DSGVO und Online Marketing
Stefan am in Online Marketing
Die Datenschutzgrundverordnung (kurz DSGVO) tritt mit 25. Mai 2018 in Kraft und kann als EU-Verordnung in jedem EU-Mitgliedsstaat unmittelbare Anwendung finden. In der DSGVO gibt es keine ausdrücklichen Anpassungen hinsichtlich Werbung im Internet, jedoch einige Punkte, auf die Werbetreibende ab dem 25. Mai 2018 achtgeben sollten – vor allem auch deshalb, weil bei Nichteinhaltung der Gesetze empfindliche Strafen drohen. Das Strafmaß wurde auf bis zu 20 Millionen Euro, beziehungsweise auf bis zu 4 % des gesamten, weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres erhöht.
Wichtig ist an dieser Stelle der Hinweis, dass wir folgende Punkte zwar nach bestem Wissen und Gewissen recherchiert haben – wir sind allerdings keine Rechtsexperten! Im Zweifel sollte immer von einer Rechtsberatung Gebrauch gemacht werden!
Mit der DSGVO werden insbesondere neue Regelungen zur Datenerhebung und -verarbeitung eingeführt. Die DSGVO unterscheidet dabei personenbezogene Daten von Daten ohne Personenbezug, und sensible von unsensiblen Daten. Von personenbezogenen Daten spricht man, wenn die Daten Rückschlüsse auf eine bestimmte Person zulassen. Sensible Daten umfassen wiederum personenbezogene Daten, aus denen die rassische oder ethnische Herkunft hervorgeht, politische Meinungen, weltanschauliche Überzeugungen, Gesundheitsdaten und einige mehr.
Von Datenverarbeitung spricht man im Zusammenhang mit dem Erheben, Erfassen, Organisieren, Ordnen, Speichern, … von Daten. Also allen Tätigkeiten, bei denen auf personenbezogene Daten zugegriffen wird.
Was ist nun für Werbetreibende zu beachten?
Es ist zu prüfen, welche Daten erhoben werden und ob es dafür eine rechtliche Grundlage beziehungsweise ein berechtigtes Interesse gibt. Überall dort, wo es nicht notwendig ist, personenbezogene Daten zu erheben, sollte dies vermieden werden. Dabei ist auf die Grundsätze der Datenverarbeitung laut DSGVO Rücksicht zu nehmen. Zwei dieser Grundsätze sind die Zweckbindung der Daten und die Datenminimierung. Daten dürfen also ausschließlich für vorher bestimmte Zwecke erhoben und auf das für den Zweck der Verarbeitung unbedingt notwendige Maß beschränkt werden.
Wir empfehlen eine Überprüfung des Impressums der Website auf Korrektheit und Einführung einer gültigen Datenschutzerklärung, in der auf die Neuerung der DSGVO eingegangen wird. Dazu zählen vor allem die Betroffenenrechte. Diese räumen den Personen, auf die die Daten Bezug nehmen, weitgehende Rechte ein – darunter unter anderem das Recht auf Vergessenwerden.
Wenn Technologien (wie Google Analytics) zum Tracking der Besucher der Website zum Einsatz kommen, sollen IP-Adressen immer verschlüsselt übermittelt werden. Google stellt in Google Analytics mit der Option „anonymizeIP“ eine Lösung zur Verfügung.
Hinsichtlich Cookies gibt es noch keine Neuerungen mit der DSGVO. Wer noch keinen gültigen Hinweis auf die Verwendung von Cookies auf seiner Website führt, sollte dies aber spätestens jetzt nachholen. Die geplante e-Privacy Verordnung könnte die gültigen Regelungen allerdings auf den Kopf stellen.
SSL Zertifikate sind nicht nur ein Rankingfaktor in der Suchmaschinenoptimierung, sondern sollten auch im Zuge der DSGVO Umsetzung zum Einsatz kommen. SSL Zertifikate sind zwar nicht ausdrücklich gefordert, dabei handelt es sich allerdings um technische und organisatorische Maßnahmen (TOM’s) zum Datenschutz.
Der Zustimmung zur Datenerhebung und -verarbeitung kommt mit der DSGVO besondere Bedeutung zu. Das heißt, eine Person muss immer ausdrücklich auf die Erhebung und den Grund der Erhebung der Daten hingewiesen werden. Die Person muss also proaktiv zustimmen. Diese Zustimmung darf nicht zum Vertragsbestandteil werden oder vorausgewählt sein. Sie sollten auch bei in der Vergangenheit erhobenen Daten prüfen, ob eine gültige Einwilligung hinsichtlich DSGVO besteht (Newsletter-Abonnenten, Testimonials, Fotos, …). Für Newsletter-Anmeldungen greift man am besten auf ein Double-Opt-In-Verfahren zurück und speichert Grund und Ort der Anmeldung ab.
Allgemeine Hinweise
Wenn Drittanbieter mit der Auftragsdatenverarbeitung beauftragt werden, muss mit diesen Unternehmen ein gültiger Vertrag dafür geschlossen werden (Vertrag zur Auftragsdatenverarbeitung, Zusatz zur Datenverarbeitung, …). Wenn Sie beispielsweise Google Analytics auf Ihrer Website einsetzen, dann können Sie einen solchen Vertrag direkt in den Kontoeinstellungen schließen. Bedenken Sie dabei auch andere Tools und Programme die mit personenbezogene Daten in Berührung kommen!
Erstellen Sie ein Verarbeitungsverzeichnis und halten Sie darin unter anderem fest, welche personenbezogenen Daten von wem, zu welchem Zweck und mit welchen Hilfsmitteln verarbeitet werden.
Treffen Sie organisatorische und technische Maßnahmen (TOM’s), um die erhobenen Daten zu schützen. Wie vorab erwähnt, können hier SSL Zertifikate zum Einsatz kommen. Dazu zählen aber auch Zugangskontrollen zu Computern und Servern, auf denen Daten gespeichert sind und viele weitere denkbare Maßnahmen, je nach Ihren speziellen Anforderungen.
Prüfen Sie nach, ob zu allen bisher erhobenen Daten eine gültige Einwilligung besteht und ob diese Daten freiwillig herausgegeben und aus berechtigtem Interesse erhoben wurden.
Stellen Sie sicher, dass Sie Betroffenenrechte wie das Auskunftsrecht, Recht auf Vergessenwerden, das Recht auf Löschung, das Recht auf Übertragung und weitere auch tatsächlich umsetzen können und führen Sie dementsprechende Prozesse ein.
Die Inhalte dieses Artikels sind hinsichtlich des Umfangs der neuen Regelungen der DSGVO sicherlich nicht vollständig und einzelne Punkte können je nach Geschäftsmodell abweichen. Die einzelnen Punkte liefern aber einen guten Einstieg für alle, die sich mit dem Thema noch nicht näher befasst haben.
Maßgeschneiderte Updates erhalten!
Abonniere unseren eMAGNETIX-Newsletter und erhalte News zu aktuellen Entwicklungen und Trends im Online Marketing.
Mit dem Absenden dieses Formulars stimme ich der Verarbeitung meiner Daten zum Zweck der Zusendung des
Newsletters gemäß den Datenschutzbestimmungen zu. Ich kann die Einwilligung jederzeit widerrufen.