Ein Versuch, das Thema für kleine und mittlere Unternehmen zu strukturieren
Was bedeutet die Europäische Datenschutz-Grundverordnung „EU-DSGVO“ für unser Online-Marketing?
Gleich vorweg: Es gibt Themen, mit denen beschäftigt man sich im Unternehmensalltag durchaus gerne. Die DSGVO gehört für mich persönlich definitiv nicht dazu!
Die DSGVO und ich: Keine Liebe auf den ersten Blick
Trotzdem gibt es eine starke Motivation, mich mit dem Thema auseinanderzusetzen. Wir kennen das ja alle: Wenn man sich nicht intrinsisch motivieren kann, braucht es entsprechend starke äußere Faktoren. Und die fallen hier durchaus ins Gewicht! Schließlich drohen jedem, der sich und sein Unternehmen nicht DSGVO-fit macht, gigantisch hohe Bußgelder. Und weil es gleichzeitig eine engmaschigere Überprüfung als bisher geben soll, steigt das Risiko, erwischt zu werden.
Die DSGVO betrifft nun einmal alle. Auch die Kleinen. So wie mich.
Wie gemein! Verbringe ich als Einzelunternehmerin doch eh schon einen unerträglich hohen Prozentsatz meiner Zeit mit unproduktiven, verwalterischen, bürokratischen Tätigkeiten. Und jetzt kommt noch was oben drauf. Gemein, gemein, gemein! Doch STOPP – Jammern und Mitleidheischen sind wohl keine Argumente, die ich vor einem Datenschutzgericht in die Waagschale werfen kann.
Mir hilft letztlich ein kleiner Perspektivenwechsel von der Unternehmerin zur Privatperson:
Habe ich mich nicht fürchterlich aufgeregt, als ich 2014 direkt betroffen war, als das Bundeskriminalamt einen Datensatz mit Millionen ausgespähter Zugangsdaten gefunden hatte? Habe ich mich nicht Ostern erst echauffiert, weil mich ein Online-Shop, bei dem ich einmal etwas bestellt habe, daraufhin täglich (!) und ohne meine Zustimmung mit Newslettern bombardiert hat, die ich nur äußerst kompliziert wieder loswerden konnte? Und sträuben sich nicht sogar bei mir, die ich ja als Dialogmarketingexpertin durchaus die Vorteile von zielgerichtetem, datengestützten Marketing propagiere, alle Nackenhaare beim bloßen Gedanken, jemand könnte meine Telefonate oder Messenger-Chats heimlich auslesen, um mir dann auf anderen Kanälen passende Werbung zu präsentieren oder meinen mutmaßlichen physischen oder psychischen Zustand an die Krankenkasse weiterzugeben?
Wenn ich also als Privatperson mein Recht auf Datenschutz hochhalte, dann muss ich auch in meiner Rolle als Unternehmerin meinen Beitrag dazu leisten. Liebe wird es trotzdem nicht, Sympathie ist auch was anderes. Aber ich kann mein Gegenüber, diese DSGVO, nun wenigstens akzeptieren und respektieren.
Mein Ziel lautet also:
Erstmal Struktur in die Sache bringen. Zugegebenermaßen ist es meine Struktur, die eben meiner Herangehensweise an das Thema entspricht. Das muss nicht unbedingt jedem Leser entgegenkommen. Ich hoffe dennoch, dass der eine oder andere diese ausführlichen Ausführungen schätzt und einen Nutzen für sich daraus ziehen kann.
Ich lege meinen Fokus dabei ganz klar auf die Auswirkungen der DSGVO aufs Online-Marketing. Das ist keine Willkür, sondern resultiert schlicht daraus, dass sich dort zum einen für mich selbst und meine Firmen die wichtigsten Handlungsfelder ergeben und sich zum anderen die Fragestellungen meiner Kunden auf diesen Bereich beziehen.
Bevor es endlich losgeht, noch ein wichtiger Hinweis
Da man heute leider aber auch immer wieder damit rechnen muss, dass es in diesem wilden, weltweiten Netz Personen gibt, die einem Böses wollen, kommt hier der obligatorische Disclaimer:
Die folgenden Ausführungen sind keine Rechtsberatung! So etwas darf, kann und will ich auch gar nicht geben. Ich erhebe mit meinen Ausführungen keinen Anspruch auf Richtigkeit und schon gar nicht auf Vollständigkeit.
Heißt: Für die korrekte Umsetzung der datenschutzrechtlichen Anforderungen und für rechtssichere Antworten lassen Sie sich bitte von einem Anwalt oder Datenschutzbeauftragten beraten.
Die Themen dieses (zugegeben sehr langen) Beitrags im Überblick
- Wichtige Fakten rund um die EU Datenschutz-Grundverordnung
- Schritt für Schritt zur Umsetzung der DSGVO
- Datenschutz für den Webauftritt
- Datenschutz im E-Mail-Marketing
- Datenschutz für Facebook-Unternehmensseiten und Facebook-Ads
- Mein persönliches DSGVO-Fazit
Wichtige Fakten rund um die EU Datenschutz-Grundverordnung
Historie: BDSG wird DSGVO oder was?
Novellierungen der Datenschutzgesetzgebung sind für mich grundsätzlich nichts Neues, bin ich doch seit fast einem Vierteljahrhundert im Dialogmarketing beheimatet.
Die Branche traf es beispielsweise 2009, als die BDSG-Novelle 2009 drohte, ganze Geschäftsmodelle im klassischen Dialogmarketing bis ins Mark zu erschüttern. Irgendjemandem gelang es dann, Ausnahmetatbestände zu erwirken und es war fast alles gut.
Kurze Zeit später bereits begann die EU, an der DSGVO zu arbeiten. Einen ersten Entwurf gab es bereits 2012, beschlossen und verabschiedet wurde das Ding am 24.5.2016. Es war also an sich genug Zeit, die man seither theoretisch hätte nutzen sollen. Denn 2 Jahre später, also am 25.5.2018 ist jetzt definitiv Schluss mit lustig: Die DSGVO ist in allen ihren Teilen verbindlich und gilt ab diesem Datum unmittelbar in jedem Mitgliedstaat. Sprich: Die DSGVO geht am 25. Mai 2018 ohne Übergangsfrist in aktives deutsches Recht über.
Ich habe mich indes gefragt: Was wird mit dem BDSG? Ersatzlos gestrichen? Aber nein! Das „BDSG (neu) 2018“, also wie der Name schon vermuten lässt, eine neue Fassung des BDSG, wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen.
Moment mal: Neben der DSGVO sind doch, so hatte ich zumindest mehrfach gelesen, nationale Regelungen nicht zulässig. Sprich: Es ist nicht möglich, Dinge strenger oder laxer zu regeln als in der DSGVO. Allerdings erlaubt die DSGVO nationale, spezifischeren Vorschriften, wie sie dann im BDSG-neu zu finden sind, für einige Dinge ausdrücklich. Das passiert mittels der sogenannten Öffnungsklauseln, die in einzelnen Bestimmungen der DSGVO vorsehen, dass beispielsweise der Gesetzgeber in Deutschland spezifischere Vorschriften vorsehen kann, sofern sie sich an einen definierten Handlungsspielraum halten. Ich gehe also mal davon aus, dass das BDSG-neu keine Regelungen enthält, mit denen dieser Handlungsspielraum überschritten wird und damit davon, dass ab 25.5.2018 auch all das, was im BDSG-neu steht, für alle deutschen Unternehmen gilt. Es lohnt also wohl auch ein Blick in diese Texte, denn im BDSG-neu werden beispielsweise zusätzlich zu den Bußgeldern, die die DSGVO für Verstöße vorsieht, strafrechtliche Sanktionen ausgerufen, die für bestimmte Verstöße Freiheitsstrafen von bis zu drei Jahren vorsehen. Außerdem wurden wohl einige Verstöße ergänzend aufgenommen, die in der DSGVO nicht vorgesehen sind.
Vieles bleibt!
Beruhigend war für mich, im Sumpf der ganzen Panikmache doch an der einen oder anderen Stelle zu lesen, dass die Datenschutzgesetzgebung in Deutschland schon immer recht strenge Regeln gesetzt hat. Wer sich bisher an die Gesetze und dort verankerten Grundsätze gehalten, den Datenschutz also ernst genommen hat, hat schon eine solide Basis, auf der er jetzt aufsetzen kann.
Ein Beispiel ist der Grundsatz der Datensparsamkeit, hinter dem der Grundgedanke steckt, dass für die Datenverarbeitung nur die personenbezogenen Daten gesammelt werden dürfen, die für den jeweiligen Dienst unbedingt notwendig sind. Mein Paradebeispiel hierfür: Bei der Newsletteranmeldung darf das einzige Pflichtfeld die E-Mail-Adresse sein.
Um gleich beim E-Mail-Marketing zu bleiben, das in Deutschland von jeher zum am strengsten reglementierten Marketing-Instrument gehörte: E-Mail-Marketing ist Permission-Marketing und ohne die vorherige Zustimmung des Empfängers eine unzumutbare Belästigung – unabhängig davon, ob ich eine B2B- oder B2C-Zielgruppe habe. Ohne rechtssicheres Opt-in war E-Mail-Marketing also auch in der Vergangenheit nicht möglich – zumindest nicht, wenn man als Unternehmen gesetzeskonform agieren wollte. Die DSGVO stellt hierzu umfassend klar: Eine explizite Einwilligung in jegliche Datenverarbeitung ist grundsätzlich nötig, außer es liegt eine gesetzliche Erlaubnis vor.
Wer personenbezogene Daten verarbeitet, musste schon immer für die Datensicherheit einstehen. Dies geschieht durch geeignete technische und organisatorische Maßnahmen, die den Schutz vor Datenmissbrauch ausreichend gewährleisten können. Im Zweifel werden hier die Regeln aus dem IT-Sicherheitsgesetz als Stand der Technik herangezogen.
Kleiner Ausflug in die Umsetzung der Datensicherheit bei Detzel Marketing gefällig?
Für mich als kleine Unternehmerin bedeutete das Thema Datensicherheit, dass ich meine Geschäftslaptops auf Windows 10 Professional aufgerüstet habe, da dort ein Bitlocker für die Verschlüsselung aller Daten auf der Festplatte integriert ist.
Mein Büro liegt im Privathaus. In der Vergangenheit habe ich daher fürs WLAN einfach den WLAN-Router der Telekom (Speedport W 921V) für alle Zugänge genutzt, der zwar durch Firewall, Passwörter und MAC-Filterung in meinen Augen supersicher war, allerdings als B2C-Produkt der Telekom nicht dem Stand der Technik entspricht, also auch nicht DSGVO-konform ist. Daher betreibe ich nun Netztrennung, d.h. ich habe einen eigenen WLAN-Access-Point für die geschäftlichen Devices sowie eine Clavister-Firewall und außerdem einen auf KI basierten Virenscanner.
Fragen Sie besser nicht, was allein diese Investition in Datensicherheit an IT-Budget verschlungen hat, das ich eigentlich gar nicht habe…
Eine gewisse Transparenz bei der Datenverarbeitung war schon immer vorgesehen und verpflichtend. Allerdings wird es künftig um mehr Transparenz und mehr Kontrolle gehen, die der einzelne über den Umgang mit seinen Daten erhalten wird.
Auch bisher ergab sich aus dem Bundesdatenschutzgesetz (BDSG, § 4f) für zahlreiche Unternehmen die Pflicht, einen Datenschutzbeauftragten zu bestellen. Ich kann nicht beurteilen, ob durch die Regelungen in der DSGVO nun mehr Organisationen unter diese Verpflichtung fallen.
Etliches ändert sich!
Ohne schon auf die einzelnen Dinge, die man als Unternehmer anpacken und anpassen muss, einzugehen, habe ich mir überlegt, in welchen großen Punkten die DSGVO eigentlich Änderungen mit sich bringt und bin zu folgender Aufstellung gekommen:
Auskunftsrecht
Das Auskunftsrecht (welche Daten werden zu welchen Zwecken verarbeitet und an welche Dritten auf welcher Grundlage weitergegeben) ist deutlich umfangreicher und eine angeforderte Auskunft muss unverzüglich erfolgen. Man sollte also idealerweise nur in die Schublade greifen bzw. ein Knöpfchen drücken müssen, um diesem Auskunftsrecht Genüge tun zu können.
Bußgelder für Verstöße
Die Bußgelder für Verstöße steigen drastisch. Es ist von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes eines Unternehmens (je nachdem was höher ist) die Rede. Die DSGVO setzt also ganz klar auf Abschreckung und den daraus entstehenden Umsetzungsdruck. Wie damit der „Grundsatz der Verhältnismäßigkeit“ als rechtsstaatliches Prinzip einhergeht, ist mir allerdings ein Rätsel. Eventuell wird sich die Waage von Justitia ja in Fällen, in denen ein Unternehmen zwar dsgvo-willig war, aber einfach nicht alles zu hundert Prozent perfekt gemacht hat, doch auch etwas dem angeklagten Unternehmen zuneigen?
Recht auf Vergessenwerden
Das „Recht auf Vergessenwerden“ ist vielzitiert und neu in der DSGVO. Sind bestimmte Voraussetzungen gegeben, müssen personenbezogene Daten unverzüglich gelöscht werden. Zu diesen Voraussetzungen zählt nicht nur Widerruf eines Nutzers, sondern beispielsweise auch die Tatsache, dass Daten für die Zwecke, zu denen sie erhoben wurden, nicht mehr nötig sind. Selbstverständlich gibt es Ausnahmen rechtlicher und gesetzlicher Natur oder auch öffentliche Interessen, die dem Recht auf Vergessenwerden entgegenstehen. Wichtig dabei ist, dass eine Datenlöschung auch eine tatsächliche Löschung sein muss – die Daten müssen so vernichtet bzw. im Fall einer elektronischen Speicherung so gelöscht werden, dass sie nicht wiederhergestellt werden können.
Umkehr der Beweislast
Eine aus meiner Sicht wesentliche Änderung ist auch die Umkehr der Beweislast. Bislang mussten die Datenschutzbehörden Verstöße gegen den Datenschutz nachweisen. Wird ein Unternehmen jetzt der rechtswidrigen Datenverarbeitung beschuldigt, muss es belegen, dass es sich an die Spielregeln gehalten und alles richtig gemacht hat. Das funktioniert in einem akuten Streitfall nur, wenn man solche Nachweise per se jederzeit greifbar hat, also die Datenverarbeitungsprozesse dokumentiert sind.
"Pirvacy by Design" und "Privacy by Default"
m Art. 25 DSGVO werden mit „Privacy by Design“ und „Privacy by Default“ zwei Prinzipien gesetzlich festgeschrieben, die eigentlich recht einfach und einleuchtend sind:
- „Privacy by Design“: Bereits bei der konzeptionellen Entwicklung von Produkten und Verfahren (z. B. Software oder Hardware) muss man Datenschutzvorschriften auf dem Radar haben und entsprechend berücksichtigen.
- „Privacy by Default“: Datenschutzfreundliche Voreinstellungen sind Pflicht, die höchste Datenschutzstufe wird quasi zum Standard ernannt.
Berechtigte Interessen
Zum Abschluss noch ein Punkt, der mich zuversichtlich stimmt und bei all den schlechten Nachrichten über die DSGVO nicht vergessen werden sollte: Es gibt in der DSGVO den expliziten Hinweis auf „berechtigte Interessen“. Das heißt, es hat in unklaren Fällen eine Interessenabwägung stattzufinden. Und nachdem das berechtigte Interesse eines Unternehmens ist, wirtschaftlich am Markt zu agieren, kann diese Abwägung der unterschiedlichen Interessen meiner Meinung nach in der Argumentation bei einem Streitfall durchaus hilfreich sein.
Schritt für Schritt zur Umsetzung der DSGVO
Bevor ich auf die Details für die Online-Medien eingehe, will ich noch einen Überblick über die grundlegenden Aufgaben geben und die einzelnen Schritte definieren, mit denen man aus meiner Sicht in die Umsetzung der DSGVO einsteigen sollte.
1. Arbeitgeberstatus prüfen
Wenn ich Arbeitgeber bin, muss ich mich auch mit speziellen Vorgaben zum Arbeitnehmer-Datenschutz beschäftigen. Diese klammere ich hier komplett aus und freue mich exakt in dem Moment, in dem ich diese Zeilen schreibe, dass ich seit einem Jahr nicht mehr mit Minijobbern arbeite. Die Gründe dafür stehen zwar auf einem anderen Blatt Papier und haben absolut nichts mit der DSGVO zu tun, erleichtern mir aber jetzt das Leben. Juhu!
2. Bestellpflicht eines Datenschutzbeauftragen (DSB) prüfen
Wer hier nur die entsprechenden Regelungen zum Datenschutzbeauftragten in Art. 37 der DSGVO liest, könnte das Thema schnell für sich abhaken. Denn daraus ergibt sich eine Verpflichtung, einen DSB zu bestellen, nur dann, wenn die Kerntätigkeit des Unternehmens in der Verarbeitung besonders sensibler Daten (wie Gesundheitsdaten, politische Meinungen etc.) besteht oder wenn Art, Umfang oder Zweck der Datenverarbeitung eine systematische Überwachung erforderlich machen (z. B. weil Scoring- und Profiling-Maßnahmen eingesetzt werden).
Allerdings lohnt hier zusätzlich ein Blick ins BDSG-neu, weil dort der deutsche Gesetzgeber in § 38 ergänzende Regelungen getroffen hat, wann privatwirtschaftliche Unternehmen einen Datenschutzbeauftragten benennen müssen – die oben bereits erwähnen Öffnungsklauseln lassen grüßen! Faktisch müssen Unternehmen also ab 10 Mitarbeitern einen DSB bestellen. Und für dessen Tätigkeitsfeld gibt es jetzt klare Regelungen, deren Umfang im Vergleich zu den bisherigen Anforderungen gestiegen ist und die man wiederum in der DSGVO nachlesen darf. Ob der DSB intern bestellt wird oder ob man einen externen DSB beauftragt, muss fallweise geklärt werden. Beides ist möglich, beides hat Vor- wie Nachteile.
Für mich ergibt sich keine Verpflichtung, einen DSB zu bestellen, daher kann ich einen Haken an dieses Thema machen.
3. Schritt für Schritt die DSGVO umsetzen
Ab hier ist dann aber jeder auch noch so kleine Betrieb, der irgendwo etwas mit personenbezogenen Daten zu tun hat (und die müssen mitnichten digital vorliegen!), in der Pflicht. Also praktische jeder vom Einzelunternehmen über den Verein und das KMU bis hin zum Großkonzern.
Man darf die folgenden Schritte durchexerzieren:
1. Verzeichnis der Verarbeitungstätigkeiten erstellen
Die Verarbeitungstätigkeiten, die im eigenen Unternehmen stattfinden, lassen sich in der Regel recht leicht, wenn auch oft mit etwas Fleißarbeit verbunden, zusammentragen.
Aber hier gilt es außerdem, auch alle Drittunternehmen zu identifizieren, die in unserem Auftrag personenbezogene Daten verarbeiten. Das kann unser Lohnbuchhaltungsbüro sein, aber auch ein Clouddienstleister, denn auch Daten in einer Cloud zu speichern entspricht einer Auftragsverarbeitung.
Gerade im Hinblick auf die Online-Medien kommen hier meist deutlich mehr Dritte zusammen, als uns im Unternehmen selbst bewusst ist. Daher hilft es – im Hinblick auf die eigene Website – zunächst einmal den Trackingstatus zu ermitteln. Es ist aus meiner Sicht (zumindest auf mein Know-how und mein Zeitbudget bezogen) unmöglich, jede einzelne Seite manuell zu durchforsten und dabei jede verwendete Bibliothek, jedes Tool von Drittanbietern und jedes externe Script zu identifizieren. Man müsste dafür jeden einzelnen Quellcode nicht nur anschauen, sondern auch noch verstehen!).
Daher empfehle ich weiter unten noch, diese Prüfung outzusourcen und dann mit den Ergebnissen weiterzuarbeiten.
2. Abschluss von Auftragsverarbeitungsverträgen (AVV)
Mit allen identifizierten Drittunternehmen, zu denen personenbezogene Daten nicht nur übermittelt werden, sondern die diese auch in unserem Auftrag verarbeiten, muss anschließend ein „Vertrag zur Auftragsverarbeitung“ abgeschlossen werden.
Damit schafft man nämlich die gesetzlich notwendige Erlaubnisgrundlage für die Weitergabe der Daten an Dritte zur Verarbeitung.
3. Aktualisierung der Datenschutzerklärung
Die Informationen in der Datenschutzerklärung müssen entsprechend den Erkenntnissen aus den ersten Schritten an die neuen Anforderungen angepasst werden.
Standard-Datenschutz-Generatoren, die man hierfür in der Vergangenheit meinem Empfinden nach recht gut verwenden konnte, eignen sich nur noch eingeschränkt. Schließlich enthält jede Website ganz individuelle Elemente, die auch individuelle Hinweise in der Datenschutzerklärung nach sich ziehen.
Daher kann ich persönlich meinen Kunden für diesen Fall nur empfehlen, eine kostenpflichtige Lösung in Anspruch zu nehmen – so wie ich selbst es für meine eigene Website auch getan habe. Zu dieser Lösung schreibe ich weiter unten noch etwas.
4. Weitere notwendige Anpassungen vornehmen
Es kann durchaus sein, dass man in den vorangegangenen Schritten festgestellt hat, dass an anderen Stellen Anpassungen nötig sind, weil beispielsweise ein im Webauftritt eingesetztes Facebook-Plugin schlicht nicht DSGVO-ready ist. Oder dass man den E-Mail-Dienstleister oder den Webhoster wechseln möchte, weil dieser nicht die datenschutzrechtlich notwendige Unterstützung bietet.
Alle diese Anpassungen nimmt man idealerweise noch vor dem Stichtag 25.5.2018 vor.
5. Dokumentation des Status Quo
Irgendwo habe ich gelesen, dass man alles via Screenshots und mit Zeitstempel dokumentieren sollte.
Das klingt für mich sehr vernünftig, weil man dann Kontaktformulare, E-Mail-Opt-In-Prozesse, Datenschutzerklärungen und ähnliches im Streitfall jederzeit hervorziehen und damit seiner Nachweispflicht zeitnah nachkommen kann. Und wir erinnern uns, dass – wie oben geschildert – die Beweislast ja jetzt bei den Unternehmen liegt.
6. Sich auf die Schulter klopfen
Wenn man alle Schritte durch hat, hat man mit Sicherheit viel Fleißarbeit geleistet, mehr Budget verbraucht als die Portokasse hergibt und vermutlich auch die einen oder anderen Nerven auf der Strecke gelassen.
Deshalb darf man auf gar keinen Fall vergessen, mit einem guten Glas Wein auf die DSGVO anzustoßen, um sich dann optimistisch und gut gerüstet wieder an das eigentliche Kerngeschäft zu machen.
Datenschutz für den Webauftritt
Es klang vorhin schon an: Eine Webseite verarbeitet wahrscheinlich mehr personenbezogene Daten als jede andere Stelle einer Firma. Und es sind häufig mehr externe Dritte mit im Boot als man gedacht hat.
So ist es heute nahezu unmöglich, eine Webseite zu besuchen, ohne seine IP-Adresse zu übertragen. Zugriffe von Nutzern werden vom Webhoster in einer Server-Log-Datei protokolliert und meist auch mit einem Webtracking-Tool erfasst.
Nicht ohne Grund starte ich meine Ausführungen daher mit den datenschutzrechtlich relevanten Themen, die die Website eines Unternehmens betreffen.
Webhoster
Da der Webhoster in der Regel personenbezogene Daten auf den Servern speichert und / oder verarbeitet, muss mit diesem gemäß Art. 28 DSGVO ein Vertrag zur Auftragsverarbeitung geschlossen werden.
Wenn der Webhoster zugleich auch E-Mail-Provider ist und Sie also nicht nur den Webserver, sondern auch den Mailserver nutzen, auf dem dann die gesamte Kundenkorrespondenz inkl. Bestellvorgängen liegt, wird das Thema noch offensichtlicher.
Viele Webhosting-Anbieter stellen diesen Vertrag im Kundenbereich zur Verfügung. Gültig wird dieser aber natürlich erst, wenn er von Ihnen gegengezeichnet und zum Hosting-Dienstleister gesendet bzw. elektronisch abgeschlossen wurde (letzteres wird übrigens durch die DSGVO möglich!).
Die Domainfactory stellt einen Auftragsverarbeitungsvertrag (AVV) beispielsweise unter „Support – Formulare“ zum Download und Ausfüllen zur Verfügung und auch Strato-Kunden finden das Formular für den AVV im Kunden-Login unter „Mein Vertrag – Vertragsänderung – Auftragsverarbeitung“. Jimdo schreibt hier noch am 6.5., dass im Laufe des Mai den Nutzern ein entsprechender Vertrag zur Verfügung gestellt wird. Er kann aber in jedem Fall schon seit einiger Zeit direkt im Konto beim Jimdo-Support angefordert werden.
Serverstandort
Am besten ist es, wenn der Server in Deutschland oder innerhalb der EU steht.
Denn wenn personenbezogene Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums transferiert werden, muss der Anbieter zum Beispiel durch entsprechende Zertifizierungen ein angemessenes Datenschutzniveau nachweisen oder muss andere geeignete Garantien vorlegen.
Webtracking mit Google Analytics
Oftmals bieten Content-Management- oder Shop-Systeme integrierte Tracking-Tools, die zu einem gewissen Umfang auch Auswertungen zu Besucherzahlen, Downloadstatistiken etc. zur Verfügung stellen. Meiner Ansicht nach kann keines davon mit Google Analytics konkurrieren, das als kostenloses Webtracking-Tool im Hinblick auf die Funktionalitäten einfach ungeschlagen ist und den entscheidenden Vorteil hat, dass es sich – wenn Sie AdWords-Kampagnen schalten – damit einfach verknüpfen lässt. Ebenso lassen sich Daten aus der Search Console importieren.
Daher empfehle ich meinen Kunden grundsätzlich, für Webseiten wie Webshops Google Analytics zu nutzen. In der Regel muss – um das Tracking technisch zum Laufen zu bringen – dafür nur der UA-Code in das verwendete Content-Management-/Shop-System eintragen werden. Es läuft anschließend automatisch. Allerdings eben noch nicht automatisch rechtssicher!
Hierfür waren schon vor der DSGVO noch ein paar Schritte notwendig, die ich hier zusammenstelle.
Anonymisierung der IP-Adresse ("Anonymize-IP")
Hierdurch werden die letzten 8 Bit der IP-Adresse (personenbezogenes Datum!) quasi „ausge-ixt“, bevor sie an Google übertragen wird. Das kann man ausschließlich dadurch gewährleisten, dass man den entsprechenden erweiterten Analytics-Code verwendet. Das von Google im Analytics-Konto zur Verfügung gestellte Code-Snippet enthält die entsprechende Code-Zeile nicht default-mäßig – sprich, sie muss händisch ergänzt werden oder vom Content-Management-System automatisch hinzugefügt werden, wenn man die entsprechende IP-Anonymisierung-Funktion auswählt, die glücklicherweise häufig angeboten wird.
Der erweiterte Code bei Nutzung von „Universal Analytics“ sieht wie folgt aus:
„„
Abschluss eines Auftragsdatenverarbeitervertrags mit Google
Sie müssen mit Google einen Auftragsdatenverarbeitungsvertrag schließen, der von Google hier als Muster zur Verfügung gestellt wird (inkl. detaillierter Anleitung zur Vorgehensweise). Dieser geht ausgefüllt und von Ihnen unterschrieben in zweifacher Ausfertigung nach Dublin, wird dort von Google-Anwälten gegengezeichnet und ist erfahrungsgemäß innerhalb kürzester Zeit wieder zurück bei Ihnen auf dem Scheibtisch.
Nach der DSGVO ist neu und aktiv einem Zusatz zur Datenverarbeitung zuzustimmen der ab dem 25.5.2018 gilt. Diesen findet man im Google-Analytics-Konto in den Kontoeinstellungen. Hier wird dann auch darauf hingewiesen, dass man jetzt einen maximalen Zeitraum für die Aufbewahrung von Nutzer- und Ereignisdaten festlegen kann. Es wird an der einen oder anderen Stelle empfohlen, dafür auf die geringstmögliche Speicherdauer von 14 Monaten zu gehen. Betroffen von der Löschung nach diesem gewählten Zeitraum sind lediglich die Daten auf Nutzer- und Ereignisebene, die mit Cookies, Nutzerkennungen (z. B. User ID) und Werbe-IDs (z. B. DoubleClick-Cookies, IDFA [Apple-Kennung für Werbetreibende], Android-Werbe-ID) verknüpft sind. Alle anderen pseudonymisierten Daten bleiben – wenn ich es richtig verstanden habe – bestehen.
Ergänzung der Datenschutzerklärung
Google hat – nach Abstimmung mit deutschen Datenschützern – eine Textpassage zur Verfügung gestellt, die im Anschluss 1:1 so in der jeweiligen Datenschutzerklärung aufgenommen werden muss.
Unter anderem wird da die Anonymisierungsfunktion erläutert und auf ein Deaktivierungs-Add-on für Browser hingewiesen. Dieser Hinweis mit Link genügte in der Vergangenheit aus. Im Zuge der DSGVO wird diskutiert, ob Sie darüber hinaus aktiv und direkt auf Ihrer Website ein „Google Analytics Opt-out“ anbieten müssen. Der Einbau der Opt-out-Funktionalität kann durch den Einbau eines Codesnippets an der entsprechenden Stelle in der Datenschutzerklärung erfolgen oder durch ein geeignetes Plug-in gelöst werden (z. B. „Google Analytics Opt-out“ für WordPress), das im Prinzip nichts anderes macht, aber den Einbau vereinfacht.
SSL-Verschlüsselung
Eine SSL-Verschlüsselung war datenschutzrechtlich grundsätzlich schon IMMER empfehlenswert, wenn man auf der Website Formulare anbietet, über die User personenbezogene Daten verschicken.
Andernfalls kann man nämlich auch heute schon haftbar gemacht werden, wenn jemand die Daten abgreift und Schindluder damit treibt. Daher sollte auch in der Vergangenheit ein SSL-Zertifikat schon immer implementiert werden. Google unterstützt diese Datensicherheit ebenfalls und hat irgendwann festgestellt, dass nicht alle Websitebetreiber Daten verschlüsselt übertragen. Deshalb wurde dieses Kriterium vor einiger Zeit in den Ranking-Algorithmus mit aufgenommen – das erhöhte tatsächlich den Umsetzungsdruck.
Dieser steigt durch die DSGVO nun quasi ins Unermessliche und man kann konstatieren, dass JEDE Website ein SSL-Zertifikat benötigt. Hier sollte man – falls man es noch nicht getan hat – prüfen, ob ein SSL-Zertifikat vielleicht bereits im Hosting-Paket mit drin ist und nur noch aktiviert werden muss. Falls nicht, muss ein Zertifikat separat für die Website beantragt werden. Hier gibt es unterschiedliche Kategorien von SSL-Zertifikaten, wobei meines Erachtens auch ein günstiges wie das „Let’s Encrypt“- Zertifikat ausreicht, denn die „Großen“ kosten dann doch ca. 120 Euro pro Jahr.
Cookies
Über Cookies ist im Rahmen der DSGVO deshalb zu sprechen, weil ein Werbe-Cookie – auch wenn es pseudonymisiert ist – zu den personenbezogenen Daten zählt. Schließlich speichert es viele Daten (z. B. auch Verhaltensmerkmale) ab, über die der Nutzer gegebenenfalls identifiziert werden kann. Möglicherweise auch durch Kombination mit der personenbezogenen IP-Adresse.
Anforderungen an Cookies werden aktuell durch die ePrivacy-Richtlinie formuliert, die bis zum Wirksamwerden der ePrivacy-Verordnung (voraussichtlich 2019) gilt und im Übrigen auch Cookie-Richtlinie genannt wird. Mit der ePrivacy-Verordnung soll eine Einwilligungspflicht für Tracking- und Targeting-Cookies eingeführt werden. Die deutschen Datenschutzbehörden haben am 26.4.18 in einer gemeinsamen Stellungnahme allerdings darauf hingewiesen, dass die ePrivacy-Richtlinie in Deutschland nicht direkt anwendbar sei. So weiß man als Otto-Normal-User irgendwie mal wieder nicht, an was man sich nun klammern soll. Es wird jedenfalls auf die entsprechenden Regelungen aus dem Telemediengesetz (TMG), die nach dem 25.5.2018 weiterhin gültig sind, hingewiesen.
Hier klicken, wenn Sie interessiert, was man dort zum Thema Cookies findet!
„(…)
9. Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO8, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.
(…)“
Was ich für mich aus den Regeln für Cookies rausgelesen habe: Der Einsatz von Cookie-Hinweisen war bisher nur empfohlen, da es dafür keine gültige Rechtsvorschrift gab. Diese Lücke schließt nun die DSGVO und mit der DSGVO benötigt nun jede Webseite, die Cookies nutzt, die Einwilligung der Nutzer. Sprich: Die Cookie-Banner werden damit zur Pflicht.
Außerdem gehört in die Datenschutzerklärung ein entsprechender Absatz, in dem auf die Verwendung von Cookies hingewiesen wird und in dem der User darüber aufgeklärt wird, wie er dies beeinflussen kann. Aber das war bisher meines Erachtens auch schon so.
Es scheint aber alles darauf hinauszulaufen, dass in naher Zukunft zumindest immer dann ein aktives Einverständnis eingeholt werden muss, wenn Cookies nicht zwingend nötig sind (wie z. B. bei Session-IDs) bzw. „berechtigte Interessen“ vorhanden sind (wie z. B. bei einem normalen Webtracking z. B. via Google Analytics). Alle, die Retargeting z. B. über Google AdWords nutzen oder auf nutzungsbasierte Online-Werbung (Online Behavioural Advertising – „OBA“) setzen, sollten also mit offenen Ohren die weiteren Entwicklungen zur ePrivacy-Verordnung und zur Auslegung der DSGVO verfolgen.
Impressum
Die Vorgaben und Regelungen zum Impressum und den dort geforderten Pflichtangaben sowie der Positionierung (von jeder Seite mit einem Mausklick erreichbar) ändern sich durch die DSGVO nicht.
Datenschutzerklärung
Aufgrund des Transparenz-Grundsatzes, der die DSGVO prägt, ist es einleuchtend, dass für User jederzeit nachvollziehbar sein muss, welche Daten zu welchem Zweck wie und von wem verarbeitet werden. Zusätzlich ist jetzt auch ein Hinweis auf die jeweilige Rechtsgrundlage der Datenverarbeitung notwendig. Analog zum Impressum müssen diese Informationen leicht zugänglich sein. Das heißt, ein eigener Menüpunkt, der die Datenschutzerklärung von jeder Unterseite mit einem Mausklick erreichbar macht, ist zwingend. Das, was dann in den Texten zu finden ist, muss klar und einfach verständlich formuliert sein.
Die Pflichtinhalte einer Datenschutzerklärung sind ziemlich umfassend und irgendwie tut sich schon allein dadurch ein Widerspruch zu „klar und einfach“ auf… Aber hilft ja nichts – da Verstöße mit hohen Bußgeldern geahndet werden, muss man auf die Datenschutzerklärung besondere Sorgfalt verwenden.
Eine ordnungsgemäße Datenschutzerklärung muss letztlich alle datenschutzrelevanten Dienste aufgreifen, die auf der gesamten Webseite (also auf irgendeiner der ggf. unzähligen Unterseiten) verwendet werden. Auf den Einsatz mancher Komponenten muss der User nur hingewiesen werden, bei anderen muss auch aufgezeigt werden, wie er bestimmte Funktionen deaktivieren kann und manche lassen sich überhaupt nicht mit dem Datenschutzrecht konform einsetzen. Es ist kompliziert!
Und man hat – wie ich selbst feststellen durfte – auf seiner Website deutlich mehr solcher relevanten Komponenten / Dienste als man denkt!
Beispiele dafür sind:
Google Analytics
Nähere Ausführungen zum rechtskonformen Einsatz des Webtracking-Tools Google Analytics finden sich weiter oben im Beitrag!
OpenStreetMap oder Google Maps
Wer eine Karte von Google Maps auf einer Seite einbindet, überträgt die IP-Adresse seiner Nutzer zu Google, einem Unternehmen mit Sitz außerhalb der EU. Google verarbeitet dabei aber nicht auf Weisung des Webseiten-Betreibers Daten. Ein Auftragsverarbeitungsvertrag muss also nicht abgeschlossen werden. Allerdings findet eine Datenübermittlung statt und es ist ja durchaus im Bereich des Möglichen, dass Google diese übermittelten Daten im eigenen Interesse nutzt. Ich habe es so verstanden, dass aktuell bezüglich Maps mindestens ein Hinweis in die Datenschutzerklärung zu dieser Datenübermittlung rein muss. Strenggenommen und formal ganz korrekt müsste sogar eine aktive Einwilligung des Nutzers erfolgen, was nur über eine 2-Click-Lösung machbar wäre. Sprich: Die Karte wird erst nach aktiver Zustimmung des Users freigeschaltet. Aber ist das noch praktikabel? Und im Prinzip betrifft das ja auch viele andere Hintergrunddienste wie Fonts oder Captchas…
Eingebundene Schriftarten
Eingebundene Schriftarten, die von einem Drittanbieter-Server abgerufen werden (z. B. Google Fonts, Font Awesome Schriftarten, Adobe Schriften) haben datenschutzrechtliche Relevanz, weil dabei personenbezogene Daten an Google oder irgendwohin übertragen werden.
Social Media Plug-ins / SWYN-Buttons
Im Hinblick auf Social Media Plug-ins / SWYN-Buttons (z. B. Facebook, Twitter, Instagram oder XING)habe ich bisher immer auf diesen Beitrag von Rechtsanwalt Dr. Thomas Schwenke bei AllFacebook.de verwiesen, der zwar schon von 2016 ist, aber alles super zusammenfasst, was es zum Thema Rechtswidrigkeit von Social-Media-Plugins ohne Verwendung der 2-Klick-Lösung zu sagen gibt.
Meiner Meinung nach hat sich daran auch nichts geändert. So kann man eigentlich auch mit einem entsprechenden Hinweis auf die Plugins und die Datenübertragung an Facebook & Co. in der Datenschutzerklärung die Situation nicht retten!
Die einzige Lösungsmöglichkeit, die ich außer dem kompletten Abschalten der Plugins gefunden habe, ist der Einsatz von „Shariff“, ein Projekt, das vom Computermagazin c’t entwickelt wurde. Shariff steht beispielsweise für WordPress über das Plugin „Shariff Wrapper“ zur Verfügung, das auch bereits auf die DSGVO-Anforderungen aktualisiert wurde.
Werbeeinblendungen
z. B. über Google AdSense
Jeder Drittinhalt, der über ein iFrame eingebunden wird
Hierzu zählt beispielsweise auch das oft praktizierte Einbetten („Embedding“) von YouTube-Videos auf der Website. Wählt man hier nicht die Möglichkeit aus, Videos im erweiterten Datenschutzmodus einzubetten (diese Option ist nicht so ganz leicht zu finden!), werden beim Aufruf etliche YouTube-Cookies im System des Website-Besuchers gesetzt. Mehr Infos dazu hier.
Meine Erkenntnis: Wo man bisher mit zum Teil sogar kostenlosen Datenschutz-Generatoren auskam, muss man jetzt aus meiner Sicht auf externe Hilfe zurückgreifen und sich eine individuelle Datenschutzerklärung erstellen lassen.
Ich selbst bin zweigleisig gefahren und kann beide Wege auch in exakt der Kombination guten Gewissens weiterempfehlen:
t3n-Guide „DSGVO für Unternehmer“ von Dr. Thomas Schwenke
Ich habe zunächst den wirklich tollen DSGVO-Ratgeber für Unternehmen gekauft, den Rechtsanwalt Dr. Thomas Schwenke in Kooperation mit t3n.de anbietet.
Die 99 Euro (netto) sind in jedem Fall gut angelegt, weil man dafür nicht nur eine kompakte, gut verständliche Zusammenfassung der DSGVO erhält, sondern auch Checklisten und Muster mitgeliefert bekommt, die man im Rahmen seiner erworbenen Lizenz für ein Unternehmen einsetzen darf.
Allerdings bin ich beim Thema Datenschutzerklärung damit an meine Grenzen gestoßen. Die 14-seitige Muster-Datenschutzerklärung an die individuellen Gegebenheiten meiner Website anzupassen, erwies sich aus einem einfachen Grund als nicht ganz so einfach: Ich hatte Probleme damit, die Dienste und Komponenten, die sich auf meiner Website befinden und zu denen ich in der Datenschutzerklärung etwas sagen muss, zusammenzutragen.
So kam schließlich noch „Meine Datenschutzerklärung“ ins Spiel.
Standard-Check über „Meine-Datenschutzerklaerung.de“
Ich habe mich also entschieden, für die Datenschutzerklärung zusätzlich das von Dr. Klaus Meffert, Geschäftsführer IT-Logic GmbH, entwickelte Angebot „Meine Datenschutzerklärung“ zu nutzen.
Bis 25.5.2018 wird Organisationen, deren Jahresumsatz 1 Mio. Euro nicht übersteigt, für einen reduzierten Preis von 397 Euro (netto) statt später 799 Euro (netto) ein systematischer Check der Website auf datenschutzrechtlich relevante Komponenten angeboten, der durch einen persönlichen Check validiert wird. Es werden also alle Unterseiten eines Webauftritts geprüft und man erhält eine Übersicht der verwendeten Dienste, eine darauf optimierte Datenschutzerklärung sowie einen Prüfbericht mit weiteren Handlungsempfehlungen.
Da ich weder diesen Check noch die Erstellung einer Datenschutzerklärung für meine Kunden leisten kann noch darf noch möchte, empfehle ich, diesen Service zu nutzen und auf dieser Basis dann in die Umsetzung zu gehen.
Formulare
Auf den meisten Websites findet sich zumindest ein Formular, über das personenbezogene Daten übermittelt werden. Häufig werden dem User aber auch mehrere Formulare für unterschiedliche Kontaktintentionen angeboten, z. B.:
- Newsletter-Anmeldeformular
- Kontaktformular
- Infomaterial-Anforderung
- Call-Back-Formular
Schon nach bisher geltendem Recht müssen Personen der Verwendung der übermittelten Daten zustimmen, allerdings war die Zustimmung bei Online-Formularen quasi bereits vorausgewählt, denn es genügte ein Hinweis mit Link auf die Datenschutzerklärung. Nun müssen User allerdings der Speicherung von Daten durch eine eindeutige Handlung zustimmen – auch wenn diese Daten nicht sensibel sind.
Es genügt also nicht mehr, auf die Datenschutzerklärung zu verlinken und dort detailliert zu beschreiben, was mit den Daten geschieht und welchem Zweck sie dienen. Ich brauche zur aktiven Zustimmung zur Datenverarbeitung neben dem Link zur Datenschutzerklärung also künftig eine Checkbox, die als Pflichtfeld angeklickt werden muss, aber natürlich systemseitig nicht vorangeklickt sein darf.
Blog-Kommentare
Für Blog-Betreiber, die in der Regel eine Kommentarfunktion anbieten (schließlich leben Blogs auch irgendwie von der Interaktion mit den Usern), ergibt sich noch ein weiterer Aspekt, der berücksichtigt werden muss.
Von Kommentierenden wird in der Regel der Name und die E-Mail-Adresse gefordert, es wird aber von den eingesetzten Systemen standardmäßig zumindest die IP-Adresse abgespeichert. Letzteres schon aus Selbstschutz, um bei Missbrauch oder strafbaren Inhalten den Übeltäter darüber identifizieren zu können.
Manchmal werden die Daten – z. B. beim Einsatz von Gravataren in WordPress – auch direkt weitergegeben und mit dem Avatar des Kommentierenden verknüpft. An dieser Stelle sollte man grundsätzlich überdenken, ob man den Gravatar-Dienst nicht generell deaktivieren möchte und überlegen, wie man mit der IP-Adressen-Speicherung kommentierender User umgehen will. Wer alle Kommentare vor Freischaltung sowieso manuell überprüft, kann ggf. die Speicherung der IP-Adressen komplett unterbinden. Das kann man mit ein paar Codezeilen programmieren oder – für WordPress – zum Beispiel das Plugin „Remove IP“ nutzen.
In jedem Fall muss ein Hinweis zur Datenspeicherung untergebracht werden – als anklickbare, nicht vorangeklickte Checkbox.
Wenn man als Blogbetreiber darüber hinaus anbietet, den Kommentierenden bei weiteren Interaktionen per E-Mail darüber zu benachrichtigen, muss man dafür ebenfalls eine aktive Zustimmung zur Datenverarbeitung einholen. Einen Schritt weiter gedacht, benötigt man für den E-Mail-Versand streng genommen auch ein „Double-opt-in für Kommentarbenachrichtigungen“…
Datenschutz im E-Mail-Marketing
Einfacher als die Umsetzung der DSGVO im Hinblick auf die Website erscheint es mir, die in der DSGVO getroffenen Regelungen fürs E-Mail-Marketing zu prüfen und die notwendigen Anpassungen vorzunehmen. Vielleicht liegt das auch daran, dass – wie eingangs schon erwähnt – E-Mail-Marketing in Deutschland schon immer sehr streng reglementiert war.
Trotzdem habe ich häufig erlebt, dass Unternehmen es unter der Devise „Wo kein Kläger da kein Richter“ haben draufankommen lassen und einen E-Mail-Verteiler eben auch ohne rechtskonformes Opt-in genutzt haben. Da bisher Bußgelder in Höhe von maximal 300.000 Euro drohten, konnten zumindest größere Unternehmen das tatsächlich riskieren und Bußgelder im Zweifel aus der Portokasse oder aus extra für solche Fälle gebildeten Rückstellungen zahlen. Es war quasi „unternehmerisches Risiko“, das man einging, um im Gegenzug viel Geld für den Aufbau eines permissionbasierten E-Mail-Verteilers zu sparen. Dieses „Draufankommenlassen“ verbietet sich bei den jetzt in Aussicht stehenden Bußgeldern meiner Ansicht nach allerdings völlig.
Vorab noch der Hinweis: Trotz DSGVO behalten natürlich die fürs E-Mail-Marketing seit jeher bedeutsamen Regelungen aus dem UWG und dem TMG weiterhin Gültigkeit. Außerdem werden sicherlich auch die Regeln der ePrivacy-Verordnung zu beachten sein, deren Inkrafttreten momentan für 2019 erwartet wird.
Serverstandort
Für den Serverstandort des E-Mail-Dienstleisters gilt im Prinzip Analoges wie für den Serverstandort Ihres Webhosters. Idealerweise befindet er sich in Deutschland oder innerhalb der EU. Ansonsten gilt es, bestimmte, weiterführende Regelungen zu beachten.
Die Thematik des Serverstandorts in den USA betraf vor allem immer den Einsatz von MailChimp, die sich im Hinblick auf Datenspeicherung und Datenverarbeitung in der Vergangenheit immer recht bedeckt gehalten hatten. Ich habe meinen Kunden daher immer zum Einsatz alternativer Lösungen (z. B. CleverReach oder Newsletter2Go) geraten. MailChimp ist zwischenzeitlich aber unter dem US-EU-Datenschutzabkommen „Privacy Shield“ zertifiziert und verpflichtet sich damit, die EU-Datenschutzvorgaben einzuhalten, so dass datenschutzrechtlich nichts gegen den Einsatz sprechen sollte, auch wenn die MailChimp-Server in den USA stehen und arbeiten.
Auftragsverarbeitungsvertrag mit dem Newsletter-Dienstleister
Auch bisher war es schon notwendig, mit dem Newsletter-Dienstleister einen Auftragsdatenverarbeitervertrag abzuschließen. Da die DSGVO an vielen Stellen Änderungen erforderlich macht, ist es empfehlenswert, bis zum 25.5.2018 einen neuen Auftragsverarbeitungsvertrag anzufordern und abzuschließen, der den Vorgänger ersetzt.
Newsletter-Anmeldeformular auf der Website
Das Newsletter-Anmeldeformular auf der Website muss dem Grundsatz der Datensparsamkeit, der auch bisher schon im BDSG verankert war, Genüge tun. Für den User müssen außerdem Zweck und Umfang der Datenverarbeitung transparent gemacht werden, er muss auf die Widerrufmöglichkeit sowie die Speicherdauer aufmerksam gemacht werden, und die Kenntnisnahme der Datenschutzerklärung muss aktiv via Checkbox bestätigt werden (siehe oben bei „Formulare“).
Datenschutzerklärung
Die Datenschutzerklärung selbst enthält die entsprechenden Hinweise auf den Newsletter-Dienstleister als datenverarbeitenden Drittanbieter. Sie gibt detaillierte Erläuterungen zum Double-Opt-in-Prozedere inkl. Protokollierung, eingesetzten Trackingmaßnahmen und Analysemöglichkeiten beim Newsletterversand und vielem mehr. Natürlich darf auch der Hinweis nicht fehlen, auf welcher Rechtsgrundlage die ganze Datenverarbeiterei beruht.
Idealerweise stellen die Newsletter-Anbieter Mustertexte im Konto zur Verfügung, die rechtlich geprüft sind und von Ihnen mittels „copy and paste“ in die Datenschutzerklärung übernommen werden können.
Wer am Beispiel von MailChimp sehen möchte, was da alles zusammenkommt, dem sei dieser Blogbeitrag von Dr. Thomas Schwenke zur Lektüre empfohlen.
Double-Opt-in
Die einzig rechtssichere Möglichkeit, Permissions fürs E-Mail-Marketing zu sammeln, ist das sog. Double-Opt-in-Verfahren. Hierzu sei nochmals darauf hingewiesen, dass die Checkmail, die zur Verifizierung des Opt-ins versendet wird, werbefrei gehalten sein muss und ein ordnungsgemäßes Impressum benötigt (TMG!). Da der User ein Auskunftsrecht und Unternehmen eine Nachweispflicht haben, ist eine Protokollierung der Einwilligung unumgänglich.
Lust auf einen Ausflug zum Thema "Sinn und Unsinn von Re-Opt-in-Kampagnen"?
Ich staunte die letzten Wochen doch sehr über die wirklich zahllosen E-Mail-Kampagnen, mit denen Unternehmen ein erneutes und – wie sie selbst sagen – DSGVO-konformes Opt-in für ihren Newsletter einholen möchten. Und die Re-Opt-in-Schwemme hält ungebrochen an!
Bereits Ende April habe ich nach der Lektüre eines äußerst lesenswerten Blogbeitrags von Dr. Martin Schirmbacher dazu meine Marketing-Sicht kundgetan – hier nachzulesen – und darauf verwiesen, dass jedes Unternehmen – bevor es durch eine leichtfertig angestoßene Re-Opt-in-Kampagne seinen E-Mail-Verteiler von 100.000 Newsletter-Abonnenten auf rund 7.000 dezimiert – unbedingt prüfen sollte, ob auch nach Inkrafttreten der DSGVO die bisher nach BDSG eingeholte E-Mail-Permission weiter Gültigkeit haben.
An dieser Empfehlung halte ich weiterhin felsenfest und verweise daher für nähere Informationen einfach auf meinen Beitrag hier im Blog. Dort finden Sie auch – in wenigen Schritten dargestellt – die einfache Rechnung, wie man von ehemals 100.000 auf 7.000 Abonnenten kommt.
Newsletter-Abmeldung
Die Abmeldung vom Newsletter muss einfach möglich sein, d.h. man darf den Usern keine Hürden – wie „Double-Opt-out“ oder „Opt-out nur nach Login“ – in den Weg legen.
Das sollte aber – unabhängig von den rechtlichen Vorgaben – aus Marketingsicht sowieso selbstverständlich sein. Denn der User möchte sich ja nur vom Newsletter abmelden – nicht mehr und nicht weniger. Das heißt also noch lange nicht, dass er damit gleich seine gesamte Kundenbeziehung mit uns beenden möchte! Es wäre also grob fahrlässig, ihn an dieser Stelle mit einem komplizierten Prozedere zu verärgern!
Problematisch sehe ich den Hinweis, dass eine Abmeldung ein echtes Löschen der Daten sein muss. Das habe ich an einigen Stellen so gelesen. Hier möchte ich anmerken, dass aus meiner Sicht ein berechtigtes Interesse sowohl des Unternehmens aber auch des Users bestehen kann, die E-Mail-Adresse oder im Printbereich auch die postalische Adresse in einer Negativliste zu behalten, um überhaupt gewährleisten zu können, dass diese dauerhaft von der Bewerbung ausgeschlossen werden kann.
Kopplungsverbot
Das Kopplungsverbot stellt eine wichtige Neuerung dar. Es regelt, dass die Einwilligung zur Datenverarbeitung freiwillig erfolgen muss.
Wenn also für die Erbringung einer Dienstleistung (z. B. Download eines Whitepapers, Erfüllung eines Kaufvertrags) die Einwilligung in die Verarbeitung von personenbezogenen Daten (z. B. Newsletter-Abo) nicht erforderlich ist, darf ich sie auch nicht daran koppeln.
Diese Regelung sorgt aus Usersicht positiv für Transparenz, denn immer dann, wenn ich für einen Service mit Daten zahle, ist etwas nicht wirklich „kostenlos“ und darf dann auch nicht mehr so benannt werden.
Allerdings gefährdet das Kopplungsverbot per se alle Geschäftsmodelle, die auf dem Prinzip „Service gegen Daten“ beruhen (z. B. auch alle Freemailer). Wenn ich so etwas einsetze, dann muss ich also erst einmal prüfen, ob es überhaupt noch zulässig ist, mit diesem Geschäftsmodell unverändert am Markt zu agieren. In jedem Fall ist es empfehlenswert, sich darüber Gedanken zu machen, ob ein „Entkoppeln“ möglich ist oder aber ein deutliches Kommunizieren der Gegenleistung „Daten“ Sinn macht.
Datenschutz für Facebook-Unternehmensseiten und Facebook-Ads
Ich fokussiere in meiner Beratung nicht auf Social-Media-Marketing, daher bin ich auch im Hinblick auf die DSGVO nicht tiefer in die Anforderungen und Neuerungen eingestiegen, was diese Kanäle anbelangt.
Ich möchte aber an dieser Stelle einige Links im Hinblick auf Facebook-Fanpages sowie die Nutzung von Facebook-Ads empfehlen.
- Hier stellt Facebook Unternehmen, die die Plattformen und Lösungen der Facebook-Unternehmen nutzen, wichtige Informationen bereit.
Aus meiner Sicht ist ein wichtiger Hinweis, dass Facebook in den meisten Fällen – bei einer „normalen“ Facebook-Unternehmensseite beispielsweise – die Rolle des Datenverantwortlichen übernimmt, nicht aber als Auftragsverarbeiter fungiert. Allerdings gibt es auch Anwendungsfälle, in denen Facebook als Auftragsverarbeiter agiert: Dazu zählen neben „Custom Audiences“ und „Workplace by Facebook“, von denen die meisten kleineren Unternehmen nicht betroffen sein dürften, allerdings auch „Messungen und Analysen“, die meines Erachtens bei jeglicher Nutzung von Facebook Werbekampagnen erstellt werden. Daher lohnt in diesen Fällen die weitere Beschäftigung mit dem Thema doch.
- Hierfür verweise ich auf den Blog von Thomas Hutter, der uns unter dem Tag „dsgvo“ sicher zu allen DSGVO-relevanten Entwicklungen im Hinblick auf Facebook auf dem Laufenden halten wird.
Mein persönliches DSGVO-Fazit
Die Umsetzung der DSGVO bringt – bezogen auf zeitliche wie monetäre Budgets – einen unverhältnismäßig großen Aufwand für kleine und mittlere Unternehmen mit sich.
Unverhältnismäßig wären auch die angedrohten Bußgelder, wobei ich persönlich hier ja auf den „Grundsatz der Verhältnismäßigkeit“ hoffen würde. Allerdings will ich persönlich das nicht austesten. Denn auch wenn nicht gleich die 20-Mio.-€-Karte gezogen würde: Selbst ein 5-stelliges Bußgeld reichte schon aus, um Detzel Marketing den Garaus zu machen…
Mein persönlicher Schreckmoment kam dann recht zum Schluss meiner Recherchen in Form einer dramatischen Erkenntnis: „Oh nein, ich bin ja manchmal auch selber Auftragsverarbeiter! Immer dann zum Beispiel, wenn ich im Auftrag meiner Kunden den Pressemitteilungsversand via Supermailer übernehme. Ich muss mir also zeitnah auch Gedanken darüber machen, wie ich einen Auftragsverarbeitungsvertrag für meine Auftragsverarbeitungstätigkeit erstellen (lassen) kann.
Aber nun starte ich erstmal – leider kurz vor Torschluss – in die Umsetzung der drängenden Themen.
Zum Abschluss nochmal ein wichtiger Hinweis
Ich spreche und schreibe als Laie. Die vorangegangenen Ausführungen sind keine Rechtsberatung!
Ich empfehle Ihnen, sich bezüglich aller DSGVO-Themen an einen Rechtsberater Ihres Vertrauens zu wenden, da Sie letztlich im Sinne der DSGVO die verantwortliche Stelle sind und aus der Nummer auch nicht rauskommen, solange Ihr Unternehmen besteht. Da die Anforderungen an die Anpassung der Prozesse sehr unterschiedlich und spezifisch sind, ist eine individuelle Beratung sowieso unumgänglich.