Noch wenige Tage und es steht eine wichtige Änderung im Datenschutzrecht an: Mit der EU-Datenschutzgrundverordnung tritt am 25. Mai 2018 ein EU-weites, einheitliches Datenschutzgesetz in Kraft, welches den sicheren Umgang mit Daten regeln soll. Ihre neuen Vorschriften führen zu einer starken Verunsicherung bei vielen Unternehmen und Webseitenbetreibern.
Um Datenschutzverstöße und erhöhte Bußgelder möglichst vermeiden zu können, werden die wichtigsten Neuerungen in diesem Beitrag vorgestellt.
Die DSGVO im Überblick
Die Datenschutzgrundverordnung ist ein weiterer Schritt zu einer EU-einheitlichen Regelung des Datenschutzrechts. Noch mehr als das bisher geltende Bundesdatenschutzgesetz (BDSG) zielt die DSGVO auf sichere Datenverarbeitungsprozesse, intensive Interessenabwägungen und Widerspruchsmöglichkeiten der Betroffenen ab.
Was ist ihr Ziel?
Der Gesetzgeber möchte Unternehmen mit der DSGVO zu einer Professionalisierung des Datenschutzes zwingen und erhöht in diesem Zuge ihre Informationspflichten.
Wer ist betroffen?
Von der DSGVO betroffen sind alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten – ob Großkonzern oder Kleinstunternehmen.
Wie sehen die Konsequenzen bei Verstößen aus?
Die Konsequenzen sollen für Unternehmen schmerzhafter werden. Aus diesem Grund erhöht sich der Bußgeldrahmen für Verstöße bis auf 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.
Die E-Privacy Verordnung
Neben der allgemeinen EU-Datenschutzgrundverordnung wird es ebenfalls auf EU-Ebene weitere Spezialgesetze zu spezifischeren Gebieten geben. Zu diesen gehört auch die E-Privacy-Verordnung, die vielen Online-Marketern Kopfzerbrechen bereitet.
Sie beinhaltet Vorgaben zu Themen, die insbesondere für Webseitenbetreiber relevant sind, wie beispielsweise dem Website-Tracking und dem Einsatz von Cookies. Generell soll die E-Privacy-Verordnung eine strengere Regulierung des Nutzer-Trackings erzielen, was eine erhebliche Erschwerung der Webanalyse und daraus abzuleitender Marketing-Maßnahmen befürchten lässt.
Aufgrund der hohen Kritik an den Inhalten und Auswirkungen des bestehenden Entwurfs, wird diese voraussichtlich nicht vor 2019 in Kraft treten. Somit bleibt abzuwarten, was sich im Hinblick auf Tracking und Cookie-Verwendung wirklich ändern wird.
Verarbeitung personenbezogener Daten als zentrale Herausforderung
Ob erheben, speichern, übermitteln oder löschen – all diese Verwendungen zählen zur Verarbeitung von Daten. Diese ist nur dann zulässig, wenn eine Einwilligung der betroffenen Personen vorliegt oder die verarbeiteten Daten anonym sind und keinerlei Rückschlüsse auf konkrete Personen ermöglichen.
Doch ab wann sind Daten personenbezogen und wann ist deren Verwendung zulässig?
Was sind personenbezogene Daten?
Unter personenbezogenen Daten versteht man Angaben aller Art, die sich auf eine identifizierbare Person beziehen und diese Person mit Hilfe der Angaben theoretisch identifiziert werden könnte.
So fallen auch vollständige IP-Adressen und pseudonyme Cookies, wie Sie beim Nutzertracking und für Online-Werbemaßnahmen verwendet werden, in die Kategorie personenbezogener Daten.
Wann ist die Verarbeitung personenbezogener Daten zulässig?
Generell gibt es neben der Einwilligung der Betroffenen drei gesetzliche Erlaubnisse, die eine datenschutzkonforme Verarbeitung personenbezogener Daten zulassen.
1. Die Verarbeitung auf Grundlage einer Vertragsabwicklung
2. Die Verarbeitung auf Grundlage anderer gesetzlicher Verpflichtungen
3. Die Verarbeitung auf Grundlage berechtigter Interessen
Der Letzteren sind insbesondere auch wirtschaftliche Interessen zuzurechnen, weshalb vor allem diese Verarbeitungsgrundlage von großer Bedeutung für Online-Marketer und Webseitenbetreiber ist.
Die wirtschaftlichen Interessen des Unternehmens stehen dabei dem Schutzinteresse der Nutzer gegenüber.
Auswirkungen der DSGVO auf das Online-Marketing
In vielen deutschen Unternehmen wird die DSGVO und insbesondere die E-Privacy-Verordnung als eine große Herausforderung für das Marketing gesehen.
Daher stellt sich für Webseitenbetreiber natürlich insbesondere die Frage, wie diese die verschiedenen Bereiche des digitalen Marketings beeinflussen wird. Relevant sind hier beispielsweise die Webanalyse, das E-Mail-Marketing oder die Remarketing-Werbung.
Webanalyse mit Google Analytics
Die Webanalyse mittels Google Analytics oder anderen Tracking-Tools beruht auf einem nutzerbasierten Tracking und der Verwendung von Cookies.
Vieles spricht dafür, dass der Einsatz von Google Analytics in seiner Standardausführung auch nach Inkrafttreten der DSGVO problemlos möglich sein wird.
Wie erläutert, lassen anonyme Daten keine Rückschlüsse auf konkrete Personen zu. Hierzu gehören auch aufsummierte Statistiken über Webseitenbesuche, wie Google Analytics sie ausgibt. Definitive Aussagen zur Zukunft des Web-Trackings sind aber nach aktuellen Stand nicht möglich.
Websiteanalysen, daraus abgeleitete Optimierungsmaßnahmen und die daraus resultierenden wirtschaftlichen Vorteile sind berechtigte Interessen eines Unternehmens, auf die sich der Webseitenbetreiber berufen kann.
Zu Gunsten des Einsatzes spricht außerdem die Anonymisierung der IP-Adressen, die Information der Nutzer im Rahmen der Datenschutzerklärung sowie die Mitteilung von Opt-Out-Möglichkeiten. Diese Schutzmaßnahmen sind in Deutschland bereits heute Voraussetzung für einen datenschutzkonformen Einsatz von Google Analytics.
Eine Datenverarbeitung ist vor allem auch dann zulässig, wenn Nutzer mit einer solchen Verarbeitung typischerweise rechnen müssen. Analysen, wie diejenigen von Google Analytics mit seinen Standardeinstellungen, gehören zum berechtigten Erwarten.
Als problematisch könnte jedoch ein Cross-Device-Tracking oder die Erfassung demografischer Merkmale angesehen werden – diese gehören nicht zu den Standardeinstellungen von Google Analytics und damit nicht unbedingt zum Erwarteten der Nutzer.
E-Mail-Marketing
Im Bereich des E-Mail-Marketings wird sich im Vergleich zum heutigen Stand voraussichtlich wenig ändern. Direktmarketing per E-Mail wird weiterhin eine ausdrückliche Einwilligung des Nutzers voraussetzen.
Das in Deutschland bereits verbreitete Double-OptIn-Verfahren für den Versand von E-Mail-Werbung oder Newslettern wird voraussichtlich zum EU-weiten Standard werden. Das bedeutet, der Nutzer muss einer Kontaktaufnahme des Unternehmens explizit zustimmen und anschließend seine Einwilligung für die Anmeldung noch einmal bestätigen.
Um das Leseverhalten der Newsletter-Nutzer weiterhin rechtssicher analysieren zu können sind klar verständliche Hinweise an den Nutzer eine wichtige Voraussetzung.
Remarketing in Google AdWords und Social Media
Die Zukunft des Remarketings, wie wir es heute kennen, ist bislang nicht so einfach zu bewerten.
Voraussetzung für die Zulässigkeit einer solchen Tracking-Datenverarbeitung ist in jedem Fall eine berechtigte Erwartung der Nutzer. Diese ist beispielsweise im Falle der Erfassung demografischer Daten oder Standorte zu Zwecken des Remarketings eher anzuzweifeln.
Allerdings gibt es verschiedene Wege, Remarketing-Listen anzulegen.
Anonyme Daten von Webseitenbesuchern, die sich alleine auf geöffnete Seiten oder Besuchszeiten stützen – wie sie über Google Analytics in seinen Standardeinstellungen erfasst werden – sind keine personenbezogenen Daten.
Kritischer zu betrachten sind hingegen Remarketing-Listen, die auf konkreten Kontakten aus Verteilern oder auf persönlicheren Nutzerdaten, wie Gehaltsklassen, Alter oder Interessen basieren.
Der rechtssichere Einsatz von Remarketing wird zukünftig wohl verstärkt durch die Art und Weise des Anlegens der Listen bestimmt, die für die Ausspielung von Werbeanzeigen herangezogen werden
6 wichtige Schritte zur Vorbereitung auf die DSGVO
Falls bislang noch nicht geschehen, sollten Unternehmen ihre Datenverarbeitungsprozesse in jedem Fall zeitnahe an die DSGVO anpassen.
Hierbei können sechs zentrale Schritte befolgt werden. Diese beziehen sich auf die Datenverarbeitungsprozesse im Zusammenhang mit der Webseite und dem Online-Marketing, können jedoch auf alle Datenverarbeitungsprozesse im Unternehmen angewendet werden.
1. Prüfung aller internen Datenverarbeitungsprozesse auf deren Zulässigkeit
2. Erstellung eines Verfahrensverzeichnisses mit allen Datenverarbeitungsprozessen
3. Prüfung der Sicherheitsanforderungen für Daten (technisch und organisatorisch)
4. Prüfung der Datenübermittlungsprozesse auf Zulässigkeit und notwendige Auftragsverarbeitungsverträge
5. Aktualisierung der Datenschutzerklärung
6. Kontinuierliche Überwachung der Datenschutzprozesse
Fazit
Urteile der Rechtsprechung bleiben abzuwarten
Es bleibt festzuhalten, dass Erfahrungswerte, gefestigte Rechtsauffassungen und vor allem Rechtsprechungen auf Basis der DSGVO noch weitestgehend fehlen. Ihre genaueren Auswirkungen auf die Arbeit von Webseitenbetreibern und Online-Marketern sind also zum aktuellen Zeitpunkt noch schwer abzuschätzen.
Die in Deutschland bereits recht strengen Datenschutzbestimmungen werden nun zum Vorteil für viele Unternehmen. Wer heute bereits datenschutzkonform handelt wird weniger Probleme haben, sich auf die neuen Regelungen einzustellen.
Dennoch sollten Unternehmen keinesfalls darauf verzichten ihren Datenschutzbeauftragten auch für eine tiefergehende Beratung hinsichtlich ihrer Webseite und den zusammenhängenden Datenverarbeitungsprozessen hinzuziehen.
ACHTUNG!
Dieser Blogbeitrag stellt keine Rechtsberatung dar! Im Rahmen unserer Arbeit als Internetagentur haben wir uns zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, sind jedoch keine Juristen oder Datenschutzexperten. Dementsprechend können wir für die Richtigkeit und die Aktualität dieses Beitrags keine Haftung übernehmen.