Im folgenden Artikel finden Sie Infos zur DSGVO für folgende Punkte/Bereiche:
Im Online-Bereich - ob für Webseiten oder Marketingmaßnahmen - ergeben sich deshalb viele Neuerungen, die jedoch durch eine einfache Prämisse zusammengefasst werden können:
Jeder Internetnutzer muss die Möglichkeit haben, gegen die Erhebung seiner persönlichen Daten Einspruch leisten zu können.
Dies bedeutet, dass ein sogenanntes Opt-Out auf jeder Website verfügbar sein muss und auch mobil dargestellt werden muss. Im Idealfall gibt es eine zentrale Stelle für den Nutzer, in der er detailliert seine Datenschutzeinstellungen festlegen kann.
Speziell für den Bereich Online Marketing gibt es innerhalb der DSGVO den Art. 6, die sogenannte „Online-Marketing-Klausel“. Diese ermöglicht auch die einwilligungslose Verarbeitung personenbezogener Daten unter folgender Voraussetzung:
„Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
Da die Nutzung personenbezogener Daten speziell für NUTZUNGSBASIERTE UND ZIELGERICHTETE ONLINE-WERBUNG erforderlich ist und Werbetreibende per se ein berechtigtes Interesse an der Optimierung der Werbeinhalte haben, was auch in den sogenannten „Erwägungsgründen“ festgehalten wird, dürfen entsprechende Daten weiterhin genutzt werden.
Dennoch sollte man die Opt-Out Prozedur wahrnehmen, um sich gegen alle Eventualitäten abzusichern.
Werden die neuen Regelungen zur DSGVO nicht beachtet, können drastische Geldbußen von bis zu 4 % des Jahresumsatzes folgen!
Die größten Änderungen treten im Bereich der NEWSLETTER auf:
- Einwilligung zur Anmeldung des Newsletters ist wie bisher ausdrücklich erforderlich. Diese Option darf nicht vorab gesetzt sein.
- Die Willenserklärung des Users in die Datenerhebung und -verarbeitung muss gegeben werden. Bei der Anmeldung muss ein Hinweistext erscheinen, der zur Datenschutzerklärung verlinkt und beschreibt, was mit Daten passiert
- Das Double-Opt-In Verfahren ist verpflichtend, ein Opt-Out ist für Newsletter-Marketing nicht mehr zulässig!
- Time-Stamp (Datum und Uhrzeit) und die IP-Daten der Einwilligung (Double-Opt-In) müssen protokolliert und gespeichert werden, denn hier besteht Nachweispflicht.
- Der User muss vor Einwilligung über ein Widerrufsrecht informiert werden. Dabei besteht die Verpflichtung zur Einhaltung des Simplizitätsgebots: Der Widerruf der Einwilligung muss so einfach sein wie die Erteilung der Einwilligung
- Jeder Newsletter muss mit einem Abmeldelink ausgestattet sein.
- Auch bestehende E-Mail Listen müssen zur Weiterverwendung überprüft werden, sofern keine bestehende Einwilligung über das Double-Opt-In - Verfahren nachgewiesen werden kann.
- Die Zustimmung zum Erhalt des Newsletters muss auch nachträglich nachgewiesen werden können, ansonsten muss erneut die Erlaubnis eingeholt werden, bevor ein Newsletter an die Kontakte versendet werden darf!
- Welche Daten dürfen erhoben werden?
- Nur Daten, die zur Kontaktaufnahme unbedingt erforderlich sind (i.d.R. E-Mail Adresse), dürfen abgefragt werden. Als Pflichtfeld darf nicht mehr angegeben werden.
- Es gibt drei Arten der Datenerfassung:
- Komplette Anonymisierung der Daten ist datenschutzrechtlich unproblematisch.
- Pseudonymisierte Auswertung besteht, wenn IP-Adresse oder E-Mail Adresse – also eindeutig identifizierbare personenbezogene Daten – getrennt vom Nutzungsverhalten gespeichert wird
- Personalisierte Auswertung besteht, wenn die personenbezogenen Daten nicht getrennt von Nutzungsverhalten gespeichert werden. Dann ist Einwilligung des Users und Aufklärung über Art (Name, E-Mail Adresse etc.) und Zweck der Daten vorab zwingend erforderlich
In der Datenschutzerklärung müssen alle Informationen aufgeführt werden, welche Daten zu welchen Zwecken erhoben und verarbeitet werden.
Auch für den Bereich der Kontaktformulare gibt es neue Vorschriften. Hier geht die Anfrage vom Kunden selbst aus, seine Daten werden aktiv zur Kontaktaufnahme eingetragen. Es liegt daher keine unbemerkte Datenübertragung vor; der Kunde weiß und sieht genau welche Daten abgefragt und zu welchem Zweck sie verarbeitet werden. Diese Datenerhebung und -verarbeitung ist deshalb gerechtfertigt und setzt keine Einwilligung des Nutzers voraus. Allerdings dürfen auch hier nur unbedingt notwendige Daten abgefragt werden. Um sich komplett abzusichern, empfiehlt es sich – trotz nicht erforderlicher Einwilligung – einen Absatz über Datenerhebung und -verarbeitung in Datenschutzerklärung aufzunehmen .
Der Einbau von GOOGLE ANALYTICS ist nach wie vor gerechtfertigt, wenn folgende Punkte beachtet werden.
- Für den datenschutzkonformen Einsatz von Google Analytics muss zunächst ein Auftragsverarbeitungsvertrag mit der Google Inc. abgeschlossen werden.
- Der Google-Analytics-Code darf IP-Adressen nur anonymisiert erheben.
- Die Datenschutzerklärung der Website muss eindeutig angeben, wie sich Google Analytics in Sachen Datenschutz auswirkt.
- Ein entsprechendes Opt-Out, mit welchem die Nutzer der Seite der Datenerhebung durch die Google Inc. widersprechen können, muss in der mobilen und der Desktop-Version verfügbar sein.
Welche Regelungen gibt es für AdWords?
Google hat im Oktober 17 die Nutzungsbedingungen aktualisiert, um auch der DSGVO zu entsprechen. Diese Bedingungen mussten von jedem Werbetreibenden akzeptiert werden. WERBEN AUF GOOGLE ist demnach weiterhin möglich, Zwar sind z.B. Google Ad-ID’s personenbezogene Daten, gemäß der Online-Marketing-Klausel dürfen diese jedoch erhoben werden.
Welche Regelungen gibt es für Facebook & Instagram?
In den meisten Fällen übernimmt FACEBOOK als Unternehmen für alle Dienste (Facebook, Messenger, WhatsApp, Instagram) die Rolle des Datenverantwortlichen und richtet sich deshalb selbst nach der DSGVO. In Einzelfällen, bei denen FB als Auftraggeber wirkt fällt die Verantwortung auf Unternehmen zurück, laut Facebook bei Custom Audiences, Messungen und Analysen, FB Workplace. Hier, sowie bei Facebook Ads, liegt die Verpflichtung zur DSGVO beim werbenden Unternehmen.
Wie wirkt sich die DSGVO auf das Facebook Pixel aus?
Der Beginn von Datenverarbeitungen durch Facebook Pixel wird von der ausdrücklichen Einwilligung des Nutzers abhängig gemacht, welche Datenvorgänge auch unter der DSGVO rechtfertigt. Der Einbau des Facebook Pixels ist demnach weiterhin möglich, wenn folgende Faktoren erfüllt sind:
- Einen Einwilligungstext erstellen und den Besuchern der Webseite anzeigen.
- Eine Einwilligung der Webseitenbesucher einholen.
- Erst nach Einwilligung den Pixel Code ausspielen.
- Einen Passus zum Faxebook Pixel /Facebook Conversion Tracking in die Datenschutzerklärung der eigenen Webseite erstellen und einbinden.
Was passiert mit Social Plugins?
Auch Daten, die durch ein Social Plugin erhoben werden, sind gemäß Definition personenbezogene Daten und fallen unter die DSGVO. Per Gesetz müssen Websitebesucher in die Datenerhebung einwilligen. Hierzu gibt es 2 Möglichkeiten:
- Double Opt-In: Das Social Plugin ist nicht sofort aktiv, sondern muss per Klick aktiviert werden. Im zweiten Schritt muss die Verarbeitung personenbezogener Daten bestätigt werden.
- Shariff-Lösung: Die Datenabfrage erfolgt durch ein Skript auf Serverseite. Statt der IP-Adresse wird lediglich die Server-Adresse an soziale Netzwerke übertragen. Erst wenn ein Website-Besucher mit den Social Plugins interagiert und damit eine bewusste Handlung vollzieht, wird er für das Netzwerk sichtbar.
Cookies sind auch zukünftig erlaubt. Allerdings müssen in der künftigen Datenschutzerklärung des Website-Betreibers oder Online-Händlers bei jeder Verwendung von Cookies die Voraussetzungen des Art. 6 Abs. 1 lit f DSGVO ausdrücklich bejaht werden:
- Art. 6 Abs. 1 der DSGVO muss ausdrücklich als Rechtmäßigkeitsgrund benannt werden
- Es liegen berechtigte wirtschaftliche, rechtliche oder ideelle Interessen des Website-Betreibers oder Händlers vor
- Die Anwendung von Cookies sind zur Erreichung dieser Interessen erforderlich.
- Überwiegende Interessen des Betroffenen stehen der Anwendung von Cookies nicht entgegen.
Zur Info: Anfang 2019 soll zudem eine neue ePrivacy-Verordnung (auch "Cookie-Richtlinie" genannt) etabliert werden. Welche genauen Richtlinien dann in Kraft treten werden, ist zum jetzigen Zeitpunkt noch nicht ganz absehbar.
Die Zusammenarbeit mit dem Website-Hoster wird durch die DSGVO verkompliziert, kann aber durch entsprechende Vereinbarungen wieder vereinfacht werden. Grundsätzlich gilt, dass für die Hoster mehr Pflichten anfallen als für Website-Betreiber.
- Der Website-Betreiber muss einen Auftragsverarbeitungsvertrag mit dem Webhoster abschließen, in der die gesetzlichen Anforderungen berücksichtigt werden und für welche eine, wie auch immer geartete, Prüfung regelmäßig dokumentiert wird.
- Einige größere Hostinganbieter haben bereits einen Standard- oder Mustervertrag zur Auftragsverarbeitung ausgearbeitet und bieten diesen Kunden an.
- Eine Prüfung durch unabhängige Stellen ist möglich, die Zertifikate oder Testate zur Verfügung stellen. Hierbei ist den auf den Prüfungsinhalt zu achten. Bekannte Normen sind hier häufig ISO 27001 oder BSI Grundschutz sowie diverse Datenschutz-Zertifikate von verschiedenen Anbietern.
- Die Dokumentation ist dann dem Betreiber selbst überlassen. Aber auch hier gibt es Hilfe in Form von Vorlagen, Checklisten und Software-Tools.
- Auftraggeber der Datenverarbeitung sind wie bisher auch an gesetzliche Vorgaben gebunden, Auftragsverarbeiter (Hoster) müssen jedoch in Zukunft mehr Pflichten als bisher gesetzlich gefordert erfüllen.
- Der Hoster muss demnächst ein Verzeichnis über alle Tätigkeiten führen, die er für denjenigen durchführt, der für die Verarbeitung verantwortlich ist. Dieses Verzeichnis ähnelt inhaltlich dem aus dem BDSG bekannten Verfahrensverzeichnis, das bislang nur von Auftraggebern geführt werden musste.
Fazit:
Die neue Datenschutzgrundverordnung ist ein großer Schritt zur Datensicherung der EU-Bürger und stellt Unternehmen vor zahlreiche Herausforderungen. Der wichtigste Schritt für Unternehmen ist es, den Website-Besuchern zukünftig exakte und detaillierte Opt-out – Möglichkeiten auf der Website für alle Arten der internen und externen Datenerhebung anzugeben. Zusätzlich sind alle Verträge mit datenverarbeitenden Dienstleistern zu prüfen und gegebenenfalls zu erneuern. Hier müssen sich Unternehmen als Auftragsgeber mit den Auftragsverarbeitern absolut wasserdicht absichern.
Nutzen Sie die restliche Zeit, überprüfen Sie Ihre Website und holen Sie sich Rechtsbeistand. Der Aufwand steht in keinerlei Verhältnis zu den erwartbaren Strafen bei Nichtbeachtung der DSGVO.
Haben Sie die folgenden Punkte für Ihre Webseite erfüllt?
- Umstellung auf https
Jede Seite muss zukünftig verschlüsselt ausgeliefert werden, die Einbindung eines SSL-Zertifikats ist notwendig. - Cookie-Hinweis
Auf jeder Webseite muss auf den Einsatz von Cookies hingewiesen werden. - Anonymisierung der IP-Adressen
beim Einsatz von Google Analytics als Tracking-Tool - Formulare mit Pflicht-Checkbox zur Bestätigung,
dass die Datenschutzvereinbarung vom User gelesen wurde. - Anpassung der Datenschutzseite
mit genauer Angabe ALLER Verarbeitungen und Weitergaben personenbezogener Daten sowie notwendige Angaben über Opt-Out-Möglichkeiten - Verträge zur Auftragsverarbeitung
mit allen Dienstleistern, an die personenbezogenen Daten weitergegeben werden