en de

7. September 2021

DSGVO & Webtracking

Wie soll ich das denn zukunftssicher lösen?

Vorwort

Google bestätigte im März 2021 das nahende Ende der Third-Party Cookies und begann mit dem Test der FLoC-Technologie in seinem Chrome-Browser. Apple Safari und Mozilla Firefox limitieren schon länger die Verfolgung und Wiedererkennung von Nutzern innerhalb ihrer Browsertechnologie. Entscheidungsträger in den EU-Behörden sind entschlossen, den Entwurf der ePrivacy-Richtlinie noch in diesem Jahr fertigzustellen,   und die nationalen Datenschutzbehörden widmen sich verstärkt der Durchsetzung der komplexen datenschutzrechtlichen Rahmenbedingungen in der EU.

Innerhalb der letzten zwei Jahre wurde die Welt der Online-Marketer und Datenanalysten auf den Kopf gestellt. Die Datenschutz-Grundverordnung und die nationalen Telekommunikationsgesetze mit geplanten Änderungen in der ePrivacy-Richtlinie haben die Karten neu verteilt – und damit große Unsicherheit in der Branche geschürt. 

Welche Methoden der Datenverarbeitung  sind datenschutzrechtskonform ? 

Kann ich auf Basis von ausschließlich datenschutzkonform erfassten Daten tatsächlich die richtigen Entscheidungen treffen? Auf welche Daten kann ich mich verlassen? 

Herkömmliche Lösungen versprechen bislang keine rechtssicheren Antworten, die neben der DSGVO zusätzlich  die ePrivacy-Richtlinie und einzelne  nationale Telekommunikationsgesetze in den Fokus nehmen. 

Muss ich jetzt mit folgenreichen Verlusten von entscheidenden Daten leben lernen?

Um dir selbst diese Frage besser beantworten zu können, stellen wir dir auf den folgenden Seiten die wichtigsten Insights zur Verfügung, die wir in Abstimmung mit Rechtsanwälten bei der Entwicklung unserer Lösung berücksichtigt haben.

Diese Einblicke sollen dir als Leitfaden helfen, um bei einer Prüfung durch die für dich zuständige Datenschutzbehörde besser als dein Mitbewerber gerüstet zu sein.

Zum besseren Verständnis wird im Folgenden eine kurz gefasste Erläuterung zu den Geltungsbereichen von der ePrivacy-Richtlinie und der DSGVO vorgestellt.

Nationale Umsetzungen der ePrivacy-Richtlinie vs. Europäische Datenschutz-Grundverordnung (DSGVO)

Alle nationalen Umsetzungen der ePrivacy-Richtlinie haben eines gemeinsam. Sie legen fest, welchen Einfluss Unternehmen auf die persönlichen Endgeräte der Nutzer haben dürfen. 

Die für ganz Europa geltende DSGVO bestimmt, wie Firmen und andere Organisationen – bzw. “Verantwortliche” – mit personenbezogenen Daten umgehen müssen, die von natürlichen Personen – also “Betroffenen” – erhoben, gespeichert und verteilt werden. Alle Daten-Tracking Tools müssen beide rechtlichen Rahmenbedingungen erfüllen.

Was regelt die ePrivacy-Richtlinie?

Die ePrivacy-Richtlinie regelt den Einfluss, den Unternehmen auf die persönlichen Endgeräte des Users ausüben. Das lässt sich am besten mit folgender Frage beschreiben: Lege ich etwas (bspw. Cookies) auf dem persönlichen Endgerät ab oder lese ich Informationen (bspw. Device-Informationen) von einem persönlichen Endgerät aus? 

Um es greifbarer zu machen: War der User schon einmal auf meiner Webseite? Nutzt ein User mein Angebot über Mobile-Device oder über Desktop?

[Diese essentielle Grundbedingung für Tracking ist also NICHT durch die DSGVO geregelt!]

In ePrivacy Vorschriften ist festgelegt, dass Cookies nur ohne Einwilligung gesetzt werden dürfen, wenn sie technisch notwendig sind.

Jede Datenverarbeitung, die nicht unter technisch notwendig fällt ( Analyse, Marketing, Personalisierung),  ist nur  mit der Zustimmung des Users möglich. Diese nicht technisch notwendigen Tracking-Cookies können auf dem Desktop, Tablet oder Smartphone gespeichert werden, wenn der User ausdrücklich zugestimmt hat.

Wenn du also Daten zu den gerade genannten  Zwecken verwenden möchtest, ist ein Consent des Users für die gewünschten Verwendungszwecke unumgänglich. 

[Die tatsächliche Verwendung von personenbezogenen Daten ist dabei noch NICHT eingeschlossen!]

Was uns im nächsten Schritt zu den Regelungen innerhalb der DSGVO führt.

Wo setzt die Datenschutz-Grundverordnung an?

Sobald du den erforderlichen Consent zur Speicherung und Sammlung von Daten vom  persönlichen Endgerät erhalten hast, regelt die DSGVO deine tatsächliche Verwendung von personenbezogenen Daten. Diese Verwendung musst du für jedes einzelne Tool in deinem Marketing-Stack berücksichtigen.

Wie könntest du dabei vorgehen?

Checke ob Daten tatsächlich einen Personenbezug haben
– Beachte objektiven und subjektiven Personenbezug

Checke die Rechtsgrundlagen, ob du diese Daten mit Personenbezug verwenden darfst:
– Einwilligung vom User erhalten,
– Vertragserfüllung wäre sonst unmöglich, oder
– Berechtigtes Interesse deines Unternehmens.

Ad 1. Haben die getrackten Daten einen Personenbezug?

Werde dir zuerst klar darüber, welche der erfassten Daten tatsächlich einen Personenbezug wiederspiegeln. Beachte dabei unbedingt, dass es zwei Varianten von personenbezogenen Daten gibt, die in der DSGVO beschrieben sind. Es geht dabei nicht ausschließlich darum, ob du selbst einen Personenbezug herstellen kannst.

Daraus ergibt sich, dass Daten wie IP-Adressen oder Autokennzeichen unweigerlich als “Daten mit objektivem Personenbezug” gelten.

Ad 2. Warum dürfte ich die getrackten Daten verwenden?

1. Einwilligung erhalten – gibt es einen positiven Consent?

Für die Verarbeitung von personenbezogener Daten (objektiver und subjektiver), die dir aus Analyse-, Marketing- oder sonstigen Gründen wahrscheinlich am wichtigsten sind,  ist eine Einwilligung nach DSGVO (Consent) vom Nutzer notwendig. Erhältst du diesen Consent – in der Regel durch den Einsatz einer Consent Management Platform (CMP) – kannst du diese Einwilligung auch nachweisen.

ACHTUNG: Ein gerne übersehenes Detail dabei ist allerdings, dass du diese Daten NICHT ohne einen weiteren zusätzlichen User-Consent an Unternehmen aus Drittländern (wie USA) senden darfst  – obwohl du vom User schon einen Consent für deren Verwendung erhalten hast. Diese Möglichkeit ist aufgrund der EuGH Entscheidung im s.g. Privacy Shield Fall nicht mehr gegeben. Die Datentransfers an europäische Unternehmen stellen natürlich kein Problem für dich dar.

 

2. Vertragserfüllung als mögliche Rechtsgrundlage anstatt von “Einwilligung”

Eine der zwei  technisch einfacheren Gründe zur Erhebung und Nutzung personenbezogener Daten ist die Vertragserfüllung (z.B. Online-Kaufabschluss). Datenerhebung für die Vertragserfüllung sind dabei ein “No-brainer”. 

Bedenke aber, dass der Zweck der Datenerhebung an den User transparent mitgeteilt und direkt an die von dir erhobenen  Daten verknüpft werden muss. Auch später darfst du auf diese Daten nur zugreifen, wenn sie für den  exakt selben Zweck verwendet werden, der dem User mitgeteilt wurde

Das bedeutet, dass du Daten, die zum Zweck des “Versands” im Rahmen des Vertragserfüllung erhoben wurden, nicht für etwas anderes verwenden darfst. Beispielsweise, darfst du diese Daten nicht als Basis für eine Analyse verwenden, um zu herauszufinden, welche Regionen/Städte du am häufigsten mit Bestellungen belieferst.

 

3. Berechtigtes Interesse – Anderer Rechtfertigungsgrund anstatt von “Einwilligung”

Datensammlung aus berechtigtem Interesse ist eigentlich ein einfacher Rechtfertigungsgrund – und leider gleichzeitig am schwierigsten zu argumentieren.

Dein berechtigtes Interesse tritt in Kraft, wenn das Interesse deines Unternehmens die personenbezogenen Daten zu verwenden, das Interesse des Nutzers in Datenschutz übersteigt. Aber ernsthaft – was kann das sein, außer beispielsweise die Daten deines Users zu anonymisieren, bevor du sie einfach in die Welt sendest?

Wobei die Anonymisierung von Daten, unseres Erachtens, ein gutes Beispiel dafür ist, wenn das Tracking von Daten in einer datenschutzkonformen Weise durchgeführt wird.

Was bedeutet Datenübermittlung in Drittländer?

In der Praxis kommt es meist dazu, dass viele der von deinem Unternehmen genutzten Tools von Firmen angeboten sind, deren Headquarter in Drittländern liegen. US-Firmen sind zum Beispiel durch den CLOUD Act verpflichtet, ihre Daten der US-Regierung zur Verfügung zu stellen – ein absolutes No-Go für alle europäischen Datenschützer

Damit fehlen diesen Tools  leider die nötigen rechtlichen Grundbedingungen, um die DSGVO zu erfüllen . Spätestens seit den Schrems – EuGH Urteilen zum Privacy Shield (Kurzform Schrems II) sind also auch beliebte und hilfreiche Tools wie beispielsweise Google Analytics, Facebook und Omniture (Adobe Analytics) bei herkömmlicher Integration nicht mehr DSGVO-konform (Unternehmensstandort = USA).

Solltest du für Google Analytics einen Consent nach ePrivacy-Richtlinie erhalten haben, kannst du personenbezogene Daten trotzdem NICHT an Google senden. Mit folgendem Beispiel wird es deutlicher:

  • Die IP-Adresse eines Users gilt als personenbezogener Datensatz. 
  • Deine Webseite sendet dessen IP-Adresse zu Google, um sie mittels “anonymizeIP=true” zu anonymisieren. 
  • Und schon sitzt du in der Falle!

Es ist nicht empfehlenswert, einem Unternehmen aus einem Drittland zu erlauben Userdaten zu anonymisieren. In diesem Fall,  gilt für die zu anonymisierenden Daten nicht mehr nur das europäische Recht. Das US-Unternehmen Google würde diese Daten bereits in nicht anonymisierter Form besitzen.

Daten DSGVO-konform mit Drittländern teilen

Wie kannst du die Rechtskonformität sicherstellen und trotzdem alle deine gewohnten, wirklich guten Tools weiterverwenden? Im Prinzip ist das relativ einfach. 

  • Speichere als europäisches Unternehmen deine gesammelten Daten selbst serverseitig (first party data)
  • Sorge dafür, dass du keine Cloud verwendest, die ein unsicheres Drittland-Unternehmen betreibt
  • Achte auf die DSGVO-Vorgaben 
  • Anonymisiere personenbezogene Daten selbst
  • Schicke deine Daten erst nach deiner Anonymisierung zu deinen verwendeten Tools

Alle deine Tools haben eine API, die du nach deiner serverseitigen Anonymisierung jeweils ansteuern kannst. Du musst nur noch pro API entscheiden, welche Daten du vor dem Versand anonymisieren willst/musst.

Schon bist du optimal vorbereitet auf jegliche Anfragen von abmahnfreudigen Datenschützern oder ein unvermutetes, verpflichtetes Nachgehen deiner Datenschutzbehörde auf eine einzelne Beschwerde eines Users hin – jetzt kannst du alles entspannt auf dich zukommen lassen.

TIPP: Deine Technik sollte dabei zur Sicherheit ein Auge auf eventuelle Änderungen bei den unterschiedlichen APIs halten, um innerhalb deiner Tools Daten auch ohne Unterbrechung und mit der gewünschten Qualität zur Verfügung zu stellen.

Wie kann eine Lösung im Detail ausschauen?

Um dir das zu veranschaulichen, siehst du nachfolgend wie JENTIS diese Aufgabe löst.

 

  • Consent für Cookies auf persönlichen Devices nach ePrivacy Vorschriften wird eingeholt
  • Personenbezogene Daten (wie z.B. IP-Adresse) werden durch ein in der  EU ansässiges und eigenes Unternehmen anonymisiert
  • Wir nutzen EU-Cloud-Server
  • Anonymisierte Daten werden serverseitig an alle weiteren Tools gesandt, ohne deren Zugriff auf persönliche Devices.

Wenn du dir Zeit, Geld und Nerven sparen möchtest, steht dir die Lösung von JENTIS als Plug&Play Lizenz zur Verfügung. Damit erfüllst du alle Anforderungen der DSGVO und ePrivacy-Vorschriften für deine Website und löst Compliance-Herausforderungen einfach und dauerhaft.

Mit der zum Patent angemeldeten Twin-Server Technologie ist erstmals absolut zuverlässiges, serverseitiges Tracking möglich, das zusätzlich clientseitiges Tracking auf Basis des Consent gewährleistet. Datenquantität, Datenqualität, Datensouveränität, Datensicherheit, Datenverteilung – alles aus einer Hand. 

“Füttere” alle Tools in deinem Marketing-Stack, die auf Daten angewiesen sind, mit JENTIS  und werde in einem Schritt nicht nur rechtskonform, sondern auch zukunftssicher. Wenn du diese Aufgabe nicht alleine lösen möchtest, freuen wir uns auf deine Kontaktaufnahme.

 


Möchten Sie mehr über die DSGVO und das JENTIS Tracking erfahren? Nehmen Sie Kontakt auf ?.

DATENKONTROLLE WIEDERBEKOMMEN

Lösen Sie Ihre Probleme mit First Party Daten, Rechtskonformität und Tracking mit nur einem Tool!

Unsere Lösung ist bereits seit 2016 in Entwicklung und ist das fortschrittlichste Tracking auf dem Markt. Über alle Regionen, Branchen und Geschäftsmodelle hinweg haben wir großartige Ergebnisse bei unseren Test- und zahlenden Kunden feststellen können. Wenn Sie Zugang zu JENTIS erhalten möchten, um Ihr Online-Marketing aufs nächste Level zu bringen, geben Sie bitte unten Ihre persönlichen Daten ein oder senden Sie eine E-Mail an info@jentis.com. Wir melden uns schnellstmöglich bei Ihnen.

TIMESLOT FINDEN