Datenschutz für User: Was Handwerksbetriebe beachten müssen
Obwohl immer mehr Handwerksbetriebe auf digitale Technologien setzen, herrscht beim Thema Datenschutz oft noch große Unsicherheit. Was müssen Inhaber eines Sanitär-, Heizungs- oder Klimabetriebes tatsächlich beachten, um alle gesetzlichen Vorgaben zu erfüllen? Seit 2018 macht die Datenschutz-Grundverordnung (DSGVO) hier klare Vorgaben. Trotzdem – und aufgrund des schnellen technologischen Wandels – kämpft die Branche oft mit der konsequenten Umsetzung.
Neben der DSGVO gibt es inzwischen weitere rechtliche Vorgaben: Seit Dezember 2021 gilt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Seine Inhalte schützen die digitale Privatsphäre der User in der elektronischen Kommunikation und bei Telemedien, sprich: Wer Internetangebote wie Websites, Blogs, soziale Medien, Apps, Webshops und Co. nutzt, soll volle Kontrolle über seine Daten haben. Jeder hat nun die Wahl, welche Spuren er etwa auf der Website eines Sanitärbetriebes hinterlässt.
Somit gelten die Vorgaben für alle Handwerksbetriebe mit eigenem Webauftritt. Viele Inhaber, Führungskräfte und Entscheider stehen jetzt vor neuen Fragen: Was bedeuten die Inhalte für mein Geschäft? Betrifft das meine Website und Systeme? Welche Techniken muss ich neu aufsetzen? Wer als Laie im Netz nach Antworten googelt oder bei Verbänden und Kammern recherchiert, bekommt zwar jede Menge Input, stößt aber oft auf unverständliche Textpassagen und eine Vielzahl von Interpretationen. Nicht wenige verharren oft überfordert im technischen Status quo und hoffen, dass der Datenschutz schon stimmen oder niemand die Lücken bemerken wird. Übereifrige Unternehmen hingegen überstürzen es manchmal mit dem digitalen Schutz und geben unnötig viel Geld für IT-Maßnahmen aus.
Cookie Banner
Dabei ist der Kern des neuen TTDSG gar nicht so kompliziert. Paragraf 25 schreibt ab sofort Folgendes vor: Jeder Handwerksbetrieb, der eine Website oder andere Telemedien wie einen Blog, Onlineshops oder Chatrooms betreibt, muss von seinen Nutzern eine ausdrückliche Einwilligung einholen, wenn er dort Cookies oder vergleichbare Trackingtools verwendet. Was vorher rechtlich unklar war, formuliert das Gesetz nun unmissverständlich: Websitebesucher müssen freiwillig, bestimmt, informiert, explizit sowie ausdrücklich in diese Trackingtools einwilligen.
Es reicht nicht, dass eine Homepage nur über Cookies informiert und das Weitersurfen als stille Zustimmung interpretiert. Auch beim zweiten, dritten oder zehnten Besuch der Seite muss der User sein Okay aktiv mit einem Klick bestätigen. Gleichzeitig besteht für ihn die Möglichkeit, sein Einverständnis jederzeit zu widerrufen oder die Website ohne Einwilligung zu nutzen. Diese Abfrage darf nicht verklausuliert oder durch komplizierte Phrasen verschleiert werden. In klarer und verständlicher Sprache sollen die jeweiligen Banner oder Fenster, die beim Besuch einer Website aufpoppen, erklären, wie die eingesetzten Cookies funktionieren. Details können Betreiber in den Datenschutzhinweisen erläutern.
Tracking im Internet
Doch was meint Tracking überhaupt? Und können Betriebe diese Tools nicht einfach deaktivieren? Webtracking bedeutet, Informationen zu sammeln, zu speichern und zu nutzen. Entsprechende Programme können nahezu jede Aktivität, jede Bewegung, jeden Klick mitschneiden und verarbeiten. Aus diesen Informationen lassen sich individuelle Profile oder statistische Modelle erstellen, um Nutzern personalisierte Werbeangebote auszuspielen. Zu den meistgenutzten Trackingtools gehören Google Analytics oder Adobe Analytics. Es gibt aber auch invasivere Methoden wie das Fingerprinting – hierbei werden die digitalen Spuren eines Nutzers über verschiedene Kanäle verfolgt. Wer in Zukunft mit dem Wettbewerb mithalten oder ihm voraus sein will, kommt um Tracking nicht herum.
Obwohl die systematische Erstellung von Userprofilen eher den großen Internetfirmen zugesprochen wird, nutzen auch Handwerksunternehmen Tracking, um ihre Kunden besser zu verstehen oder das eigene Onlinemarketing auszubauen. Mithilfe der Nutzerverfolgung können Firmen erkennen, von wo User auf ihre Website stoßen, ob Google-Anzeigen funktionieren, wie lange Interessierte auf der Homepage verweilen und was sie dort am häufigsten lesen oder anklicken. Diese Spuren dürfen aber eben nur auf dem Endgerät des Users gespeichert werden, wenn er mit einen Klick sein Go abgesendet hat.
Sichere Consent-Banner
Mit der neuen Gesetzesvorgabe können Betriebe davon ausgehen, dass sowohl Aufsichtsbehörden als auch Wettbewerber die Webseiten der Branche ab sofort genauer unter die Lupe nehmen werden. Wer sich nicht an die Vorgaben hält, riskiert Abmahnungen, Bußgelder und somit Imageschäden und Vertrauensverlust seiner Kunden. Im schlimmsten Fall drohen gleich mehrere Bußgelder: zum einen wegen Verstoßes gegen die DSGVO (bis zu 20 Millionen Euro oder bis zu 4 % des Umsatzes), zum anderen wegen Verstoßes gegen das TTDSG (bis zu 300.000 Euro) oder es droht eine Abmahnung wegen unlauterem Wettbewerb.
Dieser Artikel von Achim Barth ist zuerst erschienen in SBZ 01/2022. Achim Barth ist zertifizierter Datenschutzbeauftragter. Er betreut Privatleute und Unternehmen in der IT-Sicherheit, leitet Workshops und Seminare und hält Vorträge. www.barth-datenschutz.de
§ 25 TTDSG zu Webseiten im Wortlaut
1. (1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. (2) Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
2. Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.