28.04.2020 | 

Datenschutzverordnung, DSGVO, GDPR, E-Privacy, EuGH und Cookie-Banner – diese Begriffe sind spätestens seit dem Inkrafttreten der neuen, nun europaweiten Regelung zum Umgang mit personenbezogenen Daten (im Web) bzw. spezifischer Folgeentscheidungen unter Marketern sowie Website- und Onlineshop-Betreibern in aller Munde. Dennoch wissen viele Personen dieser Kreise faktisch nicht genau, wovon sie bei der Verwendung betreffender Termini im Detail sprechen. Immer wieder werden Ausdrücke falschen Kontexten zugeordnet. Das ist genau solange kein Problem, wie entsprechende Maßnahmen, die für einen rechtskonformen Betrieb einer Webpräsenz erforderlich sind, dabei korrekt umgesetzt werden.

Leider kommt es jedoch immer wieder vor, dass sich Verantwortliche – zumeist online - unter der Berücksichtigung von Stichworten informieren, die hinsichtlich einer juristisch sicheren Verfahrensweise nur bedingt zweckdienliche Fakten liefern und demzufolge nicht sämtliche Schritte einleiten, die diesbezüglich notwendig wären oder sich auf veraltete Daten verlassen. Damit Ihnen das nicht passiert, erläutern wir innerhalb dieses Ratgebers die wichtigsten Vokabeln zum aktuellen Stand der Datenschutzbestimmungen (im Internet) und zeigen zudem auf, wie Sie diese bzw. die Vorgänge dahinter korrekt für Ihre geschäftlichen Aktivitäten deuten.

Festzuhalten bleibt an dieser Stelle, dass es sich hierbei ausdrücklich um einen allgemeinen Ratgeber und nicht um eine individuelle Rechtsberatung zu DSGVO, E-Privacy, Cookie-Banner etc. handelt. Eine solche können und dürfen wir Ihnen in diesem Rahmen nicht zur Verfügung stellen.

Eine schnelle Gegenüberstellung:

Was bedeutet DSGVO, GDPR, E-Privacy, EuGH, Cookie-Banner und wie hängen diese Begriffe zusammen? 

Nicht selten werden DSGVO, E-Privacy sowie Cookie-Gesetz in ihrer Bedeutung vollkommen gleichgesetzt – und auch das Kürzel EuGH fällt regelmäßig in diesem Zusammenhang. Tatsächlich beziehen sich die Beschreibungen jedoch auf unterschiedliche Sachverhalte bzw. bauen praktisch aufeinander auf. Die europäische Datenschutzgrundverordnung - oft nur Datenschutzverordnung, abgekürzt DSGVO oder englisch GDPR (General Data Protection Regulation), genannt – trat am 25. Mai 2018 in Kraft. Der Beschluss zur E-Privacy ist als eine Erweiterung der hier vereinbarten Richtlinien zu sehen und beinhaltet (voraussichtlich) ein Cookie-Gesetz. Bislang steht die Verordnung zur E-Privacy nicht fest und ist damit noch nicht rechtsgültig. Zum besseren Verständnis hinzugefügt: Die beiden Verordnungen sollten ursprünglich zeitgleich in Kraft treten. Aufgrund heftiger Gegenwehr aus der Wirtschaft wurde das Inkrafttreten der E-Privacy ausgesetzt. Dies verschafft Unternehmen eine kleine Atempause um sich auf die Änderungen einzustellen. Der Europäische Gerichtshof, abgekürzt EuGH, hat jedoch bereits im Herbst 2019 ein Urteil gefällt, welches den Umgang mit Cookies sehr genau festlegt. Im Zentrum der Umsetzung dieser Rechtsprechung stehen detaillierte Informationen zu Cookies in der webpräsenz-internen Beschreibung des Datenschutzes und das sogenannte Cookie-Banner. Über letzteres werden Website- oder Onlineshop-Besucher dazu aufgefordert, ihre Cookie-Einwilligung abzugeben.

Die europäische Datenschutzverordnung (DSGVO, GDPR)

Das Inkrafttreten der DSGVO erschütterte sowohl das Online Marketing als auch das E-Commerce regelrecht. Nicht wenige Website-Betreiber waren in Anbetracht des mitunter enormen Strafmaßes bei Nichteinhaltung der neuen Bestimmungen derart verunsichert, dass sie ihre Aktivitäten im Netz auf ein Minimum reduzierten oder sich sogar ganz aus dem Web zurückzogen. Dabei sind die nun europaweit geltenden Regelungen kaum abweichend von den ohnehin in Deutschland angewendeten Datenschutzbestimmungen. De facto wurde hierzulande schon vor der DSGVO juristisch sehr viel strikter im Umgang mit personenbezogenen Daten verfahren als in anderen EU-Ländern.

Im Zentrum der DSGVO steht der Schutz personenbezogener Daten von Bürgern der EU vor missbräuchlicher Verwendung und Verarbeitung. Zudem soll durch die Regelungen eine Stärkung des Rechts auf informationelle Selbstbestimmung erfolgen.

Als personenbezogene Daten gelten alle Informationen, die eindeutig einer bestimmten natürlichen Person zuzuordnen sind. Inbegriffen sind aber nicht nur Online-Daten, sondern ebenfalls handschriftlich angegebene Personalien. Im Fokus des Interesses steht allerdings besonders oft die „ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten“, wie sie im Internet erfolgt. Faktisch werden online auch besonders viele Informationen abgefragt – und das geschieht häufig ohne Einwilligung, vollkommen unbemerkt. So zählen auch die durch Tracking erfassten Aufenthaltszeiten oder Seitenaufrufe innerhalb einer Website bzw. die Dauer der betrachteten Artikel im Onlineshop etc., die über die jeweilige IP-Adresse eindeutig einem User zugeordnet werden können, dazu.

Die DSGVO gilt für sämtliche Institutionen im geschäftlichen und öffentlichen Kontext, sprich Online-Marketing-Treibende aller Ausprägungen wie auch stationäre Geschäfte, Ämter und alle weiteren Einrichtungen, die in irgendeiner Form personenbezogene Daten erheben. Ausgenommen sind solche Organe, die Informationen zur Strafverfolgung und –vollstreckung einsehen.

In den vergangenen Jahren haben diverse technische Grauzonen sowie Profitinteressen weltweit zu erheblichen Eingriffen in den Datenschutz geführt. Das gilt ebenfalls für Deutschland. Die DSGVO und zukünftig die Verordnung zur E-Privacy sollen entsprechenden Vorgängen Einhalt gebieten.

Wie gehe ich hinsichtlich der der DSGVO „richtig“ vor bzw. worauf gilt es besonders zu achten?

Wie im letzten Abschnitt bereits herausgestellt wurde, soll durch die DSGVO insbesondere der Datenschutz innerhalb der Europäischen Union gewährleistet werden. Überdies garantiert die europaweite Datenschutzverordnung dem Benutzer von Websites und Onlineshops mehr Rechte – vor allem, was die Einsicht sowie die Verwaltung entsprechender Informationen betrifft. Unter diesen Gegebenheiten sollten Sie als Website-Betreiber bzw. Marketer folgende Vorgaben bei Ihren Online-Marketing-Aktivitäten berücksichtigen.

Transparenz und angemessene Erreichbarkeit

Die DSGVO der EU sieht insbesondere vor, dass diejenigen, die Informationen erheben, deutlich und verständlich kommunizieren müssen, auf welche Art und Weise dies erfolgt bzw. wie Daten gespeichert werden. DSGVO konform handeln demnach nur Website- und Onlineshop-Betreiber, welche entsprechende Punkte in ihre Datenschutzbestimmungen aufnehmen. Letztere müssen zudem möglichst einfach zugänglich sein. Das „Verstecken“ dieser Fakten innerhalb verschachtelter Menüstrukturen, Kleingedrucktes und ähnliche Gegebenheiten sind höchst problematisch.

Informationspflicht und Auskunftsrecht

Datenerhebende Personen bzw. Unternehmen sind dazu verpflichtet, bei Informationsabfrage nach dem Aufruf der Seite, den Verwendungszweck und eine diesbezügliche Kontaktperson mitzuteilen. Darüber hinaus ist die Zusatzinformation zu geben, ob die Erhebung vertraglich bzw. gesetzlich vorgeschrieben ist oder nicht. Eine eventuelle Datenweitergabe an Dritte sowie der Zeitrahmen der Datenspeicherung sind unbedingt offenzulegen.

Berichtigung und Löschung

Personen, deren Daten im Zuge eines Website- oder Onlineshop-Besuchs erhoben wurden, haben das Recht, entsprechende Informationen korrigieren oder gegebenenfalls löschen zu lassen. Die Entfernung gespeicherter Daten kann zu jeder Zeit mit einem Widerspruch gemäß spezifischen Rechtsgrundlagen eingeleitet werden. Hier ist vom Betreiber der Internetpräsenz zwar nur bei einem Zutreffen der rechtlichen Basis Folge zu leisten, in der Regel wird dem Wunsch auf Datenlöschung jedoch ohne große Prüfung nachgekommen. Immer sind Informationen zu entfernen, wenn sie nicht mehr benötigt werden oder unrechtmäßig erhoben bzw. verarbeitet wurden.

Grundsätzlich gilt es für ein DSGVO konformes Vorgehen darauf zu achten, möglichst wenig und faktisch nur die Daten abzufragen, die im Sinne der Geschäftstätigkeit wirklich benötigt werden. Beispielsweise gilt es bei der elektronischen Kommunikation über ein Kontaktformular unbedingt zu vermeiden zu viele, im jeweiligen Kontext unbedeutende Informationen zu verlangen. Außerdem sollten Sie einem solchen Formular stets eine Einwilligung zur Datenerhebung, zum Beispiel in Form einer Checkbox mit Verweis auf die Datenschutzverordnung und Ihre Datenschutzbestimmungen, anfügen.

E-Privacy

die 2021 oder 2022 in Kraft tretende Erweiterung der DSGVO

E-Privacy bedeutet die Verordnung über Privatsphäre und elektronische Kommunikation. Bisher sind diese Regelungen nicht in Kraft, es zeichnen sich jedoch bereits spezifische Schwerpunkte ab. 

Die DSGVO regelt den allgemeinen Umgang mit personenbezogenen Informationen, E-Privacy bezieht sich dagegen – wie die Langversion bereits klar aussagt - hauptsächlich auf elektronische Kommunikation in Form von Internetpräsenzen sowie Telekommunikation und die dort erhobenen Daten. Sie ergänzt die DSGVO und konkretisiert entsprechende Regelungen für die digitale Praxis. E-Privacy betrifft demnach tatsächlich in erster Linie Website- und Onlineshop-Betreiber. Ganz zentral - und infolgedessen häufig im selben Atemzug mit dieser DSGVO-Erweiterung genannt - organisiert die Verordnung zur E-Privacy die via Cookies veranlasste Verfolgung von Nutzeraktivitäten auf Webpräsenzen aller Art. Demzufolge spielen Cookie-Banner und deren korrekter Einsatz hier eine wichtige Rolle.

Ziel der Verordnung zur E-Privacy ist erneut der Schutz von EU-Bürgern vor Datenmissbrauch in sämtlichen Ausprägungen. Dies gilt hier allerdings speziell hinsichtlich der Bereitstellung und Nutzung elektronischer Kommunikation. Berücksichtigt werden sowohl die direkten Inhalte der Kommunikation als deren Meta-Daten.

Wie gehe ich in puncto E-Privacy „richtig“ vor bzw. worauf gilt es insbesondere zu achten?

Aktuell (Stand April 2020) befindet sich die Verordnung zur E-Privacy im europäischen Gesetzgebungsverfahren. Sie ist demnach noch nicht wirksam. Voraussichtlich wird sie frühestens 2021 Anwendung finden. Die Umsetzung bzw. Rechtskräftigkeit dürfte dann zeitnah erfolgen, sobald eine finale Fassung vorliegt. Eine lange Vorlaufzeit für das Inkrafttreten, wie sie bei der DSGVO gegeben war, dürfte hier nicht vorliegen.

Genaue Tipps zum Umgang können selbstverständlich erst vermittelt werden, wenn entsprechende Regelungen verabschiedet sind. In diesem Kontext gelten jedoch schon jetzt ebenfalls die oben genannten DSGVO-Vorgaben. Diese haben faktisch auch mit dem Inkrafttreten der Verordnung zur E-Privacy weiterhin Bestand. Ferner dürfte die Berücksichtigung der im Folgenden aufgeführten Punkte besonders relevant sein.

Tracking und Cookie-Banner

Die Verwendung von Tracking-Tools, wie Google Analytics, ist nicht DSGVO konform, sofern der Nutzer einer Webpräsenz, dessen Daten entsprechend erhoben werden, nicht ausdrücklich – über ein Cookie-Banner - darin einwilligt. Schon jetzt verwenden die meisten Unternehmen solche Cookie- Banner. Und - wie nachfolgend noch genauer beschrieben wird - gibt es dank eines Präzedenzurteils des Europäischen Gerichtshofs diesbezüglich bereits sehr klare Vorgaben. Diese werden bisher jedoch von vergleichsweise wenigen Website- und Onlineshop-Betreibern vollumfänglich angenommen.

Kopplungsverbot

Das Kopplungsverbot ist bereits Teil der Datenschutzverordnung, dürfte aber hinsichtlich der E-Privacy voraussichtlich eine besondere Relevanz erhalten. Demnach soll es unzulässig sein, den Zugang zu bestimmten Inhalten von einer Einwilligung zur Datenerhebung abhängig zu machen. Die letztendliche Auslegung des Kopplungsverbots wird unter anderem in Bezug auf die Generierung von Leads mithilfe von Gated Content höchst interessant sein.

Direktwerbung

Voraussichtlich wird die E-Privacy Direktwerbung, welche sich an Privatpersonen richtet, zukünftig als „unerbetene Kommunikation“ und damit als nicht DSGVO konform werten. Dies trifft auch dann zu, wenn der Nutzer zuvor ein Produkt oder eine Dienstleistung beim werbenden Unternehmen gekauft. Es sollte schon jetzt immer möglich sein, derartiger Werbung einfach und eindeutig zu widersprechen.

Privatsphäre-Einstellungen

Vermutlich müssen Bereitsteller von E-Commerce-Lösungen, Apps und anderer web- bzw. datenzentrierter Software mit dem Inkrafttreten der E-Privacy ihre Privatsphäre-Einstellungen überarbeiten und den Usern bezüglich der Datenerhebung eine maximale Mitbestimmung einräumen. Generell sind Zugriffe von außen technisch auszuschließen. Wie sich die Realisierung dieser Vorgaben sowie die der anderen hier genannten Punkte in der Praxis zeigen wird, ist derzeit noch nicht absehbar.

Das Urteil des Europäischen Gerichtshofs (EuGH) vom 01. Oktober 2019

Am 01. Oktober 2019 wurde am EuGH ein konsequenzenreiches Urteil gefällt. Dieses erging infolge einer Klage der Verbraucherzentrale Bundesverband (vzbv) gegen ein Unternehmen, welches im Kontext von Gewinnspielen Nutzerinformationen für Werbezwecke Dritter gesammelt hat. Der Beschluss dieses Präzedenzfalls sorgt dafür, dass der Umgang mit Cookies bzw. Cookie- Bannern, Cookie Popups und allgemein Cookie-Einwilligungen bereits jetzt, vor dem eigentlichen Inkrafttreten der E-Privacy, sehr genau geregelt ist. So muss fortan eine für den konkreten Fall eindeutige, aktive Einwilligung zur Datenerhebung über Cookies (innerhalb eines Cookie- Banners) erteilt werden.

Wie gehe ich bezüglich des Cookie- Banners „richtig“ vor bzw. worauf gilt es besonders zu achten?

Die zentrale Frage vieler Website- und Onlineshop-Betreiber hinsichtlich des Urteils des EuGH bzw. des daraus resultierenden Cookie-Gesetzes lautet: Wie kann ich ein rechtskonformes Cookie- Banner bzw. ein Cookie Pop-up Fenster zur Einwilligung der Datenerhebung schalten?

Die Beantwortung ist relativ einfach: Sie müssen dafür Sorge tragen, dass Ihre Nutzer innerhalb des Cookie- Banners möglichst genau einsehen können, welche Cookies gesetzt werden und in welcher Art von Verwendung diese stehen. Die Erhebung entsprechender Daten darf nur dann stattfinden, wenn Nutzer eine aktive Einwilligung dazu geben. Das kann zum Beispiel über die Anwahl einer Checkbox zu jedem Cookie -Typ geschehen. Ferner sollten Sie im Cookie- Banner auf die Datenschutzerklärung verweisen. Durch voreingestellte Checkboxen und einen dann vom Nutzer erfolgenden schnellen Klick auf den „Ok“-Button oder ähnliche Taktiken vollzieht sich de facto keine wirksame Einwilligung.

Damit sind die bis dato oft verwendeten Cookie- Banner mit einer Mitteilung, wie „Wir verwenden Cookies – indem Sie unsere Webseite nutzen, erklären Sie sich damit einverstanden” nicht mehr ausreichend.

Ausgenommen von dieser Regelung ist der Einsatz zwangsläufig erforderlicher Cookies. Leider gibt es jedoch (bislang) keine verbindliche Liste derartiger Cookies. Deshalb ist es ratsam, in jedem Fall einausführliches Cookie- Banner zu schalten.

Benötigen Sie Unterstützung bei der Planung Ihrer neuen B2B-Website?

Erfahren Sie in unserem Leitfaden "Das optimale Briefing für den B2B-Website Relaunch" wie Sie die Planung und Umsetzung Ihrer neuen B2B-Website erfolgreich gestalten können und worauf dabei zu achten ist.

Die von Ihnen erstellte Ausarbeitung wird nicht nur Ihnen und Ihrem Team neue Gedankenansätze bringen, sondern kann Ihnen unternehmensintern als "Lastenheft" dienen oder beispielsweise eine Vorlage für die Angebotsanfrage bei diversen Agenturen darstellen.

Leitfaden jetzt kostenlos anfordern