EU-Datenschutzgrundverordnung (EU-DSGVO)

Nach jahrelangen Verhandlungen haben sich die Europäische Kommission, das Europäische Parlament und der Europäische Rat Ende 2015 auf einen Kompromisstext zur Datenschutzreform geeinigt. Damit steht fest, dass die im Mai 2016 in Kraft getretene EU-Datenschutzgrundverordnung automatisch als für alle Mitgliedsstaaten verbindliches Recht ab Mai 2018 anwendbar wird. 

Welche Folgen hat die neue EU-Datenschutzgrundverordnung für die Online-Branche?

Für die Online-Werbebranche ergeben sich durch diese Verordnung u. a. folgende wichtigen Änderungen, die teilweise erhebliche Auswirkungen auf die Produkt- und Dienstleistungsgestaltung haben können:

  • Erweiterung des Konzeptes von „Personenbezogenen Daten“ um Online-Identifier wie z.B. Cookie-IDs, Advertising-IDs, IP-Adressen oder auch Standortdaten: Damit unterliegen zukünftig im Prinzip alle modernen Online- und Trackingtechnologien wie beispielsweise die Cookie-Synchronisation, das Cross-Device-Targeting, das Online Behavioral Advertising (OBA) und viele andere Targetingtechnologien den Datenschutzgesetzen.
  • andere datenschutzrechtliche Bewertung pseudonymisierter Daten
  • Neureglung der möglichen Arten der Nutzereinwilligung
  • Einführung des Konzeptes, dass „berechtigte Interessen“ von Unternehmen und/oder „redliche Erwartungen“ der Nutzer es unter besonderen Bedingungen auch ermöglichen, personenbezogene Daten ohne Einwilligung der Nutzer zu verarbeiten
  • neue Anforderungen durch das Widerspruchsrecht (Opt-Out)
  • Pflicht zur Veröffentlichung von Datenpannen innerhalb einer kurzen Frist
  • die Datenschutz-Folgenabschätzung wird für Technologieanbieter und Systembetreiber in einer genormten Form verpflichtend
  • der Datenschutzbeauftragte ist auch in anderen europäischen Ländern einzusetzen, u.a. wenn personenbezogene Daten regelmäßig und systematisch erhoben werden
  • Anpassung der Datenschutzerklärung

    Sebastian Doerfel

    Co-Gründer & COO, adsquare GmbH

    Wir arbeiten mit ePrivacy zur Erhöhung des Vertrauens der Konsumenten und zur Absicherung unserer Geschäftsmodelle.

Exkurs: Das „Privacy Shield“

Bisher war die Übertragung von Daten in das US-Ausland durch das sogenannte „Safe Harbor“-Abkommen geregelt. Bei diesem Abkommen handelte es sich um eine Vereinbarung zwischen der Europäischen Union und den USA über die Übermittlung von Daten in die USA. Die europäischen Gesetze sehen nämlich vor, dass jede Übermittlung von personenbezogenen Daten in ein Land außerhalb der EU einer besonderen Rechtfertigung bedarf und dass zudem sichergestellt werden muss, dass das Datenschutzniveau des Empfängerlandes dem Datenschutzniveau der EU entspricht.

Da es in der Onlinebranche in vielen Fällen zu einer Übermittlung von Daten in die USA kommt, beispielsweise bei der Inanspruchnahme eines US-amerikanischen Cloudanbieters wie Google oder Amazon, hatten die EU und die USA bereits frühzeitig in jenem Abkommen festgehalten, dass in den USA ein ausreichendes Datenschutzniveau vorläge und dass jedes Unternehmen, das sich im Rahmen des „Safe Harbor“-Abkommens zertifizieren ließe, somit berechtigt wäre, Daten aus der EU zu empfangen.

Nachdem der Europäische Gerichtshof (EuGH) dieses Abkommen für nichtig erklärt hatte, schlossen die Datenschutzbehörden ein neues Abkommen ab: „Safe Harbor II“. Dieses auch „Privacy Shield“ genannte Abkommen auf dem Gebiet des Datenschutzrechts besteht aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem darauf basierenden Beschluss der EU-Kommission.

Das Übereinkommen, das kein völkerrechtlicher Vertrag ist, sondern lediglich aus einer Reihe von Briefen besteht, regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Seit dem 1. August 2016 können US-Unternehmen, die Daten zwischen den beiden Wirtschaftsräumen transferieren wollen, sich bescheinigen lassen, dass sie den Anforderungen des „Privacy Shields“ Folge leisten. 

Diese wichtigen Fragen sollten alle Akteure aus dem Online Advertising spätestens Ende 2017 für ihr Geschäftsmodell geklärt haben:

  • Haben sich die rechtlichen Rahmenbedingungen für unsere Produkte und Dienstleistungen so geändert, dass unsere Datenbestände zukünftig als personenbezogen zu bewerten sind?
  • Welche Form der Nutzereinwilligung ist zukünftig für unser Geschäftsmodell erforderlich?
  • Erfüllen die Widerspruchsmöglichkeiten für unsere Nutzer die neuen Anforderungen?
  • Was ist zu beachten, wenn Daten an Dritte weitergegeben werden?
  • Wie muss die Datenschutzerklärung angepasst werden?
  • Brauchen auch wir zukünftig zwingend einen Datenschutzbeauftragten?

Unterstützung durch ePrivacy

ePrivacy unterstützt Sie dabei, Ihre Produkte und Technologien von Anfang an in Einklang mit dem geltenden und dem künftigen Datenschutzrecht zu entwickeln.

Beispiele für unsere Beratungsleistungen:

  • Ist-Analysen und Gutachten zum Datenschutz
  • Gutachten zum Status „GDPR ready“ inkl. der Beurteilung, was noch zur Erfüllung des neuen Datenschutzrechtes getan werden muss
  • Beratung zur datenschutzkonformen Modellierung von technischen Geschäftsprozessen
  • Durchführung von Datenschutz-Folgenabschätzungen (DSFAs)

Benötigen Sie Hilfe bei der Analyse der zukünftigen Anforderungen der EU-DSGVO und ihrer Auswirkungen auf Ihr Unternehmen oder das Geschäftsmodell Ihres Unternehmens? Dann wenden Sie sich gerne an uns!

Haben Sie Fragen oder anregungen an uns?

Sprechen Sie uns gerne an