Timo von Focht, Country Manager DACH, Commanders Act Die Zeit drängt:Tipps zur Umsetzung der EU-DSGVO

Timo von Focht ©Commanders Act

Natürlich nehmen Firmen diese Strafen nicht freiwillig in Kauf. Vielen bereitet die Umsetzung der weitreichenden Gesetzesänderungen zur Sammlung nutzerbezogener Daten ob ihrer Komplexität Kopfzerbrechen, besonders auch in dem sehr sensiblen Bereich der Marktforschung. Wissen auch Sie noch nicht genau, was durch die EU-DSGVO hier auf Sie zukommt? Dann erhalten Sie in diesem Artikel einen Überblick über die verschärften Nutzerrechte und die Maßnahmen, die Sie zur Einhaltung ergreifen müssen.

Persönliche Daten und Personenrechte

Die EU-DSGVO stärkt die Rechte der EU-Bürger in Hinblick auf ihre Daten und deren Weiterverarbeitung durch Unternehmen. Dabei geht es um die so genannten personenbezogenen oder persönlichen Daten. Was genau fällt unter den Begriff persönliche Daten? Gemäß der EU-DSGVO sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter fallen beispielsweise Name, IP-Adresse, Standortdaten, aber auch allgemein Merkmale, die "Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind". Somit gehören auch Cookies zu den persönlichen Daten, denn sie machen die indirekte Identifizierung einer Person möglich. Und die gilt es nach der neuen Verordnung besonders zu sichern. Der Schutz personenbezogener Daten sollte in Ihrer Organisation verankert sein.

Privacy by Design: Daten verarbeiten – bisher und zukünftig

Die EU-DSGVO verlangt von allen Organisationen, die persönliche Daten von EU-Bürgern verarbeiten, die Umsetzung des Konzepts "Privacy by Design". Bei diesem Ansatz dürfen Sie nur die Daten sammeln, die wirklich für den angebotenen Service benötigt werden. Diese "Minimallösung" gilt ebenso für die Verarbeitung der Daten wie für die Dauer ihrer Archivierung.

Bisher hatten Unternehmen beim Setzen von Cookies oder Sammeln von Daten leichtes Spiel. Nutzer mussten persönliche Daten zur Anmeldung bei Diensten verpflichtend eingeben oder bei der Installation von Apps eine Zugriffsberechtigung erteilen, damit diese überhaupt genutzt werden konnten. Die Verarbeitung von Daten konnte nur nachträglich abgelehnt werden (Opt-Out). Zukünftig benötigen Organisationen die ausdrückliche Zustimmung der Nutzer, wenn sie personenbezogene Daten erheben wollen. Dazu bedarf es einer ausführlichen Aufklärung der User, wie ihre Daten genutzt werden. Ansonsten ist der Vorgang rechtlich unwirksam (Opt-In). 

Die Rahmenbedingungen, unter denen Sie zukünftig die Zustimmung zur Datenverarbeitung einholen müssen, sind in der EU-DSGVO klar definiert: Unternehmen dürfen keinerlei Interpretationsspielraum über die Datenabgabe lassen und müssen betroffene Personen klar und ausführlich über die Ziele der Datensammlung informieren. Zudem dürfen Organisationen den Zugang zu einer Seite oder einem Dienst nicht von der Zustimmung zur Datenverarbeitung abhängig machen: Auch denjenigen Nutzern, die nicht zustimmen, müssen Sie Zugang zu Ihrem Angebot gewähren.

Gerade diese Bedingung hat sehr konkrete Auswirkungen auf die Verwaltung der Opt-Ins und der Opt-Outs im Rahmen der EU-DSGVO: Alle bislang per fehlendem Opt-Out gesammelten Zustimmungen – keine explizite Ablehnung von Cookies – sind ab dem Stichtag ungültig. Sie müssen zukünftig auch in diesem Fall um Zustimmung bitten, damit Sie die Daten der betroffenen Personen weiter nutzen dürfen.

Mit Privacy by Design dürfen Unternehmen nur so viele Daten wie notwendig sammeln. Dennoch muss auch bei wenigen Daten bestimmt werden, wer dafür haftet. Ein Datenschutzbeauftragter wirkt als Kontrollinstanz. Klären Sie zusätzlich, wer abteilungsübergreifend für die Umsetzung der Datenerhebung verantwortlich ist: Gibt es bereits einen Datenmanager (Chief Data Officer) im Unternehmen? Falls nicht, scheuen Sie sich nicht davor, zusätzliche Investitionen zu tätigen. Langfristig werden sich diese Maßnahmen auszahlen.

Zustimmungserklärungen: absolute Transparenz

Die EU-DSGVO weist Sie an, in der Zustimmungserklärung zur Datenverarbeitung absolute Transparenz gegenüber Ihren Nutzern zu zeigen: Jede Person muss erkennen und verstehen können, wie die Daten, die erhoben werden sollen, später verwendet werden. Dafür sind detaillierte Erläuterungen nötig. Das bedeutet, eine Einblendung wie „Mit dem Besuch unserer Seite akzeptieren Sie…“ ist nicht mehr zulässig. Die Zustimmungserklärung des Users muss in Kenntnis der Nutzung der verschiedenen Cookies erfolgen.

Hier erfolgt eine Unterscheidung zwischen drei verschiedenen Nutzungstypen:
•    Die Nutzung für analytische Zwecke, um die Customer Journey eines Users zu dokumentieren.
•    Die Nutzung für Werbezwecke, um beispielsweise die Einblendung von Werbe-Displays zu verwalten.
•    Die Nutzung für soziale Medien, um eine Verbindung zwischen der Marken-Website und ihren Seiten in den sozialen Netzwerken zu etablieren.

Die Herausforderung besteht nun darin, den betroffenen Personen diese verschiedenen Nutzungszwecke auf verständliche Art und Weise zu präsentieren. Dass Sie dies ohne weiteres umsetzen können, zeigt der folgende Screenshot:

©Commanders Act

Schutz personenbezogener Daten durch Pseudonymisierung

Wie können Sie persönliche Daten schützen und gleichzeitig ihre Nutzung im Rahmen der in der Zustimmungserklärung definierten Zwecke ermöglichen? Als Antwort auf diese Frage nennt die EU-DSGVO die Pseudonymisierung der Daten, nicht zu verwechseln mit der Anonymisierung.

Anonymisierte Daten werden so verändert, dass eine spätere Identifizierung verhindert wird und nicht mehr möglich ist. Wenn dies der Fall ist, unterliegen diese Daten nicht mehr der EU-DSGVO. Bei der Pseudonymisierung hingegen werden personenbezogene Daten in einer Weise verarbeitet, dass Sie später durch Hinzuziehung zusätzlicher Informationen wieder einer spezifischen betroffenen Person zugeordnet werden können. Diese Informationen müssen Sie allerdings gesondert aufbewahren. Unterziehen Sie diese Informationen technischen und organisatorischen Maßnahmen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Weitere Nutzerrechte: Zugang, Modifizierung und Übertragung von Daten
Nutzer haben durch die EU-DSGVO nun die Möglichkeit, an Sie heranzutreten und bestimmte Rechte zu ihren Daten einzufordern. Sie müssen ihnen zukünftig Zugang zu ihren persönlichen Daten gewähren und deren Modifizierung ermöglichen. Jede physische Person kann eine Bestätigung verlangen, dass ihre Daten verarbeitet werden und kann – so diese Daten fehlerbehaftet sind – deren Korrektur anweisen. Ebenso kann jeder mit dem „Recht auf das Vergessenwerden“ die schnellstmögliche Löschung seiner Daten verlangen. Zu den meistdiskutierten Vorschriften zählt das „Recht auf Datenübertragbarkeit“. Damit soll der Einzelne seine personenbezogenen Daten von einer verantwortlichen Stelle auf die andere übertragen können. Das Problem: um Profildaten bei einem Dienst zu exportieren und bei einem vergleichbaren zu importieren, fehlen derzeit noch standardisierte Datensätze und Schnittstellen (APIs). Diese Voraussetzungen sind allerdings von den Unternehmen zu schaffen.

Die EU-DSGVO in der Marktforschung

Marktforscher haben seit Jahren mit immer schwierigeren Datenschutzvorgaben zu kämpfen. Dennoch ist die EU-DSGVO ein schwerwiegender Eingriff in die Möglichkeiten zur Datenerhebung.

An dieser Stelle folgt zunächst einmal der Hinweis, dass anonyme Nutzerdaten nicht von der Einwilligungserfordernis der EU-DSGVO betroffen sind. Umfragen, bei denen keine Namen, Adressen, Cookies oder ähnliches erhoben oder ausgespielt werden, sind in den meisten Fällen nicht von den neuen Regelungen betroffen. Demnach sind persönliche Umfragen (CAPI) in Fußgängerzonen, Einkaufszentren oder öffentlichen Verkehrsmitteln, soweit keine personenbezogenen Daten erhoben werden, weiterhin möglich. Das gleiche gilt für anonyme Online-Umfragen (Surveys) auf Websites oder in mobilen Apps: werden keine IP Adressen erhoben, Cookies gesetzt oder sonstige persönliche Daten abgefragt, sind Sie auf der sicheren Seite. Anders ist dies bei telefongestützten Umfragen (CATI): Diese basieren in der Regel auf persönlichen Adressdaten. Ein Adresskauf über Adressbroker ist aufgrund des meist fehlenden expliziten Hinweises auf den konkreten Anwendungsbereich der Adressen und Telefonnummern nicht ohne weiteres möglich. Wer hier keine eigene Opt-In Adressbasis an Nutzern aufgebaut hat, die in eine bestimmte Art von Umfragen eingewilligt haben, kann zukünftig nur noch mit hohem Risiko agieren.

Sollen auch bei persönlichen Umfragen oder Surveys persönliche Daten erhoben werden – beispielsweise zum Schutz vor Mehrfachteilnahmen oder aufgrund von Umfragevorgaben beziehungsweise Genauigkeit der Messung – so ist es verpflichtend, vor der Erfassung der persönlichen Daten eine Nutzereinwilligung einzuholen. Die Zustimmung muss dabei freiwillig sein und darf nicht an einen Anreiz oder die Nutzung eines Service gebunden sein. Außerdem muss das Einverständnis für den späteren Nachweis auch nach dem Interview zur Verfügung stehen, und zwar so lange, wie die Daten des Nutzers gespeichert werden.

Bei Online-Umfragen besteht die Möglichkeit, eine Cookie-Consent-Lösung vor die Umfrage-Software zu schalten oder sie vom Website-Betreiber in eine solche Lösung mit einbinden zu lassen. Damit wird die Nutzereinwilligung vor der Umfrage datenschutzkonform eingeholt. Erfolgt keine Zustimmung, können immer noch anonyme Daten erhoben werden.

Fazit: Strenge, aber umsetzbare Vorgaben

Mit der europäischen Datenschutz-Grundverordnung werden die Rechte der Nutzer bezüglich der Verarbeitung ihrer Daten verstärkt. User können von vorneherein entscheiden, ob und für welche Zwecke ihre Daten weiterverarbeitet werden dürfen. Dies müssen Sie ihnen beim Einholen der Erlaubnis transparent klar machen und nach einer expliziten Zustimmung fragen. Außerdem haben Personen nun das Recht, die Daten einzusehen, zu verändern oder ganz löschen zu lassen. Sollten die Nutzerrechte in irgendeiner Form verletzt werden, sind Sie dazu verpflichtet, dies innerhalb von 72 Stunden an den Datenschutzbeauftragten zu melden. Die Vorgaben sind streng, aber nicht unlösbar. Ein konsequentes Datenmanagement ist hier der Schlüssel. Arbeiten Sie notfalls mit externen Dienstleistern zusammen, die bereits DSGVO-konform sind. So stellen Sie sicher, dass Sie ab dem 25. Mai gesetzeskonform handeln und Ihnen die hohen Strafen der neuen Verordnung erspart bleiben.

*IDC-Studie

Hinweis: Der Inhalt des Artikels ist keine Rechtsberatung und erhebt keinen Anspruch auf Vollständigkeit, sondern repräsentiert nur die Meinung des Autors.

Der Autor:

Timo von Focht ist seit Anfang 2015 als Country Manager DACH bei Commanders Act (ehemals TagCommander) für den Aufbau des Münchener Büros und die deutschen Kunden zuständig. Zuvor war er Senior Enterprise Account Manager für die strategischen Kunden von Adobe in Deutschland. Weitere Stationen lagen in den Bereichen Marktforschung, Website Optimierung und Analytics. Er beschäftigt sich seit 13 Jahren mit den Themen Big Data, Web Intelligence und Digital Marketing.