Wie mache ich meine
Online-Instrumente DSGVO-fit?
vom 30. Januar 2018 / #Trends
Am 25. Mai 2018 tritt EU-weit die neue Datenschutz-Grundverordnung, kurz DSGVO, in Kraft. Hier finden Sie einen Überblick über die wichtigsten Themen zur DSGVO-konformen Gestaltung Ihrer Online-Instrumente wie Website, Online Shop, App oder Newsletter.
Die allgemeinen Grundsätze der DSGVO
Die Datenschutz-Grundverordnung formuliert allgemeine Grundsätze, die für die Verarbeitung personenbezogener Daten gelten. Diese Grundsätze bilden somit auch die Grundlage für die DSGVO-konforme Gestaltung im Marketing wie z.B. Ihre Online-Instrumente. Sie besagen,
- dass die Verarbeitung von Daten rechtmäßig erfolgen muss.
(Sie müssen also über eine gültige Rechtsgrundlage für die Verwendung der Daten verfügen – siehe dazu den Punkt „Einwilligungserklärung“.) - dass Informationen über die Datenverarbeitung leicht zugänglich und transparent sein müssen.
(Sie müssen demnach eine Datenschutzerklärung formulieren und veröffentlichen – siehe Punkt „Datenschutzerklärung“.) - dass Daten minimiert werden müssen, also nur für einen bestimmten Verwendungszweck gespeichert werden dürfen.
(Sie dürfen also Daten nicht generell für alle Arten von Marketing-Maßnahmen verarbeiten, sondern müssen genau definieren, welche Daten Sie zu welchem Zweck wie lange speichern). - dass die Speicherfrist auf ein Mindestmaß beschränkt werden muss.
(Sie müssen also Daten auch regelmäßig löschen.) - dass die Sicherheit der Daten durch technische und organisatorische Maßnahmen gewährleistet sein muss.
(Sie dürfen Marketing-Daten bspw. nicht ohne entsprechende vertragliche Regelung an Dritte weitergeben.)
Umfangreiche Informationen zur DSGVO im Allgemeinen finden Sie unter
www.wko.at/service/wirtschaftsrecht-gewerberecht/Informationen-zur-EU-Datenschutz-Grundverordnung.html
Die Eckpunkte der DSGVO-Umsetzung im Online-Bereich
Aufbauend auf den allgemeinen Grundsätzen der DSGVO lassen sich folgende Bestandteile für die DSGVO-konforme Gestaltung von Website, Online Shop, App oder Newsletter erkennen:
- Einrichten eines eigenen Menüpunkts „Datenschutzerklärung“,
- die Datenschutzerklärung selbst,
- der Verweis auf die Verwendung von Cookies mit Link zur Datenschutzerklärung,
- Einwilligungserklärung an allen Stellen, an denen Daten erhoben werden und
- Aufträge zur Datenverarbeitung mit Drittanbietern wie Google Analytics
Eine umfassende Informationssammlung zur Datenverarbeitung in Online Shops und auf Websites finden Sie unter nachfolgendem Link. In diesem Dokument sind die relevanten Bestimmungen von DSGVO und TKG (Telekommunikationsgesetz) zusammengefasst:
www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html
Datenschutzerklärung
Die Datenschutzerklärung enthält gesammelt alle Informationen zu Art, Umfang, Zweck und Dauer der Verarbeitung von Daten im Rahmen Ihrer Marketing-Aktivitäten. Ein Muster einer Datenschutzerklärung im Rahmen der DSGVO finden Sie hier:
www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html
Es wird empfohlen, die Datenschutz-Erklärung nicht als Teil des Impressums zu verfassen, sondern sie getrennt unter einem eigenen Link („Datenschutzerklärung“ oder „Privacy Policy“) abrufbar zu machen.
Einwilligungserklärung als Rechtsgrundlage
Die gültige Rechtsgrundlage ist ein weiterer Eckpfeiler Ihrer DSGVO-Implementierung. Die Rechtsgrundlage kann dabei die Erfüllung eines Vertrags sein oder eine vorliegende Einwilligung durch den Betroffenen. Geht es bspw. um Newsletter-Anmeldungen oder Kontaktformulare, so ist eine Einwilligungserklärung erforderlich. Formulierungsvorschläge, Gestaltungshinweise und vertiefende Informationen zum Thema „Einwilligungserklärung“ finden Sie in folgendem Dokument:
www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Einwilligungserklaerung-.html
Eine Einwilligung muss lt. DSGVO
- freiwillig
- für einen bestimmten Fall
- in informierter Weise und
- in unmissverständlicher Form vorliegen.
Holen Sie sich daher für jeden Zweck eine eigene Einwilligung. Die Einwilligung erfolgt nach dem Prinzip des Opt-in. Sie kann schriftlich oder elektronisch (z.B. durch aktives Anklicken einer Check-Box) oder durch konkludentes, also schlüssiges Verhalten, vorliegen. Sie erfolgt immer zweckgebunden, der Verarbeitungszweck muss also angeführt sein.
NICHT zulässig sind unter anderem:
- die Koppelung der Einwilligung an andere Aktivitäten (bspw.: „Mit dem Kauf stimmen Sie der Zusendung des Newsletters zu“)
- das Einholen von Generaleinwilligungen ohne einen konkreten Verwendungszweck
- Einwilligung durch Opt-out: bloßes Schweigen oder auch die Erfordernis eines Opt-out (also das „Wegklicken“ einer vorangekreuzten Checkbox) sind nicht zulässig.
Verwendung von Cookies
Cookies werden jene kleinen Textdateien genannt, in denen Informationen notiert und die auf den Endgeräten von Nutzer/-innen gespeichert werden. So bleiben etwa der Inhalt eines Warenkorbs oder Login-Daten gespeichert, was für den User das Surfen komfortabler macht. Cookies können auch für werbliche Zwecke genutzt werden und tracken das Verhalten des Nutzers. Cookies sammeln personenbezogene Daten und unterliegen damit der DSGVO.
Hinweis auf Cookies und Datenschutzerklärung
Die Verwendung von Cookies erfordert dementsprechend wieder eine Zustimmung, wobei hier das konkludente Verhalten in Form der Browser-Einstellungen vorliegen kann. Empfohlen wird daher – wie schon bisher – dass der Website-Besucher beim Beginn seines Website-Besuchs auf die Verwendung von Cookies hingewiesen wird und seine Zustimmung zur Verwendung der Cookies erteilt.
Im Muster der Datenschutzerklärung im Rahmen der DSGVO finden sich Formulierungsvorschläge für den Einsatz von Cookies:
www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html
Verwendung von Cookies und Analyse-Tools als Teil der Datenschutzerklärung
In der Datenschutzerklärung muss der Webseitenbetreiber laut DSGVO auch auf Cookies hinweisen, genauso wie auf die Möglichkeit, diese Verwendung über die Browser-Einstellungen zu regulieren bzw. Cookies generell zu deaktivieren. Formulierungsvorschläge dazu finden Sie in diesem Dokument:
www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html
Verwendung von Analytic-Tools
Wenn Sie Google Analytics oder andere Analytic-Tools zum Tracking Ihrer Webbesucher/-innen verwenden, erheben Sie damit über die IP-Adresse ebenfalls personenbezogene Daten und geben diese an Dritte (die Anbieter des Analyse-Tools) weiter. Daraus ergeben sich folgende Erfordernisse bzw. Empfehlungen:
- Hinweis auf die Verwendung des Analysetools in Ihrer Datenschutzerkärung
(siehe: www.wko.at/service/wirtschaftsrecht-gewerberecht/checkliste-cookies-webanalyse-webshop.html) - Abschluss eines Vertrags zur Auftragsdatenverarbeitung mit dem jeweilige Anbieter
- Pseudonymisierung der IP-Adresse (es wird nicht die gesamte IP-Adresse gespeichert), wodurch die Rückverfolgbarkeit auf Personenebene nicht mehr gegeben ist.
Wenn Sie Google Analytics verwenden, so bietet Ihnen Google sowohl Informationen zur Datenverarbeitung als auch ein Muster für einen Vertrag zur Auftragsdatenverarbeitung an. Diesen Vertrag können Sie ausdrucken und an Google schicken. Soweit uns bekannt ist, liegt derzeit nur ein Muster nach dem deutschen Datenschutzrecht vor, das sich aber wiederum auf die gleiche europäische Rechtsgrundlage wie das DSGVO bezieht.
Weitere Informationen von Google gibt es hier:
www.google.com/analytics/terms/de.html
Den Vertrag zur Auftragsdatenverarbeitung finden Sie hier zum Download:
www.google.com/analytics/terms/de.html
(Keine) rechtliche Auskunft
Wir haben diese Informationen nach redaktionellen Gesichtspunkten für Sie zusammengestellt, Sie stellen keine rechtsverbindliche Auskunft, Empfehlung und auch keine Formulierungsvorschläge dar. Wenn Sie rechtliche Fragen dazu haben, stellen wir für Sie gerne den Kontakt zu spezialisierten Rechtsanwälten her.
Noch Fragen? Wir unterstützen Sie gerne.
Wir unterstützen Sie gerne dabei, Ihre Online-Instrumente bzw. generell Ihre Marketing-Instrumente DSGVO-fit zu machen. Bitte nehmen Sie Kontakt mit uns auf:
MMag. Bernd Maier, Tel +43 316 831444
Kontaktieren Sie mich per Mail
GLOSSAR ZUR DATENSCHUTZ-GRUNDVERORDNUNG
Datenschutz-Grundverordnung (DSGVO)
„Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kurz Datenschutz-Grundverordnung
Datenverarbeitung (Art. 4/2 DSGVO)
„Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.
Gültigkeit
Die DSGVO gilt für alle Unternehmen – ob Einzelunternehmer oder Konzern – mit Niederlassung in der EU sowie jene, die personenbezogene Daten von EU-Bürgern verarbeiten.
Personenbezogene Daten
Dazu zählen u.a. Name, Adresse, Geburtsdatum, E-Mail, Telefonnumer, IP-Adressen, Cookies, Kontodaten aber auch etc. Man unterscheidet nicht-sensible und sensible personenbezogene Daten.
Rechte des Betroffenen (Art. 15 bis 22 DSGVO)
Der Betroffene hat das Recht auf Löschen seiner Daten aus der Datenbank. Neben der Löschung gibt es weitere Rechte wie: Auskunft, Berichtigung, Einschränkung, Datenübertragbarkeit, Widerspruch und Unterlassung automatischer Entscheidungen im Einzelfall inkl. Profiling.
Strafen
Höchststrafen von 20 Millionen Euro oder vier Prozent des globalen Umsatzes (je nachdem, was höher ist)
Fragen zur DSGVO und Ihrer Anwendung auf Website und Co?
Vereinbaren Sie jetzt ein
unverbindliches Gespräch
unverbindliches Gespräch
Artikel teilen:
Anfrageformular öffnen