Die EU-DSGVO räumt Verbrauchern und Kunden von Unternehmen umfangreiche Rechte zur Kontrolle ihrer Daten ein. Die meisten Unternehmen und Freiberufler werden mindestens an einer Stelle von den gesetzlichen Änderungen berührt. Rechten der Betroffenen münden in zahlreichen Pflichten zum Datenschutz gegenüber Kunden.
Auskunftsrecht nach Art. 15 DSGVO
Ein Auskunftsrecht von Kunden gegenüber Unternehmen bezüglich ihrer personenbezogenen Daten bestand schon vor dem Inkrafttreten der DSGVO durch §57 BDSG. Es wird jedoch durch Art. 15 DSGVO deutlich ausgedehnt.
Inhalt des Auskunftsrechts
Der Kunde hat nach Art. 15 Abs. 1 DSGVO das Recht bei Unternehmen zu erfragen, ob es personenbezogene Daten über ihn gespeichert hat. Ist dies geschehen, so hat das Unternehmen dem betroffenen Kunden Auskunft über die Daten sowie Informationen über die Verarbeitung dieser Daten zukommen zulassen.
Auskunftsrecht in zwei Stufen gegliedert
Die erste Stufe des Auskunftsrechts betrifft somit die Frage, ob personenbezogene Daten gespeichert wurden. Dem Kunden ist dazu eine Auskunft zu geben, auch wenn keine Daten gespeichert wurden. Ist dies jedoch der Fall, so kann der Kunde weiterführende Informationen verlangen:
- Der Zweck der Verarbeitung der Daten.
- Die Kategorien der verarbeiteten, personenbezogenen Daten.
- Die Empfänger und die Kategorien der Empfänger der Daten.
- Die geplante Speicherdauer.
- Herkunft der Daten.
- Ob ein System zum „Profiling“ des Kunden anhand der Daten besteht.
- Bei Übermittlung in Drittländer, ob die Datenübermittlung in Form des Standards von Art. 46 DSGVO geschehen ist.
Vorschriften zur Form und Frist der Auskunftserteilung
Art. 12 Abs. 1 DSGVO sieht vor, dass Kunden ihre Auskunft auf schriftlichem, elektronischem oder mündlichen Wege erteilt bekommen. Ein Identitätsnachweis ist jedoch vorausgesetzt. Wird das Auskunftsersuchen auf elektronischem Wege angestrebt, ist die Antwort als PDF zu übermitteln (Art. 15 Abs. 3 DSGVO). In der Regel ist die Auskunft nach Art. 12 Abs. 3 DSGVO sofort, aber spätestens nach einem Monat zu erteilen. Für die Auskunft dürfen dem Kunden keine Kosten entstehen.
Schranken bezüglich der Häufigkeit und Kosten
Lediglich die einmalige Auskunft ist kostenlos zu erteilen. Verlangt der Kunde weitere Kopien, so kann ein Entgelt in Höhe der Verwaltungskosten verlangt werden (Art. 15 Abs. 3 DSGVO). Bei unbegründete oder exzessiven Anfragen kann ebenfalls ein Entgelt verlangt oder die Auskunft gänzlich verweigert werden. Das Unternehmen ist dann in der Pflicht einen Nachweis über die mangelnde Begründung des Antrags zu erbringen und den Kunden darüber zu informieren (Art. 12 Abs. 4 DSGVO).
Ausnahmen
Unternehmen können Kunden unter bestimmten Voraussetzungen die Auskunft verweigern, etwa wenn der Kunde exzessiv oder unbegründet von seinem Auskunftsrecht Gebrauch machen will. Liegt eine große Datenmenge über den Kunden vor, so hat das Unternehmen das Recht das Auskunftsersuchen präzisieren zu lassen. Zudem kann die Auskunft verweigert werden, wenn dadurch Rechte und Freiheiten anderer Personen eingeschränkt würden (Art. 15 Abs. 4 DSGVO).
Recht auf Datenportabilität
Mit der Einführung der DSGVO haben Kunden erstmals das Recht auf Datenportabilität (Art. 20 DSGVO). Kunden wird somit die Möglichkeit eingeräumt, ihre Daten von einem Anbieter zum nächsten zu übertragen. Durch die Einführung der Datenportabilität soll der Wechsel zu einem Anbieter mit besseren Bedingungen gewährleistet werden, denn häufig ist Kunden dieser Prozess zu aufwendig, aufgrund der schlechten Übertragbarkeit der Daten.
Bisher keine konkreten Lösungen
Wie genau die Datenportabilität in der Praxis umgesetzt werden soll, ist derweilen noch unklar. Die DSGVO spricht von einem „strukturierten, gängigen und maschinenlesbaren Format“. Somit müssen alle Unternehmen die Daten im selben Format weitergeben, was die Entwicklung eines einheitlichen Systems erfordert.
Recht auf Löschung (auf Vergessenwerden) Art. 17 DSGVO
Schon das BDSG sah das Recht auf Löschung von personenbezogenen Daten vor. Die DSGVO hingegen dehnt das Recht auf Löschung nochmals aus (Art. 17 DSGVO).
Inhalt des Löschrechts
Der Begriff „Löschen“ wird von der DSGVO nicht direkt aufgegriffen. Vielmehr meint Art. 17 DSGVO einen Zustand, der eine Widerherstellung der Daten ohne unverhältnismäßigen Aufwand ermöglicht. Dazu kann entweder:
- Der Datenträger zerstört,
- Die Programmierung gelöscht oder
- Eine Löschsoftware bei wiederbeschreibbaren Datenträgern eingesetzt werden.
Unverzügliche Löschung der Daten unter bestimmten Voraussetzungen
Sind die Voraussetzungen von Art. 17 Abs. 1 DSGVO gegeben, so sind die Daten unverzüglich zu löschen:
- Der Zweck der Datenerhebung wurde erreicht.
- Der Kunde hat seine Einwilligung widerrufen.
- Der Kunde hat Widerspruch eingelegt.
- Die Daten wurden unrechtsmäßig verarbeitet.
- Die Löschung der Daten ist nach EU-Recht oder nationalem Recht erforderlich.
- Die Daten stammen von einem Kind unter 16 Jahren.
Löschung im Anschluss an Auskunft
Um den Löschanspruch geltend machen zu können, muss zunächst Kenntnis über personenbezogene erhobene Daten vorliegen. Dafür bedarf es eines Auskunftsersuches nach Art. 15 DSGVO. Sind Daten erhoben worden, kann ein Antrag auf Löschung gestellt werden. Eine bestimmte Form ist dafür nicht vorgesehen, obwohl die schriftliche Form oder per Mail empfohlen wird. Notwendig für den Löschantrag ist der Nachweis der Identität. Andernfalls kann das Unternehmen weitere Informationen anfordern (Art. 12 Abs. 6 DSGVO) oder die Löschung sogar verweigern (Art. 12 Abs. 2 DSGVO). Die Verweigerung muss allerdings begründet und gleichzeitig muss auf die Möglichkeit zur Beschwerde bei einer Datenschutzbehörde hingewiesen werden.
Sofortige Löschung ohne schuldhaftes Verzögern
Ist der Löschantrag beim Unternehmen eingegangen und liegt ein berechtigter Löschgrund vor, ist die Löschung sofort „ohne schuldhaftes Verzögern“ vorzunehmen. Somit steht nicht mehr Zeit zur Verfügung, als für die Prüfung des Löschgrundes notwendig ist. Gleichzeitig muss der Kunde innerhalb eines Monats über die Löschung informiert oder ihm ein Grund für die Versagung der Löschung genannt werden.
Mitteilungspflicht bei Löschung
Besteht ein Löschungsgrund der erhobenen Daten nach Art. 17 Abs. 1 DSGVO, so müssen alle Betroffenen über die Löschung informiert werden (Art. 19 DSGVO). Somit wird durch die DSGVO eine umfassende Mitteilungspflicht normiert.
Ausnahmen des Löschrechts
Unter bestimmten Voraussetzungen kann das Unternehmen die Löschung verweigern. Dies gilt insbesondere, wenn die fortlaufende Verarbeitung notwendig ist, um:
- Das Recht auf freie Meinungsäußerung und Information zu gewährleisten,
- Zur Erfüllung einer Rechtspflicht oder anderweitiger öffentlicher Interessen, etwa im Bereich der öffentlichen Gesundheit, Forschung, Archivierung oder Statistik oder
- Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprü
Einwilligungserklärung
Nach Art. 7 der EU-DSGVO müssen Kunden die Einwilligung zur Verarbeitung ihrer personenbezogenen Daten erteilt haben. Will ein Unternehmen die Daten verarbeiten, so hat es nachzuweisen, dass die Einwilligung erfolgt ist.
Eindeutigkeit der Einwilligungserklärung ist maßgebend
Die Einwilligungserklärung muss von Kunden eindeutig als solche erkennbar sein. Daher unterliegt sie strengen Anforderungen an die Formulierung. Unpräzise Beschreibungen sind unzulässig. Beispiele für klare Formulierungen sind folgende:
- „Ich bin damit einverstanden, dass…“
- „Ich willige hiermit ein, dass…“
- „Mit meiner Unterschrift willige ich ein, dass…“
Verständliche und einfache Sprache vorgesehen
Art. 7 Abs. 2 DSGVO bezeichnet eindeutig, dass die Sprache der Einwilligungserklärung so gehalten sein muss, dass sie verständlich ist. Zudem ist eine Form vorgesehen, die einen leichten Zugang ermöglicht.
Möglichkeit zum Widerruf muss gegeben sein
Kunden müssen die Möglichkeit haben, ihre Einwilligung jederzeit zurückzuziehen. Dieser Umstand muss in der Einwilligungserklärung klar kommuniziert werden. Die Form kann dabei von der Form der Einwilligungserklärung abweichen. Es dürfen keine zusätzlichen Hürden bestehen, die den Widerruf beschweren.
Prinzip der Freiwilligkeit
Die Einwilligungserklärung muss darauf hinweisen, dass der Kunde darauf verzichten kann, seine Einwilligung abzugeben (Art. 7 Abs. 4 DSGVO). Es dürfen ihm keine Nachteile entstehen.
Dadurch wird der Zwang zur Einwilligung in vielen alltäglichen Situationen entschärft werden. Die Unfreiwilligkeit kann nämlich schon dann gegeben sein, wenn durch Entsagen der Einwilligung indirekt Nachteile entstehen. Verweigert sich ein Kunde gegenüber einem Wohnungsmakler zur Freigabe seiner Daten und wird deshalb beim Auswahlverfahren benachteiligt, handelt der Makler rechtswidrig, sogar wenn die Einwilligung im Zuge dessen abgegeben wird.
Zustand der Informiertheit
Bevor der Kunde seine Einwilligung zur Verarbeitung der personenbezogenen Daten abgibt, muss er sich im Zustand der Informiertheit befinden. Das bedeutet, dass ihm ganzheitlich bewusst sein muss, welche Daten, wie und wofür erhoben werden. Ob eine Weitergabe an Dritte vorgesehen ist, muss ihm ebenfalls bewusst sein. Der Hinweis dazu muss deutlich erkennbar und darf nicht unter erschwerten Bedingungen zugänglich sein. Eine Zurverfügungstellung eines Links auf die Datenschutzerklärung oder die Allgemeinen Geschäftsbedingungen ist ausreichend, um einen einfachen Zugang zu ermöglichen.
Einwilligung nur für eigene Daten
Darüber hinaus dürfen Kunde die Einwilligung nur über ihre eigenen persönlichen Daten abgeben. Jede Person muss eigenständig einwilligen.
Bei Missbrauch drohen hohe Strafen
Nach Art. 82 Abs. 5 lit.) a DSGVO drohen Geldbußen in Höhe von bis zu 20 Mio. € oder 4% des globalen Umsatzes im Falle eines Konzerns. Der Korrektheit der Einwilligungserklärung zur Verarbeitung personenbezogener Daten sollte somit ernstgenommen werden. Dem erhebenden Unternehmen trifft die volle Beweislast (Art. 7 Abs. 1 DSGVO) für den Nachweis der gesetzeskonformen Datenerhebung.
Datenschutzerklärung
Die Datenschutzerklärung ist für alle Unternehmen oder Freiberufler einer der wichtigsten Aspekte der DSGVO-Compliance. Wird keine oder eine unzureichende Datenschutzerklärung zur Verfügung gestellt, liegt ein wettbewerbsrechtlicher Verstoß vor, sodass Abmahnungen die Tür geöffnet wird.
Personenbezogene Daten sind maßgebend
Welche Systeme oder „Plugins“ in der Datenschutzerklärung erwähnt werden müssen, hängt davon ab, ob dadurch personenbezogene Daten erhoben werden. Personenbezogen sind Daten dann, wenn durch die Informationen Rückschlüsse auf die Person geführt werden können. Gängige personenbezogene Daten im Internet sind die IP-Adresse, der Name und die Wohnadresse.
Zudem sieht Art. 4 DSGVO vor, dass dazu auch Angaben zu persönlichen oder sachlichen Verhältnissen einer Person gehören. Zusätzliche Kategorien der personenbezogenen Daten sieht Art. 9 DSGVO vor. Dazu gehören etwa politische oder religiöse Weltanschauung, Daten zur Gesundheit oder Sexualität, ethnische Herkunft, Gewerkschaftszugehörigkeit oder biometrische Daten. Werden Daten dieser Art gespeichert, muss dies ausdrücklich in der Datenschutzerklärung erwähnt werden.
Datenschutzerklärung für die meisten Unternehmen erforderlich
So ziemlich jedes Unternehmen benötigt personenbezogene Daten, um seine Geschäfte tätigen zu können. Rein regionale Betriebe oder Geschäfte, wie etwa ein Kiosk oder eine Fahrradwerkstatt, kommen ohne personenbezogene Daten aus. Bietet ein Unternehmen allerdings Lieferungen oder den Kauf auf Rechnung an, ist eine Datenschutzerklärung erforderlich.
Jede Webseite benötigt eine Datenschutzerklärung
Jede Webseite benötigt eine Datenschutzerklärung. Der Link dazu muss von jeder Unterseite der Webseite erreichbar sein. Im Optimalfall wird der Link unten im „Footer“-Bereich platziert. Ob die Seite mit einer Gewinnerzielungsabsicht erstellt wurde, ist dafür nicht mehr relevant.
Datenschutzerklärung in Abhängigkeit vom Aufbau der Webseite
Die Datenschutzerklärungen sind modular aufgebaut. Je nachdem, welche Daten über die Webseite erhoben und verarbeitet, muss die Erklärung individuell angepasst werden. Alle eingebundenen Dienste, die über die Webseite Daten erheben, wie etwa Facebook oder andere Social Media-Plattformen, Nutzeranalyse durch Tracking oder Retargeting, müssen in der Datenschutzerklärung erwähnt werden.
Personenbezogene Daten werden im Web immer erhoben
Webseiten erheben in der Regel personenbezogene Daten von jedem Besucher. Dies ist auch der Fall, wenn keine Daten über die Webseitenoberfläche erhoben werden. Selbst wenn alle technischen Vorrichtungen zur Datenerhebung ausgeschaltet sind, so erhebt der Host Daten.
Die sogenannten „Server-Logfiles“ protokollieren in der Regel die besuchte Webseite, den Zeitpunkt des Zugriffs, die Menge der versendeten Daten, die Quelle, die den Besucher auf die Seite weitergeleitet hat, den verwendeten Browser, das Betriebssystem und die IP-Adresse. Wird Ihre Seite nicht selbst gehostet, so muss Ihr Datenschutzbeauftragter eine Auftragsdatenverarbeitung mit Ihrem Host abschließen.
Pflicht zur Sichtbarkeit und klaren Sprache
Die Datenschutzerklärung muss für Kunden, die Ihre Angebot in Anspruch nehmen, klar sichtbar sein. Zudem besteht eine Pflicht zu einer verständlichen und leichten Sprache. Jede Methode der Datenerhebung muss einzeln aufgelistet werden. An je mehr Stellen Daten erhoben werden, umso länger fällt die Datenschutzerklärung aus.
Stetige Aktualisierung notwendig
Da sich technische Prozesse zur Datenerhebung in Unternehmen häufig ändern oder angepasst werden, muss die Datenschutzerklärung dementsprechend aktualisiert werden.
Datenschutzerklärung im Verantwortungsbereich des Datenschutzbeauftragten
Die Datenschutzerklärung stellt für die meisten Unternehmen das größte Abmahnrisiko dar. Ihre Rechtskonformität unterliegt dem Verantwortungsbereich des Datenschutzbeauftragten. Die technischen Details der DSGVO-Konformität machen deutlich, dass Sie einen fachlich und technisch kompetenten Datenschutzbeauftragten finden müssen.
E-Mail
Der E-Mail-Verkehr hat den schriftlichen Briefverkehr in vielen Teilen der Geschäftswelt ersetzt. Sogar vor Gericht geltend E-Mails als Schriftform. Für das digitale Marketing ist der Email-Verkehr einer der wichtigsten Bestandteile einer ganzheitlichen Strategie.
Auch wenn die EU-DSGVO sich größtenteils an den bisherigen Regelungen des BDSG orientiert, kommen mit der endgültigen Einführung des EU-Gesetzes einige Änderungen auf Unternehmen zu, die Kunden per Mail kontaktieren oder E-Mail-Marketing betreiben.
Werbung per E-Mail ist ein legitimes Interesse
Die DSGVO erkennt das E-Mail-Marketing als legitimes Interesse der Unternehmen an (Art. 47 DSGVO). Das BDSG hat bisher eher einen unklaren Rahmen für die Nutzung von Daten für Direktwerbung geschaffen. Die DSGVO erlaubt dies grundsätzlich. Es wird allerdings unterschieden, ob bereits ein vorheriger Kontakt mit dem Betroffenen bestand oder der Erstkontakt per Mail hergestellt wird.
E-Mail-Marketing unter bestimmten Voraussetzungen ohne explizite Einwilligung zulässig
Für Unternehmen wird die Nutzung von E-Mail-Werbung vorteilhafterweise vereinfacht, auch wenn bei Missbrauch höhere Strafen drohen. Somit ist nach der DSGVO die Werbung per Mail ohne vorherige Zustimmung unter gewissen Voraussetzungen erlaubt:
- Der Kunde muss bereits zuvor ähnliche Produkte erworben haben und
- Auf die Speicherung seiner Mail-Adresse zu Werbezwecken hingewiesen werden.
Dennoch ist eine Protokollierung der Erhebung notwendig, um einen Nachweis zu ermöglichen.
Generell ist die Durchsetzung eines berechtigten Interesses für E-Mail-Direktwerbung einfacher durchzusetzen. Der Hinweis in „kleingedruckter“ Form ist ausreichend.
Allgemein Einwilligung erforderlich
Werden im Rahmen des E-Mail-Marketings im klassischen Sinne E-Mail-Listen gesammelt, so bedarf es einer expliziten Einwilligung des Betroffenen. Die Einwilligung darf kein Bestandteil einer vorformulierten Vertragsbedingung sein, sondern muss individuell erfolgen. Um einen rechtssicheren Nachweis über die Einwilligung zu erbringen, ist auch nach der Einführung der DSGVO das „Double-Opt-in“-Verfahren zulässig, dass schon durch das BDSG notwendig ist. Der Sinn ist hierbei sicherzustellen, dass tatsächlich der Inhaber der Mail-Adresse die Eintragung vorgenommen hat.
Nach wie vor: Bei Widerspruch unzulässig
Erfolgt nach Einwilligung oder Bestehen der Voraussetzung zum E-Mail-Marketing ohne Einwilligung ein Widerspruch des Betroffenen, so ist das darauffolgende Versenden einer Werbemail unzulässig. Bei Verstößen drohen Bußgelder nach DSGVO.
Höhere Bußgelder drohen
Grundsätzlich erleichtert die DSGVO, entgegen der allgemeinen Auffassung unter Nicht-Juristen, das E-Mail-Marketing. Dennoch drohen bei Verstößen deutlich höhere Bußgelder von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Konzernumsatzes. Durch die Bestellung eines externen Datenschutzbeauftragten wird das Haftungsrisiko minimiert.
Webseite
Ein durchdachter Internet-Auftritt gehört zum Standard eines jeden etablierten Unternehmens. Der Großteil der Unternehmen verlässt sich auf eine Webseite. Da mutmaßlich jede Webseite personenbezogene Daten erhebt, werden sie Bestandteil der Regulierung durch die EU-DSGVO.
Datenschutzerklärung ist Pflicht
Selbst wenn es sich um eine sparsame Webseite handelt, die lediglich Inhalte wiedergibt und keine Interaktionsflächen bietet, auf denen Daten erhoben werden, so erhebt meistens der Host personenbezogene Daten. In jedem Fall benötigt jede Webseite eine umfangreiche Datenschutzerklärung, die von jeder Unterseite erreicht werden kann. Ob die Seite zur Gewinnerwirtschaftung verwendet wird, ist dabei irrelevant.
Plugins erhöhen die Anforderungen
Umso mehr Plugins in eine Webseite eingebunden werden, umso höher werden die Anforderungen an die Datenschutzerklärung. Jede Stelle, an der personenbezogene Daten erhoben werden, bedarf einer expliziten Erwähnung. Besonders heikel sind Social Media-Plugins, da diese bei Weiterleitung generell Daten erheben, über dessen fortlaufende Verwendung der Seitenbetreiber keinen Einfluss hat.
SSL-Verschlüsselung wird Standard
Spätestens zum Inkrafttreten der DSGVO benötigt jede Webseite eine SSL-Verschlüsselung. Dies ist insbesondere geboten, wenn auf der Webseite Anmeldungen vorgesehen sind, etwa um einen Kommentar zu hinterlassen. Zudem sichert die SSL-Verschlüsselung einen Datenmissbrauch ab, da die Datenkommunikation von außen nicht zu entschlüsseln ist. Alleine aus Gründen des Vertrauensaufbaus gegenüber Kunden, sollte ein SSL-Zertifikat in jedem Fall erworben werden.
Webtracking wird komplizierter
Um das Kundenerlebnis zu optimieren und die Inhalte an die Wünsche der Besucher anzupassen, arbeiten die meisten Unternehmen mit Webtracking, wie etwa mit Google Analytics. Um diese Methoden weiterhin nutzen zu dürfen, müssen die IP-Adressen anonymisiert werden. Zudem muss dem Kunden eine Möglichkeit zum „Opt-Out“, also zum Austragen aus der Erfassung geboten werden. Letztendlich sollte jede Form des Webtrackings in der Datenschutzerklärung erwähnt werden. Wir behandeln das Thema Webtracking ausführlich an anderer Stelle (Link).
Folgen der Missachtung
Neben den Sanktionen der Datenschutzbehörden drohen bei Missachtung der Anforderungen Abmahnungen von Wettbewerbern oder entsprechenden Verbänden. In der Regel liegt bei der Missachtung ein wettbewerbsrechtlicher Verstoß vor. Wenn Sie einen externen Datenschutzbeauftragten anmelden, übertragen Sie die Verantwortung.
Webtracking
Das Webtracking ist ein essenzieller Bestandteil des professionellen Online-Marketings. Die Überwachung des Nutzerverhaltens sowie dessen Auswertung dienen der Optimierung des Kundenerlebnisses auf Ihrer Internetseite. Ohne das Webtracking wäre der Standard der Internetinhalte nicht dort, wo er heute ist. Wer nach dem Inkrafttreten der EU-DSGVO noch weiter das Verhalten der Besucher seiner Webseite analysieren möchte, muss sich umfangreichen Anforderungen stellen.
Fokus auf Anonymisierung der Daten
Häufig werden beim Webtracking personenbezogene Daten erhoben, wie etwa die IP-Adresse. Für die Auswertung des Nutzerverhaltens ist die Personenbezogenheit jedoch nicht nötig. Um den Anforderungen der DSGVO gerecht zu werden, sollten also Maßnahmen ergriffen werden, um ein anonymen Tracking-Zustand herzustellen.
Grundsätzlich stehen dafür zwei Methoden zur Auswahl:
- Die Anonymisierung
- Die Pseudonymisierung
Die Anonymisierung sieht eine vollständige Trennung der Daten und der Person vor. Es werden keine Daten erhoben, die einen Bezug zur Person herstellen können. Somit können Datum, Uhrzeit, aufgerufene Seiten und Nutzerverhalten getrackt werden. Die IP-Adresse gilt als anonym, wenn sie in gekürzter Form gespeichert wird.
Die Pseudonymisierung sieht die Erhebung personenbezogener Daten vor, allerdings werden die personenbezogenen Informationen pseudonymisiert. Dabei wird ein Profil erstellt und anstelle eines Namens in Pseudonym, etwa eine Buchstaben- und Zahlenfolge, eingefügt.
Einwilligung vorausgesetzt
Mit der Einführung der DSGVO bedarf es einer Einwilligung zur Erhebung personenbezogener Daten. Dabei wird kein Unterschied gemacht, ob es sich um pseudonymisierte oder orthonomierte Daten handelt. Werden somit Daten erhoben, die nicht vollständig anonymisiert sind, bedarf es einer ausdrücklichen Einwilligung zum Tracking (Opt-In).
Hier verbirgt sich eines der größten Konfliktpotenziale der DSGVO, denn die Einwilligung des Trackings muss von jedem Besucher theoretisch dokumentiert werden. Der daraus resultierende Dokumentationsaufwand ist praktisch kaum umsetzbar.
Berechtigtes Interesse könnte Abhilfe schaffen
Die Ausnahmeregelung für die Anforderungen der DSGVO findet sich in der Formulierung des „berechtigten Interesses“ aus Art. 6 Abs. 1 lit.) f DSGVO. Das berechtigte Interesse gestattet die Erhebung personenbezogener Daten ohne Einwilligung der Kunden, wenn das Unternehmen ein berechtigtes Interesse daran hätte. Die Einschätzung, ob ein Interesse berechtigt ist oder nicht, wird unter Abwägung der Einschränkung der Grundrechte des Kunden getroffen.
Für viele Online-Unternehmen, etwa Onlineshops, ist das Tracking und platzieren von Cookies jedoch unverzichtbar. Ohne das Platzieren von Cookies im Onlineshop lässt sich nicht speichern, welche Produkte der Kunde im Warenkorb platziert hat. Der Begriff des berechtigten Interesses wird somit für Konfliktpotenzial sorgen, was in einer Klärung der Einzelfälle im Rahmen eines Gerichtsverfahrens münden wird.
Ob und wie fern das Webtracking als berechtigtes Interesse verstanden werden kann, bedarf einer gerichtlichen Einzelklärung und lässt sich bis dahin juristisch nicht genau festlegen.
Juristischer Beratung dringend empfohlen
Aufgrund der Komplexität des Themas, das juristisches Neuland ist, wird die Bestellung eines fachmännischen Datenschutzbeauftragten dringend empfohlen. Im Rahmen unserer Datenschutzberatung analysieren wir Ihre Webseite und legen Ihnen glasklare Handlungsempfehlungen zum Umgang fürs Webtracking zur Hand.
Soziale Netzwerke
Social Media Marketing gehört zu jeder ganzheitlichen Online-Strategie etablierter Unternehmen. Der Großteil der Unternehmen ist in mindestens einem sozialen Netzwerk vertreten. Da auch hier personenbezogene Daten von Kunden erhoben werden können, muss DSGVO-konform gehandelt werden. Betroffen sind vor allem das Social Media Monitoring und das Social Media Listening.
Selbe Grundsätze wie auf einer Webseite
Da bei beiden Praktiken personenbezogene Daten erhoben werden, bedarf es auch hier einer Einwilligung der betroffenen Kunden. Es gibt jedoch eine Ausnahme, die mit der DSGVO eingeführt wird. Personenbezogene Daten dürfen zu Werbezwecken verwendet werden, wenn diese öffentlich zugänglich sind.
Das könnten entweder Listen, Verzeichnisse oder eben öffentliche Social Media-Profile sein. Es bedarf allerdings auch hier eines berechtigten Interesses. Wird eine Werbekampagne geplant, sollte zunächst eine Interessenabwägung zwischen unternehmerischen Interesse und den Persönlichkeitsrechten der Kunden durchgeführt werden.
Einwilligung bei Profileinstellung
Ob das Social Media Monitoring und Listening rechtskonform ist, hängt von der Privatsphäreneinstellung der Nutzer ab. Ist das Profil auf „öffentlich“ eingestellt, so handelt es sich um öffentlich einsehbare Daten, die zu Werbezwecken verwendet werden dürfen. Dennoch unterliegt die Methode der Informationspflicht aus Art. 14 DSGVO.
Werden die öffentlich zugänglichen Daten abgespeichert, ist der Nutzer darüber zu informieren. Nach Art. 33 DSGVO können die Daten erhoben werden, sofern die Verarbeitung nicht ausschließlich auf einer automatisierten Entscheidung beruht und den Kunden nicht erheblich beeinträchtigt. Für die Zulässigkeit gibt es allerdings Ausnahmen. In Erwägungsgrund 71 DSGVO sind Fälle für die Unzulässigkeit dieser Argumentation zu finden.
Anonymisierung bietet Ausweg
Die Pflicht zur Einwilligung kann umgangen werden, indem die erhoben Daten anonymisiert werden. Dadurch können dennoch Meinungstrends o.ä. erfasst werden, ohne die Persönlichkeitsrechte der Kunden zu verletzen, die ihre Social Media-Einstellungen privatisiert haben.
Berechtigtes Interesse bietet Konfliktpotenzial
Das berechtigte Interesse könnte Unternehmen, deren Geschäftsmodell größtenteils auf der Erhebung personenbezogener Daten basiert, die Möglichkeit einräumen, diese Daten ohne Einwilligung zu erheben. In welchen Rahmen das berechtigte Interesse aus Art. 6 DSGVO hierfür angebracht ist, wird durch künftige Rechtsprechung entschieden. Daher ist die Bestellung eines fachmännischen Datenschutzbeauftragten für dieses Anliegen unumgänglich.
Facebook
73% aller deutschen Unternehmen führen eine Facebook-Seite und die dazugehörigen Funktionen zu Werbe- und Kundebindungszwecken. Mit seinen präzisen Targetierungs-Möglichkeiten ist Facebook eines der mächtigsten Online-Werbeinstrumente. Da die DSGVO einen starken Fokus auf die Regulierung der großen amerikanischen Internetkonzerne und deren Umgang mit Daten legt, müssen Unternehmen sich auf strenge Anforderungen einstellen.
Impressumpflicht
Schon vor der der Einführung der DSGVO waren Unternehmen durch das Telemediengesetz verpflichtet, auf der Facebook-Seite ein Impressum zu führen. Da das Telemediengesetz und das alte Bundesdatenschutzgesetz durch die DSGVO abgelöst werden, wodurch die Pflicht zum Impressum europaweit standardisiert wird. Empfehlenswert ist es, dasselbe Impressum der Unternehmenswebseite zu verwenden oder direkt auf das Impressum der Seite zu verlinken.
Einbindung von Facebook Like-Button
Auch Social Media Plugins, wie der Facebook Like Button, waren zu vor schon ein umstrittenes Thema. Da die Verordnung das Thema nicht implizit aufgreift, gibt es aktuell noch keine rechtssichere Lösung zur Einbindung. Unter Juristen herrschen unterschiedliche Meinungen. Es sind diese Unklarheiten, die Unternehmen dazu anhalten sollten, einen Datenschutzbeauftragten zu bestellen. Bis zur endgültigen Lösung sollten von der Unternehmenswebseite auf Social Media-Profile lediglich in Form eines reinen Textlinks verwiesen werden. Andernfalls besteht die Gefahr der Erhebung von personenbezogenen Daten. In Kürze ist mit der Veröffentlichung datenschutzkonformer Plugins zu rechnen.
Nutzung von Facebook-Pixel
Der Facebook Pixel ist ein potentes Tracking-Instrument von Facebook. Durch die Einbindung eines Skripts auf der Webseite kann das Facebook-Nutzerprofil des Kunden gesichert und später mit gezielten Werbeanzeigen bespielt werden. Allerdings war dies schon nach geltendem Recht nicht gesetzeskonform und abmahnwürdig. Mittlerweile gibt es technische Lösung, die eine Einwilligung für die Erhebung des Facebook-Profils vorsehen. Ihr Datenschutzbeauftragter wird eine passende technische Lösung für Ihre Marketing-Strategie entwickeln.
Reichlich Rechtsunsicherheit
Wie bei vielen anderen Thematiken gibt es noch keine eindeutige Rechtssicherheit bei der Verwendung der personenbezogenen Facebook-Daten Ihrer Kunden. Der expliziten Einwilligung steht das berechtigte Interesse gegenüber. Um mit den juristischen Entscheidungen der Gerichte nach Inkrafttreten der DSGVO Schritt zu halten, sollten Sie einen externen Datenschutzbeauftragten bestellen.
Google
Google hat sich als Marktführer der Suchmaschinen fest etabliert. Mittlerweile gibt es kein Unternehmen mit einer digitalen Marketingstrategie, das um Google herumkommt. Da die DSGVO gerade auf Internetkonzerne wie Google abzielt, müssen umfangreiche Anpassungen im Umgang mit den Google-Produkten erwartet werden.
AdSense
AdSense ist ein beliebtes Instrument zur Monetarisierung für Publisher. Webseitenbesuchern wird eine personalisierte Werbeanzeige eingespielt. Klickt ein User auf die Anzeige, verdient das Unternehmen einen kleinen Geldbetrag. Dafür wird eine Partnerschaft mit Google geschlossen. Da Google für die Ausspielung der Anzeigen bereits personenbezogene Daten erhoben hat, sollte die Verantwortung für die Einwilligung bei Google selbst liegen.
Allerdings benötigen Unternehmen eine explizite Einwilligung für die Erhebung von personenbezogenen Daten über die Unternehmenswebseite. Google plant Webmaster mit in die Verantwortung zu ziehen. Sollten User die Einwilligung verweigern, dürfte nur noch eine neutrale Werbeanzeige ohne Personalisierung eingebracht werden. Dadurch sind jedoch erhebliche Einnahmeneinbrüche für Publisher zu erwarten.
Die rechtskonforme Behandlung von Google AdSense ist ein Fall für einen fachmännischen Datenschutzbeauftragten. Mit Inkrafttreten der DSGVO am 25. Mai 2018 besteht für alle Publisher, die Google AdSense verwenden, ein rechtliches Risiko.
AdWords
AdWords ist ein effektives Instrument für das Ausliefern bezahlter Werbeanzeigen in den Suchergebnissen. Da Google jedoch die Anzeigen selbst ausspielt, gibt es für Unternehmen gegenüber Kunden hier keinen datenschutzrechtlichen Handlungsbedarf.
Analytics
Google Analytics ist ein beliebtes Instrument des User Trackings und wird auf vielen Webseiten eingesetzt. Es dient der Auswertung des Nutzerverhaltens und der Optimierung der Inhalte. Da Google Analytics personenbezogene Daten bezieht, bedarf es entweder einer expliziten Zustimmung des Nutzers oder einer Anonymisierung der Daten. Es gibt somit zwei Möglichkeiten:
- Anonymisierung der IP-Adresse
Durch das Einfügen eines bestimmten Codes in das Skript von Google Analytics können die IP-Adressen der Nutzer anonymisiert werden.
- Anbieten eines Opt-Ins / Opt-Outs
Bisher ist noch nicht klar, in welchem Format die Einwilligung des Nutzers eingeholt werden muss. Fachleute aus der Branche und Juristen streiten sich darüber, ob der Nutzer explizit einwilligen muss (Opt-In) oder ihm eine Möglichkeit zum Austragen gegeben werden muss (Opt-Out). Ihr Datenschutzbeauftragter wird die juristische Entwicklung verfolgen und entsprechende Maßnahmen treffen.
Erwähnung in der Datenschutzerklärung
In jedem Fall bedarf es einer expliziten Erwähnung der Nutzung von Google Analytics in der Datenschutzerklärung. Je nachdem, wie Google Analytics genutzt wird, muss die Erklärung angepasst werden.
Auftragsverarbeitung mit Google abschließen
Eine Auftragsdatenverarbeitung war schon vor Inkrafttreten der DSGVO zu schließen. Dieser Prozess wird glücklicherweise vereinfacht, denn der Vertrag bedarf keiner schriftlichen Form mehr, sondern kann im elektronischen Format abgeschlossen werden.
Google Fonts und DSVGO
Viele Webseiten verwenden die beliebten Google Fonts. Leider wird bei jedem Aufruf der Schriften die IP-Adresse des Nutzers dem Google Server kommuniziert. Die Lösung liegt in der lokalen Einbindung der Fonts und dem Blockieren der Google Anfragen.
Einbindung von YouTube-Videos
YouTube-Videos einzubinden ist eine gängige Methode, um den Content der Webseite zu optimieren. Ob nun fremde oder eigene Videos eingebunden werden, Sie bewegen sich in einer rechtlichen Grauzone. Für die rechtskonforme Einbindung muss ein kompetenter Datenschutzbeauftragter gefunden werden.
Cookies werden bei Aufruf platziert
Ruft ein Nutzer eine Unterseite Ihrer Webseite auf, auf der sich ein eingebettetes YouTube Video befindet, begehen Sie bereits einen Verstoß gegen die DSGVO. YouTube platziert automatisch einen Cookie, was als personenbezogener Datensatz der expliziten Einwilligung bedarf. Es gibt zwei Methoden, um diesen Umstand zu vermeiden.
Erweiterten Datenschutzmodus aktivieren
YouTube bietet die Möglichkeit einen erweiterten Datenschutzmodus zu aktivieren. Wird der Link des Videos von der Plattform kopiert, besteht die Möglichkeit den Modus zu aktivieren. Es werden somit keine Cookies gespeichert.
2-Klick-Lösung implementieren
Eine zweite Lösung ist die Implementierung der „2-Klick-Lösung“. Dabei wird das Video erst geladen, wenn der User auf den Play-Button klickt. Es findet keine automatisierte Platzierung von Cookies statt.
Social Media + Plugins
Ähnlich wie bei Facebook, stellt die Einbettung des Googles Social Buttons eine datenschutzrechtliche Schwierigkeit dar. Google leitet schon bei Besuch der Seite personenbezogene Daten Ihrer Kunden an die eigenen Server weiter. Bisher ist keine rechtskonforme Lösung vorhanden, weshalb Ihr Datenschutzbeauftragter sich aufmerksam mit dem Thema beschäftigen wird.
Google als Problemkind für den Datenschutz
Google gibt sich als Monopolist widerspenstig, was den Datenschutz betrifft. Bisher ist nicht klar, ob der Internetriese sich selbst an die EU-DSGVO anpasst oder Webmastern die Verantwortung für die Umsetzung der Anforderungen überlässt. In jedem Fall bedarf es einer ausführlichen Analyse und eines stichhaltigen Datenschutzkonzeptes, um den Umgang mit Googles Produkten rechtskonform zu gestalten. Wenn Sie Ihren externen Datenschutzbeauftragten bestellen, wird er Sie umfassend auf die Problematik vorbereiten und entsprechende Lösungen konzipieren.
