DSGVO: Datenschutz-Regeln und Marketing

Wenn man als Unternehmen oder Selbständiger eine Webseite betreibt, überlässt man sie für gewöhnlich sich selbst ( ohje…!) oder hat einen internen oder externen Webdesigner, der sich um die inhaltliche oder technische Aktualisierung und Pflege der Seite kümmert.

Ähnlich verhält es sich auch mit allen anderen Einträge, die ein Unternehmen im Internet hat.

Da ist nun eine mehr oder weniger moderne Homepage im Internet. Zur Standardausrüstung gehören neben den informationsbezogenen Inhalten auch Bestandteile wie ein Impressum, bestenfalls auch Datenschutzerklärung, ein Kontaktformular und vielleicht auch ein Anmeldeformular zum Newsletter.

Deutsche Seite der Europäischen Kommission

Bisher habe ich keine bessere und verständlichere Erklärung zu den neuen Datenschutzvorschriften gefunden. Ich empfehle jedem, mal einen Blick auf die Seite zu setzen 🙂

Im Hintergrund der Webseite laufen unterschiedlichste Tools, wie Analysetool oder PlugIns mit bestimmten Funktionen. Der EU und Ihrer Datenschutzgrundverordnung geht es vor allem darum, das Recht jedes Menschen zu schützen, die Ihnen als Seitenbetreiber Daten preisgeben.

Maßnahmen zum Schutz personenbezogener Daten

Grundsätzlich besteht ein Verbot zum Sammeln personenbezogener Daten. Es sei denn, man kann ein protokolliertes Einverständnis zur Verwendung der Daten im Sinne des Auftraggebers ( Also der Daten-Person oder -Firmen ) nachweisen. In Bezug auf die Verarbeitung der Daten und ob und ab wann ein Unternehmen einen Datenschutzbeauftragten benennen muss, kann ich jedem Unternehmer nur empfehlen, bei der Aufsichtsbehörde seines Bundeslandes schriftlich nachzufragen. 

Bei der Arbeit mit sensiblen Daten ist nämlich die Anzahl der Mitarbeiter wurscht. Das bedeutet, dass theoretisch jede Apotheke und jeder Therapeut einen Datenschutzbeauftragten benötigt. Die Anfrage eines Physiotherapeuten beim Bayrischen Landesamt für Datenschutzaufsicht ergab allerdings die Aussage, dass ” es von der DSGVO wohl nicht gewollt war, dass jede kleine Physiotherapie oder jede kleine Apotheke einen Datenschutzbevollmächtigten braucht”.

Die Strafen bei Nichteinhaltung der Vorgabe sind bei 2% – 4% des Jahresumsatzes bis zu 20 Mio. € festgesetzt. 

Hat man sich diese Zusicherung schriftlich eingeholt, ist man auf der sicheren Seite. Ich erwähne das nur, weil ich mir sicher bin, dass gelangweilte Anwälte die neue DSGVO womöglich als Einladung sehen, auf neuen Abmahnwellen zu schwimmen… B-)

Personenbezogene Daten sind z.B.
  • Name

  • Alter & Geschlecht

  • Adresse und Kontaktdaten

  • Standortdaten

  • Online-Kennung (IP-Adresse)

  • Kulturelle Daten

Besonders geschützte Daten sind z.B.
  • Gesundheitsbezogene Daten

  • Finanzdaten, Bankdaten etc.

  • Daten Minderjähriger

Datenschutzerklärung auf der Webseite

Jeder Betreiber einer Webseite muss die Datenschutzerklärung auf der Webseite bis zum 25.05.2018 aktualisieren. Ich empfehle den Service von e-recht24 zu nutzen.

Werbebriefe und Flyer

Ein Unternehmen darf weiterhin an bereits vorhandene Adressen Briefe ohne eine separate Einwilligung des Empfängers senden.

E-Mails & Newsletter

Die in Deutschland bisher gültige Regeln, dass man nur Mails an eine Adresse versenden darf, wenn die Opt-in und Opt-out-Regeln eingehalten werden, sind nun europaweit gültig. Zusätzlich soll nun aber der Nutzer beim Eintragen seiner Kontaktdaten in das Formular den Datenschutzbestimmungen erneut zustimmen. 

Für Newsletter verwendet man in den meisten Fällen einen externen Anbieter. Diese speichern die Daten der eingetragenen Personen in Listen, um den Versand der Newsletter an bestimmte Interessengruppe zu ermöglichen und die Reaktion auf den Newsletter auszuwerten (Wer hat den Newsletter angeklickt, wer hat auf die integrierten Links geklickt etc.)

Hier ist es notwendig, einen Auftragsdatenverarbeitungsvertrag abzuschließen.

Achtung: Die meisten Anbieter solcher Tools haben Ihren Firmensitz in den USA. Rechtlich gesehen wird die USA auf das Datenschutzabkommen bezogen als unsicheres Drittland eingestuft. Derzeit gibt es hier mit Hinblick auf die DSGVO keine sichere Lösung, weshalb der separate Vertrag mit einem US-Anbieter vermutlich nicht ausreicht und der Nutzer zusätzlich um eine Einwilligung gebeten werden sollte.

Allerdings muss laut neuer DSGVO die Einwilligung protokolliert werden, in dem die Zeitstempel der a) Einwilligung und des b) Klicks auf den Bestätigungslink zusammengeführt und gespeichert werden. Da ich in Bezug auf die Zusammenführung der Zeitstempel über ein weites Feld totalen Nicht-Wissens verfüge, setze ich mich nächste Woche mit Ahmet Dogan von Advances Dynamics zusammen, um der Sache auf den Grund zu gehen – und meinen Kunden in Zukunft einen zertifizierten Datenschutz-Menschen zur Seite stellen zu können 🙂

Cookies auf der Webseite

Nicht mehr wie bisher durch ein PopUp im Fuß der Seite abgesichert. Seiten, die mehr als die technisch relevanten Cookies einer Webseite zum Datensammeln verwenden, sollen den Seitenbesucher auf eine – bisher nicht umsetzbare – Weise um Erlaubnis bitten. 

Das sieht im schlimmsten Falle so aus:

  1. Besucher kommt auch Webseite mit z.B. Google Analytics Cookies
  2. Seite öffnet sich als Bild ohne Inhalt
  3. Ein Liste mit Fragen zur Erlaubnis öffnet sich
  4. Seitenbesucher muss a) freiwillig b) komplett und c) für jeden verwendeten Dienst extra die “ausdrückliche Einverständniserklärung” geben, um dann endlich auf die Webseite zu gelangen

Derzeit suchen die Vordenker der Online Marketing Branche nach Möglichkeiten, sich hier in einer irgendwie umsetzbaren und rechtsrelevanten Weise abzusichern. Meiner Recherche rücken auch einige Plugins in das Rampenlicht, welche den Vorschriften der DSGVO entsprechen.

Wie gesagt: Das gilt vor allem für Webseiten, die Cookies wie Tracking-Tools verwenden, um Daten der Nutzer zu sammeln und auszuwerten und dabei z.B. die IP-Adresse speichern.

Google Analytics

Google hat sich bereits für das notwendige Privacy Shield Abkommen zertifizieren lassen. Um auf der sicheren Seite zu sein, sollte jeder Seitenbetreiber der mit Google Analytics Daten sammelt, diesen MUSTERVERTRAG VON GOOGLE unterschrieben zu Google Irland Inc. senden. Der Vertrag kommt dann unterschrieben zurück ( also zwei Exemplare senden ).

Plugins für Google Analytics

Die DSGVO schreibt vor, dass ein Webseitenbesucher “Nein!” zum Sammeln seiner Daten durch Google Analytics sagen können muss. Das bedeutet, dass bei seinem Besuch auf der Webseite seine IP-Adresse anonym behandelt wird. Ebenfalls muss eine Op-Out-Möglichkeit sichtbar integriert werden, mit dem der Nutzer ein schon gegebenes Einverständnis widerrufen kann. Diese Funktion erfüllt zum Beispiel das Plugin Google Analytics Germanized  oder als Single Opt-Out Plugin GA Opt-Out

HTTPS: Webseiten müssen verschlüsselt sein

Als Inhaber und Betreiber einer Webseite muss man sicherstellen, dass die elektronische Übertragung von personenbezogenen Daten während des Transports oder der Speicherung nicht von Unbefugten gelesen, oder kopiert, verändert oder gelöscht werden können.

Das funktioniert nur mit einer SSL-Verschlüsselung der Webseite, zu erkennen am https:// vor dem Webseiten-Namen. Je empfindlicher die übertragenen Daten, desto höher muss die Sicherheitseinstellung der Verschlüsselung sein. Für ein normales Kontaktformular mit Namen, E-Mail- Adresse und Anliegen genügt ein kleines Zertifikat. Shops oder gar Seiten von Kliniken oder Behörden benötigen mittlere bis extrem hohe Verschlüsselungen.

Datenschutzverordnung 2018Das Mini-Pflichtprogramm in der Praxis

Kontaktformular

Die Datenerhebung per Kontaktformular sollte unproblematisch sein, da ja keine “heimliche” Weitergabe der Kontaktdaten geschieht, wenn das Kontaktformular lediglich zur Kontaktaufnahme und nicht etwa zur Datenerhebung für Gewinnspiele gesammelt werden. Den Nutzer an dieser Stelle um sein Einverständnis per Checkbox zu bitten, ist auch hier die sicherere Vorgehensweise.

War das schon alles?

Längst nicht! Es gibt unzählige nicht eindeutige Formulierungen und ungeklärte Fragen und Lösungswege, die noch zu finde sind. Das betrifft vor allem die vielen Social Media Elemente und deren Plugins. Wie gesagt: Die Mehrzahl dieser Tools stammen aus den USA. Die unbefugte Übertragung an Nicht-EU-Länder ist allerdings verboten. Man müsste sich also zu jedem einzelnen Element sowohl die Möglichkeit sich einzutragen, als auch gleichzeitig die Option, sich wieder auszutragen implementieren. Parallel dazu muss man aber auch dafür sorgen, dass der Drittanbieter die Daten nicht weiter verwendet. Schier unmöglich – zumindest zum derzeitigen Stand der Dinge aus gesehen.

Hinzu kommt, dass jeder Blog und jede Webseite, jedes Social Media Tool und jedes andere zusätzliche Element unterschiedliche Arbeitsweisen und AGBs verwenden. Ich persönlich gehe davon aus, dass uns große Anbieter wie WordPress und Google daran arbeiten, den Nutzern in naher Zukunft Lösungen anbieten werden. Es gilt also, sich zu informieren, die Beiträge der Blogs rechtsberatender Vorreiter wie e-recht24 zu verfolgen und sich einen Alert für die entsprechenden Themen einzurichten.

Im Zweifelsfall empfehle ich jedem Webseitenbetreiber und jedem, der personenbezogene Daten oder gar gesundheitsbezogene Daten verwendet, sich bei der zuständigen Behörde schriftlich zu informieren, inwieweit er die Daten seiner Kunden, Mandanten und Patienten sammelt, verarbeitet und dokumentiert.

Denn eins dürfen wir nicht aus dem Auge verlieren: Neben all den Maßnahmen, das Online Marketing betreffend, verlangt die DSGVO auch, ein Verarbeitungsverzeichnis zu führen, bei der lückenlos nachgewiesen wird, wo und zu welchem Zweck die Daten gesammelt und gespeichert werden.

Mehr dazu gibt es dann in den nächsten Beiträgen 🙂

BEISPIEL: Datenschutz & Heilpraktiker
By |2018-06-19T07:58:10+00:00März 4th, 2018|Datenschutz-DSGVO, Google, Neueste Beiträge|

About the Author:

Kathrin Lyhs, Inhaberin von iDIA Marketing - Online Marketing mit Passion