Antworten auf die wichtigsten Fragen zur DSGVO – Teil 2

,

Geschrieben von Veronika Fachinger, Karolina Lubowicka

Veröffentlicht Mai 21, 2018

In diesem Fortsetzungsartikel betrachten wir die neuen Anforderungen der DSGVO u.a. im Hinblick auf Web Analytics, E-Mail Marketing und Opt-Outs. Erfahren Sie, welche neuen Anforderung durch die neuen Datenschutzrichtlinien auf Sie zukommen und wie Sie auf diese reagieren sollten.

Hier geht es zum ersten Teil der Blogserie:
Antworten auf die wichtigsten Fragen der DSGVO Teil 1

DSGVO und Web Analytics – Brauche ich Einwilligungen für Cookies?

In Bezug auf Web Analytics spielt Consent und die Einwilligung betroffener Personen zur Datensammlung und -verarbeitung eine essentielle Rolle. Eine Ausnahme könnte es darstellen, wenn Sie Web Analytics Daten nur erheben, um Ihre eigene Website-Performance zu kontrollieren. Wie in unserem ersten Teil der Blogserie beschrieben, setzt die aktuelle Version der ePrivacy-Verordnung nicht für jeder Art von Tracking eine Einwilligung durch die betroffene Person voraus. Jedoch ist diesbezüglich noch keine finale Entscheidung getroffen worden und Unternehmen müssen sich gedulden, bis die Verordnung 2019 verabschiedet und ab 2020 endgültig in Kraft tritt. Einen eigenen Artikel zu DSGVO & Web Analytics haben wir bereits im Blog veröffentlicht.

Wenn Sie allerdings Ihre Analytics-Daten zu anderen AdTech- und MarTech-Plattformen (wie DSP oder CDP) weitergeben, Marketing Pixel und Tracking Codes einsetzen oder den Content Ihrer Website basierend auf dem Nutzerverhalten personalisieren, müssen Sie für jede diese Aktivitäten eine Einwilligung einholen.

Brauche ich weiterhin einen Opt-Out unter der DSGVO?

Wie in Teil 1 der Artikelserie angesprochen, benötigt man nicht für jeden Datenverarbeitungszweck eine Einwilligung der betroffenen Person. Nichts desto trotz müssen Sie Ihre Besucher fragen, ob Sie ihre Daten verwenden dürfen. In jedem Fall müssen Sie Website-Besuchern auch neben einer gültigen Einwilligung eine einfach gestaltete und benutzerfreundliche Opt-out Möglichkeit liefern. So stellen Sie sicher, dass Besucher Ihrer Einwilligung jederzeit widersprechen können.

Artikel 7.3 der DSGVO formuliert es wie folgt:

“Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein”.

Sind Sie sich unsicher, welche Maßnahmen aus dieser Regel abgeleitet werden sollten? Ein Consent Manager ist für die Verwaltung von Anfragen betroffener Personen die einfachste Lösung. Der Piwik PRO Consent Manager wurde vor kurzem veröffentlicht, um den Anforderungen der DSGVO gerecht zu werden und Ihnen die Arbeit beim Sammeln, Verarbeiten und Speichern von Einwilligungen und Anfragen abzunehmen.

DSGVO und E-Mail-Marketing: Was ist bei Newslettern zu beachten?

Um es kurz und bündig zu sagen: Die bisherige Praxis vieler E-Mail-Marketer zur Erweiterung des Adressen-Pools und zur Kundenkommunikation wird unter der neuen DSGVO nicht mehr rechtens sein. Auch bei Newslettern spiegelt die größte Änderungen die Notwendigkeit wider, für jeden Erhebungszweck eine separate Einwilligung anzufragen. Wenn ein Besucher z.B. im Austausch für ein Whitepaper oder eine Webinar-Aufzeichnung seine E-Mailadresse hinterlegt, dürfen Sie diese nicht ohne eine gesonderte und zweckgebundene Zustimmung Ihrem Mailing-Verteiler hinzufügen.

Das gleiche gilt bei der Verwendung von persönlichen Daten zu anderen Zwecken. Jeder Besucher, Kunde oder Partner muss dieser Verwendung freiwillig, aktiv und in eindeutiger Weise zustimmen. Eine Checkbox mit bereits gesetztem Häkchen, die Besucher automatisch zustimmen lässt, ist also keine Option mehr. Das Setzen des Zustimmungs-Häkchens muss nun eine bewusste Handlung sein.

Die DSGVO hat außerdem keine Besitzstandsklausel. In anderen Worten, nachdem sie in Kraft getreten ist, können Sie alle Daten, die sie vor dem 25. Mai 2018 gesammelt haben, nicht mehr weiter verwenden, außer, sie wurden konform zu den neuen Regelungen erhoben.

Es gibt einige Regeln, die Sie für die Erhebung, Verarbeitung und Speicherung personenbezogener Daten befolgen müssen. Die folgenden Blogartikel fassen das wichtigste für Sie zusammen:
Wie speichern und verarbeiten Sie zukünftig Daten unter der DSGVO? Infografik
DSGVO: Datenrechte von Einzelpersonen – Was müssen Sie beachten? Infografik
3 Sicherheitsverfahren die Unternehmen unter der DSGVO einführen müssen
Digital Analytics datenschutzkonform unter DSGVO und ePrivacy einsetzen

Sollte ich einen Datenschutzbeauftragten ernennen?

Nicht jedes Unternehmen braucht einen Datenschutzbeauftragten. Laut Artikel 37-39 der DSGVO brauchen Sie einen Datenschutzbeauftragten wenn die folgenden Unternehmenseigenschaften auf Sie zutreffen:

  • Sie sind eine öffentliche Behörde oder Körperschaft öffentlichen Rechts
  • Ihre Hauptaktivität besteht darin, Tätigkeiten durchzuführen, die in großem Umfang ein regelmäßiges und systematisches Monitoring von betroffenen Personen erfordern
  • Sie verarbeiten für Ihre Tätigkeiten großflächig verschiedene Datenkategorien

Um diese Anforderungen besser definieren und einordnen zu können, haben wir die Datenschutz-Spezialistin Aurelie Pols gebeten, einen Gastbeitrag für unseren Blog zu verfassen. Der Artikel “Braucht Ihr Unternehmen aufgrund der DSGVO einen Datenschutzbeauftragten?” hilft dabei, die neuen Verantwortlichkeiten besser zu verstehen. Darüber hinaus sollten Sie sich für ein besseres Verständnis die Guidelines der Artikel-29-Datenschutzgruppe anschauen.

Analytics & DSGVO = Piwik PRO

Wir sorgen dafür, dass Sie sich wegen der DSGVO nicht mehr den Kopf zerbrechen müssen. Wir bieten Ihnen professionelle Analytics – DSGVO compliant.

Kann ich meine in den letzten Jahren gesammelten Daten auch nach Inkrafttreten der DSGVO weiter verwenden?

Ja, aber nur, wenn Sie sie konform zur DSGVO erhoben haben. Wie oben beschrieben, hat die DSGVO keine Besitzstandsklausel. Deshalb dürfen personenbezogene Daten nicht weiter genutzt werden, wenn diese nicht gesetzeskonform erhoben wurden (z.B. durch eine Einwilligung).

Wie definiert die DSGVO Pseudonymisierung?

Artikel 4 (5) der DSGVO definiert Pseudonymisierung wie folgt:

“die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden”.

Mit Methoden zur Pseudonymisierung separieren Sie alle Identifikatoren, so dass diese nicht mit einer bestimmten Person in Verbindung gebracht werden können. Dennoch werden laut DSGVO pseudonymisierte Daten nach wie vor als personenbezogene Daten angesehen, wenn Datenverantwortliche oder andere Parteien in der Lage sind, den Prozess zur Pseudonymisierung rückgängig zu machen.

Die Guidelines der Artikel-29-Datenschutzgruppe betrachtet die Methode als eine einseitige und umkehrbare Maßnahme, die lediglich die Verknüpfbarkeit eines Datensatzes mit der ursprünglichen Identität einer betroffenen Person reduziert.

Wie definiert die DSGVO Anonymisierung?

Erwägungsgrund 26 der DSGVO definiert anonymisierte Daten so:

“Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.”

Anonymisierung ist ein Prozess, bei dem alle identifizierbare Informationen aus den Daten entfernt werden bis eine betroffene Person anhand der Daten nicht mehr identifiziert werden kann. Bei einer ordnungsgemäßen Durchführung ist es möglich, die Daten vom Anwendungsbereich der DSGVO zu befreien.Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten.

Wird Hashing SHA-256 als anonym oder pseudonym angesehen?

Hashing wird als Pseudonymisierung betrachtet, da Einzelpersonen und kleine Gruppen immer noch identifiziert – und zuvor gesammelte Daten mit ihnen verknüpft werden können. Solange es diese Möglichkeit gibt, können Ihre Daten nicht als anonym angesehen werden.

Gibt es separate Regeln oder Richtlinien für Papierdokumente und Daten, die per Post verschickt werden?

Nein, die DSGVO deckt dies komplett ab. Die DSGVO ist eine hochrangige Gesetzgebung, die für alle Dokumentenarten mit personenbezogene Daten gültig ist. Dies umfasst auch Papierformate wie Gehaltsabrechnungen, Verträge, Briefe, HR-Formulare und andere Datenträger.

Gilt die DSGVO für mich, wenn ich keine Namen und Mailadressen erhebe?

Ja. Die DSGVO hat eine umfassende Definition von personenbezogene Daten. In Artikel 4.1 des Gesetzes findet sich die folgende Definition:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Auch Cookies werden durch das Gesetz abgedeckt. In Erwägungsgrund 30 steht dazu:

“Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet.
Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren”.

Darüber hinaus zählen auch pseudonyme und anonyme Informationen zu personenbezogenen Daten. Das bedeutet, dass es praktisch unmöglich ist, nicht von der DSGVO betroffen zu sein.

Ich hab eine ISO 27001 Zertifizierung. Muss ich mich trotzdem nach der DSGVO richten?

Ja. Auch wenn die ISO 27001-Zertifizierung eine gute Grundlage für eine DSGVO-Konformität darstellt, ist sie alleine nicht ausreichend, um vollständig alle Voraussetzungen der DSGVO sicherzustellen.

Fazit

Wir hoffen, unsere Informationen haben Ihnen ein paar nützliche Tipps für die Vorbereitung auf die DSGVO geliefert. Schauen Sie sich für weitere Informationen in unserer DSGVO-Rubrik um oder erfahren Sie mehr über die Sammlung, Speicherung und Verarbeitung von Einwilligungen und Anfragen betroffener Personen durch die Nutzung des Piwik PRO Consent Managers.

Piwik PRO Consent Manager

Sammeln, Verarbeiten und Speichern Sie Einwilligungen und Anfragen betroffener Personen DSGVO-konform.