Einführung in das Konzept „Privacy by Design”

Der Begriff „Privacy by Design” wird in der 2018 eingeführten  Datenschutz-Grundverordnung (DSGVO) explizit erwähnt. Der Kerngedanke ist, dass der Datenschutz über jede Phase der Entwicklung, der Implementierung und des Betriebs in Prozesse, Produkte und Dienstleistungen von der Projektkonzeption integriert werden soll. Der Datenschutz muss bereits in der Entwurfsphase eine wichtige Rolle spielen und darf nicht erst im Nachhinein hinzugefügt werden.

Im Deutschen wird das Konzept auch als „Datenschutz durch Technikgestaltung” bezeichnet. Dieser Datenschutz durch datenschutzfreundliche Voreinstellung bezieht sich meist auf die gleiche Idee. 

Das Konzept des „Privacy by Design“ wurde erstmals in den 1990er Jahren von der kanadischen Datenschutzexpertin Dr. Ann Cavoukian vorgestellt und hat sich seitdem als bewährtes Verfahren zum Schutz der Privatsphäre durchgesetzt. Im Jahr 2010 verabschiedete die 32. Konferenz der Datenschutzbeauftragten die „Resolution zu Privacy by Design“, die eine weitere starke Aufforderung (wenn nicht sogar eine gesetzliche Verpflichtung) zur Aufnahme von Privacy by Design in künftige oder aktualisierte Datenschutzgesetze in der EU auslöste. Daraus entstand Artikel 25 der Datenschutz-Grundverordnung.

„Privacy by Design“ soll proaktiv und präventiv wirken und nicht dazu dienen, rückwirkend gesetzliche Verpflichtungen zu erfüllen, Risiken zu begrenzen oder Verstöße zu beheben. Ein Google/Ipsos-Bericht aus dem Jahr 2022 hat gezeigt, dass die negativen Auswirkungen eines schlechten Erlebnisses bezüglich Datenschutz fast so schwerwiegend sind wie die einer Datenschutzverletzung. Das Regelwerk stellt sicher, dass Risiken in Bezug auf den Schutz der Privatsphäre von Anfang an erkannt und minimiert werden, lange bevor sie überhaupt eintreten können, und dass bei betrieblichen Entscheidungen der Schutz personenbezogener Daten im Vordergrund steht.

Die Sorge der Verbraucher über die Erfassung und Verwendung persönlicher Daten wächst, und die Durchsetzung der Datenschutzgesetze durch die Datenschutzbehörden nimmt zu. „Privacy by Design“ bietet Unternehmen einen nützlichen Handlungsrahmen, um die Einhaltung der Datenschutzvorschriften zu erreichen und aufrechtzuerhalten, das Vertrauen der Nutzer zu stärken und den wichtigen Datenfluss zur Umsatzsteigerung aufrechtzuerhalten.

Was bedeutet „Privacy by Design“?

Privacy by Design ist keine Anleitung für Unternehmen, wie sie die Privatsphäre aller Stakeholder schützen können. Dahinter befindet sich vor allem eine Philosophie oder ein Leitfaden, wie das Ziel, persönliche Daten zu schützen, am Besten umgesetzt werden kann. 

Wenn sich ein Team im Unternehmen trifft, um ein neues Projekt zu starten, sollten sie sich immer auch fragen: „Wie sieht es denn hier mit dem Schutz der Daten aus?“.  Im Normalfall stehen hier Nützlichkeit, Margen und Personalmanagement im Vordergrund. Privacy by Design sieht aber vor, dass neben diesen „klassischen” Absprachepunkten  auch immer der Datenschutz berücksichtigt wird. Besonders bei der Technikgestaltung sollte das Thema aber zur Sprache kommen.

Privacy by Design geht aber noch über die Planung hinaus. Die Idee ist, die Fragen nach dem Datenschutz an jeder Stelle eines Projektes zu stellen. Bei der Planung, beim Entwurf, bei der Umsetzung und bei der Analyse der Maßnahmen. Auf diese Weise gibt man dem Datenschutz die größtmögliche Chance, erfolgreich zu sein. 

Privacy by Design ist deswegen keine klassische Anleitung, weil an dessen Ende keine Garantie steht. Das bedeutet im Prinzip: Durch die Handlungsdirektive sollte immer an Datenschutz gedacht werden, aber dadurch garantiert man nicht die erfolgreiche Umsetzung. Es geht lediglich darum, den Datenschutz miteinzubeziehen. 

Damit Datenschutz wirksam betrieben werden kann, muss es auch ein Konzept zur Umsetzung und Kontrolle geben. Dieses kann aber den Debatten über den Datenschutz entsprungen sein. 

Wie wird „Privacy by Design“ umgesetzt?

Bei manchen Prozessen scheint Privacy by Design einfach umsetzbar. Besonders bei Themen, in denen es in jedem Fall um Nutzerdaten geht, steht deren Schutz häufig im Vordergrund. Trotzdem bleibt Privacy by Design häufig ein zu theoretisches Konzept, weil der praktische Leitfaden fehlt.

Möchte ein Unternehmen beispielsweise Benutzerprofile in seinen Onlineshop integrieren, ist es schwierig, die richtigen Fragen zu finden:

1. Welche Daten darf ich von meinen Nutzern für die Anmeldung einholen?
2. Wer muss überhaupt geschützt werden?
3. Welche Erfahrung ist mit dem Datenschutz für Nutzer möglich?
4. Wie kann ich den Nutzen der Profile maximieren und gleichzeitig meine Nutzer schützen?

Wichtig ist, dass die Fragen gestellt werden. Von der Integration in die Webseite über die Consent Management Anpassungen und auch die Datenschutzerklärung. Die Integration von Privacy by Design muss in alle Tätigkeiten des Unternehmens integriert werden. 

Weil dieser Prozess aber so theoretisch ist,  gibt es einige konkrete Hilfen, die bei der Umsetzung von Privacy by Design hilfreich sind. 

Wie lauten die 7 Grundprinzipien von „Privacy by Design“?

„Privacy by Design“ – Grundprinzip 1: Proaktiv statt reaktiv; präventiv statt behebend

Erkennen und verhindern Sie Datenschutzverletzungen, bevor sie eintreten. Warten Sie nicht, bis Datenschutzrisiken auftreten. Bieten Sie keine Abhilfemaßnahmen zur Behebung von Datenschutzverletzungen an, wenn diese bereits eingetreten sind. Verhindern Sie, dass sie passieren.

„Privacy by Design“ – Grundprinzip 2: Datenschutz als Standard

Sorgen Sie für ein Höchstmaß an Datenschutz, indem Sie sicherstellen, dass personenbezogene Daten in jedem IT-System und jeder Geschäftspraxis automatisch geschützt sind. Die Privatsphäre des Einzelnen ist auch dann geschützt, wenn er selbst nichts zum Schutz seiner Daten unternimmt. Der Schutz ist standardmäßig in das System integriert.

„Privacy by Design“ – Grundprinzip 3: In das Design eingebetteter Datenschutz

Integrieren Sie den Datenschutz in die Konzeption und Architektur von IT-Systemen und Geschäftspraktiken. Implementieren Sie den Datenschutz nicht nachträglich. Machen Sie den Datenschutz zu einem wesentlichen Bestandteil der bereitgestellten Kernfunktionalität und integrieren Sie ihn in das System, ohne die Funktionalität zu beeinträchtigen.

„Privacy by Design“ – Grundprinzip 4: Volle Funktionalität – positives Ergebnis, kein Nullsummenspiel

Berücksichtigen Sie alle legitimen Interessen und Ziele nach dem Prinzip der „Win-Win-Situation“. Vermeiden Sie unnötige Kompromisse aufgrund veralteter Glaubenssätze oder Praktiken. Vermeiden Sie trügerische Gegensatzpaare wie Datenschutz oder Sicherheit und zeigen Sie, dass beides möglich und wünschenswert ist.

„Privacy by Design“ – Grundprinzip 5: End-to-End-Sicherheit — Schutz über den gesamten Lebenszyklus

Integrieren Sie den Datenschutz frühzeitig, bevor die Daten erhoben werden, und gewährleisten Sie ihn während des gesamten Lebenszyklus der Daten auf sichere Weise. Solide Sicherheitsmaßnahmen sind von Beginn an wichtig für den Datenschutz. Gewährleisten Sie, dass alle Daten nur so lange aufbewahrt werden, wie sie benötigt werden, und dass die Daten nach Abschluss des Prozesses sicher und rechtzeitig vernichtet werden. Sicheres End-to-End-Lebenszyklus-Management von Daten.

„Privacy by Design“ – Grundprinzip 6: Sichtbarkeit und Transparenz – Offenheit

Alle Beteiligten müssen sich darauf verlassen können, dass sämtliche Geschäftspraktiken und Technologien gemäß den gegebenen Zusagen und Zielen angewandt und von unabhängiger Seite überprüft werden. Die Elemente und Vorgänge sind für Nutzer und Anbieter gleichermaßen sichtbar und transparent.

„Privacy by Design“ – Grundprinzip 7: Wahrung der Privatsphäre der Nutzer – Der Nutzer muss im Mittelpunkt stehen

Software-Architekten und Website-Betreiber sind verpflichtet, die Interessen des Einzelnen in den Vordergrund zu stellen, indem sie strenge Datenschutzvorgaben, angemessene Hinweise und benutzerfreundliche Optionen anbieten. Der Nutzer muss im Mittelpunkt stehen.

Was bedeutet „Privacy by Default“ (Datenschutz als Voreinstellung)?

„Privacy by Default“ ist ebenfalls ein Grundsatz des „Privacy by Design“. Er besagt, dass Datenschutz die Standardeinstellung für Systeme und Prozesse sein soll. In der Vergangenheit gab es zuweilen, insbesondere was das Internet betrifft, die Einstellung, so viele Daten wie möglich aus so vielen Quellen wie möglich zu sammeln, auch wenn sie nicht unmittelbar oder ausdrücklich benötigt werden oder der Einzelne nie seine Einwilligung dazu gegeben hat. Die Unternehmen finden dann irgendwann heraus, wie sie damit Geld verdienen können. „Privacy by Default“ ist das Gegenteil dieses Vorgehens.

Grundlegend für „Privacy by Default“ ist, dass die Verantwortung für die Gewährleistung der Privatsphäre oder den Schutz personenbezogener Daten nicht beim Einzelnen liegen sollte. Die Nutzer sollten keine Maßnahmen ergreifen müssen, um ihre Privatsphäre zu schützen oder selbst für einen guten Schutz zu sorgen, da die Standardeinstellungen bereits ein hohes Maß an Datenschutz bieten müssen.

Dies steht auch in engem Zusammenhang mit der Nutzererfahrung, insbesondere mit dem Vertrauensgewinn. Einzelne sollen zwar nicht aktiv zum Schutz ihrer Privatsphäre beitragen müssen, aber sie müssen deutlich auf die Einstellungen und Funktionen zum Schutz ihrer Privatsphäre hingewiesen werden.

Die DSGVO und „Privacy by Design“

Die Anforderungen der DSGVO sind sehr umfangreich, und der Datenschutz muss in allen Aspekten der Prozess-, Produkt- und Dienstleistungsgestaltung, in denen personenbezogene Daten verarbeitet werden, berücksichtigt und integriert werden. 

Jedes Unternehmen ist selbst für seinen eigenen Datenschutz verantwortlich. Diese Verantwortung beinhaltet auch ein angemessenes Risikomanagement und Datenschutz in allen Bereichen. Zu diesem Prozess gehört auch Privacy by Design. Das Konzept ist folglich für die DSGVO wichtig, weil es zur Einhaltung des Gesetzes beiträgt.

Warum ist „Privacy by Design” für die DSGVO wichtig?

Artikel 25 der DSGVO behandelt die Thematik „Privacy by Design und Privacy by Default” gesondert. Der Artikel beinhaltet 3 Paragraphen, die ausführen, was Privacy by Design für die DSGVO bedeutet. Hier kommen keine Erkenntnisse zu Tage, die nicht auch in diesem Text erwähnt werden. Das bedeutet aber nicht, dass die DSGVO das Konzept nur aus Pflichtbewusstsein einbindet.

Privacy by Design ist für die DSGVO ein zentrales Konzept. Es geht dem Gesetzgeber darum, klarzumachen, dass es sich bei Privacy by Design nicht um eine vernachlässigbare Arbeit handelt, die als Empfehlung gilt. Indem die direkte Vorgabe darin liegt, in jedem Unternehmensprozess nach Datenschutz zu suchen, geht auch jeder einen potenziellen Bruch mit der DSGVO ein, der sich nicht daran hält. 

Die Verantwortung liegt bei den für die Datenverarbeitung Verantwortlichen und verpflichtet sie zu einem angemessenen Risikomanagement und Datenschutz in allen Bereichen, angefangen bei der Entwicklung bis hin zum täglichen Betrieb. Wie bereits erwähnt, widmet sich Artikel 25 der DSGVO speziell dem Thema „Privacy by Design und Privacy by Default“.

US-Datenschutzgesetze und „Privacy by Design“

Das kalifornische Verbraucherschutzgesetz (California Consumer Privacy Act, CCPA) und weitere Gesetze verpflichten Unternehmen zur Umsetzung angemessener Sicherheitsmaßnahmen zum Schutz personenbezogener Daten und zur Berücksichtigung von Datenschutzrisiken bei der Entwicklung und Einführung neuer Produkte und Dienstleistungen. Auch branchenspezifische Bundesgesetze befassen sich mit dem Datenschutz und der Datensicherheit, wie dem Gramm-Leach-Bliley Act der Federal Trade Commission, das für Finanzinstitute gilt.

In den USA gibt es kein umfassendes Bundesgesetz zum Datenschutz, das branchenübergreifend „Privacy by Design“ vorschreibt, weshalb die Auslegung und Umsetzung von „Privacy by Design“ in absehbarer Zeit wahrscheinlich sehr unterschiedlich ausfallen wird. Angesichts der zunehmenden Kontrolle und Durchsetzung durch die Datenschutzbehörden könnte dies jedoch zu verstärkten Anstrengungen und einer Standardisierung führen.

Wie kann „Privacy by Design“ auf Websites und Apps umgesetzt werden?

Es gibt eine Reihe von Empfehlungen zur Umsetzung von „Privacy by Design“ für Unternehmen, die personenbezogene Daten über Websites oder Apps erheben und verarbeiten. Auch hier gibt es Parallelen zu Artikel 5 der DSGVO, der sich mit den „Grundsätzen für die Verarbeitung personenbezogener Daten“ befasst. Diese Voreinstellungen sollten bei jedem Unternehmensprozess berücksichtigt werden.

Datenminimierung

Erfassen Sie nur die personenbezogenen Daten, die für den/die jeweiligen Zweck(e) erforderlich sind. Auf diese Weise lassen sich das Risiko und der potenzielle Schaden durch unbefugten Zugriff im Falle eines Verstoßes mindern. Außerdem wird das Vertrauen der Nutzer gestärkt, wenn ein Unternehmen nur die notwendigen Daten erhebt, um die gewünschten Erfahrungen, Produkte oder Dienstleistungen bereitzustellen.

Transparenz

Stellen Sie verständliche und leicht zugängliche Informationen über die Art der erfassten personenbezogenen Daten, die Gründe für die Erfassung und die Personen, die Zugang zu den Daten haben, bereit. Einige Datenschutzgesetze verlangen zwar keine Einwilligung vor der Erfassung personenbezogener Daten, aber die meisten dieser Vorschriften erfordern, dass die Nutzer zumindest mittels einer Datenschutzrichtlinie oder eines Hinweises über diese Informationen informiert werden. Zudem muss sichergestellt werden, dass sie stets auf dem neuesten Stand ist, und zwar nicht nur, wenn sich Vorschriften ändern, sondern auch, wenn sich die von der Website oder App verwendeten Technologien ändern (z. B. für das Tracking). Diese Funktionen sollten automatisiert werden, z. B. mit Hilfe eines Consent Management-Systems.

Sicherheit

Setzen Sie geeignete technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor unbefugtem Zugriff, Diebstahl, Veränderung oder Zerstörung zu schützen. Es ist sicherer, Verstößen vorzubeugen, als sich mit deren Folgen auseinanderzusetzen. Die Rettung der Finanzen und des Rufs des Unternehmens ist immer eine Herausforderung.

Benutzersteuerung

Ermöglichen Sie es den Nutzern, die Erfassung und Verwendung ihrer personenbezogenen Daten zu kontrollieren. Dazu gehören z. B. die Möglichkeit, der Datenerhebung oder dem Datenverkauf zu widersprechen, und/oder die Möglichkeit, Berichtigungen oder Löschungen vornehmen zu lassen. Viele Datenschutzgesetze enthalten spezifische Anforderungen in Bezug auf diese Funktionen und weisen sie als Verbraucherrechte aus. Es ist jedoch empfehlenswert, mehr als nur die grundlegenden gesetzlichen Bestimmungen zu erfüllen und den Nutzern die Kontrolle zu überlassen. Dies fördert auch das Vertrauen und die Bereitschaft, langfristig mehr Daten zur Verfügung zu stellen. Achten Sie darauf, dass alle Optionen gleichermaßen dargestellt werden, um unübersichtliche Strukturen oder andere manipulative Praktiken zu vermeiden.

Privacy by Default als Voreinstellung

Sorgen Sie dafür, dass der Datenschutz in das Design und die Standardeinstellungen von Produkten und Diensten integriert wird. So sollten beispielsweise Technologien zur Verbesserung des Datenschutzes wie Verschlüsselung und Pseudonymisierung standardmäßig verwendet werden. Darüber hinaus ist es immer empfehlenswert, dass sich Unternehmen von qualifizierten Rechtsberatern unterstützen lassen, damit sie sich über ihre laufenden Verpflichtungen im Rahmen der einschlägigen Datenschutzgesetze in den Regionen, in denen sie tätig sind, im Klaren sind und wissen, wie sie diese während der gesamten Nutzungsdauer und Datenverarbeitung erfüllen können.

Beziehungen zu Dritten

Prüfen Sie die Datenschutzmaßnahmen von Drittanbietern, z. B. von Analyse- und Werbeunternehmen, und stellen Sie sicher, dass geeignete Verträge und Vereinbarungen zum Schutz personenbezogener Daten bestehen. Gemäß den meisten Datenschutzgesetzen ist bei einer Datenschutzverletzung der für die Datenverarbeitung Verantwortliche rechtlich für den Datenschutz verantwortlich und haftbar, und nicht der Auftragsverarbeiter (z. B. der Werbepartner).

Regelmäßige Überprüfung

Überprüfen und bewerten Sie regelmäßig die aktuelle Rechtslage der einschlägigen Gesetze sowie die Auswirkungen von Produkten, Dienstleistungen und Prozessen auf den Datenschutz, um sicherzustellen, dass „Privacy by Design“ auch weiterhin ein wichtiges Thema bleibt.

Einige Gesetze und gängige Verfahren schreiben eine regelmäßige Überprüfung der Datenschutzpraktiken und Benachrichtigungen vor, z. B. alle sechs oder 12 Monate. Bei der Verwendung einer Consent Management Platform ermöglichen die Auswertungen zudem eine regelmäßige Analyse der Nutzerinteraktionen, um die Nachrichtenübermittlung und sonstige Aspekte der Nutzererfahrung zu optimieren und sicherzustellen, dass die Nutzer ausreichend aufgeklärt werden, der Datenschutz gewahrt bleibt und die Einwilligungsraten optimiert werden.

Welche technischen Maßnahmen können für Privacy by Design wirksam sein?

Technisch ist es besonders wichtig, dass Webseiten und Apps umfassend mit den vorher genannten Maßnahmen kontrolliert und entwickelt werden. Gerade der Online Bereich ist anfällig für Datenschutzprobleme. Das liegt zentral daran, dass hier am häufigsten Daten gesammelt werden, die unter die DSGVO fallen. 

Analytics Tools wie Google Analytics 4, Adobe Analytics, Matomo oder andere Business Intelligence Software verarbeiten auf sehr vielen Webseiten unerlaubt Daten, da bei der Integration nicht oft genug auf Privacy by Design geachtet wird. 

Alle technischen Teams, von der Webentwicklung bis hin zur Marketingabteilung, müssen gemeinsam nach Lösungen suchen, um den Datenschutz zu maximieren. 

Ein zentraler Weg ist die Integration eines Tools wie einer Consent Management Platform, die bei richtiger Einpflege automatisch zu einer Optimierung beim Datenschutz führt. 

Welche organisatorischen Maßnahmen können für Privacy by Design wirksam sein?

Organisatorisch ist es besonders wichtig, dass alle an einem Strang ziehen. Es empfiehlt sich, eine Top-Down-Strategie zu implementieren, indem alle Führungsverantwortlichen immer wieder die Frage stellen: „Und wie sieht es mit dem Datenschutz aus?”.

Es reicht aber nicht, dass sich nur Führungsverantwortliche mit der Thematik auseinandersetzen. Alle Mitarbeiter können durch Schulungen oder Sensibilisierung darauf aufmerksam gemacht werden, dass der Datenschutz auch in ihrer Abteilung einen besonders hohen Stellenwert hat. Es muss klar sein, dass der Datenschutz zum einen zu einem besseren Vertrauensverhältnis beim Kundenkontakt sorgt und zum Anderen, dass der Datenschutz zum Risikomanagement gehört. 

Die DSGVO zeigt, dass der Datenschutz ein zentrales Element der Entscheidungsfindung sein muss. Wer das nicht in seine unternehmerische Tätigkeit einbaut, muss mit Problemen rechnen.

„Privacy by Design“ und Marketing

„Privacy by Design“ kann einen erheblichen Einfluss auf die Marketingaktivitäten haben. Die Datenstrategie für das Marketing ist bereits im Wandel und entfernt sich von der Verwendung von Third-Party-Daten und der weniger kontrollierten Verwendung von erfassten personenbezogenen Daten. „Privacy by Design“ spielt auch bei zunehmend beliebter werdenden Marketingfunktionen eine wichtige Rolle, wie z. B. bei dem Preference Management und dem Server-Side-Tagging, bei dem die Einwilligung des Nutzers eine Schlüsselfunktion während des gesamten Datenlebenszyklus darstellt.

Marketingexperten sind am Aufbau hervorragender Geschäftsbeziehungen mit ihren Kunden interessiert, und die Einbeziehung des Datenschutzes in ihre Strategien und Geschäftsbeziehungen ist ein solider Weg, dieses Ziel zu erreichen und gleichzeitig geschäftsrelevante Daten für die Durchführung dieser Aktivitäten zu erhalten. Ein Google/Ipsos-Bericht aus dem Jahr 2022 deckte auf, dass eine positive Datenschutzerfahrung für die Nutzer die Markenpräferenz um 43 % erhöht.

Wie schützt „Privacy by Design“ die Daten und die Privatsphäre der Nutzer?

Der Grundgedanke von „Privacy by Design“ ist der Schutz der Daten und der Privatsphäre der Nutzer und die Überzeugung, dass sowohl Privatsphäre als auch Sicherheit möglich und wünschenswert sind. Dies gilt für alle Projekte von der Entwicklung bis zur Wartungsphase als Voreinstellung.

„Privacy by Design“ antizipiert negative Ereignisse im Bereich des Datenschutzes, bevor sie eintreten, und sorgt dafür, dass personenbezogene Daten automatisch geschützt werden. Die Verantwortung für den Schutz der Privatsphäre wird nicht auf die Nutzer abgewälzt, wodurch Risiken durch Unwissenheit, Gleichgültigkeit oder Fehler begrenzt werden. Die Nutzer werden jedoch in allen Phasen über den Datenschutz und die Datennutzung informiert, da Transparenz ein zentraler Wert ist.

Die Verantwortung und Haftung liegt bei dem Unternehmen, das auf personenbezogene Daten zugreift, wobei es auch die Verantwortung für alle anderen Unternehmen übernimmt, die auf die Daten zugreifen, da dieses Unternehmen, sollte etwas schief gehen, für den Vertrauensverlust und die Beschädigung des Markenrufs sowie für Geldbußen und sonstige Strafen verantwortlich ist, selbst wenn das Problem nicht direkt von ihm verursacht wurde.

Daten und Privatsphäre sind geschützt, ohne dass die Nutzer aktiv werden müssen, denn der Schutz ist in alle Systeme integriert und wird während des gesamten Lebenszyklus der Daten und der Verarbeitung berücksichtigt, so dass es keine Schwachstellen gibt, an denen Datenschutzmaßnahmen nachträglich angebracht werden.

Privacy by Design und Consent Management

Mithilfe eines Consent Management Systems lässt sich „Privacy by Design“ bereits bei der Erhebung personenbezogener Daten intelligent umsetzen. Eine Consent Management Platform (CMP) informiert die Nutzer z. B. darüber, welche Daten zu welchem Zweck erhoben werden. Wo dies gesetzlich vorgeschrieben ist oder bewährte Verfahren angewandt werden, werden auch die Einwilligungen der Nutzer sicher aufgezeichnet und gespeichert. Dies erleichtert nicht nur die Einhaltung der Datenschutzvorschriften, sondern auch die Durchführung eines Audits für das Unternehmen, falls dies von einer Datenschutzbehörde angeordnet wird, und ermöglicht es den Nutzern, ihre Einwilligung in Zukunft zu aktualisieren.

Das Consent Management erleichtert auch „Privacy by Design“, da kontrolliert werden kann, welche Partner, Dienstleistungen und Tools Zugriff auf die erhobenen Nutzerdaten haben. Wird gegenüber Daten, Präferenzen und der Einwilligung der Nutzer Respekt gezeigt, kann dies die personalisierte Kommunikation und das Nutzererlebnis verbessern. Dies schafft Vertrauen, erhöht die Einbindung der Nutzer und hilft beim Aufbau langfristiger Geschäftsbeziehungen.

Fazit

In einer perfekten Welt wäre „Privacy by Design“ bereits bei der Gründung aller Unternehmen ein fester Bestandteil, und zwar noch vor der Entwicklung der Mindestanforderungen an das Produkt. Es wäre die erste und beständige Komponente bei der Entwicklung, Herstellung, Implementierung und Wartung von Produkten und Dienstleistungen. Die Nutzer müssten nicht mehr selbst eine Due-Diligence-Prüfung von Unternehmen durchführen, bei denen sie einkaufen oder mit denen sie anderweitig interagieren möchten. Sie müssten sich nicht mehr durch unübersichtliche Untermenüs wühlen, um ihre Sicherheits- und Datenschutzeinstellungen auf Websites und in Apps zu finden und zu bearbeiten.

Privatsphäre – und vor allem „Datenschutz durch Technikgestaltung“ – muss in der Realität allerdings nicht im Widerspruch zum Aufbau und Wachstum eines Unternehmens stehen. Je früher man sich damit befasst, desto leichter lässt sich der Schutz von Unternehmens- und Nutzerdaten gewährleisten.

Unternehmen sind nicht die einzigen Betroffenen, wenn es darum geht herauszufinden, wie sie „Privacy by Design“ in ihrer Philosophie, ihrer Kommunikation und ihren Abläufen verankern können. Tools wie Consent Management Platforms gibt es genau zu diesem Zweck. Bei der Entwicklung dieser Tools wurde berücksichtigt, dass Unternehmen Daten benötigen und dass sie anspruchsvolle Marketingaktivitäten durchführen müssen. Tools wie Consent Management Platforms ermöglichen und optimieren dies und bieten gleichzeitig ein angenehmes Nutzererlebnis. „Privacy by Design“ trägt dazu bei, dass sich sowohl Kunden als auch Unternehmen keine Sorgen machen müssen.

Erfahren Sie mehr darüber, wie die Consent Management Platform (CMP) von Usercentrics Sie bei der Integration von „Privacy by Design“ in Ihre Website oder App unterstützen kann. Sprechen Sie mit einem unserer Experten.

Die Europäische Union (EU) hat einige der weltweit strengsten Datenschutzgesetze. Davon sind die Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie bereits in Kraft. Die geplante ePrivacy-Verordnung soll jedoch einige Änderungen am Datenschutz und der Einwilligung zu Cookies bewirken, welche über den Einsatz eines effektiven Cookie-Hinweises hinausgehen. Außerdem wird sie den Kreis der betroffenen Unternehmen erweitern.

Sehen wir uns nun die ePrivacy-Anforderungen an und was die Änderungen für den Datenschutz bedeuten. Ein umfassender Consent Manager ist in der Lage, diese Anforderungen flexibel umzusetzen und zukünftige Änderungen abzubilden.

1. Was ist ePrivacy?

ePrivacy umfasst sowohl die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) als auch die geplante ePrivacy-Verordnung. Ihr Zweck besteht darin, den Datenschutz und den Schutz bei der elektronischen Kommunikation innerhalb der EU zu gewährleisten. Sie ergänzt die DSGVO.

2. Was ist die ePrivacy-Richtlinie?

Die EU ePrivacy-Richtlinie (bekannt als „Cookie-Richtlinie“) trat 2002 in Kraft und wurde 2009 aktualisiert. Sie befasst sich insbesondere mit Datenschutzfragen in der elektronischen Kommunikation. Sie schreibt die Vertraulichkeit der Kommunikation über öffentliche Netzwerke vor, erfordert die Einwilligung der Nutzer zu Cookies, legt Richtlinien für die Sicherheit elektronischer Kommunikationsdienste fest und regelt das Direktmarketing. Nach dem Inkrafttreten der ePrivacy-Richtlinie wurden Cookie-Consent-Banner für die elektronische Kommunikation bekannter, da sie eine praktische Möglichkeit zur Einholung der ausdrücklichen Einwilligung von Nutzern darstellen.

Diese Richtlinie muss in die nationalen Gesetze der EU-Mitgliedstaaten aufgenommen werden, was zu Unterschieden bei der Durchsetzung innerhalb der Union geführt hat.

Im November 2023 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien herausgegeben, die den Umfang der durch die Richtlinie abgedeckten Technologien erweitert haben.

3. Was sind die geplanten Änderungen an der ePrivacy-Richtlinie?

Artikel 5 Absatz 3 der ePrivacy-Richtlinie schreibt vor, dass ein Unternehmen oder eine Website nur Informationen auf dem Gerät eines Nutzers (wie einem Computer oder Smartphone) speichern oder von diesem abrufen darf, wenn zuvor die Einwilligung des Nutzers eingeholt wurde.

Im Rahmen der Leitlinien 2/2023 zum technischen Anwendungsbereich von Artikel 5 Absatz 3 der ePrivacy-Richtlinie erweitert der EDSA die Anwendung der Richtlinie zum Speichern oder Abrufen von Informationen auf dem Gerät eines Nutzers. Was Endgeräte und die Art der Informationen sind, wird vom EDSA großzügig ausgelegt. Das lässt den Schluss zu, dass viele digitale Trackingmethoden eine vorherige Einwilligung erfordern, wenn sie nicht für die Erbringung eines angeforderten Dienstes erforderlich sind.

Die Richtlinien beziehen sich speziell auf die Verwendung verschiedener moderner Tracking-Technologien, die im digitalen Marketing und Online-Tracking verbreitet sind.

URL- und Pixel-Tracking

Tracking-Pixel sind winzige Bilder, die in Websites oder E-Mails eingebettet sind und eine Verbindung zu einem Server herstellen. Wenn eine E-Mail mit einem Tracking-Pixel geöffnet wird oder eine Webseite mit einem Tracking-Pixel besucht wird, kann der Server die Aktion aufzeichnen und Details erfassen, wie die Uhrzeit, zu der die E-Mail geöffnet wurde, die IP-Adresse des Empfängers und die Art des verwendeten Geräts. Mit URL-Tracking-Links zu Websites lässt sich besser feststellen, woher Besucher kommen.

Lokale Verarbeitung

Manchmal verwenden Websites APIs, um auf Informationen zuzugreifen, die auf dem Gerät eines Nutzers gespeichert sind, z. B. Standortdaten. Wenn verarbeitete Informationen über das Netzwerk zur Verfügung gestellt werden, gilt dies im Sinne dieser Richtlinie als Zugriff auf gespeicherte Informationen.

Tracking nur basierend auf der IP-Adresse

Einige Technologien stützen sich nur auf die Erfassung der IP-Adresse für das Tracking von Nutzern. Wenn die IP-Adresse aus dem Endgerät des Nutzers stammt, findet Artikel 5 Absatz 3 der ePrivacy-Richtlinie Anwendung.

Internet of Things (IoT) – Berichterstattung

Gemäß den Richtlinien benötigen Sie die Einwilligung des Nutzers zur Datenerhebung und -verarbeitung durch Geräte, die direkt oder indirekt mit dem Internet verbunden sind. Dies gilt für intelligente Geräte wie Kühlschränke oder Fitness-Tracker, unabhängig davon, ob sie Daten direkt oder über ein anderes Gerät, z.B. ein Smartphone senden.

Eindeutige Kennung

Eindeutige Kennungen sind spezielle Codes, die den Online-Daten eines Nutzers zugeordnet sind, um anzuzeigen, dass sie zu dem Nutzer gehören. Sie stammen oft aus persistenten personenbezogenen Daten oder Angaben, die sich im Laufe der Zeit nicht wesentlich ändern, wie E-Mail-Adressen, Nutzernamen, Konto-IDs oder Geburtsdatum. Sie werden verwendet, um Nutzer über verschiedene Websites oder Apps hinweg zu erkennen. Wenn eine Website den Browser eines Nutzers anweist, diese Daten zu senden, greift sie auf Informationen auf dem Gerät zu, und es kommt Artikel 5 Absatz 3 zur Anwendung.

4. Erfordern alle Cookies eine Einwilligung gemäß der ePrivacy-Richtlinie?

Nein, gemäß der ePrivacy-Richtlinie ist bei Cookies, die für die Erbringung eines vom Nutzer ausdrücklich verlangten Dienstes „unbedingt erforderlich“ sind, keine Einwilligung notwendig. Diese Cookies sind für die grundlegende Funktion der Website oder für die Erbringung des vom Nutzer angeforderten Dienstes unerlässlich. Beispiele:

• Cookies, die verwendet werden, um den Status der Aktivitäten eines Nutzers auf einer Website während einer Browsersitzung, z. B. den Anmeldestatus, aufrechtzuerhalten
• Cookies, die verwendet werden, um Sicherheitsfunktionen zu unterstützen und Sicherheitsrisiken zu erkennen und abzuwenden
• Cookies, die vom Nutzer eingegebene Informationen wie z. B. Nutzername, Sprache oder Region speichern, um ein personalisiertes Erlebnis zu ermöglichen

Obwohl diese Cookies von der Einwilligungsverpflichtung ausgenommen sind, wird dennoch erwartet, dass Sie Nutzer über die Verwendung solcher Cookies informieren, häufig über eine Datenschutzrichtlinie oder Cookie-Richtlinie.

5. Was ist die neue ePrivacy-Verordnung?

Die ePrivacy-Verordnung ist ein geplanter rechtlicher Rahmen der EU, der die bestehende ePrivacy-Richtlinie aktualisieren und ersetzen soll. Der Schwerpunkt der ePrivacy-Verordnung liegt auf der Verbesserung des Datenschutzes bei der elektronischen Kommunikation, der neben den herkömmlichen Telekommunikationsanbietern auch neue Kommunikationsdienste wie Instant-Messaging-Anwendungen, VoIP-Dienste und E-Mail umfasst. Er umfasst Texte, Bilder, Sprache, Videos und Metadaten.

Im Gegensatz zu Richtlinien, die eine Umsetzung in nationale Gesetze erfordern, sind Verordnungen direkt anwendbar. Das bedeutet, dass sie bei Inkrafttreten einheitlich in der gesamten EU Anwendung finden. Die ePrivacy-Verordnung ist so konzipiert, dass sie eng mit der DSGVO abgestimmt ist und einen einheitlichen Ansatz für Datenschutz und Privatsphäre in der gesamten EU gewährleistet.

6. Für wen gilt die ePrivacy-Verordnung?

Ziel der ePrivacy-Verordnung ist die Ausweitung des Datenschutzes auf ein breiteres Spektrum der elektronischen Kommunikation, sodass es nicht nur auf die herkömmlichen Telekommunikationsanbieter beschränkt ist. Sie gilt für alle Unternehmen, die Daten in Verbindung mit Online-Kommunikationsdiensten verarbeiten, Online-Tracking-Technologien nutzen oder elektronisches Direktmarketing betreiben, und umfasst natürliche wie auch juristische Personen, die an der elektronischen Kommunikation beteiligt sind.

Beispiele dafür, für wen die Verordnung gilt:

• Website-Inhaber
• Eigentümer von Apps, die elektronische Kommunikation als Komponente haben
• natürliche oder juristische Personen, die Direktmarketing-Mitteilungen versenden
• Telekommunikationsunternehmen
• Messaging-Dienstanbieter (WhatsApp, Facebook und Skype)
• Internetanbieter (z. B. ein Geschäft oder Café mit offenem WLAN-Zugang)

Die Verordnung gilt auch für die Kommunikation zwischen Maschinen (Internet der Dinge).

Wie die DSGVO erstreckt sich auch der Anwendungsbereich der ePrivacy-Verordnung über die EU hinaus. Sie gilt für Daten von Endnutzern mit Sitz in der EU, auch wenn die Datenerhebung und/oder -verarbeitung außerhalb der EU oder von Anbietern außerhalb der EU erfolgt.

7. Welche Handlungen verbietet die ePrivacy-Verordnung?

Die ePrivacy-Verordnung enthält mehrere spezifische Verbote zum Schutz der Datenschutzrechte von Nutzern:

• das Abfangen, Speichern, Monitoring, Scanning oder sonstige Überwachen elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer (es sei
• denn, dies ist durch die Verordnung ausdrücklich gestattet)
• die Nutzung von Tracking-Technologien für nichttechnische Zwecke ohne ausdrückliche Einwilligung
• den Zugriff auf Informationen, die auf den Endgeräten eines Nutzers gespeichert sind, ohne dessen Einwilligung
• das Versenden unerwünschter elektronischer Mitteilungen oder von Spam, wozu unerwünschte E-Mails, SMS und automatisierte Anrufsysteme zählen
• das Verarbeiten von Metadaten aus elektronischer Kommunikation (z. B. Standortdaten, Anrufzeiten und Empfängerinformationen) ohne Einwilligung des Nutzers oder auf einer anderen Rechtsgrundlage

8. Was wird mit der ePrivacy-Verordnung neu sein?

Die ePrivacy-Verordnung ist noch nicht umgesetzt und kann sich noch ändern, bevor sie als verbindliche Verordnung verabschiedet wird. Zu den Schwerpunktbereichen der geplanten ePrivacy-Verordnung gehören folgende:

Elektronische Kommunikation

Sie erweitert den Anwendungsbereich der aktuellen Richtlinie um moderne Kommunikationsformen, wie Messaging-Dienste bei Social-Media-Plattformen (WhatsApp, Facebook Messenger) und VoIP-Anbietern, mit dem Ziel, digitale Kommunikationsmethoden umfassend abzudecken.

Cookie Walls

Eine Cookie Wall ist ein Mechanismus, durch den Websites Nutzern den Zugriff verweigern, es sei denn, der Nutzer stimmt den Cookies zu. Die geplante ePrivacy-Verordnung verbietet Cookie Walls nicht vollständig und gestattet sie unter bestimmten Bedingungen. Insbesondere kann eine Website Nutzer auffordern, Cookies zuzustimmen, wenn sie auch eine ähnliche Option bietet, für die keine Cookie-Einwilligung erforderlich ist. Der Schlüssel besteht darin, den Nutzern eine klare Auswahl zu bieten und sicherzustellen, dass sie über eine alternative Möglichkeit verfügen, auf Dienste zuzugreifen, ohne dass sie Cookie Consent geben müssen.

Vertraulichkeit

Anbieter von elektronischen Kommunikationsdiensten wie Gmail, Skype, Facebook Messenger und WhatsApp müssen höhere Datenschutzstandards anwenden, um sicherzustellen, dass die Kommunikationsdaten vertraulich behandelt werden. Sie müssen alle Kommunikationsdaten mithilfe der besten verfügbaren Techniken sichern.

Metadaten

Die Verordnung schützt auch die Metadaten der elektronischen Kommunikation. Beispiele für Metadaten sind die folgenden:

• Uhrzeit und Datum der Kommunikation
• Dauer der Kommunikation
• Standort des Senders und Empfängers der Kommunikation zum Zeitpunkt der Kommunikation
• Art der Kommunikation: Sprachanruf, Videoanruf, Textnachricht, E-Mail usw.
• Informationen über die für die Kommunikation verwendeten Geräte, samt Gerätetypen und -IDs
• Details bezüglich des für die Kommunikation verwendeten Netzwerkes, wie z. B. WLAN- oder Mobilfunknetzkennungen und Signalstärke

Metadaten dürfen nur in Übereinstimmung mit der Verordnung abgefangen werden.

Richtlinie vs. Verordnung

Es gibt einen wesentlichen Unterschied zwischen EU-Richtlinien, wie der EU-Cookie-Richtlinie von 2002, und Verordnungen wie der geplanten ePrivacy-Verordnung. Während eine Richtlinie von verschiedenen Ländern auf nationaler Ebene umgesetzt werden muss, wird eine Verordnung in den EU-Ländern sofort rechtsverbindlich.

Die Umsetzung von Richtlinien erfolgt mit leichten Unterschieden über Ländergrenzen hinweg, während die Verordnungen in allen EU-Ländern den gleichen Inhalt haben. Die Tatsache, dass die ePrivacy-Gesetze nun eine Verordnung sein werden, zeigt, dass sich die EU weiterhin für einen gründlichen Datenschutz in der gesamten EU einsetzt.

Unaufgefordertes Marketing

Marketers können keine E-Mails, Textnachrichten oder andere Mitteilungen ohne vorherige Einwilligung der Nutzer versenden; dies wird zu einer Verringerung von Spam führen.

9. Wie unterscheidet sich die ePrivacy-Verordnung von der DSGVO?

Die DSGVO und die ePrivacy-Verordnung haben mehrere Gemeinsamkeiten:

• Sie sehen die gleichen hohen Geldstrafen für Verstöße vor.
• Beide zielen darauf ab, die Datenschutzgesetze in der gesamten EU aufeinander abzustimmen.
• Beide gelten für die Verarbeitung von Daten von Personen mit Wohnsitz in der EU, unabhängig davon, ob die Auftragsverarbeiter selbst innerhalb der EU ansässig sind oder nicht.
• Beide sind EU-Verordnungen.

Es gibt jedoch einige große Unterschiede zwischen den beiden Verordnungen, die in der folgenden Tabelle aufgeführt sind.

10. Wann tritt die ePrivacy-Verordnung in Kraft?

Die ePrivacy-Verordnung sollte zunächst zusammen mit der DSGVO zum 25. Mai 2018 in Kraft treten, wurde aber noch nicht verabschiedet. Der EU-Rat veröffentlichte einen Entwurf am 10. Februar 2021, der nun Gegenstand von Verhandlungen zwischen dem Rat und dem Europäischen Parlament ist. Wenn der Entwurf genehmigt wird, tritt er in allen 27 EU-Mitgliedstaaten in Kraft.

Nach der Genehmigung des Entwurfs gilt eine zweijährige Frist, bis die Verordnung durchsetzbar wird. Dadurch haben Sie Zeit, die erforderlichen Änderungen vorzunehmen und die Verordnung einzuhalten, falls Ihr Unternehmen davon betroffen ist.

11. Warum und wie sollten sich Unternehmen auf die ePrivacy-Verordnung vorbereiten?

Geldstrafen

Die Strafen der DSGVO sind erheblich, und die gleichen Strafen gelten bei Verstößen gegen die ePrivacy-Verordnung: bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes für das vorangegangene Geschäftsjahr, wobei der jeweils höhere Betrag maßgeblich ist.

Wenn die ePrivacy-Verordnung in Kraft tritt, gilt sie sofort für elektronische Kommunikationsverarbeiter in der gesamten EU; Unternehmen sollten daher vor diesem Zeitpunkt sicherstellen, dass sie die Verordnung einhalten.

Vorbereitung auf die ePrivacy-Verordnung

Die ePrivacy-Verordnung ersetzt nicht die DSGVO; beide Verordnungen sollen gemeinsam bestehen und einander ergänzen. Die ePrivacy-Verordnung ändert nicht die Datenschutzregeln vollständig, sodass Unternehmen, die die DSGVO erfüllen, nicht von vorne beginnen müssen. Die ePrivacy-Verordnung erweitert nur die EU-Datenschutzgesetze. Auch nach Inkrafttreten müssen Unternehmen sowohl die DSGVO als auch die ePrivacy-Verordnung einhalten oder mit Geldstrafen rechnen.

Darüber hinaus wird man sich nach dem Inkrafttreten der ePrivacy-Verordnung wahrscheinlich für die Datenverarbeitung stärker auf die Einwilligung als Rechtsgrundlage stützen, wobei die ePrivacy-Verordnung die DSGVO-Definition des Begriffs der „Einwilligung“ verwendet. Eine DSGVO-konforme Methode zur Einholung der Einwilligung ist bereits eine ausgezeichnete Möglichkeit, sich auf die ePrivacy-Verordnung vorzubereiten.

Usercentrics verfolgt die regulatorischen Entwicklungen, um sicherzustellen, dass unser Produkt den neuesten Standards entspricht. Unternehmen können unsere Consent Management Platform (CMP) nutzen, um die Einhaltung der DSGVO sowie ePrivacy-Konformität zu ermöglichen und sich auf zukünftige Datenschutzgesetze, wie die ePrivacy-Verordnung, vorzubereiten.

Weitere Informationen:

• Januar 2017: Textentwurf der ePrivacy-Verordnung wurde veröffentlicht
• September 2017: Europäischer Rat veröffentlicht geplante Änderungen
• Februar 2021: Europäischer Rat veröffentlicht Mandat für Verhandlungen mit dem Europäischen Parlament

Die Usercentrics GmbH bietet keine Rechtsberatung. Der Inhalt des vorstehenden Artikels ist nicht als rechtsverbindlich zu verstehen. Der Artikel stellt die Meinung von Usercentrics dar.

Eine Vielzahl neuer Datenschutzgesetze wurden 2023 verabschiedet, und einige zuvor verabschiedete Gesetze traten im letzten Jahr in Kraft. In 2024 werden noch weitere Gesetze folgen bzw. in Kraft treten. Aber möglicherweise noch gravierender ist, dass rechtliche Datenschutzanforderungen an große Technologiekonzerne fundamentale Auswirkungen auf Drittunternehmen haben werden, die auf deren Plattformen und Dienste angewiesen sind, um eigene Zielgruppen zu erreichen, Daten zu erfassen und Umsatz zu generieren.

KI wird künftig sicher noch stärker reguliert, und der Fokus darauf hat auch das Bewusstsein der Verbraucher in Bezug auf den Zugriff und die Nutzung ihrer Daten erhöht. Einige der zuvor genannten Gesetze und Unternehmensanforderungen bringen jedoch auch willkommene Verbesserungen für die Verbraucher mit sich. Dazu zählen mehr Transparenz, Wettbewerb, Innovation und Auswahl für die Konsumenten.

Schauen wir uns an, welche Änderungen im Datenschutz im Jahr 2024 bevorstehen.

Datenschutzgesetze und Unternehmen im Jahr 2024

Eine Vielzahl der 2023 in den USA beschlossenen Gesetze werden 2024 in Kraft treten. Dadurch erhöht sich die Anzahl der US-Bundesstaaten mit geltenden Datenschutzgesetzen sowie die damit verbundenen Anforderungen an Unternehmen, die personenbezogene Daten verarbeiten, erheblich.

Es gibt mehrere umfassende Datenschutzgesetze weltweit, die 2024 voraussichtlich verabschiedet werden. Diese sorgen für neue Schutzmaßnahmen für noch mehr Menschen bzw. verbessern den Datenschutz, z. B. in der Europäischen Union.

Darüber hinaus werden Technologien, die Datenschutz ermöglichen und verbessern, wahrscheinlich einen großen Stellenwert einnehmen. Die Datenschutzrichtlinie Ihrer Website dient dabei maßgeblich der Stärkung von Nutzervertrauen, der Förderung von Transparenz und der Ausrichtung auf die gesellschaftliche Verantwortung von Unternehmen.

Sobald die Durchsetzung von neuen Gesetzen wie dem Gesetz über digitale Märkte (DMA) beginnt, werden wir wahrscheinlich schnelle und bedeutende Änderungen im Betrieb großer Technologiekonzerne erleben. Gleiches gilt für kleinere Unternehmen, die auf deren Plattformen angewiesen sind. Datenschutzmaßnahmen werden bald für mehr Menschen weltweit als je zuvor gelten. Werden bis zum Ende des Jahres 75% der Menschheit von Datenschutzgesetzen geschützt, wie Gartner voraussagt?

Datenschutz in den USA

Acht US-Bundesstaaten haben 2023 Datenschutzgesetze beschlossen, und fünf dieser Gesetze treten 2024 in Kraft:

• Montana Consumer Data Privacy Act (MTCDPA)
• Florida Digital Bill of Rights (FDBR)
• Texas Data Privacy and Security Act (TDPSA)
• Oregon Consumer Privacy Act (OCPA)
• Delaware Personal Data Privacy Act (DPDPA)

14 der 50 US-Bundesstaaten verfügen nun über Datenschutzgesetze. Dabei hatten 40 Bundesstaaten das Datenschutzrecht 2023 auf die Tagesordnung gesetzt, viele davon nicht zum ersten Mal. Es ist davon auszugehen, dass in 2024 weitere Datenschutzgesetze verabschiedet werden.

Die Fortschritte bei den Datenschutzgesetzen auf US-Bundesebene kommen nur langsam voran oder sind in einigen Fällen sogar ganz zum Stillstand gekommen. Entwicklungen wie die generative KI und ihre Anwendung erhalten jedoch viel Aufmerksamkeit und werden skeptisch verfolgt, auch im Hinblick auf den Datenschutz. Daher ist es möglich, dass Randthemen wie diese eine größere Motivation für ein umfassenderes US-Datenschutzgesetz darstellen.

Datenschutz in Kanada

Die Gesetzesvorlage Bill C-27 beinhaltet den Digital Charter Implementation Act von 2022. Dieser würde ein neues gesetzliches Rahmenwerk zum Zugang und zur Nutzung personenbezogener Daten im Privatsektor mit sich bringen. Die Gesetzesvorlage liegt derzeit dem Ausschuss vor und könnte im Jahr 2024 verabschiedet werden. Sie würde den Consumer Privacy Protection Act (CPPA) in Kraft treten lassen und den Personal Information Protection and Electronic Documents Act (PIPEDA) ersetzen, welcher über 20 Jahre alt ist.

Der Digital Charter Implementation Act würde auch den Personal Information and Data Protection Tribunal Act umfassen. Dieser sieht ein administratives Tribunal vor, das Entscheidungen des Privacy Commissioners von Kanada überprüfen und bei Verstößen gegen den CPPA Bußgelder verhängen kann.

Das Gesetz würde auch dazu beitragen, die Ausweitung des Einflusses und der Anwendungen von KI mit dem Artificial Intelligence and Data Act (AIDA) anzugehen, wobei der Handel und das Gewerbe mithilfe von KI-Systemen anhand eines risikobasierten Ansatzes reguliert werden könnten. Jegliche neue KI-Gesetze bzw. -Rahmenwerke müssten dann einen Fokus auf Datenschutz legen, insbesondere in Bezug auf Verbraucher.

Datenschutz in Australien

Auf Bundesebene verfügt Australien seit 1988 über den Privacy Act (mit zusätzlichen Gesetzen für Bundesstaaten und Territorien). Eine Überarbeitung dieses Gesetzes wird schon lange erwartet, obwohl zuletzt 2022 eine Änderung vorgenommen wurde. Der Privacy Act Review Report mit 116 Empfehlungen wurde im Februar 2023 veröffentlicht. Wahrscheinlich werden einige Aufsehen erregende Datenschutzverstöße der letzten Jahre den Druck auf die australische Regierung erhöhen, den Datenschutz für die Bevölkerung zu stärken. Freuen Sie sich auf bedeutende Veränderungen im Jahr 2024.

ePrivacy-Verordnung in der EU

In der Europäischen Union gilt seit 2018 die ePrivacy-Richtlinie (ePD), ebenso wie die Datenschutz-Grundverordnung (DSGVO). Doch die ePrivacy-Verordnung (ePR), welche die ePrivacy-Richtlinie außer Kraft setzen würde, lässt bislang auf sich warten. Die EU hat seitdem über die letzten Jahre andere Gesetze mit Datenschutzelementen verabschiedet, zu denen auch das Gesetz über digitale Märkte (DMA) gehört. Auch das KI-Gesetz bzw. der AI Act wird vermutlich Anfang 2024 verabschiedet.

Die ePrivacy-Verordnung würde unter anderem klarere Regeln für die Verwendung von Cookies festlegen und neuere elektronische Kommunikationsdienste regulieren, die nicht unter die ePrivacy-Richtlinie fallen, z. B. WhatsApp oder Facebook Messenger. Bei einer Übergangsphase von 24 Monaten würde das Gesetz jedoch selbst bei einer Verabschiedung im Jahr 2024 nicht vor 2026 in Kraft treten.

Regulierung von künstlicher Intelligenz (KI)

Der AI Act bzw. das KI-Gesetz der Europäischen Union, das erste seiner Art, wird voraussichtlich Anfang 2024 fertiggestellt. Zusätzlich zu neuen Regeln, Richtlinien und Verboten hinsichtlich der Entwicklung und Anwendung von KI in der EU wird das Gesetz wahrscheinlich ähnliche Gesetze anderer Länder maßgeblich beeinflussen, wie es auch schon beim Inkrafttreten der DSGVO der Fall war.

Im Oktober 2023 unterzeichnete US-Präsident Biden auch eine Präsidentenverfügung zur sichereren Verwendung von KI, welche ebenfalls weitere Entwicklungen in diesem Bereich beeinflussen wird.

Digital Services Act Paket

In unserer Zusammenfassung des Jahres 2023 haben wir das Digital Services Act Paket mit seinen zwei Gesetzen behandelt: dem Gesetz über digitale Dienste (DSA) und dem Gesetz über digitale Märkte (DMA). Einige Anforderungen der Gesetze bestanden schon 2023, doch die Durchsetzung beginnt erst Anfang des Jahres 2024.

Diese Gesetze fordern Datenschutzkonformität von bestimmten großen Technologiekonzernen. Dadurch wird gleichzeitig Druck auf die Einhaltung der Datenschutzvorschriften von Drittunternehmenskunden und -partnern ausgeübt. Dies könnte gerade für kleinere Unternehmen eine weitaus stärkere Wirkung hinsichtlich der Einhaltung der Datenschutzvorschriften haben – insbesondere in der EU – als dies bis heute für Gesetze wie die DSGVO der Fall ist. Zum Beispiel: Die Anforderung von Google zur Verwendung einer zertifizierten Consent Management Platform zur Unterstützung des TCF 2.2 und Consent Mode.

Halten Sie ab 2024 nach wesentlichen Änderungen Ausschau, die sich auf die Auswahlmöglichkeiten der Verbraucher sowie auf die Geschäftstätigkeit und die Wettbewerbsfähigkeit auf den digitalen Märkten auswirken. Dazu zählen auch die Einführung von Consent Management Platforms (CMPs), die Datenschutzkonformität und die Signalisierung der Einwilligung ermöglichen. 

Wichtig ist es dabei nicht nur Webseiten, sondern auch Consent Management für Apps und Consent Management für TV zu berücksichtigen.

Die Zukunft von „Pay or Okay“?

Aufgrund der fortlaufenden Datenschutz-Herausforderungen in der EU und als Reaktion auf den Digital Markets Act (DMA), unter dem der Mutterkonzern von Facebook und Instagram als „Gatekeeper“ gilt, hat Meta Pläne für ein neues Abonnement-Modell angekündigt, mit dem Nutzer auf Facebook und Instagram zugreifen können. Dieses Modell wird auch als „Pay or Okay“ bezeichnet.

In der EU, dem EWR und der Schweiz könnten sich Nutzer von Facebook und Instagram dabei für ein kostenpflichtiges monatliches Abonnement dieser Plattformen registrieren, bei dem sie keine Werbung erhalten. Für Nutzer, die kein zahlungspflichtiges Abonnement abschließen möchten, wird nicht nur Werbung angezeigt, sondern es werden auch ihre personenbezogenen Daten erfasst und verwendet, z. B. für personalisierte Werbung.

Ende 2023 reichten jedoch verschiedene Gruppen Beschwerden gegen das geplante Abonnement-Modell von Meta ein, darunter der Europäische Verbraucherverband (BEUC). Sie argumentierten, dass dieser Ansatz ungerecht und ein weiterer Versuch sei, die Gesetzgebung der EU zu umgehen. Verfolgen Sie im Laufe des Jahres 2024 die Entwicklung dieses Falls, der auch für andere große Technologiekonzerne interessant sein dürfte.

Fazit – So können Sie Datenschutz zu Ihrem Vorteil machen

Das passendste Stichwort dafür, was wir 2024 im Bereich Datenschutz erwarten dürfen, lautet wohl: Beschleunigung. 2023 wurden so viele Initiativen ins Leben gerufen, die sich im Jahr 2024 weiterentwickeln oder neue Gesetze, Unternehmensanforderungen, Technologien und Verbrauchererwartungen prägen werden.

Datenschutz wird immer wichtiger für die Geschäftstätigkeit und den Schutz des Markenimages und Umsatzes. Unternehmen erkennen nicht nur die Gefahr, gegen Datenschutzgesetze zu verstoßen, sondern auch die Chancen, die sich aus dem Schutz von Nutzerdaten und der Achtung der Privatsphäre von Kunden ergeben. Wir können zum Beispiel davon ausgehen, dass Datenschutz in der Mobilbranche im Jahr 2024 noch relevanter wird.

In einigen Regionen müssen Unternehmen mehrere Gesetze gleichzeitig einhalten. Dies stellt vor allem für kleine und mittlere Unternehmen mit begrenzten Ressourcen eine Herausforderung dar. Doch daran müssen wir uns gewöhnen – und das ist gar nicht so schwierig, wie es auf den ersten Blick erscheint. Usercentrics unterstützt Sie dabei: Unsere Lösungen sind benutzerfreundlich, zuverlässig und besonders skalierbar, während Ihr Unternehmen wächst, Ihre technischen Systeme sich ändern und Gesetze sich weiterentwickeln.

Usercentrics bietet keine rechtliche Beratung. Alle Angaben dienen nur zu Informationszwecken. Wir empfehlen immer, zu Fragen des Datenschutzes und der Datenverarbeitung einen qualifizierten Rechtsbeistand oder Datenschutzexperten hinzuzuziehen.

Google Analytics ist das beliebteste Tool zur Webanalyse, das Informationen zur Performance einer Webseite bereitstellt. Im Jahr 2022 geriet es jedoch von Seiten der Datenschutzbehörden einiger EU-Mitgliedstaaten unter Beschuss, weil die Nutzung des Dienstes nicht ausreichend Datenschutz bietet.

Zwischen der EU und den Vereinigten Staaten besteht seit Juli 2020 keine Vereinbarung mehr über die Angemessenheit des Datenschutzes. Daten werden jedoch in die Vereinigten Staaten übermittelt, da Google dort seinen Sitz hat. Und genau das ist das Problem, denn dadurch kann Datenschutzkonformität nicht angemessen erfolgen. Wann dieses Problem behoben werden soll, ist nicht bekannt. Die Beschwerden der verschiedenen Länder über die Nutzung von Google Analytics sowie die unzureichenden Maßnahmen zum Schutz von Daten und Datenübermittlungen beziehen sich auf dieses Problem.

Die Beschlüsse der EU-Datenschutzbehörden zu Google Analytics und DSGVO-Verstößen

Österreich

Am 12. Januar 2022 gab die österreichische Datenschutzbehörde (DSB) einen Beschluss bekannt (auf Englisch), der auf einer Klage vom August 2020 beruht. Diese hatte zum Inhalt, dass die Nutzung von Google Analytics durch die Webseite eines österreichischen Unternehmens gegen das vom Europäischen Gerichtshof getroffene Schrems II-Urteil vom Juli 2020 (auf Englisch) verstoße.

Trotz Anonymisierung der erhobenen Daten wurde entschieden, dass dies nicht ausreichend sei, da diese wahrscheinlich erst dann stattgefunden habe, nachdem die Daten die Vereinigten Staaten erreicht und nicht bevor sie die EU „verlassen“ hatten. In diesem Fall hatte Google Analytics tatsächlich die Option zur Anonymisierung von IP-Adressen bereitgestellt, die der Verantwortliche (Webseitenbetreiber) aktiviert, aber nicht korrekt auf der Webseite implementiert hatte. Daher wurde die tatsächliche Anonymisierung dieser Daten nicht erreicht.

In anderen Beschlüssen wurde ermittelt, dass IP-Adressen unter personenbezogene Daten fallen, allerdings war das in diesem speziellen Beschluss nicht der Fall. Es wurde jedoch festgestellt, dass eine IP-Adresse in Kombination mit zusätzlichen Daten wie der eindeutigen User-ID (Unique User ID, „UID”) ausreichen würde, um eine Person identifizieren zu können.

Auch Verschlüsselung sei nicht ausreichend, denn die US-Behörden könnten Zugriff auf den Verschlüsselungscode erhalten, da Google gesetzlich zu deren Offenlegung verpflichtet ist. Österreichische (oder andere EU-)Behörden haben lediglich das Recht, den Verschlüsselungscode anzufordern.

Der Beschluss basierte auf älteren Standardvertragsklauseln (SVK) und dem Stand der behördlichen Angelegenheiten aus dem Jahr 2020. Der Fall wurde jedoch an die deutschen Behörden weitergegeben, damit diese ein Urteil für den Zeitraum nach der Freigabe der neuen SVK fällen können.

Die in der DSGVO festgelegten Strafsätze von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes sind in ähnlichen Fällen wie dem österreichischen Beschluss bezüglich der nicht DSGVO-konformen Nutzung von Google Analytics anwendbar. Derzeit wird der Fall jedoch eher als öffentliche Durchsetzungsmaßnahme für Datenschutzkonformität angesehen, und es wurden keine Geldstrafen verhängt. Google veröffentlichte auch eine Reaktion auf das Urteil (auf Englisch), in der es seine Datenschutzmaßnahmen darlegte.

Welche Daten werden von Google Analytics erfasst?

Wie bereits erwähnt, sind einige der von Google Analytics erfassten Daten, die für Bedenken hinsichtlich des Datenschutzes sorgen, unter anderem IP-Adressen und eindeutige User-IDs. Google Analytics kann natürlich noch deutlich mehr Informationen erfassen als nur diese, auch wenn es sich bei einem Großteil um aggregierte Daten handelt. Dazu gehören etwa die Besucherzahlen oder Seiten einer Webseite sowie Informationen darüber, wie lange sich Besucher auf einer Webseite aufhalten, woher sie kommen, und wann genau sie die Webseite wieder verlassen. Zudem fallen darunter Informationen, die beschreiben, wie Besucher auf der Webseite navigieren, was sie währenddessen tun und mit welchen Elementen sie interagieren.

Google Analytics kann außerdem Informationen erfassen, die noch „persönlicher“ sind, wie etwa einen Näherungswert des geografischen Standortes, die Browsersprache und Informationen zu Geräten und Browsern von Nutzern. Eine vollständige Liste der „Ereignisse“ zur Datenerfassung finden Sie hier (auf Englisch).

Welche Cookies werden von Google Analytics verwendet?

Google Analytics unterstützt drei Tags/Cookies (auf Englisch) für verschiedene Arten der Nutzung von Webseiten: gtag.js, analytics.js und ga.js. Sie erfassen verschiedene Daten über Nutzer, Besuche auf Webseiten, Sessions und Traffic-Kanäle. Die verschiedenen Cookies haben unterschiedliche Verfallszeitpunkte, z. B. wenn Sie einen Browser schließen, oder nach einer bestimmten Zeitspanne wie sechs Monaten oder zwei Jahren.

Google Analytics und Datenübermittlungen zwischen der EU und den Vereinigten Staaten

Mit dem Schrems II-Urteil hat die Vereinbarung über den Privacy Shield zwischen der EU und den Vereinigten Staaten ihre Gültigkeit verloren, und zwar auf der Grundlage, dass sie keinen angemessenen Datenschutz bietet. Aus diesem Grund konnten von Mitte 2020 bis September 2021 Datenübermittlungen aus der EU in die Vereinigten Staaten nicht mehr auf der Grundlage dieser Vereinbarung oder der Standardvertragsklauseln erfolgen.

Im September 2021 wurden jedoch neue Standardvertragsklauseln veröffentlicht, die als einigermaßen angemessener Schutz angesehen werden können, solange sie mit zusätzlichen Maßnahmen wie Verschlüsselung oder Anonymisierung verbunden sind, sodass die Daten den US-Behörden nicht zugänglich sind.

Der Fall von Google Analytics basiert jedoch auf der alten Rechtslage, und nach der Freigabe der neuen Standardvertragsklauseln wurden keine neuen Erklärungen in der neuen Rechtslage abgegeben. Diese neue Entscheidung steht noch aus und die aktuellen zusätzlichen Datenschutzmaßnahmen werden immer noch als unzureichend betrachtet.

Google ist ein Unternehmen mit Sitz in den Vereinigten Staaten, das über seine verschiedenen und weit verbreiteten Tools und Dienste eine große Online-Reichweite hat. Daher werden seit langem regelmäßig beträchtliche Mengen an Nutzerdaten zwischen den beiden Regionen übermittelt.

Frankreich

Die französische Datenschutzbehörde „Commission Nationale de l’informatique et des libertés (CNIL)“ kam zu dem Ergebnis, dass Google Analytics im Februar 2022 in Frankreich gegen Artikel 44 der DSGVO verstoßen hat. Auch hier wurde die Nutzung von Google Analytics durch einen Webseitenbetreiber als nicht DSGVO-konform angesehen, da die personenbezogenen Daten der Nutzer in ein Land ohne angemessenen Datenschutz übermittelt wurden.

Standardvertragsklauseln zum Datenschutz wurden als unzureichend betrachtet. Außerdem wurde festgestellt, dass keine ausreichenden technischen, organisatorischen oder rechtlichen Datenschutzmaßnahmen bestehen. Die Datenübermittlung wurde als systematisch angesehen und daher wurde davon ausgegangen, dass sie nicht nur in besonderen Fällen erfolgte. Die Einwilligung der Nutzer wurde für diese Datenübermittlung jedoch nicht wiederholt eingeholt. Aus diesem Grund wurde die Einwilligung als Rechtsgrundlage für die Datenerfassung als ungültig erachtet, und es wurde festgestellt, dass die Daten ohne gültige Rechtsgrundlage erfasst wurden.

Darüber hinaus kann die Verwendung einer eindeutigen User-ID, wie auch eine Pseudonymisierung, eine Person identifizierbar machen und eine präzise Nachverfolgung ermöglichen, insbesondere in Kombination mit Daten, die von anderen Diensten erfasst wurden. Wie auch die österreichischen Behörden im österreichischen Fall haben die französischen Behörden die Verschlüsselung von Nutzerdaten als unzureichend für den Schutz der Daten angesehen, da Google über den Verschlüsselungscode verfügte und somit mit Leichtigkeit auf diese Daten zugreifen konnte, die französischen Behörden jedoch nicht.

Im Juni 2022 veröffentlichte die CNIL aktualisierte Leitlinien (auf Französisch) zur Nutzung von Google Analytics. Diese besagen, dass die Unternehmen innerhalb eines Monats ihre Nutzung des Dienstes aktualisieren müssen, wenn sie nicht die Durchsetzung der gesetzlichen Vorschriften riskieren möchten. Rechtlich gesehen könnte ein Proxy-Server eine Lösung für diese Probleme sein.

Italien

Im Juni desselben Jahres entschied Garante, die italienische Datenschutzbehörde, dass die Datenübermittlungen von Google Analytics in die Vereinigten Staaten gegen die DSGVO verstoßen (auf Englisch). So gelten IP-Adressen auch in gekürzter Form als personenbezogene Daten, wodurch für ihre Erfassung eine Rechtsgrundlage und Datenschutz erforderlich sind. Es wurde jedoch entschieden, dass die von Google getroffenen Maßnahmen keinen ausreichenden Schutz für die Erfassung von personenbezogenen Daten bieten.

Auch in Bezug auf IP-Adressen gilt, dass US-Behörden potenziell Zugriff auf personenbezogene Daten erhalten könnten. Sobald die erfassten personenbezogenen Daten in die Systeme von Google gelangt waren, hatten Aufsichtsbehörden und Nutzer keinen Überblick mehr, wer darauf zugreifen konnte oder wie die Daten möglicherweise verwendet werden.

Italienische Webseitenbetreiber, die bei der Nutzung von Google Analytics gegen die DSGVO verstoßen, erhielten 90 Tage Zeit, um ihre Nutzung des Dienstes zu berichtigen und ihre DSGVO-Konformität zu verifizieren und somit zu bestätigen, dass die erfassten personenbezogenen Daten nicht in die Vereinigten Staaten übermittelt wurden.

Ist die Nutzung von Google Analytics in der Europäischen Union illegal?

Google Analytics wird auf vielen Millionen Webseiten verwendet. Urteile, wonach seine Funktionen die Grundlage für Geldstrafen bei DSGVO-Verstößen sein könnten, lösten verständlicherweise bei vielen Webseitenbetreibern in der EU Besorgnis aus. Dies galt insbesondere in Anbetracht der Tatsache, dass Google, das für die Übermittlung der personenbezogenen Daten von Nutzern verantwortliche Unternehmen, ein ausländischer Drittanbieter ist, den Betreiber von Webseiten in der EU weder kontrollieren noch beeinflussen können. Natürlich haben Webseitenbetreiber die Wahl – und in einigen Ländern wird es nun von den jeweiligen Datenschutzbehörden empfohlen – Google Analytics erst gar nicht zu nutzen.

Ist die Nutzung von Google Analytics in der EU zulässig?

Das ist nicht mit dem Satz „Die Nutzung von Google Analytics in Europa ist illegal“ abgetan. Google hat die Möglichkeit, die in den Beschlüssen gegen den Dienst beschriebenen Probleme zu beheben. Es ist auch möglich, dass die EU und die Vereinigten Staaten eine neue Vereinbarung über Datenschutzstandards treffen, insbesondere wenn es um internationale Datenübermittlungen geht.

Empfehlungen für Unternehmen

Unternehmen, die derzeit Google Analytics nutzen, sollten so bald wie möglich auf Google Analytics 4 aktualisieren. Es wird zudem empfohlen, zusätzliche Maßnahmen in Google Analytics 4 zu implementieren, die den Schutz der Nutzerdaten unterstützen. Weitere Informationen dazu finden Sie weiter unten in diesem Artikel. Alternativ können Unternehmen auch ein Tool zur Webanalyse wählen, das nicht in den Vereinigten Staaten ansässig ist oder das keine Daten in die Vereinigten Staaten überträgt oder diese dort speichert.

Klagen gegen Google Analytics in anderen Staaten der Europäischen Union

Niederlande

AP, die niederländische Datenschutzbehörde, gab im Januar 2022 bekannt, dass sie zwei Klagen gegen die Nutzung von Google Analytics untersucht haben und ein Urteil zu diesen Klagen fällen wird. Die Klagen ähnelten denen aus Österreich, Frankreich und Italien.

Vereinigtes Königreich

Auch wenn das Vereinigte Königreich nach dem Brexit nun ein eigenes Datenschutzgesetz hat, ähnelt die britische Datenschutz-Grundverordnung der DSGVO der EU. Ähnliche Datenschutzanforderungen bestehen für britische Unternehmen und die Dienste, die sie nutzen, und es werden auch ähnliche Probleme zur Datenschutzkonformität auftreten. Die Datenschutzbehörde des Vereinigten Königreichs hat Google Analytics im Januar 2022 nach dem österreichischen Beschluss von ihrer Webseite entfernt. Es ist jedoch anzumerken, dass die Nutzung des Dienstes, die im Dezember 2020 begonnen hatte, nur begrenzt war.

Norwegen

Die norwegische Datenschutzbehörde Datatilsynet hat im Januar 2022 ebenfalls geäußert, dass sie Österreich hinsichtlich seines Beschlusses gegen die Nutzung von Google Analytics zustimmt. Außerdem wurden norwegische Unternehmen öffentlich dazu aufgerufen, nach Alternativen zu diesem Dienst zu suchen.

Dänemark

Die dänische Datenschutzbehörde Datatilsynet hat eine Erklärung veröffentlicht, dass sie den österreichischen Beschluss und andere ähnliche Beschlüsse des Europäischen Gerichtshofs aufmerksam verfolgen und entsprechende Leitlinien bereitstellen würde.

Europäisches Parlament

Eine Woche vor dem österreichischen Beschluss wurde das Europäische Parlament vom Europäischen Datenschutzausschuss (EDSA) für die Nutzung von Diensten auf seinen COVID-Testwebseiten, einschließlich Google Analytics, sanktioniert, die nur unzureichenden Datenschutz bieten. Dies war einer der ersten Beschlüsse nach Schrems II und könnte sich bei den Hunderten weiteren Klagen (auf Englisch) als einflussreich erweisen.

Was unternimmt Google, um das Problem zu beheben?

Nun steht die Frage im Raum, wie Google das Problem beheben könnte, um staatliche Eingriffe komplett zu umgehen. Keine Daten mehr an Orte außerhalb der EU übermitteln? Zusätzliche rechtliche oder technische Sicherheitsmaßnahmen implementieren? Daten besser anonymisieren oder verschlüsseln?

Die Lösung des Problems wäre eine Mammutaufgabe. Es wäre sehr teuer und viele Änderungen müssten vorgenommen werden. Google ist ein riesiges Unternehmen und Google Analytics ist sehr weit verbreitet. Änderungen müssen sorgfältig geplant und eingeführt werden, mit ausführlicher Planung und Testphase, sodass eine sichere, funktionelle Veränderung im großen Umfang langsam durchgesetzt werden kann. Google Analytics 4 ist jedoch ein erster Schritt.

Da Bedenken zu und die Überwachung von Unternehmensaktivitäten (einschließlich Googles Aktivitäten) und zum Datenschutz zunehmen, ist das Ergreifen von Maßnahmen für den Markt äußerst relevant. Zudem könnte es langfristig teurer sein, wenn das Unternehmen keine Maßnahmen zur Lösung von Problemen ergreift. Dies trifft auch auf Google zu, auch wenn es eine gewisse Macht dahingehend besitzt, eine Unterwerfung unter den Forderungen der EU-Behörden einfach verweigern zu können.

Das Ende von Google Analytics für Nutzer in Europa würde die Geschäftsabläufe und potenziellen Umsätze der Webseitenbetreiber durchaus beeinträchtigen. Auch für Google wäre es eine Herausforderung, aber Google Analytics ist nur einer seiner Geschäftsbereiche.

Ist die Nutzung von Google Analytics DSGVO-konform?

Google Analytics entspricht derzeit standardmäßig keineswegs der DSGVO, und wenn man die Richtlinien und Aussagen der Datenschutzbehörden befolgen will, ist eine DSGVO-konforme Einrichtung des Dienstes nicht möglich. Allerdings handelt es sich hier um eine laufende Debatte, und es könnte sich schnell wieder ändern.

Ist Google Analytics 4 DSGVO-konform?

Ein Upgrade auf Google Analytics 4 ist zwar keine Wunderwaffe, die ein Unternehmen sofort DSGVO-konform macht. Dieses Upgrade ist jedoch empfehlenswert. Die Wahrscheinlichkeit ist hoch, dass sich der Dienst als Produkt weiterentwickelt und zukünftig besseren Datenschutz bieten wird. Sobald neue Beschlüsse veröffentlicht oder neue Datenschutzvereinbarungen zwischen der EU und den Vereinigten Staaten getroffen wurden, gibt es möglicherweise weitere Informationen darüber, wie sich Google Analytics 4 in die sich ständig weiterentwickelnde Datenschutzlandschaft einfügt, oder weitere Anleitungen für eine Weiterentwicklung des Tools, das DSGVO-Konformität ermöglicht.

Reicht die Einholung der Nutzereinwilligung aus, um Google Analytics DSGVO-konform zu gestalten?

Artikel 49 DSGVO gestattet in bestimmten Fällen eine ausdrückliche Einwilligung des Nutzers als mögliche Abweichung. Gemäß den Richtlinien des Europäischen Datenschutzausschusses (EDSA) (auf Englisch) kann dies jedoch nur bei nicht systematischen Übermittlungen angewendet werden, und das entspricht nicht der Vorgehensweise von Google Analytics. Datenübermittlungen sind ein regelmäßiger Bestandteil der Funktionsweise des Dienstes. Eine (einmalige) Einholung der Nutzereinwilligung zur Verwendung von Google Analytics ist für Webseitenbetreiber also keine praktikable oder langfristige Lösung.

Verwendung von Google Analytics unter Einhaltung der DSGVO mit unserer CMP

Um die Bedingungen von Artikel 7 DSGVO für eine gültige Nutzereinwilligung einzuhalten, müssen Betreiber von Webseiten die ausdrückliche Einwilligung des Endnutzers für alle von der Webseite festgelegten Google Analytics-Cookies einholen. Die Einwilligung muss eingeholt werden, bevor diese Cookies aktiviert werden und in Betrieb sind. Mit Hilfe des DPS-Scanners von Usercentrics können alle Cookies und Tracking-Dienste, die auf Webseiten verwendet werden, identifiziert und an Nutzer kommuniziert werden, um eine vollständige Einwilligung zu gewährleisten.

Ist eine Nutzereinwilligung für die Nutzung von Google Analytics notwendig?

Alle Google Analytics-Cookies müssen so eingerichtet und kontrolliert werden, dass sie erst nach der ausdrücklichen Einwilligung des Nutzers aktiviert werden. Die CMP kann die Aktivierung von Diensten sperren, bis die Einwilligung des Nutzers vorliegt. Google Analytics kann in diesem Fall also keine Nutzerdaten übermitteln, weil es sie gar nicht erst einholen könnte.

Die Anonymisierung von IP-Adressen muss im Google Analytics-Account aktiviert sein, und Webseitenbetreiber müssen sicherstellen, dass sie pseudonymisierte Identifikatoren verwenden. Zusätzliche Datenschutzkontrollen für Google-Dienste (auf Englisch) werden ebenfalls empfohlen, einschließlich der Deaktivierung einiger Datenerfassungs- und/oder Google-Funktionen zur Personalisierung von Werbung.

Webseitenbetreiber müssen den Nutzern auf der Webseite außerdem klare, transparente Datenverarbeitungsinformationen zur Verfügung stellen. Diese Informationen sind dann in der Datenschutzerklärung enthalten. Darüber hinaus können einige Informationen in der Cookie-Richtlinie mit Details zu den Google Analytics-Cookies, die auf der Webseite verwendet werden, bereitgestellt werden, einschließlich des Anbieters, der Laufzeit und des Zwecks.

Cookie-Richtlinien sind in der Regel Teil der umfassenderen Datenschutzerklärung der Webseiten. Die DSGVO erfordert die informierte Einwilligung des Nutzers, und diese soll durch die Datenschutzerklärung vorgenommen werden. Ausführliche Informationen zu den Anforderungen zur Erstellung einer DSGVO-konformen Datenschutzerklärung finden Sie in den Artikeln 12, 13 und 14 der DSGVO.

Als Teil der Datenschutzerklärung der Webseite sollten auch detaillierte Informationen zu den Google Analytics-Cookies und anderen Tracking-Technologien, die in der Domain verwendet werden, enthalten sein, denn die Informationen, die Google Analytics über die von diesem Dienst verwendeten Arten von Cookies erhebt, gelten gemäß der DSGVO als personenbezogene Daten. Darüber hinaus sollten die spezifischen personenbezogenen Daten, die von diesen Cookies erfasst werden, angegeben werden. Das gleiche gilt auch für andere Dienste, die auf der Webseite verwendet werden.

Fazit

Viele Unternehmen nutzen Google Analytics auf ihren Webseiten, weil es umfangreiche Daten und leistungsstarke Tools bietet, um Bounce-Raten zu reduzieren, Daten zu visualisieren, Web-Rankings zu optimieren, mehr über Besucher zu erfahren und sie zu segmentieren und vieles mehr. Es lässt sich auch gut in andere Google-Tools integrieren.

Google Analytics hilft Unternehmen dabei, Wachstums- und Umsatzziele zu verfolgen. Unternehmen schwanken also verständlicherweise zwischen dem Wunsch, dies beizubehalten und dem Wunsch, das Risiko von Strafen aufgrund von DSGVO-Verstößen oder auch den Unmut der eigenen Nutzer angesichts eines unzureichenden Datenschutzes zu umgehen.

Gleichzeitig besteht die Strategie von Google bisher darin, Klagen und Entscheidungen gegen Google in der Europäischen Union zu bekämpfen. Und tatsächlich dient die Unterwerfung unter den Regeln der EU-Datenschutzbehörden und/oder die Einschränkung der Funktionen ihrer Dienste nicht den traditionellen Geschäftsinteressen oder Einnahmequellen von Google. Da sich die Datenschutzvorschriften jedoch ständig verändern und weiterentwickeln, und immer mehr Länder Entscheidungen gegen Google treffen oder die Nutzung seiner Dienste gänzlich einstellen, muss sich auf Dauer etwas ändern.

Auch Verbraucher verändern sich und entwickeln sich weiter und stellen höhere Anforderungen an ihren Online-Datenschutz. Das müssen Unternehmen bei ihren Geschäften und ihrem Wachstum berücksichtigen.

Im Alltag liegt es an den Webseitenbetreibern, die aktuellen Vorschriften und Anforderungen einzuhalten und zu erfüllen und alles zu tun, um die Einhaltung von Datenschutzvorschriften zum Schutz der Nutzer zu erreichen und zu gewährleisten. Abgesehen von der rechtlichen Notwendigkeit tragen diese Schritte auch dazu bei, Vertrauen und langfristige Beziehungen zu den Nutzern aufzubauen.

Das Usercentrics-Team beobachtet die Änderungen von Datenschutzvorschriften und Gerichtsurteile genau, aktualisiert die angebotenen Dienste und veröffentlicht bei Bedarf Empfehlungen und Anleitungen. Webseitenbetreiber sollten sich jedoch stets von einem qualifizierten Rechtsberater zum Datenschutz beraten lassen, insbesondere in den für sie relevanten Gerichtsbarkeiten. Dies gilt auch für Umstände, unter denen es zu Datenübermittlungen außerhalb der EU in Länder ohne entsprechende Vereinbarungen zum Datenschutz kommen kann.

Da die Datenschutzvorschriften und die Anforderungen zur Datenschutzkonformität für Unternehmen komplex sind und sich ständig weiterentwickeln, sind wir hier, um Sie zu unterstützen.

Bestellen Sie eine Demo, und erfahren Sie, wie Usercentrics CMP Sie beim Erreichen der Datenschutzziele Ihres Unternehmens unterstützen kann.

Oder wenden Sie sich noch heute an einen unserer Experten. Wir beantworten gerne alle Ihre Fragen

„Privacy by Design ist das Zauberwort“, so eröffnete Sonia Carreno, Präsidentin des IAB Canada, das Gespräch bei Usercentrics regelmäßiger Diskussionsrunde Tech That Talks. In dieser Folge hatten wir unsere Gäste eingeladen, um über die Bedeutung von Datenschutzes im App-Ökosystem zu diskutieren.

Keine Frage, das Aufkommen offener mobiler Plattformen und die Überschneidung von Mobile und Web hat ein dynamisches Ökosystem geschaffen. Nutzer können persönliche Online-Profile erstellen, sich mit Communities vernetzen und auf innovative Anwendungen und Services zuzugreifen. Ein Fortschritt, den viele Menschen zu schätzen wissen, weil er ihnen das Leben leichter macht.

Weltweit gibt es 3,2 Milliarden iOS-Nutzer sowie über 2,5 Milliarden aktive Android-Nutzer. Ungefähr 88 % der Zeit auf Mobiltelefonen wird mit – ja, richtig – mobilen Apps verbracht.

Aber so großartig diese Entwicklung auf den ersten Blick scheint, offenbart sich der Preis für Komfort und Fortschritt erst auf den zweiten Blick. Denn: Viele der erwähnten Interaktionen fußen auf Echtzeitzugriff und der Nutzung persönlicher Daten. Und diese Daten werden von Anwendungen und Geräten oft noch an Unternehmen weltweit übertragen.

Wir finden: Privatsphäre geht vor

Eine nachhaltige Datenschutzstrategie ist besonders für Unternehmen wichtig, deren Geschäftsmodell zum größten Teil auf der Interaktion der Nutzer mit Apps aufbaut. Wenn App-Entwickler ein Tool wie z. B. ein In-App SDK einbetten, ist es ratsam Datenschutz schon zu Beginn der Entwicklung zu einer Priorität zu machen. Auf diese Weise können Einwilligungspräferenzen gesammelt, gespeichert und ggfs. datenschutzkonform an die entsprechenden Partner und Dienste weitergegeben werden.

Diese neue Art der Datenerhebung und -nutzung wirkt sich auf alle Bereiche eines Unternehmens aus. Alle Teams, von der Rechtsabteilung über die Produktentwicklung bis hin zur Marketing- und Analyse-Abteilung, ziehen bei der Umsetzung der Datenschutzstrategie im Idealfall an einem Strang.

Events – TTT

Immer up to date: Unser Talk zum Thema Datenschutz

Egal ob Datenschutz, die aktuelle Gesetzgebung oder technische Innovationen – wir wissen, was die Branche bewegt. Schalten Sie rein und lassen Sie sich in unserer zweiwöchentlichen Experten-Runde auf den neuesten Stand bringen.

Die Zeiten, in denen Datenschutz als lästiges Beiwerk betrachtet wurde, sind vorbei. Sie sind vielmehr Grundlage und Zukunft mobiler Anwendungen und deren Werbeformen. App-Betreiber, die nicht nur Wert auf eine gute Benutzererfahrung legen, sondern auch an Reichweite zulegen wollen, verschaffen sich so zukünftig einen Wettbewerbsvorteil.

Pannen, Fehler oder eine unübersichtliche Benutzeroberfläche – es gibt viele Gründe, warum Nutzer eine App löschen. Das Fehlen einer geeigneten Datenschutzstrategie sollte keiner davon sein.

DEMO

Datenschutz für Apps – so geht’s

Vereinbaren Sie noch heute einen Termin für eine Demo, um zu sehen, wie das In App SDK von Usercentrics Ihrem Unternehmen helfen kann Daten gesetzeskonform zu erheben – und zwar ohne, dass die User Experience leidet.

Jetzt Termin vereinbaren!

Die wichtigsten Gründe, warum Datenschutz ganz oben auf der To-do-Liste jedes App-Entwicklers stehen sollte

1. App-Monetarisierung und Datenschutz gehen Hand in Hand

Premium-Werbetreibende investieren nicht in Publisher, die keine Consent-Strings gemäß der neuesten Datenschutzgrundsätze sammeln. Programmatische Werbung ist hier naturgemäß die lukrativste Form, Echtzeitdaten zu nutzen – vorausgesetzt die Nutzereinwilligung liegt vor.

Datenschutz wird immer relevanter und es lassen sich drei Tendenzen erkennen:

1. Aufsichtsbehörden drängen auf eine strengere Gesetzgebung für die App-Branche.
2. Premium-Werbetreibende sind nur an einer Zusammenarbeit interessiert, wenn der App-Betreiber seine Nutzer Einwilligungen gesetzeskonform einholt.
3. App-Entwickler und Betreiber erkennen zunehmend: Wenn bei der App-Entwicklung nicht von Anfang an eine Datenschutzstrategie ausgearbeitet wurde, dann funktioniert ihr aktuelles Geschäftsmodell nicht.

Die Einwilligung der Nutzer als (=Consent) gewinnt also zunehmend an Wert.

2. Eine Datenschutzstrategie muss vom Anfang her gedacht werden

Hier steht das Konzept Privacy by Design im Mittelpunkt. Datenerfassung kann nur auf Basis eines bestimmten Zwecks durchgeführt werden und dies muss den Nutzern der mobilen App auch klar kommuniziert werden.
Die DSGVO schreibt vor, dass Datenverantwortliche (bzw. gemeinsame Verantwortliche), geeignete technische und organisatorische Maßnahmen ergreifen müssen, um sicherzustellen und nachweisen zu können, dass die erfasste Verarbeitung im Einklang mit der Verordnung erfolgt.

Art. 5 DSGVO, Grundsätze für die Verarbeitung personenbezogener Daten:

(i) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
(ii) Zweckbindung
(iii) Datenminimierung
(iv) Richtigkeit
(v) Speicherbegrenzung
(v) Integrität und Vertraulichkeit
(vi) Rechenschaftspflicht

Dies gilt nicht nur im Geltungsbereich der DSGVO, sondern auch für weitere internationale Gesetzgebungen wie zum Beispiel das kalifornische Datenschutzgesetz CCPA oder Brasiliens LGPD.

3. Datenschutz stärkt das Unternehmensimage

Datenschutz ist mittlerweile zu einem Grundrecht geworden und 87 Prozent der US-Amerikaner sehen darin gar ein Menschenrecht. Hier kann also viel Vertrauen verspielt werden. „Auch wenn Apps aus legitimen Gründen auf personenbezogene Daten zugreifen, könnte dies die Erwartungen der Nutzer hinsichtlich des Datenschutzes nicht erfüllen. Dies würde das Vertrauen in Unternehmen und das breitere mobile Ökosystem untergraben“, so das IAB.

Was passiert also, wenn App-Nutzer nicht darauf vertrauen, dass eine App ihre Daten richtig verwendet? Laut der neuesten Studie von Google und Deloitte ist das Urteil eindeutig: 41 Prozent der Befragten gaben an, dass sie eine App aus Datenschutzgründen löschen würden. Nutzer fordern mehr Transparenz. Mehr Nutzervertrauen bedeutet also eine höhere Lifetime-Value.

4. Auch App-Entwickler können haftbar gemacht werden

Bei Datenschutzverstößen haftet in der Regel das Unternehmen – aber auch App-Entwickler können unter Umständen haftbar gemacht werden. Denn laut DSGVO sind diejenigen, die an der Ausarbeitung der „Zwecke und Mittel“ der Datenverarbeitung mitgewirkt haben, gemeinsame Verantwortliche (Datenverantwortliche) für die durch Dritte verarbeiteten Daten. App-Betreiber können also zur Rechenschaft gezogen werden, wenn ihre App beispielsweise über Monetarisierungs- und Analysefunktionen oder über ein Reporting-SDK verfügt, und Sie hierfür vorher nicht die Einwilligung eingeholt haben. Als App-Entwickler ein klares Bewusstsein für die eigene Rechenschaftspflicht zu haben, schützt vor bösen Überraschungen.

5. Globales Wachstum trotz weltweit zunehmend strengerer Bestimmungen

Bis 2023 werden die personenbezogenen Daten von 65 Prozent der Weltbevölkerung durch moderne Datenschutzbestimmungen geschützt sein (2020 waren es 10 Prozent), prognostiziert eine Studie von Gartner, Inc.

Das sollte aber kein Hinderungsgrund für App-Betreiber sein, ihr Geschäft auszuweiten – solange Sie sicherstellen, dass sie die globalen Datenschutzbestimmungen einhalten, z. B. bei der Verarbeitung von Finanztransaktionen, der Erfassung von E-Mail-Adressen bei der Kontoanmeldung und der Übermittlung von Daten an andere Anwendungen (globale Datenschutzgrundsätze).

Die DSGVO gilt für mobile Apps, die personenbezogene Daten von EU-Bürgern erheben und verarbeiten. Dabei spielt es keine Rolle, ob die App außerhalb der EU betrieben wird oder wo ein Unternehmen seinen Hauptsitz hat – die DSGVO gilt trotzdem.

Wer beispielsweise Nutzer außerhalb der USA ansprechen will, muss neben den relevanten US-Datenschutzgesetzen auch die Datenschutzgesetze außerhalb des Geltungsbereichs der USA einhalten.

6. So gut wie jede App sammelt eine Unmenge von Daten

Ihre App setzt keine Cookies und deshalb brauchen Sie auch keine Datenschutzstrategie? Das ist zu kurz gedacht. Laut einer aktuellen Studie der ACM Digital Library übermitteln die meisten Apps Daten direkt an Dritte wie Google, Facebook und Ad Exchanges über Tracker, die in den App-Code eingebettet sind. Die enormen Datenmengen die hier weitergegeben werden stellen zum einen eine lukrative Einnahmequelle für Apps und die digitale Werbebranche dar. Zum anderen werden die von Drittanbieter-SDKs gesammelten Daten nach und nach nutzlos, wenn vorab nicht die korrekte Einwilligung für ihre Nutzung eingeholt wurde. Das gilt besonders dann, wenn globale Datenschutzgesetze strenger werden.

Apps müssen daher im Hinblick auf den Verwendungszweck von Nutzerdaten transparenter sein. Nutzer müssen wiederum die Möglichkeit haben, ihre Einwilligung zu erteilen oder zu verweigern.

Fazit

Eine transparente Datenschutzstrategie hat direkte Auswirkungen auf den Lifetime-Value (LTV) von App-Nutzern. Je weniger Vertrauen Nutzer in einen App haben, desto stärker reduziert sich langfristig der LTV und somit die Rentabilität der App.

Eine klare, nachhaltige Datenschutzstrategie sorgt langfristig für einen Wettbewerbsvorteil. Denn diese vertrauensbildende Maßnahme zahlt sich letztlich in höheren Werbeeinnahmen aus. Im Idealfall kann so eine dauerhafte Beziehung zwischen App-Betreiber und Nutzern aufgebaut werden.

DEMO

Ihre App ist noch nicht datenschutzkonform?

Wie Sie ihre App mit der Usercentrics CMP datenschutzkonform (DSGVO, CCPA, LGPD) monetarisieren, erklären wir Ihnen gerne in einem persönlichen Gespräch – kostenfrei und unverbindlich.

Jetzt Gespräch vereinbaren

DISCLAIMER:

Diese Ausführungen stellen keine Rechtsberatung dar. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden. Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.

Wozu dient eine Datenschutzerklärung? Die meisten Websites und Apps erheben über Cookies und andere Tracking-Technologien Daten von Benutzern. Diese Technologien haben viele Funktionen: Sie tragen u.a. dazu bei, dass die Websites korrekt funktionieren, sie ermöglichen E-Commerce und mit ihnen werden Besucherstatistiken und Informationen zum Nutzerverhalten erhoben. (Hier erfahren Sie mehr über Cookies.) Einige dieser Informationen können erhoben werden, ohne dass die Nutzer darüber in Kenntnis gesetzt werden müssen. In den meisten Fällen ist allerdings eine Information durch eine klare und einfach zugängliche Datenschutzerklärung erforderlich.

Datenschutzgesetze auf der ganzen Welt schreiben vor, dass Unternehmen bzw. Organisationen klar kommunizieren müssen, welche Daten sie zu welchem Zweck erheben, an wen diese möglicherweise weitergegeben und wie sie gesichert werden. Genau diesen Zweck erfüllt die Datenschutzerklärung und wird so zu einem entscheidenden Puzzleteil der Daten-Compliance-Strategie eines jeden Unternehmens – beispielsweise zur Einhaltung der DSGVO, CCPA, oder LGPD.

Datenschutzrichtlinien und Bestimmung der Begrifflichkeiten zu personenbezogenen Daten und ihrer Erhebung

Was sind personenbezogene Daten?

Die meisten Websites und Apps erheben statistische, Funktions- oder Marketingdaten über Cookies und andere Tracking-Technologien. In Datenschutzgesetzen sind diese Informationen in der Regel als “personenbezogene Daten” der Nutzer definiert, bei deren Online-Aktivitäten sie erhoben werden. Diese Daten können zur Identifizierung einer Person verwendet werden und sind daher rechtlich geschützt. Zu personenbezogenen Daten zählen beispielsweise folgende Informationen:

• Vor- und Nachname
• E-Mail-Adresse
• Benutzername für das Benutzerkonto
• Telefonnummer
• Browserverlauf
• Kreditkartennummer
• IP-Adresse

Manche personenbezogene Daten werden als besonders „sensibel“ eingestuft. Das ist der Fall wenn sie z.B. verwendet werden könnten, um einer Person Schaden zuzufügen. Zu diesen Daten zählen etwa Gesundheitsinformationen, Religionszugehörigkeit, sexuelle Orientierung oder ethnische Zugehörigkeit.

Woher weiß ich, welche Cookies auf meiner Website verwendet werden?

Websites und Apps nutzen Cookies und andere Tracking-Technologien für zahlreiche Zwecke: von der Gewährleistung der ordnungsgemäßen Funktionsweise der Website über die Ermöglichung von E-Commerce bis hin zur Erhebung von Marketingdaten.

Ein Audit der Cookies auf Ihrer Website mithilfe eines Scans ist ein guter erster Schritt, um zu verstehen, welche personenbezogenen Daten Sie erheben und wie Informationen über diese Daten und die Verwendung von Cookies in Ihrer Datenschutzerklärung kommuniziert werden müssen.

Website-Audit

Welche Daten sammelt Ihre Website?

Finden Sie’s heraus mit unserem kostenlosen Website-Check. In 30 Sekunden erhalten Sie einen detaillierten Datenschutz-Risikobericht und wissen dann ganz genau welche Third Party-Cookies und ähnliche Technologien auf Ihrer Website im Einsatz sind.

Jetzt loslegen

Die Datenschutzrechte der Nutzer

Datenschutzgesetze wie die DSGVO, CCPA oder POPIA verlangen, dass Nutzer darüber informiert werden müssen, wenn ihre personenbezogenen Daten erhoben werden (zum Beispiel gemäß Artikel 13 der DSGVO):

• Wer erhebt die Informationen und wie lauten die Kontaktdaten?
• Zweck(e) und Methode(n) bei der Erhebung von Informationen
• Die Kategorien und genauen Informationen, die erhoben werden
• Rechtsgrundlage bzw. berechtigtes Interesse für die Erhebung der Daten
• Alle Dritten, auf die bei der Erhebung der Informationen zurückgegriffen wird oder an die diese Informationen möglicherweise weitergeleitet werden
• Die Verträge oder Angemessenheitsvereinbarungen mit allen Dritten, die auf die Daten zugreifen
• Die Sicherheitsvorkehrungen zum Schutz der Daten

All diese Informationen müssen in einer Datenschutzerklärung enthalten und je nach Geschäftstätigkeit, den erhobenen Daten und der geltenden Jurisdiktion für das jeweilige Unternehmen spezifisch aufgelistet werden. In vielen Fällen muss den Nutzern auch die Möglichkeit geboten werden, der Erhebung oder dem Verkauf ihrer personenbezogenen Daten zuzustimmen oder zu widersprechen (z.B. per Link oder Ablehnen-Button).

Datenschutzgesetze bewahren Verbraucher zudem vor Diskriminierung, sollten Sie der Erhebung und Verarbeitung ihrer personenbezogenen Daten nicht zustimmen. Denn Unternehmen dürfen Nutzern in diesem Fall nicht den Zugriff auf bestimmte Services oder Dienstleistungen verweigern oder sie auf andere Weise benachteiligen.

Gesetzliche Anforderungen und Risiken

Oftmals hängen die rechtlichen Anforderungen an die Datenschutzerklärung und ihre inhaltliche Ausgestaltung davon ab, wo sich die Nutzer befinden. Art, Größe und Umsatz des Unternehmens spielen dabei keine Rolle. Auch, ob die Website für E-Commerce-Zwecke verwendet wird, oder zur Nutzung ein Konto erstellt werden muss, ist irrelevant. Betreiber mit Kunden aus der EU, benötigt etwa eine DSGVO-konforme Datenschutzerklärung.

Es ist wichtig, im Detail zu wissen, welche Daten von Ihrer Website oder App erhoben werden, wie sie verwendet werden und welche Gesetze für Ihr Unternehmen gelten. Nur so kann sichergestellt sein, dass Ihre Datenschutzerklärung vollständig und korrekt ist. Zudem sollte sie regelmäßig überprüft und aktualisiert werden, sollten sich die eingesetzten Technologien oder die regulatorischen Rahmenbedingungen ändern. Wichtig zu wissen: Eine Datenschutzerklärung ist ein Rechtsdokument. Deshalb empfiehlt sich bei ihrer Erstellung auf jeden Fall die Zusammenarbeit mit einem qualifizierten Rechtsbeistand und dem betrieblichen Datenschutzbeauftragten.

Die Nichteinhaltung der Datenschutzvorgaben kann zu Gesetzesverstößen und Strafen wie hohen Bußgeldern, strafrechtlicher Verfolgung, dem Verlust von Geschäftslizenzen, die Löschung von Daten und einer Rufschädigung des Unternehmens führen.

Dienste und Datenschutzrichtlinien von Drittanbietern

Es ist gesetzlich vorgegeben, dass eine Datenschutzerklärung Dritte benennen muss, die Zugang zu den von Ihnen erfassten Daten haben oder diese verarbeiten. Diese Regelung greift aber in beiden Richtungen. Viele Drittanbieter verlangen von Website- und App-Betreibern, dass eine Datenschutzerklärung auf ihren Angeboten veröffentlicht wird, wenn sie die Dienste des Drittanbieters nutzen.

Dies kann In-Page- oder In-App-Werbung, Analysedienste, E-Commerce oder die Nutzung eines App-Stores und weitere Elemente umfassen. Auch Dienste von großen Unternehmen wie Apple, Google, Facebook und Amazon sind hier im Fokus, und machen es erforderlich, dass Unternehmen, die diese Dienste nutzen, ihren Nutzern mitteilen, welche Daten sie zu welchen Zwecken erheben und was mit ihnen geschieht.

Die Vorteile einer guten Datenschutzerklärung

Eine gute Datenschutzerklärung ist nicht nur gesetzlich vorgeschrieben, sondern auch wichtig für das Image eines Unternehmens und für den Aufbau einer vertrauensvollen Kundenbeziehung. Klar ist, Verbraucher sind sich ihrer Privatsphäre im Internet und der massenhaften Erfassung ihrer Daten zunehmend bewusst. Deshalb sollten sie den Websites und Apps, die sie nutzen, vertrauen können – genauso wie allen Unternehmen, mit denen sie eine Geschäftsbeziehung eingehen.

Wenn Sie deutlich machen, welche Daten Sie erheben, wie sie verwendet werden, wer Zugang zu ihnen hat und wie Sie sie schützen, zeigen Sie Ihren Nutzern, dass Ihr Unternehmen über ausgereifte Prozesse verfügt, die ihre Privatsphäre achten und schützen. Eine klare, aktuelle und leicht zugängliche Datenschutzerklärung ist ein weiteres Instrument, um die Transparenz Ihres Unternehmens zu demonstrieren und so ein Vertrauensverhältnis zu den Nutzern aufzubauen.

Wie verfasse ich eine gute Datenschutzerklärung?

Unternehmen müssen ihre Datenerhebung und -verarbeitung bis ins Detail kennen, um genau zu wissen, wie sie gesichert werden und wer Zugang zu ihnen hat. Diese Informationen sind der Schlüssel zu einer korrekten Datenschutzerklärung. Außerdem müssen Sie wissen, wer im Unternehmen verantwortlich ist, sicherzustellen, dass die Informationen korrekt und jederzeit verfügbar sind.

Do it yourself, Copy & Paste oder Datenschutzerklärung generieren lassen?

Sie können Ihre Datenschutzrichtlinie von Grund auf selbst erstellen, eine Vorlage für Datenschutzerklärungen verwenden, oder sie online mit Hilfe eines Datenschutzerklärungsgenerators erstellen. Einmal fertiggestellt, kann die Datenschutzerklärung direkt auf der Website veröffentlicht oder von einem Datenschutzerklärungsdienst gehostet werden. Auf diese muss wiederum auf der Homepage oder in der Fußzeile verlinkt werden. Es gilt: Sie muss für die Besucher leicht zugänglich und leicht verständlich sein, sowie stets auf dem neuesten Stand gehalten werden.

Die Datenschutzerklärung einer anderen Website zu kopieren, ist keine gute Idee, da diese speziell für dieses Unternehmen verfasst wurde. Notwendige Änderungen um die Datenschutzerklärung an die spezifischen Vorgänge des eigenen Unternehmens anzupassen, könnten leicht übersehen werden – und so die Einhaltung der DSGVO anderer gesetzlicher Vorgaben nicht mehr gewährleistet sein.

Die verschiedenen Datenverarbeitungsdienste

Es gibt tausende Datenverarbeitungsdienste (Webtechnologien), die auf Websites verwendet werden können und die Nutzerdaten erheben und verarbeiten. Gar nicht so einfach, hier den Überblick zu behalten und sie in Ihrer Datenschutzerklärung aufzulisten. Aber genau das ist es, was die aktuellen Datenschutzgesetze fordern.

Usercentrics verwaltet eine Textdatenbank mit mehr als 1.000 Datenverarbeitungsdiensten, die als Vorlage in die Datenschutzerklärung eingebettet werden können. So sparen Sie Zeit und Ressourcen, denn diese Liste muss weder manuell verwaltet noch gepflegt werden.

Zudem wird die Datenbank regelmäßig überarbeitet, so dass die Technologien und sämtlichen Informationen jederzeit auf dem neuesten Stand sind, um die Einhaltung der Datenschutzbestimmungen und den reibungslosen Zugriff auf relevante Informationen für Nutzer zu gewährleisten. Unternehmen können und sollen diese Vorlagen an ihre betrieblichen Bedürfnisse anpassen.

Erfahren Sie mehr über die Funktionsweise der dynamischen Datenschutzerklärung.

Cookie-Richtlinie und Datenschutzerklärung

Eine Cookie-Richtlinie unterscheidet sich von einer Datenschutzerklärung dadurch, dass sie nur Informationen zur Cookie-Nutzung beinhaltet, während eine Datenschutzerklärung viele weitere Informationen zur Datenverarbeitung, Betroffenenrechten, Verantwortlichkeiten des Datenverarbeiters und weitere Themen umfasst. Manchmal sind Informationen aus der Cookie-Richtlinie auch als Teil der Datenschutzerklärung aufgeführt.

Sie möchten mehr über die dynamische Datenschutzerklärung erfahren? Dann setzen Sie sich gerne mit uns in Verbindung.

Die DSGVO Checkliste

Ist Ihre Website/App DSGVO-konform?

Unsere Checkliste unterstützt Sie Schritt-für-Schritt bei der Umsetzung – für eine gesetzeskonforme Daten- und Marketingstrategie.

Jetzt herunterladen

Wie bzw. wann soll die Einwilligung der User bei Google Ads-Anzeigen eingeholt werden? Genügt ein Passus dazu in der Datenschutzerklärung?

Wie ist Cross-Domain-Tracking rechtlich zu bewerten? Ist Tracking möglich, wenn dies für den Websseiten-Besucher im Rahmen der Consent-Einholung transparent ist oder muss hierfür die ausdrückliche Einwilligung eingeholt werden?

Ist es erlaubt, Google Ads und Facebook Ads jeweils ohne eigenes Pixel zu nutzen?

Wenn eine Webseite mit Hilfe eines CMS betrieben wird und auf dieser Seite viele Hacker-Angriffe auftreten, ist dann der Einsatz eines US-basierten Schutzmechanismus (wie z.B. Wordfence):

Erscheint die Formulierung bzgl. der Drittstaaten automatisiert in den Consents bei Usercentrics?

Hinterlegen US-Unternehmen die Standardvertragsklauseln selbst in ihren Nutzungs- und Datenschutzbestimmungen?

Wer entscheidet, welche Dienste für die Funktionalität der Webseite als „wesentlich“ gelten?

Muss beim Einsatz von Google reCAPTCHA ein Consent Tool verwendet werden? Wenn ein Consent Tool für reCAPTCHA im Einsatz ist, kann ja ohne Zustimmung z.B. ein Formular nicht versendet werden.

Ist bereits bekannt, wann seitens des Gesetzgebers mit Änderungen Richtung TTDSG zu rechnen ist?

Speichert Google die Daten von europäischen Nutzern auf seinen Servern in Europa? Findet also immer ein Transfer in die USA statt (Analytics, Google Ads)?

Wie „verträgt“ sich die Einbindung des Google Tag Managers mit dem Wegfall des Privacy Shields?

Ist folgender Hinweis von Usercentrics datenschutzrechtlich in Ordnung?:

Muss der Verantwortliche die Standarddatenschutzklauseln mit den Unterauftragnehmer von Auftragsverarbeiter abschließen, oder reicht es, wenn der Auftragsverarbeitern selbst im eigenen Namen die Standarddatenschutzklauseln mit seinem Unterauftragnehmer abschließt?

Kommt das TTDSG oder eher nicht?

Sie wollen mehr erfahren? Kontaktieren Sie uns gerne jederzeit.

Button

Unser Partner

Am 16. Juli 2020 verkündete der EuGH ein Urteil mit Signalwirkung: Das Privacy Shield-Abkommen, das den Datentransfer zwischen der EU und den Vereinigten Staaten regeln sollte, wurde für ungültig erklärt. Gleichzeitig kam die Frage auf, inwieweit Unternehmen ihre Datentransfers in die USA und in andere Drittländer auf sog.  Standardvertragsklauseln stützen können.

Seitdem befindet sich die Digitalbranche in Aufruhr. Marketers fragen sich: Darf ich auf meiner Webseite noch US-Dienste wie Google Analytics einbinden? Und wie sieht die momentane Rechtslage aus?

In diesem Webinar erläutern Ihnen unsere Experten Dr. Christian Velten, Fachanwalt für Arbeitsrecht und  zertifizierter Datenschutzbeauftragter, Martin Bayer von medialis sowie Hanna Waldenmaier von Usercentrics wie Sie US-Dienste noch datenschutzkonform auf ihrer Webseite integrieren können und was Sie jetzt beachten müssen. 

Das erwartet Sie: 

• Allgemeine Einführung in die aktuelle Rechtslage und Consent Management
• Aus aktuellem Anlass: Der Wegfall des Privacy Shields and die Auswirkungen auf die Nutzung von US-Diensten
• Die Lösung: Eine Consent Management Platform (CMP)

¹die Webinar-Partner sind Jota Rechtsanwälte Schultze-Rhonhof, Dr. Velten und Partner mbB und die one medialis GmbH