Digital Analytics datenschutzkonform unter DSGVO und ePrivacy einsetzen

Regelmäßige Leser unserer Piwik PRO Blog-Serie zum Thema DSGVO haben sicher bereits festgestellt, dass unsere Beiträge ein bestimmtes Ziel verfolgen: In Hinblick auf die Deadline zum Inkrafttreten der DSGVO möchten wir Sie und Ihr Unternehmen möglichst gründlich auf die anstehenden Veränderungen vorbereiten, Ihre Fragen beantworten und die Risiken in Bezug auf den Datenschutz minimieren.

Zu Beginn haben wir darüber geschrieben, welche Veränderungen die DSGVO beinhaltet und ob sie für Ihr Unternehmen relevant ist. Wir haben angesprochen, auf welche Bereiche der Webanalyse sich die DSGVO auswirkt und auch welche Folgen die neue ePrivacy-Richtlinie für Ihr Unternehmen haben wird.

Dieser Artikel konzentriert sich auf das Herzstück der DSGVO und des Datenschutzrechts, da es die Grundprinzipien der Verarbeitung personenbezogener Daten überprüft und der Frage nachgeht, wie sichergestellt werden kann, dass Ihr Unternehmen gesetzeskonform handelt. Insbesondere auf die ausdrückliche Zustimmung (Consent) wird unter Berücksichtigung der bevorstehenden ePrivacy-Verordnung, die voraussichtlich zeitgleich mit der DSGVO in Kraft tritt, nochmals zurückgekommen.

Verarbeitung von persönlichen Daten – Die wichtigsten Grundsätze

Europa hat mit der DSGVO das Rad in Bezug auf die Grundprinzipien der Verarbeitung personenbezogener Daten nicht neu erfunden. Wie bereits im Jahre 2014 in “The Privacy Engineers Manifesto” hervorgehoben wurde, teilt das Datenschutzrecht weltweit die gleichen Grundprinzipien, wie Sie unten sehen können.

Artikel 5 der DSGVO ist sehr ähnlich, dennoch sollte man die Aufmerksamkeit über den ersten Paragrafen hinaus auf den erweiterten Begriff der Rechenschaftspflicht lenken.

Tatsächlich hebt Paragraf 2 hervor: “der Controller zeichnet sich verantwortlich und sollte in der Lage sein, einen Nachweis der Einhaltung des Paragrafen 1 zu erbringen (“Rechenschaftspflicht”).”

Die Wahrscheinlichkeit ist groß, dass Datencontroller mit direktem Kundenumgang, Unterstützung in Fragen der Compliance bei ihren Datenverarbeitungspartnern suchen. Wie Compliance nachgewiesen werden kann, ist Teil der Debatte: Wie können Sie beweisen, dass Daten nur so lange wie nötig gespeichert werden?

Oder wie weisen Sie nach, dass “Daten nicht weiter auf eine Art und Weise verarbeitet werden, die mit jenen Zwecken unvereinbar ist“ (also den Zwecken, für die die Daten in erster Linie erhoben wurden)?

Die Datenlöschung oder zumindest die Anonymisierung belegen zu können, sollte Teil der Daten-Praxis im Rahmen der DSGVO werden.

Datenminimierung

Beachten Sie zudem, dass sich eines der Grundprinzipien mit der “Big-Data” Praxis nicht besonders gut verträgt: Das Prinzip der Datenminimierung in Paragraf 1 ( c ), Artikel 5, hebt hervor, dass “personenbezogene Daten in Bezug auf die Zwecke, für die sie verarbeitet werden, angemessen, relevant und begrenzt sein müssen”. Vereinfacht gesagt: So viel wie nötig, so wenig wie möglich.

Dieses Prinzip kann nur aufrechterhalten werden, wenn die Datenbranche den ursprünglichen Zweck im Auge behält, für den die Daten bestimmt waren und die Koordinierung durch Traceability-Mechanismen sicherstellt. Einige Traceability-Mechanismen scheinen noch in der Entwicklung zu stecken. Die Strukturierung der Verwendungszwecke der Daten wird bei jetzigen Traceability-Methoden jedoch unglücklicherweise kaum berücksichtigt, was für die bevorstehenden “Internet of Things”-Initiativen nichts Gutes bedeutet.

Rechtmäßigkeit der Verarbeitung

Sobald die Grundprinzipien der Verarbeitung personenbezogener Daten für Sie nachvollziehbar sind – inklusive Definition der Zweckgebundenheit; also der Grund, wofür die Daten in erster Linie genutzt werden – kann Ihr Unternehmen im nächsten Schritt bestimmen, welche Mechanismen die Verarbeitung von Daten gesetzeskonform ermöglicht.

Die DSGVO erlaubt eine Reihe von Möglichkeiten, von denen solche mit einem berechtigten Interesse in der Regel auch jene sind, die am meisten genutzt werden.

Stellen Sie sich beispielsweise jemanden vor, der mit einer Telefongesellschaft einen Vertrag abschließt, um Anrufe mit einer persönlichen Telefonnummer tätigen und annehmen zu können. Die Daten, die verarbeitet werden, um dieses Konto zu erstellen, den Service zu ermöglichen und Rechnungen zu erstellen würden üblicherweise unter den Titel “berechtigtes Interesse” fallen: Die beteiligten Parteien haben ein berechtigtes Interesse daran, dass diese Datenverarbeitungsprozesse gesetzeskonform sind; sowohl die Bürger bzw. Kunden, deren Daten im Rahmen dieses Vertrages bearbeitet werden, als auch der Datencontroller und die Telefongesellschaft, die diesen Service zur Verfügung stellen.

Die Frage, wie weit das Konzept des berechtigten Interesses reicht, bietet viel Diskussionsstoff; insbesondere wenn man über digitale Daten redet. Erwägungsgrund 47 präzisiert weiter, dass “die Verarbeitung zwingend notwendiger personenbezogener Daten zum Zwecke der Vorbeugung vor Betrug ebenfalls ein berechtigtes Interesse für den zuständigen Datacontroller darstellt”.
Schutz vor Betrug erhält einen Blankoscheck für gesetzeskonforme Datenverarbeitung; einen, der auch bei digitalen Aufgaben genutzt wird.

Direktmarketing wird jedoch, obwohl es ebenfalls in Erwägungsgrund 47 aufgelistet ist, nicht gebilligt. Allerdings besagt die letzte Zeile dieses Erwägungsgrundes, dass “die Verarbeitung personenbezogener Daten zum Zwecke des Direktmarketings als berechtigtes Interesse betrachtet und realisiert werden kann”. In anderen Worten: Im Gegensatz zur Betrugserkennung wird Direktmarketing nicht automatisch als berechtigtes Interesse anerkannt.

Wenn es um Digital Analytics geht, ist es notwendig zu beachten, dass das berechtigte Interesse vorerst nicht zu den verfügbaren Optionen im Rahmen der ePrivacy-Verordnung gehört, um die Gesetzeskonformität der Verarbeitung zu gewährleisten. Tatsächlich beinhaltet Artikel 8.1 der ePrivacy-Regulierung diesen Teil der DSGVO nicht, während in Artikel 6 der DSGVO von ausdrücklicher Einwilligung (Consent) die Rede ist. Gleichzeitig schließt die DSGVO in der Liste personenbezogene Cookies und Unique Identifiers ein. So bezieht sich die Datenschutzgesetzgebung eindeutig auch auf Digital Analytics.

ePrvicay und die Rechtmäßigkeit der Verarbeitung

Während wir nicht von einer direkten Umsetzung der DSGVO-Logik in die ePrivacy-Verordnung, die als lex specialis betrachtet werden kann sprechen können, bezieht sich Artikel 8 auf den Schutz von Informationen, die in den Endgeräten von Endanwendern gespeichert sind. Tatsächlich geht es hierbei um den Zugriff auf Cookies und andere Informationen, die auf Geräten verfügbar sind.

Der Artikel besagt, dass der Zugriff auf Daten, die sich auf einem Gerät befinden, durch jemand anderen als den Nutzer verboten ist; außer der Endanwender erteilt seine ausdrückliche Zustimmung (Option B) oder der Zugriff fällt unter die Ausnahme des Web-Audience-Measurements (Option D).

Offensichtlich sind wir in Digital Analytics weit gekommen, seit die Datenschutzrichtlinie für elektronische Kommunikation im Jahre 2009 verabschiedet wurde. Während es dieses Mal so zu sein scheint, dass das Gesetz für alle Länder gültig sein wird – denn es wird eine Verordnung, keine Richtlinie – müssen wir uns bessern und darauf achten, dass die Endanwender die Art und Weise, wie auf ihre Daten zugegriffen wird und sie genutzt werden, besser verstehen.

Die DSGVO beschreibt das Prinzip der “Einwilligung” als: „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; (GDPR, Artikel 4 (11)).

Nutzer haben also zukünftig deutlich mehr Mitspracherecht, wenn es um die Nutzung ihrer Daten geht.

Angesichts der zuvor diskutierten Haftungspflicht bietet der ICO in seiner “GDPR Consent Guidance” (S.34) eine Anleitung bezüglich der Einwilligung, damit Sie eine Vorstellung davon haben, was für den Nachweis der Compliance erforderlich ist.

Die Frage der Einwilligung im Rahmen der ePrivacy-Verordnung

Es ist vermutlich noch zu früh, um sicher zu sein, dass der Wortlaut des Artikel 8 exakt so bestehen bleibt. Sicher ist dagegen, dass die Zeit für den Gesetzgeber zu einer Einigung zu kommen drängt und auch die Unternehmen, die im digitalen Datenökosystem aktiv sind, brauchen verlässliche Aussagen.
Die Einwilligungspflicht, auch in Einklang mit den Einwilligungsbedingungen der DSGVO (Artikel 7), unter denen betroffene Personen den Consent jederzeit zurückziehen können, sollte bei der Suche nach Lösungen im Mittelpunkt stehen. Auch um rechenschaftspflichtige Systeme, für die sich rasch entwickelnde IoT, zu entwickeln.

Zusammenfassung

Die DSGVO und ihre Partnerin, die ePrivacy-Verordnung, beeinflussen auch die Digital Analytics. Beide Verordnungen beinhalten ähnliche Grundprinzipien, wie zum Beispiel Transparenz, Wahlmöglichkeit, die Möglichkeit der Einsicht und Korrektur von gesammelten Informationen, Schutz der Informationen und der Haftung. Während Die DSGVO zur gesetzeskonformen Verarbeitung der Daten jedoch auch das “legitime Interesse” berücksichtigt, bezieht die ePrivacy-Regulierung lediglich den Aspekt des “Consent” in Betracht.

Die endgültige Fassung der ePrivacy wird noch immer diskutiert. Unternehmen sollten darüber nachdenken, wie sie mit der Einwilligungspflicht (erinnern Sie sich an Cookie Walls?) am besten umgehen, um das Vertrauen der Kunden zu verbessern.

Das Gesetz kann nur so weit gehen: Es ist ein Mindeststandard für die Einhaltung von Datenschutzgrundsätzen und hat die Absicht technologisch neutral zu sein, um im Zuge des schnellen technologischen Fortschritts möglichst lange aktuell zu bleiben. Vielleicht werden Lösungen in Gestalt alter Freunde wie DNT (DoNotTrack) gefunden, wobei sowohl das Gesetz als auch die Industrie eine Rolle spielen können, um das (digitale) Datengleichgewicht wieder herzustellen.

Dieser Artikel erschien zuerst in unserem englischen Blog von Aurélie Pols.