Datenschutz-Grundverordnung? WTF? Wir wissen, was zu tun ist!

von Patrick Bogeschdorfer

08. November 2017

Wer? Wie? Was? Datenschutzverordnung?

Die neue EU-Datenschutz-Grundverordnung (GDPR - General Data Protection Regulation) tritt nach zweijähriger Übergangsfrist endgültig am 25. Mai 2018 in Kraft. Bis dahin müssen sämtliche Webseiten den neuen Richtlinien entsprechen. Sind Sie bzw. Ihr Unternehmen bereits darauf vorbereitet?

EU-Bürgerinnen und -Bürger erhalten mithilfe der neuen Verordnung mehr Kontrolle über ihre personenbezogenen Daten. Zu diesen zählen neben Angaben zur natürlichen Person, wie Name und Adresse, unter anderem auch psychische, kulturelle, soziale und genetische Aspekte zu den relevanten Daten. Auch Geräte-IDs, IP-Adressen, Cookies und Standort-Informationen gehören hier dazu.

Die Datenschutz-Grundverordnung (DSGVO) beinhaltet strikte Regeln für alle, die diese personenbezogenen Daten speichern und auch weiterverarbeiten. Das heißt, diese Vorschriften müssen nicht nur von europäischen Organisationen berücksichtigt werden, sondern von allen, die persönliche Daten von EU-BürgerInnen sammeln. Die Höchststrafe beträgt bei Nichteinhaltung € 20 Millionen oder 4 % des globalen Umsatzes der Organisation. Hier gilt, dass der schlussendlich höhere Betrag zu zahlen ist.

Was bedeuten die neuen Richtlinien konkret?

Ab Mai dürfen somit keine Daten ohne vorherige explizite Zustimmung gespeichert werden. Zudem muss man nachweisen können, wann und wie die jeweilige Person eingewilligt hat. Ebenso ist es erforderlich, die gegebene Einwilligung widerrufen zu können. Bereits bestehende Einwilligungen sind nur dann rechtsgültig, wenn sie den Bedingungen der neuen Verordnung entsprechen.

Folgende Vorgehensweisen zur Erlangung der Einwilligung sind folglich nicht mehr zulässig:

  • Inaktivität der Person als Zustimmung zu werten
  • Link im Zuge einer Registrierung auf die Privacy Policy
  • Zustimmung während einer Installation („Clickwrap“-Formulare)
  • Vorselektierte Boxen

Vor allem bei Cookies, kann es im Online Marketing zu Schwierigkeiten kommen.

Wie muss die Information an die UserInnen aufbereitet sein?

Die Information an die betroffene Person muss folgende Punkte enthalten:

  • Name und Kontaktdaten der Verantwortlichen
  • Zweck und Rechtsgrundlage für die Verarbeitung
  • gegebenenfalls weitere EmpfängerInnen dieser Daten
  • wie lange die Daten gespeichert werden
  • Hinweis auf das Recht zum Berichtigen oder Löschen der Daten
  • Widerrufsrecht der Einwilligung
  • Angabe, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist

Der daraus resultierende Text muss prägnant, klar und leicht verständlich formuliert sein. Zudem ist es wichtig, dass diese Informationen kostenlos sowie leicht erreichbar zur Verfügung stehen.

Best Practice

Wir haben uns eingehend mit der neuen DSGVO beschäftigt. Im Anschluss zeigen wir Ihnen ein ausgearbeitetes Beispiel zum besseren Verständnis.

Folgende Information erscheint beim Aufrufen der Website:

Informationen gemäß Datenschutz-Grundverordnung

Bis zur expliziten Zustimmung für die Funktionellen oder Marketing Cookies dürfen keine Tracking-Methoden oder dergleichen laufen. BenutzerInnen können über die Verarbeitung der personenbezogenen Daten selbst entscheiden.

Datenschutz-Grundverordnung ausgefüllt

Über einen einfach zu erreichenden Link (z.B. im Footer) kann die Benutzerin / der Benutzer seine persönlichen Daten verwalten.

Verwaltung der persönlichen Daten

Weitere Informationen finden Sie auch auf der Seite des österreichischen Bundeskanzleramtes.

 

Jetzt unseren Newsletter abonnieren