Kategorie-Archiv: Datenschutz

Bremst die DSGVO Startups in der EU aus?

Die Übergangsfrist zur abschließenden Einführung der Datenschutzgrundverordnung (DSGVO) ist im Mai letzten Jahres abgelaufen. Alle Unternehmen müssen ihre Prozesse entsprechend gestalten. Welche Auswirkungen hat die DSGVO insbesondere für kleine Unternehmen und Startups? Was bedeutet das für Innovation in Europa? Es besteht Unsicherheit bei der konkreten Umsetzung der DSGVO-Vorgaben in der Praxis. Welche Daten darf man […]

Der Beitrag Bremst die DSGVO Startups in der EU aus? erschien zuerst auf lohmeyer | Business UX.

Innovationsbremse DSGVO: Hemmnis für europäische Start-Ups

 Vor rund einem Jahr ist die zweijährige Übergangsfrist der Datenschutzgrundverordnung (DSGVO) abgelaufen. Seitdem müssen sich alle Unternehmen an die neuen Richtlinien halten. Doch die DSGVO und die damit einhergehende Unsicherheit vieler Unternehmen hindern die Entwicklung innovativer Geschäftsmodelle in Europa. Unternehmensberater Bernd Lohmeyer sieht eine Innovationsbremse und zieht nach dem ersten Jahr Bilanz.  Hamburg. Am 25. […]

Der Beitrag Innovationsbremse DSGVO: Hemmnis für europäische Start-Ups erschien zuerst auf lohmeyer | Business UX.

Schärfere ePrivacy-Verordnung kommt!

Am 26. Oktober 2017 hat sich das EU-Parlament für eine schärfere ePrivacy-Verordnung ausgesprochen. Noch ist der Entwurf kein rechtskräftiger Gesetzestext. Auch ist unklar, ob ein Inkrafttreten zum 25. Mai 2018 gemeinsam mit der EU-Datenschutz-Grundverordnung erfolgen wird. Besonders schwerwiegende Auswirkungen hat die neue Verordnung in der jetzigen Form auf die Medien- und Werbe-Wirtschaft. Aber auch die Verhaltens- und Erfolgsmessung von Websites, Apps und Portalen im Rahmen der Webanalyse ist in geringerem Ausmaß betroffen.

Daher haben wir für Sie die zentralen Punkte des Entwurfs für den Bereich Digital Analytics (Webanalyse) zusammengefasst:

  • Browser müssen künftig standardmäßig 3rd Party Cookies blocken (sogenanntes ‚Privacy by Design‘) und granulare Datenschutzeinstellungen ermöglichen, die bindend für Dritte sind: generelle Website-übergreifende Zustimmung bzw. Ablehnung sowie Abfrage pro Website mit (Op-tin-) Zustimmung differenziert nach Zwecken wie (Direkt-) Marketing, Analyse, personalisierte Inhalte, Ortung sowie Datenweitergabe an Dritte mithilfe einfach und klar verständlicher Symbole.
  • Ohne explizite Zustimmung (und sofern kein Opt-out vorliegt) ist nur die Messung von aggregierten Session-bezogenen Nutzungsdaten wie Besuche, Seitenaufrufe und Events ohne Ortung (Geo-Lokalisierung) sowie ohne technische Daten wie Gerätetyp und Browser erlaubt (auch kein technisches Fingerprinting und Ähnliches).
  • Details zur Datenerhebung und -verarbeitung müssen wie gewohnt in den Datenschutzhinweisen aufgeführt werden. Gegebenenfalls müssen Websites und Apps auch eigene Opt-in- und Opt-out-Verfahren anbieten.

Was heißt das für die Nutzung von etracker Analytics und Optimiser?

  • etracker wird alle Anforderungen rechtzeitig umsetzen.
  • Aktuell ist es noch zu früh für eine Anpassung, da die finale Ausgestaltung der Verordnung noch zu ungewiss ist.
  • etracker ist bestens vorbereitet, da
    • die Besucherwiedererkennung nicht von 3rd Party Cookies abhängig ist,
    • differenzierte Opt-in-Verfahren schon heute möglich sind,
    • ein datenschutzkonformes Opt-out-Verfahren schon lange im Einsatz ist,
    • wir schon heute ‚Privacy by Design‘ leben zum Beispiel im Hinblick auf die Verarbeitung von IP-Adressen,
    • wir im engen Austausch mit Datenschutzbehörden und -experten stehen und stets proaktiv dafür sorgen, dass sich unsere Kunden auf der sicheren Seite befinden.

Was bedeutet die neue ePrivacy-Verordnung generell für Webanalyse und datengetriebenes Marketing? 

Die Zeiten, in denen Unternehmen unbedarft Tools einsetzen können, die Daten erheben und verarbeiten, sind vorbei. Angesicht der Geldbußen und möglichen Schadensersatzforderungen müssen Lösungen und Prozesse sehr sorgfältig ausgewählt und implementiert werden.

Allgemein ist damit zu rechnen, dass eine geringere Stichprobe für die Erfolgsmessung zur Verfügung stehen wird. Aktuell werden ja auch keine 100% erfasst, da Besucher sich per Opt-out von der Messung ausschliessen lassen oder im privaten Modus browsen und Ähnliches. Wie hoch der Anteil mit der neuen Regelung sein wird, wird zum einen davon abhängen, wie die Einstellungen konkret in den Browsern umgesetzt werden. Zum anderen wird es davon abhängen, inwieweit es Anbietern gelingt, ihren Nutzern einen wirklichen Mehrwert aus den Daten zu liefern und zu kommunizieren.

Auf der einen Seite wollen Nutzer zurecht nicht gänzlich gläsern sein, ausgenutzt, übervorteilt, manipuliert oder diskriminiert werden. Andererseits genießen wir die Vorteile durch den Datenaustausch, zum Beispiel zur Vermeidung von Staus im Straßenverkehr oder für individuelle digitale Fahrplanauskünfte. Wir machen gerne Schnäppchen beim Shopping, entdecken neue Locations oder Events, die zu unseren Vorlieben passen, oder heißen Unterstützung bei besonderen Bedürfnissen willkommen.

Die aktuelle Fassung der ePrivacy-Verordnung schießt sicherlich etwas über das Ziel hinaus. Ein Beispiel aus der analogen Welt macht dies deutlich: So käme niemand auf die Idee, von meiner Friseurin zu verlangen, eine Zustimmung von mir im Vorfeld einzuholen, um sich meinen Namen und die Art der durchgeführten Haarschnitte von Besuch zu Besuch merken zu dürfen. Ähnliches verlangt die ePrivacy-Verordnung in der digitalen Welt. Andererseits hat meine Friseurin auch – soweit mir bekannt – bislang nicht versucht, die im Smalltalk ausgetauschten Informationen zu Kindern, Haustieren, Reisen und so weiter durch Weitergabe an Dritte zu monetarisieren. Insofern muss man die jetzigen Forderungen als Reaktion auf mitunter sehr fragwürdigen Umgang mit Nutzerdaten verstehen.

Ungeachtet unserer persönlichen Bewertungen der Richtlinien gilt: mit Inkrafttreten der finalen Verordnung müssen und werden wir diese einhalten sowie das Beste daraus machen. Darauf können Sie sich verlassen.

Der Beitrag Schärfere ePrivacy-Verordnung kommt! erschien zuerst auf etracker.com.

Bereit für die neue EU-Datenschutzgrundverordnung?

EU-Datenschutz-Grundverordnung (EU-DSGVO), Bundesdatenschutzgesetz (BDSG neu) & ePrivacy-Verordnung (ePV): Was bedeutet das für Web-, App- und Portal-Tracking?

 

Hintergrund

Am 27. April 2016 wurde die EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) verabschiedet. Sie tritt am 25. Mai 2018 EU-weit in Kraft. In den zwei Jahren von der Verabschiedung bis zum Inkrafttreten müssen die Unternehmen ihre Datenschutzorganisation entsprechend angepasst haben.

Die EU-DSGVO bildet den allgemeinen Rechtsrahmen für die Erhebung, Speicherung und Verarbeitung von Nutzer-Daten. Sie regelt ganz allgemein die Verarbeitung personenbezogener Daten für den gesamten privaten und öffentlichen Bereich (mit Ausnahme der Polizei, Justiz und Behörden für Inneres). Spezielle und umfassende Regelungen einzelner und besonders schutzwürdiger Bereiche enthält sie dagegen nicht.

Bei der ePrivacy-Verordnung (ePV) handelt es sich um dazugehörige spezielle Regelungen im Hinblick auf Online-Dienste und -Kommunikation. Konkret geht es hier um die „Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG“. Es sind also all diejenigen angesprochen, die elektronische Kommunikationsdaten und Informationen in Bezug auf die Endeinrichtungen der Endnutzer (also Smartphone, PC, Tablet etc.) verarbeiten, die in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste stehen (Art. 2 Abs. 1 des Entwurfs). Dies meint im Grunde nichts anderes, als den Umgang mit jeglichen Daten und Informationen, die aus der elektronischen Kommunikation herrühren. Darunter fallen der Einsatz von Tracking-Programmen (z.B. Cookies) ebenso wie das Direktmarketing oder die Verwendung von GPS-Daten zur Berechnung der schnellsten Fahrtroute. Sinn und Zweck des Entwurfs ist also eine umfassende und möglichst technologieneutrale Regelung zum Ausgleich der Interessen von Unternehmen und Nutzern. Es wird damit ein Ansatz verfolgt, der auch schon in der DSGVO zum Tragen kommt.

Im Gegensatz zur EU-DSGVO ist die ePrivacy-Richtlinie noch nicht final verabschiedet. Im Januar 2017 wurde der erste Entwurf veröffentlicht. Seitdem haben verschiedene Ausschüsse Änderungsanträge bzw. Stellungnahmen unterbreitet, die in den kommenden Monaten beraten werden. Geplant ist, dass auch die ePV am 25. Mai 2018 in Kraft tritt.

Zudem wurde das Bundesdatenschutzgesetz (BDSG-neu) als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Diese neueste Fassung des BDSG wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen. Mit dem DSAnpUG-EU und dem darin enthaltenen BDSG-neu werden datenschutzrechtliche Regelungen an die DS-GVO angepasst und in ihr enthaltene „Öffnungsklauseln“ genutzt.

In aller Kürze: Wann treten die EU-DSGVO, das BDSG (neu) & die ePV in Kraft?

  • EU-DSGVO:     am 25. Mai 2018
  • BDSG (neu):    am 25 Mai 2018
  • ePV:                  geplant am 25. Mai 2018

Achtung: Bis zum 25. Mai 2018 muss jedes Unternehmen seine Datenschutzorganisation entsprechend angepasst haben!

 

Kein zahnloser Papiertiger mehr

Bei Verstößen können Geldbußen von bis zu 20 Mio. Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr eines Unternehmens verhängt werden. Zusätzlich hat jede Person, deren Daten unerlaubt verarbeitet werden, das Recht auf unbegrenzten Schadensersatz.

Achtung: Zukünftig liegt die Beweislast und Rechenschaftspflicht bei den Unternehmen, die im Zweifel die rechtskonforme Erhebung und Verarbeitung der Daten nachweisen und belegen müssen.

Fragen, die Sie sich stellen sollten, um das Risiko von Klage- und Abmahnverfahren zu minimieren:

  • Werden Risiken durch Anonymisierung bzw. Pseudonymisierung vermieden?
  • Findet die Datenverarbeitung ausschließlich in der EU statt?
  • Sind Datenverarbeitungs-Partner auf die Änderungen vorbereitet, transparent und kooperativ?

 

Welche Auswirkungen hätte es auf Ihr Geschäft, wenn ein erheblicher Anteil der Besucher nicht mehr erfasst würde?

Neben Klagen und Geldbußen bei Verstoß haben die neuen Rechtsvorschriften auch Auswirkungen auf die Geschäftsmodelle im Internet. Dies ist insbesondere der Fall, wenn Nutzerprofilerstellung, Werbemittelauslieferung und Erfolgsmessung auf 3rd- Party Cookies angewiesen sind. Kann ein Tracking-Opt-In nicht vermieden werden, ist damit zu rechnen, dass nur noch ein Bruchteil der Besucherinteraktionen und Ähnliches gemessen werden kann.

 

Was bedeutet das für Web-, App- und Portal-Tracking?

Hier finden Sie die wichtigsten Anforderungen und dazugehörige Optionen und Einstellungen in den etracker-Lösungen:

Anforderung Mit etracker
EU-DSGVO & BDSG (neu):
  • Daten zum frühestmöglichen Zeitpunkt anonymisieren oder  pseudonymisieren, soweit dies nach dem Verarbeitungszweck möglich ist.
  • Privacy by Design-Einstellung
  • Privacy by Design: Voreingestellte IP-Anonymisierung (3. und 4. Oktett werden standardmäßig vor der Verarbeitung verworfen).
  • Privacy by Design: Regulär keine Speicherung oder Verarbeitung personenbezogener Daten!
ePV (Entwurf):
  • Erlaubnis (Opt-In), um Cookies einsetzen zu können. Es sei denn, Sie wollen selbst (mittels 1st-Party Cookies bzw. On-Premise)„nur“ das Web-Publikum messen.
  • Widerspruchsmöglichkeit (Opt-Out) erforderlich, wenn technische Informationen vom Browser oder Endgerät erhoben werden.
  • Apps müssen bei der Installation die Erlaubnis zum Tracking (Opt-In) durch Dritte abfragen und speichern.
  • Ein optionales Tracking-Opt-In steht für Websites zur Verfügung.
  • etracker kann als On-Premise-Lösung betrieben werden.
  • Besuchererkennung und -wiedererkennung erfolgt mittels 1st-Party Cookies.
  • etracker unterstützt schon heute differenzierte Opt-Out-Verfahren.
  • Beim etracker App Tracking ist die Opt-In-Funktion standardmäßig aktiviert.

 

Fazit

Mit etracker sind Sie bestens für die Umstellungen am 25. Mai 2018 gerüstet und müssen keine rechtlichen Gefahren fürchten.

etracker ermöglicht es Ihnen, auch nach dem 25. Mai 2018 ein Höchstmaß an Daten zu erheben und nutzbar zu machen und so negative Auswirkungen auf digitale Geschäftsmodelle zu vermeiden.

etracker verfolgt die Entwicklungen im Datenschutz insbesondere in Hinblick auf die noch nicht finalisierte EU-ePV kontinuierlich, um spätestens zum 25. Mai 2018 alle datenschutzrechtlichen Regelungen umgesetzt zu haben.

Der Beitrag Bereit für die neue EU-Datenschutzgrundverordnung? erschien zuerst auf etracker.com.