Meiner persönlichen Meinung nach wird die DSGVO die Wirtschaftswelt, und speziell die Online-Wirtschaftswelt, nachhaltig verändern. Ein großes Problem stellen vor allem bestimmte Anwälte dar, welche sich auf Abmahnungen spezialisieren. Diese kontaktieren gezielt Unternehmen, welchen den Eindruck erwecken, nicht DSGVO-konform zu arbeiten. Von solchen verlangen sie dann entsprechende Geldbeträge, um von einer Meldung bei der Datenschutzbehörde abzusehen.
Deswegen ist grundsätzlich jeder Vendor und Affiliate von der DSGVO betroffen, da er schwerpunktmäßig mit Daten im Tagesgeschäft umgeht. Der Aufbau einer Kunden- und Interessentenliste steht im Mittelpunkt des Handelns eines Online-Unternehmens. Da es sich hierbei um personenbezogene Daten handelt und Anwälte sowie Endverbraucher die DSGVO auf dem Radar haben, wird nach meiner Einschätzung sehr häufig medienwirksam abgemahnt und “bestraft” werden.
Hinweis: Das Bild, das ich persönlich von der Zukunft habe, ist, dass die “Landschaft der Unternehmer und Selbstständigen” “professionalisiert” und somit “bereinigt” wird von denjenigen, die nicht EU-verordnungskonform arbeiten können oder wollen. Denn die Umsetzung dieser EU-Verordnung erfordert viel Zeit, Geld und Energie. Die von vielen Firmen betriebene Praxis des Datensammelns, wird mit einem extrem großen Risiko behaftet sein.
Hinweis: Theoretisch sind Firmen, die sich im EU Ausland befinden, für die hiesigen Datenschutzbehörden schwerer zu “erreichen”, aber dennoch sind sie ebenfalls von diesen Gesetzen betroffen. Ob es hier tatsächlich einen erhöhten “Schutz” vor den EU-Behörden gibt, das wäre ein erheblicher “Wettbewerbsvorteil” für solche Auslandsfirmen, wage ich zu bezweifeln. Schließlich sind die Behörden der Welt international sehr gut vernetzt. In unserem Unternehmen legen wir deswegen größten Wert darauf, dem strengen EU Datenschutzstandard gerecht zu werden und wir vertrauen dabei darauf, dass dies von Kunden und Partnern honoriert wird.
Als Vendor oder Affiliate sorgen Sie dafür, dass Interessenten und Käufer auf Ihre Webseite kommen - sei es auf Ihre “normale” Webseite oder eine Landingpage. Hierbei gilt: Ab dem Zeitpunkt, an dem Sie personenbezogene Daten erheben, beginnt Ihre Verantwortung, da Sie Zweck und Mittel der Datenverarbeitung bestimmen. Dies macht Sie dann automatisch zum Verantwortlichen und somit auch haftbar.
Möglicherweise verwenden Sie Tracking Tools, wie zum Beispiel Google Analytics oder auch Plugins, die Ihnen helfen, das Kundenverhalten auf der Webseite zu analysieren. Ich rate Ihnen bei der Verwendung solcher Tools dringend dazu, abzuklären, inwieweit personenbezogene Daten verarbeitet werden. Falls die Verarbeitung keine Anonymisierung der Daten am Anfang beinhaltet, brauchen Sie eine stichhaltige Berechtigungsgrundlage gemäß Artikel 6 DSGVO, was typischerweise eine Einwilligung des Betroffenen ist.
Hinweis: Das Thema “Tracking”, beispielsweise über Cookies, wird über die die DSGVO ergänzende E-Privacy Verordnung geregelt.
Für die von Ihnen verarbeiteten Daten Ihrer Kunden und Interessenten sind Sie der Verantwortliche, sobald Sie diese beispielsweise zur Eintragung in eines Ihrer Opt-In Formulare überzeugt haben. Für gewöhnlich hat ein Unternehmen aber auch Mitarbeiter. Deren personenbezogene Daten verarbeiten Sie ebenso - natürlich mit gesetzlich untermauerter Berechtigungsgrundlage. Mehr dazu später.
Wenn Sie Vendor oder Affiliate sind, gewinnen Sie einen wirtschaftlichen Wert durch die personenbezogenen Daten Ihrer Kunden. Daher ist es ratsam, eine offensive strategische Haltung im Bereich des Datenschutzes in Ihrem Unternehmen einzunehmen. Praktisch gesehen sollten Sie hierbei in Ihrer Unternehmensstrategie immer darauf achten, dass Ihre Prozesse auf DSGVO-Konformität, insbesondere bezüglich Art.5 DSGVO (die 7 Grundsätze) überprüft werden, bevor Sie einen neuen Prozess im Unternehmen etablieren. Dies gilt natürlich auch retrospektiv für bereits bestehende Prozesse.
Eine informierte, proaktive und zweckgebundene Einwilligung ist eine anerkannte Berechtigungsgrundlage für eine Datenverarbeitung. Viele Datenverarbeitungen, wie zum Beispiel die Abwicklung eines Kaufs oder nach meinem Einschätzen der E-Mail-Versand des Verkäufers direkt an seinen Kunden, bedürfen keiner gesonderten Einwilligung (Dies ist Ihre persönliche Risikoabwägung: Wenn Sie absolut sichergehen wollen, holen Sie sich die Einwilligung Ihres Interessenten beim Optin explizit über eine unangehakte Checkbox ab. Sie können allerdings auch mit Ihrem berechtigten Interesse (Art. 6 (1) lit. f DSGVO i.V.m. ErwG 47 a.E. – Direktwerbung an Kunden ist berechtigtes Interesse) argumentieren. Handelt es sich aber um einen Interessenten, der noch kein Kunde ist, so würde ich unbedingt mit rechtsgültigen Einwilligungen arbeiten.
Hinweis: In manchen Fällen kann auch personalisierte Werbung (insbesondere E-Mail Marketing) von Behörden, Gerichten und Betroffenen als “Profiling” eingestuft werden. Das weiß ich deswegen, weil ich dies in manchen Gesprächen mit Datenschutzbeauftragten so mitbekommen habe, die selbst dieser Ansicht waren und ihre Mandanten auch dahingehend beraten. Wie schon erwähnt, ist meine persönliche Einschätzung, dass personalisierte Werbung kein Profiling darstellt, da es in seiner rechtlichen Auswirkung den Betroffenen nicht beeinträchtigt oder einschränkt.
Es besteht die Möglichkeit, individuelle Einwilligungstexte mit Checkboxen auf dem Digistore24 Bestellformular einzufügen. Eine genaue Anleitung finden Sie hier:
https://docs.digistore24.com/knowledge-base/bestellformular-einrichten-und-anpassen/#4-dem-bestellformular-individuelle-eingabefelder-hinzufuegen
Wichtig ist, dass Sie nicht nur für offensichtlich gesammelte personenbezogene Daten verantwortlich sind, wie z.B. eine E-Mail-Adresse. Sie müssen auch daran denken, dass Sie möglicherweise durch Widgets und Pixel-Daten die IP-Adresse tracken und verarbeiten (dies gehört ebenso in Ihr Verarbeitungsverzeichnis).
Durch die Social Media Widgets von Xing, LinkedIn, Pinterest, Facebook und Co, werden bereits beim Betreten der Webseite Daten verarbeitet - egal, ob der Webseitenbesucher dies möchte oder nicht. Das ist allerdings nicht datenschutzkonform, wenn hierbei (nicht anonymisierte) personenbezogene Daten verarbeitet werden.
Außerdem besteht bei dem häufig eingesetzten Facebook Pixel Handlungsbedarf.
Dieser trackt den Webseitenbesucher, damit Sie diesem spezielle Werbung gemäß deren Interessen ausspielen und auch den Erfolg messen können.
Achten Sie bitte auch darauf, dass Sie auch einen Auftragsverarbeitungsvertrag mit Ihrem Hostingprovider abschließen, falls Sie den Server, auf dem die Daten Ihres Unternehmens gespeichert und verarbeitet werden, nicht selbst betreiben.
Nehmen Sie eine Prüfung Ihrer Webseite, Landingpage etc. vor und schauen Sie sich genau an, was Sie alles eingebunden haben und auch, wohin Daten übertragen werden. Vergessen Sie hier bitte nicht Ihren Newsletter oder das Kontaktformular. Weiter unten haben wir eine Checkliste für Sie bereitgestellt, die Sie dabei unterstützen soll.
Kontrollieren Sie, ob der Hinweis zu Google Analytics entsprechend in Ihrer Datenschutzerklärung enthalten ist, wenn Sie es eingebunden haben. Mehr zum Thema Datenschutzerklärung erfahren Sie im nächsten Kapitel.
Mit dem kostenlosen Wordpress-Plugin Sharrif (meines Wissens nach kollidiert es nicht mit Digimember) können Sie das Problem des automatischen Trackings lösen. Der Webseitenbesucher muss durch dieses Plugin selbst entscheiden, ob seine Daten für die verschiedenen sozialen Netzwerke getrackt werden dürfen.
Wenn der Nutzer Ihre Seite besucht, muss er über die datenschutzrechtlichen Konsequenzen des Facebook Pixels verständlich unterrichtet werden. Das Tracking bzw. die Speicherung seiner Daten, seine Rechte als Betroffener, all das muss der Besucher zu einsehen können, bevor das Tracking aktiv wird. Der Nutzer muss also zuerst zustimmen, bevor der Code aktiviert werden darf. Dies könnte durch ein Pop-Up gelöst werden.
Wir möchten ausdrücklich darauf hinweisen, dass dieser Online-Kurs keinesfalls eine Rechtsberatung durch einen Fachanwalt ersetzt und auch keinen Anspruch auf Richtigkeit oder Vollständigkeit hat.