Privacy Day 2018 – Der LEAP/ Recap

In Köln-Ehrenfeld fand am 26. April eine Informationsveranstaltung zur neuen Europäischen Datenschutzverordnung (DSGVO) statt, die am 25. Mai 2018 in der EU in Kraft tritt.

Auffällig war an der gut besuchten Veranstaltung, dass die Hälfte der Referenten Anwälte waren, die andere Hälfte vertrat Internetfirmen.

Dr. Jens Schefzig: „Mach dich fit zum Endspurt: 30-Tage DSGVO Workout“

Den Anfang macht Rechtsanwalt Dr. Jens Schefzig von Osborne Clarke aus Hamburg, der in seinem Vortrag einen Überblick der Punkte gibt, die im Weiteren von den anderen Referenten noch vertieft betrachtet werden. Schefzig erläutert die mit der DSGVO-Einführung für jede Firma anstehenden Aufgaben als Checklist:

1. Organisation mit einer für den Datenschutz verantwortlichen Person definieren, Datenschutzbeauftragten benennen und alle Datenverarbeitungen in der Firma zusammenstellen
2. Datenschutzrichtlinie erstellen mit Liste von zu regelnden Punkten, Personal schulen, Einwilligungen überprüfen
3. Alle auf der Website wahrnehmbaren Prozesse auf Rechtmäßigkeit überprüfen (z. B. Cookies), Daten schützen
4. Prozesse für Anfragen entwickeln und implementieren, Auftragsverarbeitungen (AVV) prüfen und anpassen
5. Datenschutzerklärungen erstellen, Datenlösch- und Sperrkonzept entwickeln
6. Privacy by Design-Konzept befolgen

Tim Schumacher: „Eine Case Study: 100 % Privacy bei AdBlock Plus: Wie wir – noch über GDPR/DSGVO hinaus – bestmögliche Privacy für unsere Nutzer herstellen“

Nach Dr. Schefzig beleuchte Tim Schumacher von Eyeo, dem Hersteller des Open-Source Plug-Ins AdBlock Plus, die DSGVO aus der Perspektive einer Firma, der die „Privacy“ ihrer Kunden von Beginn an ein besonderes Anliegen gewesen sei. Das Plug-in schütze den Kunden nicht nur, sondern nehme auch keine Erhebung jeglicher persönlicher Daten vor. Ihr Firmenziel sei, den Datenschutz noch „ein Level höher“ als von der DSGVO verlangt zu betreiben und eine Zertifizierung von der Landesdatenschutzbehörde zu bekommen. Eyeo habe Anbieter, die sich nicht DSGVO-compliant erwiesen hätten, gewechselt.

Die Website des Unternehmens verwende keine Analytics, Tracking-Tools, Cookies, WebBeacons, Optimizer und Heatmaps. Social-Media-Verweise würden nie als Plug-ins, sondern als statische Anzeigen hardcode-verlinkt. Mit dem Tool „Shariff“ sei eine DSGVO-konforme 2-Klick-Lösung zum Aufrufen der Social-Media-Seiten gewährleistet.

Mit diesen Maßnahmen und der Deaktivierung von Standortdiensten und Absturzberichten gebe es keine Facebook- oder YouTube-Pixel, keine Third-Party-Tools und keine Rückmeldungen zum eigenen Server außer für Updates.

Erfreulicher Nebeneffekt: die Seite wird jetzt viel schneller geladen.

Unter privacyscore.org kannst du deine Seiten auf den Stand beim Datenschutz testen.

Maciej Zawadzinski: „GDPR-compliant Analytics and Marketing tools on your website“

Maciej Zawadzinski, CEO von Piwik PRO, stellt im einzigen englischsprachigen Vortrag des Tages den veränderten Umfang der persönlichen Daten dar, die mit der neuen DSGVO-Definition einhergehen.

Er geht auch auf das Thema „Einwilligungen“ („User Consent“) ein und stellt dar, welche Bestandteile zu einer Einwilligungserklärung gehören. Er erinnert daran, dass User eher bereit seien zuzustimmen, wenn sie dafür auch etwas bekämen.

Vielleicht sollten Einwilligungen nicht auf der ersten Seite vollständig dem Besucher vorgelegt werden, sondern schrittweise erscheinen – und zwar erst dann, wenn sie nötig sind. Die DSGVO verlange für die Einwilligung eine einfache Sprache und es muss möglich sein, die Einstellungen zu ändern.

Neben einer Hilfe zur Erstellung der Erklärung berichtet Zawadzinski über das neue Recht an den Daten und das Recht, sie zu löschen. Er nutzt die Gelegenheit, den Piwik PRO Consent Manager vorzustellen, der in den Grundeinstellungen auf „best privacy“ konfiguriert sei und Tools für Facebook, E-Mail und Analytics mitbringe.

Björn Schneider: „Der Countdown für die DSGVO läuft! Was Unternehmen jetzt tun sollten“

Rechtsanwalt Björn Schneider von Wilde Beuger Solmecke nennt Rechenschaftspflichten des für den Datenschutz Verantwortlichen und betont, dass in die Datenschutzerklärung Hinweise auf Social-Media-Buttons und das Kontaktformular gehören, anderenfalls sei sie abmahnfähig. Er sagt, was in dieser Erklärung alles enthalten sein muss: Zum Beispiel sind hier die Firmeninteressen und alle verwendeten Dienste zu erwähnen und auf das abgestufte Widerspruchsrecht hinzuweisen. Wird Google Analytics ohne Anonymisierung eingesetzt, in der Erklärung aber als anonymisiert deklariert, sei das ebenfalls abmahnfähig.

Es ändere sich nicht nur die Einwilligung für die Website, sondern auch die Informationspflichten gegenüber Firmenmitarbeitern, -kunden und -interessenten. Bei einem Kontaktformular ist es künftig am besten, außer der E-Mail-Adresse keine Daten zu erheben.

Auch zum Kopplungsverbot und zum DSGVO-konformen Umgang mit Kindern unter 16 Jahren informiert Schneider, und es entwickelt sich darüber eine rege Diskussion.

Vinzent Ellison: „DSGVO auf der Webseite – Insights & Tipps, die jeder wissen sollte“

Vinzent Ellison von der usercentrics GmbH betrachtet die Einwilligungserklärung („Consent“) genauer. Da es hier mit der DSGVO zu einer Beweislastumkehr komme, sei nun der Seitenbetreiber in der Pflicht, dieser durch Dokumentation zu begegnen. Er stellt die Beispiele IBM und HP und erläutert das „Piggybacking“: Einen Kontrollverlust, der auftritt, wenn auf der eigenen Seite eingebundene YouTube-Videos weitere Dienste wie Doubleclick mitbringen, die man nicht steuern kann. Da unklar sei, wie YouTube und Facebook Daten verarbeiteten, Seitenbetreiber nach einem Urteil des Landgerichts Düsseldorf aber verantwortlich seien für Daten, die mit einem Facebook like&share-Button weitergegeben würden, also mithin eine AVV nötig sei, begebe man sich hier auf „dünnes Eis“.

Unter 16-jährige sind „NoTrackZone“ und für alle Cookies und Suchparameter muss erklärt werden, welche Bedeutung und welchen Zweck sie haben.

Er beschließt seinen Vortrag mit einem abgewandelten Wahlspruch: „Wenn Daten das Öl des 21. Jahrhunderts sind, dann ist Datenschutz der Umweltschutz des 21. Jahrhunderts.“ Ein Prüfangebot stellt er auch zur Verfügung.

Matthias Bettag: „Digital Analytics ist und bleibt mächtig – Wie die DSGVO zur vollen Entfaltung Ihrer Onsite-Daten beiträgt“

Matthias Bettag von Digitalmotion in Berlin erläutert den Unterschied zwischen Data-Controllern und Data-Prozessoren, deren Rollen sich ändern könnten und warnt vor der „Splittergranate“ aller eingebundenen Tracking-Partner. Besser sei es, sie im Google-Tag-Manager zu bündeln. Er nennt Möglichkeiten, OnSite-Analytics DSGVO-konform auszuschöpfen.

Thorsten Olscha: „Datenschutz in einer Online-Marketing-Agentur: Spagat zwischen Effizienz und Rechtssicherheit“

Thorsten Olscha berichtet von seiner Agentur Morefire, die wegen der anstehenden Gesetzesänderung eine volle und eine halbe Stelle geschaffen habe sowie in eineinhalb Jahren zwischen 12.000 und 15.000 Arbeitsstunden für die DSGVO aufwende. Er kritisiert an den AVV, ein bürokratischer Albtraum zu sein. Als rechtliche Absicherung gedacht, säe sie stattdessen Misstrauen zwischen den Vertragspartnern. Bei Zugang zum Google Analytics Konto des Kunden sei eine AVV nötig, da dort personenbezogene Daten (pbD) behandelt würden. Google stelle sie elektronisch aus, so wie Slack.

Die Auslegung, was ein „berechtigtes Interesse“ für den Umgang mit pbD sei, ist noch nicht abschließend geklärt. Aus diesem Grund solle in der Einverständniserklärung ein berechtigtes Interesse nicht nur benannt werden, sondern auch erklärt werden, warum es die persönlichen Rechte des Kunden überwiege.

Eine weitere Unklarheit sei die unterschiedlichen Länderrechte, die das EU-Rechte konkretisierten. Beispiel: Ein 15-jähriger Franzose, der in Deutschland die Seite einer österreichischen GmbH aufruft. Auch für die Offenlegung bei Outsourcing an Freelancer sah Thorsten Probleme, der zudem mit der Zerstörung des Ökokosmos von Cookie-Drittanbietern rechnet, die letztlich doch wieder nur „den Großen“ Facebook und Google in die Hände spiele.

• Zulässige funktionale Cookies
• Teilweise zulässige Werbe-Cookies
• Tracking-Cookies, die der Nutzereinwilligung bedürfen

Bei Tracking Cookies sei eine Zustimmung von 36 % erreichbar, wenn positive Formulierungen wie „ja, gerne“ oder „OK, betreten“ verwendet würden. Thorsten empfahl zudem ein Online-Tool zur Erfassung und Bewertung der Cookies auf eurer Seite.

Dr. Ralph Hünemann: „DSGVO-konforme Personalisierung“

Wird der Nutzer bei seinem Besuch einer Website wiedererkannt, kann die Internetseite nutzerspezifisch ausgespielt werden, berichtet Dr. Ralph Hünemann, Gründer von Odoscope in Köln. Damit ist die Personalisierung gemeint. Eine zu aufdringliche Personalisierung kann Nutzer jedoch zuerst er- und dann abschrecken. Umfragen belegen, dass Effizienz und Convenience den meisten Nutzern wichtiger sind. Grundsätzlich steht zu erwarten, dass mit der DSGVO weniger Nutzer wiedererkannt werden können.

Bei der DSGVO-konformen Personalisierung sollten anstelle der Nutzerdaten Situationsdaten wie

• der Referrer,
• der Wochentag,
• die Uhrzeit,
• die Device,
• die Region
• und das lokale Wetter zu dem Zeitpunkt

betrachtet werden. Diese Daten vergleiche man mit den vorhandenen Logfiles, entweder live on the fly oder mit vorbereitenten Listen von Vergleichsgruppen, sogenannten PeerGroups, um dann entsprechend optimierte Seiten auszuliefern.

Im mobilen Bereich habe odoscope.com so Verbesserungen in der Conversion-Rate von 20 % erzielt.

Thomas Rickert: „Praxistipps, damit die DSGVO nicht ganz so weh tut“

Rechtsanwalt Thomas Rickert vom gastgebendenden eco – Verband der Internetwirtschaft e.V. nennt gleich zu Beginn die Internetseite gdpr.ninja, die eine Checkliste enthält und dich bei der Umsetzung der DSGVO unterstützt.

Grundsätzlich müsse innerhalb des Unternehmens nun genau geprüft werden, wer auf welche Daten Zugriff habe und welche Daten gebraucht würden – alle anderen Daten seien zu löschen. Hierfür könnten Löschklassen (z. B. „nach 30 Tagen“) definiert werden. Prozesse sollten nummeriert, Verantwortliche benannt werden.

Die neue DSGVO, Artikel 6, nenne Bedingungen für die Rechtmäßigkeit der Verarbeitung von Daten, von denen drei in der Privatwirtschaft in der Regel angewendet werden sollten, und zwar in der folgenden Reihenfolge:

1. 6 Abs. 1b: Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.
2. 6 Abs. 1f: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.
3. 6 Abs. 1a: Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

Abschließend erläutert Rickert, auf welche Verfahren bei einem Auskunftsersuchen durch einen Kunden oder bei einer Anfrage durch die Aufsichtsbehörde ein Unternehmen vorbereitet sein sollte und warum man bei Abmahnung durch einen Konkurrenten auf jeden Fall besser vor Gericht gehen sollte als eine Unterlassungserklärung zu unterschreiben: Weil dann die Strafzahlungen der Staat und nicht der Konkurrent bekommt.

Abschlusspanel

Auf dem Abschlusspanel entwickelte sich, moderiert vom Idealo-Gründer Martin Sinner, eine sehr lebhaft geführte Diskussion zur DSGVO, die zu Tage förderte, wie unterschiedlich die Folgen betrachtet werden.

Das gilt noch nicht bei der Definition des für den Datenschutz-Verantwortlichen, der ein firmeninterner sein muss und im Zweifel der Geschäftsführer ist und dem Datenschutzbeauftragten, der eine Prüfungs- und Beratungsfunktion ausübt und ein externer sein kann. Ein Mythos sei, dass der Datenschutzbeauftragte alles erstelle – nein, er prüft nur.

Beim anstehenden Verfahren von Kundenanfragen nach ihren Daten gehen die Meinungen auseinander. Nach einer Frist von 30 Tagen bis 3 Monaten muss hier geantwortet werden, aber wie wird die Identität das Betroffenen geklärt, um sicher zu stellen, dass die Daten an den Richtigen gehen? Denn gingen sie an den Falschen, wäre das eine Verletzung des Datenschutzes. Empfehlungen:

• Für unkritische Daten: Bestätigungs-E-Mail anfordern
• Für kritische Daten: Telefonisch vergewissern
• Für Bankdaten: eine amtliche Bestätigung wie die Kopie des Personalausweises anfordern

Ob es genügt, im Falle von ADV/AVV mit Google Analytics nur die Unterlagen aus dem eigenen Unternehmen herauszugeben und ansonsten Googles Kontaktdaten mitzugeben, ist hoch umstritten.

Anschließend wird gefragt, mit welchen Missbrauchsszenarien zu rechnen sei. Die Szenarien beginnen bei von Tools generierten Massenabfragen über Nervensägen, die nach einer zu langsamen oder nicht Ihnen nicht genügenden Antwort sogleich die Behörden einschalten bis hin zu Mutmaßungen über die zukünftigen Gerichtsentscheidungen in Europa, wo höhere Entschädigungszahlungen möglich sind, als sie deutsche Gerichte bisher verhängen.

Ein „unter 16 Jahre alt“-Layer sollte nur eingeführt werden, wenn etwas angeboten wird, was auch Jugendliche / Jüngere anspricht, solange die Behörden nichts anderes erwarten.

Zum Koppelungsverbot wird empfohlen, im Rahmen des Vertrages die Gegenleistung für die Weitergabe der eigenen E-Mail-Adresse klar, einfach und verständlich zu benennen.

Artikel 35 DSGVO führt eine Datenschutz-Folgeabschätzung (DSFA) ein, die im Unternehmen zu etablieren ist. Die DSFA ist grundsätzlich nichts anderes als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle nach § 4d Abs. 5 BDSG. Für welche Prozesse sie anzuwenden ist, dazu sollen noch eine Black- und eine Whitelist veröffentlicht werden. Die Ansicht von Datenschutzbehörden zur DSGVO sei solange „nur eine Meinung“, bis Gerichte über strittige Fragen mit Urteilen entschieden.

Um die Zahl von Datenschutz-Vereinbarungen zu minimieren, sollte auf Elemente wie den Facebook-Like-Button verzichtet werden, denn Facebooks embedded Link führe zu Datenfluss, ein simples Bild mit Link nicht.

Mit Google sei es mittlerweile möglich, eine AVV über alle Google Cloud Produkte abzuschließen.