Seit dem 25. Mai 2018 sind die Regelungen der Datenschutz-Grundverordnung (DSGVO) EU-weit verbindlich. Zeitgleich sollte ursprünglich die ePrivacy-Verordnung zur Anwendung kommen, allerdings verzögert sich das Gesetzgebungsverfahren bis heute. Dennoch muss sich das Online-Marketing darauf einstellen, dass die ePVO der DSGVO in naher Zukunft ergänzend zur Seite stehen wird. Sie wird hauptsächlich die Nutzung von Tracking-Software und Cookies regulieren.
Wann dürfen personenbezogene Daten verarbeitet werden?
Grundsätzlich ist sicherzustellen, dass die Verarbeitung personenbezogener Daten nur dem Zweck dient, der für die Erhebung festgelegt wurde. In der Regel muss eine Person, deren Daten erhoben werden, dem zustimmen. Sie müssen den Daten-Owner daher über Zweck und Umfang der Erhebung informieren und ihn darauf hinweisen, dass er der Verarbeitung seiner Daten jederzeit widersprechen kann.
Die Verarbeitung personenbezogener Daten kann aber auch ohne die Zustimmung eines Daten-Owners erfolgen, wenn ein Unternehmen das durch ein berechtigtes Interesse begründen kann. Das gilt nur, wenn die Interessen oder Grundrechte des Daten-Owners nicht überwiegen. Werden dessen Interessen also bloß berührt, steht das der Datenverarbeitung in der Regel nicht im Weg.
Werden Personendaten anonymisiert oder pseudonymisiert, ist die Wahrscheinlichkeit der Zulässigkeit der Datenerhebung über verschiedene Tools höher. Anders als bei der Pseudonymisierung ist es bei der Anonymisierung nicht mehr möglich, die Daten einer bestimmten Person durch Verwendung eines Schlüssels zuzuordnen.
Double-Opt-In, DSGVO, Nachweispflicht und hohe Strafen – viele Buzzwords rund um die DSGVO sind bereits bekannt – was Datenschutz im Online-Marketing wirklich bedeutet, dies erläutert DeSight Studio in diesem Beitrag.
Double-Opt-In als Standard
Um sich rechtlich abzusichern, sollte der Betroffene eindeutig in die Erhebung und Verarbeitung seiner Daten einwilligen. Das ist z. B. bei einer Newsletter-Anmeldung durch die erneute Bestätigung per E-Mail nur beim Double-Opt-In der Fall. Single-Opt-In ist hingegen viel anfälliger für Fehler und Missbrauch, denn hierbei kann von Dritten auch ein Empfänger angegeben werden, der gar kein Interesse an den Inhalten hat.
Die Einwilligung des Daten-Owners kann nur rechtmäßig erfolgen, wenn er durch eine DSGVO-konforme Datenschutzerklärung darüber aufgeklärt wird, zu welchem Zweck seine personenbezogenen Daten erhoben werden. Auch müssen Sie ihn auf diesem Weg darüber informieren, wem die Daten zur Verfügung gestellt werden.
Die DSGVO stärkt auch das Recht des Betroffenen, der Datenverarbeitung zu widersprechen. Ihm sollte die Möglichkeit gegeben werden, möglichst einfach von seinem Widerspruchsrecht Gebrauch machen zu können. One-Click-Lösungen sind daher zu bevorzugen.
Einbindung von Cookie-Hinweisen
Die ePVO soll künftig eine einheitliche Grundlage für die Einwilligung in die Nutzung von Cookies bieten. Grundlage von Diskussionen war bereits in der Vergangenheit, ob ein Opt-In-Verfahren notwendig ist oder ob ein Opt-Out-Verfahren ausreicht. Letzteres ist häufig das Mittel der Wahl, da der Benutzer in diesem Fall nicht sofort beim Aufruf einer Website in die Nutzung von Cookies einwilligen muss. Vielmehr kann er dieser beim Opt-Out-Verfahren nachträglich widersprechen.
Grundsätzlich muss der Benutzer aber durch einen eindeutigen Hinweis auf die Nutzung von Cookies hingewiesen werden. Fraglich ist aber, ob der Betreiber der Website zukünftig eine eindeutige Erlaubnis des Nutzers einholen muss, oder ob diese implizit erfolgen kann. Abschließend geklärt wird dieser Punkt erst mit Abschluss des Gesetzgebungsverfahrens um die ePVO.
Weitere Informationen zu diesem Thema können Sie dem kostenlosen eBook „Datenschutz im Online-Marketing“ auf datenschutz.org entnehmen.