Grundsätzliches: Was ist die DSGVO?
Das Thema Datenschutz ist ja nichts Neues. Auch wenn hier durch die Diskussion um die Datenschutzgrundverordnung DSGVO viel Wind und Wirbel entstand. Die DSGVO führt eigentlich nur die unterschiedlichen Datenschutzbestimmungen der einzelnen EU-Länder zusammen und definiert diese in einer Verordnung. Ziel war eigentlich einen europaweit einheitlichen EU-Datenschutz-Grundverordnung zu installieren, das hat aber nicht so ganz geklappt, denn es gibt eine Reihe an „Öffnungsklauseln“ mit denen einzelne Länder gewisse Details selber festlegen können.
Die DSGVO trat am 25.05.2016 in Kraft und wird (soweit der Plan) am 25.05.2018 anwendbar. Bei Verstößen drohen hohe Geldstrafen von 10 – 20 Mio. Euro oder 2 – 4% des Weltjahresumsatzes. Geschäftsführer oder Firmeninhaber können unter Umständen bei Verstößen persönlich haftbar gemacht werden!
Der Hintergrund zur DSGVO ist Artikel 8 Charta der Grundrechte der EU. dieser besagt:
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) 1Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. 2 Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
Die 7 Grundsätze der DSGVO
- Die Verarbeitung von personenbezogenen Daten (Art. 5 DSGVO)
- Rechtmäßigkeit der Verarbeitung personenbezogener Daten (Art. 6 DSGVO)
- Bedingungen für die Einwilligung zur Verarbeitung von personenbezogenen Daten (Art. 7 DSGVO)
- Bedingungen für die Einwilligung zur Verarbeitung von personenbezogenen Daten bei Kindern (Art. 7 DSGVO)
- Verarbeitung von „besonderen“ personenbezogenen Daten (Art. 9 DSGVO)
- Verarbeitung von pers. Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO)
- Verarbeitung, für die Identifizierung der betroffenen Person nicht erforderlich ist (Art. 11 DSGVO)
Was sind personenbezogene Daten – Definition nach DSGVO
Personenbezogene Daten sind hier nach Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität (Artikel 4 Ziffer 1 DSGVO)
- allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer…)
- Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer…)
- Bankdaten (Kontonummern, Kreditinformationen, Kontostände…)
- Online-Daten (IP-Adresse, Standortdaten…)
- physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße…)
- Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten…)
- Kundendaten (Bestellungen, Adressdaten, Kontodaten…)
- Werturteile (Schul- und Arbeitszeugnisse…)
- …
29.05.2018 17:05 Uhr | E-Privacy-Verordnung: Verlage schlagen Alarm
14.11.2018 11:11 Uhr | Artikel bei t3n – Zusammenfassung DSGVO
Was bedeutet das jetzt für die Erfassung von personenbezogenen Daten?
Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und Online Marketing Manager habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.
Grundsätzlich gilt:
Die Verarbeitung personenbezogener Daten ist verboten.
Außer eine der folgenden Kriterien ist erfüllt (Art. 6 DSGVO):
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt.
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Was bedeutet “berechtigtes Interesse” bei der DSGVO?
DSGVO Art. 6 f: “Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.”
Aha, doch was ist jetzt ein berechtigtes Interesse?
Kucken wir mal was die DSGVO dazu sagt, dabei findet sich folgender Passus: DSGVO Erwägungsgründe Nr 47.
“…Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht…”
“Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.”
Hieraus könnte man jetzt frei interpretieren, dass das Anschreiben von Bestandskunden per Mail o.ä. ein berechtigtes Interesse darstellt. Ebenfalls könnte auch die Monetarisierung einer Webseite und die damit verbundene programmatische Ausspielung von Ads ein berechtigtes Interesse darstellen.
Die DSGVO fordert aber gleichzeitig eine Abwägung zwischen den Interessen des Betroffenen und denen des Datenverarbeiters. Daher ist das alles etwas schwammig und es wird wohl erst ein paar Gerichtsurteile benötigen um hier Klarheit zu schaffen.
Wer also einigermaßen sicher durch die DSGVO reisen möchte, holt sich immer die Einwilligung des Nutzers ein.
Was bedeutet das jetzt für die Verarbeitung von personenbezogenen Daten?
- Personenbezogene Daten dürfen nur zu dem Zweck erfasst und verwendet werden, für den der Nutzer aktiv eingewilligt hat. Eine anderweitige, verdeckte oder geheime Verwertung von personenbezogene Daten ist verboten.
- Die Identität des Verantwortlichen, der die personenbezogenen Daten verarbeitet muss offengelegt werden.
- Der Betroffen hat ein Recht auf eine Auskunft seiner personenbezogenen Daten unabhängig vom Ort der Verarbeitung.
- Der Zweck der Datenverarbeitung muß vorher eindeutig und rechtmäßig festgelegt werden.
- Es muß einen ausreichenden Rechtfertigungsgrund geben, wenn die personenbezogenen Daten zu einem anderen Zweck weiterverwendet werden.
- Die Weitergabe von personenbezogenen Daten an Dritte ist ein eigener Zweck und bedarf eines Rechtfertigungsgrundes oder der Einwilligung (aktives Opt-In).
- Personenbezogene Daten dürfen nur verarbeitet werden, wenn diese für den Zweck erheblich, relevant und angemessen sind. Es dürfen also nur die Daten erhoben werden, die auch tatsächlich notwendig sind um den Zweck zu erfüllen.
- Es ist die Richtigkeit der personenbezogenen Daten zu gewährleisten. Im Endeffekt ist der, der die Daten nutzt dafür verantwortlich, dass die verwendeten personenbezogenen Daten auch richtig und aktuell sind. Falsche Daten sind unmittelbar zu löschen!
- Personenbezogene Daten dürfen nur für einen definierten Zeitraum gespeichert werden. Also genau so lange, bis der Zweck, für den sie eingeholt wurden, erfüllt ist. Nach der Erfüllung des entsprechenden Zwecks, sind die personenbezogenen Daten zu löschen!
- Der Datenerfasser muss eine angemessen Sicherheit der personenbezogenen Daten gewährleisten. Dazu zählt der Schutz der Daten vor zugriffen Dritter, unabsichtliche Schädigung und Verlust der Daten und die notwendigen technischen Maßnahmen.
DSGVO – Was du wissen musst!
- Es muss sichergestellt werden, dass der Kunde freiwillig und aktiv für einen definierten Zweck – nicht pauschal – der Verarbeitung der personenbezogenen Daten zustimmt.
- Die freiwillige Einwilligung seitens des Kunden kann z.B. über ein Online-Formular in Kombination mit dem automatischen Versand einer Bestätigungsmail erfolgen. Mit Hilfe eines Links in der Bestätigungsmail könnte so ein Double-Opt-In eingerichtet werden. Das wäre dann wohl die sicherste Methode.
- Die Zustimmung zur Verarbeitung der personenbezogenen Daten des Kunden darf beispielsweise nicht an das Abonnement eines Newsletters o.ä. gekoppelt sein.
- Es muss sichergestellt werden, dass der Nutzer über 16 Jahre alt ist, ansonst ist eine Erhebung und Verarbeitung der personenbezogenen Daten nicht erlaubt!
- Der Opt-Out Ansatz ist unzulässig. Das “Nicht-wegklicken” eines Häkchens ist laut DSGVO unzureichend. Ein bereits gesetztes Häkchen in einem Online-Formular o.ä. zur Zustimmung reicht also nicht aus.
- Der Kunde muß die Möglichkeit haben, jederzeit zu widerrufen. Erhält der Kunde nach Widerruf trotzdem einen Newsletter, kann er dagegen juristisch vorgehen.
- Die Einwilligung muß klar und prominent platziert werden.
- Die Einwilligung muß dokumentiert werden und dient als Beweis, dass der Nutzer seine Zustimmung gegeben hat. (Diese Möglichkeit bietet z.B. der Anbieter Usercentrics)
- So lange ein Nutzer der Erhebung seiner personenbezogenen Daten nicht aktiv zugestimmt hat, dürfen keine Tracker und Cookies aktiv sein (Ausnahmen z.B. Google Analytics)
Ähnliches gilt für alle Integrationen innerhalb einer Webseite, die Daten erfassen und oder an Dritte übermitteln. Wobei bei letzteren sogar noch eine entsprechende Auftragsdatenverarbeitung abgeschlossen werden muss.
- Personalisierung
- Die Einbindung von Google Diensten wie DoubleClick, AdSense, Google Maps usw.
- Teilen und Like Funktionen für soziale Medien
- Andere Analysedienste wie z.B. InfOnline oder Piwik und entsprechende Statistik-Plugins wie Jetpack – Lösung: WP Plugin Statify
- Vermarkter wie OMS, Ströer, Plista, Ligatus, Taboola… die personenbezogene Daten nutzen
- Gravatar Alternativen: WP User Avatar odr besser WP First Letter Avatar (Achtung, die Nutzung von Gravatar als Avatare ist bei WordPress voreingestellt und muss deaktiviert werden. WP Dashboard – Einstellungen – Diskussion – Avatare – “Avataranzeige – zeige Avatare” deaktivieren – speichern – Cache löschen.)
- Diverse Caching und Backup Plugins
Was ist also zu tun?
- Für jede Funktion, die personenbezogene Daten sammelt und oder verarbeitet muß ein Zweck definiert werden.
- Für jeden Zweck muß festgelegt werden, welche personenbezogenen Daten zur Erfüllung notwendig sind und ob der Zweck rechtmäßig ist.
- Der Nutzer muß über den Zweck der Erfassung seiner personenbezogenen Daten unterrichtet werden – welche Daten werden erhoben, von wem und warum!
- Der Nutzer muss aktiv der Erfassung und Nutzung seiner personenbezogenen Daten zustimmen – Opt-In.
- Die personenbezogenen Daten dürfen nur für den jeweiligen Zweck verwendet werden, für den der Nutzer aktiv eingewilligt hat.
- Die personenbezogenen Daten sind nach der Zweckerfüllung zu löschen.
- Der Nutzer hat ein Recht auf Löschung seiner Daten, sowie ein Recht darauf, die erfassten Daten zu sehen und zu korrigieren.
So, und was heißt das jetzt in Bezug auf unsere Webseiten (Lösungsansätze WordPress)?
Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und Online Marketing Manager habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.
Im Online Marketing besteht ein Großteil des Tagesgeschäftes auf der Erfassung und Auswertung von Daten. Nehmen wir hier mal den Statistik-Dienstleister Google Analytics ins Visier.
Google Analytics erfasst die Daten einer Webseite mit Hilfe eines Cookies. Dieser Cookie ermöglicht die Auswertung einer Seite nach Nutzern, Seitenaufrufen… wodurch eine Seite bewertet und optimiert werden kann. Kurzum, die Basis aller Online Marketing Disziplinen. Dafür speichert Google die IP-Adresse (im Idealfall anonymisiert) und erstellt ein Bewegungsprofil des Users, je nachdem was an Daten so verfügbar ist. Es werden also personenbezogene Daten erhoben und gesammelt. Es ist teilweise überraschend, wie viele einzelne Systeme aus der eigenen Seite Daten abzwacken und einsammeln. Aber damit ist ja jetzt Schluß! xD
Update von WordPress – DSGVO konform!
Seit dem 17.05.2018 bietet WordPress mit seinem neuen Update 4.9.6 weitere integrierte Funktionen an:
Hier geht´s zur aktuellen WordPress Version.
- Export und Löschung von Personenbezogenen Daten
Neue Werkzeuge wurden hinzugefügt, um dir dabei zu helfen, personenbezogene Daten zu exportieren und Löschanfragen nachzukommen. - Datenschutzerklärung
Erstelle die Seite für die Datenschutzerklärung deiner Website oder wähle sie unter Einstellungen > Datenschutz aus, um deine Benutzer darüber auf dem Laufenden zu halten.
Opt-In oder Opt-Out – was ist DSGVO konform?
Bisher konnte man den ganzen Datenwahn gut umgehen, indem man einfach auf jeder Webseite ein Opt-Out für den User eingerichtet hat. Bei einem Opt-Out gilt eine Einwilligung in die Nutzung der personenbezogenen Daten als von vorneherein erlaubt, wird also einfach mal so angenommen. Der User kann durch einen Klick dann der Nutzung seiner Daten wiedersprechen, er muss also aktiv der Nutzung wiedersprechen.
Mit der DSGVO ist das dann vorbei, denn die DSGVO besagt, dass der User der Nutzung seiner personenbezogenen Daten aktiv zustimmen muss. Dadurch wird ab dem 25.Mai.2018 das Opt-In Verfahren zum Standard.
Nutzung von Google Analytics – DSGVO konform
Laut einiger Blogs und auch einiger Experten gilt bei dem Besucher-Tracking z.B. über Google Analytics, ein berechtigtes Interesse. Nach Ra. Dr. Schwenke ist die Nutzung von Google Analytics zulässig.
Laut Rechtsanwalt Dr. Schwenke dient Google Analytics als Tool zur Reichweitenmessung und kann heutzutage als üblich angesehen werden. Es enthält keine Werbeeinblendung und Nutzer werden pseudoanonymisiert (kürzen der IP-Ardesse). Daher kann Google Analytics unter Berücksichtigung folgender Aspekte verwendet werden.
Andere Anwälte sind hier wieder anderer Meinung und vertreten die strikte Einhaltung des Opt-Ins auch im Bereich der Statistik. Hier werden wohl erst erste Urteile etwas Licht ins Dunkel bringen.
Ansonst gilt auch hier, wer sich sicher sein will, verzichtet auf die Erhebung von Statisitken und tappt im Dunkeln, indem er ein Opt-In vorschaltet.
- Einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen!
- Der User muss der Nutzung seiner personenbezogenen Daten widersprechen können, dafür ist ein Cookie Opt-Out ausreichend (das Optimum an Sicherheit ist immer das Opt-In). Dieses gibt es bereits in verschiedenen Varianten als Plugins und Widgets für die diversen CMS zum Download. So z.B. die kostenpflichtigen WordPress Plugins (einmalig 29.- €) Pixelmate und oder noch besser sogar das Plugin von Borlabs. Letzteres bietet Euch sogar noch die Möglichkeit das Problem mit iFrames und Google Maps zu lösen (ebenfalls 29.- €). Oder eines der kostenlosen Plugins wie Cookie Notice.
- Google Analytics muss in Eure Datenschutzerklärung integriert werden. Hier wird der Zweck der Erfassung der personenbezogenen Daten geregelt sowie die erhobenen Daten selbst benannt.
- Und klar, die IP muss natürlich anonymisiert werden.
Die Nutzung einer Kontakt- oder Kommentarfunktion in einem Blog – DSGVO konform
Bei WordPress gibt es ja die schöne Kommentar-Funktion, die die Interaktion mit dem Nutzer ermöglichen soll. Für diesen Zweck erfasst WordPress die IP-Adresse, den Namen und die E-Mail des Kommentators.
So, was ist jetzt erheblich, relevant und angemessen?
Für die Nutzung der Kommentierungsfunktion sind die Erfassung des Namens und E-Mail angemessen, erheblich und relevant. Die Erfassung der IP-Adresse hingegen ist für den Betrieb einer Kommentarfunktion nicht notwendig und damit nicht relevant.
Daher gilt es hier, die Erfassung der IP-Adresse zu unterbinden oder zu anonymisieren. Dafür hat die WordPress Community bereits einige Tools gebastelt, die genau diese Funktion erfüllen (WP Plugin Remove IP ist schon älter, ändert aber nix an der Funktion!)
Es gibt auch ein zusätzliches Double-Opt-In-Verfahren für die Kommentieren-Funktion oder eher für das kommentieren von Kommentaren. Das WP Plugin Subscribe to Double-Opt-In Comments.
Desweiteren benötigt Ihr, da Ihr ja wieder personenbezogene Daten erfasst, eine aktive Zustimmung zu diesem Zweck. Dafür gibt es ein starkes Plugin, welches in die Kommentar- oder Kontaktformulare eine Checkbox integriert. Diese Checkbox muss bestätigt werden und damit in die Erhebung der personenbezogenen Daten eingewilligt werden. Plugin: WP GDPR COMPLIANCE, welches ich selber auch in Verbindung mit Remove IP nutze.
Nutzung von Spamfiltern – DSGVO konform
Ja, auch die meisten Spamfilter sammeln personenbezogene Daten und leiten diese zur Überprüfung weiter. Viele Spamfilter nutzen exteren Blacklists, bei denen IP-Adressen abgeglichen und gegebenenfalls gesperrt werden. Daher müssen auch alle Spamfilter, genau unter die Lupe genommen werden, ob und welche Daten diese weiterleiten. Funktionen, die personenbezogene Daten nutzen sollten besser deaktiviert werden. Bei WordPress ist Akismet vorinstalliert, steht aber schon seit langem im Ruf, Daten sehr ungezügelt zu verteilen. Hier empfhiehlt sich generell die Deaktivierung von Akismet. Eine Alternative könnte das WordPress Plugin Antispam Bee sein. Bei diesem Plugin müssen allerdings die Einstellungen für “Öffentliche Spamdatenbank berücksichtigen” und “Kommentare nur in bestimmter Sprache zulassen” deaktiviert werden um keine Daten an Dritte zu übermitteln.
Nutzung von Youtube – DSGVO konform
Ja, Youtube ist praktisch, keine Probleme mehr mit Streaming, unterschiedlichen Betriebssystemen, Browsern… Einfach ein Video bei Youtube hochladen und dann auf der eigenen Seite einbinden. Schöne heile Welt.
Aber… eine Seite, die ein eingebettetes Youtube Video enthält übermittelt beim Laden der Seite personenbezogene Daten an Youtube und stellt damit wieder einen Verstoß gegen die DSGVO dar.
Die WordPress Community hat hierfür ebenfalls ein kostenloses Plugin parat. Das WP Plugin Youtube Lyte, hier wird der eingebettete Youtube Link angepasst. Statt das Video zu laden und Daten zu übermitteln wird erst das Vorschaubild des Videos geladen. Erst nach Bestätigung wird das Video dann geladen und die Daten übermittelt.
Eine Alternative zu Lyte ist das Plugin “Embed videos and respect privacy“.
Alternativ bietet Youtube auch das datenschutzkonforme Einbetten von Videos an.
Youtube Video in Youtube öffnen – Teilen Button klicken – dann auf Einbetten – und der Code-Vorschau rechts das Häckchen bei “Erweiterten Datenschutzmodus aktivieren” setzen. Der Code zum Video einbetten wird jetzt entsprechend angepasst. Es werden jetzt wesentlich weniger Daten an Youtube übermittelt, ein Datenaustausch findet aber immernoch statt!
Social Media Funktionen wie Teilen oder Liken – DSGVO konform verwenden
Ähnlich wie bei Youtube, Google Maps und iFrames werden auch von den meisten social Media Plugins Daten an die jeweiligen Plattformen übermittelt. Und das in der Regel schon beim Laden der Seite. Daher gilt auch eine besondere Vorsicht bei der Nutzung von Social Media Plugins. Damit hier nichts anbrennt empfiehlt sich die Nutzung des WordPress Plugins “Shariff Wrapper“.
Google Fonts und Emojis
Google Fonts sind echt eine praktische Sache, zum einen schonen sie den eigenen Server zum anderen sind sie einfach bequem und schauen gut aus.. Aber auch hier wird, laut Meinung einiger Experten, ein Datenaustausch vorgenommen. Zur Sicherheit reduzieren wir hier auf klassische Fonts und deaktivieren Google Fonts und Emojis. Dabei hilft uns das WordPress-Plugin “Autoptimize“. Nach der Installation einfach unter Einstellungen – Extras die beiden Kästchen bei “Emojis entfernen” und bei Google Fonts “Google Fonts entfernen” aktivieren.
Mit Drittanbietern AVV (Verträge zur Auftragsdatenverarbeitung) abschließen
Dabei stellt sich erstmal die grundlegende Frage: Wer greift eigentlich alles auf die Daten meiner Webseite zu?
Das könnte z.B. dein Hoster sein wie z.B. 1und1 oder Strato usw. Jeder Hoster bietet diese AVVs bereits an, kümmern muss man sie allerdings selber!
Es sind nicht immer nur die üblichen Gesicheter wie Google, Facebook und Co.!
Eine Liste mit den entsprechenden Links zu einer Sammlung von Drittdienstleistern findet ihr hier: Liste AV-Verträge.
Generator für eine kostenlose Datenschutzbestimmung – DSGVO konform
https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/
Heißt das jetzt, man darf als Webseitenbetreiber keine Werbung mehr ausspielen?
Nein, das heißt es nicht. Sie können weiterhin Werbung ausspielen. Nur dürfen Sie ggf. keine personalisierte Werbung ausspielen, da hier personenbezogene Daten übermittelt und ausgewertet werden.
Im Onlinemarketing gehören die Einwilligung des Nutzers (Art 6 Abs. 1a, 7 DSGVO) und das so genannte „Berechtigte Interesse“ (Art 6 Abs. 1f DSGVO) zu den beiden wichtigsten Säulen, die eine Nutzung von Personendaten künftig erlauben. Werbetreibenden wird ein solches Interesse generell auch zugesprochen. Personalisierte Werbung beispielsweise kann für kommerzielle Organisationen also durchaus berechtigt und damit auch legitim sein. Allerdings gibt es eine wichtige Einschränkung: Wenn der Schutz der Nutzerinteressen (z.B. Privatsphäre) überwiegt, treten werbliche bzw. kommerzielle Interessen dahinter zurück. Dies gilt vor allem bei Minderjährigen und Kindern: Einwilligungen von Minderjährigen unter 16 Jahren sind nach der DSGVO zudem nur wirksam, wenn die Eltern einverstanden sind. (Quelle Pressrelations,de)
Also, wer sicher sein will, holt sich auch hier das Opt-In. Das Opt-Out o.ä. sind aktuell, bis zur Regelung durch das ePrivacy (irgendwann in 2019!!!) eine Grauzone.
In Zukunft wird programmatic Advertising dann so ablaufen:
- Der User stimmt der Nutzung seiner pers. Daten zu.
- Die jeweilige Ad-Impression (AI) wird mit der Zustimmung codiert und an den AdServer übermittelt.
- Die AdImpression mit der zugehörigen Zustimmung werden dann im RTB an die DSP versteigert.
- Ohne Zustimmung seitens des Nutzers erfolgt auch keine Auslieferung der Werbemittel, zumindest nicht programmatisch.
- AIs ohne Zustimmung werden dann wohl verramscht werden, wobei AIs mit Zustimmung gute Preise erzielen dürften.
Was ist mit Werbemailings und Newsletten?
Hier gibt es Sonderregelungen, die es einem Unternehmen ermöglichen, einem Kunden, mit dem es bereits in Kontakt steht, Werbung für ähnliche Produkte zu schicken.
Eine genaue Definition bietet die it-recht kanzlei münchen, die das Thema DSGVO und Newsletter detailiert zerlegt haben.
Grundsätzlich gilt, wie immer… Werbe-Mails dürfen nur nach vorheriger Zustimmung durch den Empfänger versendet werden.
Für Kunden, deren E-Mail Adresse im Zusammenhang mit einem Kauf erhoben wurde, gibt es eine Ausnahmeregelung. Hier müssen allerdings mehrere, genau definierte Voraussetzungen erfüllt sein. Die Werbung muss weiterhin Produkte oder Dienstleistungen beinhalten, die dem bereits getätigten Kauf des Kunden ähneln. Der Kunde darf der Verwendung der eigenen personenbezogenen Daten nicht widersprochen haben. Ebenso muss der Datenverarbeitende sowohl bei der Adresserhebung als auch in jeder E-Mail darauf hinweisen, dass der Kunde jederzeit Widerspruch einlegen kann. Die Absicht sowie der Absender dürfen nicht verheimlicht werden (z.B. Versendung eines regelmäßigen Newsletters mit Angeboten aus dem Shop).
Der Webseitenbetreiber ist verpflichtet, dass alle Eintragungen nachweisbar protokolliert werden und sie jederzeit durch den Benutzer löschbar sind. Es gelten die gleichen Voraussetzungen wie bei anderen persönlichen Daten – der User muss erkennen können, wer welche Daten zu welchem Zweck sammelt.
E-Mail Listen sind rechtskonform aufzubauen. Hierfür muss der Empfänger explizit dem Empfang zugestimmt haben. Eine solche Einwilligung darf nicht Teil einer formulierten Vertragsbedingungen sein. Ebenfalls darf einen erforderlichen Haken nicht automatisch gesetzt sein. Eine Einwilligung für werbliche oder Marketing E-Mails sollte daher separat erfolgen.
Für den E-Mail Adressen Listenaufbau ist das Double opt-in das einzige Verfahren, das auch nach dem 25. Mai 2018 noch rechtssicher ist. Die Opt-in-Mail gilt übrigens nach einem Urteil aus dem Jahr 2016 noch nicht als unzulässige Werbemail, sondern als Kontrollinstanz, um sicherzugehen, dass die vorausgegangene Einwilligung tatsächlich vom Inhaber der E-Mail Adresse abgeben wurde.
Direktmarketing
Das Direktmarketing per E-Mail bedarf auch weiterhin einer ausdrücklichen Einwilligung – an den bestehenden Regelungen des Gesetzes gegen den unlauteren Wettbewerb ändert auch die DSGVO nichts. Auch bleibt die Direktwerbung an Bestandskunden für ähnliche Produkte und Dienstleistungen erlaubt. Allerdings wird es z.B. die bisherigen Regelungen zum Adresshandel in dieser Form nicht mehr geben. Hier werden Unternehmen durch ihre „berechtigten Interessen“ wohl flexibler. (Quelle: Pressrelations)
Webseitennutzung bei Kindern unter 16 Jahren
Der Schutz von Minderjährigen steht in der DSGVO (Art. 8 DSGVO) hoch im Kurs.
“Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.”
Heißt: Sie müssen sicherstellen, dass Nutzer älter als 16 Jahre sind.
Also ebenfalls eine Opt-In Lösung, die gezielt nachfragt, ob dewr Nutzer über 16 Jahre ist. Erst wenn der Nutzer dies bestätigt, dürfen Tracker und Cookise auf der Seite geladen werden. Wird nicht bestätigt, ist anzunehmen, dass der Nutzer unter 16 Jahren alt ist und was eine Nutzung seiner Daten verbietet.
Remarketing mit Drittanbietern – Opt-In oder Opt-Out?
Das DSK Papier erklärt pauschal, dass nach der DSGVO immer ein Opt-In des Users erfolgen muß. Wer zur Monetarisierung seiner Seite auf Google oder Appnexus zurückgrieft (Drittanbieter), kann davon ausgehen, das hier ein Opt-In verlangt wird.
Aktuell können Publisher sich noch auf die Basis des berechtigten Interesses berufen. Ende Juli will Google aber selbst das Opt-In europaweit, verpflichtend einführen.
Wer auf Nummer sicher gehen möchte führt das Opt-In bereits zum 25.5. ein.
Weitere Infos zum Thema nutzungsbasierte Online-Werbung bietet youronlinechoices.com.
Eine der Möglichkeiten dazu ist die Nutzung des IAB-Frameworks (Beschreibung folgt).
Das IAB Transparency & Consent Framework
Stellt man sich jetzt mal vor, dass alle Webseiten die DSGVO umgesetzt haben. Dann entsteht für den Nutzer ein Dschungel an Datenfreigaben, durch die er sich erstmal klickenmuss. Denn jede Seite würde dann eine eigene, zweckgebundene Freigabe zur Erfassung und Verarbeitung personenbezogener Daten vom Nutzer verlangen. Das ist gelinde gesagt Nutzer unfreundlich!
Daher kam die Idee auf, ein Framework zu entwickeln. Die Idee dahinter ist einfach. Es gibt einen Cookie, der vom Nutzer eingerichtet wird. In diesem Cookie legt der Nutzer fest für welche Seiten im Framework er gilt und welche Anbeiter er zulassen möchte. Im Schwerpunkt geht´s hier um die Kette der Vermarkter und AdServer, die hier für eine Sammlung an Publishern freigegeben werden. Wird der Surft der nutzer jetzt auf eine Seite aus dem Framework, wird der Cookie erkannt und der Nutzer erhält keine weiteren Fragen zu Freigaben.
Kurzum: 1 Cookie – mit vom Nutzer definierten Freigaben – gültig auf allen Seiten des Frameworks.
Von diesen Frameworks werden wir wohl in nächster Zeit noch mehr hören.
“Liste wird weitergeführt!”
Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und Online Marketing Manager habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.
So, das war schon mal eine Menge, deckt aber nur einen Bereich der DSGVO ab. Das Handling der Daten usw. also wie ist mit den Daten umzugehen, wer bekommt welche Rechte… lasse ich jetzt mal dezent aussen vor.
Aber abschließend kann ich nur sagen: Es gibt nur einen sicheren Weg, immer die Einwilligung holen und dokumentieren. Denn im Endeffekt hat keiner aktuell wirklich eine Ahnung was wirklich richtig oder falsch ist. Was man auch an den wenigen, verbindlichen Aussagen zum Thema seitens der Anwaltskanzleien sehen kann. Ja und unsere Politiker, naja, da verhält es sich wie immer, sie werden gut bezahlt und entscheiden Dinge, von denen sie nichts verstehen.
Es ist mal davon auszugehen, dass in den nächsten Monaten die ersten Kanzleien und Verbände sich auf das Thema stürzen und damit die ersten Präzedenzfälle geschaffen werden. Erst anhand der daraus resultierneden Urteile können dann wirklich sichere Umsetzungen abgeleitet werden.
Und dann gibt es da ja noch die ePrivacy Verordnung!?!?
Hier werden eigentlich erst die Richtlinien für Cookies definiert, oder sollten! Denn schaut man sich mal die Seite des BVDW an, findet man dort eine geplante Timeline zum Thema ePrivacy.
Diese Timeline ist aber noch nicht mal annähernd definiert. Heißt, die ePrivacy Richtlinien, die eigentlich im Zusammenspiel mit der DSGVO auch die Daten und anwendung von Cookies definieren sollten, sind noch nicht einmal abgeschlossen.
Ich zitiere mal aus dem BVDW… (aktuelle Informationen zur ePrivacy Verordnung)
Der Einstieg in einen Trilog ist demnach nicht vor Ablauf des Jahres 2018 zu erwarten, was die Zeitschiene für das Ende von Verhandlungen weit ins Jahr 2019 strecken lässt. Mit einem Inkrafttreten wäre dann frühestens Mitte/Ende 2019 zu rechnen, wobei für die Anwendung mit Sicherheit eine zumindest 1-jährige Übergangsfrist (Vorschlag EU-Parlament) gelten wird.
Das Ganze ist mehr als verwirrend. Denn eigentlich regelt die DSGVO die Verarbeitung von personenbezogenen Daten für den gesammten privaten und Öffentlichen Bereich und wie damit umzugehen ist. Die ePrivacy verhält sich zur DSGVO wie das TMG zum BDSG. In der ePrivacy werden die Verordnungen explizit zu den Themen Tracking, Cookies und anderen Situationen des Online Marketings, welche von der DSGVO nicht im Detail behandelt werden. Damit ersetzt die e-Privacy-VO die bisher geltende e-Privacy-Richtlinie sowie die sogenannte Cookie-Richtlinie.
Oder einfach gesprochen, es gibt aktuell keine Cookie-Richtlinien. Nur Richtlinien zur Verarbeitung von personenbezogenen Daten und die werden ja auch von Cookies erhoben!
Was aber nicht wirklich hilfreich ist!
Aktuell würde ich davon ausgehen, dass gerade im Online-Marketing ein Opt-Out bis auf weiteres, ausreichend ist. Die ersten Urteile werden hier wohl Licht ins Dunkel bringen müssen.
Der Umgang mit den erfassten, personenbezogenen Daten unterliegt der DSGVO, daher muß hier auch die entsprechende Transparenz in der Verarbeitung usw. erfolgen. Die Erfassung gerade im Bereich der Werbung unterligt einem berechtigten Interesse des Publishers und ist damit eigentlich Okay.
Außer… der Webseitennutzer ist minderjährig, also unter 16 Jahren. In dem Fall zieht die DSGVO eine klaren Strich und stellt das Interesse des Nutzers über das des Publishers. Heißt, die ganzen Opt-In, Opt-Out und Hinweisbanner müssten alle mit einer Betätigung des Nutzers versehen werden, dass er über 16 Jahre alt ist. Wie sollte man das sonst herausbekomen?
Wenn ich alles richtig interpretiere ist das Problem mit der DSGVO eigentlich der Minderjährige!
Denn ich darf als Webseitenbetreiber keine personenbezogenen Daten erfassen, solange nicht geklärt ist ob der Nutzer minderjährig ist oder nicht. Dazu kann ich ihn eigentlich nur fragen, also eine Betätigung per Klick einholen z.B. “hiermit bestätige ich, dass ich über 16 Jahre alt bin”. Ist das geklärt und der Nutzer bestätigt, darf ich überhaupt erst tracken ansonst müssen alle Cookies und Co. deaktiviert bleiben.
Demnach darf eine Webseite beim Erstbesuch keine personenbezogenen Daten erheben. Erst nach der Identifizierung des Alters des Nutzers kann ich entsprechend handeln. (Irgendwie hat das Thema aber noch keiner wirklich berücksichtigt!)
Was auch der Grund dafür ist, dass WhatsApp seine Nutzungsbedingungen angepasst hat und jeden Nutzer bestätigen ließ, dass er über 16 Jahre alt ist. Wer das nicht getan hat, kann Whatsapp nicht mehr nutzen.
Naja, warten wir mal ab was die nächsten Wochen so bringen.
Grüße,
Wolfram Daur – Online Marketing Manager
Bild: Pixabay TheDigitalArtist