ArtikelDSGVO für US-Websites: Alles, was Sie wissen müssen

Veröffentlicht: 2022-08-12

Die meisten von uns können sich an den großen DSGVO-Wahn von 2018 erinnern. Es besteht eine gute Chance, dass Sie mit Informationen über die Europäische Union (EU) und ihre neue Datenschutz-Grundverordnung (DSGVO) überhäuft wurden. Diese pauschale Regelung trat am 25. Mai 2018 in Kraft.

Als ich anfing, für diesen Artikel zu recherchieren, war ich überrascht von der Anzahl der „Experten“-Quellen da draußen. Viele der Links, die oben auf den Ergebnisseiten der Google-Suchmaschine erscheinen, scheinen „offizielle“ Websites zu sein.

Sie vermarkten lediglich Microsites für Beratungsunternehmen, die Geld verdienen wollen. Dies gilt zwar für die Anzeigen, aber auch für die organischen Ergebnisse. Einige der Informationen auf diesen Seiten sind ziemlich gut, aber in fast allen Fällen sind sie unvollständig und die Motive der Autoren sind unklar.

Um all diese Verwirrung und Irreführung zu vermeiden, habe ich mich entschieden, zu einer einzigen maßgeblichen Quelle zu gehen: der Website der Europäischen Kommission. Meine Fakten und Empfehlungen basieren direkt auf dem Text der Verordnung 2016/679 (DSGVO) und ich zitiere ihn in diesem Artikel großzügig.

Neben dem Text der Verordnung habe ich im Abschnitt „Komplikationen durch Drittanbieter“ Aussagen von Drittanbietern wie Google und Pardot recherchiert, aber nur in Bezug auf die Dienste dieser Unternehmen, die viele unserer Kunden nutzen.

Meine Zielgruppe sind Vertreter von (öffentlichen und privaten) Unternehmen mit Sitz in den USA, die in gewisser Weise Geschäfte in der EU tätigen. Mein Ziel ist es, ihnen zu helfen, zu verstehen, was sie auf ihren Unternehmenswebsites tun müssen, um die neue Verordnung einzuhalten.

Wenn Ihr Unternehmen außerhalb der USA ansässig ist, mit sensiblen Daten (z. B. Krankenakten) zu tun hat, Daten über Kinder sammelt, eine Regierungsbehörde oder ein Dienstleister für Regierungsbehörden ist, dann hören Sie jetzt auf zu lesen ... Das ist nichts für Sie.

Um es klarzustellen, ich bin kein Anwalt und nichts hierin sollte als Rechtsberatung interpretiert werden.

Was ist DSGVO?

Das Recht auf Privatsphäre wird in den EU-Mitgliedsländern auf einem sehr hohen Niveau gehalten und die Belastung derjenigen, die Daten sammeln, ist größer als hier in den Staaten. Dies ist keine neue Situation. Vor der DSGVO hatte die EU die Datenschutzrichtlinie (DPD), die 1995 eingeführt wurde und viele der gleichen Prinzipien enthielt, die wir in der DSGVO finden. Sowohl DPD als auch DSGVO basieren auf der Charta der Grundrechte der Europäischen Union, die ganz einfach besagt:

Jeder hat das Recht auf Schutz der ihn betreffenden personenbezogenen Daten – Charta der Grundrechte der Europäischen Union, Artikel 8 Absatz 1

Der Grundgedanke der DSGVO ist, dass alle „natürlichen Personen“ (dazu später mehr) das Recht haben zu erfahren, wann ihre Daten erfasst werden, und das Recht, diese Datenerfassung abzulehnen. Wenn sie damit einverstanden sind Sammlung , haben sie das Recht zu verwalten, wie diese Daten verwendet werden, ihre Einwilligung zu widerrufen und sich sogar zu einem späteren Zeitpunkt dafür zu entscheiden, dass alle ihre aktuellen und historischen Daten gelöscht werden.

Es gibt auch bestimmte Erwartungen an Datenverantwortliche und Datenverarbeiter (mehr zu diesen Begriffen später) in Bezug auf Governance und Prozesse zum Schutz der Benutzerdaten. Und schließlich gibt es Dinge, die ein Verantwortlicher im Falle einer Datenschutzverletzung tun muss.

Eine der besten Quellen, um den Geist der DSGVO zu verstehen, ist ihre Präambel. Es ist in einer einfachen, unkomplizierten Sprache geschrieben, die es leichter verdaulich macht als die meisten juristischen Dokumente. Dieser Klartext gibt jedoch nicht den absoluten Wortlaut des Gesetzes wieder und ist kein Ersatz für die eigentliche Verordnung.

Im Gegensatz zu DPD gelten die DSGVO-Regeln für alle Mitgliedsstaaten. Die Mitgliedstaaten müssen die Verordnung nicht umsetzen, bevor sie als in Kraft gilt. Die DSGVO schließt jedoch zusätzliche Gesetze der Mitgliedstaaten nicht aus, die beim Schutz bestimmter Arten sensibler personenbezogener Daten wie Krankenakten noch weiter gehen könnten.

Die DSGVO gilt für alle Unternehmen, die in der EU geschäftlich tätig sind, unabhängig von ihrem Standort. Wenn ein Benutzer von der EU aus auf Ihre Website zugreift, begründet dies nicht Ihre Absicht, in der EU Geschäfte zu tätigen. Wenn Sie jedoch aktiv um Geschäfte in der EU werben, müssen Sie die DSGVO befolgen.

Noch ein Hinweis: Die DSGVO ersetzt oder ersetzt nicht das EU-Cookie-Gesetz. Diese Verordnung ist immer noch in Kraft.

Wer und was wird geschützt?

In der EU lebende natürliche Personen sind durch die DSGVO geschützt. Die Verordnung tritt vor dem Brexit in Kraft, sodass die DSGVO vorerst das Vereinigte Königreich umfasst. Eine natürliche Person kann einfach als individueller Mensch betrachtet werden. Im Gegensatz dazu kann eine juristische Person nur eine juristische Person sein. Der Schutz der DSGVO erstreckt sich nicht auf Personen außerhalb der Europäischen Union.

Alle Informationen, die einer einzelnen Person zugeordnet werden können, unabhängig davon, ob ihre oder ihre Identität derzeit bekannt ist, gelten als „personenbezogene Daten“.

„personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen der physischen, physiologischen, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person; – DSGVO Artikel 4 Absatz 1

„Identifizierbar“ ist ein Begriff, den wir ansprechen müssen. Es ist nicht erforderlich, dass wir derzeit die Identität der Person kennen. Durch die Möglichkeit (ein Cookie, eine IP-Adresse usw.), Daten zu einem späteren Zeitpunkt einer Person zuzuordnen, werden ihre Daten gemäß den DSGVO-Kriterien geschützt.

Die Verordnung vermeidet die Behandlung spezifischer Techniken der Datenerhebung (mit Ausnahme der Verwendung in Beispielen), sodass sie technologieunabhängig ist. Angesichts des Innovationstempos rund um die Datenerfassung ist dies notwendig, damit die DSGVO relativ zukunftssicher bleiben kann. Cookies, IP-Adressen, Browserprofile, RESTful-APIs mit Benutzerdaten im Pfad und alle anderen cleveren Techniken, die in Zukunft heraufbeschworen werden könnten, fallen unter die DSGVO.

Wer ist für die Einhaltung verantwortlich?

Sie . Ihre Organisation ist der „Verantwortliche“ für Ihre Website und letztendlich dafür verantwortlich, dass personenbezogene Daten in einer Weise behandelt werden, die der DSGVO entspricht. Wenn Sie sich entscheiden, einen Drittanbieterdienst auf Ihrer Website zu verwenden, der die Konformität nicht erfüllt, sind Sie schuld.

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; – DSGVO Artikel 4(7)

Jeder Dienst, der Ihrer Website hinzugefügt wird (z. B. Google Analytics, Pardot usw.), muss ebenfalls der DSGVO entsprechen. Auch wenn Sie nicht glauben, dass der Dienst, den Sie hinzufügen, personenbezogene Daten sammelt, müssen Sie vorsichtig sein.

Viele kostenlose Dienste beinhalten eine Form der Datenerfassung, die später für Werbenetzwerke verwendet wird. Im Jahr 2011 führte ich einige Tests durch und fand „kostenlose“ Social-Sharing-Widgets wie ShareThis oder AddToAny eingebettete Tracking-Komponenten für mehrere Werbenetzwerke. In einem Fall ermöglichte ein einzelnes Share-Widget das Tracking durch ein halbes Dutzend Werbenetzwerke.

Sie müssen jede Anwendung und jeden Dienst, den Sie auf Ihrer Website anbieten, gründlich prüfen. Wenn Teile Ihrer Website von Drittanbietern gehostet werden (z. B. Karriere/HR oder Investor Relations), sollten Sie sicherstellen, dass diese Anbieter und alle von ihnen verwendeten Drittanbieter die DSGVO einhalten.

Sie müssen auch alle Drittparteien überprüfen, die nicht unbedingt Daten auf Ihrer Website sammeln, aber in irgendeiner Weise mit den gesammelten Daten betraut sind. Analytics-Berater könnten in diese Kategorie fallen.

Alle diese Drittanbieter sind „Verarbeiter“ der Daten Ihrer Benutzer.

„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; – DSGVO Artikel 4(8)

Wenn Ihr Unternehmen weniger als 250 Mitarbeiter beschäftigt und Sie keine sensiblen personenbezogenen Daten sammeln, die zu einem Risiko für die Rechte und Freiheiten des Einzelnen führen könnten, dann gibt es eine gewisse Nachsicht in Bezug auf Aufzeichnungen über Verarbeitungstätigkeiten, die Ihre Belastung verringern. Sie sind nicht von der Einhaltung der DSGVO ausgenommen, aber Sie werden nicht an die gleichen Standards wie größere Organisationen gebunden.

Rechtsgrundlage für die Verarbeitung

Damit die Erhebung personenbezogener Daten gemäß der DSGVO zulässig ist, muss sie mindestens eines von sechs Kriterien erfüllen. DSGVO heißt es in Art. 6 Abs. 1:

  1. Die Verarbeitung ist nur rechtmäßig, wenn und soweit mindestens einer der folgenden Punkte zutrifft:

    (a) die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt;

    (b) die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, an dem die betroffene Person beteiligt ist Party oder um auf Wunsch der betroffenen Person vorvertragliche Maßnahmen zu ergreifen;

    (c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

    (d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

    (e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

    (f) die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, es sei denn, diese Interessen überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die insbesondere den Schutz personenbezogener Daten erfordern wenn die betroffene Person ein Kind ist.

Von diesen sechs Grundlagen trifft nur die erste auf die meisten Websites unserer Kunden zu. Für Karriere- und E-Commerce-Bereiche oder alle Dienste, bei denen ein Login erforderlich ist, könnte auch Basis (B) gelten.

Identifikation

Dies ist ein sehr wichtiges Konzept bei der Bestimmung, welche Arten der Datenerhebung keine Rechtsgrundlage gemäß DSGVO erfordern. In gewisser Hinsicht ist die Identifizierung leicht verständlich... Können wir diese Daten einer natürlichen Person zuordnen? Wenn ja, dann ist diese Person eindeutig durch die DSGVO geschützt.

Was passiert, wenn wir eine anonyme Person mithilfe eines Cookies oder einer anderen Tracking-Technologie verfolgen? Auch wenn diese Person anonym ist, ist es möglich, sie oder ihn später durch zusätzliche Datenerhebung zu identifizieren. Daher ist diese Person geschützt.

Natürliche Personen können mit Online-Identifikatoren verknüpft werden, die von ihren Geräten, Anwendungen, Tools und Protokollen bereitgestellt werden, wie z. B. Internetprotokolladressen, Cookie-Identifikatoren oder andere Identifikatoren, wie z. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen von den Servern empfangenen Informationen dazu verwendet werden können, Profile der natürlichen Personen zu erstellen und sie zu identifizieren. – DSGVO-Präambel(30)

Der Grund dafür ist, dass wir niemals Daten über einzelne Benutzer sammeln können sollten, ohne vorher eine Einwilligung dazu eingeholt zu haben. Würden wir Daten erheben und diese später einer natürlichen Person zuordnen, würden wir gegen diesen Grundsatz verstoßen.

Die Rechte der Benutzer

Vor der Erhebung personenbezogener Daten muss die Einwilligung eingeholt werden. Und alle Daten im Zusammenhang mit dieser Einwilligung müssen gespeichert werden, insbesondere wann die Einwilligung erteilt wurde und welchen Formen der Verarbeitung der Benutzer zugestimmt hat. Widerruft ein Nutzer hingegen seine Einwilligung zur teilweisen oder vollständigen Erhebung personenbezogener Daten, muss auch dieser Widerruf protokolliert werden.

„Einwilligung“ der betroffenen Person ist jede freiwillige, konkrete, in Kenntnis der Sachlage erteilte und unmissverständliche Willensbekundung der betroffenen Person, mit der sie durch eine Erklärung oder durch eine eindeutige zustimmende Handlung ihr Einverständnis zur Verarbeitung der sie betreffenden personenbezogenen Daten erklärt oder sie; – DSGVO Artikel 4(11)

Beachten Sie, dass einige Drittanbieter möglicherweise über einen eigenen Mechanismus zum Einholen der Zustimmung verfügen, aber es wird für die Menschen verwirrend sein, wenn Sie diesen Diensten erlauben, sich in Ihre Benutzererfahrungen einzufügen. Sofern Sie nicht einen einzigen Drittanbieter verwenden, um Informationen über Ihre Benutzer zu speichern, empfehlen wir Ihnen, Ihren eigenen, einfachen und klaren Einwilligungsmechanismus zu erstellen. Es sollte verwendet werden, um alle verschiedenen Mittel der Datenerfassung auf Ihrer Website zu verwalten, einschließlich Dritter.

Die „Einwilligung“ sollte durch eine eindeutige bestätigende Handlung erteilt werden, die einen frei gegebenen, spezifischen, informierten und unmissverständlichen Hinweis darauf gibt, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, beispielsweise durch eine schriftliche Erklärung, auch auf elektronischem Wege , oder eine mündliche Erklärung. – DSGVO-Präambel(32)

Die Benutzer haben das Recht, auf ihre Daten zuzugreifen, ihre Daten zu korrigieren und, wenn keine Rechtsgrundlage mehr für die Datenverarbeitung besteht (z Vergessene. Dazu gehört, dass Verantwortliche Auftragsverarbeiter benachrichtigen, die möglicherweise auch gesammelte Benutzerdaten speichern.

Darüber hinaus sollten personenbezogene Daten vergessen werden, wenn sie für die Rechtsgrundlage, auf der sie erhoben wurden, oder für die Zwecke, für die die Einwilligung erteilt wurde, nicht mehr erforderlich sind.

Datenschutz und Zertifizierung

Die DSGVO verlangt von Datenverantwortlichen (also Ihnen) und Auftragsverarbeitern, geeignete Maßnahmen (sowohl technische als auch organisatorische) zum Schutz personenbezogener Daten zu ergreifen.

Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Richtlinien erlassen und Maßnahmen umsetzen, die insbesondere den Grundsätzen des Datenschutzes durch Technikgestaltung und des Datenschutzes durch Voreinstellungen entsprechen. Solche Maßnahmen könnten unter anderem darin bestehen, die Verarbeitung personenbezogener Daten auf ein Minimum zu beschränken, personenbezogene Daten so bald wie möglich zu pseudonymisieren, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten zu ermöglichen, die betroffene Person in die Lage zu versetzen, die Datenverarbeitung zu überwachen, und dem Verantwortlichen dies zu ermöglichen Sicherheitsfunktionen erstellen und verbessern. – DSGVO-Präambel(78)

Diese Maßnahmen sollten auch eingeschränkten Zugriff, Verschlüsselung und andere grundlegende Best Practices für die Datensicherheit umfassen. Die Autoren der DSGVO ermutigen Verantwortliche und Auftragsverarbeiter, Datenschutzzertifizierungen wie den ISO/IEC 27018-Verhaltenskodex zum Schutz personenbezogener Daten zu identifizieren und einzuhalten.

Um die Transparenz und die Einhaltung dieser Verordnung zu verbessern, sollte die Einrichtung von Zertifizierungsmechanismen und Datenschutzsiegeln und -zeichen gefördert werden, die es den betroffenen Personen ermöglichen, das Datenschutzniveau relevanter Produkte und Dienstleistungen schnell zu beurteilen. – DSGVO-Präambel(100)

Pseudonymisierung

Bei meiner Recherche fand ich heraus, dass die Pseudonymisierung das am häufigsten missverstandene Konzept in der DSGVO war. Pseudonymisierung ist nicht dasselbe wie Anonymisierung; Es ist lediglich das Entfernen der Eigenschaften aus einem Datensatz, der Benutzerdatensätze identifizierbar macht, und das Speichern dieser Eigenschaften in einer separaten Datenquelle unter Verwendung einer Art eindeutiger Kennung. Pseudonymisierte Daten können mit dieser separaten Datenquelle abgeglichen werden, um die einzelnen Benutzer zu identifizieren.

„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen um sicherzustellen, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden; - DSGVO Artikel 4 Absatz 5

Die Pseudonymisierung erhobener Daten stellt keine Rechtsgrundlage für die Verarbeitung von Nutzerdaten dar. Es ist jedoch eine bewährte Methode für die sichere Speicherung von Benutzerdaten, insbesondere wenn diese Daten bei einem Auftragsverarbeiter oder anderen Dritten gespeichert werden. Beispielsweise könnten Sie eine eindeutige Kennung im Datensatz eines Auftragsverarbeiters verwenden, die mit Ihrem eigenen Datensatz kombiniert werden könnte, um den Benutzer zu identifizieren.

Offenlegung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten sind Verantwortliche verpflichtet, ihre Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden zu benachrichtigen. Da Sie Teil eines in den USA ansässigen Unternehmens sind, ist die Aufsichtsbehörde die des Mitgliedstaats/der Mitgliedstaaten, in dem/denen die betroffene(n) Person(en) ihren Wohnsitz hat/haben.

„Verletzung personenbezogener Daten“ bezeichnet eine Sicherheitsverletzung, die zu versehentlicher oder rechtswidriger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt; – DSGVO Artikel 4(12)

Die Verantwortlichen sind auch verpflichtet, die betroffenen Personen im Falle einer Verletzung zu benachrichtigen, obwohl der Zeitplan für eine solche Benachrichtigung von Maßnahmen abhängen könnte, die erforderlich sind, um anhaltende oder ähnliche Datenschutzverletzungen zu verhindern. Die Leitlinien besagen lediglich, dass betroffene Personen unverzüglich kontaktiert werden sollten.

Strafen

Die Strafen für DSGVO-Verstöße können in zwei Kategorien unterteilt werden:

  1. Bußgelder der Aufsichtsbehörden
  2. Entschädigung für betroffene Personen, deren Rechte verletzt wurden

Die meisten Artikel, die ich gelesen habe, konzentrieren sich eher auf die Bußgelder, die von den Aufsichtsbehörden verhängt werden können.

Und es ist leicht zu verstehen, warum.

Strafen können bis zu 20.000.000 € oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen. Das sind beängstigende Zahlen.

Aber es ist wichtig zu verstehen, dass diese Bußgelder die Obergrenzen sind, die für die ungeheuerlichsten und schädlichsten Situationen reserviert sind. Bei der Bestimmung der Höhe des Bußgeldes werden viele Faktoren berücksichtigt.

Bei der Entscheidung über die Verhängung eines Bußgeldes und bei der Entscheidung über die Höhe des Bußgeldes im Einzelfall sind zu berücksichtigen:

  1. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Anzahl der betroffenen Personen und der Höhe des von ihnen erlittenen Schadens;
  2. der vorsätzliche oder fahrlässige Charakter der Verletzung;
  3. alle Maßnahmen des Verantwortlichen oder des Auftragsverarbeiters zur Minderung des Schadens, den die betroffenen Personen erlitten haben;
  4. der Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 umgesetzten technischen und organisatorischen Maßnahmen;
  5. alle relevanten früheren Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
  6. Grad der Zusammenarbeit mit der Aufsichtsbehörde, um den Verstoß zu beheben und mögliche nachteilige Auswirkungen des Verstoßes abzumildern;
  7. die Kategorien personenbezogener Daten, die von der Verletzung betroffen sind
  8. die Art und Weise, in der der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und in welchem ​​Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß gemeldet hat;
  9. wenn zuvor Maßnahmen gemäß Artikel 58 Absatz 2 gegen den betroffenen Verantwortlichen oder den betroffenen Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordnet wurden, die Einhaltung dieser Maßnahmen;
  10. Einhaltung genehmigter Verhaltenskodizes nach Artikel 40 oder genehmigter Zertifizierungsmechanismen nach Artikel 42; und
  11. alle anderen erschwerenden oder mildernden Umstände, die auf die Umstände des Falles anwendbar sind, wie z. B. unmittelbar oder mittelbar durch die Zuwiderhandlung erlangte finanzielle Vorteile oder vermiedene Verluste.

– DSGVO Artikel 83 Absatz 2

Die größere Unbekannte ist, wie hoch die Entschädigung für betroffene Personen sein könnte, deren Rechte verletzt wurden. Es ist unwahrscheinlich, dass ein Verstoß gegen die DSGVO nur eine Einzelperson betrifft, daher ist es vernünftig, mit irgendeiner Form von Gruppenklage zu rechnen.

Die nationalen Regelungen der EU-Mitgliedsstaaten in Bezug auf Gruppenklagen (Sammelklagen) sind sehr unterschiedlich. Die Vorhersage der Folgen vor dem Inkrafttreten der Verordnung ist daher eine Aufgabe, die am besten Juristen überlassen wird. Vielleicht noch besser, Hellseher, die in Kristallkugeln blicken.

Einige häufige Szenarien

Unterm Strich muss die DSGVO-Compliance gar nicht so schwer sein. Es gibt zwar einige grundlegende Schritte, die Sie unternehmen müssen, aber die Richtlinien sind klar und messbar. Wenn Sie in der EU geschäftlich tätig waren, aber die Datenschutzrichtlinie missachtet haben, haben Sie ein wenig Nachholbedarf. Aber lassen Sie mich betonen, dass es nicht so schlimm ist.

Es gibt einige gängige Szenarien, die von fast allen Unternehmen, die BrandExtract bedient, geteilt werden. Im Allgemeinen versuchen wir, unsere Kunden von Situationen fernzuhalten, in denen eine Einwilligung eingeholt oder personenbezogene Daten verwaltet werden müssen, es sei denn, dies ist absolut notwendig. Aber es gibt Situationen, in denen es sinnvoll ist. Hier sind einige spezifische Situationen mit Empfehlungen:

Google Analytics

BrandExtract ist der Ansicht, dass das Sammeln und Speichern der vollständigen IP-Adresse eines Benutzers für qualitativ hochwertige Analysen nicht erforderlich ist. Und die Anonymisierung der IP-Adresse durch Weglassen des letzten Oktetts der IPv4-Adressen und der letzten 80 Bits der IPv6-Adressen reicht aus, um die Möglichkeit der Benutzeridentifikation auf Seiten von Google auszuschließen.

Dies kann in Google Analytics ganz einfach durch Verwendung der in die GA-Javascript-Bibliothek integrierten Funktion zur Anonymisierung von IP-Adressen erfolgen. Es kann einfach für alle Benutzer aufgerufen werden, unabhängig davon, ob sie von innerhalb der EU aus auf Ihre Website zugreifen oder nicht. Bei Verwendung der IP-Adressen-Anonymisierung werden keine identifizierbaren personenbezogenen Daten auf den Servern von Google aufgezeichnet.

Darüber hinaus ist es möglich, die Verwendung des Google Analytics-Cookies auf Ihrer Website zu deaktivieren. Dies führt zum Verlust einiger Analysedaten (wir sind dabei, dies zu testen, um zu sehen, was verloren geht). Durch die Anonymisierung der IP-Adresse und das Entfernen des Cookies müssen wir jedoch keine Einwilligung mehr für Google Analytics einholen, da der Benutzer nicht mehr identifiziert werden kann.

Es ist weiterhin möglich, Google Analytics mit den Cookies zu verwenden, aber Sie müssen vorher Ihre Zustimmung einholen. Ebenfalls Beachten Sie, dass Google Tools zum Entfernen einzelner Benutzerdaten aus Analysen versprochen hat, um die Einhaltung zu gewährleisten. Diese sollen bis zum 25. Mai vorliegen.

Protokolldateien des Webservers

Standardmäßig werden alle Anfragen an Ihren Webserver in den Logfiles aufgezeichnet. Jeder Datensatz enthält die IP-Adresse des Benutzers, die als personenbezogene Daten gilt, da sie später verwendet werden könnten, um die Aktivität dieses Benutzers rückwirkend zu verfolgen, wenn er oder sie später identifiziert wird. Die Aufzeichnung der IP-Adresse sollte deaktiviert oder die IP-Adresse anonymisiert werden.

Pardot

Wie bei Google vertritt Pardot die Position, dass Sie der Verantwortliche und Pardot der Auftragsverarbeiter ist. Das Serviceangebot von Pardot ist davon abhängig, dass der Benutzer identifiziert werden kann. Wenn Sie also beabsichtigen, Pardot-Dienste auf Ihrer Website zu verwenden, müssen Sie eine Rechtsgrundlage für die Verarbeitung der Daten des Benutzers haben.

Pardot verfügt noch nicht über Tools zum Sammeln oder Entfernen von Benutzerdaten, und sie erwarten nicht, dass diese Tools bis zum Stichtag verfügbar sind. Alle Anfragen nach Daten und Anfragen, die vergessen werden sollen, müssen über den Service Desk von Pardot gestellt werden.

Hubspot

Teile des Serviceangebots von Hubspot umfassen Aufnahmeformulare und Benutzerverfolgung. Wenn Sie keine anderen Drittanbieter verwenden, um Benutzer zu verfolgen, sollten Sie den Mechanismus zum Einholen von Einwilligungen von Hubspot in Betracht ziehen. Diese neue Funktion sollte bis zum 25. Mai verfügbar sein.

Wenn Sie neben Hubspot andere Anbieter verwenden oder Benutzerdaten auf Ihren eigenen Systemen speichern, müssen Sie einen eigenen Mechanismus zum Einholen der Einwilligung für alle Arten der Speicherung von Benutzerdaten erstellen.

E-Mail Marketing

Wenn Sie einen E-Mail-Marketing-Dienstleister verwenden oder über einen eigenen Mechanismus zum Verfolgen von E-Mail-Antworten des Benutzers verfügen, müssen Sie eine Einwilligung oder eine Rechtsgrundlage haben, bevor Sie die E-Mail senden. Für E-Mail-Kampagnen benötigen Sie eine etablierte Beziehung mit der betroffenen Person, die eine Rechtsgrundlage für die Verarbeitung enthält.

Gehostete Schriftarten und andere Assets

Das ist ganz einfach... Wenn Sie sich wegen der DSGVO Sorgen machen, verwenden Sie keine Drittanbieter, um die Schriftarten, Javascript-Bibliotheken oder andere Assets Ihrer Website zu hosten. Wenn eine bestimmte Schriftart nur über einen Drittanbieter-Host verfügbar ist, verwenden Sie einfach eine andere Schriftart.

Alle Anbieter haben ihre eigenen Nutzungsbedingungen und Compliance-Stufen, die eine ständige Überwachung erfordern, um sicherzustellen, dass sich ihre Richtlinien nicht ändern. Versuchen Sie, diesen Ärger und dieses Risiko zu vermeiden.

Sharing-Dienste (ShareThis, AddToAny usw.)

Sie sind schrecklich, verwenden Sie sie nicht. Schon vor den berichtenswerten DSGVO-Entwicklungen hatte BrandExtract unsere Kunden immer von diesen als Dienste getarnten Parasiten ferngehalten. Ihre Benutzer brauchen nicht die Möglichkeit, Ihre Webseite in 47 sozialen Netzwerken zu teilen, von denen noch niemand gehört hat. BrandExtract verfügt über benutzerdefinierten Code zum Teilen auf allen wichtigen Plattformen, die für Ihr Unternehmen tatsächlich wichtig sind.

Personalisierung

Dieser ist auch einfach. Alle anderen Personalisierungsszenarien als die breite Geolokalisierung nach Kontinent oder Land erfordern eine Benutzeridentifikation, und Sie müssen die Zustimmung des Benutzers haben. Daran führt einfach kein Weg vorbei.

Ressourcen

  • Die Website der Europäischen Kommission
  • DSGVO-Text
  • IP-Anonymisierung in Analytics
  • Analytics-Cookies deaktivieren

Die DSGVO-Vorschriften können überwältigend sein. Hoffentlich haben wir Ihnen dabei geholfen, alles zu konsolidieren, was Sie wissen müssen. Wenn Sie erwägen, eine Prüfung Ihrer Website durchzuführen, unterhalten wir uns gerne. In unserer DSGVO-Podcast-Episode gehen wir mit unserem Expertenteam noch detaillierter auf die DSGVO ein. Für weitere Einblicke in Web- und digitale Überlegungen für Ihre Marke finden Sie hier ein paar Tipps und Ressourcen, die Ihnen helfen können:

  • Erfahren Sie, was nötig ist, um Ihre Website barrierefrei zu machen.
  • Finden Sie die Schlüssel zur Website-Sicherheit heraus und erfahren Sie, wie Sie Ihre Website schützen können.
  • Sehen Sie sich an, wie Sie eine ansprechende (und konvertierende) Unternehmenswebsite erstellen.