Was genau hat der EuGH entschieden?

Im Kern ging es bei dem Urteil um die Auslegung der sogenannten ePrivacy-Richtlinie. Diese regelt – ergänzend zur DSGVO – die Anforderungen an elektronische Kommunikation, also auch an E-Mail-Marketing.

Anlass war ein Rechtsstreit in Rumänien: Ein Medienunternehmen schickte seinen Nutzer:innen Newsletter, nachdem diese sich für ein kostenloses Konto registriert und dort ihre E-Mail-Adresse angegeben hatten. Eine explizite Zustimmung zum Erhalt der Newsletter lag dem Unternehmen nicht vor – das hielt die rumänische Datenschutzbehörde für einen Verstoß gegen die DSGVO. Doch der EUGH gab dem Medienunternehmen recht und stellte klar:

Wenn ein Unternehmen die E-Mail-Adresse einer Kundin oder eines Kunden im Rahmen eines Kaufs, eines kostenlosen Services oder einer Dienstleistung erhalten hat, darf es dieser Kundin oder diesem Kunden auch ohne weitere Einwilligung Werbung für ähnliche Produkte oder Dienstleistungen per E-Mail senden. Voraussetzung ist, dass es sich dabei um eine Bestandskund:innenbeziehung handelt und beim ersten Kontakt eine klare Widerspruchsmöglichkeit angeboten wird.

Was bedeutet das Urteil für Marketing?

Das Urteil greift eine sogenannte Ausnahme für Bestandskund:innen auf, die bereits in der ePrivacy-Richtlinie geregelt ist – in Deutschland findet sich diese Regelung auch in § 7 UWG wieder. Sie erlaubt E-Mail-Werbung ohne erneute Einwilligung, wenn:

• die E-Mail-Adresse im Zusammenhang mit einem Kauf oder einem anderen Dienst für die Kundin oder den Kunden erlangt wurde

• die beworbenen Produkte oder Dienstleistungen ähnlich sind wie die gekauften

• der/die Empfänger:in nicht widersprochen hat

• bei jedem Versand klar und deutlich auf das Widerspruchsrecht hingewiesen wird

Diese Bedingungen gelten ausschließlich für den Versand an Bestandskund:innen und nicht für Kaltakquise. Wer neue Leads per Mail erreichen möchte, braucht weiterhin eine ausdrückliche Einwilligung.

Praxis-Tipps für Unternehmen

Wie lässt sich das EuGH-Urteil konkret im Alltag nutzen? Hier sind einige praktische Hinweise, um E-Mail-Kampagnen datenschutzkonform und rechtssicher zu gestalten:

Gestaltung der Opt-out-Möglichkeit

Ein bloßer Hinweis am Ende der E-Mail reicht nicht aus. Der Hinweis auf das Widerspruchsrecht muss klar, verständlich und leicht auffindbar sein, am besten direkt im sichtbaren Bereich der E-Mail. Eine einfache Formulierung wie „Sie können dem Erhalt weiterer E-Mails jederzeit widersprechen“ mit einem direkten Abmeldelink genügt.

Dokumentation nicht vergessen

Auch wenn keine Einwilligung vorliegt, sollte das Unternehmen genau dokumentieren:

• wann und wie die E-Mail-Adresse erhoben wurde

• was die Kund:innen gekauft oder welche Handlungen sie auf der Website durchgeführt haben

• dass und wie sie auf das Widerspruchsrecht hingewiesen wurden

Diese Dokumentation ist im Streitfall Gold wert.

Grenzen und Risiken: Wann braucht man doch eine Einwilligung?

Trotz der gesetzlichen Lockerung sollten Unternehmen wachsam bleiben. Denn es gibt klare Grenzen:

• Keine Nutzung von E-Mail-Adressen aus Visitenkarten oder Kontakten aus Social Media ohne Einwilligung

• Keine Werbung für völlig neue Produktkategorien oder Dienstleistungen, die mit dem ursprünglichen Kauf oder Service nichts zu tun haben

• Kein Versand an externe Adresslisten oder gekaufte Leads

Zudem ist das Urteil des EuGH zwar für die Auslegung europäischer Richtlinien relevant, die Umsetzung kann aber national unterschiedlich ausfallen. In Deutschland etwa bleibt das UWG die maßgebliche Grundlage, an der sich Marketingverantwortliche orientieren müssen.

Es lohnt sich daher, die eigenen Prozesse regelmäßig mit juristischen Fachleuten abzugleichen, besonders bei größeren Kampagnen oder bei grenzüberschreitendem Versand.

Fazit: Mehr Freiheiten – aber auch mehr Verantwortung

Das EuGH Urteil zum Newsletter-Versand schafft ein Stück mehr Rechtssicherheit für Marketer:innen. Unternehmen dürfen ihre Bestandskund:innen unter bestimmten Bedingungen auch ohne Einwilligung kontaktieren – ein wichtiger Schritt für effektives und rechtssicheres E-Mail-Marketing. Mit der neuen Freiheit kommt jedoch auch neue Verantwortung: Die Vorgaben müssen sauber eingehalten, Widerspruchsmöglichkeiten klar kommuniziert und Prozesse sauber dokumentiert werden. Für alle, die ihre E-Mail-Strategie rechtlich absichern und gleichzeitig effektiv gestalten wollen, bietet das Urteil eine gute Grundlage, ist aber längst keine Blankovollmacht.

Der Beitrag EuGH Urteil zum Newsletter-Versand: Wann Unternehmen keine Einwilligung brauchen erschien zuerst auf contentmanager.de.

Hier Whitepaper downloaden!

Inhalt des Whitepapers Kundendatenmanagement

1. Herausforderung für den Mittelstand
2. Der Umgang mit Daten im Unternehmen
3. Datenschutz und Compliance
4. Die Potentiale: Customer Data entlang der Customer Journey
5. Erste Schritte einer Datenstrategie für den Mittelstand
6. Technologien zur Anreicherung und Nutzung von Kundendaten
7. Herausforderungen und Potentiale
8. Anforderungen an eine Lösung
9. Was ist eine Data Service Plattform?
10. Best Practice am Beispiel eines Verlags
11. Fazit und Ausblick

Qualität & Aktualität von Kundendaten essenziell

Hast Du Deine Kundendaten wirklich im Griff? Sind sie aktuell? Hast Du Die Erlaubnis Deiner Kund:innen, die Daten zu speichern und zu nutzen? Die regelmäßige Pflege und ein gutes Management der Kundendaten ist für eine effiziente Marketingstrategie unerlässlich. Denn fehlende oder falsche Adressdaten können zu erhöhten Kosten, verpassten Geschäftschancen und rechtlichen Risiken führen. Schickst Du Deinen Newsletter zum Beispiel an 10.000 Adressat:innen, von denen 30 % keine aktuellen Daten in Deinem System haben, ist der Verlust schnell offensichtlich. Das Whitepaper zum Download zeigt Dir hier nicht nur auf, wo Datenprobleme aufkommen können und wie Du sie in Deinen Datensätzen findest, sondern bietet auch praxisnahe Lösungen an.

Datenqualität ist längst nicht mehr nur ein IT-Thema. Sie beeinflusst maßgeblich die Effizienz im Vertrieb, die Kundenzufriedenheit und den Unternehmenserfolg. Moderne Technologien bieten hier wertvolle Unterstützung. Doch sie müssen auch richtig eingesetzt werden, um den gewünschten Mehrwert zu liefern. Wer die Nutzung der Kundendaten optimiert, kann dadurch nicht nur Kosten senken, sondern auch die Kundenbindung stärken und Prozesse nachhaltig effizienter gestalten.

Compliance & DSGVO

Einer der wichtigsten Punkte bei der Speicherung und Verarbeitung von Kundendaten ist natürlich die Frage, mit welchem Recht dies geschieht. Die DSGVO (Datenschutz-Grundverordnung) stellt hohe Anforderungen an den verantwortungsvollen Umgang mit personenbezogenen Daten. Unternehmen müssen sicherstellen, dass sie Kundendaten nicht nur korrekt, sondern auch rechtssicher verwalten. Das bedeutet, dass die Erhebung, Verarbeitung und Speicherung von Daten transparent und mit Erlaubnis des Kunden oder der Kundin erfolgen und die erhobenen Daten auch nur für legitime Zwecke genutzt werden dürfen.

Besonders bei der Anreicherung von Daten durch externe Quellen ist es essenziell, dass Unternehmen die Einwilligung der betroffenen Personen einholen. Ihre Datenverarbeitungsprozesse müssen dabei streng überwacht werden, um teure Strafen und Vertrauensverluste zu vermeiden. Um Anfragen von Kund:innen, zum Beispiel die Löschung von Daten, effizient zu bearbeiten, können automatisierte Prozesse hilfreich sein.

Lösungen für das Kundendatenmanagement

Eine Lösung, um Daten effizient verwahren und bearbeiten zu können, ist eine Data Service Plattform (DSP). Im Gegensatz zu klassischen Datenmanagementsystemen sind DSPs modular aufgebaut und ermöglichen eine umfassende, zentrale Sicht auf alle relevanten Kundendaten. Sie unterstützen Unternehmen dabei, Daten aus verschiedenen Quellen – ob intern oder extern – zusammenzuführen, qualitativ zu bereinigen und in Geschäftsprozesse zu integrieren. Durch flexible Schnittstellen und oft auch KI-gestützte Verfahren können Unternehmen ihre Daten kontinuierlich aktualisieren und automatisiert verarbeiten. Das verbessert nicht nur die Datenqualität selbst, sondern optimiert auch den Einsatz in Bereichen wie Vertrieb, Marketing und Risikomanagement. Das Whitepaper zeigt dabei auf, wie DSPs dabei helfen, komplexe Datenlandschaften zu vereinfachen und zugleich die Einhaltung von Datenschutzvorschriften wie der DSGVO sicherzustellen.

Übergreifendes Konzept für mehr Kontrolle

Eine ganzheitliche Strategie inklusive der verbundenen Technologie bietet  Unternehmen nicht nur eine verbesserte Rechtsicherheit und leichtere Aktualisierung. Sie kann auch mehr Einblicke bieten, anhand derer sich personalisierte Angebote erstellen und Marketingstrategien optimieren lassen. Wie das in der Praxis aussehen kann, zeigt Dir ein ausführliches Beispiel im Whitepaper.

Der Beitrag Kundendatenmanagement – Whitepaper zu Strategien & Technologien erschien zuerst auf contentmanager.de.

Der Social Media Riese Meta macht wieder von sich reden. Die irische Datenschutzbehörde hat dem Konzern eine Strafe von 390 Millionen Euro auferlegt. Grund dafür waren mehrfache Verstöße gegen die DSGVO, die aus Beschwerden von Nutzer:innen hervorgingen. 

Die Datenschutzbehörde Data Protection Commision (DPC) hat Meta erneut ins Visier genommen. Nach Untersuchungen in Bezug auf die rechtmäßige Verarbeitung von personenbezogenen Daten wird der Konzern jetzt zur Kasse gebeten. Sowohl die Plattform Facebook als auch Instagram sind von dieser Geldstrafe betroffen. Wegen den DSGVO-Verstößen wird Facebook mit einer Strafe in Höhe von 210 Millionen Euro und Instagram mit insgesamt 180 Millionen Euro belangt. Der Konzern ist sich jedoch keiner Schuld bewusst und möchte gegen das Urteil Einspruch erheben.

Fehlende Transparenz: Warum Meta jetzt zahlen muss

Meta hatte im Vorfeld seine Nutzungsbedingungen geändert – zum Leidwesen seiner Nutzer:innen. Denn diese mussten der Verarbeitung ihrer personenbezogenen Daten zustimmen. Ansonsten würden sie die Zugriffsrechte auf die Social Media Dienste des Konzerns verlieren.  Als Rechtsgrundlage zur Schaltung verhaltensbezogener Werbung nutzte Meta bisweilen eine sogenannte „Contractual Necessity“. Damit wollte der Konzern in seiner rechtlichen Grundlage die in Europa geltende DSGVO abdecken.

Doch genau gegen diese Verordnung soll Meta laut DPC jetzt mehrfach verstoßen haben. Im Gegensatz zum TTDSG, welches sich auf die Erhebung sämtlicher Nutzerdaten von Telekommunikationsdiensten bezieht, umfasst die DSGVO lediglich den Aspekt der personenbezogenen Daten. Laut DSGVO muss mindestens eine der in der Verordnung festgelegten Bedingungen erfüllt werden. Nur dann ist eine rechtmäßige Datenverarbeitung gegeben. Die DPC wirft Meta allerdings vor, seinen Nutzer:innen gegenüber intransparent gehandelt zu haben. So wurde die rechtliche Grundlage (Legal Basis) den Nutzer:innen nicht ausreichend dargelegt. Ein klarer Verstoß gegen Artikel 12 und 13 (1)(c) der DSGVO. Ebenso in der Kritik steht der Messenger Dienst WhatsApp aufgrund von Verletzungen der DSGVO. In dieser Angelegenheit wurde jedoch noch kein Urteil von der DPC gefällt.

Anpassung der rechtlichen Grundlage – Meta sieht keinerlei Handlungsbedarf

Für Meta handelt es sich bei dem Urteil um eine klare Fehlentscheidung. Eine Änderung der Verarbeitung personenbezogener Daten sei laut Meta praktisch nicht umsetzbar. Zudem betonte der Konzern, dass personalisierte Werbung auch ohne Einwilligung eines jeden auf Facebook geschaltet werden kann, entgegen der Behauptungen der Medien. Ob Meta im Falle einer Berufung tatsächlich einer Strafe entgeht, bleibt jedoch abzuwarten.

Erfahrt außerdem wie die Cookie-Einwilligungen nach TTDSG und DSGVO richtig umgesetzt werden können.

Der Beitrag Sanktionen für Meta: Millionenstrafe wegen DSGVO Verstößen   erschien zuerst auf contentmanager.de.

Das TTDSG ist seit 01. Dezember 2021 in Kraft und beinhaltet neue, strengere Regelungen für das Setzen von Cookies. Die Einwilligungspflicht ist mit wenigen Ausnahmen deutlich verschärft worden. Verstoßen Unternehmen gegen die Einwilligungspflicht, drohen Abmahnungen und erhebliche Bußgelder bis 300.000 Euro oder sogar mehr. Vor allem auch dann, wenn Cookies für Marketingzwecke und Profiling eingesetzt werden oder aber die Information über Cookies und die Datenschutzerklärung unvollständig sind. Umso wichtiger ist es, einen Überblick zur TTDSG-konformen Umsetzung der Cookie-Einwilligung zu erhalten.

Grundsätzlich gilt nach § 25 im neuen Telekommunikation-Telemedien-Datenschutz-Gesetz: Informationen auf Endgeräten dürfen nur gespeichert oder auf vorhandene Informationen zugegriffen werden, wenn eine DSGVO-gerechte Zustimmung vorliegt oder eine gesetzlich geregelte Ausnahme greift.

Wie sich das TTDSG auf Tracking im Web auswirkt, erfahren Sie zudem detaillierter in unserem Wissensbeitrag.

Tipps zur Umsetzung der Cookie-Einwilligung

Damit Unternehmen die Privatsphäre von Nutzer:innen richtig schützen – und Abmahnungen sowie Bußgelder letztlich vermeiden –, sollten sie die Anforderungen an die Cookie-Einwilligung im TTDSG sowie der DSGVO berücksichtigen und ihre bisherigen Cookie-Hinweise dahingehend genau prüfen. Da beide Gesetze unabhängig voneinander bestehen, empfiehlt es sich, lieber die strengeren Regelungen umzusetzen.

Die Cookie-Zustimmung muss in jedem Fall:

• freiwillig,
• für einen bestimmten Fall,
• in informierter Weise,
• durch eine unmissverständliche Willensbekundung sowie
• als eindeutig bestätigende Handlung mit Hinweis auf eine Widerrufsmöglichkeit

ausgestaltet sein. Eine Cookie-Zustimmung ist und bleibt damit eine proaktive Zustimmung, die einzig durch ein Opt-In realisiert werden kann. Übrigens: Voreingestellte Häkchen bei der Cookie-Einwilligung sind gemäß Datenschutz unzulässig. Die Zustimmung des Endnutzers bzw. der Endnutzerin muss gänzlich aus eigenem Antrieb und ohne „Lenkung“ erfolgen.

Für die Gestaltung der Cookie-Zustimmung in Form von Bannern sollten Sie daher folgende Aspekte unserer Checkliste berücksichtigen.

1. Vollumfängliche und verständliche Banner-Inhalte bieten

Informieren Sie Ihre Nutzer:innen über die jederzeitige Widerrufsmöglichkeit der Cookie-Zustimmung. Darüber hinaus sind detaillierte Informationen zum Zweck der Cookies zu geben. Eine Verlinkung zu Ihrem Impressum und der geltenden Datenschutzerklärung sollte ebenfalls Teil des Banners sein. Bereiten Sie alle Informationen zudem transparent und verständlich auf. Datenschutz muss für Ihre Nutzer:innen leicht zu verstehen sein. Das ist nicht nur im Gesetz geregelt, sondern grundsätzlich auch ein Service-Aspekt.

2. Garantieren Sie Freiwilligkeit: Schaltflächen optisch und funktional gleichwertig gestalten

Bei Datenschutzbehörden und Verbraucherschutz stehen Cookie-Banner immer wieder aufgrund des Designs in der Kritik. Farbig hervorstehende Schaltflächen zur Einwilligung in die Verarbeitung von Daten und das Setzen von Cookies sind zwar nach jetziger Rechtsprechung noch nicht abschließend verboten. Allerdings ist das Nudging bzw. sind Dark Patterns eine Art der Lenkung, wenn auch nur optischer Art. Wollen Sie jetzt und künftig auf Nummer sicher gehen, sollten Sie Ihre Cookie-Banner so gestalten, dass sie nicht durch ihr Design die Zustimmung begünstigen. In jedem Fall unzulässig ist es aber, die Ablehnung von Cookies umständlicher zu gestalten als die Annahme. Daher ist zu empfehlen, Ablehnung, Zustimmung und detaillierte Einstellung zur Verarbeitung von Daten auf der ersten Ebene des Cookie-Banners zu integrieren – am besten wie erwähnt optisch gleichwertig.

3. Responsives Design, Einwilligung beim ersten Aufruf der Website und unzulässige Zugriffe auf Systemkomponenten berücksichtigen

Die meisten Nutzer:innen greifen mit verschiedenen Endgeräten auf Ihre Website zu. Eine optimierte Version Ihres Cookie-Banners im responsiven Design ist damit empfehlenswert – wenn auch nicht gesetzlich vorgeschrieben. Zwingend erforderlich ist dagegen die Cookie-Einwilligung beim ersten Aufruf Ihrer Website, noch bevor Nutzer:innen sich durch Ihre Site klicken können. Achten Sie zudem darauf, dass Sie keine nach Grundverordnung zum Datenschutz unzulässigen technischen Zugriffsberechtigungen abfragen. Dazu gehört beispielsweise die Zugriffsanfrage auf Kamera oder Kontakte.

4. Abfrage-Turnus und Dauer der Speicherung

Die wiederholte Abfrage der Cookie-Einwilligung ist natürlich richtig und wichtig. Um aber Nutzer:innen eine angenehmere Page Experience zu bieten, sollte die Einwilligung eine Zeit lang gespeichert werden. In der Praxis hat sich eine Speicherung von etwa sechs Monaten mittlerweile etabliert, sofern Cookies und Browser-Einstellungen von Nutzer:innen nicht zurückgesetzt wurden.

Mit diesen Tipps entsprechen Sie dem geltenden Datenschutz und geben ihren Nutzer:innen darüber hinaus die besten Optionen, ihre Privatsphäre richtig zu schützen. Denn nicht zuletzt spielt nicht nur das Gesetz eine entscheidende Rolle, sondern auch das Gefühl Ihrer Nutzer:innen, zu keiner Datenweitergabe gezwungen zu werden.

Der Beitrag Cookie-Einwilligung nach TTDSG und DSGVO umsetzen – Tipps  erschien zuerst auf contentmanager.de.

Das TTDSG oder ausgeschrieben „Telekommunikations-Telemedien-Datenschutzgesetz“ soll zum 1. Dezember 2021 in Kraft treten. Die Gesetzesänderung sorgt mitunter jetzt bereits für Aufruhr bei Marketing- und Datenschutz-Verantwortlichen. Aber welche Auswirkungen hat das TTDSG wirklich auf das Marketing eines Unternehmens? Und was sollten Marketeers und Unternehmen nun beachten? In diesem Beitrag haben wir das TTDSG für Sie eingeordnet.

Änderungen im Datenschutz sorgen beim Management mitunter für Sorgenfalten: Was bedeuten die Änderungen für Marketing und Vertrieb? Welche Anpassungen müssen im Unternehmen vorgenommen werden? Wie schnell lassen sich neue Vorgaben umsetzen? Gerade im Online-Marketing stellen sich enorm viele technische Fragen, was das Tracking im Web – etwa durch Cookies – anbelangt. Im Dezember 2021 steht nun nach der großen DSGVO-Welle eine weitere Gesetzesänderung an. Das „Telekommunikations-Telemedien-Datenschutzgesetzt“ (TTDSG) soll ab 1. Dezember 2021 eine einheitliche, gesetzliche Richtlinie in puncto Datenschutz in der Telekommunikation und bei Telemedien bieten.

Was ist das TTDSG und warum wurde es entwickelt?

Hintergrund des neuen Gesetzes ist die Splittung von Richtlinien bei Online-Diensten. Bisher gibt es sowohl Regelungen im Telemediengesetz (TMG), als auch im Telekommunikationsgesetz (TKG) und in der Datenschutzgrundverordnung (DSGVO). Übersichtlichkeit sieht damit wahrlich anders aus. Unternehmen müssen für Online-Dienste und Cookie-Setzung in drei verschiedenen Gesetzen Datenschutz-Vorgaben berücksichtigen. Das Risiko, wichtige Aspekte zu übersehen, ist damit alles andere als gering.

Mit dem Telekommunikations-Telemedien-Datenschutzgesetz sollen die einzelnen Gesetze zusammengeführt und den europäischen Anforderungen entsprechend angepasst werden. In der Konsequenz bedeutet das natürlich: Nicht jede Regelung im TTDSG ist neu, sondern einfach in das TTDSG überführt worden. Nicht zuletzt will man mit dem TTDSG aber auch die europäische Vorgaben der DSGVO und vor allem die ePrivacy-Richtlinie in nationales Recht umsetzen. Besonders die ePrivacy-Richtlinie hinkt in der Umsetzung derzeit hinterher. Sie stammt aus dem Jahr 2009 und regelt die Nutzung von Cookies im Web. Gerade das ist natürlich für Webseiten- und App-Betreiber entscheidend.

TTDSG regelt weit mehr als nur die Cookie-Platzierung

Bedingt durch die Zusammenlegung von den Gesetzen zur Telekommunikation, zu Telemedien und der DSGVO, umfasst das TTDSG natürlich weitaus mehr Bereiche. Es wird nicht nur Bezug auf personenbezogene Daten genommen. Das TTDSG bezieht sich auf sämtliche Informationen, die Nutzer von Telemedien und Telekommunikationsdiensten preisgeben und die somit erhoben werden können. Im Online-Marketing ist jedoch die Bedeutung von Cookies und Tracking-Maßnahmen hoch, sodass wir uns in diesem Beitrag ausschließlich auf diesen Bereich beziehen.

Die wohl größte Frage, die sich Marketing- und Datenschutz-Abteilungen hier stellen: Braucht demnächst jede Tracking-Maßnahme eine Einwilligung des Endnutzers? Welche Anforderungen stellt das Telekommunikations-Telemedien-Datenschutzgesetz an die Verarbeitung von Daten durch Tracking-Dienste?

Auswirkungen vom TTDSG auf Tracking

Klare Einwilligung nötig

Die ePrivacy-Richtlinie sieht vor, dass Endnutzer zwingend eine Einwilligung zum Setzen von Cookies erteilen müssen. Mit nur einer Ausnahme: Sofern es sich um technisch notwendigen Cookies handelt, braucht es keine gesonderte Einwilligung. Die Aufnahme dieser Regelung in das TTDSG bedeutet für Sie, die Ablehnung von Cookies und Tracking-Maßnahmen transparenter und eindeutiger abzubilden.

Idee eines zentralen Einwilligungsmanagements

Der Entwurf der Bundesregierung zum TTDSG hat aber auch andere Auswirkungen auf das Tracking. Allerdings sind diese nicht zwingend negativ zu bewerten. Denn das TTDSG sieht vor, dass Unternehmen Alternativen zu den bisherigen Bannern nutzen dürfen. Geplant ist, eine zwischengeschaltete Stelle zu gestalten, über die die Einwilligung durch den Website-User verwaltet werden kann. Und zwar zentral. Die Idee dahinter: Nutzer sollen so generell mehr Kontrolle über personenbezogene Daten und den Zugriff Dritter auf Informationen erhalten.

Unternehmen müssen jedoch nicht zwingend ein solches Einwilligungsmanagement implementieren. Dann jedoch greift wieder die zwingend erforderliche Einblendung der Banner, um den gesetzlichen Regelungen zu entsprechen.

Wollen Sie ein zentrales Einwilligungsmanagement einsetzen, gelten die Vorschriften des § 26 TTDSG. Darin sind die Anforderungen für den sogenannten PIMS (Personal Information Management Service) festgehalten:

• Anbieter von PIMS-Diensten müssen sich akkreditieren lassen.
• Anbieter von PIMS-Diensten dürfen kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung haben.

Das Einwilligungsmanagement muss demnach über einen dritten Anbieter implementiert werden, um gerade Punkt zwei der Vorgaben zu entsprechen.

Keine Bestimmungen zur Gestaltung von Cookie-Bannern

Einige Länder haben eine Verordnung für die Gestaltung von Cookie-Bannern. So etwa Frankreich. In der Regel soll durch Regelungen für das Design der Banner die Lenkung von Usern hin zur Datenerhebung gebannt werden. Etwa, indem die Farbgebung der Buttons innerhalb der Banner das User-Auge mehr zur Erhebung von Informationen zieht, als zur Ablehnung. Das TTDSG sieht in seinem Entwurf aber keine Regelung des Cookie-Banner-Designs vor. Allerdings bemängeln Datenschutzbehörden wie in NRW solche und weitere Praktiken. Eine abgestimmte Aussage oder gar bestimmte Anforderungen per Gesetz sind dennoch bisher nicht in Sicht.

Unternehmen sollten dennoch die Gestaltung der Cookie-Banner nicht übertreiben und alle notwendigen Informationen liefern. Die wichtigsten Mängel, die die Datenschutzbehörde in NRW bei Websites von Medienunternehmen gelistet hat, geben Ihnen einen Überblick für möglichen Verbesserungsbedarf.

Server-to-Server-Lösungen und TTDSG

Die technische Entwicklung ermöglicht es einem Website–Anbieter inzwischen, sogenannte Server-to-Server-Lösungen zu nutzen. Ein geläufigerer Begriff ist hier „Server-to-Server-Tracking“. Der Gedanke dahinter: Tracking-Möglichkeiten schaffen, die ohne das Setzen von Cookies auskommen. Beim Server-to-Server-Tracking werden Tracking-Informationen direkt in eine Datenbank oder ein Logfile des Advertisers geschrieben. Cookie- bzw. Javascript-Tracking ist damit nicht mehr nötig, da die Verarbeitung von Informationen direkt auf dem jeweiligen Webserver erfolgt.

Der Knackpunkt für die Konformität mit dem Datenschutz im TTDSG liegt hier in der tatsächlichen Funktionsweise der Technik. Die Server-to-Server-Lösung darf wirklich nur eine reine Kommunikation zwischen den Servern ermöglichen. Eine Speicherung von Daten auf dem Endgerät wäre wieder ohne Einwilligung des Endnutzers nicht zulässig.

TTDSG und Blockade von Third-Party-Cookies durch Browser-Anbieter

Viele Browser-Anbieter haben in den vergangenen Monaten angekündigt, Third-Party-Cookies komplett zu blockieren, um den Schutz der Privatsphäre im Internet zu verbessern. So zum Beispiel kündigte Google auf seinem Blog an, Third-Party-Cookies sukzessive nicht mehr zu unterstützen. Das alternative Google Tracking FLoC des Suchmaschinen-Konzerns scheiterte aber ebenfalls vorerst am EU-Recht. Das Third-Party-Cookie-Vorgehen der Browser-Anbieter in puncto Datenschutz ist jedoch, obwohl gerne miteinander vermischt, vollkommen unabhängig von den Bestimmungen des TTDSG.

Ebenfalls wichtig: Anti-Tracking-Features bei Apple-Endgeräten. Wir erklären Ihnen, welche Auswirkungen Apples Anti-Tracking-Feature auf Ihr Marketing hat.

Fazit: TTDSG hebt Anforderungen an den Datenschutz an

Das TTDSG weist zwangsläufig viele Parallelen zur gültigen ePrivacy-Verordnung auf, da das TTDSG diese in nationales Recht umsetzen soll. Darüber hinaus sind natürlich ebenso Regelungen aus dem TKG, dem TMG und der DSGVO in dieses Gesetz einbezogen worden. Insgesamt lässt sich beim Thema Cookies und Tracking jedoch klar sagen: Die Anforderungen an Unternehmen hinsichtlich des Datenschutz steigen mit dem TTDSG. Um weiterhin konform zum Datenschutz zu bleiben, sollte daher vor allem das Einwilligungsmanagement überarbeitet werden. Egal, ob zentral oder über klassische Banner.

Der Beitrag TTDSG – was das neue Gesetz für Ihr Tracking im Web bedeutet erschien zuerst auf contentmanager.de.

Google wird seine Google Tracking Alternative FLoC vorerst noch nicht in der EU einführen. Der Grund sind offene rechtliche Fragen, die mit der EU-Datenschutzgrundverordnung (DSGVO) einhergehen. Zu den zu klärenden Punkten gehören unter anderem Fragen zur Datenverantwortlichkeit und Datenverarbeitung sowie dem Datenschutz nach DSGVO. Geplant waren ursprünglich Tests mit Werbetreibenden ab dem 2. Quartal dieses Jahres. Nun wird Google die Tests bis zur Klärung der rechtlichen Parameter nur in Regionen außerhalb des EU-Rechtsraums einführen. Die vorerst zurückgestellte Einführung in der EU gab Google im Rahmen des World Wide Web Consortium (W3C) bekannt.

Was ist Federated Learning of Cohorts?

Die Tracking Alternative FLoC soll dazu große Gruppen in Cluster zusammenfassen. Aus den Eigenschaften des Clusters sollen daraufhin Gemeinsamkeiten der Gruppe herausgearbeitet werden. Der FLoC-Ansatz nutzt dazu die geräteinterne Verarbeitung von Daten, um den Browser-Verlauf zu schützen und Einzelpersonen gänzlich zu anonymisieren. FLoC ist die Kerntechnologie der Google Privacy Sandbox, die ein Maßnahmenbündel zur Abschaffung der Third-Party-Cookies geschnürt hat. Seit 2019 widmet sich das Tech-Unternehmen neuer, Datenschutz-konformer Methoden, um das bisherige Tracking über Third-Party-Cookies abzuschaffen. Google hatte bereits angekündigt, keine Werbung mehr schalten zu wollen, die Nutzer über mehrere Websites tracken können. Contentmanager.de berichtete bereits hier darüber. Dabei ist gerade diese Art von Tracking für Werbetreibende wichtig, um Werbung zu personalisieren. Google will mit FLoC Werbetreibenden eine Alternative bieten, die personalisierte Werbung auch ohne Tracking möglich macht.

EU-Datenschutz: Problematik der Datenverarbeitung und Verantwortlichkeiten

Vor dem EU-Datenschutz ist die neue Tracking Alternative aber noch nicht zur Gänze in trockenen Tüchern. Damit FLoC im Hinblick der DSGVO rechtskonform ist, muss Google ein Unternehmen bestimmen, das als Datenverantwortlicher fungiert und ein Unternehmen, das die Datenverarbeitung und Erstellung der Kohorten übernimmt konkret benennen. Zudem ist noch offen, was überhaupt als Datenverarbeitung gilt.

Für weitere Fragen sorgt der FLoC-Ansatz an sich: Nach EU-DSGVO kann bereits die durch den Web-Browser vorgenommene Einordnung in Kohorten und die Verknüpfung mit einer FLoC-ID als personenbezogene Daten und deren Verarbeitung gelten. Eine solche Erhebung und Verarbeitung ist nach EU-Datenschutzrecht nur dann zulässig, wenn die Betroffenen ihre Einwilligung geben. Darüber hinaus kann der FLoC-Ansatz einen Verstoß gegen die E-Privacy-Richtlinien mit sich bringen. Das ist der Fall, wenn Internetnutzer keinen eindeutigen Hinweis auf die Datenverarbeitung erhalten und keine Wahlmöglichkeit dieser gegenüber haben. Die Hinweis- und Wahlmöglichkeit kennen Nutzer auf Websites derzeit in Form der Cookie-Zustimmung.

Testphase soll schnellstmöglich beginnen

Wie Chetna Bindra, Group Product Manager User Trust and Privacy, auf Googles Blog mitteilt, bietet FLoC für Werbetreibende eine starke Alternative zu Cookie-basierter Werbung bei gleichzeitigem Ausbau der Privatsphäre im Word Wide Web. Die Ergebnisse der Effektivität des Clusterings auf die Conversions hänge vom Algorithmus des FLoC und der Zielgruppe ab, heißt es seitens Google. In der EU hängt die Testphase nun von der Klärung der offenen Rechtsparameter ab. Google gab auf dem W3C an, dass die Tests allerdings so schnell wie möglich aufgenommen werden sollen.

Der Beitrag Google Tracking Alternative: FLoC scheitert vorerst am EU-Recht erschien zuerst auf contentmanager.de.

Unternehmen, die eine eigene Facebook-Seite betreiben, können die Verantwortung für die Datenverarbeitung nicht ausschließlich auf das Online-Netzwerk übertragen. Der Europäische Gerichtshof entschied einen über sechs Jahre laufenden Streit im Sinne deutscher Datenschützer. Rechtlich gesehen hat die Entscheidung des EuGH zwar mehr symbolischen Charakter als juristischen Wert, dennoch mit klarer Signalwirkung für die Zukunft. Weil die einstige Datenschutz-Richtlinie von der neuen EU-Verordnung abgelöst wurde, müsste jedes Verfahren neu aufgerollt werden.

Der Streit eskalierte, als das schleswig-holsteinische Landeszentrum für Datenschutz die Wirtschaftsakademie Schleswig-Holstein ermahnte, ihre Facebook-Fanpage vom Netz zu nehmen. Weder die Akademie noch Facebook hätten die Besucher der Seite darüber informiert, dass ihre Daten erhoben und zur Verbreitung zielgerichteter Werbung genutzt werden. Die Wirtschaftsakademie substanziierte, sie sei nicht für die Datenverarbeitung durch Facebook verantwortlich. Das Bundesverwaltungsgericht überwies den Fall nach Luxemburg an den Europäischen Gerichtshof.

Das Gericht entschied, dass Betreiber von Facebook-Fanseiten nach der alten EU-Datenschutzrichtlinie gemeinsam mit dem Online-Netzwerk für die Verarbeitung der personenbezogenen Nutzerdaten verantwortlich waren. Roland Barth, Rechtsanwalt der Kanzlei Clifford, zu der EuGH-Entscheidung:»Es betrifft vom Recht her tatsächlich noch die alte Datenschutz-Richtlinie […] Aber die Definition der Verantwortlichkeit in der alten Richtlinie und in der neuen Grundverordnung ist nahezu wortgleich, so dass hiervon eine deutliche Signalwirkung für die Zukunft ausgeht.« Nun ist die Richtlinie seit Inkrafttreten der neuen DSGVO am 25. Mai unwirksam und Datenschützer können die EuGH-Entscheidung nicht in den bisherigen Verfahren anwenden. »Was wir jetzt geklärt haben, ist, dass man auch verantwortlich ist, wenn man auf einer fremden Plattform Inhalte hostet. Alles weitere bedarf jetzt unter dem neuen Rechtsrahmen einer neuen Prüfung«, sagte Barth weiter.

Die neue Datenschutzgrundverordnung regelt im Kern die Verarbeitung personenbezogener Daten durch Unternehmen. Nutzer müssen künftig informiert werden, wenn und wozu ihre Daten erhoben werden. Zwar bezieht sich das Urteil auf einen Sachverhalt aus dem Jahr 2011 und beruht auf einer überholten Rechtslage, wer aber Facebook oder vergleichbare Dienste in sein Angebot einbindet, bleibt trotzdem in der Verantwortung. Wie dieser Verantwortungsbereich konkret aussehen wird, richtet sich entscheidend nach den entsprechenden Nutzungsbedingen.

Der Beitrag EuGH fällt Urteil zum Datenschutz auf Facebook-Seiten erschien zuerst auf contentmanager.de.

Was ändert sich durch die DSGVO?

Grob gesagt ändert die DSGVO die Definition, bei welchen Daten es sich um “personenbezogene Daten” handelt. Laut Art. 4 gehören dazu jetzt auch IP-Adressen, Standortdaten und Cookies, die deshalb den gleichen, strengen Auflagen unterliegen wie etwa Telefonnummern oder Adressen.

Die DSGVO stärkt zudem ganz klar die Rechte der Verbraucher. Nach Artikel 13 und 14 sind Unternehmer nun verpflichtet, auf Nutzeranfrage klar angeben zu können, welche Daten zu welchem Zweck erhoben wurden – und das innerhalb einer Frist von einem Monat.

Außerdem wird den Nutzer das sogenannte “Recht auf Vergessen” zugestanden. Das bedeutet, dass die User ihre Daten restlos löschen lassen können. Auch hier gilt es darauf zu achten, dass man sein Daten-Management zum Beispiel innerhalb eines CRM-Systems bestens strukturiert, um Löschungen unkompliziert und vollständig durchführen zu können.

Leads generieren und pflegen im Einklang mit der DSGVO

Das Generieren von Leads durch Datensammlung und auch deren Pflege wird unter der DSGVO erschwert. Wer sich jedoch an einigen grundlegenden Guidelines orientiert ist gut aufgestellt, um auch nach dem 25. Mai Leads aufbauen und zum Abschluss bringen zu können.

Erstmal eine Übersicht verschaffen

Bevor Sie in Panik verfallen und über Jahre gesammelten Datensätze löschen, lohnt es sich zu überprüfen, ob diese DSGVO-konform eingeholt wurden. Sollte dies der Fall sein, können sie nämlich unbesorgt weiter genutzt werden. 

Außerdem ist es unbedingt notwendig, eine Bestandsaufnahme der Touchpoints oder Mechanismen zu machen, durch die derzeit Leads generiert beziehungsweise Daten gesammelt werden. Werden beispielsweise Cookies aufgenommen, um auf deren Grundlage Produktvorschläge anzuzeigen? Gibt es Buttons zur Newsletteranmeldung und wie sind die Kontaktformulare aufgebaut? Welche Marketing-Automatisation, beispielsweise bei der Erstellung von E-Mail-Listen, nutzt das Unternehmen und welche personenbezogenen Daten werden dabei verarbeitet? Werden Daten an Dritte weitergegeben oder aus fremder Quelle bezogen?

Haben Sie sich einen Überblick über Ihre bestehenden Datensätze und Datensammlungs-Prozesse verschafft, muss geprüft werden, ob sie den Regeln der DSGVO folgen. Für sie gelten natürlich die gleichen Vorgaben wie für alle neu implementierten Tools, mit denen Leads generiert oder gepflegt werden sollen

Explizite Zustimmung einholen

Ganz egal, welche Daten gesammelt werden sollen, ohne explizite Zustimmung geht mit der DSGVO nichts mehr. Und die Zustimmung muss durch eine “eindeutig bestätigende Handlung” geschehen. Vorausgewählte Checkboxen, durch die man sich beispielsweise für einen Newsletter anmeldet, werden damit illegal. Als Zustimmung gilt nur, wenn der Konsument den Haken selbst setzen muss.

Soft-Opt-Ins oder einfache Opt-In-Verfahren sollten in Zeiten des DSGVO ebenfalls nicht mehr angewendet werden. Um zum Beispiel E-Mail-Listen aufzubauen, bietet das Double Opt-In die einzig wirklich rechtssichere Möglichkeit. Das bedeutet, dass zum Beispiel nach der Anmeldung für einen Newsletter, in der ersten Mail, diese noch einmal bestätigt werden muss. Die zweifache Zustimmung im eigenen CRM-System abgespeichert und schon ist man auf der sicheren Seite.

Doch Vorsicht: Die Zustimmung muss laut der neuen Verordnung für das Sammeln und Verarbeiten aller personenbezogenen Daten gegeben werden. Vergessen Sie also nicht “versteckte” und automatisierte Mechanismen wie beispielsweise das Vorschlagen von verwandten Produkten durch gesammelte Cookies. Auch dafür benötigen Unternehmen einen klaren Hinweis, dem der User aktiv zustimmen muss.

Transparenz gewährleisten

Die explizite Zustimmung ist jedoch nur dann von Nutzen, wenn der Kunde auch ausführlich und korrekt über den Ausmaß der gesammelten Daten und auch deren geplante Weiterverarbeitung informiert wurde. Laut Artikel 12 der DSGVO sind diese Angaben in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Diese Transparenz muss gemäß der DSGVO auch bei offline gesammelten Leads, zum Beispiel auf Messen oder Ausstellungen, gewährleistet sein. In der ersten Kontaktaufnahme via Mail, Newsletter oder Anruf muss der Kunde dann über die Datenschutzbestimmungen informiert werden.

Das Transparenz-Gebot ist eine Herausforderung an Marketer, doch es kann sich auch lohnen. Das Chartered Institute of Marketing hat ermittelt, dass mehr als die Hälfte aller Verbraucher Unternehmen keinen verantwortungsvollen Umgang mit ihren Daten zutrauen und Accenture hat herausgefunden, dass dieses Misstrauen für 80% aller Kunden ein Grund darstellt, keine Geschäfte mit dem entsprechenden Unternehmen einzugehen. Gesteigerte Transparenz kann also durchaus auch den Betrieb ankurbeln.

“Berechtigtes Interesse” gewährleisten

Im Online-Marketing wird der Nachweis des “berechtigten Interesses” in Zukunft genauso wichtig sein, wie die Einwilligung der User. Denn bei der Datenverarbeitung müssen Unternehmen dieses berechtigte Interesse ihrerseits nachweisen und es gegen das Interesse des Kunden, also des Werbe-Empfängers abwiegen. Hier zeigt sich eines der Hauptprobleme der neuen DSGVO: Die Formulierungen sind teilweise unklar. Wann genau das Interesse des Kunden höher ist als das des Werbetreibenden ist nicht explizit definiert. Deshalb sollten Firmen vor allem zu Beginn der neuen Gesetzgebung genau verfolgen, wie Gerichte in Streitfällen entscheiden und welche Präzedenzfälle gesetzt werden.

Doch die Gesetzesänderung bringt auch eine Chance mit sich: im Gegensatz zur bisherigen Rechtslage wird auch Direktwerbung in der DSGVO als berechtigtes Interesse der Unternehmen definiert.

Daten beim Nurturing effektiver Nutzen

Nicht nur beim Verarbeiten der Daten muss das berechtigte Interesse nachgewiesen werden. Bereits bei der Sammlung der Daten muss eine konkrete Begründung und ein Bezug zum Angebot vorliegen. In der Praxis heißt das, dass es nicht mehr erlaubt ist, die Telefonnummer eines potentiellen Leads zu erfragen, damit der Kunde auf bestimmte Contente zugreifen kann

Deshalb sollten alle Unternehmen Permission-Schranken für Premium-Content oder Subscribe-Boxen sorgfältig auf DSGVO-Konformität prüfen. Werden auch nur die Daten abgefragt, die notwendig sind?

Laut Artikel 7 dürfen zudem Verträge keine Einwilligung zur Datenabgabe voraussetzen, wenn diese für die Durchführung des Vertrags nicht erforderlich ist. Dieses “take it or leave it”-Prinzip war bisher Gang und Gäbe – jetzt ist es verboten.

Da mit der DSGVO die Erhebung von Daten auf Vorrat rechtlich nicht mehr möglich ist, müssen Marketer auch das Lead Nurturing anpassen. Daten müssen effektiver genutzt werden und es sollten Möglichkeiten bestehen, auch im späteren Verlauf der Lead-Pflege neue Daten abzufragen.  

Opt-Out einfacher gestalten

Neben der Transparenz beim Opt-In, ist auch die Erleichterung des Opt-Outs Pflicht. Laut DSGVO muss ein Kunde möglichst mit zwei Mausklicks beispielsweise aus Newsletter-Abos austreten können. Artikel 7 besagt, dass das “Unsubscriben” genauso einfach funktionieren soll, wie das abonnieren. Deshalb sind bei allen Werbemails neben  Datenschutzhinweise, Impressum jetzt auch Abmeldelink und gegebenenfalls Widerrufsmöglichkeit Pflicht.

Vorsicht: Das bereits erwähnte “Recht auf Vergessen” besagt auch, dass Unternehmen alle personenbezogene Daten löschen müssen, wenn ein Kunde von seiner Opt-Out-Option Gebrauch macht, sofern kein legitimer Grund zur Speicherung vorliegt.

Zusatz-Tipp: Marketing-as-a-Service

Der “Global Databerg Report” von Veritas ermittelte, dass etwa die Hälfte der deutschen Unternehmen nicht für die DSGVO gerüstet fühlt. Wer unsicher ist, sollte darüber nachdenken, ob es sich lohnt, das Marketing auszulagern. Rechtlich ist das kein Problem, solange die Kunden auf der Website darüber informiert werden und zur eigenen Absicherung ein Auftragsverarbeitungs-Vertrag mit dem Dienstleister Rechtsicherheit gibt.  

Besonders für Start-Ups oder kleine Firmen kann sich diese Investition auszahlen. Laut einer Bitkom-Befragung haben nur 9 Prozent aller Start-Ups ihre Vorbereitungen für die Umsetzung der DSGVO abgeschlossen, während 32 Prozent damit noch nicht einmal angefangen haben. Um das aufstrebende Unternehmen vor rechtlichen Problemen zu schützen, könnte das outsourcen von Marketing-Dienstleistung die passende Lösung sein

————-

Disclaimer: Dieser Text wurde nach bestem Wissen und Gewissen erstellt. Er stellt jedoch weder Rechtsberatung noch kann er eine solche ersetzen.

Möchten Sie über die wichtigsten Content Marketing Trends der nächsten Jahre erfahren? Dann laden sie sich jetzt unser kostenloses E-Book „Die wichtigsten Content Marketing Trends“ herunter.

Der Beitrag Leads generieren und pflegen in Zeiten der DSGVO erschien zuerst auf contentmanager.de.

DSGVO verlangt größere Transparenz und stärkt die Rechte Betroffener

Die Informationspflichten der Unternehmen sind gewachsen. Die bisherige Datenschutzerklärung wird oft nicht mehr ausreichen. Sie muss problemlos zugänglich und in einer sehr klaren, präzisen und leicht verständlichen Sprache abgefasst sein. Neu ist das Recht auf Datenübertragbarkeit. Neu sind auch diverse Dokumentations-, Melde- und Rechenschaftspflichten. Ganz wichtig ist zudem, dass sich die Unternehmen auch für die Verarbeitungsprozesse bezüglich der Webseite die Einwilligung des Betroffenen einholt. Überdies besteht ein Kopplungsverbot bei Einwilligungen.

Welchen neuen Auskunfts-, Melde- und Informationspflichten die Unternehmen nachkommen müssen, welche Rechte die Betroffenen haben und wie sich Datenschutzerklärungen rechtskonform formulieren lassen – dafür gibt es bereits zahlreiche Ratgeber. Im Folgenden liegt der Fokus daher vor allem auf den technischen Aspekten eines DSGVO-konformen Internetauftritts.

Wo Webseitenbesucher ihre individuellen Spuren hinterlassen

Wie bereits erläutert zählen IP-Adressen zu persönlichen Daten und werden bei jedem Seitenaufruf abgefragt und registriert. Bei vielen ihrer Aktivitäten geben die Nutzer selbst persönliche Daten preis. Gängige Beispiele für Datenspeicherung und -Übertragung aufgrund eigener Tätigkeiten sind: Kommentare abgeben, Formulare ausfüllen, Liken und Teilen, Anmeldungen und Registrierungen vornehmen, Dateien hoch- oder herunterladen und Live-Chats nutzen.

Was passiert seitens der Betreiber?

Weniger offensichtlich sind zumeist Datennutzungen, die durch Tätigkeiten des Betreibers verursacht werden. Dazu gehören Themen wie die Reichweitenmessung, die Integration von Social Media-Plugins, der Einsatz von Werbe- und Marketingfunktionen wie Adwords, Remarketingtechnologien oder die Erstellung von Nutzerprofilen zur Personalisierung der Inhalte.

Nun kommen auch noch Dritte ins Spiel

Im Rahmen vieler der genannten Maßnahmen werden auch Daten an Dritte zur Speicherung und Verarbeitung übermittelt, teilweise sogar, ohne dass dies den Betreibern der Webseiten selber wirklich bewusst ist. Das passiert zum Beispiel, wenn die Unternehmen cloudbasierte E-Mail-Marketing-Dienste, etwa für einen Newsletterversand, einsetzen und deren Formulare auf der Webseite eingebunden haben.

Verhältnis Webseitenbetreiber/Hosting-Anbieter

Sobald ein Unternehmen seine Seiten auch nur auf einem fremden Server hostet, handelt es sich bereits um eine Datenübertragung und -Verarbeitung. Da es nicht möglich ist, sich von jedem Internetbesucher die Zustimmung für diese Datenübertragung zu holen, wird der Webhoster im Sinne der DSGVO nicht mehr als außenstehender Dritter eingestuft, sondern gehört zum Verantwortungsbereich des Seitenbetreibers. Es ist daher dringend geboten, dass das Unternehmen die Auftragsverarbeitung mit seinem Dienstleister vertraglich regelt.

Fahrplan zum DSGVO-konformen Internetauftritt

Unternehmen, die sich noch nicht mit den Auswirkungen der DSGVO auf den Betrieb ihrer Corporate Websites beschäftigt haben, sollten sich umgehend darum kümmern:

A         Den Ist-Zustand aufnehmen

Trotz aller Eile im Hinblick auf den Stichtag im Mai sind eine detaillierte Aufgabenbeschreibung und die Festlegung, wer für welche Themenbereiche verantwortlich ist, das A und O für eine effiziente Projektabwicklung. Die einzelnen To-dos können erst nach kriminalistischer Kleinarbeit identifiziert werden: Für jede Seite und jede Unterseite muss ganz klar sein, welche Funktionen und Tools dort personenbezogene Daten erfassen, speichern und verarbeiten. Zudem sollte man genau wissen, auf welchen Seiten welche Daten anfallen, die an externe Unternehmen gehen.

B          Datenverarbeiter in die Pflicht nehmen

Mit jedem Drittanbieter, dem das Unternehmen Daten zur Speicherung oder Weiterverarbeitung zur Verfügung stellt, ist ein Vertrag zur Auftragsdatenverarbeitung abzuschließen, der den Vorgaben der DSGVO entspricht. Neu ist, dass die Auftragsverarbeitung auch außerhalb der EU erfolgen kann.

C         Die Web-Anwendung fit machen

Last but not least muss das Unternehmen – wo nötig – noch die technische Umsetzung auf der Webseite anpassen. Dabei sollte man gleich noch einmal kritisch prüfen, ob die Zustimmungstexte in allen Formularen den Anforderungen der DSGVO entsprechen und ob die Nutzer hinreichend auf ihre Rechte hingewiesen werden.

Seite für Seite, Tool für Tool

1. Kontaktformulare, Kommentare, Anmeldungen, Registrierungen

Grundsätzlich müssen sich Nutzer auf Vertraulichkeit und Integrität verlassen können. Dem Unternehmen obliegen umfassende Informationspflichten.

To-do: Die Daten werden für die Übertragung verschlüsselt, das heißt Formulare sind über eine sichere Verbindung mittels https zu übermitteln. Kommen Dritte als Dienstleister zum Zuge – wie möglicherweise beim exemplarisch genannten Newsletter, dann sind die Nutzer explizit darauf hinzuweisen. Zudem ist mit dem Datenverarbeiter, wie bereits oben ausgeführt, ein entsprechender Vertrag zu schließen.

2. Share- und Like-Buttons

Die Nutzer müssen der Übertragung personenbezogener Daten an soziale Netzwerke explizit zustimmen. Das heißt, dass Daten nicht schon beim Aufruf der Webseite an Facebook & Co. übertragen werden dürfen.

To-do: Der Nutzer muss immer zuerst mittels Klick sein Okay geben, bevor die Datenübertragung möglich ist. Als technische Lösung dafür ist c’t Shariff geeignet.

3. Up- und Downloads

Das Herunter- und Hochladen von Dateien obliegt den gleichen datenschutzrechtlichen Rahmenbedingungen wie Kommentarfunktionen und Kontaktformulare: Nutzer-Information und -Zustimmung.

To-do: Der Nutzer ist vorab über die Datenübermittlung und –weiterverarbeitung zu informieren und muss ihr ausdrücklich zustimmen.

4. Tracking-Tools

Tracking-Tools, wie beispielsweise Google Analytics und Piwik, zeichnen das Nutzerverhalten genauestens auf. Deshalb muss ein Webseitenbetreiber den Nutzer über den Umfang, den Zweck und die Art der Datensammlung aufklären und eindeutig auf sein Widerspruchsrecht hinweisen.

To-do: Damit Nutzer einen Widerspruch ausüben können, kann das Unternehmen einen Link zu einem Deaktivierungs-Add-on schalten oder eine Opt-Out-Funktion einrichten. Das entbindet es jedoch nicht von den oben beschriebenen Informationspflichten. Natürlich muss es via Anonymisierungsfunktion auch dafür sorgen, dass der Programmcode des Trackingprogramms die IP-Adressen nur gekürzt erfasst. Nicht vergessen: Vertrag zur Auftragsdatenverarbeitung mit dem Dienstanbieter abschließen!

5. Live-Chats

Live-Chats nutzen häufig externe, cloudbasierte Tools wie SmartSupp oder Zendesk. Diese Programme erfassen jedoch ebenfalls Nutzerdaten, etwa die IP-Adresse. Darüber hinaus tragen manche Chat-Teilnehmer persönliche Daten in den Chat oder vorgelagerte Fragebögen ein, die dann auf den Servern des Anbieters verbleiben.

To-do: Der Nutzer ist wiederum umfassend zu informieren, bevor er in den Live-Chat eintreten kann. Das Unternehmen muss außerdem an dieser Stelle eine Möglichkeit zum Abbruch schaffen.

6. Cookies

Der Einsatz von Cookies ist in jedem Fall anzugeben. Unternehmen sollten in diesem Zusammenhang beachten, dass viele Content Management-Systeme Cookies bereits standardmäßig einsetzen.

To-do: Empfehlenswert ist der Einsatz eines Cookie-Banners, das beim ersten Aufruf der Webseite erscheint und deutlich zu sehen ist. Es darf jedoch nicht so platziert sein, dass es Pflichtangaben wie etwa das Impressum oder den Link dazu verdeckt.

7. Weitere Marketing- und Werbefunktionalitäten

Mit der Optimierung des Nutzererlebnisses durch gut ausgewählte, individualisierte Inhalte sowie durch relevante Werbeanzeigen möchten die Betreiber Besucher gewinnen und an sich binden. Dafür kommen verschiedenste Programme wie Google Adwords und Adsense, Remarketingfunktionen, Reverse IP Lookup oder Tools für A/B-Testing zum Einsatz. Auf Basis erfasster Daten entstehen zudem häufig detaillierte Nutzerprofile, die personalisierte Inhalte ermöglichen. Hier ist eine Einzelfallbewertung gefragt! Die alleinige Information der Nutzer ist unter Umständen nicht ausreichend, sondern es bedarf seiner unmissverständlichen Einwilligung.

To-do: Das Unternehmen sollte genau prüfen, welche Marketingtools und Werbefunktionen es auf seinen Seiten nutzt und sich beraten lassen, was dies im Hinblick auf die DSGVO bedeutet.

Sonderfall Kids

Richten sich die Internetseiten an Kinder, dann fallen aufgrund der besonderen Schutzwürdigkeit zusätzliche Regeln an. Dazu gehört unter anderem, dass es in diesem Fall auch die Erziehungsberechtigten sind, die der Datenverarbeitung zustimmen müssen.

Ich habe fertig?

Mit der einmaligen Anpassung der Unternehmensseiten ist es jedoch nicht getan. Werden neue Seiten angelegt oder Webseitenfunktionen und Apps ergänzt, müssen Datenschutzaspekte nach DSGVO immer eine mit-entscheidende Rolle spielen. Die Unternehmen sind überdies gut beraten, auch die noch folgende ePrivacy-Verordnung im Auge zu behalten. Diese wird sich vorrangig um den Schutz der Privatsphäre in der digitalen Welt drehen. Weitere Neuregelungen für das Betreiben vom Webseiten sind also vorprogrammiert.

Kostenloses Webinar: Weitere Tipps und Informationen

Für praktische Fragen rund um eine DSGVO-konforme Internetpräsenz führt die CURRY Innovations GmbH am 9. Mai 2018 ein Webinar durch. Als Experte für die DSGVO und den damit verbundenen Rechtsrahmen in Deutschland steht Michael Bander bereit. Er ist externer, TÜV-zertifizierter Datenschutzbeauftragter und Datenschutzauditor. Zu technischen Themen geben Nikolaus Niedermeier und Andreas Öttl, Spezialisten für Webtechnologien und E-Business-Systeme, Auskunft.

Bitte hier klicken, um sich anzumelden!

Der Beitrag Was die DSGVO von Unternehmenswebseiten verlangt: Datenschutzkonforme Umsetzung unter technischen Aspekten erschien zuerst auf contentmanager.de.

Dabei wurden 50 Onlineshops mit einer Reichweite von mehr als zwei Millionen Besuchern analysiert. Als ein Anzeichen dafür, dass ein Shop nicht DSGVO-konform ist, nennt Usercentric dabei beispielsweise, dass nicht die ausdrückliche Einwilligung für das Speichern seiner Daten vom Nutzer eingeholt werde. Oftmals gäbe es zwar eine Option dafür, aber die Einstellungen für das Speichern und Weiterverwenden dieser Daten sind für den Kunden nur schwer auf der Webseite zu finden. Auch die Technologie anderer Unternehmen, etwa der Facebook-Like-Button, können gegen die DSGVO verstoßen: Diese werden geladen und geben Daten weiter, ohne dass der Nutzer es merkt und zustimmen kann.

„Viele Online-Shops sind sich der vollen Tragweite der neuen Verordnung nicht bewusst. Da sind auch die Großen keine Ausnahme. Sie organisieren zwar intern die erforderlichen Prozesse, vergessen dabei aber, dass die neuen Regelungen auch die Online-Präsenz betreffen,“ erklärt Mischa Rürup, Gründer von Usercentrics. „Das ist fatal, denn die Abmahnanwälte stehen schon in den Startlöchern und der Nachweis eines Verstoßes ist relativ einfach durchzuführen.“

Der Beitrag Top-50 Onlineshops größtenteils nicht DSGVO-konform erschien zuerst auf contentmanager.de.