Zum besseren Verständnis der rechtlichen Anforderungen, die mit dem im ersten Artikel dieser Reihe erörterten Wandel hin zu einem datenschutzsicheren Werbe-Ökosystem einhergehen, soll der folgende Artikel einige rechtliche Hintergrundinformationen zur Datenschutz-Grundverordnung (DSGVO) liefern und Ihnen einen Leitfaden für eine DSGVO-konforme Datenverarbeitung an die Hand geben.
Daten sind eine der wichtigsten Ressourcen des 21. Jahrhunderts und für Unternehmen unerlässlich, um wettbewerbsfähig zu sein. Da die Datenerfassung immer komplexer wird und immer mehr Unternehmen Daten für kommerzielle Zwecke nutzen, gelten strenge Datenschutz- und Sicherheitsstandards. Die 2018 in Kraft getretene DSGVO (siehe Abbildung 1) soll einen umfassenden Schutz der personenbezogenen Daten des Einzelnen gewährleisten und die Datenschutzgesetze in der gesamten Europäischen Union vereinheitlichen.
Um die organisatorische Sicherheit zu gewährleisten, die Daten der Kunden zu schützen und kostspielige Strafzahlungen bei Nichteinhaltung zu vermeiden, müssen die für die Datenverarbeitung Verantwortlichen eine Reihe von Anforderungen beachten:
Sie müssen wissen, welche Daten Sie sammeln, eine rechtmäßige Grundlage haben und transparent damit umgehen.
- Führen Sie einen Datenaudit durch, um zu ermitteln, welche Daten von Ihrem Unternehmen verarbeitet werden, wer Zugang zu diesen hat (auch unter Berücksichtigung von Dritten) und welche Maßnahmen Sie zum Schutz der Daten ergreifen, z. B. Verschlüsselung (siehe Artikel 30 der DSGVO).
- Sie müssen eine rechtliche Grundlage für Ihre Datenverarbeitungsaktivitäten haben (siehe Artikel 6-11). Die Verarbeitung erfordert immer eine Rechtsgrundlage, die entweder "Einwilligung" (wenn es entscheidend ist, dass Personen ihre Einwilligung widerrufen können) oder "berechtigtes Interesse" (wenn Sie nachweisen können müssen, dass Sie eine Datenschutzfolgenabschätzung durchgeführt haben) sein kann.
- Die Informationen über Ihre Datenverarbeitung und die rechtliche Legitimation müssen in Ihrer Datenschutzpolitik klar dargelegt und den Personen zum Zeitpunkt der Datenerfassung (siehe Artikel 12) über einen Cookie-Banner zur Verfügung gestellt werden. Hier gibt es zwei verschiedene Ansätze: Nutzer, die Ihre Website besuchen, können aufgefordert werden, eine eindeutige positive, bestätigende Handlung vorzunehmen, z. B. ein Kästchen anzukreuzen (Opt-in). Alternativ dazu zeigt der Cookie-Banner ein bereits angekreuztes Kästchen an und fordert den Nutzer auf, das Kästchen zu deaktivieren, wenn er seine Einwilligung verweigern möchte (Opt-out). Die Nutzer müssen die Möglichkeit haben, ihre Einwilligung jederzeit zu widerrufen.
Ergreifen Sie Maßnahmen, um die Daten Ihrer Kunden zu schützen.
- Sie müssen die Grundsätze des "Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" (siehe Artikel 25) befolgen und den Datenschutz zu jedem Zeitpunkt berücksichtigen, von der Entscheidung über die Art der Verarbeitung bis zur Verarbeitung selbst. Bei jeder Form der Verarbeitung müssen die Datenschutzgrundsätze eingehalten werden (siehe Artikel 5).
- Verschlüsseln, psydonomisieren oder anonymisieren Sie personenbezogene Daten, wo immer dies möglich ist, einschließlich E-Mails, Nachrichten, Notizen und Cloud-Speicher (siehe Artikel 32).
- Erstellen Sie eine interne Sicherheitsrichtlinie für Ihr Unternehmen. Sie sollte Leitlinien für E-Mail-Sicherheit, Passwörter, Zwei-Faktor-Authentifizierung, Geräteverschlüsselung und VPNs enthalten. Workshops können helfen, das Bewusstsein für den Datenschutz in Ihrem Unternehmen zu schärfen.
- Die Datenschutz-Grundverordnung verpflichtet Organisationen zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten, wenn sie die Daten von Kunden in einer Weise verwenden wollen, die "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge" bergen wird. (siehe Artikel 35). Es ist jedoch ratsam, eine solche Abschätzung immer dann durchzuführen, wenn Sie die Verarbeitung personenbezogener Daten planen.
- Einführung eines Verfahrens zur Kontaktaufnahme mit Behörden und Einzelpersonen im Falle einer Datenschutzverletzung (siehe Artikel 33 und 34).
Seien Sie verantwortungsvoll.
- Stellen Sie sicher, dass jemand in Ihrer Organisation für die Einhaltung der DSGVO verantwortlich ist. Diese Person sollte für die Bewertung und Umsetzung von Datenschutzmaßnahmen zuständig sein und vorzugsweise über einen juristischen Hintergrund verfügen (siehe Artikel 25). Darüber hinaus sind Organisationen verpflichtet, einen Datenschutzbeauftragten einzustellen, wenn bestimmte Kriterien erfüllt sind (siehe Artikel 38 und 39).
- Unterzeichnen Sie eine Datenverarbeitungsvereinbarung zwischen Ihrer Organisation und allen Drittanbietern (z. B. Analysesoftware, E-Mail- oder Cloud-Dienste), die personenbezogene Daten in Ihrem Namen verarbeiten.
- Wenn Ihre Organisation außerhalb der EU ansässig ist, aber Daten von EU-Bürgern verarbeitet, sollten Sie einen Vertreter in einem der EU-Mitgliedstaaten haben, der in Ihrem Namen mit den Datenschutzbehörden kommunizieren kann (siehe Artikel 27).
Wahren Sie die Datenschutzrechte der Nutzer.
- Die Nutzer haben das Recht zu erfahren, welche personenbezogenen Daten Sie über sie haben und wie Sie diese verwenden. Daher muss es für sie einfach sein, auf ihre gespeicherten personenbezogenen Daten zuzugreifen und sie einzusehen (siehe Artikel 15). Auch sollten sie in der Lage sein, unrichtige oder unvollständige Informationen zu aktualisieren bzw. zu berichtigen (siehe Artikel 16).
- Die Nutzer der Website haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, d. h. sie haben das "Recht auf Vergessenwerden" (siehe Artikel 17). Es gibt einige wenige Ausnahmefälle, in denen Sie diesem Antrag nicht nachkommen müssen, z. B. bei der Ausübung der Meinungsfreiheit oder der Erfüllung einer rechtlichen Verpflichtung.
- Ihre Kunden können Widersprich gegen die Verarbeitung ihrer Daten einzulegen, wenn bestimmte Gründe vorliegen, z. B. bzgl. der Rechtmäßigkeit der Verarbeitung oder der Richtigkeit der Daten. Andernfalls können Sie ihren Widerspruch anfechten, wenn Sie "zwingende schutzwürdige Gründe" für die Verarbeitung nachweisen können (siehe Artikel 21). Während die Verarbeitung eingeschränkt ist, ist die Speicherung der Daten weiterhin erlaubt (siehe Artikel 18).
- Es muss für Ihre Kunden (oder einen von ihnen benannten Dritten) einfach sein, eine Kopie ihrer personenbezogenen Daten “in einem strukturierten, gängigen und maschinenlesbaren Format” zu erhalten, z. B. in Form einer Tabellenkalkulation (siehe Artikel 20). Aus geschäftlicher Sicht mag es unfair erscheinen, die Daten Ihrer Kunden an einen Konkurrenten weitergeben zu müssen, aber aus Sicht des Datenschutzes geht es darum, dass Ihre Kunden Eigentümer ihrer Daten sind und die volle Kontrolle darüber behalten, nicht Sie oder ein anderer Dritter.
- Wenn Sie automatisierte Entscheidungen über Ihre Kundendaten treffen, z. B. Profiling (siehe Artikel 22), müssen Sie über ein Verfahren zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Kunden verfügen. Kunden müssen die Möglichkeit haben, einen menschlichen Eingriff zu verlangen, um bereits getroffene Entscheidungen neu zu bewerten.
Wenn Sie diese Checkliste abarbeiten und die hier gemachten Vorschläge in die Praxis umsetzen, können Sie Ihre Datenschutzstrategie besser umsetzen. Bitte bedenken Sie jedoch, dass dieser Artikel keine Rechtsberatung darstellt. Wir empfehlen Ihnen, einen auf die Einhaltung der DSGVO spezialisierten Anwalt zu konsultieren, der das Gesetz auf Ihre spezifischen Umstände anwenden kann.