Antworten auf die wichtigsten Fragen zur DSGVO – Teil 1

Aktuelle Studien über die DSGVO-Vorbereitungen zeigen, dass sich Unternehmen mit der internen Umsetzung der neuen Datenschutzrichtlinien schwer tun. Laut einer Umfrage des Online-Marketing-Spezialisten absolit in Kooperation mit dem eco-Verband der Internetwirtschaft haben nur 13% der Unternehmen ihre Prozesse bereits an die DSGVO-Richtlinien angepasst.

65% der Befragten gaben an, dass sie momentan dabei sind ihre eigenen Prozesse an die Anforderungen der DSGVO anzupassen. Doch auch unter den (wenigen) Unternehmen, die ihre Aktivitäten für DSGVO-kompatibel halten, erfüllt nicht einmal die Hälfte alle abgefragten Anforderungen. Das sind besorgniserregende Werte, wenn man die hohen Strafzahlungen berücksichtigt, die bei Verstößen gegen die DSGVO ab dem 25. Mai drohen.

Um dem entgegenzuwirken, haben wir in diesem Artikel die Antworten auf die häufigsten Fragen zur DSGVO zusammengestellt. Wir hoffen, dass wir so dazu beitragen, Ihre Vorbereitungen für die neue EU-Richtlinie zu unterstützen.

Was genau ist die DSGVO?

Die DSGVO (Datenschutz-Grundverordnung) ist eine EU-Regulierung, die vom Europäischen Parlament, dem EU-Rat und der EU-Kommission verabschiedet wurde. Sie soll die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr von 1995 ablösen. Die Intention hinter der DSGVO ist es, betroffenen Personen die volle Kontrolle über ihre persönlichen Daten zu geben. Zudem sollen Regulierungen gestärkt und vereinheitlicht werden, die die Datenerhebung von Bürgern innerhalb der Europäischen Union beeinflussen.

Sie wollen tiefer in das Thema DSGVO & Analytics einsteigen? Dann schauen Sie sich in unserer Website zur DSGVO um. Hier finden Sie ausführliche Informationen, hilfreiche Blogartikel, Whitepaper u.v.m.

Wo finden ich den Gesetzestext zur DSGVO?

Das komplette Gesetz mit allen Artikeln finden Sie auf der Website zur DSGVO.

Wann tritt die DSGVO in Kraft?

Die DSGVO tritt am 25. Mai 2018 in Kraft.

Was sind personenbezogene Daten?

Laut Artikel 4.1 der EU-Datenschutz-Grundverordnung versteht man unter persönlichen Daten:

[…] “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind”

Die neue Regulierung erweitert die Definition für persönliche Daten aus der Richtlinie 95/46/EG von 1995. So sieht die DSGVO beispielsweise Online-Identifikatoren wie Cookies und Standortdaten als personenbezogene Daten an und verlangt, dass sie genauso geschützt werden wie andere Erkennungsmerkmale (z.B. genetische, wirtschaftliche oder psychologische Informationen betroffener Personen).

Die DSGVO besagt, dass alle Cookies (einschließlich pseudonymisierter Cookies) als personenbezogene Daten angesehen werden können, wenn diese in der Lage sind einzelne Personen zu identifizieren oder Profile zu erstellen. Der DSGVO-Erwägungsgrund 30 erläutert diesen Fall:

“Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren”.

Wen betrifft die DSGVO?

Der Geltungsbereich der neuen Verordnung betrifft nicht nur Unternehmen mit einem Sitz in der EU. Vielmehr sind alle Datenverantwortliche (z.B. Unternehmen) und Datenverarbeitende (z.B. Anbieter von Cloud-Software) betroffen, die Kunden bzw. betroffene Personen mit einem Wohnsitz innerhalb der EU haben.

Brauche ich eine Einwilligung zur Datenerhebung?

Wenn Sie Daten Ihrer User erheben und verarbeiten wollen, müssen Sie zuerst deren Zustimmung einholen. Laut DSGVO-Artikel 4.11 beschreibt eine Einwilligung der betroffenen Person

“[…] jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.”

Nach den neuen Regeln gilt ein Erstbesuch auf Ihrer Website nicht als Einwilligung für die Datenverarbeitung des Besuchers. Dies wird auch dann ausgeschlossen, wenn Sie Informationen anzeigen wie “Durch die Nutzung dieser Website akzeptieren Sie Cookies”.

Eine Einwilligung wir dann ungültig, wenn es keine freie Wahl und keine bestätigende Handlung gibt. Es ist jedoch nicht für jede Datenverarbeitung eine Einwilligung der User erforderlich. Die ePrivacy Verordnung (Bestimmungen für Privatsphäre und elektronische Kommunikation) macht in ihrer neuesten Version eine Ausnahme für die Nutzung personenbezogener Daten zu Web-Analysezwecken. Wenn Sie also ein Web Analytics Tool einsetzen und persönliche Daten nur erheben, um die Performance Ihrer Website zu analysieren, könnten Sie von der Regelung ausgenommen werden.

Dies bleibt jedoch abzuwarten, da eine endgültige Entscheidung diesbezüglich nicht nicht getroffen wurde. Die ePrivacy-Verordnung wird vermutlich erst 2019 oder 2020 in Kraft treten. Bis dahin gilt die DSGVO und das Telemediengesetzt (TMG). Hinzu kommt, dass die Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder am 26. April, einen Monat vor Inkrafttreten der DSGVO, ein Positionspapier verabschiedet hat, wonach auch für Tracking-Cookies vor Aktivierung die Einwilligung eingeholt werden muss. Seitdem schrillen die Alarm-Glocken und jeder Website-Betreiber wird aufgefordert ein funktionierendes Datenschutz-Management einzurichten, um die Einwilligungen zweckgebunden einzuholen.
Diese verschärfte Auslegung wird intensiv bei Datenschützern und Anwälten diskutiert.

Weitere Informationen zum Website-Tracking unter der DSGVO:
– Google Analytics und Matomo ab 25. Mai 2018 nur noch mit Einwilligung?!
– Tracking nur noch mit Einwilligung! Was ist dran am Beschluss der Datenschutzkonferenz?
– Aufsichtsbehörden als Wegbereiter für „Abmahner“ von Internetseiten

Sie brauchen allerdings für jede einzelne Aktivität eine Einwilligung, wenn Sie Analytics-Daten an andere Plattformen (wie DSP oder DMP) übergeben, Remarketing-Kampagnen erstellen (z. B. indem Sie Facebook, Twitter oder Remarketing Pixel einsetzen), Tracking-Codes auf Ihrer Website installieren oder Content basierend auf dem Nutzerverhalten personalisieren.

Jetzt fragen Sie sich wahrscheinlich zu Recht, welche Maßnahmen Sie in diesem Fall ergreifen müssen.

Die DSGVO gibt keine konkreten Anweisungen, wie Einwilligung zur Verarbeitung personenbezogener Daten eingeholt werden sollen. Jedoch werden einige Beispiele für “bestätigende Handlungen” gelistet, die als Zustimmung gelten. Darunter fallen:

• der Einsatz von technischen Einstellungen zur Nutzung von Diensten der Informationsgesellschaft
• das Setzen von Häkchen in einer Auswahlbox auf der Website
• eine andere Erklärung oder ein Verhalten, das die Einwilligung verdeutlicht.

Wir denken, dass ein angezeigtes Pop-up Fenster für Erstbesucher der Website der beste Weg ist, um dieses Thema anzugehen. Wie so etwas aussehen könnte, zeigt das folgende Beispiel unseres frisch gelaunchten Piwik PRO Consent Manager:

Dieses Popup ist DSGVO-konform, weil es:

• jeden einzelnen Zweck für die Datenverarbeitung nennt
• eine Handlung des Besuchers erfordert (für eine Einwilligung muss die Box angeklickt werden)
• auf die Datenschutzrichtlinie verlinkt, wo User mehr über die Verwendung und Weiterverarbeitung ihrer Daten erfahren können.

Unser Blogartikel “Wie speichern und verarbeiten Sie zukünftig Daten unter der DSGVO?” zeigt Ihnen, wie Sie unter der DSGVO Daten sammeln und speichern dürfen.

Welche Sanktionen und Strafzahlungen legt die DSGVO fest?

Die DSGVO sieht bei Strafzahlungen zwei Stufen vor:

1.) Die erste Stufe sind 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Wert höher ist).

2.) In der zweiten Stufe werden bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres fällig (je nachdem, welcher Wert höher ist).

Die Aufsichtsbehörden sind befugt, sowohl gegen die Datenverantwortlichen (das Unternehmen) als auch gegen die Datenverarbeiter Geldbußen zu verhängen. Diese Strafzahlungen können statt oder zusätzlich zu anderen Maßnahmen auferlegt werden.

Hier finden Sie die allgemeinen Bedingungen für die Verhängung von Geldbußen nach Artikel 83 der DSGVO.

DSGVO-Anforderungen in puncto Sicherheit

Wie Sie wissen, ist die DSGVO eine hochrangige Verordnung, die sich mit der Verarbeitung aller möglichen Formen personenbezogener Daten befasst. Daher enthält sie auch konkrete Anforderungen, von denen wir einige im folgen auflisten:

Pseudonymisierung der Daten

Pseudonymisierung wird in Artikel 4.5 der DSGVO definiert als

„die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.”

Auch wenn der Erwägungsgrund 28 anerkennt, dass “Pseudonymisierung auf personenbezogene Daten […] die Risiken für die betroffenen Personen senken” kann, wird dies nicht als ausreichende Methode angesehen, um solche Daten aus dem Geltungsbereich der Verordnung auszuschließen.
Der Erwägungsgrund 26 stellt fest:

“Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden”.

Für Laien übersetzt bedeutet dies, dass pseudonymisierte Daten nach wie vor als personenbezogene Daten gelten und in Übereinstimmung mit den DSGVO-Bestimmungen verarbeitet werden müssen.

Benachrichtigungen über Verletzung des Datenschutzes innerhalb 72 Stunden

Die DSGVO verlangt außerdem, Datenschutzverletzungen personenbezogener Daten innerhalb von 72 Stunden an die Aufsichtsbehörden und die betroffenen Personen selbst zu melden. Diese Verpflichtung ist in Artikel 34 der DSGVO festgelegt. Dort steht:

“Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung”.

Unter der neuen Verordnung müssen die meisten Unternehmen einen Meldedienst einrichten. Es ist wichtig, die Sicherheitsprozesse nicht nur passiv zu überwachen, sondern in dringenden Fällen auch jemanden in der Nacht erreichen zu können. Ein betroffenes Unternehmen sollte alle Hebel in Bewegung setzen, um solche Sicherheitsrisiken zu beseitigen. Zudem muss entschieden werden, ob und warum Datenpannen veröffentlicht werden.

Datenschutz-Folgenabschätzung

Die DSGVO führt auch Verpflichtungen in Bezug auf die Risikoevaluierung und Folgenabschätzung ein. Erwägungsgrund 84 in Artikel 35 erklärt:

“Damit diese Verordnung in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, besser eingehalten wird, sollte der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich sein”.

In dem Artikel finden sich auch die folgenden Richtlinien bezüglich der Erstellung einer Datenschutz-Folgenabschätzung:

“Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden soll”.

Das bedeutet, wenn Sie personenbezogene Daten verarbeiten wollen, müssen Sie eine zuverlässige Verantwortungs-Hierarchie mit Ihrem Technologieanbieter etablieren und diese in die Auftragsdatenvereinbarung aufnehmen. Damit sind Sie und der Technologieanbieter immer auf demselben Stand und beide wissen, was von einem unter dem neuen Gesetz erwartet wird.

Mehr Informationen über die Abwicklung von Auftragsdatenvereinbarungen mit Business-Partnern finden Sie in der Leitlinie der Artikel-29-Datenschutzgruppe. Die Gruppe ist ein unabhängiges Gremium der Europäischen Kommission und veröffentlicht seit 2016 regelmäßig Leitlinien zu Fragen der Auslegung einzelner Regelungsbereiche der DSGVO.

Datenminimierung

Das Prinzip der Datenminimierung wird in Paragraph (1) c) in Artikel 5 thematisiert. Dieser hebt die Notwendigkeit hervor, dass persönliche Daten

“dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‘Datenminimierung’)” müssen.

Einhergehend mit den Anforderungen durch die DSGVO ist es also obligatorisch, dass Unternehmen nur solche Daten sammeln, die für einen spezifischen Zweck erforderlich sind. Außerdem müssen die Daten aktuell, fehlerfrei und relevant sein und der Verwendung muss jede Person zugestimmt haben.

Diese Verpflichtung dürfte sich vielfach positiv auswirken. Beispielsweise häufen sich dadurch nicht mehr die Fälle, in denen Unternehmen jeden einzelnen Informationsschnipsel über Ihre Kunden sammeln und dadurch die Datenbanken von nicht verwendbaren Informationen überflutet werden.

Wichtig: Die ePrivacy darf neben all diesen Themen nicht vergessen werden. Die Regulierung füllt viele Lücken der DSGVO und betrifft alle Digital Marketing Aktivitäten. Lesen Sie mehr dazu im Blogartikel “ePrivacy: Wie wirkt sich die Richtlinie auf Ihr Marketing aus?“.

DSGVO – Fazit

Wir hoffen, dieser Artikel hilft Ihnen bei den weiteren Vorbereitungen auf die DSGVO. Falls Sie noch weitere Informationen zum Thema erhalten wollen, empfehlen wir unsere DSGVO Blog-Artikel und unsere Webseite zum Consent Manager.