Seite wählen

Wird sich jetzt alles ändern oder sind sämtliche Berichte doch bloß Übertreibungen? Und wer ist von der DSGVO eigentlich betroffen? Hier kommen die Antworten!

Was? Du bist nur auf der Durchreise und suchst eigentlich den Gesetzestext? Bittesehr:
Zur deutschen Version der Datenschutzgrundverordnung
Zur englischen Version der Datenschutzgrundverordnung

Auch wenn es jedem klar sein sollte, bei diesem Artikel handelt es sich nicht um eine juristische Beratung, sondern lediglich um meine persönliche Meinung. Wer eine ausführliche Rechtsberatung sucht, sollte seinen Datenschutzbeauftragten kontaktieren.

1     DSGVO allgemein – Was sie ist und was sie will

Die DSGVO ist am 25. Mai 2018 EU-weit in Kraft getreten. Dennoch bestehen für viele an einigen Stellen jede Menge Unklarheiten. Keine Sorge also, ihr seid nicht die einzigen mit einem riesigen Fragezeichen über dem Kopf.

Schwierig an der DSGVO ist, dass sie ursprünglich gemeinsam mit einer weiteren Verordnung in Kraft treten sollte. Das führt dazu, dass noch immer viele Aspekte der beiden unterschiedlichen Gesetze durcheinander gebracht werden. Die zweite Verordnung hört auf den Namen ePrivacy und beschäftigt sich sehr speziell mit Onlinekommunikation und -werbung. Die DSGVO legt hingegen auf allgemeiner und abstrakter Ebene fest, wie online sowie offline generell mit personenbezogenen Daten umgegangen werden sollte und wie Verbraucher zu schützen sind. Während die DSGVO nur an wenigen Stellen wirklich konkret wird, liefert die ePrivacy-Verordnung genaue und teilweise haarstreubende Vorschriften. Dabei schießt sie manchmal weit über das Ziel hinaus und bietet in sich jede Menge Widersprüche. Sie ist quasi die bescheuerte Schwester der DSGVO. Das Gute: Während uns die Datenschutzgrundverordnung bereits auf unseren Wegen begleitet, steht die ePrivacy-Verordnung noch ein wenig in den Sternen.

2     Personenbezogene Daten und wo sie zu finden sind

Wo sind meine personenbezogenen Daten?

Personenbezogene Daten verstecken sich an den unterschiedlichsten Stellen.

Die DSGVO steckt zuerst ab, was personenbezogene Daten sind. Danach beschreibt sie, wie diese Daten zu verarbeiten sind. Personenbezogen sind grob alle Daten, die eine Person direkt oder indirekt, alleine genommen oder in Verbindung mit anderen Daten, identifizieren können oder die einer identifizierbaren Person zugeordnet werden könnten, um weiteren Aufschluss über bestimmte Persönlichkeitsmerkmale zu geben. Und ja, auch Cookies und IP-Adressen werden teilweise als personenbezogene Daten betrachtet.

2.1     Cookies und die DGSVO

„Ich habe gehört, dass jetzt jeder Website-Cookie ein personenbezogenes Datum ist und dafür immer die Nutzererlaubnis eingeholt werden muss, stimmt das so?“ – Nein! Es gibt keinen Absatz in der DSGVO, der das in dieser Art pauschal festlegt. Auch wenn andere Artikel das behaupten, es ist falsch. Das Wort Cookie kommt in der gesamten deutsch- sowie englischsprachigen Version des Gesetzestextes genau ein einziges Mal vor – und das nicht im Haupttext, sondern bei den einleitenden Erwägungsgründen und dort als Teil einer Aufzählung im Zusammenhang mit einer doppelten „Kann-Formulierung“:

Natürlichen Personen werden unter Umständen Online-Kennungen wie […] Cookie-Kennungen […] zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

– Erwägungsgrund 30, DSGVO

Es wird in der DSGVO nicht genau beschrieben, welcher Cookie ein personenbezogenes Datum ist und welcher nicht. Trotzdem ist es richtig, dass Cookies sehr schnell stärkeren Personenbezug erhalten können. Nämlich immer dann, wenn sie einer identifizierten oder „theoretisch“ identifizierbaren Person zugeordnet werden oder zu der weiteren Identifzierung beitragen können. Leider ist fast alles und jeder theoretisch identifizierbar. Deshalb gibt es hier Einschränkungen, die ganz wilden Gedankenkonstrukten einen Riegel vorschieben. Wann und wie Daten zur Identifikation herangezogen werden können, soll vor dem Hintergrund von Kosten, Arbeits-/Zeitaufwand und gegenwärtigen technologischen Möglichkeiten erörtert werden (– Erwägungsgrund 26). Auch das ist wenig konkret, aber genau um dieses Abwägen und darum, dafür eine Art Grundlage zu bieten, geht es der DSGVO.

Gehen wir vor unserem geistigen Auge mal einige Szenarien durch und schauen auf einen Cookie, wie beispielsweise lc-acbde mit dem Wert de_DE. Dieser dient einer Internetseite dazu, meine einmal gewählte Spracheinstellung festzuhalten. Ein solcher Cookie ist ganz praktisch und bewirkt, dass ich bei der Nutzung der Seite nicht andauernd wechselnde Sprachen angezeigt bekomme. Er enthält keine weiteren Infos oder IDs und wäre damit wahrscheinlich erstmal kein stärkeres personenbezogenes Datum. Beispiele für andere technisch notwendigen Cookies ohne stärkeren Personenbezug wären solche, die sich merken, was ich in meinen Warenkorb gelegt habe, damit der nicht immer wieder alles vergisst.

Ein ganz anderer Cookie ist hingegen _ga mit einem Wert, wie GA1.2.141266757.1508176894. Dieser Google-Analytics-Cookie ordnet dem Nutzer eine pseudonymisierte ID zu. Obwohl hier keine echte Kundennummer oder Geräte-ID auftaucht und dieser Cookie für sich genommen wenig über mich aussagt, kann er unter Zuhilfenahme weiterer Daten genutzt werden, um mich zu identifizieren. Bei einem solchen Cookie handelt es sich also um ein stärkeres personenbezogenes Datum. Da sich der Bezug zur Person trotzdem nicht sofort unmittelbar herstellen lässt (wie bei etwa einem Klarnamen), würde man hier eher von einem pseudonymisierten Nutzerdatum sprechen.

DSGVO Recht

Der Personenbezug von Cookies muss besonders abgewogen werden.

Um das Kapitel kurz und knapp abzuschließen: Cookies sind nicht immer und um jeden Preis starke personenbezogene Daten. Sie können aber extrem schnell zu solchen werden. Komplett nichtssagende Cookies ohne weitere Informationen über Person oder Nutzungsverhalten sowie ausreichend pseudonymisierte Kennungen werden sicherlich wenig Schwierigkeiten bereiten. Cookies, die Personen oder Profilen klar zugeordnet werden können, eventuell aber schon. Hier ist es wichtig, dass ihr euch Gedanken macht und überlegt, wie ihr als Webseitenbetreiber mit diesen Herausforderungen umgehen wollt. Eine eindeutige Handlungsempfehlung und Best-Practise sieht die DSGVO nicht vor. Was, wann als konkretes personenbezogenes Datum zu behandeln ist, wie genau damit umzugehen ist und wie die Grenzbereiche abgesteckt werden, das werden erst Gerichtsprozesse und deren Urteile und damit Richter und Anwälte festlegen. – Also absolute Web- und Technikexperten.

2.2     IP-Adressen und die DSGVO

Mit IP-Adressen verhält es sich in der DSGVO ein wenig ähnlich wie mit den Cookies. Auch das Wort IP-Adresse kommt nur ein einziges Mal im gesamten Text vor. Und das als Teil der Aufzählung, in der auch Cookies erwähnt sind. Allerdings sind IP-Adressen per se stärker personenbezogen als Cookies. Über eine IP, wie 79.198.224.4, lässt sich nämlich ziemlich einfach rekonstruieren, wer ich bin, wo ich bin und welchen Internetprovider ich nutze.

Man muss also nicht wie bei Cookies herumüberlegen, wann in welchem Fall die IP-Adresse stärker personenbezogen ist. – Sie ist es in jedem Fall. Die verschiedenen Oktette (die durch Punkte voneinander abgetrennten Zahlen) geben immer Auskunft über den Serverstandort, den Einwahlknoten und das letzte Oktett über den konkreten Nutzer. Die ersten Oktette werden Netzanteil und das letzte – den Nutzer identifizierende Oktett – Hostanteil genannt. Wie bereits zuvor in Deutschland, ist es auch unter der DSGVO nicht erlaubt, dieses letzte Oktett zu tracken. Deshalb überschreiben Web-Analytics-Tools derzeit den Hostanteil mit einer 0 bevor die Daten irgendwo gespeichert werden. Zumindest tun sie das, wenn ihr sie korrekt aufgesetzt habt. 😉

→ Stolperfalle Server-Log-Files: Nicht nur eure Tracking-Tools protokollieren munter IP-Adressen (anonymisiert oder nicht-anonymisiert), sondern auch der Server, auf dem eure Webseite läuft. Das ganze ist technisch bedingt. Der Server ist dazu da, Anfragen zu beantworten und immer wenn jemand kommt und ein bestimmtes Dokument oder Bild anfragt, dann liefert er es gerne aus, notiert sich aber gleichzeitig eifrig, wann diese Anfrage eingegangen ist, wer sie getätigt hat, was angefragt wurde und meistens auch, wie lange die Bearbeitung gedauert hat. Das „wer“ beantwortet der Server sich, indem er die IP-Adresse abspeichert. Das ist nach DSGVO-Gesichtspunkten ungut. Zum einen betreibt ihr euren Server meist nicht selber und müsst deshalb einen Auftragsdatenverarbeitungsvertrag mit eurem Dienstleister abschließen und zum anderen müsst ihr auch bei eurem Dienstleister die IP-Adressen anonymisieren lassen, wie es auch die Tracking-Tools machen. Das ist beides nicht schlimm, muss aber gemacht werden. Die Anonymisierung kann meistens direkt im Backend aktiviert werden und der Vertrag wird euch häufig sogar direkt von eurem Dienstleister zur Verfügung gestellt.

2.3     Andere personenbezogene Daten

IP-Adressen oder Cookies sind sehr technische personenbezogene Daten. Es gibt aber auch Kreditkartendaten, Klarnamen oder Adressen. – Alle diese Daten, bei denen man nicht wirklich überlegen muss, ob Personen darüber identifizierbar sind und auch alle Daten, die ein wenig brisanter sind, wie sexuelle Orientierung oder Krankheitsverläufe, sollten niemals in der Webanalyse auftauchen. Allerdings erheben auch die Wenigsten diese Daten absichtlich. Manchmal sind sie jedoch ein zufälliges Nebenprodukt, weil etwas nicht korrekt aufgesetzt wurde oder weil ein Session Replay Tool etwas übereifrig war. Auch in URL-Parametern schleichen sie sich manchmal ein. Geht zur Kontrolle einfach mal in eure Rohdatenansicht und sucht nach einem @-Zeichen oder nach typischen Nachnamen. Falls ihr anschließend Ergebnisse ausgeworfen bekommt, habt ihr allen Grund zur Panik. Dann müsst ihr dringend nachbessern.

Die DSGVO betrifft auch Offline-Daten

Auch die Offline-Welt ist von der DSGVO stark betroffen.

Bis jetzt haben wir allgemein nur an sehr internetmäßige personenbezogene Daten gedacht. Da die DSGVO aber sehr breit angelegt ist und das Internet nur ein kleiner Teilbereich, den sie streift, gibt es noch viele weitere Daten mit Personenbezug, die andernorts anfallen und die ebenfalls darauf geprüft werden müssen, ob ihre Verarbeitung rechtmäßig stattfindet. Legen wir unsere „Online Marketing“- und „Web Analytics“-Scheuklappen kurz ab, finden wir personenbezogene Daten auch überall dort, wo Kunden etwas bestellen oder wo Rechnungsstellungs- und Versandprozesse ablaufen – egal ob online oder offline. Alle Arten von Mitgliedschaften, Abonnements, Versicherungen, Accounts oder Log-Ins und per se alles, wo wir sonst noch unseren guten Namen abgeben. Das sind ebenfalls Bewerberdatenbanken in HR-Abteilungen oder Vertriebslisten mit Geschäfts- und Partnerkontakten.

3     Das DSGVO-Prinzip: Alles ist verboten

Nachdem die DSGVO nahezu alles zu personenbezogenen Daten erklärt hat, beschreibt sie weiter, wie mit diesen umzugehen ist. Dabei gibt es ein ziemlich einfaches zugrundeliegendes Prinzip: Alles ist verboten. Jede Verarbeitung von personenbezogenen Daten ist erstmal nicht erlaubt, wenn sie nicht aus einem der Gründe erfolgt, die in Artikel 6 aufgeführt sind. Das Gute: Artikel 6 gibt uns gute und sehr breit gefasste Gründe an die Hand.

Die Verarbeitung ist natürlich erlaubt, wenn derjenige dessen Daten ich verarbeite, der Verarbeitung klar zugestimmt hat (– Kap. II, Art. 6, §1 (a)). Sie ist aber auch erlaubt, wenn gesetzliche Verpflichtungen die Verarbeitung notwendig machen (– Kap. II, Art. 6, §1 (c)). Also die Pflicht zur Aufbewahrung von Rechnungsunterlagen beispielsweise. Außerdem ist die Verarbeitung gesetzeskonform, wenn sie zwingend erforderlich ist, um einen Prozess abzuwickeln (– Kap. II, Art. 6, §1 (b)). Ohne Adresse und Rechnungsanschrift kann ich zum Beispiel als Versandhandel meinen Kunden keine Waren zukommen lassen. Und als Personalbteilung muss ich natürlich ebenfalls personenbezogene Daten von Bewerbern oder Angestellten verarbeiten.

…Jetzt fragt ihr euch eventuell als Web Analyst oder Online Marketer: „Wo ist mein spezifischer Grund, aus dem ich Daten verarbeiten darf?“ Für uns gibt es einen langweiligen aber praktischen Auffanggrund, nämlich:

[…] die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, […]

– Kap. II, Art. 6, §1 (f)

Immer wenn wir also ein berechtigtes Interesse haben – und dazu zählen auch wirtschaftliche Interessen und sogar Direktwerbemaßnahmen  (– Erwägungsgrund 47)  – dann ist die Verarbeitung erlaubt. Allerdings müssen wir immer zwischen dem Verarbeitungsgrund und dem Schutzinteresse desjenigen abwägen, dessen Daten wir verarbeiten. Dabei zahlen Pseudonymisierungen, eingeräumte Widerspruchsmöglichkeiten und größtmögliche Transparenz der Erhebungs- und Verarbeitungsschritte auf unser Konto ein, während die Erhebung von Daten von Kindern eher gegenläufig ist.

4     Zu treffende Maßnahmen

Neben den sehr allgemeinen Vorgaben, die die Datenschutzgrundverordnung macht, gibt es auch konkrete Dinge, die ihr zukünftig beachten müsst. Außer ihr zählt weniger als 250 dauerhaft Beschäftigte. Dann gelten einige Regelungen für euch etwas aufgeweichter.

Die wahrscheinlich folgenschwersten Punkte vorab:

  • Ihr müsst Daten euer Nutzer löschen können. Wenn jemand vor eurer Tür steht und sagt: „Moin! Ich bins, GA-Nutzer-ID XYZ. Bitte lösche alle Daten von mir.“ – Dann müsst ihr das irgendwie umsetzen. Aber keine Panik! Viele Toolanbieter haben inzwischen solche Möglichkeiten nachgeliefert.
  • Ihr müsst Daten mit stärkerem Personenbezug (zB. IP-Adressen) ausreichend pseudonymisieren. Das gilt für Tracking-Tools, aber auch für Server-Log-Files und andere Stellen.
  • Ihr braucht ein Verzeichnis, in dem alle Stellen und gegebenenfalls involvierte Parteien aufgeführt sind, die personenbezogene Daten bei euch oder für euch verarbeiten. Dort muss auch der Grund, der die Verarbeitung rechtfertigt, ausgewiesen werden sowie die Art des verarbeiteten Datums.
  • Ihr solltet euch Gedanken über Data-Retention-Settings machen und Daten nach einer gewissen Zeit automatisiert löschen oder zumindest stärker anonymisieren. Auch diese Möglichkeit haben viele Tools inzwischen nachgeliefert.

Löschhinweis von Google Analytics

Hinweis zur Löschung von Nutzerdaten in Google Analytics.

Das ist aber noch nicht alles. Auch diese Punkte solltet ihr im Hinterkopf behalten:

  • Es müssen Risikofolgeabschätzungen durchgeführt werden. Wie wahrscheinlich ist eine Datenpanne und was unternehmt ihr, um das Risiko zu minimieren?
  • Ihr braucht Auftragsdatenverarbeitungsverträge und ebenfalls Auftragsdatenverarbeitungsverzeichnisse, die aufführen an welchen Dienstleister welche Daten weitergegeben werden und aus welchem Grund diese Weitergabe erfolgt. – Zum Beispiel, falls ihr ein Onlineshop seid und Versandadressen an Speditionen weitergebt, damit die eure Waren zustellen können.
  • Nachdem der Verarbeitungsgrund wegfällt, müssen die personenbezogenen Daten automatisch gelöscht werden.
  • Strafen bei Verstößen werden deutlich erhöht.
  • Das Erteilen einer Einwilligung in die Verarbeitung der eigenen Daten ist erst ab 13 Jahren möglich.
  • Datenpannen müssen unverzüglich mitgeteilt werden.
  • Einwilligungen in die Verarbeitung müssen dokumentiert werden.
  • Unternehmen benötigen einen Datenschutzbeauftragten.

5     Wer ist betroffen?

Alle Unternehmen in der EU und alle Nicht-EU-Unternehmen, die in der EU Geschäfte machen, sind betroffen. In diesen Unternehmen werden alle Abteilungen, die irgendetwas mit personenbezogenen Daten zu tun haben, sich der DSGVO annehmen müssen. – So direkt fällt mir gar keine Abteilung ein, die das nicht betrifft und die sich komplett zurücklehnen könnte.

Am stärksten werden aber natürlich Personal-, Vertriebs- und CRM-Abteilungen mit dem Thema zu tun haben. Die reine Webanalyse betrifft es wahrscheinlich weniger, sofern das Tracking sauber aufgesetzt ist. Wenn keine Infos, wie Kundennummern, Auftragsnummern, E-Mails, Kreditkartendaten, Postanschriften oder Klarnamen, getrackt werden – was auch zuvor nicht in Ordnung gewesen wäre – braucht erstmal keine größere Panik auszubrechen. Die Webanalyse, die stark pseudonymisierte Daten zur statistischen Auswertung verwendet, steht wirklich ganz gut da. Die bestehenden Trackinghinweise sollten gegebenenfalls überarbeitet, Opt-Out-Möglichkeiten verbessert und Hinweise, welche Art von Daten zu welchem Zweck und aus welchem Rechtfertigungsgrund getrackt wird, platziert werden.

6     Fazit

Wenn jemand bei euch klingelt und euer Datenverarbeitungsverzeichnis und eure Auftragsdatenverarbeitungsverträge sehen möchte, könnte das bei Nichtvorhandensein unter Umständen echt teuer werden. Gerade diejenigen, die bereits unter den alten Regelungen gegen Datenschutzaspekte verstoßen haben, sollten unbedingt handeln.

Wie streng zukünftige Kontrollen ausfallen und wie hoch Verstöße tatsächlich geahndet werden, sehen wir bald. Dadurch, dass die DSGVO sehr allgemein und abstrakt gehalten ist, werden erst die konkreten Urteile im Detail ausdefinieren, wie genau die Vorgaben anzuwenden und umzusetzen sind. – Das ist ein wenig blöd. So kann man momentan nur unter extremer Unsicherheit handeln und keiner hat verständlicherweise Lust, der Erste zu sein, der durchs Dorf geschliffen wird. Falls ihr, wenn es soweit ist, jedoch vorweisen könnt, euch Gedanken gemacht und Lösungen gefunden zu haben, steht ihr schon ein weniger besser als der völlige Ignorant.

Ich persönlich finde die DSGVO gut. Natürlich bin ich noch ein bißchen unsicher, wie sie sich beispielsweise auf Remarketinglisten auswirken wird und wie ein E-Mail-Marketing-Double-Opt-In zukünftig genau gestaltet werden muss. Aber ich glaube, dass wir in Deutschland aufgrund unserer bereits bestehenden Regelungen eine gute Ausgangsbasis hatten. Insgesamt kommt jetzt natürlich viel Arbeit auf Unternehmen zu, die Bestimmungen umzusetzen. Es ist aber nicht so, dass bestehende Geschäftsmodelle gefährdet oder verunmöglicht würden.

DSGVO droht mit hohen Strafen

Alles Andere als ein Papiertiger: die DSGVO.

Und jetzt mal ehrlich: Einige Unternehmen haben doch jede Kontrolle über ihre Daten verloren. Die unterschiedliche Töpfe, die dort herumstehen, schwache Absicherungen und andauernde Datenpannen haben das Handeln dringend erforderlich gemacht. Jede Selbstregulierung hat in Fällen wie Ashley Madison, Uber oder Yahoo völlig versagt. Und bei den Genannten handelt es sich wirklich nicht um kleine Klitschen, die es nicht besser wissen, sondern um Weltkonzerne, die alle erdenklichen Optionen gehabt hätten. Umso besser, dass es jetzt Möglichkeiten gibt, solchen Gebaren Einhalt zu gebieten. Und das mit Strafen, die selbst diesen Unternehmen sehr wehtun können – Wer gibt schon gern 4% seines globalen Außenumsatzes einfach so weg?

Ein anderer Punkt ist: Ein einmaliger Kauf sollte niemanden berechtigen, mich ein Leben lang mit Nerv-Werbung in Form von Postwurfsendungen und anderem Zeugs zuzubomben. Hier wird die DSGVO mein Leben in Zukunft ein Stückchen besser machen.

Und selbst ganz konkret im Bereich des Online Marketings und der Web Analyse: Unter den alten Rahmenbedingungen hatte doch kaum ein Unternehmen auch nur annähernd einen Tracking-Opt-Out korrekt gesetzt. Und zwar egal, ob kleine Webseite, riesen E-Commerce-Fashion-Retailer oder Automobilkonzern. Warum haben die das nicht hingekriegt? Das ist deren täglich Brot! Und es geht um ein kleines Mini-JavaScript, das niemandem wehtut und das wirklich der größte Technik-Idiot einbauen könnte.

Sicherlich gab es auch zuvor viele Unternehmen, die vorbildlich gehandelt haben, aufgrund einiger schwarzer Schafe gilt es nun aber frei nach dem Motto: „… und bist du nicht willig, so brauch‘ ich Gewalt.“ Das wird zunächst schmerzhaft werden, aber im Endeffekt wird es langfristig ein besseres Image von Werbung und Tracking ermöglichen. Zumindest in der EU.