Haben Sie schon alle Anforderungen der neuen DSGVO umgesetzt? Speichern Sie zukünftig auch Ihre Web Analytics-Daten DSGVO-konform? Wir müssen ehrlich zu Ihnen sein, es gibt eine ganze Menge zu beachten. Damit Sie sicherstellen können, dass Sie an alles gedacht haben – und ggf. noch rechtzeitig nachbessern können – lesen Sie sich unseren umfassenden Überblick zum Thema DSGVO und Web Analytics-Tracking durch. Wir zeigen Ihnen alle Aspekte, die von den Neuerungen und strengeren Auflagen betroffen sind.
Die Datenschutzgrundverordnung (DSGVO) tritt in wenigen Tagen (25. Mai 2018) in Kraft und löst die obsolete Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr von 1995 ab. Die Intention hinter der DSGVO ist es, betroffenen Personen die volle Kontrolle über ihre persönlichen Daten zu geben sowie Regulierungen zur Erhebung von Daten, die Bürger der Europäischen Union betreffen, zu vereinheitlichen und zu stärken.
Die DSGVO betrifft zwar nur EU-Bürger, somit aber auch alle Organisationen, die Kunden mit Wohnsitz in der EU haben. Faktisch haben sich somit die meisten Datenverantwortlichen (z.B. Unternehmen) und Auftragsverarbeiter (z.B. Cloud-Software-Anbieter) an die Auflagen der bisher strengsten Datenschutzregulierung zu halten.
Wenn Sie also hohe Strafzahlungen (bis zu 4% des Jahresumsatzes, mindestens jedoch 20 Millionen Euro) vermeiden möchten, dann ist es allerhöchste Zeit, zu handeln und die Datenschutzrichtlinien an die DSGVO anzupassen.
In unserer Kategorie DSGVO lesen Sie viele weitere interessante und nützliche Artikel rund um das Thema:
– Alle DSGVO-Themen im Piwik PRO-Blog
Wir erklären in diesem Artikel, was genau gemäß der DSGVO personenbezogene Daten sind und wie eine Einwilligung zur Datenverarbeitung durch den Besucher gegeben werden muss, um gültig zu sein. Zusätzlich zeigen wir Ihnen im Detail, mit welchen Anpassungen Sie Ihr Web Analytics Tracking DSGVO-konform machen können und welche Rechte Sie Ihren Besuchern einräumen müssen.
Update (Dez. 2018): Nach der DSGVO ist vor der ePrivacy! Welche Folgen die ePrivacy-Verordnung für den Online-Markt und Ihr Marketing haben könnte, sollte sie in der aktuellen Fassung tatsächlich in Kraft treten, habe wir ausführlich betrachtet:
- Was ändert sich im Online-Markt?
- Welche Vorkehrungen können wir jetzt schon treffen?
- Was können wir tun, um Einfluss auf die Gesetzgebung auszuüben?
- Welche Nachteile gibt es für uns als Internetnutzer?
- Wieso gibt es keinen Aufschrei seitens der Publisher?
Hier geht es zum Artikel:
ePrivacy-Verordnung: Tickende Zeitbombe für Ihr Online-Marketing? – So bereiten Sie sich vor!
Was sind personenbezogene Daten?
Schauen wir mal in der Verordnung selbst nach, was diese unter personenbezogenen Daten versteht. Die Formulierung kommt beinahe 600 (!) mal in dem neuen Gesetz vor und ist dementsprechend ernstzunehmen.
Artikel 4.1 der EU-DSGVO definiert persönliche Daten so:
“[…] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden “betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann”.
Verglichen mit der alten 95/46/EG-Richtlinie wird die Definition personenbezogener Daten in der DSGVO signifikant erweitert. So müssen auch folgende Daten auf die gleiche Weise wie andere personenbezogenen Daten verarbeitet und geschützt werden:
- Online-Identifikatoren, Standortdaten und Informationen über die genetische, wirtschaftliche oder psychologische Identität einer betroffenen Person
- Cookies (zählen jetzt auch zu den Online-Identifikatoren)
Die DSGVO besagt, dass alle Cookies (einschließlich pseudonymisierter Cookies) als personenbezogene Daten betrachtet werden können, wenn die Möglichkeit besteht, sie zu verwenden, um eine einzelne Person zu separieren oder zu identifizieren. Das ist in Erwägungsgrund 30 des neuen Gesetzes aufgeschlüsselt.
“Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet.
Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren“.
Um konform mit dem neuen Gesetz zu werden, müssen Sie Ihren Umgang in Bezug auf Cookies anpassen. Doch wie? Cookies benötigen unter der aktuellen Gesetzeslage nicht zwingend eine Einwilligung. Der Gesetzestext der DSGVO gibt erfreulicherweise einige Hinweise darauf, wie die Anforderungen umgesetzt werden können.
Wie sieht eine gültige Einwilligung zur Datenverarbeitung aus?
Auch das Verständnis, was eine Einwilligung zur Verarbeitung personenbezogener Daten ist und die Anforderungen an diese sind unter der DSGVO aktualisiert worden. Laut Artikel 4.11 der Regulierung ist eine Einwilligung:
“[…] jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist”.
Wichtig an dieser Stelle: Einwilligungen werden definiert als bestätigende Handlung die eindeutig und informiert gegeben werden muss. Daher ist es nicht mehr möglich, ein Einverständnis beim erstmaligen Besuch der Website zu implizieren. Mehr dazu später in diesem Artikel.
Wie der Prozess des Einholens der Einwilligung zur Datenverarbeitung auszusehen hat, wird in Erwägungsgrund 32 dargelegt:
Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. […] Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen […]. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.
Der Text der Verordnung enthält keine konkreten Anweisungen, wie die Einholung der Einwilligung zur Verarbeitung personenbezogener Daten abzulaufen hat. Die DSGVO listet jedoch Beispiele für “bestätigende Handlungen” auf, die als Zustimmung gelten dürfen. Darunter sind:
- Die Auswahl technischer Einstellungen für die Dienste der Informationsgesellschaft
- Einen Haken in einer Auswahlbox zu setzen
- eine andere Erklärung oder ein Verhalten, das die Einwilligungserklärung verdeutlicht.
Nicht ausreichend sind demnach:
- Stillschweigen
- vorausgewählte Checkboxen
- Inaktivität
Wie Sie diese nicht allzu konkreten Anforderungen am besten in die Praxis umsetzen, zeigen wir Ihnen jetzt.
Analytics & DSGVO = Piwik PRO
Wir sorgen dafür, dass Sie sich wegen der DSGVO nicht mehr den Kopf zerbrechen müssen. Wir bieten Ihnen professionelle Analytics – DSGVO compliant.
Web Tracking unter der DSGVO – so geht’s
1. Entfernen Sie Cookie-Hinweise
Ja, diese nervigen kleinen Pop-ups ohne Auswirkungen auf das Tracking mit reinem Informationscharakter müssen verschwinden. Nach den neuen Regeln gilt der erstmalige Besuch Ihrer Website nicht als Einwilligung in die Verarbeitung der Daten des Besuchers, auch wenn Sie Hinweise anzeigen wie: “Durch die Nutzung dieser Website akzeptieren Sie Cookies”.
Verwenden Sie als Alternative eine Consent-Box, also ein Pop-up, dass nach der konkreten Einwilligung des Besuchers fragt. Diese Checkbox zeigen Sie jedem erstmaligen Besucher Ihrer Website. Damit Sie sich besser vorstellen können, wie so eine Consent-Box aussehen könnte, zeigen wir Ihnen hier ein Pop-up unseres Consent Managers, das Sie mit Hilfe des Piwik PRO Tag Managers automatisch implementieren können.
Dieses Pop-up ist DSGVO-konform, denn die Einwilligung ist:
freiwillig gegeben – Sie machen die Einwilligung nicht zur Bedingung, um Ihre Website oder Services zu nutzen, sondern fragen höflich, ob Ihre Besucher mit Ihnen ihre Daten teilen wollen.
spezifisch – Sie erlauben Ihren Besuchern, separate Einwilligungen zu den unterschiedlichen Zwecken der Datenverarbeitung zu geben.
informiert – Sie erklären jeden einzelnen Zweck zur Datenspeicherung
eindeutig – Ihre Besucher müssen eine Checkbox anklicken, um Ihrer Anfrage zuzustimmen. Diese Anfrage zur Einwilligung ist außerdem klar unterscheidbar von anderen Anliegen.
Allerdings brauchen Sie definitiv die Einwilligung Ihrer Besucher, wenn Sie Analytics-Daten an andere Plattformen (wie DSP oder DMP) übergeben, Remarketing-Kampagnen und -Pixel einsetzen oder den Content auf Basis des Nutzungsverhaltens Ihrer Besucher personalisieren.
Wichtig: Es steht noch nicht fest, ob für jede Art von Web-Tracking eine Einwilligung erforderlich ist. Der aktuelle Entwurf der ePrivacy Verordnung, auch u.a. bekannt als Cookie-Richtlinie, macht in ihrer neuesten Version noch eine Ausnahme für die Nutzung personenbezogener Daten für die reine Webanalyse der Website.. Wenn Sie also ein Web Analytics-Tool einsetzen und persönliche Daten nur erheben, um die Performance und Usability Ihrer Website zu analysieren, dann sind Sie vielleicht schon heute auf der sicheren Seite. Eine endgültige Entscheidung wird aber nicht vor 2019/2020 erwartet.
Update zum Artikel: 4 Wochen vor Inkrafttreten des neuen Datenschutzgesetzes gibt es allerdings neuen Zündstoff auf richtige Anwendbarkeit der DSGVO bezüglich Cookies und das damit verbundene Web-Tracking. Die unabhängigen Datenschutz- behörden des Bundes und der Länder haben sich als Hardliner entpuppt und empfehlen in Ihrem Positionspapier, dass Web Analytics ebenfalls erst durch Einwilligung seitens des Users aktiviert werden darf. Es sollte explizit ein Opt-In abgefragt werden. Web-Tracking-Daten können zum Profiling herangezogen werden. Dies ist ein massiver Rückschlag für alle Website-Betreiber, die sich bisher auf der sicheren Seiten wähnten, solange sie keine personenbezogenen Daten in ihren Webanalyse-Tools speichern. Allerdings wird dieses Positionpapier von Anwälten und Datenschützern kontrovers diskuriert, da es immer noch nicht, eindeutig ist.
Dementsprechend sollten alle Unternehmen, um auf Nummer sicher zu gehen, bis zum 25.5. ein funktionierendes Consent-Management einrichten, das die User beim Erstbesuch ihrer Website nach Ihrer Einwilligung fragt und erst nach Bestätigung das entsprechende Tracking startet und weitere Pixel nachlädt. Über einen Tag Manager lässt sich dieser Consent-Prozess steuern und alle Einwilligungen datenschutzkonform speichern.
Wenn Sie mehr über den aktuellen Status der ePrivacy-Regulierung lesen möchten, empfehlen wir Ihnen diese Artikel:
– ePrivacy-Verordnung: Was bedeutet das neue EU-Recht für Ihr Unternehmen?
– ePrivacy: Wie wirkt sich die Richtlinie auf Ihr Marketing aus?
2. Browser EInstellungen werden (vermutlich) als Einwilligung aufgefasst
In der DSGVO selbst gibt es keinen Abschnitt zu Browser-Einstellungen. Die ePrivacy-Regulierung lässt aber vermuten, dass Sie Ihre Besucher im Bezug auf Tracking-Cookies nicht informieren müssen, wenn der Browser so eingestellt ist, dass Cookies akzeptiert werden. Da diese Einstellung manuell vorgenommen werden muss, erfüllt sie die beschriebenen Anforderungen der DSGVO und gilt als bestätigende Handlung und demnach als Einwilligung.
3. Beschreiben und rechtfertigen Sie jeden Zweck zur Datenerhebung personenbezogener Daten Ihrer Besucher
Unterschiedliche Arten von Cookies für unterschiedliche Zwecke erfordern jeweils eigene Einwilligungen. Für eine saubere Kommunikation empfehlen wir, alle verwendeten Arten und Zwecke der Datenspeicherung in den Datenschutzbestimmungen aufzulisten. Besucher können sich so mit ihnen vertraut machen und Sie zeigen Transparenz in Ihrer Datenverarbeitung.
In Erwägungsgrund 32 steht dazu:
“Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.
Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.”
Es ist vielleicht noch nicht so ganz klar, wie eine solche Beschreibung eines Datenverarbeitungszwecks aussehen kann. Dafür gibt es bereits einige Beispiele, an denen Sie sich orientieren können. So hat beispielsweise PayPal das Problem gelöst.
4. kein juristisches Fachchinesisch mehr
Achten Sie darauf, wie Sie Ihre Datenschutzrichtlinie formulieren. Die DSGVO fordert Formulierungen, die jeder Internetnutzer unmissverständlich versteht.
Es lässt sich nicht von einer wirklichen Einwilligung sprechen, wenn Websitebesucher nicht genau wissen, wozu sie eigentlich alles ihre Zustimmung geben. Das wird auch deutlich im Abschnitt zum Prinzip der Transparenz, zu finden unter Erwägungsgrund 58:
“Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. […]
Dies gilt insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet.”
5. Ihre Besucher sollten jederzeit die Möglichkeit zum Opt-Out haben
Auch nachdem Sie eine wirksame Einwilligung zur Datenverarbeitung erhalten haben, müssen Ihre Besucher jederzeit die Möglichkeit haben, ihre Auswahl auf einfachem Weg zu bearbeiten. Der Widerruf zur Datenverarbeitung sollte genauso einfach sein, wie die Zustimmung.
Das wird in Artikel 7.3 der DSGVO deutlich:
“Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.”
In Piwik PRO ist eine direkte Opt-out-Funktion kein Novum mehr. Wir setzen diese Anforderung mit Hilfe eines Privacy-Widgets um. Dieses Widget zur Anpassung der Datenschutzeinstellungen kann auf der Seite mit Ihren Datenschutzbestimmungen implementiert werden. Es ist eines der Features unseres DSGVO Consent Managers, dem neuesten Software-Modul der Piwik PRO Marketing Suite. Das Tool hilft unseren Kunden, Einwilligungen rechtskonform zu sammeln, zu speichern und zu verwalten sowie Datenschutz-Anfragen zu verarbeiten.
Mehr über die Möglichkeiten des Piwik PRO Consent Managers erfahren Sie in unserem Blogartikel Piwik PRO Consent Manager Release: Kommen Sie der DSGVO-Compliance einen großen Schritt näher.
Ermöglichen Sie Ihren Besuchern die Wahrnehmung ihrer Rechte
Neue Rechte der Anwender stellen zukünftig einen weiteren wichtigen Aspekt dar. Die Datenschutzgrundverordnung führt Verpflichtungen für Unternehmen ein, durch die betroffenen Personen folgende Rechte ausüben können:
- Auskunftsrecht (Art. 15)
- Recht auf Berichtigung (Art. 16)
- Recht auf Löschung ( bekannt als das “Recht auf Vergessenwerden”) (Art. 17)
- Recht auf Einschränkung der Verarbeitung (Art. 18)
- Recht auf Datenübertragbarkeit (Art. 20)
- Widerspruchsrecht (Art. 21)
Unsere Infografik zu den Rechten von betroffenen Personen fasst dies übersichtlich zusammen.
Sie tragen die Verantwortung den Prozess für die Anfragen betroffener Personen zu etablieren, so dass Sie innerhalb der 30-Tage-Frist die individuelle Anfrage bearbeiten können. Eine Einbindung eines Formulars, dass diese Anfragen bündelt und als digitale Anlaufstelle dient, empfehlen wir ausdrücklich. Dieses sollten Sie transparent im Bereich Ihrer Datenschutzerklärung und AGBs platzieren. Im Falle einer Datenschutzanfrage werden Sie dann informiert und können die notwendigen Maßnahmen ergreifen.
Bleiben Sie am Ball
Das Thema DSGVO ist noch lange nicht abgeschlossen. Es wird uns stetig begleiten. Auch die ePrivacy-Verordnung ist noch nicht erschienen und wird in ihrer aktuellen Fassung zur Zeit geprüft. Es dürften sich also bis zu ihrem Inkrafttreten noch einige Dinge ändern.
Damit Sie den Überblick nicht verlieren, befassen wir uns regelmäßig in unserem Blog mit diesen Themen.
Piwik PRO Consent Manager
Sammeln, Verarbeiten und Speichern Sie Einwilligungen und Anfragen betroffener Personen DSGVO-konform.