EU-DSGVO: Ist Ihre Web Analytics Software in Einklang mit dem neuen Gesetz?

Veröffentlicht: Januar 4, 2018 Update: Juni 18, 2019 Autor , Kategorie Analytics, Datenschutz, DSGVO

Die neue EU-Datenschutzrichtlinie steht vor der Tür – Höchste Zeit für Unternehmen, ihre Compliance mit der DSGVO zu überprüfen. Ein besonders wichtiger Schritt in diesem Prozess ist die Auseinandersetzung mit den eigenen Technologie-Partnern – einschließlich des Web-Analytics-Anbieters – und deren deren Umgang mit den Anforderungen der DSGVO. In diesem Guide erfahren Sie, wie Sie diese Herausforderungen angehen können.

Inhaltsverzeichnis

  1. Wie bereiten sich Unternehmen auf die DSGVO vor?
  2. Wie wird Ihr Web-Analytics-Anbieter die Zustimmung der betroffenen Personen einholen?
    1. So geht´s
  3. Widerruf und Überprüfung von Einwilligungen
    1. So geht´s
  4. Verarbeitung und Speicherung von Einverständniserklärungen
  5. Sind Sie der alleinige Besitzer Ihrer Daten?
    1. So geht´s
  6. Wie werden Anfragen betroffener Personen verarbeitet?
    1. So geht´s
      1. Anfragen zu Dateneinsicht und -korrektur
      2. Anfrage zur Löschung (aka. “Recht auf Vergessenwerden”)
  7. Kann Ihr Analytics-Partner Ihnen dabei helfen, die Datensammlung zu minimieren?
    1. So geht´s
      1. Cookie-freies Tracking und IP-Adressen-Masking
      2. Detaillierte Auflistung aller Daten die gesammelt werden sollen
  8. Garantiert Ihr Anbieter Ihnen absolut sichere Datenspeicherung, idealerweise innerhalb der EU?
    1. So geht´s
  9. Datenverarbeitungsvereinbarungen sind das A und O
  10. Die DSGVO kommt – ein Fazit

Der 25. Mai 2018 – der Tag, an dem die neue Europäische Datenschutzrichtlinie in Kraft tritt – kommt schneller, als Sie denken. Unternehmen können dann durch die Behörden auf DSGVO-Konformität geprüft werden und müssen bei Verstößen mit empfindlichen Strafzahlungen rechnen. Es ist relativ wahrscheinlich, dass die Finanzindustrie – eine ohnehin besonders stark regulierte Industrie – zuerst mit Kontrollen rechnen muss.

Dieser Sachverhalt ist durchaus nachvollziehbar. Schließlich verarbeiten Finanzinstitute täglich eine riesige Menge personenbezogener Daten. Darunter sind vertrauliche und sensible Daten wie Kontostände, Kreditkartennummern, Kredit-Scores und vieles mehr. All dies erhöht die Wahrscheinlichkeit, dass die Aufsichtsbehörden sich zunächst stärker auf den Finanzsektor konzentrieren.

Wie sich herausstellt, ist die Industrie sich dessen absolut bewusst. In einer Umfrage des Software-Anbieters Varonis im März 2015 vermuteten die Befragten, die zu großen Teilen aus dem Finanzsektor stammen, dass Banken die ersten in der Schusslinie der DSGVO sein würden.

Wie bereiten sich Unternehmen auf die DSGVO vor?

Man würde annehmen, dass diese Vermutungen mit ernsthaften Vorbereitungen auf die Datenschutzanforderungen einhergingen. Doch Bewusstsein führt nicht automatisch zu Handlung. Das zeigen zumindest aktuelle Umfragen.

Laut einer Umfrage in einem aktuellen Artikel der Financial Times sind 76 Prozent der IT-Verantwortlichen von Finanzdienstleistern (inklusive Banken) der Meinung, ernstzunehmende Hürden bezüglich der DSGVO-Konformität überwinden zu müssen.

Auch die Schlussfolgerungen der kürzlich veröffentlichten “State of European Data Privacy Survey” von Symantec geben keinen Anlass zu Optimismus. Die Studie hat Informationen von mehr als 900 Unternehmen und IT-Entscheidungsträgern in Frankreich, Deutschland und dem Vereinigten Königreich gesammelt. Sie zeigt, dass die Mehrheit der europäischen Unternehmen um die Einhaltung der neuen Datenschutzgrundverordnung besorgt ist. Fast jeder vierte von ihnen sagte voraus, bis zum Inkrafttreten der Verordnung keine Konformität herstellen zu können.

Bereiten sich auf die DSGVO vor - Stichtag 25. Mai 2018

Erfahren Sie alles über die neue Datenschutzgrundverordnung in unserem Whitepaper und vermeiden Sie Datenschutz-Risiken

Zum kostenlosen Whitepaper zur DSGVO

Nicht ausreichend auf die DSGVO vorbereitet zu sein, kann Sie eine Menge Geld kosten. Wie Sie wahrscheinlich schon mehrfach gehört haben, sieht die neue Verordnung Strafzahlungen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens vor.

Gehört Ihr Unternehmen zu denjenigen, die bei der Vorbereitung auf das neue EU-Recht hinterherhinken? Dann haben Sie wahrscheinlich das Gefühl, sich in einem Wettlauf gegen die Zeit zu befinden. Wir sind jedoch zuversichtlich, dass Unternehmen mit der richtigen Herangehensweise und dem sinnvollen Einsatz interner Ressourcen die Deadline einhalten können.

Natürlich werden die Vorbereitungen auf die DSGVO nicht einfach, müssen doch Maßnahmen wie z.B. diese umgesetzt werden:

  • Ein Koordinations-Team für die DSGVO gründen
  • Einen Datenschutzbeauftragten ernennen
  • Neue interne Datenschutz-Richtlinien entwerfen und die lokale Compliance sicherstellen
  • Neue Datenschutzverfahren erstellen
  • Datenverarbeitungsprozesse auswerten
  • Und viele, viele mehr

All dies mag auf den ersten Blick überfordernd erscheinen. Aber es bleibt ja noch etwas Zeit, bevor die DSGVO in Kraft tritt. Die letzten Monate haben wir damit verbracht, eine ganze Reihe an Materialien zum Thema DSGVO zu erstellen, von denen wir hoffen, dass sie sich auch für Sie als hilfreich erweisen.

In diesem Artikel möchten wir uns auf einen einzelnen, aber sehr wichtigen, Aspekt der DSGVO-Compliance fokussieren: die Sicherstellung, dass Technologiepartner die Daten Ihrer Nutzer gemäß den Bestimmungen des neuen Gesetzes verarbeiten. Diese Regel gilt insbesondere für MartTech- und AdTech-Tools. Denn obwohl die Datenverarbeitung im Zusammenhang mit der Erbringung einer Dienstleistung und der Erfüllung der Vertragsbestimmungen keine Zustimmung des Nutzers erfordert, muss die Erhebung personenbezogener Daten für Marketingzwecke vom Nutzer genehmigt werden.

Wir werden dies am Beispiel von Web-Analytics diskutieren, denn wir sind stolz auf unsere Expertise in diesem Bereich. Außerdem wissen wir schon mit Sicherheit, wie wir mit unseren Produkten auf die kommenden DSGVO-Anforderungen reagieren werden.

Im Folgenden finden Sie eine Liste von Aspekten, die Sie bei der Bewertung Ihres Web-Analytics-Anbieters im Hinblick auf die Einhaltung der DSGVO-Richtlinien berücksichtigen sollten. Außerdem haben wir für jedes Thema Beispiele für Lösungen vorbereitet, die den DSGVO-Richtlinien entsprechen:

Wie wird Ihr Web-Analytics-Anbieter die Zustimmung der betroffenen Personen einholen?

Eine der vielen Neuerungen, die mit der DSGVO eingeführt werden, ist die Notwendigkeit, die Zustimmung des Nutzers einzuholen, bevor persönliche Daten verarbeitet werden. In der DSGVO steht dazu:

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist […]. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen […]. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.

Es versteht sich von selbst, dass Ihr Web-Analytics-Anbieter Ihnen eine Möglichkeit bieten sollte, Einwilligungen in der Art und Weise zu sammeln, wie sie im Text der Verordnung beschrieben sind – Also freiwillig, informiert und unmissverständlich durch eine aktive Handlung der betroffene Person gegeben werden müssen.

Einen guten Überblick über den Prozess der Datenerhebung und -verarbeitung unter der DSGVO finden Sie auch in unserer Infografik: Wie speichern und verarbeiten Sie zukünftig Daten unter der DSGVO?

Vergessen Sie nicht, dass Sie separate Zustimmungen für jede Art der Verwendung personenbezogener Daten benötigen. Zum Beispiel:

  • Eine für die Personalisierung von Inhalten und eine weitere für die Durchführung von Webanalysen.
  • Eine für den Einsatz von first-party-Cookies und eine weitere für third-party-Cookies.

Wie Sie eindeutig sehen können, ist das Thema komplex. Daher ist es wichtig, dass der Anbieter Ihrer Webanalyse-Lösung einen genauen Plan hat, wie er diese Vorgaben umsetzt.

Der große Web Analytics Anbieter Vergleich

Vergleichen Sie die Key-Features und das Leistungsspektrum von Piwik PRO mit Google Analytics 360, Adobe Analytics, Webtrends und etracker

Zum kostenlosen Web Analytics Vergleich

So geht´s

Der Text der Verordnung enthält keine konkreten Anweisungen für die Einholung der Einwilligung zur Verarbeitung personenbezogener Daten. Allerdings stellt die DSGVO klar, dass “bestätigende Handlungen”, die mit einer Zustimmung gleichgesetzt werden können, sich wie folgt präsentieren können:

  • Auswahl von technischen Voreinstellungen für Dienste der Informationsgesellschaft
  • Anhaken einer Box auf einer Webseite
  • eine andere Erklärung oder ein Verhalten, das die Einwilligungserklärung verdeutlicht.

Wir sind der Meinung, dass die Verwendung eines Popups, welches beim ersten Besuch Ihrer Webseite angezeigt wird, die beste Methode ist und sicherste Methode ist. Hier sehen Sie ein Beispiel dafür, wie ein ideales Popup mit allen notwendigen Informationen aussehen könnte. Dieser Vorschlag kommt von PageFair:

Es ist DSGVO-konform, weil es:

  • Jeden Zweck der Datennutzung auflistet
  • Eine Handlung des Nutzers erfordert, nämlich den aktiven Klick zur Zustimmung
  • Auf bestimmte Bereiche der Datenschutzerklärung verlinkt, unter denen der Nutzer mehr darüber erfahren kann, wie seine Daten verarbeitet werden.

Sobald Sie all diese punkte erfüllen, können Sie sich entspannt zurücklehnen. Die erforderliche Zustimmung des Nutzers erhalten Sie auf diesem Weg nämlich freiwillig, explizit, wissentlich und eindeutig – ganz wie die DSGVO es erfordert.

Beachten Sie jedoch, dass die Einwilligung durch den User nicht das einzig mögliche Szenario ist. Der Nutzer kann die Datenverarbeitung auch ablehnen oder überhaupt keine Reaktion auf das Popup zeigen. In letzterem Fall können Sie natürlich weiter versuchen, die Zustimmung doch noch einzuholen.

Eine Notification, die am oberen Rand der Webseite erscheint, um den User an Ihre Anfrage zu erinnern, wäre eine Möglichkeit. Sie könnte zum Beispiel so aussehen:

Widerruf und Überprüfung von Einwilligungen

Bedenken Sie, dass Ihre Besucher, selbst wenn sie eine gültige Einwilligung gegeben haben, eine einfache Möglichkeit vorfinden müssen, um ihre Einwilligung zu widerrufen.

In Artikel 7.3 der neuen Regelungen ist formuliert:

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

So geht´s

Ihr Web-Analytics-Anbieter könnte Ihnen ein Widget bereitstellen, das auf der Seite Ihrer Datenschutzerklärung installiert werden kann. Es würde auf Ihre Startseite verlinken, um den Nutzern einen einfachen Zugang zu gewähren. Ein solches Widget würde jedem Nutzer einen Einblick in den aktuellen Status seiner Einverständniserklärung bieten und gleichzeitig die Anpassung oder den Widerruf ermöglichen.

Natürlich ist es möglich, dass Ihre Nutzer sie auf verschiedensten Wegen versuchen zu erreichen, z.B. über E-Mail, Kontaktformulare oder sogar per Post. Für diese Fälle benötigen Sie einen generischen link (bereitgestellt von Ihrem Analytics-Anbieter), den Sie den Nutzern schicken können, um die Datenverarbeitung stoppen oder Ihre Einwilligung einsehen zu können.

Verarbeitung und Speicherung von Einverständniserklärungen

Darüber hinaus sollte Ihr Webanalyse-Anbieter Informationen über gegebene Opt-ins und Opt-outs zusammen mit einem Zeitstempel und einer Benutzerkennung speichern. Dies hilft Ihnen den Nutzer zu identifizieren, sollte er eine Anfrage übermitteln.

Dies ist entscheidend, denn unter der DSGVO laufen Einverständniserklärungen nach sechs Monaten ab. Danach müssen Sie die Zustimmung erneut einholen. Positiv: Auch Nutzer die ihre Zustimmung verweigert haben, dürfen sie nach Ablauf der sechs Monate erneut um Ihre Einwilligung zum Tracking bitten.

Web Analytics & DSGVO - Das sollten Sie wissen!

In unserem Whitepaper zeigen wir Ihnen, wie Sie in 12 einfachen Schritten Ihre Analytics-Software DSGVO-konform einsetzen

Zum kostenlosen Whitepaper DSGVO & Web Analytics

Jede Einwilligung und jeder Opt-out Ihrer Nutzer sollten an einem zentralen Ort gespeichert werden und für Sie leicht zugänglich sein. Auf diese Weise können Sie die Einwilligungen Ihrer Nutzer einfach verwalten und auf die erforderlichen Daten problemlos während einer Prüfung durch die Behörden zugreifen.

Sind Sie der alleinige Besitzer Ihrer Daten?

Achten sie darauf, dass Ihnen Ihr Web-Analytics die 100%ige Kontrolle über Ihre Daten gibt. Auf diese Weise können Sie sicherstellen, dass die personenbezogenen Daten Ihrer Nutzer niemals, ohne Ihr Einverständnis, mit Drittparteien geteilt oder von ihnen verwendet werden können.

Auch wenn die neue Gesetzgebung die Datenweitergabe an Ihre Geschäfts- oder Technologiepartner nicht verbietet, fordert Sie dennoch die Zustimmung durch die betroffene Person im Vorfeld. All diese Bedingungen können Ihr Pop-up für die Einverständniserklärung sehr lang und abschreckend aussehen lassen.

Die Weitergabe der Daten an dritte Parteien bedeutet aber auch, dass Sie einen weiteren Partner in Hinblick auf seine DSGVO-Compliance überprüfen müssen.
Also teilen Sie die Verantwortung der DSGVO-konformen Datenverarbeitung mit einer weiteren Instanz, auf die Sie sich verlassen müssen.

Professionelle Web Analytics unter höchsten Datenschutzbedingungen - So geht's

In unserem Whitepaper zeigen wir Ihnen, wie Sie professionelle Web Analytics mit dem Datenschutz in Einklang bringen

Zum kostenlosen Whitepaper

So geht´s

Leider beanspruchen die meisten auf SaaS-basierenden Analytics-Anbieter das Recht auf die gesammelten Daten und nutzen diese, um ihre eigenen Produkte und Services zu verbessern. Dies bedeutet aber auch gleichzeitig, dass Sie mit diesen Anbietern nicht konform zur DSGVO agieren.

Aber kein Grund zum verzweifeln – Schließlich gibt es noch andere Optionen als SaaS-Software. Sie können beispielsweise private Cloudspeicher einsetzen oder gar alle Daten On-premises hosten. So sind Sie in der Lage, weitere Maßnahmen zum Datenschutz zu ergreifen und die Verantwortung für die Datenverarbeitung selbst zu übernehmen.

Wie werden Anfragen betroffener Personen verarbeitet?

Die DSGVO führt sechs Rechte für die betroffenen Personen ein. Diese haben großen Konsequenzen für alle, die mit personenbezogenen Daten zu tun haben:

    • Auskunftsrecht der betroffenen Person (Art. 15)
    • Recht auf Berichtigung (Art. 16)
    • Recht auf Löschung (auch: „Recht auf Vergessenwerden“) (Art. 17)
    • Recht auf Einschränkung der Verarbeitung (Art. 18)
    • Recht auf Datenübertragbarkeit (Art. 20)
    • Widerspruchsrecht (Art. 21)

Als Datenverantwortlicher sind Sie dazu verpflichtet, den betroffenen Personen die Ausübung ihrer Rechte zu ermöglichen.

Hier ist eine informative Infografik zum Thema: DSGVO: Datenrechte von Einzelpersonen – Was müssen Sie beachten?

Unter der DSGVO haben Sie 30 Tage Zeit, Anfragen von betroffenen Personen zu bearbeiten. Es ist schwierig, vorherzusagen, wie häufig Nutzer ihre Rechte in Anspruch nehmen werden. Trotzdem ist es wichtig, dass der Anbieter Ihrer Web-Analytics eine standardisierte Prozedur entwickelt, um solche Anfragen der betroffenen Personen zu handhaben. Andernfalls kommen Sie in der Abarbeitung vielleicht nicht hinterher. Dies kann Geldstrafen aufgrund von Pflichtverletzungen mit sich bringen.

Professionelle Web Analytics unter höchsten Datenschutzbedingungen - So geht's

In unserem Whitepaper zeigen wir Ihnen, wie Sie professionelle Web Analytics mit dem Datenschutz in Einklang bringen

Zum kostenlosen Whitepaper

So geht´s

Die Anfragen von betroffenen Personen können in zwei Gruppen unterteilt werden, basierend auf der Methode der Verarbeitung:

Anfragen zu Dateneinsicht und -korrektur

Solche Anfragen beruhen auf dem Recht auf Zugang und Berichtigung von Daten sowie auf dem Recht auf Datenübertragbarkeit.

Um solche Anfragen abwickeln zu können, muss Ihr Webanalyse-Anbieter bestimmte technische Voraussetzungen erfüllen. Die Daten Ihrer Benutzer sollten so gespeichert werden, dass eine vollständige Zugänglichkeit und Portabilität gewährleistet ist. So können Ihre Besucher alle relevanten Informationen, die von Ihren Marketing-Tools (in diesem Fall: Web-Analytics) gesammelt wurden, problemlos abrufen, verschieben, korrigieren und übermitteln. Die DSGVO gibt nicht an, in welcher Form die Daten zur Verfügung gestellt werden müssen. Es scheint daher, dass eine.csv-Datei als das absolute Minimum betrachtet werden kann.

Sollte Ihr Anbieter Daten-Sampling nutzen, könnte es sein, dass Sie Anfragen zu Datenkorrekturen nicht nicht ausreichend bearbeiten können. Nicht sicher was Daten-Sampling bedeutet? Dann schauen Sie in diesen Artikel: Was ist Daten-Sampling und warum sollten Sie es unbedingt vermeiden?

Anfrage zur Löschung (aka. “Recht auf Vergessenwerden”)

Bei solchen Anfragen besteht die größte Herausforderung darin, die Benutzerdaten aus den Backups zu entfernen. Leider werden solche Daten meist in komprimierter Form gespeichert, so dass die Wiederherstellung ein äußerst zeit- und ressourcenintensiver Vorgang sein kann.

Dennoch haben die Nutzer das Recht, die Entfernung aller über sie gesammelten Daten zu verlangen, und Ihr Analytics-Anbieter muss eine entsprechende Möglichkeit dazu bieten. Sie sollten auf jeden Fall in Erfahrung bringen, wie Ihr Technologiepartner dieses Problem angehen will.

Denken Sie daran, einen effektiven Workflow für die Bearbeitung von Anfragen zu etablieren!

Achten Sie darauf, dass dieses Verfahren zuverlässig funktioniert. Auf diese Weise stellen Sie sicher, dass alle Benutzeranfragen zeitnah beantwortet werden und jeder Beteiligte sich seiner Verantwortung während des Prozesses bewusst ist. Folgende Dinge sollten festgelegt sein:

a) Wie die Identität der User bestätigt wird
Sie könnten den Nutzer beispielsweise dazu auffordern, E-Mail, Telefonnummer oder Vor- und Nachname zu bestätigen.

b) Wo betroffene Personen ihre Anfragen platzieren können
Ihr Analytics-Anbieter könnte z. B. Ihre Opt-Out-Page (wo Ihre Besucher ihre Einverständniserklärungen zur Datenverarbeitung einsehen und zurückziehen können) erweitern und ein Formular hinzufügen, mit dem die User ihre Anfragen übermitteln können.

c) Ein umsetzbarer Zeitrahmen für die Verarbeitung der Anfragen der betroffenen Personen
Wie in der DSGVO festgelegt ist, müssen Anfragen betroffener Personen innerhalb von 30 Tagen bearbeitet werden. Diese Deadline zu überschreiten kann Strafzahlungen zur Folge haben. Daher ist es für beide Parteien wichtig,den Zeitrahmen, in dem bestimmte Informationen geliefert werden müssen, im Blick zu behalten.

d) Wo Aufzeichnungen der Anfragen betroffener Personen gespeichert werden
Beachten Sie, dass der Anbieter Ihrer Analytics-Plattform die Informationen zu jeder einzelnen Anfrage einer betroffenen Person mit einem Zeitstempel, Benutzerkennung und Anfragestatus speichern muss. Es ist ziemlich sicher, dass diese Aufzeichnungen bei der Unternehmensprüfung von den Behörden kontrolliert werden.

Analytics & DSGVO = Piwik PRO

Wir sorgen dafür, dass Sie sich wegen der DSGVO nicht mehr den Kopf zerbrechen müssen. Wir bieten Ihnen professionelle Analytics - DSGVO ready.

Kostenlosen Demo-Termin vereinbaren

Kann Ihr Analytics-Partner Ihnen dabei helfen, die Datensammlung zu minimieren?

Paragraph 1 (c) in Artikel 5 der DSGVO hebt hervor, dass “Personenbezogene Daten […] dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein [müssen]”.

Das klingt vielleicht etwas zweideutig. Der beste Weg dies zu erreichen besteht, unserer Meinung nach, darin, den Schwerpunkt auf Datenminimierung zu setzen. Was meinen wir damit? Datenminimierung bedeutet, die Datensammlung auf Fälle zu limitieren, in denen sie unmittelbar relevant und notwendig ist, um einen bestimmten Zweck zu erfüllen.

So geht´s

Es gibt viele Möglichkeiten die Menge zu verarbeitender Daten zu reduzieren. Hier sind einige Beispiele für Lösungen, die für diesen Fall sinnvoll sein können:

Dies wird nicht explizit von der DSGVO gefordert, aber so wird die Menge der personenbezogenen Daten reduziert, die von Ihrer Web Analytics-Instanz getrackt werden. So sammeln Sie wertvolle Informationen über Ihre Nutzer, ohne die Sammlung personenbezogener Daten zu erhöhen. Klingt nützlich, oder?

Detaillierte Auflistung aller Daten die gesammelt werden sollen

Auf diese Weise können Sie zu jeder Zeit die Transparenz Ihrer Datenverarbeitung belegen und gleichzeitig die Menge der gesammelten Daten auf ein absolutes Minimum reduzieren. Diese Liste sollte ebenfalls in der Datenschutzerklärung auf Ihrer Seite enthalten sein. So können Besucher sie einsehen und auf dieser Basis entscheiden, ob sie Ihnen diese Informationen mitteilen wollen.

Wenn Sie an der Limitierung Ihrer Daten interessiert sind, sollten Sie über den Einsatz eines Tag Management Systems (TMS) nachdenken. Ein solches Tool hilft Ihnen, über die Voreinstellungen festzulegen, welche Art von Daten Sie mit Ihrer Webanalyse-Lösung sammeln möchten. Dabei ist es auch hier wichtig, ein TMS zu finden, das datenschutzrechtlich einwandfrei arbeitet. Schauen Sie sich als auf jeden Fall nach einem datenschutzfreundlichen Tool um (wie z.B. dem On-Premises Tag Manager von Pwiwik PRO). Möchten sie mehr erfahren? Dann schauen Sie sich unseren Tag Manager genauer an.

Selbstverständlich gibt es weitere Wege, die Menge an Daten zu reduzieren, die von Ihrer Web-Analytics-Plattform gesammelt werden. Wichtig ist, dass Ihr Anbieter Ihnen einen überzeugenden Plan vorlegen kann, wie er seine Technologie auf die neuen DSGVO-Anforderungen anpasst.

Garantiert Ihr Anbieter Ihnen absolut sichere Datenspeicherung, idealerweise innerhalb der EU?

Es ist keine explizite Anforderung der DSGVO, dass Daten innerhalb der EU gespeichert sein müssen. Das Gesetz legt fest, dass der Transfer personenbezogener Daten legal ist, solange ein angemessenes Maß an Sicherheit gewährleistet ist. In Deutschland verbietet nationales Recht bereits jetzt, die Daten deutscher Staatsbürger außerhalb des Landes zu speichern. Doch auch wenn Sie in anderen Ländern der EU unternehmerisch tätig sind, ist es ratsam, die Daten innerhalb der EU zu halten. Auch deshalb, weil der Privacy Shield seine Form oft verändert und sehr fragwürdige Änderungen einführt. Es gibt legitime Befürchtungen, dass er eines Tages keinen ausreichend zufriedenstellenden Schutz mehr darstellen könnte, um die Interessen der europäischen Bürger zu wahren.

So geht´s

Es gibt zwei Möglichkeiten, wie die Thematik angegangen werden kann:

      • Die Nutzung von privaten Cloud-Servern, die sich innerhalb der EU befinden (idealerweise in Deutschland, da Sie damit EU- und deutschem Recht gerecht werden).
      • Installation der Webanalyse-Instanz auf Ihren eigenen Servern, die sich in der EU befinden.

So können Sie Ihren Webseiten-Traffic bedenkenlos sammeln und auswerten, ohne dass es zu einer drohenden Geldstrafe oder Strafverfolgung kommt. Es grenzt aber auch die Liste der Web-Analytics-Anbieter auf diejenigen ein, die in der Lage sind, diese Anforderungen zu erfüllen.

Datenverarbeitungsvereinbarungen sind das A und O

Wie Sie sehen, ist die Liste der Anforderungen an Ihren Web-Analytics-Anbieter lang und komplex. Es besteht also die Möglichkeit, dass er nicht alle Punkte erfüllen kann. Sie erwarten aber zu Recht, dass Ihr Analytics-Partner 100%ig konform mit den DSGVO-Richtlinien agiert.

Wenn der Anbieter Ihres Web-Analytics Ihnen einen verlässlichen Plan präsentieren kann, wie er mit den von der DSGVO auferlegten Obligationen umgehen will, sind das großartige Neuigkeiten.

Es gibt noch eine weitere Sache, um die Sie sich kümmern sollten, bevor Sie diese Aufgabe als erledigt ansehen können:
Eine zuverlässige Zuständigkeitskette (chain of responsibility) zwischen Ihnen und Ihrem Technologiepartner muss her. Diese sollte auch Datenverarbeitungsvereinbarungen (Data Processing Agreements (DPAs)) beinhalten. So sind Sie und Ihr Anbieter auf dem gleichen Stand und wissen gleichermaßen, was unter der neuen Gesetzgebung von Ihnen erwartet wird. Diese Art des Vertrags wird tatsächlich auch durch die DSGVO selbst als notwendig festgelegt und könnte ebenfalls mit hoher Wahrscheinlichkeit in zukünftigen Unternehmensprüfungen eingefordert werden.

Die DSGVO kommt – ein Fazit

2018 bringt viele Neuerungen und Herausforderungen. Ganz zu Anfang des Jahres tritt die PSD2 Payment Regulation für das Bankwesen in Kraft. Die Monate danach bringen neue Anforderungen für die personenbezogene Datenverarbeitung durch die DSGVO und ePrivacy (der derzeitige Status dieser Regulierung wird in unserem neuen Blog-Artikel erläutert). Es wird wohl eine schwierige Zeit für alle, die in den Vorbereitungsprozess involviert sind.

Trotz allem wird es sich auszahlen, alle neuen Anforderungen zu erfüllen – davon sind wir überzeugt. Die neuen Regeln werden dazu beitragen, Geschäftsbeziehungen mit Kunden aufzubauen, die auf größerem Vertrauen und größerer Transparenz basieren.

Wir hoffen, dass Ihnen dieser Blog-Artikel einen fundierten Überblick darüber geben konnte, wie Ihre Technologie-Partner Sie bei der Bewältigung der Anforderungen unterstützen können. Gerne können sie sich mit weiteren Fragen jederzeit an unser kompetentes Team wende – Wir helfen Ihnen gern.

Dieser Artikel erschien zuerst in unserem englischen Blog von Karolina Lubowicka.

Bereiten sich auf die DSGVO vor - Stichtag 25. Mai 2018

Erfahren Sie alles über die neue Datenschutzgrundverordnung in unserem Whitepaper und vermeiden Sie Datenschutz-Risiken

Zum kostenlosen Whitepaper zur DSGVO

Autor:

Saskia Wollenberg, Content Marketing Manager DACH

Sie jongliert tagtäglich mit Texten, Bildern und anderen Medienformaten. Sie ist verantwortlich für das gesamte Content-Management von Piwik PRO in Deutschland.

Mehr Artikel von diesem Autor

Autor:

Karolina Lubowicka, Content Marketer

Karolina ist Content Marketer und Social Media Managerin bei Piwik PRO. Sie hat viel Erfahrung als Copy Writer gesammelt und versteht es komplexe Zusammenhänge verständlich zu beschreiben. Besonders intensiv beschäftigt sie sich derzeit mit Datenschutz & DSGVO.

Mehr Artikel von diesem Autor
 Vermeiden Sie Datenschutz-Risiken und bereiten sich auf die DSGVO vor

Share