DSGVO-konformes Marketing

Nur wenige Unternehmen sind vollständig DSGVO-konform

Die Aufregung war bereits im Vorfeld der DSGVO groß und hat nicht nur die Digitalbranche massiv verunsichert. Unklar ist in vielen Punkten und Feinheiten immer noch, was Auslegungssache ist. Fakt ist auch: Selbst heute haben nur wenige Unternehmen die neuen Regelungen bereits vollständig umgesetzt.

Das Ergebnis einer repräsentativen Befragung (PDF) unter mehr als 500 deutschen Unternehmen, die der Digitalverband Bitkom im Rahmen seiner Privacy Conference vorgestellt hatte: Noch vier Monate nach Fristablauf haderte die deutsche Wirtschaft weiterhin mit der Umsetzung – erst ein Viertel (24 Prozent) hat die DSGVO vollständig verwirklicht. Weitere 40 Prozent haben die Regeln größtenteils umgesetzt und drei von zehn (30 Prozent) teilweise. Gerade erst mit den Anpassungen begonnen hatten zum Zeitpunkt der Umfrage 5 Prozent der Unternehmen.

(Pressefoto: bitkom.org)

Die Bilanz ist ernüchternd. Bei der Umsetzung der DSGVO haben sich viele Unternehmen klar verschätzt. Für andere ist die komplette Umsetzung wohl kein zeitliches Problem, sondern ein Ideal, das gar nicht zu erreichen ist. Vielen ist offenbar auch erst im Laufe der Prüfung und Anpassung ihrer Prozesse bewusst geworden, was für einen Nachholbedarf sie beim Datenschutz haben.

Susanne Dehmel, Bitkom-Geschäftsleiterin Recht & Sicherheit

Große Abmahnungswelle: Bußgeldflut?

Die in Art. 83 Abs. 4 und Abs. 5 DSGVO angedrohten Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes bzw. von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes haben für viel Diskussionsstoff gesorgt. Bis jetzt ist aber nicht allzu viel passiert: Vor allem eindeutige und sichtbare Datenschutzverstöße, wie z. B. fehlende Datenschutzerklärungen oder der Versand von unerwünschter E-Mail-Werbung, wurden abgemahnt. Die große Welle ist ausgeblieben, was aber keinesfalls heißt, dass nicht doch noch ernsthafte Abmahnungen und Bußgelder folgen können.

Das Problem der schwammigen Rechtsbegriffe

Nach wie vor am problematischsten für Unternehmen sind die zahlreichen und schwammigen Rechtsbegriffe. Etliche Fragen sind auch noch offen – z. B. eine klare Antwort darauf, wie es um die Einholung der Einwilligung und speziell deren Ausgestaltung sowie die Reichweite eines legitimen Interesses für die Verarbeitung personenbezogener Daten bestellt ist. Unternehmen sollten sich hier und in anderen Punkten auf eine viel praxisnähere Auslegung verlassen können, um die drängende Digitalisierung nicht zu gefährden.

Große Unsicherheit herrscht auch immer noch darüber, ob Technologien wie Tracking, Targeting und Profiling per se nur noch nach erfolgtem Opt-in oder auch mittels einer Interessenabwägung legitimiert werden können. Für die Behörden ist die Sache klar – für sie ist immer die explizite Einwilligung das Mittel der Wahl. Aber ist das in der Realität auch der praktikabelste Weg? Und wie sieht es in puncto Facebook, Fanpages und Co. aus? Hier hatte ein im Juni 2018 vom Europäischen Gerichtshof beschlossenes Urteil für düstere Aussichten gesorgt – mit der Aussage, dass Betreiber sogenannter Fanpages mit dem sozialen Netzwerk die gemeinsame Verantwortung für die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher ihrer Seiten tragen sollen. Zahlreiche Unternehmen hatten daraufhin ihre Fanpages geschlossen, denn nach dem Urteil kann sich keiner mehr hinter dem sozialen Netzwerk verstecken.

Und auch die sich ankündigende ePrivacy-Verordnung sorgt für alles andere als Vorfreude: Falls die EU-Kommission sie in der aktuell diskutierten Fassung abnicken sollte, lautet die vorherrschende Tonalität, dass europäische Digitalunternehmen dramatischen Auswirkungen auf die globale Wettbewerbsfähigkeit entgegensehen.

Jahresbericht: Updates in puncto Datenschutz

Der Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit (PDF) zum 31. Dezember 2018 lieferte ebenfalls interessante allgemeine Erkenntnisse:

• Seit die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist, hat sich das Beschwerdeaufkommen bei der Berliner Datenschutzbehörde nahezu vervierfacht.
• Zum einen liegt das an der gestiegenen öffentlichen Aufmerksamkeit für das Thema, wie es in einer Pressemitteilung (PDF) heißt. Zum anderen hat die DSGVO die Zuständigkeiten von nationalen Datenschutzbehörden erweitert. Diese nehmen nicht mehr nur lokale Beschwerden entgegen, sondern sind nun auch dann zuständig, wenn es gegen Unternehmen oder Behörden geht, die etwa in einem ganz anderen EU-Mitgliedstaat sitzen
•  Einen sprunghaften Anstieg gab es bei sogenannten Datenpannen zu verzeichnen, die aufgrund erweiterter Meldepflichten den Behörden mitzuteilen sind. Fast vierzehnfach öfter wurden im Vorjahr verlorene USB-Sticks, offene E-Mail-Verteiler oder Hackerangriffe gemeldet.
  
  

Das enorm hohe Beschwerdeaufkommen und die Zahl von Datenpannen, die meiner Behörde gemeldet werden, zeigen, dass die öffentliche Debatte um das neue Regelwerk sowohl Bürgerinnen und Bürger als auch Behörden und Unternehmen für Datenschutz sensibilisiert hat. Der Umgang mit personenbezogenen Daten erfolgt in weiten Teilen der Bevölkerung bewusster. Menschen setzen ihr Grundrecht auf informationelle Selbstbestimmung häufiger durch. Das war ein wichtiges Anliegen des europäischen Gesetzgebers. Ich denke, in diesem Punkt kann man die Datenschutz-Grundverordnung bereits jetzt als großen Erfolg werten.

Maja Smoltczyk,
Berliner Beauftragte für Datenschutz und Informationsfreiheit

Innovationstreiber DSGVO?

Bei aller wahrgenommenen Bremskraft bleibt aber auch festzustellen, dass sich erst durch die DSGVO in Kombination mit der Androhung empfindlicher Strafen etwas in den Köpfen bewegt hat. So mussten auch seit langem verkrustete Prozesse hinterfragt werden. Gerade B2B-Unternehmen widmen den zentralen Kommunikationsthemen wie Inbound Marketing, Lead-Generierung oder Marketing Automation jetzt vermehrte Aufmerksamkeit, weil sie nun mal eng mit der datenschutzrechtlichen DSGVO-Thematik verbunden sind.

Die Ruhe vor dem Sturm?

Als Fazit bleibt bestehen, dass es derzeit relativ ruhig ist. Und die DSGVO ist mit gut einem Jahr ja auch noch jung. Aber sie wird bleiben und nur, weil bis jetzt noch nicht viel passiert ist, sollten sich Unternehmen auf keinen Fall zurücklehnen und der Dinge harren. Einerseits sind die Datenschutzbehörden wohl ressourcentechnisch noch etwas überfordert, andererseits lassen sie wohl auch noch Nachsicht walten. Noch: Es braucht nur einen Fehler, eine kleine Unachtsamkeit – und schon kommt das für Unternehmen unangenehme Prüfverfahren in Gang.

Verantwortliche können nur eines tun: am Ball bleiben und sich über aktuelle Urteile und rechtliche Auslegungen informieren. Mit unseren regelmäßig erscheinenden Ratgebern wollen wir Ihnen dabei helfen. Daher empfehlen wir unseren Ratgeber DSGVO aktuell – zur Offline-Nutzung und zum Ausdrucken.

Interview mit RA Christian Solmecke

Timo Schmidt: Herr Solmecke, die Aufregung im Vorfeld der DSGVO war groß. Was hat sich davon aus Ihrer Sicht bewahrheitet, und was war Panikmache?

Christian Solmecke: „Die vielfach befürchtete Abmahnwelle ist tatsächlich nicht eingetreten. Zwar sind immer wieder mehr oder weniger seriöse Abmahnungen von Wettbewerbern oder Wettbewerbsverbänden im Umlauf. Diese haben auch schon teilweise zu Urteilen geführt. Bis jetzt aber ist die Frage, ob die DSGVO überhaupt über das Wettbewerbsrecht abgemahnt werden kann, noch nicht höchstrichterlich geklärt. Allein schon deshalb – und auch, weil die rechtlichen Begründungen mancher Abmahner recht dünn sind – bestehen gute Chancen, dagegen vorzugehen.

(Pressefoto: RA Christian Solmecke)

Generell sind die Beschwerden, Meldungen und Anfragen bei den Aufsichtsbehörden massiv angestiegen. Das zeigt, dass die Verunsicherung im Hinblick auf die DSGVO noch immer groß ist.

Rechtsanwalt Christian Solmecke, LL.M., Kanzleipartner, LegalTech Unternehmer und Geschäftsführer der Legalvisio GmbH twittert unter @solmecke

Auch waren zuvor sehr hohe Bußgelder befürchtet worden, schließlich können nun bis zu 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes verhängt werden. Generell müssen die Behörden aber jeden Fall individuell behandeln und haben ein Ermessen, was die Höhe der Summe anbelangt. Dabei müssen Bußgelder zwar in jedem Einzelfall wirksam und abschreckend sein – aber eben auch verhältnismäßig. Ein kleines Unternehmen wird also niemals solche Bußgelder zahlen müssen. Diese Größenordnung war für Weltkonzerne wie Facebook und Google angedacht.

Google hat es ja schon getroffen und soll in Frankreich 50 Mio. Euro Strafe zahlen. Das Unternehmen geht aber dagegen vor. Generell ist die Bilanz der Bußgelder bislang nicht so abschreckend wie befürchtet. Zunächst hatten die Behörden den Verantwortlichen noch eine Schonfrist von einigen Monaten eingeräumt, innerhalb der sie praktisch nicht wegen DSGVO-Verstößen eingeschritten sind. Inzwischen sind aber schon einige Verfahren angelaufen, und es wurden bereits einige Bußgelder verhängt. Allerdings agieren die Behörden daneben auch weiterhin mit Verwarnungen und beraten die Unternehmen außerdem bei der Umsetzung der DSGVO.

Generell sind die Beschwerden, Meldungen und Anfragen bei den Aufsichtsbehörden massiv angestiegen. Das zeigt, dass die Verunsicherung im Hinblick auf die DSGVO noch immer groß ist. Das ist nicht verwunderlich, da manche Fragen in der Praxis noch nicht gerichtlich geklärt sind. Noch immer herrscht eine gewisse Rechtsunsicherheit, z. B. bei der Frage der Behandlung von Fotografie nach der DSGVO.“

Timo Schmidt: Vielen Dank für die Ausführungen, Herr Solmecke.

↵ zurück zum Inhaltsverzeichnis

Ist die ePVO das Damoklesschwert der digitalen Wirtschaft?

Die ePrivacy-Verordnung (kurz: ePVO) soll den Schutz von Grundrechten und Freiheiten bei der Nutzung digitaler Kommunikation in der Europäischen Union regeln. So ist ePrivacy auch der gängige Begriff, wenn es um den Umgang mit personenbezogenen Daten im Internet und den damit verbundenen Schutz der Privatsphäre geht.

Die ePVO ergänzt die Vorschriften der EU-Datenschutz-Grundverordnung (DSGVO) und sollte eigentlich zeitgleich mit ihr in Kraft treten. Da aber einige Punkte noch verhandelt werden müssen, wird die Umsetzung vor 2020 und eine praktische Anwendbarkeit nicht vor 2022 erwartet. Während die DSGVO also die Basis bildet, ist die ePrivacy-Verordnung eine Ergänzung. Diese wird bei eventuellen Überschneidungen jedoch Vorrang vor der Datenschutz-Grundverordnung haben.

Seit 2002 existiert bereits eine ePrivacy-Richtlinie in der Europäischen Union, die in nationales Recht der einzelnen Mitgliedsstaaten umgesetzt wurde – in Deutschland bspw. im Rahmen einzelner Regelungen des Telemediengesetzes, kurz: TMG. 2009 folgte dann das Update, welches als Cookie-Richtlinie bekannt wurde.

Streitthema Tracking und Profilbildung

Ein wichtiger Punkt der ePVO ist, dass werbefinanzierte Online-Dienste die Möglichkeit haben sollen, die Nutzung von der Einwilligung in Cookies für Werbezwecke abhängig zu machen. Das macht deutlich, wie wichtig die endgültige Fassung der ePVO für das Online-Marketing sein wird: Falls sie in der aktuellen Fassung von den EU-Mitgliedstaaten abgesegnet wird, dürfte die gesamte Branche vor einem großen Umbruch stehen. Und auch, wenn noch Zeit ist, gilt trotz aller Zukunftsmusik: Wer sich bereits jetzt mit den Regelungen der ePVO auseinandersetzt, kann die Risiken schon im Vorfeld erkennen und die Umsetzung frühzeitig angehen.

Mit ihren zahlreichen Sonderregelungen gefährdet der bisherige Entwurf der ePrivacy-Verordnung neue Geschäftsmodelle im Bereich Internet der Dinge sowie Künstliche Intelligenz. Aber auch Software-Updates und werbebasierte Webseiten können dadurch eingeschränkt werden.

Susanne Dehmel, Bitkom-Geschäftsleiterin Recht & Sicherheit
(Foto & Statement aus PM)

Abweichung der ePrivacy-Verordnung von der DSGVO

Bis auf wenige eingeschränkte Ausnahmen will die ePricacy-Verordnung im Grundsatz nur noch solche Cookies und Endgeräte-Speicherungen erlauben, die für den Betrieb des angebotenen Dienstes unbedingt nötig sind. Das würde weite Teile des Webseiten-Trackings betreffen. Die Legitimation für pseudonymes Tracking ist in dem Verordnungsentwurf nicht mehr vorgesehen, denn anders als die DSGVO es tut, erlaubt die ePrivacy-Verordnung auch keine Datenverarbeitung auf Grundlage berechtigter Interessen. Im Vergleich zur DSGVO sind die sich durch die ePVO abzeichnenden Neuregelungen als deutlich schärfer und restriktiver zu bewerten.

Das soll mit der ePVO neu geregelt werden

• Der Einsatz von Cookies darf ohne ausdrückliche Einwilligung nur noch erfolgen, wenn sie „unbedingt nötig“ oder „zwingend technisch notwendig“ sind, um einen Dienst zu erbringen (siehe Art. 8 Abs. 1 a, 2 der Fassung des Parlaments).
• Der Einsatz von Zugangssperren wie bspw. „Cookie-Walls“ wird in der ePrivacy-Verordnung abgelehnt. Die Einwilligung darf keine Bedingung für die Nutzung sein. Anbieter sollen stets alternative Möglichkeiten der Nutzung anbieten, die nicht abhängig sind von Datennutzung und entsprechender Freigabe der Nutzer (Art. 8).
• Die Regelung zur Browserschranke in Artikel 10: Bisher muss der Nutzer bei der Erstinstallation Voreinstellungen zum Tracking treffen.
• Die zeitliche Befristung der Einwilligung wird diskutiert – zudem ist sie nur rechtswirksam erteilt, wenn sie jederzeit (mit Wirkung für die Zukunft) widerrufbar ist.

Was genau legt die kommende ePrivacy-Verordnung fest?

Neben den schon vorhandenen Vorschriften der europäischen Datenschutz-Grundverordnung (DSGVO) soll die ePrivacy-Verordnung die Nutzerrechte noch weiter stärken:

• Verschlüsselung soll nicht nur in der Verantwortung des Nutzers liegen. Auch Anbieter müssen Daten nach aktuellstem Stand der Technik absichern und vor unbefugtem Zugriff schützen. Zudem dürfen sie den Schutz der Nutzer nicht untergraben, indem z. B. der Handel mit Hintertüren (Backdoors) verboten wird.
• Räumliches Tracking durch nicht aktiv genutzte Programme soll illegal werden, um zu verhindern, dass Bewegungsprofile ohne Kenntnis des Nutzers angefertigt werden.
• Eine ausführliche Transparenz- und Dokumentationspflicht wird eingeführt. Da die Strafverfolger sie zwingend beachten müssen, können Anbieter zur Offenlegung staatlicher Anfragen verpflichtet werden.
• Die Verarbeitung ohne Einverständnis des Nutzers soll nicht mehr möglich sein. So wird für Online-Kommunikations-Anbieter wie WhatsApp oder Facebook-Messenger die Verarbeitung von Daten ohne vorherige Einwilligung zur Speicherung nicht mehr möglich sein.
• Ein effektiver Schutz vor Tracking soll eingeführt werden – mit Maßnahmen, die umfassende Einstellungen zur Deaktivierung von Tracking-Technologien enthalten.
• Privacy-by-Default soll als umfassendes Konzept dafür sorgen, dass alle Einstellungen in Software und verwendeten Geräten die datenschutzfreundlichste Variante standardisiert eingestellt haben.

Wie verhält man sich vor Inkrafttreten der ePVO?

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (kurz: GDD) empfiehlt: „Bis der zu dieser Rechtsfrage angerufene EuGH hierzu Klarheit schafft, kann Rechtssicherheit nur dann gegeben sein, wenn der strengen Auffassung der Aufsicht Rechnung getragen wird und ab dem 25.05.2018 Einwilligungen für das Setzen von Cookies eingeholt werden. Die eine Datenverarbeitung erlaubende Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bestimmt sich zukünftig unmittelbar nach Art. 7 DSGVO. Diese ist neben vielen weiteren Kriterien vor allem in informierter Weise und freiwillig vom Nutzer zu erteilen und im Sinne der von der DSGVO ausgehenden Rechenschaftspflicht vom Verantwortlichen zu dokumentieren. Dennoch muss sich eine praxisnahe Rechtsanwendung an dem Regelungsverständnis der DSGVO orientieren, die den Einsatz von Tracking-Tools stringent aus einer Interessenabwägung begründet. Solange eine Direktwerbung durch Tracking pseudonymisiert erfolgt und keinen unmittelbaren Rückschluss auf sensible Daten zulässt, ist sie als berechtigtes Interesse im Rahmen einer Interessenabwägung nach der DSGVO zulässig.
(PDF www.gdd.de/downloads/praxishilfen/001_ePrivacy_01.pdf)

Gerade die Rechtsunsicherheiten, die aus dem sich verzögernden Gesetzgebungsverfahren der ePrivacy-VO sowie den derzeitigen im TMG geltenden Regelungen folgen, sollten nicht vorschnell zu strenge Maßstäbe zu Lasten der Anbieter und Nutzer nach sich ziehen, sondern den Weg für praxisnahe und rechtssichere Lösungen aufzeigen.“

Konsequenz

Die ePrivacy-Verordnung wird erhebliche Konsequenzen nicht nur für den Bereich Webanalyse, sondern für alle digitalen Geschäftsmodelle haben. So ist es bspw. für eine effiziente B2B Lead-Generierung, wo Targeting-, Scoring- & Nurturing-Ansätze Hand in Hand gehen, notwendig, möglichst umfangreiche Informationen über die Interessen der Webseitenbesucher zu sammeln und diese entsprechenden Profilen zuzuordnen.

Darf es bspw. unter diesen Vorzeichen kein Targeting mehr geben? Die Verordnung zielt auf die digitale Kommunikation als Ganzes ab und wird die Rahmenbedingungen für den Einsatz von Tracking-Cookies völlig neu definieren. So wie es die Konferenz der Aufsichtsbehörden in einem Positionspapier beschrieben hat, wird dieses dann von einer Einwilligung abhängig sein. Ein berechtigtes Interesse, welches man heute zugrunde legt, entfällt damit als Rechtsgrundlage. Bis zum Inkrafttreten der ePVO gilt die ePrivacy-Richtlinie (Link zum PDF) von 2002. Seit 2009 regelt die Cookie-Richtlinie (Link zum PDF), um die die ePrivacy-Richtlinie unter Erwägungsgrund 25 ergänzt wurde, die Datenschutzanforderungen, die für alle Arten von Cookies gelten sollen.

Das jüngste Urteil des EuGH hat klargestellt, wie es die entsprechenden Richtlinien im Zusammenhang mit der DSGVO auslegt, denn im Gegensatz zur DSGVO, die nicht mehr in nationales Recht umgesetzt werden muss, orientieren sich die Richtlinien rechtlich an nationaler Ausgestaltung.

Ende 2019: Sollten EU-Rat, Parlament und Kommission sich über den finalen Entwurf einigen, kann die ePrivacy-Verordnung auf den Weg gebracht werden.Anfang 2020 könnte die ePrivacy-Verordnung in Kraft treten, insofern die Trilog-Verhandlungen erfolgreich waren.

Aktuell folgt Update auf Update, im Detail nachzulesen beim Bundesverband Digitale Wirtschaft (BVDW) e.V., der Interessenvertretung für Unternehmen, die digitale Geschäftsmodelle betreiben oder deren Wertschöpfung auf dem Einsatz digitaler Technologien beruht. Der BVDW informiert fortlaufend über den Stand des Gesetzgebungsverfahrens zur geplanten ePrivacy-Verordnung. Aktuell heißt es dort „Kompromissregelungen zur ePrivacy-Verordnung vorgelegt“.

↵ zurück zum Inhaltsverzeichnis

Cookies und Tracking unter der aktuellen Datenschutz-Grundverordnung

Seit der DSGVO wundern sich die Internetnutzer über die Masse an verschiedensten Cookie-Bannern. Mit ein Grund für die neue Vielfalt ist die immer noch herrschende Rechtsunsicherheit bezüglich der kleinen Identifizierungs-Dateien:

• Cookies werden erst gesetzt, wenn der Nutzer tatsächlich zugestimmt hat.
• Es wird lediglich mitgeteilt, dass der Besucher der Cookie-Setzung durch die Weiternutzung automatisch zustimmt.
• Ein Zugang zur Website ist gar nicht erst möglich, wenn der Nutzer nicht vorher mit einem Klick auf den Einverstanden-Button zustimmt.

Was ist ein Cookie?

Ein Cookie ist eine kleine Textdatei, die beim Besuch einer Website lokal auf dem Rechner gespeichert wird. Ruft der Besucher die Website erneut im Browser auf, gibt der Cookie dem Betreiber mithilfe der gespeicherten Daten Aufschluss über das Surf-Verhalten.

Stellt das Setzen eines Cookies eine Verarbeitung personenbezogener Daten dar?

Nach dem Verbotsprinzip der DSGVO ist die Erhebung oder Verarbeitung personenbezogener Daten über eine Website nur dann zulässig, wenn einer der Erlaubnistatbestände die Datenverarbeitung legitimiert.

In Art. 4 Ziff.1 DSGVO ist definiert, was im Sinne der DSGVO alles als personenbezogene Daten anzusehen ist: Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

Folglich hat jede Information, die einer natürlichen Person zugeordnet ist, Personenbezug. Als „identifizierbar“ wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung, identifiziert werden kann. Als „identifizierbar“ wird eine natürliche Person nach neuem Recht auch dann angesehen, wenn sie nicht mit ihrem Namen identifiziert werden kann, sondern nur eine Zuordnung zu einer Online-Kennung (Online-Identifier) erhält.

So genügt es also schon, wenn z. B. eine Cookie-ID als Online-Kennung einen Besucher als einzigartigen Nutzer erkennen kann, ohne dass auch eine tatsächliche Identifikation des Namens möglich ist. Dies ist z. B. beim Retargeting der Fall – oder wenn das Nutzungsverhalten via Pseudonym getrackt wird. Soweit aber technisch notwendige Cookies gesetzt werden, die keine Wiedererkennung des Nutzers ermöglichen, fehlt es bereits an einer datenschutzrechtlichen Relevanz, und somit fallen nicht alle Cookies in den Anwendungsbereich der DSGVO.

Nach der DSGVO ist die Erhebung und Verarbeitung von nutzerbasierten Cookie-IDs oder anderen Online-Kennungen also nur dann zulässig, wenn einer der Erlaubnistatbestände des Art. 6 Abs.1 DSGVO die konkrete Datenverarbeitung legitimiert – z. B. durch:

• Einwilligung des Nutzers,
• und/oder es gibt einen Vertrag, der die konkrete Datenverarbeitung rechtfertigt,
• und/oder es gibt ein berechtigtes Interesse, etwa des Werbenden oder des Website-Betreibers, auf das man die Datenverarbeitung stützen kann.

Re-Targeting und Personenbezug

Ob Cookie-basiertes Tracking oder Targeting über berechtigte Interessen legitimiert werden kann, ohne dass der Besucher vorher zugestimmt hat oder ob es einer vorherigen Einwilligung per Opt-In bedarf, hängt also von einer Abwägung der Interessen des Betreibers in Abhängigkeit der berechtigten Nutzererwartung ab. Und lange galt die Annahme, dass eine Vielzahl von Tracking- und Targeting-Tools über berechtigte Interessen legitimierbar war – dass also keine ausdrückliche Zustimmung mittels eines Opt-In nötig war.

Wie Cookie- & Browser-basiertes Tracking im Detail funktioniert, erfahren Sie im Beitrag ONLINE NUTZER-TRACKING? ABER DSGVO-KONFORM! 

Und die wichtigsten Targeting-Techniken zur Steuerung von Online-Werbung lernen Sie im Artikel MIT TARGETING ZUR PERFEKTEN ZIELGRUPPENANSPRACHE kennen. Re-Targeting hat bspw. in der Regel bereits einen Personenbezug, denn es zielt darauf ab, die gleiche Person wieder zu erkennen. Und wenn auf Landing Pages nach allem personalisiert wird, was man über den Nutzer weiß, liegt Personenbezug vor. Mehr erfahren Sie zudem über:

• Technisches Targeting
• CRM Targeting
• Soziodemografisches Targeting
• (Predictive) Behavioral Targeting
• Keyword Targeting
• Contextual Targeting
• Semantisches Targeting
• GEO und Regionales Targeting

Was bedeutet das für die Praxis?

Blickt man auf Tools wie Google Analytics (mit IP-Masking) oder Matomo (ehemals Piwik), wird aufgrund der pseudonymen Datenverarbeitung und der Erwartbarkeit eines solchen Trackings eine Legitimation über ein berechtigtes Interesse vorliegen. In diesem Fall genügt ein Hinweis in der Datenschutzerklärung auf die entsprechende Datenverarbeitung und Widerspruchsmöglichkeit per sogenanntem Opt-Out. Einer expliziten Zustimmung bedarf es jedoch vor dem Setzen des Cookies nicht.

Bei anderen Tools, die Online Behavioral Advertising (OBA) oder Retargeting nutzen, hängt es davon ab, ob pseudonyme Daten erhoben werden und inwiefern sich diese mit anderen Daten zusammenführen lassen. Je nach speziellem Fall kann hier noch über berechtigtes Interesse im Sinne des Art. 6 Abs.1 lit.f DSGVO argumentiert werden, andernfalls bedarf es für den Einsatz einer Einwilligung des Nutzers.

Mehr noch: Verantwortliche müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungsbedürftigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten – z. B. auch Verfahren zur Verfolgung der Nutzer durch Zählpixel oder diverse Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.

So ist auch technisch sicherzustellen, dass Tracking-Verfahren, die datenschutzrechtlich einer Einwilligung bedürfen, erst dann zum Einsatz kommen, wenn die betroffene Person die Information über die geplante Datenverarbeitung inhaltlich erfasst und eine Entscheidung in Form einer expliziten Willensbestätigung darüber getroffen hat.

Was ist bei Direktwerbung zu beachten?

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, besteht allerdings ohnehin ein Widerspruchsrecht ohne Bedingungen, auch für ein Profiling in Verbindung mit Direktwerbung (Art. 21 Abs. 2 DSGVO). In diesen Fällen wirkt sich das Einräumen des Widerspruchsrechts nicht auf die Interessensabwägung aus.

Aus Art. 25 Abs. 2 DSGVO und dem Erwägungsgrund 78 ergibt sich zudem, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen muss, die unter anderem sicherstellen, dass durch die Nutzer vorgenommene technische Voreinstellungen an ihren Endgeräten zum Schutz personenbezogener Daten auch eingehalten werden. Eine technische Umgehung der gewünschten Voreinstellungen, beispielsweise die Verwendung von First-Party Cookies aufgrund blockierter Third Party-Cookies, ist nicht zulässig.

Ein Hinweis allein ist nicht ausreichend

Ein reiner Informationsbanner über verwendete Cookies, der durch Anklicken eines „Bestätigen“-Buttons lediglich weggeklickt werden kann, ist im Sinne der DSGVO nicht ausreichend.

Zudem fehlt die Rechtsgrundlage für das Tracking, wenn vorher nicht eingewilligt wurde und keine Möglichkeit zum Opt-Out für sämtliche Methoden, die nicht zwingend aus technischen Gründen zum Betrieb der Website erforderlich sind, besteht. Auch sollte beim Einpflegen von weitergehenden Tracking-Tools sichergestellt sein, dass es eine Version der Website gibt, bei der die Funktionalität grundsätzlich auch ohne Tracking möglich ist.

Wie lautet die Empfehlung?

Da aufgrund der noch nicht vollends geklärten Auslegung unterschiedliche Standpunkte vertreten werden können, sollten Webseiten nach einer individuellen Risikoabschätzung abwägen, welche Tracking- oder Targeting-Technologie sie einsetzen wollen. Während das Risiko bei einigen Tools aufgrund der Möglichkeit zur Pseudonymisierung eher gering ist, besteht bei anderen eine deutlich größere Rechtsunsicherheit.

↵ zurück zum Inhaltsverzeichnis

Rechtlich sauber tracken:

Wie Website-Betreiber Google Analytics jetzt noch legal einsetzen

Eigentlich und lange Zeit ein Widerspruch: Google Analytics und Datenschutz nach der DSGVO. Allerdings hat sich der Konzern nach zahllosen Streitigkeiten mit Datenschützern auf eine rechtskonforme Nutzung seines Analyse-Dienstes verständigen können. Die wichtigste Voraussetzung dafür ist, dass alle personenbezogenen Daten wie Name, E-Mail, IP-Adresse oder Kontaktdaten pseudonymisiert werden, so dass Drittanbieter sie nicht mehr zurückverfolgen können.

Wie wird Google Analytics rechtskonform eingesetzt?

• Vertrag zur Datenverarbeitung: Um mit erhobenen Daten arbeiten zu können, muss jeder Webseiten-Betreiber einen Vertrag mit Google abschließen.
• IP-Daten anonymisieren: Da IP-Adressen nach deutschem Recht als persönliche Daten gelten, müssen sie anonymisiert werden. Bei einer anonymisierten Mask-IP besteht kein Personenbezug mehr, da hier die IP-Adresse gekürzt ist. Wird die ungekürzte IP-Adresse genutzt oder auf andere Weise mit einem Login oder einem Identifier versucht, Nutzer zu tracken, liegt hingegen Personenbezug vor.
• Widerspruchsrecht: Jederzeit muss der Website-Besucher dem Tracking durch Google Analytics widersprechen können. Dazu muss der Betreiber innerhalb seiner Datenschutzerklärung mehrere Optionen anbieten: Durch einen Direktlink zum offiziellen Opt-Out Plugin von Google Analytics – und da das Plugin auf Smartphones nicht funktioniert, durch einen zusätzlichen Link auf einen Opt-Out Cookie, der das Tracking blockiert.
• Angepasste Datenschutzerklärung: In dieser sollte ausführlich dargelegt sein, wie und auf welche Weise Google Analytics genutzt wird.

↵ zurück zum Inhaltsverzeichnis

Ist die eigene Unternehmensseite bei Facebook noch legal?

Für die meisten Unternehmen ist Social Media elementarer Bestandteil ihres Marketings und der Unternehmenskommunikation. Neben der Business-Kontaktpflege auf LinkedIn & Xing ist es vor allem das Zuckerberg-Universum, welches Markenpräsenz und durch Abverkaufs-Kampagnen sogar direkte Umsatzsteigerungen garantiert. Traffic, Lead-Generierung, Service-Dialog und Fan-Loyalität sind die am häufigsten genannten Gründe, warum sich Unternehmen im Social Network tummeln.

Vor rund einem Jahr entschied jedoch der Europäische Gerichtshof, dass die Betreiber sogenannter Fanpages für mögliche Datenschutzverstöße des sozialen Netzwerks mitverantwortlich sind. Und was ist in der Zwischenzeit passiert? Wie ist es um den Einsatz von Facebook Pixel, Social Plugins, Google Analytics und die Datenschutzkonformität nach DSGVO bestellt? Ist bspw. die eigene Unternehmensseite bei Facebook legal zu betreiben?

Das Like-Button-Plugin von Facebook überträgt beim Laden einer Webseite die IP-Adresse, Webbrowser-Kennung sowie Datum und Zeit - auch ohne dass der Button angeklickt wurde, auch wenn der Nutzer keinen Facebook-Account hat. Der Europäische Gerichtshof hat nun entschieden: Websites, die den Facebook Like-Button einbinden, müssen den Nutzer vorab über die beabsichtigte Datenverarbeitung informieren und ihm die Möglichkeit einräumen, selbst die Funktionalität des Buttons aktiv einzuschalten oder deaktiviert zu lassen.

Kommt auf die Seitenbesucher somit ein weiterer „Einwilligungs-Klick“ zu?

Rechtsanwalt Thomas Schwenke schreibt dazu „für eine eingebundene „Gefällt mir“-Schaltfläche (bekannt als „Like-Button“) sind Webseitenbetreiber neben Facebook nach der DSGVO mitverantwortlich (EuGH, 29.07.2019 – C-40/17 “Fashion ID”, Pressemitteilung). Zugleich hat der EuGH entschieden, dass der Einsatz der „Gefällt mir“-Schaltfläche einer Einwilligung und vollständiger Datenschutzinformationen bedarf. Dies gilt auch für andere Plugins-, Online-Marketing- und Tracking-Tools. Verstöße sind abmahnbar.“ Weitere Info finden Sie unter datenschutz-generator.de.

Wie die Studie (PDF) des Deutschen Instituts für Marketing zeigt, sind rund 80 Prozent der (befragten) deutschen Firmen in den sozialen Netzwerken aktiv. Reichweite und präzises Targeting machen hier vor allem Facebook & Co. auch zur attraktiven Werbeplattform.

Eine Facebook-Unternehmensseite hilft Ihnen, Ihrer Marke ein sympathisches Gesicht zu geben und mit Kunden und Interessenten ins Gespräch zu kommen. Nicht wenige Unternehmen bauen sogar eigene Communities auf.

Facebook stellt Ihnen mit seinen Seiten-Insights sogar ein eigenes Analyse-Tool zur Verfügung. Verläuft eine Media Journey über mehrere Geräte, stößt Tracking typischerweise an seine Grenzen. Eine Kundenreise nachzuvollziehen ist kaum noch möglich. Ist ein Nutzer dagegen bspw. auf Facebook eingeloggt, kann die Plattform dessen Customer Journey begleiten: von einer mobilen Recherchephase auf dem Smartphone oder Tablet bis hin zum Kaufabschluss auf Notebook und Desktop. Somit kann auch eine Conversion dem Werbekontakt zugeordnet werden.

Was müssen Unternehmen beachten?

Anfang Juni 2018 entschied der Europäische Gerichtshof (EuGH), dass die Betreiber sogenannter Fanpages für mögliche Datenschutzverstöße des sozialen Netzwerks mitverantwortlich sind. Das Urteil EuGH C-210/16 war deshalb auch der entscheidende Grund für viele Unternehmen, ihre Fanpages zu schließen.

Kurz darauf (am 05.09.2018) teilte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) mit, dass Fanpages in der zu diesem Zeitpunkt aktuellen Fassung rechtswidrig seien, solange kein sogenannter „Joint-Controller-Vertrag“ vorliegt. Dieser soll klären, welche Seite die Pflicht zur Umsetzung der DSGVO übernimmt. Darauf reagierte das soziale Netzwerk wiederum mit einer Änderung seiner AGBs, die den „Joint-Controller-Vertrag“ bereits umfasste, welcher vor allem die Speicherung und Verwendung von Insights regelt (z. B. Alters- & Geschlechterverteilung, Beruf sowie weitere demografische Daten).

Was bedeutet das Urteil für Fanpages?

Sind Social Plugins und das Facebook Pixel auf der eigenen Website zukünftig nicht mehr tragbar? Oder sieht es vielleicht doch nicht ganz so düster aus?

Klar ist erst einmal, dass Facebook durch die AGB-Änderung den Großteil der Pflichten für die Datenverarbeitung übernimmt. Diese umfassen sowohl die Informationspflichten (Art. 12-13 DSGVO) als auch die Betroffenenrechte (Art. 15-22 DSGVO) sowie die Datensicherung und die Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO).

Fakt ist: Ein effizienter Einsatz von Facebook- oder Instagram-Werbeanzeigen ist ohne den Einsatz eines Facebook Pixels nicht möglich. Optimierung und Targeting, Conversion Tracking, die Nutzung von Lookalike Audiences (erweitertes Targeting), die Sequenzierung von Werbeanzeigen oder die Messung eines ROI via Facebook Analytics sind komplett von ihm abhängig.

Der Marketing-Spezialist Thomas Hutter gilt als einer der renommiertesten Facebook-Experten im deutschsprachigen Raum. Er berät große und mittelständische Unternehmen, Organisationen und Agenturen und hat bereits im Rahmen des Kölner Ads Camps (Mai 2019) die Möglichkeiten, welche die Pixel-Daten (Basis Code & Events) in der Anwendung mitbringen, vorgestellt und eingeordnet.

Seitenbetreiber können sich aber nicht aus ihrer Verantwortung ziehen. Zusammenfassend die Punkte, für die sie laut der Aufsichtsbehörden in puncto Facebook, Social-Plugin und Facebook Pixel weiter mitverantwortlich sind:

Datenschutzerklärungen sollten auf Webseiten vollständig und richtig sein. Sie sind die für jedermann sichtbaren Fassaden des internen Datenschutzmanagements und werden z. B. bei Beschwerden von den Datenschutzbehörden geprüft. Das gilt auch im Hinblick auf Abmahnungen von Mitbewerbern, die z.B. bei fehlenden Angaben zu eingesetzten Tracking-Tools oder Belehrungen der Nutzer ein leichtes Spiel haben.

Dr. jur. Thomas Schwenke, Rechtsanwalt

Fanpages, Social-Plugins und Facebook Pixel

• Betreiber von Fanpages sind für die Verarbeitung der Besucherdaten dann mitverantwortlich, wenn sie der Erstellung von Insights-Statisiken dienen. Die weitere Verarbeitung der Daten durch Facebook selbst ist allerdings kein Bestandteil der Mithaftung.
• Innerhalb von sieben Tagen müssen Anfragen der Nutzer oder Aufsichtsbehörden an Facebook weitergeleitet werden.
• Die eigene Datenschutzerklärung sollte Datenschutzhinweise zur Rechtsgrundlage der Fanpage-Nutzung mit einem Verweis auf den Datenschutzhinweis von Facebook beinhalten. Das sollte bereits auf der Startseite der Fanpage geschehen. Auch sollte hier stehen, für welchen Teil der Datenverarbeitung und Speicherung Facebook zuständig ist und wie die Benutzer ihre Rechte gegenüber Facebook wahrnehmen können.
• Ein Facebook Pixel oder Social-Plugin darf erst dann eingesetzt werden, wenn der Besucher der Website dafür seine Einwilligung gegeben hat. Zu beachten ist, dass die Plugins meist bereits mit dem Aufruf der Website aktiv sind, meist noch bevor eine aktive Einwilligung erfolgen kann.
• Besucher müssen ihre Einwilligungen widerrufen und auch sonst der Verarbeitung ihrer Daten zu Marketing-Zwecken widersprechen können (Art. 7 Abs. 3, 21 Abs. 2 DSGVO). Falls das Social-Plugin schon beim Aufruf der Website ausgeführt wird, sollte eine eigene Opt-Out-Lösung angeboten werden, welche die Ausführung verhindert.
• Für die Nutzung von Social-Plugins und des Facebook Pixels sollte eine explizite Einwilligung eingeholt werden, denn dann ist sie am sichersten – diese kann z. B. über ein Cookiebanner geschehen.
• Hinweise zur Funktion sowie zu Rechtsgrundlagen der eingesetzten Facebook-Dienste wie z. B. Facebook Pixel oder Social-Plugin sollten in den eigenen Datenschutzhinweisen eingearbeitet sein. Auch darf die Widerspruchsmöglichkeit des Nutzers nicht fehlen.

Mit diesen Punkten dürften die Forderungen der Datenschutzkonferenz durch den Abschluss des „Joint-Controller-Vertrag“ gem. 26 DSGVO erfüllt sein. Da diese Vereinbarung aber nur eine administrative Datenschutzvorgabe erfüllt, bleibt auch immer ein gewisses Restrisiko bestehen. Durch die ergänzten Nutzungsbedingungen von Facebook vermindert sich aber zumindest das Risiko beim Betrieb der Fanpage enorm. Sollte der EuGH in Zukunft wie bei Fanpages auch für Social-Plugins eine gemeinsame Verantwortlichkeit annehmen, sprechen derzeit viele Gründe dafür, dass dies auch für das Facebook Pixel gelten wird.

Bleibt die Frage, wie Facebook dann reagieren wird – wird das soziale Netzwerk eine weitere zusätzliche Vereinbarung über die gemeinsame Verantwortlichkeit stellen? Ob dann wirklich alle Regelungslücken durch sie geschlossen und die deutschen Datenschutzbehörden zufriedengestellt werden, bleibt erst einmal abzuwarten.

„Ist das Ende des Like-Buttons auf Ihrer Webseite gar unausweichlich?“ heißt es daher folgerichtig bereits in unserem „Social Media kompakt“ im August 2019. 

 

Das EuGH-Urteil betrifft weit mehr als nur den Like-Button: Alle vernetzten Elemente inklusive Webanalyse müssten verschwinden, will man rechtskonform agieren.

 

So klar formuliert es @JoachimGraf, der Herausgeber von iBusines.

Datenschutz als Standortfaktor: Vorbild DSGVO?

Das Spannungsfeld zwischen Datenschutz und der rechtskonformen B2B Lead-Generierung und Kommunikation liefert den Unternehmen immer wieder neue Anforderungen. Es bietet durch neue Datenschutz-Technologien gleichzeitig aber eine stärkere Unterstützung an. Aktuelles zum Themenfeld Data Economy und viele Detailfragen werden regelmäßig vom Bundesverband Digitale Wirtschaft (BVDW) e.V. diskutiert und vermittelt.

Durch den Skandal um Cambridge Analytica war seinerzeit der unbemerkte Zugriff auf Daten von 87 Millionen Facebook-Nutzern möglich. Aus diesem und auch anderen Gründen will der amerikanische Kongress handeln und den datenschutzrechtlichen Regulierungs-Flickenteppich vereinheitlichen. Bereits im Juni 2018 boxte Kalifornien ein strengeres Datenschutzgesetz durch – ab Januar 2020 soll es mit der Möglichkeit greifen, dass Konsumenten Auskunft über die Erfassung und Verwendung ihrer Daten wie auch die Löschung verlangen können. Andere Staaten wie Washington oder New York planen ähnliche Gesetze. Die General Data Protection Regulation (wie die DSGVO auf Englisch heißt) ist dafür weltweit zum De-facto-Standard geworden. Unter anderem gerade deshalb, weil die strengen Regeln auch für ausländische Firmen gelten, die in Europa tätig sind.

↵ zurück zum Inhaltsverzeichnis

Tipps für eine klare DSGVO-Sicht
in der Cloud

Für viele Unternehmen heutzutage ein Muss: die Nutzung von flexiblen Services in der Cloud. Werden jedoch personenbezogene Daten hierhin ausgelagert, müssen Unternehmen im Kontext der DSGVO und bei der Anbieterauswahl einige Besonderheiten beachten.

Das Shared-Responsibility-Modell

Für Cloud-Services gilt das Modell der Shared-Responsibility: Sowohl Anbieter als auch nutzende Unternehmen sind für die Datensicherheit gleichermaßen verantwortlich. Ein guter Anhaltspunkt für eine erste Auswahl sind daher die ISO-Zertifizierungen 27001 und 27017, die sich am IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientieren.

Um darüber hinaus ihrer Prüfpflicht nach DSGVO-Gesichtspunkten nachzukommen, müssen Unternehmen ihre eigenen Datenschutzrichtlinien mit denen der in Frage kommenden Cloud-Anbieter abgleichen. Dabei sollten insbesondere die folgenden Punkte beachtet werden:

• Standort der Datenverarbeitung, -speicherung und -sicherung
  Dank der Cloud scheint es gleichgültig zu sein, wo sich der Speicherort der Daten befindet. Nach DSGVO-Aspekten ist es jedoch wichtig, ob die Daten im EU-Raum oder außerhalb davon verarbeitet, gespeichert oder gesichert werden. Im letzteren Fall muss geprüft werden, ob die Durchsetzung der Datenschutzrechte die gleichen Möglichkeiten bietet wie innerhalb der EU: Hierfür kann der Cloud-Anbieter eine von der EU genehmigte Zertifizierung oder offizielle Stellungnahme der zuständigen Aufsichtsbehörden vorweisen.
• Verfahrensregelung bei Sicherheitsvorfällen
  Folgendes muss der Cloud-Anbieter darlegen: Innerhalb welcher Fristen und in welchem Umfang er Auskunft über potentielle Datenverluste geben kann und ob diese zeitgleich an Nutzer und Aufsichtsbehörden gegeben werden. Die gesetzliche Frist beträgt 72 Stunden und sofern noch nicht vorhanden, sollten Unternehmen für die Cloud-Nutzung einen internen Ablaufplan erstellen, in dem alle nötigen Schritte und die erforderlichen beteiligten Personen festgehalten sind.
• Datensicherung und Wiederherstellung
  Die Vorgaben, die Cloud-Nutzer in ihrer Datenschutzerklärung Kunden zusichern, müssen auch in dem Vertrag mit dem Cloud-Anbieter abgebildet sein. Dafür muss der Anbieter alle technischen und organisatorischen Verfahren zur Sicherung und Wiederherstellung von Daten bereitstellen, dokumentieren und kommunizieren. Bei Vertragsabschluss muss dem Nutzer gegenüber erklärt werden, dass ausschließlich autorisiertes Personal Zugriff auf die Daten hat.
• Cloud-Anbieter und Subunternehmer
  Arbeitet der Cloud-Anbieter mit Subunternehmen zusammen, muss klar sein, ob diese im gleichen geografischen Gebiet wie der Anbieter selbst operieren. Ist das nicht der Fall, muss nachgewiesen sein, dass das gleiche datenschutzrechtliche Niveau wie im EU-Raum herrscht. Es bedarf zudem einer Erklärung, dass der Subunternehmer alle vertraglich betroffenen Vereinbarungen zwischen Anbieter und Nutzer einhält.

In diesem Spannungsfeld kommt es auf die Balance an

Das Thema Datenschutz bleibt spannend, neue Forderungen und Vorgaben kommen hinzu, gleichzeitig bieten Datenschutz-Technologien eine stärkere Unterstützung an. Unternehmen müssen den Datenschutz in Zukunft noch ernster nehmen – nicht nur wegen der drohenden hohen Bußgelder, sondern auch wegen der eigenen Außenwirkung. Und natürlich wird sich eine Diskussion munter weiterdrehen: Wo genau liegt die richtige Balance zwischen der Umsetzung eines genügenden Datenschutzes, ohne den technologischen, wirtschaftlichen und somit auch gesellschaftlichen Fortschritt zu gefährden?

↵ zurück zum Inhaltsverzeichnis

Worauf es jetzt bei Mitarbeiter- & Talentmanagement ankommt

Für Personaler hat das Thema Datenschutz nicht erst seit der DSGVO einen hohen Stellenwert. Und wenn verschmähte Bewerber vermeintliche Datenschutzverstöße anzeigen und ein häufiger Auslöser für Ermittlungsmaßnahmen sind, gilt es mehr denn je, die rechtlichen Vorgaben zu beachten.

Für Bewerbungsverfahren ist keine Einwilligung erforderlich

Viele Unternehmen glauben immer noch, dass sie seit dem Inkrafttreten der DSGVO eine explizite Einwilligung für die Speicherung und Verarbeitung der Daten von Bewerbern brauchen.

Rechtlich kann sie nicht schaden, aber wirklich notwendig ist sie nicht, denn nach der DSGVO dürfen „personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses […] erforderlich ist.“ Wird die Einwilligung dennoch eingeholt, so muss dem Unternehmen klar sein, dass bei Widerruf, trotz des oben genannten Passus, die Datenverarbeitung nicht mehr erlaubt ist.

Sinnvoll ist aber in jedem Fall, vor Beginn der Datenverarbeitung darüber zu informieren, auf welcher Rechtsgrundlage diese erfolgt. Somit reicht eine Information an die Bewerber im Rahmen des Bewerbungsprozesses nach Art. 12 und Art. 13 DSGVO über die Datenverarbeitung aus – z. B. im Rahmen der eigenen Datenschutzerklärung beim Online-Bewerbungsformular als gut ersichtliche Verlinkung in der Stellenanzeige.

Informationspflichten beachten

Mit der DSGVO hat der Gesetzgeber die Informationspflichten präzisiert und umfassender geregelt. So müssen Verantwortliche dem Betroffenen in leicht verständlicher Sprache erklären, wozu die personenbezogenen Daten verwendet werden. Und zwar unabhängig davon, ob die Daten beim Betroffenen selbst oder über einen Dritten wie z. B. einen Headhunter oder ein soziales Netzwerk erhoben werden.

Active Sourcing – z. B. bei Xing, LinkedIn & Co.

Beim Active Sourcing treten Unternehmen mit potentiellen Mitarbeitern in persönlichen Kontakt, um eine dauerhafte Beziehung aufzubauen. Für die proaktive Ansprache von Kandidaten werden häufig Vorauswahllisten mit personenbezogenen Daten erstellt. Wenn Unternehmen in diesem Fall ein berechtigtes Interesse vorweisen können, kein entgegenstehendes Interesse auf Seiten des Kandidaten besteht und die Daten selbst durch den Kandidaten öffentlich gemacht wurden, müssen sie nicht explizit zur Speicherung freigegeben werden.

Weitergabe der Bewerbung im Unternehmen

Da im Bewerbungsprozess meist mehrere Personen beteiligt sind, werden Bewerberdaten auch innerhalb eines Unternehmens weitergereicht. Und da es sich dabei um eine Verarbeitung personenbezogener Daten handelt, muss nach der DSGVO ein Erlaubnistatbestand bestehen. Dabei ist die Weitergabe innerhalb derselben juristischen Person (also in diesem Fall des Unternehmens) an Personen gestattet, die ebenfalls mit dem Bewerbungsverfahren zu tun haben.

Probleme bereitet dabei die Pflicht zur Löschung der Daten, wenn diese im Unternehmen per E-Mail (unbedingt verschlüsselt) oder ausgedruckt weitergegeben werden. Hier ist eine zentrale Lösung zu empfehlen, die das spätere Löschen vereinfacht und für die sich Zugriffsrechte vergeben und auch wieder entziehen lassen.

Absage und Datenlöschung

Da der Grundsatz der zweckmäßigen und verhältnismäßigen Datenverarbeitung gilt, können Bewerbungsunterlagen auch mal sieben oder acht Monate gespeichert werden. So ist es möglich, auch nach Ablauf einer gescheiterten Probezeit erneut auf die Profile der anderen ebenfalls geeigneten Bewerber zuzugreifen, ohne einen komplett neuen Bewerbungsprozess anzustoßen. Für diese Art der Datenspeicherung (in sogenannten „Bewerberpools“), die über die gesetzlichen Aufbewahrungsfristen hinausgeht, ist allerdings die Einwilligung der Bewerber erforderlich.
Beim Active Sourcing hingegen sieht die Sache anders aus: Falls Unternehmen personenbezogene Daten auf Vorauswahllisten speichern und innerhalb von sechs Monaten keinen Kontakt aufnehmen, sind die Daten mangels berechtigten Interesses zu löschen.

Was landet in der Personalakte?

Das hängt davon ab, welche Daten für das Beschäftigungsverhältnis zwingend erforderlich sind. In der Praxis ist dies genau zu prüfen, denn oft werden nicht mehr benötigte Daten, die aber im Zuge der Bewerbung übermittelt wurden (Anschreiben, Anlagen etc.), eins zu eins in die Personalakte übernommen. Da der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) besagt, dass die Datenverarbeitung auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein muss, muss eine datenschutzkonforme Führung der Personalakte stets gewährleistet sein.

↵ zurück zum Inhaltsverzeichnis

1. Zentrales Archiv nutzen

Vor allem die ständige Verfügbarkeit der Daten hat Einfluss auf das in der DSGVO festgelegte „Recht auf Vergessenwerden“. Ein zentrales Archiv, das den Datenschutz und die Privatsphäre bereits in der Technik bzw. durch Voreinstellungen berücksichtigt, ist daher zu bevorzugen.

2. Daten unverändert aufbewahren

Daten sollen in unveränderter Form werden, und es muss jederzeit sichergestellt sein, dass sie vor Manipulationen geschützt und auf belastbaren und sicheren Systemen gespeichert sind. Nur so erfüllen sie die gesetzlichen Anforderungen und haben im Zweifel auch vor Gericht Bestand.

3. Klare Berechtigungen vergeben

Daten sollen nur für Berechtigte zugänglich sein und bei Bedarf auch von diesen wieder gelöscht werden können. Es empfiehlt sich daher ein zentrales System, auf dem sich Berechtigungen jederzeit erteilen und auch widerrufen lassen.

4. Digitale Signatur für Rechtssicherheit

Für ein Maximum an Rechtssicherheit empfiehlt sich nur die Archivierung in Originalform, ohne eine Umwandlung in andere und vor allem in zukunftssichere Standardformate. Bei eventuellen Rechtsstreitigkeiten kommt der Unveränderbarkeit mit digitaler Signatur wie auch Zeit- und Datumsstempel immer eine zentrale Rolle zu.

5. Datenaustausch protokollieren

Die Datenübertragung bzw. der Austausch wird in der DSGVO als Verarbeitungsaktivität bezeichnet. In diesem Fall sind Protokolle anzufertigen und bei Bedarf vorzuweisen. Müssen Unternehmen regelmäßig mit sensiblen oder kritischen Daten umgehen, empfiehlt sich der Einsatz einer Managed File Transfer-Lösung, um den Prozess des Datenaustauschs automatisch abzusichern, zu steuern und zu protokollieren.

6. Aufbewahrungsfristen beachten

Im Normalfall müssen Geschäftsunterlagen sechs oder zehn Jahre aufbewahrt werden. In Ausnahmefällen können es sogar 30 Jahre oder mehr sein. Neben den im Handelsgesetzbuch sowie in § 147 Abgabenordnung steuerrechtlich definierten Regelungen gibt es weitere branchen- und anwendungsspezifische Vorschriften, die es jeweils zu beachten gilt.

↵ zurück zum Inhaltsverzeichnis

In puncto Datenschutz hinterher?

8-Punkte-Checkliste für die schnelle Überprüfung

Nachdem sich der Staub um die DSGVO ein wenig gelegt hat, ist jetzt der perfekte Zeitpunkt, seine Maßnahmen rund ums Thema Datenschutz nochmal unter die Lupe zu nehmen. Oder auch – falls noch nicht geschehen – zu vervollständigen. Hier auf einen Blick die wichtigsten acht Punkte, die Unternehmen auf jeden Fall umgesetzt haben müssen:

• Verzeichnis der Verarbeitungstätigkeiten:
  Übersicht und Zulässigkeitsprüfung aller Verarbeitungen personenbezogener Daten.
• Sicherheitskonzept:
  Prüfung und Dokumentierung von Schutzmaßnahmen (z. B. Berechtigungskonzept, Verschlüsselung, Backups, Software-Updates etc.). Bei risikoreichen Verarbeitungen (z.B. bei umfangreicher Verarbeitung von Gesundheitsdaten) muss eine zusätzliche Datenschutz-Folgenabschätzung erfolgen.
• Datenschutzbeauftragter:
  Prüfung, ob ein Datenschutzbeauftragter benannt werden muss (u.a.
  ab zehn Beschäftigten).
• Datentransfers:
  Abschluss von sogenannten Auftragsverarbeitungsverträgen mit Subunternehmern und sonstigen Dienstleistern.
• Belehrung und Verpflichtung von Mitarbeitern:
  Schulungen und Vertraulichkeitsverpflichtungserklärungen.
• Rechte Betroffener:
  Einrichtung von Verfahren zur schnellen Reaktion auf Auskünfte, Datentransfers oder Wünsche nach Löschung oder Berichtigung von Daten.
• Datenpannen:
  Ebenso müssen Prozesse für die Meldung von etwaigen Datenpannen an Behörden und Betroffene vorliegen. Dabei sinkt die Schwelle der Meldepflicht erheblich und gilt für alle und nicht nur sensible Daten wie solche, die Gesundheit oder Bankinformationen betreffen.
• Update Datenschutzerklärung:
  Transparent, vollständig und verständlich.
• Audits und Aktualisierungen:
  Es muss gesichert sein, dass die Verarbeitungen überwacht und bei Änderungen sowie turnusmäßig (z. B. halbjährlich) geprüft werden.

↵ zurück zum Inhaltsverzeichnis

Statement: Fleiß zahlt sich aus

Die Einführung der DSGVO vor rund einem Jahr brachte mit Androhung von Bußgeldern in Millionenhöhe sowie Abmahnwellen viel Unsicherheit mit sich. Die Bestandsaufnahme nach einem Jahr zeigt, dass die Sorge zwar zum Teil berechtigt war, aber die unternehmerischen Risiken beherrschbar sind.

Thomas Schwenke:
Rechtsanwalt, Referent, Podcaster und Buchautor. Sie finden ihn in den sozialen Netzwerken unter:
Facebook: fb.com/raschwenke
Instagram: @tschwenke 
Twitter: @thsch

Die ersten Berichte zu mittlerweile meistens in vier bis fünfstelliger Höhe verhängten Bußgeldern zeigen, dass die Risiken gar nicht in den medial bekannten Streitpunkten liegen. Sanktioniert wird nicht der umstrittene Einsatz von Cookies, die Nutzung von Social Media oder von Messengern. Ganz im Gegenteil zeigt auch die Erfahrung des Verfassers, dass in umstrittenen Rechtsbereichen die Behörden kooperativ sind und informelle Aufforderungen versenden, bevor Zwangsmaßnahmen erfolgen.

Ganz anders sieht es dagegen bei organisatorischen und technischen Verstößen aus. Zu diesen gehören z. B. fehlende Verträge mit Auftragsverarbeitern, nicht rechtzeitige oder unvollständige Auskünfte gegenüber Betroffenen, fehlende Verzeichnisse von Verarbeitungstätigkeiten, Online-Formulare ohne https-Verschlüsselung oder unerlaubte Videoüberwachung.

Zu einem hohen Risikofaktor hat sich zudem die Meldepflicht bei Datenschutzverletzungen entwickelt. Waren Datenpannen vor der DSGVO nur im Fall sensibler Daten (z. B. Bankdaten, Gesundheitsdaten etc.) relevant, sind nunmehr alle Daten umfasst. Das bedeutet, dass die Meldepflicht bereits beim Verlust eines USB-Sticks oder dem Fehlversand einer E-Mail mit einer Kundenrechnung geprüft und in jedem Fall protokolliert werden muss. Sollte der Vorfall später bekannt werden, kann die kleine Nachlässigkeit in der Prüfung der Datenschutzverfahren oder Bußgeld münden.

Generell ist der Datenschutz zu einer Fleißarbeit geworden, bei der alle Datenschutzvorgänge und die Prüfung ihrer Zulässigkeit protokolliert werden müssen. Es ist ein großer Unterschied, ob die Behörde festgehaltene Überlegungen für unrichtig hält oder sie komplett fehlen. Im ersten Fall folgt im Regelfall eine Rüge mit Aufforderung zur Nachbesserung, im zweiten Fall kann sofort ein Bußgeld verhängt werden.

Ferner sollten Datenschutzerklärungen auf Webseiten vollständig und richtig sein. Sie sind die für jedermann sichtbaren Fassaden des internen Datenschutzmanagements und werden z. B. bei Beschwerden von den Datenschutzbehörden geprüft. Das gilt auch im Hinblick auf Abmahnungen von Mitbewerbern, die z.B. bei fehlenden Angaben zu eingesetzten Tracking-Tools oder Belehrungen der Nutzer ein leichtes Spiel haben.

Das gilt auch, wenn derzeit nicht geklärt ist, ob Mitbewerber Datenschutzverstöße zusätzlich zu den Sanktionsmöglichkeiten der Datenschutzbehörden abmahnen dürfen. Da sich die Gerichte uneinig sind und manche Datenschutzklagen zurückweisen, während andere ihnen stattgeben, bleibt die Abmahngefahr bis zur höchstrichterlichen oder gesetzlichen Klärung dieser Ungewissheit bestehen.

Zusammenfassend heißt es also, dass der Datenschutz ein kontrollierbares Risiko darstellt und die juristischen Idiome, „die Fassade muss stimmen“ und „wer schreibt, der bleibt“, im Datenschutz mehr gelten als je zuvor.

Rechtsanwalt Dr. jur. Thomas Schwenke, LL.M. (UoA), Dipl.FinWirt (FH) berät international Unternehmen sowie Agenturen im Marketingrecht sowie Vertragsrecht, ist Datenschutzsachverständiger, zertifizierter Datenschutzauditor sowie Datenschutzbeauftragter und Betreiber von https://datenschutz-generator.de.

Im Blog: Bußgelder sind die neuen Abmahnungen

Schaut man sich heute in den gängigen Newsportalen um, fällt auf: die Behörden machen mittlerweile ernst: Das Motto „Gnade vor Recht“ scheint vorbei zu sein und  unlängst hat es große Player wie Google und Delivery Hero erwischt. Letzterer musste wegen zahlreicher Einzelverstöße mit 195.407 Euro das bisher höchste Bußgeld in Deutschland zahlen. In Zeiten, in denen sich immer noch lediglich 28% der weltweit befragten Unternehmen als DSGVO-konform ansehen - Deutschland liegt, laut Capgemini-Studie, mit 33 Prozent DSGVO-konformen Unternehmen noch deutlich über dem Schnitt - drohen endgültig empfindliche Strafen: Die DSGVO zeigt ihre Zähne.

↵ zurück zum Inhaltsverzeichnis

DSGVO beim Inbound Marketing

Einer der Gründe, weshalb sich insbesondere in Deutschland immer mehr KMU von Outbound Marketing abwenden, ist unter anderem die im Frühjahr 2018 eingeführte DSGVO. Viele Unternehmen sind zurückhaltend geworden, wenn es zum Beispiel um den Handel mit Daten geht, die oft die Grundlage für Outbound Marketing darstellen.

Aber auch beim Inbound Marketing spielt die DSGVO eine wichtige Rolle. Hier gilt es aber eher die Daten korrekt zu erheben, zu verarbeiten, zu speichern und schließlich auch wieder zu löschen. Da Ihr Inbound Marketing aber immer Menschen ansprechen sollte, die ein echtes Interesse an Ihren Inhalten und Angeboten haben, sind diese in der Regel durchaus bereit, die notwendigen Einwilligungen zu erteilen. Zum Beispiel, indem sie sich gezielt in Ihren Themen-Newsletter eintragen oder ein weiterführendes Whitepaper zu einem bestimmten Thema runterladen.

Bei all diesen Schritten sind verschiedene Besonderheiten der DSGVO genau zu beachten. Die folgende Grafik zeigt, welche Aspekte der DSGVO bei den jeweiligen Schritten des Inbound Marketings zu beachten sind:

Quelle: HubSpot, Get Rolling with GDPR - blog.hubspot.com, Grafik MBmedien

↵ zurück zum Inhaltsverzeichnis