Zu den Grundsätzen des Autors gehört es, die Privatsphäre der Personen, die diese Site besuchen oder ihre Meinung mitteilen, zu respektieren. Alle personenbezogenen Daten werden grundsätzlich vertraulich behandelt und nur mit Ihrem Wissen und Ihrer Ein- willigung erhoben:
● der Informationsaustausch innerhalb dieses Internetangebotes bietet die Möglichkeit zur Eingabe persönlicher oder geschäftlicher Daten[Email-Adressen, Namen, Anschriften], die aber von Dritten (außer dem Autor dieser Website) weder berechtigt noch unberechtigt gelesen werden können,
● die Preisgabe dieser Daten seitens des Nutzers / Besucherserfolgt auf freiwilliger Basis,
● falls dies auf Bedenken stoßen sollte, wird ausdrücklich auf a n d e r e und s i c h e r e Arten der Kommunikation verwiesen, deren Anwendung allein im Ermessen des Nutzers / Besuchers liegt.
Die im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten, wie Adresse, Telefonnummer und E-Mail-Adresse dürfen von Drittenn i c h t für die Übersendung unerwünschter Informationen [insbesondere Werbung] verwendet werden. Der Autor behält sich r e c h t l i c h e Schritte gegen deren Versender vor und zwar insbesondere gegen Spammailer.
B. DATENSCHUTZ sonstiges
Sollten Sie zu der Feststellung gelangen, dass Angaben auf dieser HomepageIhre persönlichen Rechte, wie auch immer geartet, verletzen, so bittet der Autor um Mitteilung. Handelt es sich dabei um eine belegbare Rechtsverletzung, so werden die entsprechen- den Passagen oder Daten sofort entfernt !!!
C. DATENSCHUTZERKLÄRUNG
für die Website
GERMEROTH - Genealogie einer Familie aus KUR - HESSEN
Jeder Betreiber einer Internetseite ist verpflichtet Rücksicht auf die verschiedenen Gesetze und Richtlinien zu nehmen wie unter anderem auf:
■ Telemediengesetz,
■ Europäische Datenschutzrichtlinie für elektronische Kommunikation oder
■ NetzDG etc.
Ab dem 25. Mai 2018 gehört dazu auch die Veröffentlichung einer Datenschutz-Erklärung entsprechend der neuen EU - Datenschutz-verordnung[ EU - DSVGO ] jedes Betreibers einer privaten Website, sofern diese personenbezogene Daten verarbeitet.
I. Bereitstellung genealogischer Daten auf dieser Website.
Diese Site dient einzig und allein dem privaten Zweck der genealogischen Erforschung der ursprünglich aus Hessen stammenden GERMEROTH-Familien in den verschiedensten Schreibvarianten.. Durch die Erforschung und Dokumentation unserer eigenen Fa-miliengeschichte soll für alle interessierten Nachkommen dieser Familien die Möglichtkeit bestehen, sich zwecks Förderung des eige-nen historischen Bewußtseins mit der eigenen Abstammung auseinander zu setzten.
Diese Website verfolgt dabei keinerleikommerzielle Zwecke, d.h. es werden keine Personendatenverkauft oder sonst irgendwie zum Zwecke eines Geld- oder Vorteilserwerbs bereitgestellt.
Es findet k e in e Verarbeitung bzw. Darstellung der Namen und Lebensdaten oder sonstiger Daten n o c h l e b e n d e r P e r s o n e n statt!
Für die hier aufgeführtenverstorbenen Vorfahren und Seiten-Verwandten oder sonstigen verschwägerten Namensträger (sie ge- hen je nach Vorfahrenreihe bis ins hohe oder sogar frühe Mittelalter zurück)gilt k e i n Datenschutzrecht mehr, da sie wegen ihres so lange zurückliegenden Todes den Status als " n a t ü r l i c h e P E R S O N E N " verloren haben, denn n u rd e r e n Daten sind laut BDSG schützenswert !
Bei a l l e n aufgeführten Daten dieser bereits verstorbenen Personen sind, entsprechend aller hier geltenden Rechtsgrundlagen,
■ mindestens 100 Jahre seit Geburt, Taufe oder Konfirmation dieser Personen,
■ mindestens 60 Jahre seit Verlobung, Eheschließung,Abschluß eines Eheverrtages oder Eheversprechens dieser Personen,
■ mindestens 30 Jahre seit dem Tod und / oder dem Begräbnis dieser Personen
v e r g a n g e n !
Alle Daten wurden rechtmäßig öffentlich zugänglichen Personenstandsregistern, hier fast ausschließlich den Tauf-, Konfirmations-, Heirats- und Begräbnisregistern der jeweiligen Religionsgemeinschaften unter Beachtung der vorgenannten Veröffentlichungs-fristen entnommen.
Die wenigen anderen Datenquellen wie Kataster, Archivalien wie Haus und Grund bezogene Erwerbsurkunden, kommunale Ein-wohner-,Besitz- oder Steuer- und Abgabenlisten, Huldigungslisten der Landesherrschaft sowie Buchveröffentlichungen etc. wur-den ebenfalls unter Einhaltung der vorgenannten Veröffentlichungsfristen verwendet.
Aus diesem Grund findet die Anwendung der neuen EU-Datenschutzverordnung [ DSGVO ] ab dem 25. Mai 2018 auf die Veröffent-lichung der vorgenannten Daten lange verstorbener Personen auf dieser Website k e i n e direkte Anwedung. Dies gilt nur solange keine diesbezügliche Änderung in der Zukunft vorgenommen wird [darüber würde der Autor unaufgefordert sofort informieren].
ACHTUNG: Dennoch kann der Autor dieser Website deren Bereitstellung und Nutzung im Internet dahin gehend einschränken, daß die darin enthaltenenFamiliendaten bereits längst verstorbener Familienangehöriger nichtmehr für jeden Internet-Nutzer zugäng-lich sein werden.
Jede der betreffenden Seiten würde dann künftig mit einem Paßwort versehen, dass der Autor einem anfragenden Familienforscher nur noch bei einem berechtigten, schriftlich darzulegenden Interesse nach dessen Prüfung zur Verfügung stellen würde.
Die künftigen Anfragen wären dann ausschließlich schriftlich per Brief oder E-Mail an die vom Autor im Impressum hinterlegte An-schrift oder Mailadresse zu richten.
Kurz, das würde dann bedeuten: wer dieser A n f o r d e r u n g nicht nachkommt erhält einfach k e i n e n Zugriff!
II. Verarbeitung von Besucher- bzw. Nutzerdaten auf dieser Website
Diese Website wird t e c h n i s c h gesehen dem Autor von der Deutschen Telekom AG e n t g e l d p f l i c h t i g zur V e r - f ü g u n g gestellt.
Die neue EU-Datenschutzverordnung [ DSGVO ]kommt dennocht e i l w e i s e ab dem 25. Mai 2018 auch auf dieser Website zur Anwendung und zwar für den Bereich jener Daten, die die Besucher / Nutzer beim Aufrufen dieses Webangebotes zwangsläufig hinterlassen. Durch die Nutzung dieser Webseite erklärt sich der Besucher f r e i w i l l i g mit der Speicherung folgender minimaler Datensätze einverstanden, deren Verarbeitung nachfolgend beschrieben wird.
Beim Aufruf dieser Website wird lediglich ein sogenannter Session-Cookie gesetzt.Der Besucher muss einem Session-Cookie n i c h t explizit zustimmen. Ein Session-Cookie ist datenschutzrechtlich unbedenklich und wird beim Schließen des Browsers sofort wieder gelöscht.
Jeder Besucher wird in einem Logfile erfasst. Anhand dieser Logfiles wird eine Zugriffs-Statistik im sogenannten Homepagecen- ter generiert. Um datenschutzkonform zu handeln, werden die IP-Adressen der Besucher auf den telekomeigenen Servern pseudonymisiert(der Name oder ein anderes Identifikationsmerkmal wird durch ein P s e u d o n y m - zumeist eine mehrstellige Buchstaben- oder Zahlenkombination, auch Codegenannt, ersetzt)und dem Website-Autor auch nur in dieser Form zur Ansicht angeboten. Es findet k e i n e personenbezogene Speicherung von Daten durch die Telekom oder den Website-Autor statt.
Diese für den Autor vom Service-Provider ( Deutsche TELEKOM) bereitgestellte Zugriffsstatistik besteht aus:
■ 1. einer Browserstatistik,
■ 2. einer Besucherstatistik,
■ 3. einer Länderstatistik und
■ 4. einer Seitenstatistik,
die nachfolgend in ihrer Funktionsweise beschrieben werden:
1. Browserstatistik
Hier kann der Sitebetreiber einsehen, mit welchen Browsern und von welchen Suchmaschinen dieser Webauftritt besucht wird.
Wichtiger Hinweis: Die oben angezeigten IP-Adressen wurden aus Gründen des Datenschutzes anonymisiert.
Hierzu wird jeder IP-Adresse, die auf die Website zugreift nach dem Zufallsprinzip eine neue reale IP-Adresse zugewiesen.
Beispiel:
Der Besucher der Seite hat die IP-Adresse 217.88.129.250. Diese wird vom System in eine neue Adresse transformiert, die in die Logfiles geschrieben und im Homepagecenter angezeigt wird. Diese lautet dann z.B. 178.255.122.166.
Die so anonymisierten Adressen lassen keinerlei Rückschlüsse auf die realen Besucher dieser Website zu.
Die Zuordnung ist im geschlossenen System einmalig. Das bedeutet, wenn der selbe Besucher ein zweites Mal die Website mit derselben IP-Adresse besucht, kann er in einer Auswertung als wiederkehrender Besucher erkannt werden. Ihm wird bei einem erneuten Besuch die selbe anonymisierte IP-Adresse zugewiesen wie bei seinem ersten Besuch.
3. Länderstatistik
Hier erhält der Websitebetreiber einen Überblick, w o h e r die Besucher seines Webauftritts kommen:
Beispiel: Herkunftsländer der Besucher im Monat Juni 2018
III. Weitere personenbezogene datenverarbeitende Module [die aber auf dieser Website aber nicht angeboten werden]:
Auf dieser Website werden dem Besucher / Nutzer
■ kein Newsletter
■ kein Gästebuch
■ kein Blog
■ keine Formulare
■ keine Links
■ kein Google Maps
■ keine Widgets / Module, die Inhalte von extern nachladen (Social Media Widgets, Werbebanner etc.)
■ oder sonstige datenverarbeitende Module
■ keine kostenpflichtigen Angebote/Dienstleistungen/Informationen/Auskünfte, Einwahlsoftwaren oder Service-Rufnummern !
■ keine illegalen Publikationen
■ keine Werbung und
■ keine jugendgefährdenden Inhalte etc. zur Verfügung gestellt.
Wo stehen die Server der Deutschen TELEKOM ?
Alle Daten, die im Zusammenhang mit dem Hosting gespeichert werden, werden ausschließlich in Deutschland auf deutschen Servern gespeichert.
Der Websiteverantwortliche hat keinen Einfluss auf den Umfang der Daten, die Google oder andere Suchmaschinen erheben. Es ist allen Nutzern verboten, die hier angeboten Familien-Informationen für irgendwelche anderen Zwecke als zum privaten Gebrauch zu nutzen.
Die im Impressum für Anfragen hinterlegte Mailasresse sendet nur die entsprechende E-Mail an den Websiteinhaber und diese E-Mail wird dann serverseitig gelöscht.
Der Websiteinhaber verwendet die von einem anfragenden Besucher in dessen Mail enthaltenen Informationen lediglich für die Beantwortung dieser Mail. Anfragende Mail und beantwortende Mail werden anschließend komplett gelöschto h n e sie für andere Zwecke als dem genannten zu verwenden, d. h. eine Archivierung findet nicht statt!
[Quelle: Spiegel-Online Ausgabe vom 14. Mai 2018, von Patrick Beuth, Markus Böhm, Jörg Breithut und Angela Gruber]
Ab dem 25. Mai 2018 kommen die neuen Datenschutzregeln der EU zur Anwendung.
Hier erfahren Sie, was das für Ihre Rechte als Bürger bedeutet - und warum Experten mit Abmahnwellen rechnen.
1. Was ist die Datenschutz-Grundverordnung?
Die Verordnung soll den Datenschutz in der EU vereinheitlichen und ins Internetzeitalter befördern. Sie ersetzt eine EU-Richtlinie, die noch aus der Frühzeit des World Wide Web stammt, nämlich aus dem Jahr 1995. Der offizielle Name der Datenschutz-Grundverord-nung lautet deshalb auch "Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbei-tung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG". Die neue Verordnung gilt nun für alle gleich, während die Richtlinie den Mitgliedstaaten mehr Spielraum ließ.
In 99 Artikeln regelt die neue Verordnung, wie Unternehmen und Behörden, aber zum Beispiel auch Vereine mit personenbezogenen Daten umgehen sollten. Im deutschsprachigen Netz wird über die Verordnung vor allem unter der Abkürzung DSGVO diskutiert, auf Englisch ist der Name General Data Protection Regulation, kurz GDPR, geläufig.
Inhaltlich ist die Verordnung kein kompletter Neuanfang. Vielmehr baut sie auf der bisherigen Richtlinie und den nationalen Gesetzen auf, etwa dem deutschen Bundesdatenschutzgesetz. Auch in der EU-Grundrechtecharta sind Datenschutzrechte verankert, die die Verordnung aufgreift.
2. Was passiert am 25. Mai 2018?
Die DSGVO kommt am 25. Mai 2018 EU-weit zur Anwendung, ihre Vorgaben müssen also fortan komplett umgesetzt werden, sonst drohen Strafen. Bis hierhin war es ein weiter Weg, mit vielen Abstimmungen zwischen den Ländern und regelrechten Lobbyschlachten: Der erste Entwurf der EU-Kommission ist datiert auf den Januar 2012, vorausgegangen waren zwei Konsultationsphasen. Be- schlossen wurde die Verordnung vom EU-Ministerrat und dem Europäischen Parlament aber erst im April 2016. In Kraft getreten ist sie bereits im Mai 2016.
3. Was will die EU mit der Datenschutz-Grundverordnung erreichen?
Die DSGVO lässt sich ganz allgemein aus drei Perspektiven betrachten: Wirtschaft, Technik, Verbraucher.
Anders als eine Richtlinie, die erst in nationale Gesetze überführt und dabei durchaus unterschiedlich interpretiert wird, gilt eine Verord-nung unmittelbar in allen Mitgliedstaaten. Zwar ermöglichen sogenannte Öffnungsklauseln den Mitgliedstaaten auch eigene Rege-lungen, aber nur in begrenztem Umfang.
Die technische Perspektive: Ein grundsätzliches Ziel der DSGVO ist es, die veraltete bisherige EU-Richtlinie durch moderne, technik-neutrale Regelungen zu ersetzen. 1995 gab es noch keine so großen sozialen Netzwerke wie Facebook, kein Videostreaming und keine Big-Data-Anwendungen.
Der Grünen-Politiker Jan Philipp Albrecht, der eine wichtige Rolle beim Zustandekommen der Verordnung gespielt hat, ist "sehr zu-versichtlich", dass die Verordnung Datenschutzfragen rund um aktuelle Themen wie Deep Learning oder zukünftige Techniken beant-worten kann. Die nächste grundlegende Reform werde sich die EU "wahrscheinlich erst in 15 oder 20 Jahren vornehmen müssen", sagt er dem SPIEGEL.
Die Verbraucher-Perspektive: Die DSGVO reflektiert, wie viele Daten über jeden einzelnen Verbraucher erhoben, verarbeitet, weiterver-breitet und kommerzialisiert werden. Sie bringt den Nutzern verschiedene neue Auskunfts-, Lösch- und Widerspruchsrechte, die die Posi-tion der Verbraucher stärken.
Das Recht auf Vergessenwerden etwa bedeutet, dass EU-Bürger unter gewissen Umständen die Löschung ihrer personenbezogenen Daten verlangen können, zum Beispiel, wenn die Speicherung nicht länger notwendig ist oder wenn sie unrechtmäßig verarbeitet wurden.
Neu ist zudem das Recht auf Datenportabilität. Es besagt, dass Nutzer eines Onlinedienstes die Herausgabe ihrer personenbezogenen Daten in strukturierter, maschinenlesbarer Form verlangen können, um sie zu einem anderen Anbieter übertragen zu können. Im Auge hatte der Gesetzgeber vor allem soziale Netzwerke. Verschärft wird auch die Auskunftspflicht von Firmen nach einer Datenpanne oder einem Hack.
Kerngedanken der Verordnung sind die Prinzipien "Privacy by Design" und "Privacy by Default" - also Privatsphäre, die schon bei der Entwicklung eines Dienstes oder Produkts berücksichtigt wird und privatsphärefreundliche Voreinstellungen.
4. Wen betreffen die neuen Regeln?
Die DSGVO hat Folgen für jeden, der personenbezogene Daten verarbeitet, also auch für viele Blogger und Betreiber kleiner Websites (siehe Frage 6). Was "personenbezogene Daten" sind und was mit deren "Verarbeitung" gemeint ist, wird definiert: Personenbezogen sind Daten, wenn sie sich direkt oder indirekt auf einen identifizierbaren Menschen beziehen lassen. Namen sind also immer personenbe-zogene Daten. Physische Merkmale wie Geschlecht, Hautfarbe oder Kleidergröße sind personenbezogen, wenn sie einem Menschen zu-geordnet werden können. Das gilt auch für Autokennzeichen und IP-Adressen, soweit es rechtlich zulässige Wege gibt, die zu ihnen ge-hörenden Personen zu ermitteln.
Verarbeitet werden Daten immer dann, wenn sie erhoben, geordnet, gespeichert, verändert, verwendet, ausgelesen, abgefragt, transfe-riert, verknüpft, abgeglichen oder gelöscht werden. Besonders strenge Vorgaben gelten für die Verarbeitung von Daten, aus denen "ras-sische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen" hervorgehen sowie für Gesund-heitsdaten.
Folglich müssen sich viele Institutionen und Firmen - darunter natürlich auch SPIEGEL ONLINE - sowie Einzelpersonen auf die DSGVO einstellen. Das ist eine große Herausforderung, weil die Regelungen der DSGVO sehr allgemein gehalten sind und auch die Experten oft nicht sicher sind, was zukünftig wie erlaubt ist.
Ein Beispiel: Manche, aber nicht alleRechtsexperten gehen davon aus, dass die DSGVO das Verhältnis zwischen Kunstfreiheit bezie-hungsweise Kunsturhebergesetz und Datenschutz verändert - zum Nachteil von Fotografen. Ihr Szenario: Wer nicht fest angestellt für ein Medium arbeite, sondern zum Beispiel als freier Sport-, Konzert- oder Hochzeitsfotograf, braucht ab dem 25. Mai 2018 die Einwilligung jeder Person, die er fotografiert.
Website-Betreiber müssen, sofern ihre Seite nicht ausschließlich persönlichen oder familiären Zwecken dient, jeden Besucher darüber aufklären, welche personenbezogenen Daten sie zu welchem Zweck erheben und wie lange speichern. Vermieter haben durch die DSGVO ebenfalls neue Schutz-, Dokumentations-, Auskunfts- und Löschpflichten, wie sowohl der Deutsche Mieterbund als auch der Eigentümerverband Haus & Grund Deutschland sagen.
Auch Blogger, Onlineshop-Betreiber, niedergelassene Ärzte und Krankenhäuser, Schulen und Sportvereine müssen bestimmte Anforderungen erfüllen und Maßnahmen ergreifen - und natürlich auch US-Unternehmen wie Google und Facebook, die in der EU tätig sind und deren Geschäftsmodelle auf der Verwertung von Nutzerdaten beruhen. Besonders schwierig wird es künftig für Firmen, deren Dienste sich explizit oder in großem Maße an Minderjährige richten - sie müssen bei Nutzern unter 16 Jahren künftig Einwilligungen der Eltern einholen - oder aufs Speichern von Daten verzichten, so wie es zum Beispiel Snapchat tun will.
Ausgenommen von den Regeln der DSGVO sind übrigens die Daten von Strafverfolgungs- und Justizbehörden, wenn es um die Aufdeck-ung, Verfolgung oder Verhinderung von Straftaten geht. Für diese Daten gilt die ebenfalls neue, zeitgleich verabschiedete EU-Richtlinie.
5. Was ändert sich durch die Verordnung für normale Internetnutzer?
Grundsätzlich anders wird das Web nach dem 25. Mai wohl nicht sein, zumindest nicht auf deutschen Internetseiten: Einerseits, weil viele Vorgaben des DSGVO in ähnlicher Form schon im bisherigen deutschen Bundesdatenschutzgesetz auftauchen. Andererseits, weil vor allem große Firmen ihre Angebote bereits in den vergangenen Wochen oder Monaten an die Vorgaben angepasst haben - teils abge-stimmt innerhalb der Branche. Vom Berliner Versandhändler Zalando, der viel mit personenbezogenen Daten arbeitet, heißt es beispiels-weise: "Wir stehen in regem Austausch mit anderen Digital-Unternehmen, um sicherzustellen, dass die Datenschutz-Grundverordnung einheitlich interpretiert wird."
Eine der offensichtlichsten Veränderungen, die Nutzern auf fast jeder Website begegnen könnten, dürften überarbeitete Datenschutz-erklärungen und Allgemeine Geschäftsbedingungen (AGB) sein. Viele Dienste haben ihre Kunden darauf auch längst aktiv hingewiesen: mit E-Mails oder Pop-up-Hinweisen in ihren Apps. Von Daimler, die über ihren Carsharing-Anbieter Car2go Leihautos vermitteln, etwa heißt es, die "datenschutzrechtlichen Änderungen in den AGB" seien Car2go-Kunden bereits Anfang April angekündigt worden. Und wei-ter: "Vor Inkrafttreten der Änderungen werden wir alle unsere Kunden zu den Anpassungen unserer Datenschutz- und Einwilligungserklä-rungen nochmals per E-Mail und über unsere App informieren."
Grundsätzlich sollen Online-Datenschutzerklärungen künftig detaillierter und allgemeinverständlicher sein. Das hat jedoch auch einen un-schönen Nebeneffekt: Die Texte werden in vielen Fällen um einiges länger - und damit für den Nutzer unterm Strich vielleicht noch unat-traktiver, als sie es bisher schon waren. Möglich scheint es auch, dass viele Firmen die Informationspflichten der DSGVO anfangs zur Sicherheit wohl eher übererfüllen werden.
Auf die neuen oder gestärkten Rechte, die die DSGVO für Internetnutzer mit sich bringt, werden hingegen wohl wenige Anbieter offensiv hinweisen - denn sie bedeuten für sie zusätzliche Arbeit. So können Bürger bei Unternehmen nun etwa mit einer Standard-Antwortfrist von einem Monat nicht nur anfragen, ob und, wenn ja, welche Informationen über sie dort gespeichert sind, sondern auch, für welchen Zweck und wie lange solche Daten gespeichert werden.
Erhalten Bürger die entsprechende Auskunft nicht oder nicht rechtzeitig - eine Fristverlängerung auf maximal drei Monate ist jedoch mög-lich -, kann man sich bei der Datenschutzbehörde über das Untenehmen beschweren. Eine Vorlage zur "datenschutzrechtlichen Selbst-auskunft" findet sich beim Tech-Magazin "c't" als Word- und Open-Document-Datei.
6. Worauf sollten Blogger und Betreiber kleiner Websites jetzt achten?
Viele Website-Betreiber und Blogger müssen sich mit der DSGVO auseinandersetzen - ansonsten drohen womöglich Abmahnungen. "Wenn ich auf meinem Blog zum Beispiel privat meine Katzen zeige, dann ist das okay, dann gilt die DSGVO für mich nicht", erklärt der Fachanwalt für IT-Recht Joerg Heidrich auf SPIEGEL-Anfrage. "Wenn ich das Gleiche aber als Züchter mache, wenn ich so auch nur indirekt mein Geschäft fördere, verlasse ich schon den rein privaten Bereich und muss auf die DSGVO-Vorgaben achten. Das gilt auch, wenn ich auf meiner Seite irgendwo Werbung oder Affiliate-Links schalte."
Generell gilt: Wer mit seinem Online-Angebot in irgendeiner Form Nutzerdaten verarbeitet (siehe Frage 4) - und sei es, weil etwa Word-press-Plug-ins Nutzerdaten erfassen oder Nutzer in Kommentaren ihren Namen hinterlassen -, der sollte davon ausgehen, von der DSGVO betroffen zu sein. Im Zweifel kann man seine Datenschutzbehörde fragen, ob und welche Vorkehrungen man bis zum 25. Mai treffen muss.
Personen mit Handlungsbedarf rät Anwalt Heidrich, als Erstes die Website selbst DSGVO-fit zu machen - vor allem als Absicherung gegen etwaige Abmahnungen von Mitbewerbern oder Abmahnvereinen. So sollte man sich zum Beispiel einen Überblick verschaffen, welche Plug-ins von Drittanbietern im Hintergrund laufen.
"Nicht dringend gebrauchte Plug-ins oder Social-Media-Buttons (in ihrer Standardform) würde ich jetzt rausschmeißen", sagt Heidrich, "insbesondere dann, wenn offensichtlich ist, dass sie persönliche Daten erheben - und seien es nur IP-Adressen, denn auch die sind persönliche Daten."
Ebenso wichtig sei es, zusätzlich zum Impressum eine DSGVO-konforme Datenschutzerklärung auf der Website zu haben, die sich von jeder Unterseite aus erreichen lässt. Bei ihrem Aufsetzen könnten Online-Generatoren helfen, sagt Heidrich. Ein Beispiel für einen solchen Generator, der die DSGVO bereits berücksichtigt, finden Sie hier.
Bei nicht selbstgehosteten Angeboten muss zudem eine gesonderte Auftragsverarbeitungs-Vereinbarung mit dem Host-Provider abge-schlossen werden, also jenem Anbieter, bei dem das eigene Blog oder die eigene Website liegt. Ein solches Papier - eine Vorlage findet sich zum Beispiel hier - müsse einem der Anbieter auf Aufforderung übersenden, sagt Joerg Heidrich. Liegt die eigene Seite bei einem US-Hoster, ist es wichtig, dass die Firma am Datenschutzabkommen Privacy Shield (siehe Frage 10) teilnimmt, wie es zum Beispiel Google und Automattic - letzteres Unternehmen steht hinter Wordpress.com - tun.
Nicht vergessen sollte man auch, dass möglicherweise noch ein Verzeichnis der Verarbeitungstätigkeiten rund um die eigene Website erstellt werden muss, etwa nach diesem Muster.
Sollte trotz aller Anpassungen des eigenen Internetangebots dennoch eine Abmahnung mit Bezug auf die DSGVO ankommen, rät Heidrich Betroffenen, sich an einen Anwalt zu wenden: "Sonst kann das unter Umständen richtig teuer werden."
7.Wer kontrolliert, ob die Regeln eingehalten werden?
In jedem EU-Land sollen unabhängige Aufsichtsbehörden über die Umsetzung der Verordnung wachen. In Deutschland sind das die Datenschutzbehörden der 16 Bundesländer und die Bundesdaten-schutzbeauftragte, Andrea Voßhoff (CDU), deren Amtszeit im Februar 2019 endet.
Die Aufsichtsbehörden haben durch die DSGVO das Recht, zum Beispiel von Firmen Informationen einzufordern, die die Kontrolleure für ihre Arbeit benötigen. Dazu dürfen sie auch Ortsbesuche in den Geschäftsräumen machen. Außerdem führen die Behörden Datenschutz-überprüfungen durch und erteilen Zertifizierungen.
Weil viele internationale Konzerne länderübergreifend mit Daten arbeiten, war bislang nicht immer eindeutig, welche Aufsichtsbehörde zu-ständig ist. Das versucht die DSGVO durch das Prinzip des "One Stop Shop zu ändern: Jede Firma soll eine federführende Aufsichtsbe-hörde haben, die für sie zuständig ist. Festgelegt wird das anhand der Hauptniederlassung des Unternehmens.
8. Welche Sanktionen drohen bei Verstößen?
Die DSGVO-Kontrolleure können bei wenig gravierenden Verstößen eine Verwarnung aussprechen und fordern, dass der Missstand in-nerhalb einer Frist behoben wird. Außerdem kann die Datenschutzbehörde dafür sorgen, dass personenbezogene Daten eines Nutzers berichtigt, gelöscht oder in ihrer Verarbeitung eingeschränkt werden - oder dafür, dass eine zuvor erteilte Zertifizierung wieder entzogen wird.
Darüber hinaus kann die DSGVO-Aufsicht Bußgelder verhängen, die deutlich höher sind als bei Verstößen gegen das bisherige Bundes-datenschutzgesetz, bei denen maximal 300.000 Euro Bußgeld drohte. Jetzt können - je nach Schwere des Verstoßes - bis zu 20 Millio-nen Euro fällig werden (Art. 83).
Weil großen Tech-Konzernen auch solche Summen eventuell klein erscheinen, gilt eine Extra-Regel: Sie sieht vor, dass das Bußgeld bis zu vier Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres betragen kann. Es soll immer diejenige Berechnung angewandt werden, die den höheren Bußgeld-Betrag für eine Firma nach sich zieht. Unter Umständen haften Verantwortliche sogar mit ihrem Privatvermögen.
An diese neuen Kompetenzen müssen auch die deutschen Aufseher ihre Arbeit erst noch anpassen. "Die DSGVO verlangt eine verän-derte Arbeitsweise der Aufsichtsbehörden, da Entscheidungen der Aufsichtsbehörden in zusätzlichen Bereichen künftig auch justiziabel sein werden", sagt ein Sprecher der Bundesdatenschutzbeauftragten.
9. Welche Kritik gibt es an den neuen Regeln?
Während viele Verbraucherschützer die DSGVO insgesamt positiv sehen, gibt es auch Widerspruch: Firmen, deren Geschäftsmodell auf personenbezogenen Daten fußt, fürchten um ihre Zukunft. Sie haben - genauso wie Betreiber kleiner Internetseiten - Angst vor der Um-stellungszeit und der damit verbundenen Rechtsunsicherheit.
Die DSGVO ist zwar jahrelang vorbereitet worden, doch an vielen Stellen ist selbst Juristen nicht klar, was die neue Verordnung fordert und wie manche Passagen im Alltag auszulegen sind. Beobachter rechnen damit, dass sich Gerichte bald mit etlichen Streitfällen be-fassen müssen. Da die Verordnung EU-weit gilt, könnten Streitfälle letztlich beim Europäischen Gerichtshof (EuGH) landen, der die finale Entscheidung trifft. Bis zum ersten EuGH-Urteil rund um die DSGVO dürften Jahre vergehen.
Ein Beispiel: In Artikel 6 der DSGVO wird Firmen die Verarbeitung von personenbezogenen Daten erlaubt, wenn dies "zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist". Doch welche Interessen von Firmen aber sind berechtigt und welche nicht mehr?
Noch zeigen wird sich, ob nach dem 25. Mai, wie Experten befürchten, neue Abmahnwellen drohen. Niko Härting vom Deutschen Anwalt-verein hält es für denkbar, dass die Auskunftsansprüche der Bürger für massenhafte Abfragen missbraucht werden.
Unklar ist bislang auch, wie gut die Vereinheitlichung der unterschiedlichen Datenschutz-Standards der EU-Mitglieder letztlich funktionie-ren wird. Österreich etwa hat bereits ein "Datenschutz-Deregulierungsgesetz" verabschiedet.
Mit Blick auf Deutschland sorgen sich einige Datenschützer, dass die DSGVO gar keine Verbesserung ist, sondern das Land im Vergleich zum Bundesdatenschutzgesetz vielmehr auf ein EU-weites niedrigeres Datenschutzniveau herunterzieht.
10. In welchem Zusammenhang steht die Verordnung mit Regelungen wie dem Privacy Shield und e-Privacy?
Die DSGVO löst auf EU-Ebene die Datenschutzrichtlinie von 1995 ab. Im Unterschied zu ihr gilt die DSGVO unmittelbar in der gesamten EU. Flankiert werden soll die Neuordnung des EU-Datenschutzes durch die Einführung der sogenannten ePrivacy-Verordnung.
Diese Verordnung soll gewissermaßen den Datenschutz für Endgeräte sichern, ohne dass es zwingend um personenbezogene Daten ge-hen muss. Konkret geht es zum Beispiel um das Nutzer-Tracking auf Websites. Die ePrivacy-Verordnung wird derzeit noch verhandelt. Wann und in welcher Form sie in Kraft tritt, ist daher schwer abzusehen.
Neben der DSGVO und der ePrivacy-Verordnung ist der sogenannte Privacy Shield ein weiteres wichtiges internationales Regelwerk in Sachen Datenschutz. Den Privacy Shield gibt es bereits seit 2016. Er ist ein umstrittenes Konstrukt, das auf das gekippte Safe-Harbor-Ab-kommen folgte. Der "Datenschutzschild" weist geografisch über die EU hinaus und regelt den transatlantischen Datenaustausch zwischen der EU und den USA. Er wird neben der DSGVO weiterexistieren.
Auch in Deutschland muss nationales Recht angepasst werden. Kernstück ist ein auf die Verordnung abgestimmtes neues Bundesdaten-schutzgesetz.
11. Welche Bedeutung hat die Verordnung außerhalb Europas?
Die DSGVO gilt in allen 28 Staaten der EU. Aber die Verordnung dürfte zum Beispiel auch viele amerikanische Tech-Unternehmen be-schäftigen: Dafür sorgt das sogenannte Marktortprinzip. "Unternehmen außerhalb der EU unterliegen der Verordnung, wenn sie Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von Personen in der EU beobachten", sagt eine Sprecherin des Wirtschafts-ministeriums dazu.
Dass internationale Firmen die neuen EU-Regeln einfach für ihr weltweites Geschäft übernehmen, zeichnet sich derzeit nicht ab. Im Ge-genteil:Facebook etwa wird seine interne Nutzer-Zuordnung aufwendig umschichten, um zu verhindern, dass rund 1,5 Milliarden Face-book-Nutzer aus Afrika, Asien, Australien oder Lateinamerika die Rechte und Klagemöglichkeiten der EU-Bürger gemäß DSGVO bekom-men. Andere Tech-Konzerne planen offenbar ähnliche Maßnahmen.
