Bereit für die neue EU-Datenschutz-Grundverordnung?

EU-Datenschutz-Grundverordnung (EU-DSGVO), Bundesdatenschutzgesetz (BDSG neu) & ePrivacy-Verordnung (ePV): Was bedeutet das für Web-, App- und Portal-Tracking?

Hintergrund

Am 27. April 2016 wurde die EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) verabschiedet. Sie tritt am 25. Mai 2018 EU-weit in Kraft. In den zwei Jahren von der Verabschiedung bis zum Inkrafttreten müssen die Unternehmen ihre Datenschutzorganisation entsprechend angepasst haben.

Die EU-DSGVO bildet den allgemeinen Rechtsrahmen für die Erhebung, Speicherung und Verarbeitung von Nutzer-Daten. Sie regelt ganz allgemein die Verarbeitung personenbezogener Daten für den gesamten privaten und öffentlichen Bereich (mit Ausnahme der Polizei, Justiz und Behörden für Inneres). Spezielle und umfassende Regelungen einzelner und besonders schutzwürdiger Bereiche enthält sie dagegen nicht.

Bei der ePrivacy-Verordnung (ePV) handelt es sich um dazugehörige spezielle Regelungen im Hinblick auf Online-Dienste und -Kommunikation. Konkret geht es hier um die „Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG“. Es sind also all diejenigen angesprochen, die elektronische Kommunikationsdaten und Informationen in Bezug auf die Endeinrichtungen der Endnutzer (also Smartphone, PC, Tablet etc.) verarbeiten, die in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste stehen (Art. 2 Abs. 1 des Entwurfs). Dies meint im Grunde nichts anderes, als den Umgang mit jeglichen Daten und Informationen, die aus der elektronischen Kommunikation herrühren. Darunter fallen der Einsatz von Tracking-Programmen (z.B. Cookies) ebenso wie das Direktmarketing oder die Verwendung von GPS-Daten zur Berechnung der schnellsten Fahrtroute. Sinn und Zweck des Entwurfs ist also eine umfassende und möglichst technologieneutrale Regelung zum Ausgleich der Interessen von Unternehmen und Nutzern. Es wird damit ein Ansatz verfolgt, der auch schon in der DSGVO zum Tragen kommt.

Im Gegensatz zur EU-DSGVO ist die ePrivacy-Richtlinie noch nicht final verabschiedet. Im Januar 2017 wurde der erste Entwurf veröffentlicht. Seitdem haben verschiedene Ausschüsse Änderungsanträge bzw. Stellungnahmen unterbreitet, die in den kommenden Monaten beraten werden. Geplant ist, dass auch die ePV am 25. Mai 2018 in Kraft tritt.

Zudem wurde das Bundesdatenschutzgesetz (BDSG-neu) als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Diese neueste Fassung des BDSG wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen. Mit dem DSAnpUG-EU und dem darin enthaltenen BDSG-neu werden datenschutzrechtliche Regelungen an die DS-GVO angepasst und in ihr enthaltene „Öffnungsklauseln“ genutzt.

In aller Kürze: Wann treten die EU-DSGVO, das BDSG (neu) & die ePV in Kraft?

EU-DSGVO: am 25. Mai 2018
BDSG (neu): am 25. Mai 2018
ePV: geplant am 25. Mai 2018

Achtung: Bis zum 25. Mai 2018 muss jedes Unternehmen seine Datenschutzorganisation entsprechend angepasst haben!

Kein zahnloser Papiertiger mehr

Bei Verstößen können Geldbußen von bis zu 20 Mio. Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr eines Unternehmens verhängt werden. Zusätzlich hat jede Person, deren Daten unerlaubt verarbeitet werden, das Recht auf unbegrenzten Schadensersatz.

Achtung: Zukünftig liegt die Beweislast und Rechenschaftspflicht bei den Unternehmen, die im Zweifel die rechtskonforme Erhebung und Verarbeitung der Daten nachweisen und belegen müssen.

Fragen, die Sie sich stellen sollten, um das Risiko von Klage- und Abmahnverfahren zu minimieren:

Werden Risiken durch Anonymisierung bzw. Pseudonymisierung vermieden?
Findet die Datenverarbeitung ausschließlich in der EU statt?
Sind Datenverarbeitungs-Partner auf die Änderungen vorbereitet, transparent und kooperativ?

Welche Auswirkungen hätte es auf Ihr Geschäft, wenn ein erheblicher Anteil der Besucher nicht mehr erfasst würde?

Neben Klagen und Geldbußen bei Verstoß haben die neuen Rechtsvorschriften auch Auswirkungen auf die Geschäftsmodelle im Internet. Dies ist insbesondere der Fall, wenn Nutzerprofilerstellung, Werbemittelauslieferung und Erfolgsmessung auf 3rd- Party Cookies angewiesen sind. Kann ein Tracking-Opt-In nicht vermieden werden, ist damit zu rechnen, dass nur noch ein Bruchteil der Besucherinteraktionen und Ähnliches gemessen werden kann.

Was bedeutet das für Web-, App- und Portal-Tracking?

Hier finden Sie die wichtigsten Anforderungen und dazugehörige Optionen und Einstellungen in den etracker-Lösungen:

Anforderung	Mit etracker
EU-DSGVO & BDSG (neu): • Daten zum frühestmöglichen Zeitpunkt anonymisieren oder pseudonymisieren, soweit dies nach dem Verarbeitungszweck möglich ist. • Privacy by Design Einstellung	• Privacy by Design: Voreingestellte IP-Anonymisierung (3. und 4. Oktett werden standardmäßig vor der Verarbeitung verworfen). • Privacy by Design: Regulär keine Speicherung oder Verarbeitung personenbezogener Daten!
ePV (Entwurf): • Erlaubnis (Opt-In), um Cookies einsetzen zu können. Es sei denn, Sie wollen selbst (mittels 1st-Party Cookies bzw. On-Premise)„nur“ das Web-Publikum messen. • Widerspruchsmöglichkeit (Opt-Out) erforderlich, wenn technische Informationen vom Browser oder Endgerät erhoben werden. • Apps müssen bei der Installation die Erlaubnis zum Tracking (Opt-In) durch Dritte abfragen und speichern.	• Ein optionales Tracking-Opt-In steht für Websites zur Verfügung. • etracker kann als On-Premise-Lösung betrieben werden. • Besuchererkennung und -wiedererkennung erfolgt mittels 1st-Party Cookies. • etracker unterstützt schon heute differenzierte Opt-Out-Verfahren. • Beim etracker App Tracking ist die Opt-In-Funktion standardmäßig aktiviert.

Anforderung

Mit etracker

EU-DSGVO & BDSG (neu):
• Daten zum frühestmöglichen Zeitpunkt anonymisieren oder pseudonymisieren, soweit dies nach dem Verarbeitungszweck möglich ist.
• Privacy by Design Einstellung

• Privacy by Design: Voreingestellte IP-Anonymisierung (3. und 4. Oktett werden standardmäßig vor der Verarbeitung verworfen).
• Privacy by Design: Regulär keine Speicherung oder Verarbeitung personenbezogener Daten!

ePV (Entwurf):
• Erlaubnis (Opt-In), um Cookies einsetzen zu können. Es sei denn, Sie wollen selbst (mittels 1st-Party Cookies bzw. On-Premise)„nur“ das Web-Publikum messen.
• Widerspruchsmöglichkeit (Opt-Out) erforderlich, wenn technische Informationen vom Browser oder Endgerät erhoben werden.
• Apps müssen bei der Installation die Erlaubnis zum Tracking (Opt-In) durch Dritte abfragen und speichern.

• Ein optionales Tracking-Opt-In steht für Websites zur Verfügung.
• etracker kann als On-Premise-Lösung betrieben werden.
• Besuchererkennung und -wiedererkennung erfolgt mittels 1st-Party Cookies.
• etracker unterstützt schon heute differenzierte Opt-Out-Verfahren.
• Beim etracker App Tracking ist die Opt-In-Funktion standardmäßig aktiviert.

Fazit

Mit etracker sind Sie bestens für die Umstellungen am 25. Mai 2018 gerüstet und müssen keine rechtlichen Gefahren fürchten.

etracker ermöglicht es Ihnen, auch nach dem 25. Mai 2018 ein Höchstmaß an Daten zu erheben und nutzbar zu machen und so negative Auswirkungen auf digitale Geschäftsmodelle zu vermeiden.

etracker verfolgt die Entwicklungen im Datenschutz insbesondere in Hinblick auf die noch nicht finalisierte EU-ePV kontinuierlich, um spätestens zum 25. Mai 2018 alle datenschutzrechtlichen Regelungen umgesetzt zu haben.