VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

DSGVO Weltkarte 1054097612 700

Heute tritt die europäische Datenschutzgrundverordnung (DSGVO) in Kraft und sorgt, wie kaum ein anderes Thema für Unsicherheit. Nicht zuletzt bei Unternehmen, die für ein erfolgreiches Online-Marketing und zur Wahrung gewohnter Annehmlichkeiten für Nutzer, wie bedarfsgerechte Informationen, auf die Analyse der Daten Ihrer Kunden angewiesen sind.

Liebgewonnene Arbeitsweisen und Prozesse müssen diesbezüglich auf den Prüfstand gestellt werden, zur Stärkung der Grundrechte und Freiheiten der EU-Bürger.

Viele Unternehmen überprüfen bereits seit Monaten ihre eingesetzten Tools und Dienstleister, um sich vorzubereiten. Welche Anpassungen müssen an den AGBs vorgenommen werden? Muss die Konfiguration bislang genutzter Marketing-Tags verändert werden? Auf welche Art und Weise erlaubt die DSGVO weiterhin den Datenaustausch zwischen Dienstleister A und B?

Der Trend zu mehr Datenschutz ist unaufhaltbar

Obwohl man zum Teil versucht am bisherigen Status quo festzuhalten und z. B. Rechtstexte so zu interpretieren, dass sie den gewohnten Zustand legitimieren, bleibt ein Sachverhalt als entschieden – das Datensammeln und -nutzen unterliegt ab sofort deutlich aufwändigeren Vorgaben. Entsprechend regelt die DSGVO also lediglich, was längst Realität ist. Social Media-Profile werden auf „privat“ gestellt und auch bei der Auswahl der genutzten Apps und Tools ist man vorsichtiger. Kommunikationstools mit eingebauter Verschlüsselung boomen.

Datenskandale sind in den Massenmedien angekommen. Versucht ein Unternehmen sich gegen den Trend zu mehr Datenschutz zu stellen, führt dies zu einer zunehmend negativen Wahrnehmung. Ein Überdenken der eigenen Datenstrategie ist nicht erst mit dem heutigen Stichtag unausweichlich. Zwei Fragen bieten dafür guten Anknüpfungspunkte: Welche Daten benötige ich wirklich, um mein Unternehmen erfolgreich und effizient zu führen? Welchen Dienstleistern vertraue ich meine Daten an?

Wird ein Opt-in zur Datenerfassung Pflicht?

Ziel der DSGVO ist es nicht zuletzt der Lust am Datensammeln einen Riegel vorzuschieben. Das zielt natürlich insbesondere auf Konzerne wie Google und Facebook ab, deren Geschäftsmodell auf einer möglichst umfassenden Profilbildung (soziodemografische Merkmale, private Interessen, politische Ansichten etc.) basiert, um Werbetreibenden feingranulare Targeting-Möglichkeiten anzubieten.

Google Analytics z. B. bietet die Möglichkeit, auf Websites Daten zu sammeln. Ob diese Web-Analytics-Tools ab sofort weiterhin bedenkenlos eingesetzt werden können? Der Gesetzestext hat eine klare Antwort. Im Artikel 6 zur „Rechtmäßigkeit der Verarbeitung“ heißt es:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

(…)

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich (…)“

Für die Datenerfassung und -verarbeitung, benötige ich also fortan die grundsätzliche Einwilligung meiner Website-Besucher (Opt-In), es sei denn, es besteht ein berechtigtes Interesse daran, diese Daten zu erfassen – dann ist kein Opt-In erforderlich. Was aber meint berechtigtes Interesse? Hier ist die DSGVO ebenfalls verhältnismäßig eindeutig:

„Die Weiterverarbeitung (...) für statistische Zwecke sollte als vereinbarer und rechtmäßiger Verarbeitungsvorgang gelten.“ (Erwägungsgrund 50)

Kein vorheriges Einverständnis zur Datenverarbeitung benötige ich also, solange ich als Unternehmen das Interesse verfolge, Statistiken zur Nutzung meiner Website zu erheben. Einschränkungen sorgen dafür, dass jedoch nicht jedes Web-Analytics-Tool automatisch legitimiert wird. Im Artikel 22 der DSGVO wird explizit die übergreifende Profilbildung mit einer Pflicht zum Opt-in versehen.

Wie angedeutet, kann das Auswirkungen auf die Nutzung von Google Analytics haben. Denn dieses Web-Analyse-Tool macht genau das – es nutzt erhobene Daten zur Profilbildung, wenn gleichzeitig die Google-Werbedienste verwendet werden. Hierzu die Datenschutzbestimmungen von Google:

„Bei Verwendung von Google Analytics zusammen mit unseren Werbediensten, z. B. solchen, die das DoubleClick-Cookie nutzen, werden Google Analytics-Daten vom Google Analytics-Kunden oder von Google mithilfe von Google-Technologie mit Daten über Besuche auf mehreren Websites verknüpft.“

Natürlich weiß Google um die Problematik und erklärte zuletzt in einem Newsletter an seine Kunden und Partner, dass in einigen Fällen Opt-ins notwendig sein werden, um Google-Dienste zu verwenden. Die vielfache Annahme, dass sich der Konzern selbst um die Einholung einer Einwilligung der Nutzer kümmert hat sich jedoch als falsch herausgestellt. Google wird diese Verpflichtung an die Website-Betreiber weiterreichen, wie die EU User Consent Policy, einer Vertragserweiterung der Google-Kunden, deutlich macht:

„If your agreement with Google incorporates this policy, (...) you must ensure that certain disclosures are given to, and consents obtained from, end users in the European Economic Area. If you fail to comply with this policy, we may limit or suspend your use of the Google product (...).“

Da Experten davon ausgehen, dass die meisten Website-Besucher kein Einverständnis erteilen werden, wird die für das Online-Marketing so wichtige Web-Analyse unbrauchbar. Zahlreiche Kundeninformationen sind damit für Website-Betreiber künftig verloren. Hinzu kommt, auch bei erteiltem Opt-In wird der erste Seitenaufruf nicht erfasst. Ein Problem, denn dieser enthält die für die Marketing-Optimierung so zentrale Kampagneninformationen, über welchen Kanal Besucher zur Website fanden. Die Konsequenz – Opt-ins entwerten Web-Analyse im großen Maße.

First-Party-Tracking als Alternative

Zurück zur Ausgangs-Frage nach einer zeitgemäßen Datenstrategie. Geht es darum, welche Daten erhoben und welchem Dienstleister sie anvertraut werden sollen, haben insbesondere First-Party-Tracking-Lösungen entscheidende Argumente. Sie zeichnen sich durch technische Maßnahmen aus, die eine Internet-weite Profilbildung von vornherein verhindern. So werden die zum Tracking benötigten Cookies in der Domain der Website gesetzt, statt wie bei Google in der Domain des Dienstleisters. Enterprise-Tools bieten zudem die Möglichkeit an, eigene (Sub-)Domains als Tracking-Domain zu verwenden – das Resultat: mehr Vertrauen bei den Besuchern sowie deutlich bessere Datenqualität. Statt bis zu 20 % Daten durch Tracking-Blocker zu verlieren, liegt die Abweichung im niedrigen einstelligen Prozentbereich.

Fazit

Die Web-Analyse ist mit dem Stichtag heute nicht in Gefahr. Sie passt sich lediglich an neue gesetzliche Rahmenbedingungen an und kommt somit dem Wunsch der Menschen nach, nicht von ihren eigenen Daten verfolgt zu werden. Unternehmen sind gut beraten, ihre aktuelle Datenstrategie auf den Prüfstand zu stellen und neu zu bewerten, welche Informationen tatsächlich erhoben werden müssen. Insbesondere der Auswahl des Web-Analytics-Tools kommt eine große Bedeutung zu, da First-Party-Tracking-Lösungen in Zeiten der Datenschutzgrundverordnung entscheidende Vorteile bieten. Die DSGVO ist keine Strafe, sie ist für Unternehmen eine Chance, das Vertrauensverhältnis mit den Kunden zu stärken.

Michael DiestelbergMichael Diestelberg, Vice President Product & Marketing, Webtrekk

www.webtrekk.com/de

 

GRID LIST
Fitness App

Weitere Fitness-App mangelhaft: Unverschlüsselte Übertragung von Standortdaten

Als Reaktion auf die Anfang des Jahres stark in die Kritik geratenen Fitness-Apps hat das…
Server

Was ist Server Name Indication (SNI)?

Mit der Server Name Indication (SNI) kann ein Server mehrere TLS-Zertifikate für…
Matthias Stauch

DSGVO: personenbezogene Daten nur verschlüsselt übermitteln

Die DSGVO fordert Unternehmen dazu auf personenbezogene Daten zu schützen. Welche…
Datenschutz Superheld

Was macht einen guten Datenschutzbeauftragen aus?

Ist die IT-Infrastruktur technisch sicher und rechtssicher aufgebaut, haben Unternehmer…
Happy man with EU-Flag

DSGVO als Chance begreifen und Performance steigern

Etwas über einen Monat ist die DSGVO nun in Kraft und soll dafür sorgen, besonderes…
DSGVO

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Die Datenschutz-Grundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem…
Smarte News aus der IT-Welt