Datenschutz | Eine neue Währung entsteht

Daten ohne Einwilligung sind in Zukunft wertlos!

Es ist eine bekannte Tatsache, dass Daten im Online Marketing eine bedeutende Rolle spielen. Der Einsatz von Daten für Werbezwecke im Internet wird jedoch immer weiter reguliert.

Unternehmen, die bereits heute auf eine DSGVO und zukünftig auch eine ePrivacy konforme Datenerhebung und -verarbeitung setzen, schaffen sich einen nicht zu unterschätzenden Wettbewerbsvorteil.

 

Consent Management

Die aktuell geltenden Datenschutzbestimmungen schreiben vor, dass vor der Verarbeitung von Daten, die für das Tracking, Profiling oder Retargeting verwendet werden, eine Einwilligung (Consent) von dem jeweiligen Nutzer/ Kunden eingeholt werden muss.

Im folgenden Text wird vorrangig der Umgang mit teilweise personenbezogenen Daten wie User Agents (Webbrowser, Mail-Programme), Geolocations, IP-Adressen, Device IDs und User IDs thematisiert. Deren Erhebung und Verarbeitung erfordert eine vorherige Einwilligung und die Beachtung einiger Richtlinien.

 

Wie sollte eine rechtssicherer und DSGVO-konformer Cookie Consent auf einer Webseite aussehen?

  1. Der Nutzer muss aktiv und explizit zustimmen. Die Tags/ Pixel dürfen erst geladen und damit das Tracking aktiviert werden, wenn eine Einwilligung in Form eines Klicks auf den entsprechenden Button vorliegt. Eine automatische Einwilligung durch „Weiterscrollen“ ist nur konform, wenn Tags/ Pixel nicht direkt beim Laden der Seite aktiviert werden, sondern erst nach dem „Weiterscrollen“.
  1. Die Einwilligung muss freiwillig erfolgen. Das bedeutet, dass einem Besucher, welcher die Verarbeitung seiner Daten ablehnt, trotzdem der volle Seiteninhalt zur Verfügung stehen muss und keine Sperrungen von Seiten zulässig sind.
  1. Die betroffene Person muss umfassend über alle Bedingungen, Zusammenhänge, sowie die rechtlichen Rahmenbedingungen, die mit der Datenverarbeitung in Verbindung stehen, informiert werden.
  1. Die Zustimmung muss spezifisch sein. Der Nutzer muss entscheiden können, für welche Zwecke und vor allem für welche Drittanbieter, er welche Daten zur Verarbeitung preisgeben möchte. Eine allgemeine Einwilligung reicht hier nicht aus.
  1. Der Opt-In (Einwilligung) muss die Aktivierung der Tags/ Pixel auslösen. Eine Aktivierung, bevor ein Opt-In vorliegt, ist nach 83 Abs. 5 lit. a) DSGVO nicht zulässig. Der Cookie-Banner muss demnach mit den jeweiligen Technologien, die auf der Webseite implementiert wurden und genutzt werden, verknüpft sein. Bei Nichteinwilligung des Nutzers muss sichergestellt sein, dass auch weiterhin keine Datenverarbeitung stattfindet.
  1. Der User hat das Recht diese erteilte Zustimmung jederzeit und ohne Angabe von Gründen zu widerrufen. Die Einwilligung muss dabei simpel und schnell zu widerrufen sein. Sie muss außerdem einen Tag spezifischen Widerruf beinhalten. Der Opt-Out (Widerruf) darf nach den aktuell geltenden Datenschutzbestimmungen, nicht durch die Weiterleitung auf eine Drittseite geschehen, denn im Falle eines Widerrufs muss eine erneute Datenweitergabe durch den Webseitenbetreiber verhindert werden.  Die eindeutige Identifikation der Cookie-ID, nur zu dem Zweck den Opt-Out festzuhalten, stellt bereits eine unberechtigte Datenweiterleitung an den Processor dar.
  1. Der Art. 7 Abs. 1 DSGVO schreibt vor, dass alle Opt-Ins dokumentiert werden müssen und bei einer Prüfung der Datenschutzbehörde oder bei einer Abmahnung offengelegt werden müssen. (Beweispflicht) Folgende Datenpunkte sollten unter anderem dokumentiert werden: Einwilligungstext, Timestamp, User Agent, Zustimmungsumfang. Sofern ein Kunde oder User die Löschung all seiner Daten beantragt, muss diese schnell koordiniert werden können. Dies setzt eine ordentliche Dokumentation voraus.

Google, Facebook & Co.

In der Consent Policy von Google wird genau erklärt, wann eine Einwilligung eines Nutzers notwendig ist. Eine Einwilligung ist auf jeden Fall erforderlich, wenn Cookies verwendet werden oder ein Vorgang in Verbindung mit personalisierter Werbung steht. Google fordert demnach von seinen Kunden, die strikte Einhaltung der DSGVO! Der Cookie Consent muss für den Nutzer verständlich, dokumentiert, objektiv und einfach zu widerrufen sein.

Google Consent Policy: https://www.google.com/about/company/user-consent-policy/

 

Die Facebook Custom- und Lookalike Audiences, welche in einer unserer letzten Veröffentlichungen thematisiert wurden, stehen ebenfalls im Fokus, da es bei dieser Werbemethode zur umfangreichen Profilbildung des jeweiligen Nutzers kommt. Hier muss allerdings zwischen den verschiedenen Arten der Datenerfassung unterschieden werden:

  1. Zum einen kann mit Hilfe des Facebook-Pixels, der im Header eines Webseitenquelltextes integriert wird, das Surfverhalten getrackt werden und aufgrund der gewonnen Insights, an bestimmte User zukünftig personalisierte Werbung ausgespielt werden. Vor der Datenerfassung ist in diesem Fall selbstverständlich eine DSGVO-konforme Einwilligung vom Nutzer einzuholen.
  1. Zum anderen werden auf dem sozialen Netzwerk Facebook, selbst spezifische Handlungen von Usern (Custom-Events) wie Interaktionen oder Videoaufrufe erfasst und können im Nachgang zur spitzeren Targetierung verwendet werden. Dieser Datenverarbeitung stimmt der Nutzer bei der Anmeldung auf der jeweiligen Plattform jedoch ausdrücklich zu. Deshalb ist hier keine weitere Einwilligung vom Werbetreibenden einzuholen.
  1. Eine dritte Möglichkeit zur Erstellung von Custom Audiences ist das Hochladen einer Liste mit Kundendaten. Der Werbetreibende kann mit Hilfe dieser Daten auf der Plattform Facebook (inklusive Instagram und Seiten aus dem Partnernetzwerk) an bestimmte Personen Werbung ausspielen oder mit der Erstellung einer Lookalike Audience auf Basis der Custom Audience eine statistische Zwillingszielgruppe kreieren. Bevor die personenbezogenen Daten hochgeladen werden, muss selbstverständlich eine dementsprechende Einwilligung vorliegen. Wir empfehlen diese, neben dem üblichen Auftragsverarbeitungs Vertrag, separat einzuholen.

Auch Facebook hat demnach eine eigene Richtlinie, zumindest für die Cookie-Einwilligung, entwickelt.

Facebook Richtlinie für Cookie – Einwilligungen: https://developers.facebook.com/docs/privacy?locale=de_DE

 

ePrivacy Verordnung

Der rechtskonforme Einsatz von Cookies ist bereits heute klar geregelt. Die neue ePrivacy Verordnung soll jedoch die alte Cookie Richtlinie von 2009 und selbstverständlich auch die alte ePrivacy Verordnung von 2002 ersetzen. Die ePrivacy Verordnung ist eine Ergänzung zur DSGVO und konzentriert sich auf spezielle Sachverhalte der DSGVO, wie beispielsweise den Umgang mit personenbezogenen Kommunikationsdaten. Inwieweit die Zusatzverordnung den Datenerhebungs- und verarbeitungsprozess weiter einschränkt ist noch unklar.

Um heute und auch in Zukunft auf der sicheren Seite zu sein und DSGVO/ ePrivacy konform zu arbeiten, müssen also viele teils komplizierte Vorkehrungen getroffen werden. Deshalb erfreuen sich sogenannte CMP Systeme immer größerer Beliebtheit, deren Service die programmatische Einholung, Verwaltung und Dokumentation der Einwilligung ist.

Um Zeit zu sparen und stets nach den aktuell geltenden Bestimmungen und den bald bevorstehenden Konkretisierungen im Rahmen der ePrivacy Verordnung zu operieren, lohnt sich ein Blick auf das CMP System www.usercentrics.de.

Insgesamt kann davon ausgegangen werden, dass die Behörden aufgrund des Inkrafttretens der neuen ePrivacy Verordnung und der langsam ablaufenden Schonfrist zur Umsetzung der DSGVO bald verstärkt Prüfungen durchführen werden. Wer mit seinem Unternehmen also bereits heute nach den geltenden Standards arbeitet und das Thema Datenschutz ernst nimmt, hat nichts zu befürchten und kann aus den ordentlich verarbeiteten Daten weiterhin wertvolle Schlüsse ziehen und auch noch in Zukunft die Vorteile der personalisierten Werbung und des Profilings nutzen. 

Wir hoffen, dass wir Ihnen mit diesem Beitrag zum Thema Datenschutz und Consent Management weiterhelfen konnten.

Zögern Sie nicht, uns bei Fragen direkt zu kontaktieren!

 

Disclaimer:

Wir machen außerdem darauf aufmerksam, dass unsere kostenlosen Informationen lediglich dem unverbindlichen Informationszweck dienen und keine Rechtsberatung darstellen.

Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.