Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Google Pinnwand Quelle Rvlsoft Shutterstock 243535777 700

Bild: rvlsoft / Shutterstock.com

Das wahrscheinlich am meisten diskutierte Thema für diesen Monat, die Datenschutz-Grundverordnung, die ab 25. Mai in Kraft tritt. In Deutschland wird dadurch zum einen das bisherige Bundesdatenschutzgesetz ersetzt und wird zum anderen durch ein neues Bundesdatenschutzgesetz ergänzt. 

Zu der DSGVO in Europa wiederum gehört auch die ePrivacy Verordnung, die bestimmte Spezialbereiche der DSGVO abdecken soll. Diese soll aber frühestens Anfang nächsten Jahres in Kraft treten. In diesem Artikel handelt es sich um Hinweise für Anpassungen im Zuge der DSGVO. Für etwaige Umsetzung oder Details lassen Sie sich anwaltlich oder von einem Datenschutzbeauftragten beraten. Der Artikel stellt keine Rechtsberatung dar.

Viele bisherige Prozesse und Methoden müssen auf die neue EU Verordnung angepasst werden. Dazu zählen Maßnahmen, wie die Benennung eines Datenschutzbeauftragten oder das Anlegen eines Verarbeitungsverzeichnisses, als auch eine neue Datenschutzerklärung. Ein wichtiges Thema ist in diesem Kontext auch der Newsletter. Ob die richtige Einwilligung, der Versand oder der eventuelle Widerruf des Newsletters, sämtliche bisherige Verfahren müssen überprüft und gegebenenfalls aktualisiert werden. Dementsprechend werden im Folgenden einige Tipps gegeben, um die bisherigen Prozesse DSGVO konform anzupassen.

Damit wie laut DSGVO vorgeschrieben, die Einwilligung zur Datenverarbeitung von personenbezogenen Daten rechtmäßig eingeholt wird, sollte beim Newsletter das Double Opt-in Verfahren angewendet werden. Das bedeutet, es dürfen personenbezogene Daten von Personen verarbeitet werden, solange es zuvor eine freiwillige und ausdrückliche Einwilligung für die Verarbeitung gab. Das Einwilligungsverfahren beinhaltet eine doppelte Bestätigung seitens der betroffenen Person. Im Falle des Newsletters heißt das zum Beispiel, dass die Option ein Häkchen zu setzen für den Empfang des Newsletters besteht. Vorsicht hier, denn ein voraktiviertes Häkchen gilt laut DSGVO nicht als freiwillige Einwilligung seitens der betroffenen Person. Um das Double Opt-in sicherzustellen, empfiehlt sich anschließend der Versand einer E-Mail an den potenziellen neuen Abonnenten. Die E-Mail sollte einen Bestätigungslink für die Anmeldung des Newsletters enthalten. Mit Anklicken dieses Links wird das Double Opt-in sichergestellt und der Interessent wird zu einem Abonnenten des Newsletters.

Zusätzlich sollte in der E-Mail noch einmal wiederholt werden, welche Themen der Newsletter behandelt. Es wird empfohlen hier auch sofort die Hinweise zum Widerruf und die Datenschutzerklärung anzufügen. Außerdem sollte in der Bestätigungsmail keine Werbung enthalten sein und der Dienstleister muss diese Bestätigung protokollieren, so dass sie im Zweifelsfall nachweisbar ist. In Bezug zu dem Einwilligungsverfahren bleibt noch zu sagen, dass es künftig ein sogenanntes Kopplungsverbot geben wird. Das bedeutet, dass eine Einwilligung nicht mit einer Vertragserfüllung gekoppelt sein darf, solange die Erfüllung des Vertrags nicht für die Einwilligung erforderlich ist. Somit darf zum Beispiel die Teilnahme an einem Gewinnspiel nicht mehr ohne vorherige Ankündigung an ein Newsletter-Abonnement gekoppelt sein. 

Ein weiterer Punkt, der nicht außer Acht gelassen werden sollte, ist die Verwendung von Google Produkten. Um zu verstehen, wie Verwender von Google Produkten handeln müssen, sollten vorerst die Begriffe (laut DSGVO) des Verantwortlichen und des Auftragsverarbeiters geklärt werden. Diese beiden stehen nämlich in direkter Verbindung zur datenschutzrechtlichen Beziehung, zur Beziehung der Datenverarbeitung, als auch zur Definition der rechtlichen Beziehung. 

Der Verantwortliche ist derjenige, der unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzt, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Datenschutz- Grundverordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. 

Der Auftragsverarbeiter handelt für den Verantwortlichen allerdings nur unter schriftlicher Genehmigung mittels eines Vertrags. Dementsprechend ist er verpflichtet den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter zu informieren. Dadurch erhält der Verantwortliche die Möglichkeit gegen derartige Änderungen Einspruch zu erheben. Zudem hat der Auftragsverarbeiter den Weisungen des Verantwortlichen Folge zu leisten und die Daten auch nur in dem vereinbarten Rahmen zu verarbeiten. Sollte der Vertrag zwischen den Parteien erlöschen (durch Abschluss der Erbringung der Leistung oder Kündigung) ist der Auftragsverarbeiter gezwungen sämtliche Daten, die dem Dienstleistungsverhältnis entsprungen sind unverzüglich zu löschen. Es sei denn es besteht laut dem Unionsrecht eine Verpflichtung zur Speicherung der personenbezogenen Daten. 

Die folgende Grafik soll die Beziehungen untereinander unterstützend darstellen:

Google DSGVO

Grundsätzlich bietet Google Auftragsverarbeitungsverträge für seine Produkte an. Diese können elektronisch abgeschlossen werden und sichern die Zusammenarbeit für beide Parteien rechtmäßig ab. Lediglich der Google AdWords Vertrag wurde automatisch angepasst und muss nicht zusätzlich vereinbart werden. Um einen besseren Überblick darüber zu bekommen, wann und in welchem Umfang solche Verträge mit Google abgeschlossen werden müssen, wird im Nachfolgenden erläutert, welche Verantwortlichkeit man mit diversen Google Produkten trägt.

Die folgenden Google Produkten fallen unter den Anwendungsbereich „Google als Verantwortlicher“:

  • AdWords (einschließlich Remarketing und Conversion Tracking Funktionen)
  • AdSense
  • DoubleClick Ad Exchange
  • DoubleClick For Publishers
  • Google Kundenrezensionen

Die folgenden Google Produkten fallen unter den Anwendungsbereich „Google als Auftragsverarbeiter“:

  • DoubleClick Bid Manager
  • DoubleClick Campaign Manager
  • DoubleClick Search
  • Google Analytics 360
  • Google Tag Manager 360
  • Google Data Studio
  • Google Attribution 360
  • Google Optimize 360

Dementsprechend können Nutzer von Google Produkten etwaige Verträge abschließen und einschätzen mit welcher Verantwortlichkeit sie bei der Verwendung handeln. Sofern Google Analytics benutzt wird, wird empfohlen noch vor dem 25. Mai 2018 den Auftragsdatenverarbeitungsvertrag an Google zur Gegenzeichnung zu senden.

Ein endgültiges Fazit, ob die DSGVO nun mehr Arbeit mit sich bringt oder für Klarheit sorgt, wird sich vermutlich erst ein paar Monate nach dem in Kraft treten zeigen. Fakt ist jedoch, dass sich jedes Unternehmen bzw. jeder Unternehmer so präzise wie möglich vorbereitet sein sollte.

Tabea WenzelTabea Wenzel, Junior Online Marketing Managerin, Damcon GmbH,

https://www.damcon.net/damcon-updates-mai-2018-dsgvo/
 

GRID LIST
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…
Tb W190 H80 Crop Int F1f72fabd46e97adb1d88019d7eccd85

Fünf Passwort-Alternativen der Zukunft

Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt. Er ruft dazu…
Tb W190 H80 Crop Int 3beed8ea8d39bc9de7fa829bffb574e8

Facebook bereitet sich auf Milliardenstrafe vor

Facebook rechnet damit, dass die jüngsten Datenschutz-Skandale das Online-Netzwerk bis zu…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…