Online-Marketing-Treibende bewegen sich nach der neuen EU-Datenschutz-Grundverordnung zwischen zwei Welten: Neben dem berechtigten Interesse der Marketing-Verantwortlichen, stehen die Interessen, Grundrechte und Freiheiten der betroffenen Personen. Wie du beides unter einen Hut bringst, erfährst du hier.
Dieser Beitrag ist Teil der Blogserie zur DSGVO (GDPR) für die Schweiz.
Die EU-Datenschutz-Grundverordnung und Google Analytics
Unter die Verarbeitung personenbezogener Daten fällt bereits auch die Analyse des Onlineverhaltens von EU-Bürgern. Dies sollten vor allem Marketingverantwortliche, Werbetreibende oder Website-Inhaber beachten, die beispielsweise Google Analytics als Messinstrument nutzen. Hintergrund dabei ist, dass es theoretisch möglich wäre, ein umfassendes Besucherprofil alleine schon anhand des Analysewerkzeugs anzulegen.
"[…] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann,[ …]"
Auszug aus Art. 4 Abs. 1 DSGVO
Wie also mit Google Analytics umgehen?
Wer eine Website betreibt und diese mit Google Analytics verknüpft hat, auf die auch Nutzer aus dem EU-Raum Zugriff haben, sollte einiges beachten:
- Wenn der Datenaustausch mit EU-Bürgern möglich ist, findet die EU-DSGVO Anwendung – auch in der Schweiz.
- Gesammelte Google Analytics-Daten könnten natürliche Personen identifizieren.
Daraus ergeben sich 5 Empfehlungen, die dir helfen sollen, DSGVO-konform zu handeln:
- Teile bei der Datenschutzerklärung mit, dass du Google Analytics einsetzt.
- Anhand einer hinterlegten Erklärung sollte dem Nutzer (der betroffenen Person) ausserdem klar sein, welche Daten zu welchen Zwecken verarbeitet werden.
- Biete dabei ein Opt-out-Verfahren an.
- Anonymisiere die IP-Adressen, damit keine personenbezogene Identifikation stattfinden kann.
- Da Google die Daten als Betreiber ebenfalls einsehen kann, musst du online den „Zusatz zur Datenverarbeitung“ bei Google akzeptieren.
Informiere also deine Kunden darüber, was du mit den personenbezogenen Daten vorhast, wofür du sie verwendest und wie lange du sie speicherst.
"Der Verantwortliche trifft geeignete Massnahmen, um der betroffenen Person alle Informationen […] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln […]"
Auszug aus Art. 12 Abs. 1 DSGVO
Die Verwendung von Cookies mit personenbezogenen Daten
Cookies werden von Website-Betreibern eingesetzt, um – ähnlich wie bei Google Analytics – Daten über den Website-Besucher herauslesen zu können. Bei den dadurch analysierten Daten kann es sich um ganz unterschiedliche handeln. Wenn dabei personenbezogene Daten herausgelesen werden, mithilfe derer du Personen aus der EU identifizieren kannst oder könntest (zum Beispiel anhand der IP-Adresse), unterliegt die Nutzung von Cookies ebenfalls den Bestimmungen der DSGVO.
Auch hier stehen sich zwei Interessengruppen gegenüber:
- Der Betreiber, der nach Erwägungsgrund 47 DSGVO ein berechtigtes Interesse verfolgt, die Daten zur weiteren, werbewirksamen Nutzung verarbeiten zu können – und
- der Nutzer, dessen personenbezogene Daten nach Art. 4 DSGVO verarbeitet werden und dessen Grundrechte gewahrt werden sollen.
Hier stellt sich die Frage, welche Interessen überwiegen – und wie du rechtskonform mit dem Einsatz von Cookies umgehst.
Wie bisher, ist der Einsatz dann möglich, wenn dir eine Einwilligung der betroffenen Person vorliegt. Diese kannst du in elektronischer Form hinterlegen, in dem du ebenfalls den Verwendungszweck der erhobenen Daten mit angibst. Mithilfe zweier Kästchen kann der Nutzer zum Beispiel der Erhebung seiner Daten aktiv zustimmen – oder sie (aktiv) ablehnen.
Persönlicher Eindruck
Wie sich das Zusammenspiel der berechtigten Interessen von Marketing-Verantwortlichen und betroffenen Personen tatsächlich auswirkt, bleibt derzeit abzuwarten.
Sicher hilfreich ist, dass du bei personenbezogenen Daten, transparent und verständlich bleibst. Je offener du in deiner Datenschutzerklärung über die Absicht der Verwendung von personenbezogenen Daten kommunizierst, desto eher erfüllst die Anforderungen der EU-Verordnung.
Ich wünsche dir viel Erfolg bei den Vorbereitungen und hoffe, dir mit diesem Beitrag ein Stück weiterhelfen zu können.
Herzliche Grüsse
Sven
Wenn du mehr zum Thema DSGVO lesen möchten, hast du hier die Möglichkeit.
Haftungsausschluss: Bitte beachte, dass die Beiträge innerhalb der Blogserie keine Rechtsberatung darstellen oder ersetzen. Für eine individuelle Abklärung der Massnahmen in deinem Unternehmen, empfehle ich ggf. einen Rechtsberater aufzusuchen.
Quellen: www.t3n.de, google-search