Die DSGVO und ihre schwarzen Schafe
Einige unlautere Geschäftsideen sind dem neuen Datenschutzgesetz schon entsprungen. Aber das ist neu. Nun die Frage: Ist es legal?
Dass die DSGVO nicht gerade Freudensprünge bei KMUs ausgelöst hat, ist kein Geheimnis. Neben Zeit und Geld kostet sie vor allem auch Nerven. Permanent herrscht Ungewissheit darüber, ob man nun von der Konkurrenz abgemahnt werden kann oder die Datenschutzbehörde plötzlich vor der Tür steht.
Ein seltsames E-Mail
Für das Nervenkostüm nicht gerade hilfreich ist es dann ein E-Mail von einem nicht bekannten Absender im Posteingang zu finden, der behauptet, es sei eine „DSGVO-Prüfung“ der Firmen-Website durchgeführt worden und das Ergebnis: „negativ“. Nach jeder Menge zusätzlicher Angstmache folgt dann natürlich der Hinweis auf die eigenen Produkte, die die geprüfte Website „revitalisieren“ sollen. Letzterer Umstand macht dieses E-Mail zur Werbung, was uns auf den ironischen Punkt dieses Beitrags bringt: Das E-Mail, das vermeintlich Datenschutzkonformität verspricht, verstößt gegen das Gesetz! Genauer gesagt gegen das österreichische Telekommunikationsgesetz (TKG). Hier eine ausführliche Übersicht dazu.
Das E-Mail ist eindeutig Direktwerbung. Außerdem waren in den uns bekannt gewordenen Fällen die Empfänger keine Kunden des Absenders und haben dem Empfang nie zugestimmt. Daher trifft keine der Ausnahmen des TKGs zu, welche den Versand des E-Mails erlauben würde (vergleiche WKO-Beitrag oben). Der Versand dieses E-Mails verstößt somit eindeutig gegen das TKG.
Website ohne HTTPS Datenschutzkonform?
Aber einmal abgesehen von der illegalen Werbung – ist das „Ergebnis“ der durchgeführten „DSGVO-Prüfung“ korrekt? Im Detail wird eine gar nicht oder nur fehlerhaft implementierte SSL/TLS-Verschlüsselung kritisiert. Dadurch „könnte ein Verstoß gegen gesetzliche Vorschriften vorliegen“. Eine vage Aussage.
Ja, TLS-Verschlüsselung ist der aktuelle „Stand der Technik“ und sollte früher oder später auf jeder Website implementiert werden. Personenbezogene Daten unverschlüsselt zu übertragen, sei es per E-Mail, Webformular oder USB-Stick, ist auf jeden Fall eine schlechte Idee.
ABER: Eine Website ohne HTTPS zu betreiben ist nicht automatisch ein Verstoß gegen die DSGVO. Nicht jede Website enthält ein Kontaktformular und nicht jedes beliebige Formular nimmt personenbezogene Daten entgegen. Die vermeintliche „DSGVO-Prüfung“ mit „negativ“ zu beurteilen dient daher offensichtlich alleinig der Angstmache.
Much Ado About Nothing
Es gibt zahlreiche, aus datenschutzrechtlicher Sicht, kritische Themen beim Betrieb einer gewerblichen Website. Diese Themen auszunutzen, um per Massen-E-Mail Unsicherheit zu schüren, kann aber nicht die Antwort darauf sein – nicht für uns als Berater und hoffentlich auch nicht für ambitionierte Webdesigner. Unsere Empfehlung: Bei weitem professioneller und auch völlig legal ist es einen Blog-Eintrag auf der eigenen Website zu veröffentlichen und dabei die eigenen Produkte zu bewerben. Wollen Sie noch mehr Tipps zu datenschutzkonformem Marketing haben? Wir schulen!