Cookies, personenbezogene Daten, Datenschutz – was heisst das eigentlich?
Die Datenschutzverordnung (DSGVO) trat am 25. Mai 2018 in der Europäischen Union in Kraft. Das Regelwerk wurde im April 2016 vom EU-Parlament verabschiedet und ersetzt bestehende Datenschutzrichtlinien. Sie sind nicht allein, wenn Sie sich immer noch unsicher sind, was die neuen Vorschriften konkret für Sie bedeuten und wie Sie diese optimal umsetzen sollten…
Die DSGVO wird die Datenschutzrichtlinie 95/46/EG von 1995 ersetzen und den Schutz und die Rechte des Einzelnen verbessern. Die Verordnung schafft ein sichereres Umfeld für die Verbraucher und ihre Daten, indem sie die Menge der Daten, die gesammelt werden dürfen, sowie die Art und Weise, wie sie verwendet werden und wie lange sie gespeichert werden können, begrenzt.
Die DSGVO vereinheitlicht rechtliche Rahmenbedingungen und verpflichtet alle Länder zur Einhaltung der gleichen Regeln, wenn es um die Verwendung personenbezogener Daten geht. Trotzdem setzt jedes Land die Datenschutzrichtlinie in Teilen unterschiedlich um, so dass die rechtlichen Bestimmungen innerhalb der EU unterschiedlich ausfallen und somit schwerer zu verstehen und umzusetzen sind.
Kurz gesagt, ja. Zumindest dann, wenn Ihr Unternehmen mit Verbrauchern in der EU kommuniziert, oder wenn Sie personenbezogene Daten von EU-Bürgern verarbeiten oder speichern. In diesem Fall wird die DSGVO Sie betreffen.
Als personenbezogene Daten gelten alle Informationen, die sich auf eine direkt oder indirekt identifizierbare Person beziehen. Dabei kann es sich um einen Vornamen, eine E-Mail-Adresse, ein Foto, eine Bankverbindung, Kreditkarteninformationen, Beiträge aus Social Media, die Krankengeschichte, eine IP-Adresse und vieles mehr handeln.
Unternehmen, die sich nicht an die neuen Vorschriften halten, drohen saftige Geldstrafen. Die Bußgelder werden in Abhängigkeit vom Ausmaß der Zuwiderhandlung verhängt. Die maximale Geldbuße, die einer Firma auferlegt werden kann, beträgt 4% des globalen Jahresumsatzes, oder 20 Millionen Euro.
Gemäß der DSGVO sollen Geldbußen wirksam, verhältnismäßig und abschreckend sein. Sie sollen aber gleichzeitig die Maßnahmen berücksichtigen, die das Unternehmen tatsächlich zur Einhaltung der DSGVO-Vorgaben unternommen hat. Mit anderen Worten: Wenn sich Ihr Unternehmen nicht auf die DSGVO vorbereitet und dann einen umfassenden Datenverlust erleidet, werden Sie mit hohen Geldstrafen rechnen müssen. Wenn Sie sich aber so auf DSGVO vorbereiten, dass Sie nahezu gesetzeskonform agieren, wird die Geldbuße in einem angemessenen Verhältnis dazu stehen. Die Entscheidung über etwaige Geldbußen treffen die örtlichen Aufsichtsbehörden.
Um den neuen Bestimmungen zu entsprechen, sollten Sie folgende Punkte sicherstellen:
Handelt es sich bei einer Organisation um eine Behörde, die regelmäßig Personen in großem Stil überwacht, oder um eine Organisation, die spezielle Datenkategorien wie medizinische Daten oder Informationen über strafrechtliche Verurteilungen verarbeitet, dann verlangen die neuen Vorschriften, dass ein DSB beauftragt wird.
Die DSGVO verlangt eine gültige Einwilligung (auf die Erhebung von Daten) von allen neuen und bestehenden Kontakten. Auf Verlangen müssen Sie nachweisen, dass Ihnen eine Zustimmung zur Verwendung personenbezogener Daten vorliegt. Betrachten Sie folgenden Szenarien:
Gemäß der neuen DSGVO dürfen Organisationen personenbezogene Daten nur dann verarbeiten, wenn eine der folgenden Rechtsgrundlagen erfüllt ist:
Das berechtigte Interesse ist eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Rahmen der DSGVO. Die DSGVO erklärt hierzu, dass „die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung […] als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden [kann].“ Einige Marketer interpretieren diese Regelung dahingehend, dass das Versenden von Werbematerialien an Kontakte auch ohne signifikante Anpassungen bzw. Änderungen nach wie vor rechtmäßig sei.
Sie sollten sorgfältig abwägen, ob das „berechtigte Interesse“ die beste Grundlage für Ihre Marketingkommunikation ist. Sobald Sie dies getan haben, müssen Sie folgendes sicherstellen:
Sie müssen nachweisen können, dass die oben genannten Bedingungen für alle Daten (bestehende + neue), die Sie unter Berufung auf das „berechtigte Interesse“ verwenden, eingehalten werden.
Ein allgemeines Interesse am Erhalt von Werbematerialien ist keine ideale Grundlage, um sich auf das „berechtigte Interesse“ zu berufen. Verwenden Sie stattdessen, wo immer möglich, die Einwilligung als Grundlage.
Die DSGVO gibt sechs Rechtsgrundlagen für die rechtmäßige Verarbeitung von Daten an (siehe oben). Wenn Ihre Verarbeitung in eine der genannten Rubriken fällt, müssen Sie an Ihren Prozessen & Vorgehensweisen nichts verändern.
Double Opt-in ist eine der möglichen Grundlagen, um eine Einwilligung rechtskräftig nachweisen zu können. Obwohl die DSGVO dies nicht verlangt, ist das DOI ein relativ einfacher Weg, um zu beweisen, dass eine Person sich für einen Service registriert hat.
So lässt sich Double Opt-in implementieren: Nachdem ein Nutzer das Anmeldeformular ausgefüllt hat, versenden Sie eine E-Mail mit der Aufforderung, das Opt-in über einen Bestätigungslink zu aktivieren. Erst wenn der Klick auf den Link erfolgt, wird das Abonnement wirksam. Gleichzeitig untermauert dieses Verfahren Ihre Einhaltung der Bestimmungen der DSGVO.
Stellen Sie sicher, dass folgende Angaben gespeichert werden:
Bitte beachten Sie, dass die Einwilligung für alle Arten der Datenerfassung gilt, einschließlich Offline-Methoden, E-Mail und Telefon. Sie sollten sich daher überlegen, wie Sie analoge Einwilligungen erfassen und speichern.
Das kommt darauf an. Wie bereits erwähnt, verlangt die DSGVO von Unternehmen mehr Transparenz in Bezug auf die Einwilligung. Es ist sicherzustellen, dass die zustimmende Person eine „informierte Einwilligung“ erteilt und dass der Nutzer versteht, wer seine Daten verwendet und warum.
Plant ein Unternehmen, seine erfassten Daten für mehr als einen Zweck zu verwenden, muss das Unternehmen dies kenntlich machen und für jeden Zweck eine Einwilligung einholen. Die Verarbeitung darf nur für die Zwecke erfolgen, für die eine Zustimmung erteilt wurde.
Ihre Datenschutzbestimmungen müssen klar und verständlich sein und sollten darlegen, wer die Daten sammelt und welche Kontrolle der Verbraucher über seine Daten hat. Sie müssen zudem kenntlich machen, wie lange die Daten aufbewahrt werden.
Sie sollten sämtliche Datenschutzrichtlinien, Einwilligungsinformationen und Protokolle Ihrer Datenverarbeitung(en) archivieren, um nachzuweisen, dass Sie sich an die von dem jeweiligen Verbraucher erteilte Erlaubnis halten.
Nach dem 25. Mai 2018 müssen alle Daten, die Sie für Werbekampagnen speichern und verarbeiten, den Voraussetzungen der DSGVO genügen. Sie sollten also überprüfen, ob die Einwilligungen aller relevanter Kontakte für zukünftige Datenverwendungen ausreichend sind. Sie müssen außerdem nachweisen können, dass Sie die eindeutige Einwilligung zum Versand von Mitteilungen an diese Kontakte besitzen. Fehlt es an der eindeutigen Einwilligung, müssen Sie diese nachträglich einholen.
Die Zeit zum Einholen aller nötigen Einwilligungen von inaktiven Abonnenten ist begrenzt. Wir empfehlen Ihnen daher, Ihre Kontakte möglichst schnell und wirkungsvoll mit entsprechenden Maßnahmen anzusprechen (z.B. durch Incentives, Rabattaktionen oder Upgrades). Wenn inaktive Abonnenten davon überzeugt sind, dass sich die Kommunikation mit Ihrem Unternehmen lohnt, werden sie dem Erhalt Ihrer Werbemaßnahmen zustimmen.
Prüfen Sie anhand dieser kurzen Checkliste, ob Sie bereit für die DSGVO sind:
HAFTUNGSAUSSCHLUSS – Die Materialien in diesem Artikel stellen keine Rechtsberatung dar und werden nur zu allgemeinen Informationszwecken zur Verfügung gestellt.
Es handelt sich um Textdateien, die vorübergehend im Browser des Nutzers deponiert werden und z.T. Informationen über diese erheben. Häufig werden sie eingesetzt, um den Nutzern mehr Komfort beim Surfen zu bieten (Warenkorbfunktion, Speicherung der Sprachauswahl). Dabei handelt es sich um sogenannte technisch notwendige Cookies, die die fehlerfreie Funktion einer Seite erst ermöglichen.
Der „alte“ Begriff ist Datenerhebung, Datenverarbeitung, Datennutzung
„Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. (Art. 4 Nr. 1 DSGVO). Allerdings ein sehr weit gefasster Begriff, der Infos wie Name, Adresse, Telefonnummer, Autokennzeichen oder auch die IP-Adresse einer Person umfasst. Identifizierbar ist eine natürlich Person die direkt oder indirekt, insbesondere mittels Zuordnung einer Kennung wie Name, Kennummer, Standortdaten, Online-Kennung oder einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Die Grundsätze gelten NICHT für „anonyme Informationen“. (Infos die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr indentifiziert werden kann. Dies gilt auch für statistische Forschungszwecke.
Die DSGVO gilt ausserdem nicht für die personenbezogenen Daten Verstorbener (die EU-Mitgliedstaaten können jedoch Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen)
Soweit keine personenbezogenen Daten betroffen sind, ist die DSGVO nicht anzuwenden.
Bedeutet laut DSGVO: Jeden mit oder ohne Hilfe autiomatisierter Verfahren ausgeführten Vorgang in Zusammenhang mit personenbezogenen Daten, wie:
– Das Erheben
– Das Erfassen
– Die Organisation
– Das Ordnen
– Die Speicherung
– Die Anpassung o. Veränderung
– Das Auslesen
– Das Abfragen
– Die Verwendung
– Die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung
– Den Abgleich oder die Verknüpfung
– Die Einschränkung
– Das Löschen oder die Vernichtung
Verarbeitungsgänge die mittels PC, Smartphones, Kameras, Webcams, Dashcams, Scanner oder Kopierer erfasst werden.
Jede Benutzung von Computer, Internet oder E-mail kann also zur Anwendbarkeit der DSGVO führen, wenn personenbezogene Daten betroffen sind.
Die nichtautomatisierte Verarbeitung liegt bei handschriftlichen Aufzeichnungen vor.
Gemeint ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Gemeint ist eine natürliche oder juristische Person, Behörde oder Einrichtung oder andere Stelle, die personenbezogene Daten um Auftrag des Verantwortlichen verarbeitet. (Zum Beispiel Dienstleister von Firmen)
nach § 3 Abs. 6a BDSG, meint das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
nach § 3 Abs. 6 BDSG, meint das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.