Am 18. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Was genau ist zu tun? Wen und welche Arten von Webseiten betrifft das eigentlich? Und was kann jetzt schon gemacht werden?
Achtung: Dieser Artikel ist ausdrücklich keine Rechtsberatung! Er gibt lediglich meinen aktuellen (Er)Kenntnisstand wieder, nachdem ich mich ausführlicher damit beschäftigt habe.
Einige Erhellungen dazu brachte auch der Vortrag von Daniel Schätzle auf der BlooCon in Münster.
Sowas schiebt man ja gerne auf die lange Bank – erstaunlicherweise ist die DSGVO bereits seit 2016 in Kraft – wir befinden uns also alle am Ende der Übergangsphase und beginnen erst jetzt zu handeln…
Anzeige
Offizielle Infos der EU
Aber nicht nur wir sind träge, auch so eine extrem agile Einrichtung wie die EU braucht manchmal etwas länger. Unter der folgenden Seite sollen Interessenten erste Hilfe zur neuen Verordnung bekommen: http://ec.europa.eu/justice/smedataprotect/index_de.htm.
Außer allgemeinen Hinweisen und lustigen Animationen kommt da allerdings nicht wirklich viel rüber. Es wird zwar etwas klarer, was eigentlich bezweckt werden soll. Aber wie die Umsetzung geschehen muss und in welcher Form, da kann einem bisher kaum jemand so wirklich weiterhelfen.
Welche Art von Webeiten betrifft DSGVO / E-Privacy überhaupt?
Gute Frage, die ich da gestellt habe! Häufig fällt zum Begriff DSGVO auch das Wörtchen E-Privacy. Die beiden gehören nicht so richtig zusammen und das eine schließt das andere auch nicht aus. Bei der DSGVO geht es vornehmlich um die Erhebung von Kundendaten und deren Verarbeitung, Speicherung etc. Die E-Privacy-Verordnung versteht sich eher als technische Ergänzung zur DSGVO, im Besonderen für technische Kommunikationsdaten.
Was sind technische Kommunikationsdaten? Zum Beispiel die Übertragungsdaten von Messengern, Sprache, Bild, Video usw.
Wo sich ja heute bereits jeder ziemlich sicher ist, dass die entsprechenden Anbieter ja „schön doof wären“, wenn sie diese nicht nutzen – ist das ab Ende Mai ohne Zustimmung des Nutzers verboten.
Update: Bisher „geisterten“ sowohl für die DSGVO und E-Privacy das Datum Mai durch die Welt. Scheinbar scheint sich zumindest die E-Privacy-Verordnung noch bis mindestens 2019 hinziehen zu können.
Im Rahmen der DSGVO gibt es die Option des „berechtigten Interesses“. Das bedeutet, als Online-Shop hat man natürlich ein berechtigtes Interesse daran, seinen Kunden zur Erfüllung der Bestellung die Adressdaten zu erfragen, zu speichern und nötigenfalls eben auch an einen Paketdienst weiterzugeben.
Ebenfalls kann es ein berechtigtes Interesse sein, das Userverhalten auf der Webseite mit Google Analytics zu tracken. Wie auch immer, bevor eine solche Aktion los geht, wird eine Einwilligung des Nutzers zur Auftragsdatenverarbeitung benötigt. Und zwar bevor hier irgendein Dienst mit irgendeiner Trackerei anfängt.
Am Beispiel von welt.de sähe das, ermittelt mit Browser-Addon Ghostery, so aus:
Jeder der hier ermittelten 17 Tracker, von Webanalyse bis zum Werbedienstleister, dürfte erst nach der Einwilligung des Webseitenbesuchers scharfgeschaltet werden.
Im Falle von welt.de hieße das, dem Besucher ein Pop-Up oder Layer vorzuschalten, in dem er diesen 19 Diensten die Zustimmung erteilt oder diese blockt.
Denn einfach nur den unwilligen Nutzer von den Inhalten fernhalten, ist ebenfalls nicht erlaubt. Der Ad-Blocker-Blocker von bild.de wird dann vermutlich auch ab Ende Mai in den Geschichtsbüchern stehen…
Wählt der Nutzer also aus „Google OK“ – „Facebook O weh“, dann darf der Facebook-Pixel nicht geladen werden. Was mir an dieser Stelle bisher nicht klar ist: Wie lange gilt diese Entscheidung? Für immer? 1 Tag? Die aktuelle Sitzung? Nur für die gerade besuchte Seite? Bis zum Widerruf (diese Möglichkeit muss übrigens auch gegeben sein).
Eigene Cookies für eigene Nutzung
Nun ist ja nicht immer alles sofort fürchterlich böse, nur weil es auch dazu verwendet werden kann. Das wäre ja, als wenn Diesel-Motoren… lassen wir das.
Denn, wenn die Daten anonymisiert werden, ist ein Datenschutz gar nicht nötig. Werden also die Analytics-Daten anonymisiert gespeichert, ist, rein theoretisch, keine Einwilligung erforderlich. Ähnlich verhält es sich mit Cookies, die man selbst setzt.
Praktisch sind eigene Cookies, wenn man ohne großen Aufwand wiederkehrende Nutzer erkennen möchte, um Seiteninhalte dynamisch anzupassen. Also irgendeinen Wert generieren, diesen zusammen mit einem Timestamp in der Datenbank speichern und beim Nutzer einen Cookie mit diesem Wert setzen. Bei der Wiederkehr prüfen, ob der Cookie vorhanden ist und mit den Werten in der Datenbank vergleichen.
Dieses Vorgehen ist anonym. Ich kann zwar den Nutzer und den Rechner/Browser wiedererkennen, weiß aber nicht wer da wirklich vor dem Bildschirm sitzt.
Es ist zwar keine Einwilligung erforderlich, ein Hinweis auf diese Technik muss allerdings klar und deutlich in den Datenschutzhinweisen stehen.
Sobald aber ein Dritter mit im Boot sitzt und dem Webseitenbesucher ins Ruder greifen will, wird dessen Zustimmung dafür benötigt.
Cookies von Affiliate-Netzwerken
Wer eine Webseite betreibt, hat ein legitimes Interesse daran den einen oder anderen Euro damit zu verdienen. So weit in Ordnung und das kann auch weiter so bleiben, allerdings kann es mit bestimmten Werbemitteln etwas komplizierter werden.
Als Beispiel hält heute mal Affilinet mit den affillinet Performance Ads den Kopf hin. Werden diese Anzeigen auf Webseiten eingebunden, versuchen Sie dem Besucher dynamisch möglichst passende Werbung einzublenden. Wer also vorher auf Golfsportshops unterwegs war, bekommt eben zu dem Thema Werbung – man kennt das. Das funktioniert natürlich nur über einen Cookie und der kommt natürlich über die eingebundene Anzeige über Affilinet zum Nutzer!
Achtung: Böse! Gleiches gilt für normale Bannerwerbemittel, auch hier wird schon mal gleich beim Aufruf des Werbemittels ein Cookie gesetzt. Was man hat, hat man.
Hier ist es also auf jeden Fall erforderlich, den Nutzer um eine Einwilligung zu bitten diese Werbeanzeige anzeigen und den damit verbundenen Cookie setzen zu dürfen.
Selbstgemacht: Werbemittel aus der API
Amazon, Zanox, Affilinet, Belboon – viele Affiliate-Netzwerke erlauben es, Produktdaten der angeschlosenen Merchants per API in eine eigenes System zu ziehen und vorzuhalten. Wie und wann diese aktuell gehalten werden, spielt jetzt keine Rolle. Wichtig ist: mit diesen Daten lassen sich Webseitenbesucher über Werbelinks zu den Partnerprogrammen leiten, ohne dabei auch nur das Wort Cookie in den Mund nehmen zu müssen. Ebenfalls aus dem Schneider sind natürlich reine Textlinks.
Ein wenig Obacht ist eventuell bei der externen Einbindung von Bildern anzuraten, wenn sie direkt vom Server des Partnerprogramms eingebunden werden. Vorsichtshalber unbedingt prüfen, ob hier eventuell ein Cookie mitgeschmuggelt wird…
Aus den gespeicherten Daten wie Produktname, Beschreibungen und den jeweiligen Ziel-URLs lässt sich also weiterhin Affiliate-Marketing betreiben, ohne den Nutzer mit Cookies überfluten zu müssen und sicherheitshalber eine holistische Datenschutzerklärung vorzuhalten.
Vor allem erleichtert es die ganze Sache natürlich technisch, denn wenn ein Nutzer Facebook nicht mag, aber Affilinet zustimmt, werden ja auch Cookies benötigt die eben diesen Sachverhalt wieder abrufbar machen.
Schnell und hektisch Adressen sammeln?
Für alle Freebie-Ebook-Online-Kurs-Anbieter aus dem SUHR-Segment da draußen: Es wird schwerer! Denn das Einsammeln von E-Mail-Adressen zur anschließenden Dauerbefeuerung der armen Menschen wird zwar weiterhin möglich sein, daran darf allerdings nicht mehr der Zwang gebunden sein, für etwas scheinbar kostenloses seine Daten preisgeben zu müssen.
Vorsichtige Handlungsempfehlungen
Bis Ende Mai ist es zwar noch ein Weilchen hin, empfehlenswert ist es aber, sich so langsam mal in das Thema einzuarbeiten. Was ist also zu tun?
Bestandsaufnahme
Besuche die eigenen Webseiten mit einem Tool wie Ghostery und schau, was für Skripte von Drittanbietern dort auftauchen. Auch ein Besuch mit einem nackten und komplett von allen Cookies befreiten Browser bringt einen guten Einblick, was da so alles beim Nutzer abgeladen wird.
Werden Daten des Nutzers erhoben? Für Bestellungen oder einen Newsletter? Dann greift auf jeden Fall die Dokumentationspflicht der DSGVO, wie diese Daten erhoben, gespeichert, verarbeitet usw. werden. Dazu folgt, vielleicht, noch ein weiterer Artikel.
Analyse der Daten
Sind bei den Skripten und Cookies auch welche von Drittanbietern dabei, müssen diese auf jeden Fall in die Datenschutzerklärung aufgenommen werden.
Der nächste Schritt ist dann, für alle diese Dienste eine Abfrage für den User zu erstellen, ob er dem zustimmt. Es ist nicht in Ordnung, die alle untereinander aufzulisten und ein Einverständnis für das Gesamtpaket einzuholen. Nicht mal Google AdSense und Analytics dürften sich gemeinsam zustimmen lassen.
Diese Antworten müssen dann gespeichert werden, schließlich soll der Nutzer ja nicht bei jedem neuen Seitenaufruf wieder von vorne beginnen müssen. Und dafür brauchen wir? Cookies! Genau!
Ich weiß nicht, ob sich jemand bei den kreativen Köpfen in Brüssel mal überlegt hat, wie das jemand machen soll der Cookies sowieso schon generell deaktiviert hat… Zur Not lässt es sich auch über den HTML-Storage erledigen?
Fazit
Also trotz DSGVO ist noch so einiges möglich – man muss es seinen Besuchern nur mitteilen und die Zustimmung dafür einholen. Wer Daten seiner Kunden einsammeln muss um damit weiterzuarbeiten, hat deutlich mehr zu tun als ein Webseitenbetreiber mit Links zu Partnerprogrammen, wobei aber auch hier Arbeit anfallen wird.
Und was die E-Privacy-Richtlinie angeht, ist vieles noch undurchsichtig. Grundsätzlich ist es, rein aus Nutzersicht, eigentlich gar keine schlechte Sache. Nur die Umsetzung ist natürlich wieder mal typisch unprofessionell.
Möglicherweise wird es aber auch eine Möglichkeit für den Nutzer geben, dem ganzen Hinweiswahnsinn aus dem Weg zu gehen, indem über eine Browser-Funktion grundsätzlich alles erlaubt oder eben verboten werden kann. Der Browser sendet dann einen entsprechenden Hinweis an die Webseite „Werbung, Feuer frei!“ und dann geht’s los.
Möglich ist aber auch ein netzwerkübergreifendes System, wo sich Nutzer eintragen können um dem ganzen Dilemma zu entkommen.
Unter dem folgenden Link gibt, nach eigenen Aussagen, einen DSVGO-Datenschutztext-Generator. Je nach Eingabe, kommt hier ein ganzer Batzen Seiten hinten raus. Ich empfehle, sich die Zeit zu nehmen und sich den kompletten Text durchzulesen und auf den eigenen Bedarf anzupassen!
Und nochmal:
Achtung: Dieser Artikel ist ausdrücklich keine Rechtsberatung! Er gibt lediglich meinen aktuellen (Er)Kenntnisstand wieder, nachdem ich mich ausführlicher damit beschäftigt habe.
Darum nehme ich gerne Hinweise auf Fehler, daraus resultierende Unwissenheit oder aber auch Fragen entgegen! Einfach in die Kommentare damit.
Anzeige
Pingback:WordPress und DSGVO: IP-Adresse bei Kommentaren entfernen