Worum geht es bei der neuen Datenschutz-Grundverordnung?
Die neue Datenschutz-Grundverordnung der EU regelt, welche Kundendaten gesammelt und wie sie gespeichert werden dürfen. Wie der Name schon impliziert, gilt die neue Verordnung für alle Organisationen, die Daten zu ihren Kunden sammeln. Für diesen Artikel konzentrieren wir uns jedoch auf die Online-Kunden-Beziehungen.
Die neue Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 anzuwenden, was Ihnen noch knapp ein Jahr gibt, sich darauf vorzubereiten. Zusammen mit der neuen Datenschutz-Grundverordnung wird voraussichtlich auch die e-Datenschutz-Richtlinie aktualisiert. Diese Datenschutz-Richtlinien enthalten detailliertere Angaben für Online-Daten bezüglich Sammlung, Nutzung und Speicherung. Die e-Datenschutz-Richtlinie liegt erst als Vorlage vor. Es ist geplant, dass sie zusammen mit der Datenschutz-Grundverordnung angewendet werden kann.
Wen betrifft die neue Datenschutz-Grundverordnung?
Für Europäische Unternehmen ist es offensichtlich, dass sie unter den Geltungsbereich der neuen Datenschutz-Bestimmungen fallen. Die neue Datenschutz-Grundverordnung gilt zudem für alle Unternehmen, die Daten von EU-Bürgern sammeln. Das heisst, dass sie auch für alle Webseiten gilt, die von EU-Bürgern besucht werden können und auf denen die Daten der EU-Bürger gesammelt werden. Die neue Datenschutz-Grundverordnung nimmt solche Unternehmen in die Verantwortung, egal, wo sich ihr rechtlicher Sitz befindet. Wichtig ist dies vor allem, da in der Datenschutz-Grundverordnung Bussen bis zu 20 Millionen Euro oder bis zu 4% des globalen jährlichen Umsatzes (zu zahlen ist der grössere Betrag) vorgesehen sind.
Was sind die wichtigsten Aspekte für Ihr Online-Marketing?
Für Online Marketers gibt es einige Punkte in der Datenschutz-Grundverordnung, die in Zukunft zu beachten sind. Die folgenden vier Punkte sind die wichtigsten, um sicherzustellen, dass ihre Online-Aktivitäten gemäss der neuen Richtlinie konform sind.
1. Persönliche Daten
Wichtig ist zu verstehen, welche Daten in den neuen Richtlinien geregelt werden. In beiden Richtlinien geht es vor allem um die Handhabung von persönlichen Daten.
Persönliche Daten sind sämtliche Daten, mit denen ein Nutzer identifiziert werden kann. Das sind Daten wie beispielsweise Namen, Adressen, Telefonnummern oder E-Mail-Adressen. Persönliche Daten umfassen jedoch auch persönliche Online-Identifikationsmerkmale wie User-Namen oder IP-Adressen.
2. Einwilligung
Eine der wichtigsten Änderungen der neuen Datenschutz-Grundverordnung ist die Einwilligung der Nutzer, um Daten zu sammeln. Für diese Einwilligung braucht es eine aktive zustimmende Handlung des Nutzers. Die heute üblichen Informationsseiten auf Webseiten zu den Datenschutzbestimmungen reichen also nicht mehr. Zudem muss der Nutzer genau darüber informiert werden, welche Daten gesammelt werden, was das Unternehmen damit macht und wo die Daten gespeichert werden.
Der Nutzer muss auch die Möglichkeit haben, sein Einverständnis zur Datensammlung jederzeit zurückzuziehen. Dazu muss den Nutzern ein Prozess zur Verfügung gestellt werden, von dem sie jederzeit Gebrauch machen können.
3. Datensicherheit
Die Verantwortung über die Datensicherheit der gesammelten persönlichen Daten obliegt dem Verantwortlichen für die Datensammlung. Der Verantwortliche ist definiert als die Entität, die über den Zweck und die Methode der Datensammlung entscheidet. Als Webseiten-Inhaber beispielsweise sind Sie also verantwortlich und müssen sicherstellen, dass die eingesetzte Software die Daten gemäss den gesetzlichen Vorschriften sammeln und speichern.
4. Daten-Lokalisierung
Die neue Datenschutz-Grundverordnung gibt vor, dass die gesammelten Daten in der EU oder einem Land mit vergleichbaren Datenschutzrichtlinien gespeichert werden. Eine Liste dieser in Frage kommenden Länder finden Sie hier.
Diese Vorgabe kann zu Problemen führen, wenn Sie Tools einsetzen, deren Server und Daten-Center sich zum Beispiel in den USA befinden und damit über keine vergleichbaren Datenschutzrichtlinien verfügen. Das US-EU Privacy Shield erlaubt es US-Firmen zwar, eine Vereinbarung zu unterzeichnen, die sie dazu verpflichtet, dieselben Datenschutzrichtlinien einzuhalten wie in der neuen Datenschutz-Grundverordnung. Das Problem bei diesem Vorgehen liegt darin, dass diese Vereinbarung nicht gleich bindend ist wie ein Gesetz. Zudem operieren diese Unternehmen auch dann noch unter einem Gesetz, das sie dazu zwingen kann, die persönlichen Daten von EU-Bürgern gesetzlichen Institutionen in den USA zugänglich zu machen.
Schliesslich muss bedacht werden, dass die neue Datenschutz-Richtlinie vorschreibt, dass die Nutzer bei ihrer Einwilligung informiert werden, dass die Daten ausserhalb der EU gespeichert werden.
Was sollten Sie tun, um für die neuen Datenschutz-Richtlinien gerüstet zu sein?
1. IP-Adressen anonymisieren
Wenn Sie ein Tool wie Google Analytics einsetzen und damit anonymisierte Daten zur Verhaltensanalyse Ihrer Webseiten-Besucher nutzen, spricht man von aggregierten Web-Daten. Bei dieser Art von Tracking gibt es zwei Kennzahlen, die in den neuen Datenschutz-Richtlinien als persönliche Daten angesehen werden: die IP-Adresse und die Tracking-Cookies.
Beim Thema IP-Adressen gibt es ein einfaches Vorgehen, damit keine Nutzer-Einwilligung notwendig ist: Die meisten Tools bieten die Möglichkeit, die IP-Adresse zu anonymisieren. Somit ist es unmöglich, den einzelnen Nutzer zu identifizieren.
2. Einwilligung einholen
Bei den Cookies ist es so, dass die e-Privacy-Richtlinie eine Ausnahme bereithält, sofern die Cookies nur dazu benutzt werden, die Besucherzahl zu ermitteln. In diesem Fall ist keine Nutzer-Einwilligung notwendig. Es ist jedoch noch nicht klar, ob dies nur gilt, wenn die Cookies vom Webseiten-Betreiber gesetzt werden oder auch, wenn sie von Dritt-Anbietern wie Google Analytics kommen. Dies wird sich erst klären, wenn die e-Privacy-Richtlinie ratifiziert wird.
3. On-Premise-Analyse-Tools nutzen
Die Chance besteht also, dass Tools wie Google Analytics unter den neuen Richtlinien eine Nutzer-Einwilligung brauchen, auch wenn damit nur aggregierte Daten gesammelt werden. Wenn Sie nur aggregierte Daten sammeln, können Sie auch ein Analytics-Tool nutzen, das Sie selber hosten. Es gibt einige Analyse-Tools, die on-premise gehostet werden können. Da damit alle Daten in Ihrer Infrastruktur als Webseiten-Inhaber gespeichert werden, braucht es keine Nutzer-Einwilligung.
4. Opt-In anbieten
Falls Sie das Analytics-Tool nicht selber hosten können, müssen Sie dem Nutzer eine Opt-In-Möglichkeit anbieten. Dafür gibt es zwei Varianten:
Sie können einerseits einen Soft-Opt-In anbieten, wie man es bereits von vielen Webseiten in Deutschland und den Niederlanden kennt. Dabei muss der Besucher informiert werden, dass Cookies verwendet werden und wozu. Dem Besucher muss zudem eine Seite mit weiteren Informationen zum Tracking-Vorgehen angeboten werden und er muss dem Tracking zustimmen oder es ablehnen können. Ob der Soft-Opt-In mit den neuen Datenschutzrichtlinien noch zulässig ist, ist noch nicht final entschieden.
Das sicherlich richtlinienkonforme Vorgehen ist ein zwingender Opt-In des Nutzers. Hier wird der Nutzer zum Beispiel in einem Pop-Up um Zustimmung zum Tracking gefragt. Erst nach Erteilen der Zustimmung oder Ablehnung des Tracking-Verfahrens kann die Webseite angesehen werden.
5. Opt-Out zur Verfügung stellen
Unter den neuen Datenschutzrichtlinen muss der Nutzer jederzeit die Möglichkeit haben, seine Einwilligung zum Tracking zurückzuziehen. Dies wird am besten in einer gut auffindbaren Seite zu den Tracking-Details angeboten.
6. Vorsicht bei Marketing Automation und Nutzer-Profilen
Wenn Sie mehr als nur aggregierte Daten auf Ihrer Webseite sammeln, Nutzer-Profile erstellen oder Marketing Automation Tools einsetzen und Retargeting betreiben, braucht es speziellere Nutzer-Einwilligungen als die oben beschriebenen. In diesem Fall müssen sich die Nutzer mit allen Aktiviäten einverstanden erklären, die Sie aufgrund der Nutzer-Profile ausführen. Alle persönlichen Daten und Profil-Informationen, die Sie sammeln und all Ihre zukünftig geplanten Marketing-Aktivitäten müssen beim Einholen der Nutzer-Einwilligung spezifiziert werden. Zudem muss auch hier für den Nutzer die Möglichkeit bestehen, eine erteilte Einwilligung jederzeit zurückziehen zu können.
Falls Sie Fragen zu den neuen Datenschutzrichtlinen haben oder sicher sein möchten, dass Ihr Online-Marketing den Vorgaben der neuen Datenschutzrichtlinien entspricht, unterstützen wie Sie gerne. Hier finden Sie weitere Informationen zu Compliance und GDPR Audits.