Noch wurde die EU-Cookie-Richtlinie nicht in geltendes deutsches Recht umgewandelt. Trotzdem tun Unternehmen gut daran und sind gewappnet, wenn sie sich schon jetzt an ihre Bestimmungen halten.
Datenschutz ist im Online-Business ein Muss. Foto: m00osfoto, Shutterstock.com
Besonders Website-Betreiber, die Daten ihrer Nutzer und Kunden erheben und verarbeiten, um diese Marketing- und CRM-Zwecken zuzuführen, kommen bei den unterschiedlichen gesetzlichen Bestimmungen in diversen Ländern schnell in den Wald. Die Verschärfung der datenschutzrechtlichen Vorschriften durch die Umsetzung der EU-Privacy-Richtlinie (auch Cookie-Richtline genannt) in deutsches Recht steht zudem demnächst irgendwann bevor - auch wenn die Frist zur Umsetzung bereits im Mai 2011 abgelaufen ist. Wichtigste Neuerung: Das bisherige Opt-out-Verfahren für die Datenerfassung (der Nutzer muss aktiv bestätigen, dass er keine Datenerfassung wünscht) soll durch das Opt-in-Verfahren ersetzt werden (der Nutzer muss dann aktiv bestätigen, dass er eine Datenerfassung wünscht - also das Setzen eines Cookies auf seiner Festplatte selbst herbeiführen).
Auch wenn die Umsetzung in Deutschland noch auf sich warten lässt, vertritt der Bundesbeauftragte für den Datenschutz, Peter Schaar, die Auffassung, dass die EU-Richtlinie von den deutschen Datenschutzbehörden in der bestehenden Form anwendbar sind. Damit Website-Betreiber auf der sicheren Seiten und für alle Eventualitäten gewappnet sind, hat der Webanalyse-Anbeiter etracker sieben Tipps als Orientierungshilfe zusammengestellt:
Ausschließlich pseudonyme Nutzerprofile erstellen Nutzungsprofile von Besuchern dürfen laut §15 Telemediengesetz ohne Einwilligung nur unter einem Pseudonym erstellt werden.<br /><br /> In der Regel spricht man von einem Pseudonym, wenn hinter dem jeweiligen Datensatz fünf oder mehr Personen stecken können. Die Datenschutzbehörden haben hierzu festgestellt, dass die IP-Adresse ausdrücklich kein Pseudonym darstellt, da hierdurch Rückschlüsse auf den einzelnen Besucher einer Website gezogen werden können. Achten Sie darauf, dass IP-Adressen vor der Verarbeitung und Speicherung so gekürzt werden, dass ein Bezug zur natürlichen Person nicht mehr herzustellen ist.
Widerspruchsrecht einräumen und technisch umsetzen Besucher müssen der Erstellung von Nutzungsprofilen widersprechen können. Der Widerspruch muss vom Website-Betreiber wirksam umgesetzt werden.<br /><br /> Website-Besucher besitzen grundsätzlich bei allen erfassten personenbezogenen Daten das Recht, eine erteilte Einwilligung zur Nutzung dieser Daten für Zwecke der Werbung und Marktforschung zu widerrufen. Außerdem besteht ein Widerspruchsrecht zur Bildung von Nutzungsprofilen, die unter einem Pseudonym für Marktforschungs- und Analysezwecke erstellt wurden. Diese Widerspruchsrechte müssen auch für alle Anwendungen und Dienste auf mobilen Endgeräten wie Smartphones oder Tablets eingeräumt werden. Möchte der Kunde von diesen Rechten Gebrauch machen und nicht länger zu den personenbezogenen bzw. pseudonymisierten Nutzungsprofildaten beitragen, müssen Sie dies veranlassen und technisch umsetzen (lassen).
Keine IP-Adressen verarbeiten oder gar speichern Ohne bewusste, eindeutige Einwilligung des Betroffenen darf die vollständige IP-Adresse nicht verarbeitet werden.<br /><br /> Eine illegale Verarbeitung ist beispielsweise bereits die IP-Geolokalisierung oder die Identifikation der Firma des Besuchers auf Basis vollständiger IP-Adressen. Allerdings ist eine Geolokalisierung auch mit verkürzter IP-Adresse – und damit datenschutzkonform – möglich.
Strikte Datentrennung einhalten Pseudonyme und personenbezogene Daten müssen stets getrennt gespeichert und dürfen ohne Einwilligung nicht zusammengeführt werden.<br /><br /> Speichern Sie personenbezogene und nicht personenbezogene Daten in separaten Datenbanken. Eine Löschung bzw. Anonymisierung von personenbezogenen Informationen ist dann unproblematisch und schnell umgesetzt. Generell gilt: Je stringenter Sie Ihre Daten organisieren, umso schneller und einfacher können Sie auch dem Widerspruchsrecht Ihrer Kunden entsprechen.
„Auftragsdatenvereinbarung“ mit Dienstleister abschließen Die Auftragsdatenverarbeitung (ADV) ist ein fester Bestandteil des Bundesdatenschutzgesetzes (BDSG): Der Vertrag mit einem Dienstleister muss den Anforderungen nach §11 BDSG entsprechen. Die ADV erfordert stets die Schriftform, eine Online-Akzeptanz ist nicht möglich. In der ADV wird die Zusammenarbeit mit dem Dienstleister geregelt. <br /><br /> Die meisten Unternehmen betreiben das Web-Controlling nicht auf eigenen Servern, sondern nehmen die Dienste Dritter dafür in Anspruch. Wenn die Daten auf diese Weise weitergeleitet werden, ist es zwingend erforderlich, dass Sie die Kontrolle über die Daten behalten. Schließen Sie mit dem Dienstleister einen schriftlichen Vertrag zur Verarbeitung der Daten in Ihrem Auftrag ab (Auftragsdatenverarbeitung). Wichtig zu beachten ist: Der Auftraggeber bleibt stets verantwortlich für die datenschutzkonforme Verarbeitung: Nur er wird haftbar gemacht und muss im Falle eines Verfahrens mit Bußgeldstrafen rechnen (§11 Abs. 1 BDSG).
Sparsam mit Daten umgehen Laut §3a BDSG dürfen personenbezogene Daten nur in dem Umfang erhoben und gespeichert werden, wie es für den jeweiligen Zweck der Geschäftsbeziehung mit dem Kunden erforderlich ist. <br /><br /> Für die Erhebung von Daten, die für die Marktforschung wünschenswert, für den jeweiligen Zweck jedoch nicht zwingend notwendig sind, bedarf es der Einwilligung des betroffenen Nutzers. Erheben Sie daher nur Daten, die Sie für den jeweiligen Zweck auch wirklich benötigen. Verzichten Sie auf unnötige „Pflichtfelder“, auch wenn weitere Daten für Marketing und Marktforschung wünschenswert wären. Lassen Sie auf die Daten nur diejenigen Mitarbeiter zugreifen, die die Daten auch wirklich benötigen. Nutzen Sie die Daten nur zu dem Zweck, den Sie jeweils bei der Datenerhebung angegeben haben. Für andere Zwecke benötigen Sie in jedem Fall die Einwilligung des betroffenen Nutzers.
Ein ordnungsgemäßer und transparenter Umgang mit Nutzerdaten sollte im Interesse eines jeden Unternehmens liegen - nicht nur aus rechtlichen Gründen. Mitarbeiter oder Dritte, die falsch mit Daten umgehen - ob auch Nachlässigkeit oder gar Vorsatz - können einem Unternehmen enormen Schaden zufügen, wenn Aufsichtsbehörden oder Wettbewerber Wind davon bekommen. Zudem ist Online-Business Vertrauenssache. Ein Anbieter, der intransparent oder gar rechtswidrig mit Kundendaten umgeht, ist nicht vertrauenswürdig. Transparenz und guter Datenschutz dagegen sind Verkaufsargumente und wichtige Bausteine für den Online-Erfolg.