DSGVO Tipps zum Umgang mit Google Produkten

Bild: rvlsoft / Shutterstock.com
LinkedInXingPocketWhatsAppFlipboard

Das wahrscheinlich am meisten diskutierte Thema für diesen Monat, die Datenschutz-Grundverordnung, die ab 25. Mai in Kraft tritt. In Deutschland wird dadurch zum einen das bisherige Bundesdatenschutzgesetz ersetzt und wird zum anderen durch ein neues Bundesdatenschutzgesetz ergänzt. 

Zu der DSGVO in Europa wiederum gehört auch die ePrivacy Verordnung, die bestimmte Spezialbereiche der DSGVO abdecken soll. Diese soll aber frühestens Anfang nächsten Jahres in Kraft treten. In diesem Artikel handelt es sich um Hinweise für Anpassungen im Zuge der DSGVO. Für etwaige Umsetzung oder Details lassen Sie sich anwaltlich oder von einem Datenschutzbeauftragten beraten. Der Artikel stellt keine Rechtsberatung dar.

Anzeige

Viele bisherige Prozesse und Methoden müssen auf die neue EU Verordnung angepasst werden. Dazu zählen Maßnahmen, wie die Benennung eines Datenschutzbeauftragten oder das Anlegen eines Verarbeitungsverzeichnisses, als auch eine neue Datenschutzerklärung. Ein wichtiges Thema ist in diesem Kontext auch der Newsletter. Ob die richtige Einwilligung, der Versand oder der eventuelle Widerruf des Newsletters, sämtliche bisherige Verfahren müssen überprüft und gegebenenfalls aktualisiert werden. Dementsprechend werden im Folgenden einige Tipps gegeben, um die bisherigen Prozesse DSGVO konform anzupassen.

Damit wie laut DSGVO vorgeschrieben, die Einwilligung zur Datenverarbeitung von personenbezogenen Daten rechtmäßig eingeholt wird, sollte beim Newsletter das Double Opt-in Verfahren angewendet werden. Das bedeutet, es dürfen personenbezogene Daten von Personen verarbeitet werden, solange es zuvor eine freiwillige und ausdrückliche Einwilligung für die Verarbeitung gab. Das Einwilligungsverfahren beinhaltet eine doppelte Bestätigung seitens der betroffenen Person. Im Falle des Newsletters heißt das zum Beispiel, dass die Option ein Häkchen zu setzen für den Empfang des Newsletters besteht. Vorsicht hier, denn ein voraktiviertes Häkchen gilt laut DSGVO nicht als freiwillige Einwilligung seitens der betroffenen Person. Um das Double Opt-in sicherzustellen, empfiehlt sich anschließend der Versand einer E-Mail an den potenziellen neuen Abonnenten. Die E-Mail sollte einen Bestätigungslink für die Anmeldung des Newsletters enthalten. Mit Anklicken dieses Links wird das Double Opt-in sichergestellt und der Interessent wird zu einem Abonnenten des Newsletters.

Zusätzlich sollte in der E-Mail noch einmal wiederholt werden, welche Themen der Newsletter behandelt. Es wird empfohlen hier auch sofort die Hinweise zum Widerruf und die Datenschutzerklärung anzufügen. Außerdem sollte in der Bestätigungsmail keine Werbung enthalten sein und der Dienstleister muss diese Bestätigung protokollieren, so dass sie im Zweifelsfall nachweisbar ist. In Bezug zu dem Einwilligungsverfahren bleibt noch zu sagen, dass es künftig ein sogenanntes Kopplungsverbot geben wird. Das bedeutet, dass eine Einwilligung nicht mit einer Vertragserfüllung gekoppelt sein darf, solange die Erfüllung des Vertrags nicht für die Einwilligung erforderlich ist. Somit darf zum Beispiel die Teilnahme an einem Gewinnspiel nicht mehr ohne vorherige Ankündigung an ein Newsletter-Abonnement gekoppelt sein. 

Ein weiterer Punkt, der nicht außer Acht gelassen werden sollte, ist die Verwendung von Google Produkten. Um zu verstehen, wie Verwender von Google Produkten handeln müssen, sollten vorerst die Begriffe (laut DSGVO) des Verantwortlichen und des Auftragsverarbeiters geklärt werden. Diese beiden stehen nämlich in direkter Verbindung zur datenschutzrechtlichen Beziehung, zur Beziehung der Datenverarbeitung, als auch zur Definition der rechtlichen Beziehung. 

Der Verantwortliche ist derjenige, der unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzt, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Datenschutz- Grundverordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. 

Der Auftragsverarbeiter handelt für den Verantwortlichen allerdings nur unter schriftlicher Genehmigung mittels eines Vertrags. Dementsprechend ist er verpflichtet den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter zu informieren. Dadurch erhält der Verantwortliche die Möglichkeit gegen derartige Änderungen Einspruch zu erheben. Zudem hat der Auftragsverarbeiter den Weisungen des Verantwortlichen Folge zu leisten und die Daten auch nur in dem vereinbarten Rahmen zu verarbeiten. Sollte der Vertrag zwischen den Parteien erlöschen (durch Abschluss der Erbringung der Leistung oder Kündigung) ist der Auftragsverarbeiter gezwungen sämtliche Daten, die dem Dienstleistungsverhältnis entsprungen sind unverzüglich zu löschen. Es sei denn es besteht laut dem Unionsrecht eine Verpflichtung zur Speicherung der personenbezogenen Daten. 

Die folgende Grafik soll die Beziehungen untereinander unterstützend darstellen:

Google DSGVO

Grundsätzlich bietet Google Auftragsverarbeitungsverträge für seine Produkte an. Diese können elektronisch abgeschlossen werden und sichern die Zusammenarbeit für beide Parteien rechtmäßig ab. Lediglich der Google AdWords Vertrag wurde automatisch angepasst und muss nicht zusätzlich vereinbart werden. Um einen besseren Überblick darüber zu bekommen, wann und in welchem Umfang solche Verträge mit Google abgeschlossen werden müssen, wird im Nachfolgenden erläutert, welche Verantwortlichkeit man mit diversen Google Produkten trägt.

Die folgenden Google Produkten fallen unter den Anwendungsbereich „Google als Verantwortlicher“:

  • AdWords (einschließlich Remarketing und Conversion Tracking Funktionen)
  • AdSense
  • DoubleClick Ad Exchange
  • DoubleClick For Publishers
  • Google Kundenrezensionen

Die folgenden Google Produkten fallen unter den Anwendungsbereich „Google als Auftragsverarbeiter“:

  • DoubleClick Bid Manager
  • DoubleClick Campaign Manager
  • DoubleClick Search
  • Google Analytics 360
  • Google Tag Manager 360
  • Google Data Studio
  • Google Attribution 360
  • Google Optimize 360

Dementsprechend können Nutzer von Google Produkten etwaige Verträge abschließen und einschätzen mit welcher Verantwortlichkeit sie bei der Verwendung handeln. Sofern Google Analytics benutzt wird, wird empfohlen noch vor dem 25. Mai 2018 den Auftragsdatenverarbeitungsvertrag an Google zur Gegenzeichnung zu senden.

Ein endgültiges Fazit, ob die DSGVO nun mehr Arbeit mit sich bringt oder für Klarheit sorgt, wird sich vermutlich erst ein paar Monate nach dem in Kraft treten zeigen. Fakt ist jedoch, dass sich jedes Unternehmen bzw. jeder Unternehmer so präzise wie möglich vorbereitet sein sollte.

Tabea WenzelTabea Wenzel, Junior Online Marketing Managerin, Damcon GmbH,

https://www.damcon.net/damcon-updates-mai-2018-dsgvo/
 


Anzeige

Weitere Artikel

Datenschutz & GRC
AI Act: KI-Managementsystem nach ISO 42001 zu empfehlen
Datenschutz & GRC
Verantwortlichkeit für die Umsetzung des Datenschutzes
Datenschutz & GRC
DSGVO-konforme Datenlöschung – So geht’s!
Datenschutz & GRC
Tipps und Best Practices zum World Backup Day 2024
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.