde schonungslos gezeigt hat. Es ist zu erwarten, dass relativ rasch weitere Entscheidungen aus den zahlreichen Beschwerdeverfahren ans Tageslicht kommen. Eher selten sind diese Entscheidung positiv für Unternehmen, weil weitere Aktivitäten und Verpflichtungen damit einhergehen.

 

Wie unterstützt DataReporter seine Kundinnen und Kunden dabei?

Wir von DataReporter wissen über die zahlreichen Verpflichtungen im Datenschutz Bescheid. Dabei kombinieren wir das Wissen unserer Techniker und Juristen. Dieses Know-how lassen wir in unsere Produkte einfließen um diese stets am neuesten Stand zu halten. Die zentrale sowie beruhigende Botschaft an unsere Kunden lautet: “Konzentriert Euch mit bestem Gewissen auf Euer Kerngeschäft, wir übernehmen den Datenschutz”. 

Die automatisierte Softwarelösung WebCare, ist das digitale Helferlein für unsere Kunden, welches die Frage nach der Rechtskonformität der Website aufgreift. Wir bei DataReporter haben eine einzigartige Technologie entwickelt - den WebCare Swarm Crawler. Unsere Technologie verwendet einen mehrstufigen Prozess um eine konkrete Website komplett zu scannen. Dabei können wir sogar geschützte Bereiche untersuchen – natürlich unter strengster Beachtung aller Datenschutzauflagen. Der Scan der Website liefert alle benötigten Daten – und mit unserer Datenbank sind wir in der Lage diese auszuwerten.

Die Privacy Compliance Datenbank von DataReporter ist die Quelle für die automatisiert erstellte Datenschutzerklärung. Sie umfasst mehr als 40.000 kategorisierte Cookies über 2.500 Regeln zur Kategorisierung, über 500 datenschutzrelevante Module (beschriebene Plugins, Tools, …) sowie weit über 500 Hersteller weltweit. Und sie wächst immer noch weiter. Die Beschreibungen zu den Modulen werden periodisch juristisch geprüft und überarbeitet, damit die Datenschutzerklärung immer auf dem neuesten Stand ist.

Der große Vorteil dabei ist, dass der Webseitenbetreiber hier nicht händisch eingreifen muss. Ein nachvollziehbares Consent-Management (Cookie Banner, u.v.m.) ist selbstverständlich auch mit an Bord.

Sollten Kunden noch weitere allgemeine Verpflichtungen im Datenschutz in ihrer Organisation automatisieren wollen (wie z.B. die Abwicklung von Auskunftsbegehren, die Erstellung des Verarbeitungsverzeichnis oder die Dokumentation und Meldung von Datenpannen, etc.) bietet wir auch gerne mit unserer umfangreichen Datenschutzmanagement Software Privacy Unterstützung an.

Mag. jur. Robert Reitmann (CEO & Chief Legal Officer, DataReporter GmbH)

Robert Reitmann, Jahrgang 1976, absolvierte die EDV HTL in Leonding und schloss das Studium der Rechtswissenschaften an der Johannes Kepler Universität in Linz ab. Seit seinem Studium befasst er sich mit der Kombination IT und Recht und arbeitete in diesem Thema bereits für viele renommierte Industrieunternehmen. Als Gründungsmitglied der DataReporter GmbH, ist es ihm ein Anliegen, die Automatisierung auch im rechtlichen Bereich, insbesondere im Datenschutz, umzusetzen. Als Legal Tech ist er für Kunden und Partner direkter Ansprechpartner und für die Weiterentwicklung der Datenschutzmanagement-Software unter sich ständig ändernden rechtlichen Rahmenbedingungen verantwortlich.