logo
Seit dem Jahr 2002 unterstützen wir Kunden im Bereich Adwords Optimierung. Kostensenkung, Optimierung, für Klicks, CPO, ROI und vieles mehr. Als Online Marketing Agentur optimieren wir nachhaltig Ihre Adwords Kampagnen. Fordern Sie Ihre kostenlose Erstberatung beim zertifizierten Google Partner an.

Suchmaschinenoptimierung (SEO)

Adwords – SEM, SEA + PPC

Social Media Advertising

Affiliate Marketing

Google Shopping

Kontaktieren Sie uns

Wir machen Sie sichtbar!
Werden sie für relevante Suchbegriffe gefunden, immer, zu jeder Zeit.

+49 30 956 12 697

berlin@damcon.net

Katharinenstr. 8, D-10711 Berlin

+49 8041 808 46 20

muenchen@damcon.net

Prof.-Max-Lange-Platz 6, D-83646 Bad Tölz bei München

Top

Damcon Updates Mai 2018 – DSGVO

Rechtzeitig vor dem in Kraft treten der heiß diskutierten Datenschutz-Grundverordnung (DSGVO) informieren wir in den Damcon Updates Mai 2018 über die neue EU-Verordnung.
Dabei gehen wir nicht nur auf die Grundlagen ein, sondern geben auch hilfreiche Tipps zu rechtmäßigen Anpassungen und Richtlinien. Wir wünschen viel Spaß beim Lesen!

Die Datenschutz-Grundverordnung

DSGVO Pixabay(Quelle: pixabay.com)

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist eine neue Verordnung, die die Privatsphäre und Daten der Bürger schützen soll. Insbesondere da in den letzten Jahren neue Entwicklungen im Bereich Online Marketing, als auch technische Weiterentwicklungen wie Smartphones und Tablets erfolgt sind und die bisherigen Datenschutzrichtlinien darauf nicht angepasst sind.
In Deutschland wird dadurch zum einen das bisherige Bundesdatenschutzgesetz ersetzt und wird zum anderen durch ein neues Bundesdatenschutzgesetz ergänzt. Zu der DSGVO in Europa wiederum gehört auch die ePrivacy Verordnung, die bestimmte Spezialbereiche der DSGVO genauer ausführt. Diese tritt jedoch erst vermutlich Anfang 2019 in Kraft.

Die DSGVO regelt in Zukunft den Umgang mit personenbezogenen Daten. Die große Frage, die zurzeit besteht ist, was sind denn personenbezogene Daten? Prinzipiell dürfen alle Daten, die Rückschlüsse auf eine bestimmte Person ziehen lassen nicht verarbeitet werden. Zusätzlich darf auch nicht die Möglichkeit bestehen, dass eine bestimmte Person identifizierbar ist. Allerdings gibt es in der Datenschutz-Grundverordnung keine direkte Angabe von Daten, die personenbezogenen sind. Somit sind auch Cookies Grenzfälle, welche erst mit der ePrivacy Verordnung Anfang 2019 eindeutig geklärt werden können. Dennoch kann man an dem folgenden Beispiel sehen, wie begrenzt in Zukunft die Möglichkeiten im Online Marketing sein könnten.

Beispiel: Jemand kauft in einem Online Shop eine Luxus Uhr. Dadurch bekommt er von dem Online Shop eine Kennung. Anhand dieser wird er beim Surfen im Internet verfolgt (sogenanntes Profiling). Anschließend bekommt er mehrfach exakt zugeschnittene Werbung für die Luxus Uhr die er soeben gekauft hat. Somit ist das personenbezogenes Marketing, was laut der DSGVO verboten ist. Natürlich muss der Nutzer damit rechnen, dass seine Daten im Rahmen der Bestellung eine Kennung bekommen und anhand dieser im Online Shop vermerkt wird. Aber kann er auch damit rechnen, dass diese Daten an Google weitergegeben werden? Wie genau an diesem Punkt Regelungen aussehen, wird sich wohl erst mit der Zeit der der ePrivacy Verordnung ergeben.

Einwilligungsverfahren zur Verarbeitung personenbezogener Daten

Aber es gibt ja noch den Weg der Datenverarbeitung von personenbezogenen Daten nach der Einwilligung der sogenannten betroffenen Personen. Das bedeutet, ich darf personenbezogene Daten von Personen verarbeiten, solange es zuvor eine freiwillige und ausdrückliche Einwilligung für die Verarbeitung gab. Damit diese erfolgt, sollte das Double-Opt-in Verfahren angewendet werden. Es beinhaltet eine doppelte Bestätigung seitens der betroffenen Person. Zum Beispiel über ein Online Formular, in Kombination mit dem automatischen Versand einer Bestätigungs-E-Mail. Das Double Opt-in wird durch den Klick auf den Bestätigungslink in der E-Mail sichergestellt. Zusätzlich sollte im Online Formular, bestenfalls auch nochmal in der Bestätigungsmail, die Themen/die angebotene Dienstleistung oder der Grund des Ausfüllens von Formular stehen. In Bezug zu dem Einwilligungsverfahren wird es künftig auch das sogenannte Kopplungsverbot geben. Das bedeutet, dass eine Einwilligung nicht mit einer Vertragserfüllung gekoppelt sein darf, solange die Erfüllung des Vertrags nicht für die Einwilligung erforderlich ist. Somit darf zum Beispiel die Teilnahme an einem Gewinnspiel nicht mehr ohne vorherige Ankündigung an ein Newsletter-Abonnement gekoppelt sein.
Zudem ist ein schon voraktiviertes Häkchen in einem Formular auch nicht ausreichend um ein Einverständnis zur Datenverarbeitung zu geben. Des Weiteren sollte die betroffene Person auch immer über den möglichen Widerruf oder auch Opt-out hingewiesen werden.

Verantwortlicher und Auftragsverarbeiter

Um jetzt zu verstehen, wie Online Marketing Agenturen als auch Kunden dieser Agenturen und Unternehmer handeln müssen, sollten vorerst die Begriffe (laut DSGVO) des Verantwortlichen und des Auftragsverarbeiters geklärt werden. Diese beiden stehen nämlich in direkter Verbindung zur datenschutzrechtlichen Beziehung und zur Beziehung der Datenverarbeitung.
Der Verantwortliche ist derjenige, der unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzt, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Datenschutz-Grundverordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. [1]

Der Auftragsverarbeiter handelt für den Verantwortlichen allerdings nur unter schriftlicher Genehmigung mittels eines Vertrags. Dementsprechend ist er verpflichtet den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter zu informieren. Dadurch erhält der Verantwortliche die Möglichkeit gegen derartige Änderungen Einspruch zu erheben. Zudem hat der Auftragsverarbeiter den Weisungen des Verantwortlichen Folge zu leisten und die Daten auch nur in dem vereinbarten Rahmen zu verarbeiten. Sollte der Vertrag zwischen den Parteien erlöschen (durch Abschluss der Erbringung der Leistung oder Kündigung) ist der Auftragsverarbeiter gezwungen sämtliche Daten, die dem Dienstleistungsverhältnis entsprungen sind unverzüglich zu löschen. Es sei denn es besteht laut dem Unionsrecht eine Verpflichtung zur Speicherung der personenbezogenen Daten.

rechtliche Beziehungen allgemein

 

Google Produkte und die DSGVO

Grundsätzlich bietet Google Auftragsverarbeitungsverträge für seine Produkte an. Diese können elektronisch abgeschlossen werden und sichern die Zusammenarbeit für beide Parteien rechtmäßig ab. Lediglich der Google AdWords Vertrag wurde automatisch angepasst und muss nicht zusätzlich vereinbart werden. Um einen besseren Überblick darüber zu bekommen, wann und in welchem Umfang solche Verträge mit Google abgeschlossen werden müssen, wird im Nachfolgenden erläutert, welche Verantwortlichkeit man mit diversen Google Produkten trägt.

Die folgenden Google Produkten fallen unter den Anwendungsbereich Google als Verantwortlicher:

  • AdWords (einschließlich Remarketing und Conversion Tracking Funktionen)
  • AdSense
  • DoubleClick Ad Exchange
  • DoubleClick For Publishers
  • Google Kundenrezensionen

Die folgenden Google Produkten fallen unter den Anwendungsbereich Google als Auftragsverarbeiter:

  • DoubleClick Bid Manager
  • DoubleClick Campaign Manager
  • DoubleClick Search
  • Google Analytics & Analytics 360
  • Google Tag Manager 360
  • Google Data Studio
  • Google Attribution 360
  • Google Optimize 360

Sofern Sie Google Analytics nutzen, empfehlen wir Ihnen dringend noch vor dem 25. Mai 2018 den Auftragsdatenverarbeitungsvertrag an Google zur Gegenzeichnung zu senden: https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf

Dementsprechend können Nutzer von Google Produkten etwaige Verträge abschließen und einschätzen mit welcher Verantwortlichkeit sie bei der Verwendung handeln. Doch wie sehen diese rechtlichen und datenschutzrechtlichen Beziehungen aus, wenn ein Unternehmer eine Agentur für das Online Marketing eine Agentur beauftragt hat?
In Bezug auf Google AdWords handelt die beauftragte Agentur als Auftragsverarbeiter und der Unternehmer als Verantwortlicher. Da die Agentur aber Verträge mit Google, für AdWords abgeschlossen hat, muss der Unternehmer in diesem Fall keine weiteren Verträge abschließen. Zwischen der Agentur und dem Unternehmer findet eine Datenverarbeitung statt. Zusätzlich stehen die beiden auch in einer Rechtsbeziehung zueinander.

rechtliche Beziehungen AdWords

Newsletter Einwilligung, Erstellung & Versand

Damit wie laut DSGVO vorgeschrieben, die Einwilligung zur Datenverarbeitung von personenbezogenen Daten rechtmäßig eingeholt wird, sollte beim Newsletter unbedingt das Double Opt-in Verfahren angewendet werden. Es beinhaltet eine doppelte Bestätigung seitens der betroffenen Person. Im Falle des Newsletters heißt das zum Beispiel, dass die Option ein Häkchen zu setzen für den Empfang des Newsletters besteht. Vorsicht hier, denn ein bereits gesetztes Häkchen gilt laut DSGVO nicht als freiwillige Einwilligung seitens der betroffenen Person. Um das Double Opt-in sicherzustellen, empfiehlt sich anschließend der Versand einer E-Mail an den potenziellen neuen Abonnenten. Die E-Mail sollte einen Bestätigungslink für die Anmeldung des Newsletters enthalten. Mit Anklicken dieses Links wird das Double Opt-in sichergestellt und der Interessent wird zu einem Abonnenten des Newsletters. Zusätzlich sollte in der E-Mail noch einmal wiederholt werden, welche Themen der Newsletter behandelt. Es wird empfohlen hier auch sofort die Hinweise zum Widerruf und die Datenschutzerklärung (Tipp: https://www.datenschutz-generator.de) anzufügen. Außerdem sollte in der Bestätigungsmail keine Werbung enthalten sein. Last but not least muss der Dienstleister diese Bestätigung protokollieren, so dass sie im Zweifelsfall nachweisbar ist.

Für etwaige Umsetzung oder Details lassen Sie sich anwaltlich oder von einem Datenschutzbeauftragten beraten. Der Artikel stellt keine Rechtsberatung dar!

[1] laut Artikel 24, DSGVO

Share
Damcon GmbH