Die Sendung mit der Metrik #12: “Webanalyse und das neue Datenschutzrecht (EU-DSGVO)” mit Martin Schirmbacher von Härting Rechtsanwälte

Wer sich aktuell noch nicht um die am 25. Mai 2018 in Kraft tretende EU DatenSchutzGrundVerOrdnung (EU-DSGVO) gekümmert hat, sollte sich so langsam mal auf den Weg machen. Denn ansonsten droht u. U. Ungemach.

Was genau es mit der neuen Regelung auf sich hat, warum quasi alle Websitebetreiber und Webanalysten betroffen sind, schildert Martin Schirmbacher im Gespräch mit mir. Höre rein, denn ein “Ich wusste nicht, dass ich das wissen muss” gibt es dann nicht.

UND: Du kannst eines von drei Büchern “Online-Marketing- und Social-Media-Recht” von Martin Schirmbacher gewinnen! Also reinhören. 🙂

Abonniere auf Android Abonniere auf iTunes

In dieser Folge:

  1. Die Sendung
  2. Gewinnspiel Martins Buch “Online-Marketing- und Social-Media-Recht”
  3. Shownotes
  4. Die Folge zum Nachlesen

Hier hörst du, was du alles über die neue EU-DSGVO wissen musst.


Lade die Folge runter (Rechtsklick und “Speichern unter”)

Meine Bitte: Wenn dir diese Folge gefallen hat, hinterlasse bitte eine 5-Sterne-Bewertung bei iTunes oder wo immer du abonniert hast, gerne ein Feedback im Blogpost oder bei Facebook und abonniere diesen Podcast. Zeitinvestition: Maximal ein bis zwei Minuten. Dadurch hilfst du mir den Podcast zu verbessern und die Inhalte zu liefern, die du gerne hören möchtest. Ich danke dir jetzt schon dafür. Oder hinterlasse auch gerne einfach einen Kommentar hier.

Wenn du das Ganze lieber lesen möchtest, unten gibt’s das komplette Interview in Textform.

Gewinnspiel “Online-Marketing- und Social-Media-Recht” (Buch von Dr. Martin Schirmbacher)

Es gibt nicht viele Anwälte, die populäre Literatur schreiben. Dr. Martin Schirmbacher gehört definitiv dazu, denn sein Buch “Online-Marketing- und Social-Media-Recht” ist eines der Werke, die man sich als Online Marketer ins Regal stellen (und natürlich auch lesen) sollte. Ich kann dir das Buch wirklich nur empfehlen.

Wie kannst du es jetzt gewinnen? Ganz einfach: Bitte kommentiere einfach unter diesen Blogpost, warum du das Buch unbedingt brauchst. Das Ganze ist aber zeitlich begrenzt. Bitte also bis zum 15. November um 17:30 Uhr, denn an dem Abend werde ich den Gewinner ziehen. Vermutlich sogar via Livestream auf der Metrika-Facebook-Seite. Natürlich wird der Gewinner am Ende per Mail benachrichtigt.

Wer “Online-Marketing- und Social-Media-Recht” einfach so kaufen möchte, kann das natürlich ebenfalls tun. Sein Buch ist zum Beispiel bei Amazon erhältlich unter http://amzn.to/2A538lw (Amazon Partnerlink, kostet euch keinen Cent mehr).

Shownotes

Martin Schirmbachers Profile im Netz

Allgemein

Das war die Folge “Webanalyse und das neue Datenschutzrecht (EU-DSGVO)” mit Martin Schirmbacher von Härting Rechtsanwälte

Hallo? Die Sendung mit der Metrik, der Webanalyse-Podcast mit Maik Bruns und seinen Gästen. Heute mit Dr. Martin Schirmbacher. Viel Spaß! #00:00:20-9#

Gewinnspiel mitmachen

Maik Bruns: Spoiler Alert! Mein heutiger Gast, Martin Schirmbacher, und ich, wir verlosen eines von drei Büchern für dich. Das heißt, du hast die Chance mit einem Kommentar auf metrika.de im Blogpost zu dieser Folge oder auf die die-sendung-mit-der-metrik.de ebenfalls im Blogpost zu dieser Folge dich mit einem Kommentar zu verewigen und uns genau aufzuschreiben, weshalb du der Richtige für dieses Buch bist. Sein Buch ist „Online-Marketing Recht“ und ist ein Grundwerk für alle, die mit Online-Marketing zu tun haben. Wenn wir es haben wollt, bitte den Kommentar hinterlassen. Ihr habt Zeit vom 2. November bis zum 15. November, am 2. erscheint diese Folge. Am 15. machen wir den Kommentar-Stream quasi zu und dann wird abends mit einem Live-Stream verlost. Okay, dann viel Glück euch und bis gleich. #00:01:12-3#

Intro zu „Webanalyse und das neue Datenschutzrecht (EU-DSGVO)“

Maik Bruns: Herzlichen willkommen zu einer neuen Folge „Die Sendung mit der Metrik“. Heute mit einem besonderen Gast, weil wir auch einen kleinen Ausflug machen, der nicht direkt mit der Webanalyse oder Digitalanalyse selbst zu tun hat, sondern es geht heute ums Thema Recht. Meine erste Begegnung mit dem Thema Datenschutz muss ich gestehen ist schon ein bisschen länger her. Damals ging’s nicht nur um Impressum & Co., sondern ich glaube, als ich meine erste Google Analytics Implementation hinter mir hatte, ging es auch so ein bisschen darum, wie kriege ich das denn jetzt hier halbwegs rechtssicher? Was man dann so macht, ist natürlich sich im Netz irgendwie informieren, mal ein bisschen hin- und herschauen und nicht so richtig wissen, was man tut. Idealerweise hätte man sich einen Rechtsbeistand geholt, wenn man es offiziell gemacht hätte. Aber das habe ich nicht gemacht, ich habe es einfach mal riskiert und dennoch, es hat sich seitdem auch schon eine ganze Menge getan. Denn was ich damals gemacht habe, war so 2008 das erste Mal mit solchen Tools rumhantiert. Ich muss ehrlich zugeben, ich bin ein Noop, was rechtliche Belange angeht. Das ist für mich immer so ein Glatteis-Thema, das heißt also mit meinem heutigen Gast werde ich ihn zwar schöne Fragen fragen, aber ich werde nicht unbedingt immer mitreden können. Aber dafür ist er auch mein Gast und auch eben der Experte.

Weil sich jetzt eben schon wieder Dinge ankündigen fürs nächste Jahr, da gibt es eine neue Verordnung und über die werden wir gleich sprechen. Das ist die Datenschutz-Grundverordnung, die in der EU jetzt flächendeckend ausgerollt wird. Weil ich dazu einfach überhaupt nichts alleine sagen kann, weil das Thema aber durchaus angefragt wurde von euch, habe ich mir ihn eingeladen. Ich möchte ihn euch jetzt gleich mal vorstellen, das ist nämlich der Dr. Martin Schirmbacher.

Martin Schirmbacher und ich, wir kennen uns jetzt schon eine ganze Weile, vor allen Dingen, weil wir haben uns auch schon ein paar Mal gesehen auf Konferenzen und im Magazin Suchradar schreiben wir auch beide, ein Magazin von Bloofusion. Damals habe ich noch in der Organisation mitgewirkt und wir hatten da regelmäßig miteinander zu tun. Er ist einer von den Rechtsanwälten, die Online-Marketing oftmals besser beherrschen als ihre Kunden, also in diesem Fall Klienten. Wer sich dem Thema Online-Marketing und Recht in Deutschland irgendwie näher fühlen möchte oder wer das näher hinterleuchten müsste, der kommt eigentlich schwerlich an seinem Namen vorbei. Sein Steckenpferd ist so der ganze Search Bereich, also Search Marketing. Er ist aber jetzt nicht nur online unterwegs, sondern schreibt durchaus auch handfeste Sachen. Er hat zum Beispiel ein Buch geschrieben, über das wir gleich nochmal ganz kurz sprechen werden. Er ist nämlich Buchautor des Buches „Online-Marketing Recht“, ist dementsprechend auch auf vielen Konferenzen vortragend unterwegs, macht das aber wirklich nicht trocken, sondern er ist ein sehr unterhaltsamer Mensch und er tut der Branche gut, wie ich finde. Dann gibt er Seminare, ist viel unterwegs in der Welt, aber sein Kern-Job ist, dass er Partner ist bei Härting Rechtsanwälte in Berlin. Deswegen sage ich jetzt mal: Welcome, Dr. Martin Schirmbacher. Hallo Martin! #00:04:13-6#

Dr. Martin Schirmbacher: Guten Morgen, Maik! So eine lange Vorrede habe ich ja noch nie gehabt zu mir. #00:04:16-4#

Maik Bruns: Oh, möchtest du das öfter haben, dann können wir direkt den nächsten Termin machen. #00:04:20-9#

Dr. Martin Schirmbacher: Sehr gut. #00:04:22-1#

Maik Bruns: Sehr schön, dass du da bist. Ich freue mich sehr, dass wir heute mal über das Thema Recht sprechen können. Wie du gerade schon gehört hast, es ist jetzt nicht unbedingt so mein Schwerpunktthema. Meine Frage ist am Anfang immer: Wie kommt Martin Schirmbacher jetzt in diesem Fall zur Webanalyse oder was hat der so konkret auch mit diesem ganzen Thema Digitalanalyse zu tun? #00:04:41-3#

Dr. Martin Schirmbacher: Erstmal vielen Dank Maik für die Einladung. Freut mich, dass ich hier als Experte in einem etwas anderen Gebiet mal bei dir dabei sein kann. Hoffe auch, dass es euch Zuhörern das was bringt, was wir heute machen und wie Maik schon gesagt hat, ist es in der Tat so, dass auch bei mir natürlich Anfragen aufschlagen zur Webanalyse. Was habe ich mit Webanalyse zu tun? Im Prinzip habe ich Berührungspunkte an zwei Stellen, zum einen wie du gerade schon erwähnt hast in der Beratung. Wir haben fast wöchentlich kleinere und größere Projekte oder Tools zu begutachten, wo es jedenfalls auch um das Tracking von Nutzerdaten geht und wir uns fragen oder die Mandanten sich fragen: Dürfen wir das eigentlich? Dann haben wir als Kanzlei natürlich selbst eine Website und ich habe meinen Blog online-marketing-recht.de und da schaue ich natürlich auch regelmäßig in die Analytics-Daten und freue mich vor allem darüber, wenn ich bekannte Unternehmensnamen entdecke, die gerade Mandant geworden sind und möglicherweise über diese Website auf mich gestoßen sind. Insofern gleich doppelt, was ich mit der Webanalyse zu tun habe. #00:05:49-1#

Maik Bruns: Jetzt ist es natürlich so, du als Anwalt kennst dich besonders gut aus und ich muss kurz vorwegnehmen, wir reden heute nicht unbedingt darüber, was die konkreten Voraussetzungen dafür sind, dass ihr Google Analytics zum Beispiel rechtskonform einsetzt. Sondern es geht eigentlich eher so um das große Thema Europäische Datenschutz-Grundverordnung. Das ist etwas, was jetzt im kommenden Jahr auf uns wartet und wo jetzt viele Unternehmen ein bisschen Unsicherheit haben, was sie machen müssen. Vielleicht kannst du mal ganz kurz erläutern, worum geht’s denn in dieser Datenschutz-Grundverordnung? #00:06:31-1#

Dr. Martin Schirmbacher: Aber klar. Das ist etwas, was ich zurzeit jeden Tag mache in unterschiedlichsten Zusammensetzungen, in Workshops mit Mandanten, in Seminaren vor größerem Publikum oder und vor allem in sagen wir mal Detailfragen, die die DSGVO so wie sie von uns liebevoll abgekürzt wird, so mit sich bringt. Die Datenschutz-Grundverordnung ist eine EU-Verordnung, die in allen Mitgliedsstaaten unmittelbar gelten wird. Die eine Verordnung heißt im Unterschied zu einer Richtlinie, sie muss nicht mehr umgesetzt werden in den Mitgliedsstaaten, sondern sie gilt so wie sie ist, sie ist quasi deutsches Recht, wenn sie dann am 25. Mai 2018, ich kann das Datum kaum mehr hören, dann tatsächlich wirksam wird. In Kraft ist sie schon. Ich höre immer mal wieder, ach, das wird doch alles nicht so heiß gegessen und wer weiß, ob das wirklich kommt. Nein, nein, die steht im Amtsblatt der EU und wird genauso wie sie da drinsteht dann im Mai wirksam werden. Wir werden es sicherlich in der Folge jetzt noch ein paar Mal diskutieren. Das Frustrierende daran ist, dass das zwar viele Buchstaben stehen, aber man trotzdem nicht so Hundertprozent genau weiß, was einen da jetzt eigentlich erwarten soll, weil die Buchstaben meistens nicht ganz so eindeutig sind, was daran liegt, dass man dort vielfach versucht hat Kompromisse zu finden innerhalb des sage mal Gesetzgebungsprozesses. Die sehen dann so aus, dass man irgendwas in die Verordnung geschrieben hat, wo dann keiner so richtig weiß, was das jetzt eigentlich heißen soll und am Ende werden dann mal Gerichte sagen, was das heißen soll. Ein etwas frustrierender Job als Berater. Aber ansonsten sind wir zurzeit, machen wir tatsächlich fast nichts anderes als EU-Datenschutz-Grundverordnung. Ich muss zusehen, dass ich zu meinen Software- und E-Commerce-Projekten noch komme, weil tatsächlich der Beratungsbedarf in den Unternehmen natürlich groß ist. #00:08:05-6#

Maik Bruns: Ja, das kann ich mir gut vorstellen. Ich könnte mir vorstellen, dass bei vielen dann auch so eine Grundeisstimmung auftaucht, weil sie bestimmte Dinge befürchten oder weil sie auch das Gefühl haben, sie sind nicht gut vorbereitet, weil es auch immer so ein großes komplexes Thema dann ist, was sich da auftut. Die Frage ist: Was erwartet uns denn so ganz konkret vielleicht mal? Vielleicht mal an so einem praktischen Beispiel? #00:08:26-9#

Dr. Martin Schirmbacher: Mhm (bejahend). Also ganz konkret ist ehrlichgesagt schwierig. Ich muss vielleicht doch ein ganz bisschen ausholen und das vielleicht noch ein bisschen abstrakt machen und dann bevor wir dann sozusagen auf die Einzelheiten eingehen können. Die Verordnung ist gemacht worden vor allem von deutschen Juristen. Ja, die ist natürlich in Brüssel entstanden, aber da waren viele Deutsche dabei. Deshalb sowohl im Parlament als auch in der Kommission als auch nachher bei den Verhandlungen im Rat. Als dann nächtelang gezerrt wurde darum, um jedes Komma gestritten worden ist. Herausgekommen ist etwas, was bei oberflächlicher Betrachtung dem deutschen Bundesdatenschutzgesetz, was wir jetzt haben, gar nicht so unähnlich. Das heißt jetzt die 3 Riesen-Änderungen zu benennen, fällt manchmal gar nicht so leicht. Weil wenn man da aus der Vogelperspektive raufschaut, dann kommt einem doch relativ viel ziemlich bekannt vor. Was leider nicht bedeutet, dass man sich als deutsches Unternehmen jetzt ausruhen kann und sagen kann, ach na ja, da wird schon nicht so viel sein. Es lässt sich nur leider nicht so richtig in 2 Sätzen zusammenfassen, was da jetzt sozusagen anders ist.

Wichtig für die Unternehmen ist wahrscheinlich, dass sich die Perspektive auf den Datenschutz ein bisschen ändert. Man konnte bisher vielleicht davon naja oder einfach sagen, ach, ich halte mich an ein paar wesentliche Regeln, ich gucke immer mal hier mal, habe eine Datenschutzerklärung und mache möglichst nichts falsch. Dann bin ich schon auf der richtigen Seit. Nach neuem Recht hat man jetzt umfangreiche Dokumentationspflichten. Im Prinzip muss jedes Unternehmen ein Verzeichnis über die Datenverarbeitungsvorgänge führen, das betrifft dich Maik, das betrifft uns. Da muss dann allerlei drinstehen, zum Beispiel der Zweck der Datenerhebung und die Löschfrist. Kann man als Excel-Tabelle machen, aber man muss mal aufschreiben, welche Datenverarbeitungsvorgänge es so gibt in einem Unternehmen. Da gibt’s, da werde ich immer gefragt, ach, es gilt wirklich für jedes Unternehmen? Naja, es gibt so eine Ausnahme für kleine Unternehmen mit weniger als 250 Mitarbeitern. Nur wenn man dann wieder richtig reinschaut, da gibt’s dann wieder Rückausnahmen zum Beispiel, wenn die Datenverarbeitung regelmäßig geschieht, dann soll die Ausnahme nicht mehr greifen. Naja. #00:10:39-3#

Maik Bruns: Also dann doch wieder immer quasi. #00:10:40-9#

Dr. Martin Schirmbacher: Richtig. Deshalb kann man diese Ausnahme eigentlich vergessen, sodass tatsächlich zum Beispiel jeder ein solches Verfahrensverzeichnis wie es jetzt noch heißt führen muss. Die Datenschutzbehörden können ohne Grund kommen und Herausgabe des Verzeichnisses verlangen. Darauf sollte man dann auch besser vorsichtig oder vorbereitet sein, denn das wird garantiert passieren. Das ist für die Datenschutzbehörden gar kein Aufwand. Es braucht auch keinen Anlass. Sie lassen sich das einfach mal zeigen und gucken, ob da Facebook Custom Audience drinsteht oder ob da drinsteht, Webanalyse-Tools 1234 oder ob da generell drinsteht, wie mit der Webanalyse umgegangen wird. Das heißt solche Verfahren müssen da erwähnt werden und da ist jetzt ein kleiner Punkt unter vielen. Es gibt weitere Compliance-Vorgaben, die die Verordnung macht, an die man sich unternehmensweit halten muss. Davon zu unterscheiden ist die Einzelfrage: Darf ich denn jetzt eigentlich noch Webanalyse machen, worüber wir gleich sicherlich nochmal ein bisschen sprechen werden? Was ändert sich denn jetzt eigentlich, also wir sagen materiellrechtlich, also an der Frage: Darf ich eine bestimmte Sache machen? Muss ich den Nutzer oder Kunden um Einwilligung bitten oder darf ich die Sachen einfach so machen wie sie sind? #00:11:52-4#

Maik Bruns: Aber du hast ja schon gesagt, es geht im Wesentlichen um Unternehmen oder eigentlich nur um Unternehmen, die sich damit auseinandersetzen müssen oder trifft das auch Private? #00:11:59-2#

Dr. Martin Schirmbacher: Nein richtig. Die Privaten sind natürlich betroffen insofern, dass sich an mancherlei Stelle die Rechtslage für sie verbessert. Insbesondere sind die Unternehmen angehalten die Sache noch transparenter zu machen als sie schon jetzt sind. Es gibt eine Pflicht zur transparenten Datenschutzinformation. Man hat allerdings wie bis jetzt auch einen Auskunftsanspruch und letztens habe ich eine Umfrage gesehen, dass angeblich zwei Drittel der Leute von ihrem Auskunftsanspruch Gebraucht machen wollen. Dass das so kommt, sehe ich hier noch nicht, aber dieses Recht hat man. Dann sind die Unternehmen verpflichtet unverzüglich, das heißt nach deutschem Recht ohne schuldhaftes Zögern, also ohne da jetzt erstmal große Recherchen anzustellen diesen Auskunftsansprüchen nachzugeben. Das heißt jedes Unternehmen muss in der Lage sein den Privatpersonen mehr oder weniger sofort, sprich innerhalb weniger Werktage zu sagen und zu übermitteln, welche Daten über sie gespeichert sind. Was sich noch ändert für Private, ist, IP-Adressen, darüber wird es in der Zukunft keine Diskussionen mehr geben, werden als personenbezogene Daten angesehen. Das ist eine Diskussion, die wir ich glaube seit Ende der 90er Jahre führen bis zum Europäischen Gerichtshof und zurück. Das sieht auch nach jetzigem Recht so aus, als seien IP-Daten im Prinzip personenbezogen. Aber nach neuem Recht kann man da eigentlich kaum noch groß diskutieren. Es gibt immer eine Opt-out Möglichkeit, wenn Daten zu Marketingzwecken verwendet werden. Das heißt auch fürs Tracking, kommen wir nachher nochmal dazu, muss man ein Opt-Out anbieten und darüber den Kunden auch entsprechend belehren, sodass die Privatpersonen schon betroffen sind. Aber du hast insofern natürlich vollkommen Recht, dass Adressat dieser Verordnung nur Unternehmen sind. Wenn ich als Privatperson Daten sammle und mir zum Beispiel die Geburtstage von meinen Freunden irgendwo notiere, dann muss ich nicht überlegen, ob ich jetzt eigentlich unter die Datenschutz-Grundverordnung falle. #00:14:05-2#

Maik Bruns: Es ist im Prinzip eine Stärkung des Nutzers. Ich meine, darum geht es ja immer bei Datenschutz. #00:14:11-5#

Dr. Martin Schirmbacher: Ja. Jain. Die Verordnung ist nicht ganz auf der grünen Wiese entstanden oder auf einem weißen Blatt Papier, sondern es gibt schon die Datenschutzrichtlinie und wir hatten alle gehofft, als es hieß, es kommt jetzt eine Verordnung aus Europa, dass wir dort ein zukunftsgerichtetes Datenschutzrecht bekommen. Also wo man dann auch anschließend, wo man reinschaut und weiß, wie die Rechtslage ist. Jedenfalls sich ein Bild davon machen kann und wo Themen wie Big Data, AI und so weiter auch irgendwie behandelt werden. Ist aber nicht so. Big Data taucht in der gesamten Verordnung nicht einmal auf. Jetzt findet man natürlich Stellen, wo man da argumentieren kann, ja, das meint hier Big Data oder das kann man hier darauf stützen, aber ein wirklich in die Zukunft gerichtetes Datenschutzrecht haben wir nicht bekommen. Dass jetzt sich alles für die Nutzer verbessert, kann man eigentlich nicht sagen. Es ist zwar schon natürlich die Schutzrichtung, die stoße ich, ist natürlich, das Persönlichkeitsrecht der Betroffenen, wie die immer noch heißen, oder jetzt heißen sie betroffene Personen im Datenschutzrecht, zu schützen, aber eine generelle oder das Schutzniveau in Deutschland war natürlich schon relativ hoch. Wenn ich aus Portugal oder Estland komme, sind die Änderungen für die Unternehmen möglicherweise größer als für uns. Aber es gibt schon stellen, wo man jetzt neue Argumentationsspielräume hat, dass man zum Beispiel keine Einwilligung braucht. Insofern, wenn man jetzt wiederum nur unsere eigene private Brille aufsetzt und schaut, was dürfen die Unternehmen eigentlich mit unseren Kundendaten machen, dann ist das nicht immer nur eine Entwicklung hin zum Strengeren aus Sicht der Unternehmen. Die Tendenz aber, da hast du vollkommen Recht, die Tendenz ist natürlich schon da. Ja. #00:15:54-4#

Maik Bruns: Gibt’s denn auch für den Website-Betreiber vielleicht praktische Vorteile durch diese neue Verordnung? Also das klingt jetzt alles nach ein bisschen mehr Verwaltung, bisschen mehr Bürokratie, ein bisschen mehr aufschreiben, was man tut. Hat denn ein Unternehmen was davon? #00:16:05-7#

Dr. Martin Schirmbacher: Mhm (bejahend). Absolut, also dieses Paperwork wird auf jeden Fall zunehmen, müssen alle machen. Vielleicht ein ganz bisschen weiter ausgeholt. Was bleibt, ist das Verbotsprinzip, haben vielleicht die meisten schon mal gehört. Das heißt, das bedeutet, ich darf personenbezogene Daten nicht verwenden. Es sei denn ich finde eine Rechtfertigung. Der Grundsatz ist also, alle Verarbeitung von personenbezogenen Daten ist verboten. Jetzt gibt es im Gesetz ein paar Ausnahmen davon. Wenn ich die Daten zu einem Vertrag brauche, für die Vertragserfüllung, dann darf ich die Daten haben ohne den Nutzer fragen zu dürfen. Wenn ich eine Einwilligung habe, dann darf ich die Daten natürlich haben. Dann gibt es auch eine Vorschrift, nur dass ihr es alle mal gehört habt: Artikel 6 Abs. 1f DSGVO, das meine Lieblingsvorschrift ist und darauf werden viele Unternehmen ihr Datenverarbeitung abstellen und da heißt es, dass man auch Datenverarbeitung rechtfertigen kann mit berechtigten Interessen des Unternehmens. Das heißt ich habe ein Interesse daran die Daten zu verarbeiten und die Datenverarbeitung ist für diesen konkreten Zweck notwendig. Dann darf ich das.

Und jetzt kommt’s: Es sei denn, es stehen wichtige Interessen des Betroffenen entgegen, sodass wir da so eine Interessenabwägung haben und die Frage und dann jeweils eine Einzelfallentscheidung haben, wie geht die jetzt im Einzelnen aus? Dann gibt’s in der Verordnung sogenannte Erwägungsgründe, wo der Verordnungsgeber reingeschrieben hat, was so nicht in den eigentlichen Teil der Verordnung passte. Aber so ein bisschen Hintergrund und da gibt es eine Stelle, wo drinsteht, das Direktmarketing kann ein berechtigtes Interesse sein in diesem Sinne. Sodass man tatsächlich sagen kann, dass es Konstellationen gibt, wo diese Interessenabwägung zugunsten der Website-Betreiber ausgeht und man vielleicht anders als bisher man keine Einwilligung mehr braucht. Argument ist dann, also zum Beispiel bei bestimmten einfachen Retargeting-Verfahren kann man sagen, ich habe ein berechtigtes Interesse daran einen Warenkorb-Abbrecher zu tracken und wiederzufinden auf einer anderen Seite und ihm dort die Werbung anzuzeigen, dass er vielleicht seinen Warenkorb doch zumachen soll und kaufen soll. Da muss man überlegen, bestehen jetzt da berechtigte Interessen des Nutzers entgegen und da hilft dann so ein Erwägungsgrund, wenn da steht, Direktmarketing kann ein berechtigtes Interesse sein, weil man dann sieht, das ist dann sozusagen direktes Marketing, ein solches Follow-Up und natürlich ist personalisierte Werbung im Sinne von auf einen zugeschnittene Werbung besser als Gießkanne, dann muss die doch eigentlich auch sozusagen zulässig sein. Dann jetzt gehen wir da schon in die Tiefen rein, maßgeblich sollen dann sein die vernünftigen Erwartungen der Nutzer. Also wenn der Nutzer mit der Verarbeitung seiner Daten rechnen muss und auch wieder mit einverstanden wird so im Großen und Ganzen, dann kann das tatsächlich ohne Einwilligung einfach aus dem Gesetz gerechtfertigt sein, dass man solch ein Tracking durchführt. Insofern ist es jetzt vielleicht ein bisschen weiter Bogen, aber es gibt schon einzelne Stellen, wo man sagen muss, für den Website-Betreiber ändert sich was zum Positiven, weil er bestimmte Verfahren, wo man jetzt streiten musste, gibt’s da eine Einwilligung oder nicht, in Zukunft möglicherweise sein Einwilligungserfordernis oder nicht möglicherweise ohne so eine Einwilligung machen darf. Blöd sind zwei Punkte, blöd ist, dass das jetzt meine Interpretation der Rechtslage ist.

Da gibt’s auch noch andere, die das gleich sehen. Aber wenn man sich überlegt, wie viel Datenschutzbehörden es in der europäischen Union gibt, allein 17 in Deutschland, dann mag man sich vorstellen, dass die da möglicherweise eine andere Auffassung haben und dass wir dann doch wieder ins Streiten geraten, ob das denn tatsächlich so ist oder nicht und wir dann wieder Behördenentscheidungen und Urteile abwarten müssen, bevor man dann jetzt halbwegs sicher sein kann wie es jetzt wirklich ist. Der zweite Punkt, der fast noch schlimmer ist, eine andere große Unsicherheit in der Diskussion ist nämlich zurzeit auch eine Überarbeitung der ePrivacy-Richtlinie. Das ist die Cookie-Richtlinie, die wahrscheinlich alle von euch kennen, weil die viel diskutiert wurde, nie so ganz richtig in deutsches Recht umgesetzt wurde, und die Frage regelt, ob man eigentlich für einen Cookie ein Opt-in braucht und das ist der Grund, warum so viele Cookie-Banner durch die Gegend geistern. Diese Richtlinie soll in eine weitere Verordnung überführt werden und jede Woche hört man neue Wasserstandsmeldungen aus Brüssel und die schlimmsten Befürchtungen scheinen sich jetzt zu bewahrheiten, nämlich dass die Verordnung einerseits strengere Regelungen festlegen wird als bisher, was das den Consent für Cookies angeht, sodass man möglicherweise nicht mehr damit rechnen kann, dass die Leute ihre Cookie Opt-ins erteilen und man das Tracking sozusagen erschwert. Übrigens ich spreche von Cookies, aber es gilt genauso für andere Verfahren der Wiedererkennung des Nutzers, zum Beispiel bei Fingerprinting. Und noch viel schlimmer, wenn es klar wäre, könnte man irgendwie damit umgehen und das irgendwie adressieren, aber noch viel schlimmer ist, dass jetzt die Verhandlungspositionen in Brüssel so weit auseinanderliegen, dass die Wahrscheinlichkeit, dass diese Verordnung zeitgleich mit der Datenschutz-Grundverordnung in Kraft treten kann, immer weiter sinkt, sodass wir möglicherweise erst Ende nächsten Jahres wissen, was jetzt in dieser ePrivacy Verordnung drinsteht, sodass wir sozusagen einen Gap bekommen zwischen der Rechtslage ab Mai und der Rechtslage, die dann möglicherweise ein Jahr später gilt und die Anwender jetzt quasi sich anschauen müssen, was machen wir eigentlich in der Zwischenzeit? Das ist eigentlich so ein bisschen dieses Horrorszenario, was wir seit einem Jahr malen und genau dazu kommt es jetzt. Ehrlichgesagt eine ziemliche Katastrophe. #00:22:16-5#

Maik Bruns: Was passiert in so einem Fall? Im Prinzip bleiben die alten Verordnungen oder Rechtslagen dann erstmal bestehen oder wie funktioniert das? #00:22:23-7#

Dr. Martin Schirmbacher: Genau. Wir sind dann erstmal sozusagen alleine mit der Datenschutz-Grundverordnung, was ich jetzt so schlimm gar nicht fände, wenn nicht sozusagen das Damokles-Schwert drohen würde, dass man ein Jahr später oder ein dreiviertel Jahr später oder who knows when man alles wieder ändern muss. Genau, dann bleibt sozusagen diese E-Commerce-Richtlinie und die Cookie-Richtlinie vor allem erstmal bestehen wie sie ist und auch möglicherweise das, was manche vielleicht kennen, die Regelungen zu Nutzungsdaten in dem deutschen Telemediengesetz, über was wir noch gar nicht gesprochen haben, worauf jetzt die Datenanalyse gestützt wird zum Teil. Das ist dieses Thema pseudonyme Nutzerprofile. Aber das ist offen, was da passiert. Deshalb ist das auch etwas undankbar derzeit da ganz konkreten Rat zu geben, weil man nicht so Hundertprozent weiß, was damit eigentlich passieren wird. Rat an die Unternehmen und Webanalysten ist, sich jetzt mit der DSGVO zu befassen, so zu tun als käme die andere Verordnung gar nicht und dann jetzt erstmal für Compliance ab Mai zu sorgen, um dann zu sehen, wie man da weitermacht. Weil dass die gar nicht kommen wird, was mal eine Weile gedacht war, scheint ausgeschlossen. Das heißt da wird was kommen. Was da kommt, das ist jetzt Kaffeesatzleserei. #00:23:31-2#

Webanalyse und die EU-DSGVO

Maik Bruns: Dann lass uns doch mal konkret über Webanalyse reden und über Tools wie Google Analytics oder Piwik und Konsorten. Dürfen wir denn mit der neuen Datenschutz-Grundverordnung weiterhin tracken oder ändert sich etwas gegenüber unserem jetzigen Stand? #00:23:51-6#

Dr. Martin Schirmbacher: Irgendeine Form von Tracking wird auch in Zukunft zulässig sein. Die Hauptfrage ist, ob man eine zusätzliche Einwilligung braucht oder nicht? Mit einer Einwilligung kann man mehr oder weniger alles rechtfertigen. Die Anforderungen an die Einwilligung sind nicht ohne, die sind höher als jetzt. Es gibt auch dort ein paar Unsicherheiten, zum Beispiel eine Art Kopplungsverbot. Das heißt, wenn ich einen Kunden habe, würde naheliegen in die AGB oder in die Newsletter-Einwilligung irgendwas reinzuschreiben wie, ich bin einverstanden damit, dass mein Nutzerverhalten getrackt wird und auch für die Personalisierung von Werbemaßnahmen verwendet wird. Aber das mag sein, dass das weiterhin zulässig ist, aber kritisch ist, wenn man das koppelt an den Einkauf und sagt: Du musst sozusagen diesen Bedingungen zustimmen, wenn du bei uns einkaufen willst. Weil dann sagen die Datenschützer, dann sei das nicht mehr freiwillig, sodass man also bei der Einwilligung auch Schwierigkeiten hat und natürlich die Hauptschwierigkeit bei der Einwilligung ist, dass sie, wenn sie freiwillig ist, die Leute nicht erteilen. Sodass natürlich schon besser ist, wenn man tracken darf, ohne dass die Leute zugestimmt haben, insbesondere wenn man gar keinen Touchpoint hat mit denen, also sprich, wenn man die gar nicht fragen kann, zum Beispiel wenn sie einfach auf die Website kommen. Aber da bin ich wie ich es am Anfang schon kurz angedeutet habe durchaus der Meinung, dass man das auf berechtigte Interessen stützen kann. Da ist dann weniger mehr. Ein weiter so bisher kann ich mir schon vorstellen, insbesondere das Thema Streichen letzte Oktett der IP-Adresse, um möglichst wenig sozusagen Wiederherstellbarkeit oder Wiedererkennbar des Nutzers zu haben. Auch einen Auftragsverarbeitungsvertrag mit dem Dienstleister sollte man sicherlich in Zukunft schließen, aber da sehe ich schon, das reine Tracking ist noch das geringste Problem, was jetzt so die Zukunft angeht. Da wird es weiterhin Möglichkeiten geben und wie gesagt, je weniger Daten man da erhebt und je sparsamer man ist, umso besser, umso eher zulässig. Siehe auch, was ich vorhin gesagt habe, das berechtigte Interesse setzt halt voraus, dass die Datenverarbeitung notwendig ist für den Zweck. Da muss man sich schon fragen: Brauche ich wirklich die gesamte IP-Adresse, um die Daten so auszuwerten wie ich sie gerne hätte oder reicht es nicht, wenn ich es kürze? Je mehr ich kürze, umso besser, weil dann die Wiedererkennbarkeit nicht gewährleistet ist. #00:26:29-3#

Maik Bruns: Gut, das ist natürlich in Deutschland sowieso schon durch das AnonymizeIP, gerade bei Google Analytics durchaus schon besser. Aber Tools wie Piwik betraf das soweit ich weiß nicht unbedingt. Da sind wir natürlich jetzt irgendwo auf dem Weg der Vereinheitlichung auch. Was ich vom Grundsatz her auch als Nutzer erstmal begrüße. Als Unternehmen muss ich sagen, naja es macht die Sache jetzt nicht gerade einfacher unbedingt an Daten zu kommen.

Was ist mit anderen Tools, Personalisierungs-Tools? Remarketing hattest du eben schon mal grundsätzlich erwähnt. Es geht im Prinzip immer ins gleiche Horn oder? Also immer, wenn ein berechtigtes Interesse vorliegt, Daten zu erheben, dann kann man davon ausgehen, dass man es auch irgendwie auf irgendeinem Wege dann darf? Wie genau der auch aussehen mag. #00:27:17-8#

Dr. Martin Schirmbacher: Jain. Berechtigtes Interesse ist die Grundvoraussetzung, das werde ich auch immer haben. Die Frage ist entgegenstehende Interessen der Nutzer und dann muss ich immer schauen, was ist mit der Nutzererwartung? Rechnet der damit oder rechnet der nicht damit? Da würde ich sagen, je gewöhnlicher die Maßnahme, umso eher ist es okay, während ein normales Retargeting, Standardbeispiel meine Mutter kennt, weil sie einfach sozusagen weiterverfolgt wird, ist ein Cross-Device-Tracking heutzutage sicher nicht zu erwarten und damit auch nicht zulässig, jedenfalls nicht ohne Einwilligung. Also so diese Richtung muss man das sozusagen weitergehen. #00:28:00-5#

Maik Bruns: Jetzt hast du vorhin auch gesagt, Unternehmen müssen sich im Prinzip damit erstmal beschäftigen. Aber wer kann sich denn damit beschäftigen? Ich meine, muss sich jetzt jeder einmal die ganze Datenschutz-Grundverordnung durchlesen oder wie geht man an so ein Thema als Unternehmen ran? #00:28:17-3#

Dr. Martin Schirmbacher: Strafe muss sein. Jeder muss die einmal lesen. Genau. Willkommen in meinem Leben. #00:28:23-7#

Maik Bruns: Ich habe auch schon ein paar Absätze gelesen. #00:28:26-2#

Dr. Martin Schirmbacher: Genau. Ehrlichgesagt, es kommt sehr auf die Einheit an, innerhalb derer man ist. Bei vielen unserer Mandanten gibt es große, teils sehr große Datenschutz-Grundverordnungs-Projekte, die natürlich auch die Webanalysten-Crew miteinbeziehen. Ich habe aber auch schon Workshops gehalten bei einem großen DAX-Konzern, wo die gesamte Business-Intelligence-Abteilung nicht involviert war. Die wussten davon nichts, obwohl es ein großes DSGVO-Projekt gibt. Weil die einfach in der Gesamtbedeutung aus Sicht des Projektes so wenig relevant waren, dass sie sie gar nicht erst miteinbezogen haben oder erst im Februar miteinbeziehen werden. So in diese Richtung. Insofern, wenn in einem kleinen Laden bin, dann bleibt mir gar nichts, wo es irgendeinen Datenschutzbeauftragten gibt und die Geschäftsleitung noch nicht soweit ist, da jetzt mal DSGVO-Themen anzustoßen, dann sollte ich mich damit schon befassen. Also jeder Marketer, jeder Webanalyst sollte schon ein Grundwissen davon haben. Genau wie man jetzt weiß, dass wenn ich Google Analytics einsetze, ich so ein Auftragsdatenverarbeitungsvertrag mit Google schließen soll, den ich mir einfach runterladen kann. Da wird es auch ein neues Muster geben von Google. Insofern dieses Basiswissen muss man schon haben. Ich versuche da auf meiner Website das immer mal wieder aktuell zu halten. Zurzeit ist es wie gesagt sehr undankbar, wenn man noch nicht so Hundertprozent weiß, was da jetzt im Einzelnen passiert. Aber das sollte man schon haben schon im eigenen Interesse. Ja. #00:29:55-3#

Maik Bruns: Und eine gewisse Karenzzeit gibt’s wahrscheinlich nicht? Das heißt es ist jetzt eh schon ein langer Vorlauf, also im Mai startet das Ganze und am nächsten Tag stehen im Zweifel Abmahner oder irgendwelche Rechtskommissare stehen dann auf der Matte und sagen, so, das war noch nicht so in Ordnung, was du machst? #00:30:17-0#

Dr. Martin Schirmbacher: Genau. Zwei Möglichkeiten, so zwei, drei Möglichkeiten gibt es, ehrlichgesagt habe ich keinen Zweifel, dass es die Abmahner geben wird. Verstöße gegen die Datenschutz-Grundverordnung können auch Wettbewerbsverstöße sein, die mit einer Abmahnung verfolgt werden können. Wenn ich die nicht gescheit informiere über die Daten, die ich erhebe und da steigen die Anforderungen sehr, also Transparenz, ganz großer Punkt. Wer Lust hat, kann mal reinschauen in Artikel 13 DSGVO und da steht eine ganze lange Liste von Punkten, die man da drin haben muss. Da steht zum Beispiel, den Datenschutzbeauftragten muss man nennen. Da muss man nennen, auf welcher Rechtsgrundlage man die Datenverarbeitung stützt. Da muss ich mich also entscheiden, ist das jetzt hier Vertrag oder berechtigtes Interesse oder Einwilligung? Und so weiter. Das ist natürlich für jemanden, der da Spaß dran hat oder, der Geld verdienen möchte oder jemand, dem der Datenschutz sehr wichtig ist, ein Einfaches dann am 26. Mai herzugehen und zu prüfen, haben die die Datenschutzerklärung angepasst oder nicht und da entsprechend abzumahnen. Das ist Punkt 1, wobei das Schlimme daran dann ist, dass man dann sehr schnell handeln muss und sehr schnell quasi ein DSGVO-Projekt durchziehen muss. Was notwendig zu mehr Kosten und zu höherer Aufregung führen wird. Der zweite, sicher auch wichtige Aspekt ist, dass die Behörden deutlich mehr Power bekommen, Power vor allem in Form von Bußgeldern. Normalerweise ist das immer am Anfang meiner Workshops, um für Aufmerksamkeit zu sorgen. Ich habe immer so eine Slide, wo auf der linken Seite, sieht so ein bisschen aus wie so ein umgefallenes Streichholz, der derzeitige Bußgeldrahmen ist, der geht bis 300.000 Euro, von dem fast nie oder noch nie Gebrauch gemacht worden ist in Deutschland und auf der rechten Seite ist so ein Skyscraper, der durch die Decke geht und das ist der neue Bußgeldrahmen und da geht’s dann um 20 Millionen. Also bis zu 20 Millionen kann ein Bußgeld verhängt werden für einen schweren Datenschutzverstoß, zu dem relativ viele Verstöße, zum Beispiel die fehlenden Information für einen Verbraucher gehört oder für die ganz großen Unternehmen bis zu 4 Prozent des weltweiten Jahresumsatzes. Kann dann mal schnell so eine Behörde aus Irland oder aus Deutschland verhängen. Jetzt muss nicht das große Zittern ausbrechen und Panik bekommen, das wird sicher nicht am 26. Mai passieren. Wir sind da in einem ganz normalen Verwaltungsverfahren. Das passiert wie ein Lärmverstoß, wird man da erst aufgefordert, Stellung zu nehmen. Dann hat man die Gelegenheit da sich zu äußern und wenn man dann nicht Abhilfe schafft, dann ist in der Tat denkbar, dass ein Bußgeld verhängt wird. Die Behörden frohlocken zwar alle und sagen, sie werden den Bußgeldrahmen ausschöpfen, aber sicher nicht bis zu diesem Rahmen für Nichtvorhandensein einer Datenschutzerklärung auf der Website oder ein datenschutzwidriges Tracking einzusetzen, sondern da spricht man vielleicht von ein paar, aber dann schon 10.000 Euro im Unterschied zu ein paar Hundert Euro, was das vielleicht jetzt gekostet hat. Insofern auch da weiß man nicht ganz genau, wie teuer das dann wirklich wird. Aber die Gefahr ist da und dann werden die Behörden das natürlich auch möglicherweise publik machen wollen und wenn die Presse davon Wind bekommt, dass man der erste ist, der jetzt hier irgendwie ein dickes Bußgeld aufgebrummt bekommen hat, weil man da irgendwie seine Tracking-Tools nicht benannt hat oder datenschutzwidrig einsetzt, dann ist schnell die Zeile da: Unternehmen XY verstößt gegen neues Datenschutzrecht oder Nutzerdaten sind ihnen egal. Diese Gefahr ist natürlich auch da. #00:33:42-7#

Maik Bruns: Wenn ich jetzt im Vorfeld dieser Verordnung schon meine Datenschutzbestimmung umstelle, quasi schon auf die neuen, bin ich dann irgendwie auf der rechtlich sicheren Seite oder ist das verfrüht? #00:33:56-8#

Dr. Martin Schirmbacher: Das ist sozusagen das, was wir jetzt tatsächlich in vielen Fällen machen. Also wenn wir so ein DSGVO-Projekt machen, dann machen wir in der Regel so eine Bestandsaufnahme, dann so eine Art Gap-Analyse und dann kommen die Rechtstexte dran, sodass wir dann tatsächlich die Datenschutzerklärung, Einwilligungserklärung, AV-Vereinbarung etc. neugestalten. Sodass wir jetzt tatsächlich schon neue Datenschutzerklärungen formuliert haben. Unschön ist, dass wir noch keine wirklich gute Variante gefunden haben, die neuen Erklärungen schon jetzt einzusetzen. Ich hatte vorhin erwähnt, da muss man zum Beispiel die Rechtsgrundlage der Datenverarbeitung nennen. Und es stimmt gar nicht, dass wir jetzt nach Artikel 6 Absatz 1 f die Daten verarbeiten DSGVO, weil die DSGVO ist noch gar nicht wirksam. Sondern jetzt verarbeiten wir die Daten noch aufgrund von TMG oder Bundesdatenschutzgesetz. Das heißt wir hätten, wenn man die jetzt einfach online stellt, eine falsche Datenschutzerklärung online. Sodass unsere Empfehlung schon ist, in der Hinterhand zu haben eine Erklärung, die man dann tatsächlich zum 26. Mai aufschaltet oder zum 25. Mai aufschaltet anstelle von das jetzt schon machen. Man kann es vielleicht ein paar Tage früher machen, aber man muss sie haben, man muss vor allen Dingen auch einmal den ganzen Prozess durchlaufen sein und sich überlegen, was muss denn eigentlich in die Datenschutzerklärung. Das ist ja das Schwierige. Insofern um vorbereitet zu sein. Aber online sollte man die neue dann auch erst stellen, wenn sie zutrifft. #00:35:26-8#

Maik Bruns: Super spannend. #00:35:31-5#

Dr. Martin Schirmbacher: Selbst du bist baff. (unv.) liebe Hörer. #00:35:37-5#

Maik Bruns: Ich stehe vor diesem Thema und denke so, meine Güte, ich glaube, das muss ich doch mal irgendwie zumindest in Ansätzen mal erfassen, was da alles drinsteht und dann auch entsprechende Dinge jetzt hier für Metrika zum Beispiel durchsetzen. Der Datenschutzbeauftragte bin ich hier, also insofern muss ich das tun. Aber ich finde es auf jeden Fall ein total spannendes Thema, auch weil es natürlich wieder neue Wellen lostreten wird und weil es natürlich auch in die Presse gehen wird und so weiter. Ich bin mal gespannt wie das im nächsten Jahr dann alles läuft, wenn es dann zur Veröffentlichung gekommen ist und auch was dann mit ePrivacy im Nachgang noch so passiert und wo noch so viel Unklarheit ist. #00:36:16-5#

Dr. Martin Schirmbacher: Genau. Es gibt im Prinzip zwei Sachen, die wirklich gut sind aus Sicht der … oder die mit der Verordnung kommen, über die wir noch nicht wirklich gesprochen haben. Das eine ist, Harmonisierung innerhalb Europas. Es ist natürlich toll, dass jedenfalls im Grunde nach alles gleich ist in Deutschland, Schweden, Portugal und Litauen und selbst in Griechenland. Das ist natürlich schon eine erhebliche Erleichterung, gerade für Unternehmen, die international tätig sind. Wir hatten früher Projekte, wo wir dann irgendwie 13, 14 verschiedene Datenschutzkollegen gefragt haben in den Ländern, wie das jetzt bei denen ist und immer waren da kleinere oder größere Unterschiede. Das ist der eine Punkt und der andere Punkt aus Sicht der Nutzer und die wir ja nun alle sind. Wir haben immer beide Brillen auf, ich als Berater, du als Anbieter und alle Zuhörer, die Webanalysten sind, die möglichst viel Daten sammeln und auswerten wollen, es sind alle auch betroffen und gucken dann vielleicht schräg, wenn wir irgendwie Spam E-Mails bekommen oder wenn Unternehmen unsere Standortdaten zu Werbezwecken nutzen, ohne dass wir davon wissen. Insofern das Level der Befassung mit dem Datenschutz ist natürlich extrem gestiegen jetzt in dem letzten halben Jahr und das wird noch intensiver werden, sodass das Datenschutzniveau insgesamt sicher steigen wird und das hat die Verordnung sicherlich gekonnt. Insofern ist so das Grundfazit schon auch positiv. Ja. #00:37:46-9#

3 Tipps von Martin Schirmbacher zur EU-DSGVO

Maik Bruns: Wenn du jetzt sagen solltest, hier liebe Leute, liebe Webanalysten, liebe Online-Marketer, die ihr euch damit auseinandersetzt, ich habe hier 3 Tipps für euch, mit denen ihr euch jetzt wirklich auseinandersetzen solltet, weil die Dinge werden kommen, wie sie kommen, haben das erläutert das jetzt auch, was wären denn deine 3 Tipps, die du den Menschen geben könntest? #00:38:11-8#

Dr. Martin Schirmbacher: Wie du dir schon vorstellen kannst, schwierig, aber wenn man das runterbricht auf 3 Tipps, sind die wahrscheinlich schon relativ allgemein.

Tipp 1: Beschäftigt euch mit der Rechtslage

Aber Tipp 1 und am wichtigsten: Beschäftigt euch mit der Rechtslage. Ich habe gesagt, es sollte keinen Online-Marketer geben, der sagt, die DSGVO geht mich nichts an. Haltet die Augen offen. Bei mir im Blog, aber an vielen anderen Stellen auch, gibt es immer wieder aktuelle Überblicke. Wenn ihr im Verband seid, der BVDW wird ein großes Whitepaper rausbringen zu dem Thema und versuchen dort Guidelines zu geben. Holt eure, wenn ihr Unternehmen seid, die Datenschutzbeauftragte haben, holt die mit ins Boot. Versucht euch einen Vorsprung zu verschaffen und zu wissen wie die Rechtslage ist, erklärt denen, was ihr macht und warum das okay ist, was ihr macht, auch nach neuem Recht. Dass dann nicht irgendwann mal die Situation kommt, dass der Datenschutzbeauftragte da irgendwie den Finger hebt und dann erstmal für einen Stopp sorgt. Also die Leute mit ins Boot holen und euch absichern, dass die auch damit fein sind, was ihr macht.

Tipp 2: So viel wie möglich ohne Personenbezug

Tipp 2, mehr auf der materiellen Seite: Tatsächlich versucht so viel wie möglich ohne Personenbezug zu machen. Auch nach neuem Recht gilt das Datenminimierungsgebot. Jetzt heißt es noch Datensparsamkeit. Das heißt so wenig personenbezogene Daten wie möglich. Zu dem Thema Datenschutz ernstnehmen gehört auch zu fragen, ob ich die Daten wirklich zu dem jeweiligen Zweck brauche. Ich habe gestern mit einer großen Hotelkette zusammengesessen. Die erheben einfach mal standardmäßig das Geburtsdatum der Leute. Dann habe ich sie gefragt, warum sie das eigentlich brauchen? Ja, wir müssen wissen, wie alt die sind. Habe ich gesagt, ja, aber wenn ihr wissen wollt wie alt die sind, reicht eigentlich, wenn ihr das Alter erhebt. Solche Kleinigkeiten, das heißt nicht, dass man dann nicht zu anderem Weg kommt, aber immer mal wieder schauen, brauchen wir die Daten wirklich? Weil ich habe auch immer wieder mal Mandaten, die von einem Data Breach betroffen sind. Da ist dann schon nicht so schön, wenn da mehr Daten weg sind als unbedingt nötig und das passiert nun mal.

Tipp 3: Tool-Anbieter nach der DSGVO Compliance fragen

3. Tipp dann: Vor allen Dingen, wenn ihr Tools einsetzt, dann fragt die Tool-Anbieter nach der DSGVO Compliance, schon jetzt. Das hat für mich den guten Nebeneffekt, dass die dann zu mir oder Kollegen kommen und fragen, ob sie denn DSGVO compliant sind. Hat aber vor allen Dingen den Vorteil, dass ihr euch dort ein bisschen absichern könnt, ein bisschen Druck machen könnt, euch erklären lassen könnt, warum die meinen, dass sie compliant sind nach neuem Recht. Das dann auch hinterfragen. So kann man natürlich schon auch ein bisschen, jedenfalls was den Dienstleistereinsatz angeht, wieder für Klarheit sorgen und so ein paar Baustellen fertig machen, wenn man da sicher ist, dass die sich an das neue Recht halten. #00:40:57-0#

Maik Bruns: Ich glaube, ich rufe Google gleich mal an, also ich frage mal nach. #00:41:00-1#

Dr. Martin Schirmbacher: Google, bist du wahrscheinlich an einer guten Adresse, weil die sind natürlich, ich glaube das Facebook DSGVO-Team ist noch größer. Aber auch Google ist natürlich vorbereitet, ich glaube, die haben sogar schon einen Entwurf für eine neue Vereinbarung draußen. Na klar. #00:41:24-7#

Maik Bruns: Das ist übrigens ein super Punkt. Muss man denn den Vertrag, den man mit Google geschlossen hat, den zur Datenverarbeitung, muss man den neu abschließen nach dem neuen Recht oder reicht der alte? #00:41:33-4#

Dr. Martin Schirmbacher: Ja. #00:41:33-6#

Maik Bruns: Ja? Muss man machen? #00:41:35-1#

Dr. Martin Schirmbacher: Also ich gehe davon aus, dass Google darauf bestehen wird. #00:41:36-6#

Maik Bruns: Okay, gut. Das heißt die werden uns aber wahrscheinlich anschreiben und sagen, hier … #00:41:39-2#

Dr. Martin Schirmbacher: Sicherlich. Ja. #00:41:40-8#

Maik Bruns: Okay. Klasse. Ob klasse oder nicht klasse, aber gut, dass sie es dann tun würden hoffentlich. Schauen wir mal, was da passiert. Auf jeden Fall … #00:41:46-9#

Dr. Martin Schirmbacher: Die Großen, davon kann man schon ausgehen, die Facebooks, Ebays, Googles, Amazons, aber auch die großen Tracking-Anbieter, die sind natürlich schon hinterher. Die können sich gar nicht leisten, auch und gerade die Amerikaner können sich gar nicht leisten das Thema zu ignorieren. Auch eine Salesforce oder ein SAP haben riesige Datenschutz-Teams, die darauf eingerichtet sind Fragen zu beantworten und Lösungen zu finden. Das ist vollkommen klar. #00:42:21-0#

Maik Bruns: Es geht jetzt schließlich um ganz Europa und nicht mehr nur um einzelne Länder. Das ist finde ich auch ein großes Druckmittel. (Dr. Martin Schirmbacher: Absolut) Vielleicht hat man es auch deswegen so forciert.

Outro

Super vielen Dank für deine 3 Tipps. Ich werde sie auf jeden Fall berücksichtigen. Also ich werde mich auf jeden Fall mal mit der Rechtslage beschäftigen, das war dein 1. Tipp. Ich werde auf jeden Fall möglichst ohne Personenbezug tracken. Ich meine, das tue ich sowieso schon durch AnonymizeIP ohnehin schon beim Webanalyse-Tracking, aber auch andere Sachen werde ich natürlich nochmal so auf den Prüfstand stellen. Insofern ich Tool-Anbieter nutze, werde ich da vielleicht auch mal hinterfragen so im Laufe des nächsten halben Jahres. Wir haben noch ein bisschen Zeit, das ist ja das Schöne. Es ist noch nicht zu spät. #00:43:00-9#

Dr. Martin Schirmbacher: Jain. Kleine Warnung! Kleine Warnung! Es hört sich total lange an und für den kleinen Bereich Webanalyse mag das auch okay sein, aber wenn jetzt hier Leute dabei sind, die in Unternehmen sind und wissen, dass es noch kein DSGVO-Projekt gibt, eure Chefs werden euch dankbar sein, wenn ihr da ein bisschen Druck macht. Es ist einfach so, ich sehe da, irgendwann ist es dann einfach zu spät. Wenn ich in der IT Dinge umsetzen muss, die aus der DSGVO folgen, weil ich Daten in einer Datenbank zusammengespeichert habe, die nicht zusammengehören und ich das trennen muss, dann ist es ein bisschen spät, wenn ich damit im April ankomme. #00:43:35-8#

Maik Bruns: Definitiv, ja. Da hast du vollkommen Recht. Sehr schön. Vielen, vielen Dank! Ich möchte nochmal kurz einen Hinweis geben auf das Buch von Martin. Das werde ich, ihr habt es am Anfang der Sendung schon gehört, aber ich werde es jetzt hier noch einmal sagen, und zwar: Martin verlost 3 seiner Bücher „Online-Marketing Recht“ und alles, was ihr dafür tun müsst, ist, euch diese Folge anhören und dann möglichst auf den Blogposts auf metrika.de oder auf die-sendung-mit-der-metrik.de einen Kommentar hinterlassen, warum ihr dieses Buch unbedingt haben müsst. Ihr könnt euch denken, dass das Buch sicherlich ein begehrtes Buch ist, aber ich finde es toll von Martin, dass er 3 zur Verfügung stellt. Ich wünsche euch jetzt schon mal viel Glück dabei. Wir lassen diese Verlosung laufen bis zum 15. November 17 Uhr und im Anschluss werde ich dann vermutlich wieder mit einem Live-Stream eine Verlosung machen. Ich freue mich schon auf eure Kommentare und dass ihr dabei gewesen seid. Ich gebe gerne Martin noch einmal das Wort für heute. Ich fand es auf jeden Fall super, dass du dabei warst und dass du diese Tipps hier gegeben hast. Ich glaube, die werden den Leuten auch wirklich weiterhelfen. Wenn du möchtest, gebe ich dir noch einmal das Wort jetzt und sage schon mal: Tschüss und bis bald! #00:44:53-6#

Dr. Martin Schirmbacher: Herzlichen Dank, Maik! Mir bleibt auch nur zu sagen, euch noch eine schöne Restwoche zu wünschen. Vielen Dank für die Aufmerksamkeit. Ich hoffe, es ist nicht zu schlimm. Vogel-Strauß-Politik ist jedenfalls keine Variante. Es ist ein unangenehmes Thema für viele, aber man muss da ran und man muss sich damit auseinandersetzen. Dass es jetzt noch keine endgültigen Hands-On-Lösungen gibt, ist bedauerlich, aber auch nicht zu ändern. Da hilft es auch nicht, wenn man noch 5 andere Leute fragt. Da muss man jetzt einfach durch und erstmal das machen, was jetzt ansteht. Insofern herzlichen Dank auch von mir, auch an dich vor allem, Maik, und bis bald hier oder da. #00:45:39-4#

 


Abonniere auf Android Abonniere auf iTunes
Maik Bruns

Noch mehr Insights

Was ist Unassigned Traffic in GA4, wo finde ich ihn und wie lässt er sich beheben?

Keine klare Zuordnung des Traffics zu Kanälen, kein direkter Zusammenhang zu euren Marketing-Maßnahmen – und dementsprechend keine Aussagekraft, ob eure Kampagnen wirken oder nur Geld verbrennen und euren ROI runterdrücken. Nervig, oder? Genau das passiert in vielen Setups, die wir sehen, durch den sogenannten “Unassigned”-Traffic. 

Dadurch verliert ihr wertvolle Einblicke, weil GA4 euren Traffic nicht eindeutig zuordnen kann.

Mehr erfahren >
Top