GlobalSign Blog

18 Sep 2018

Wenn Google und Facebook nicht für die DS-GVO bereit wären - Wie können Sie es sein?

Am 25. Mai erschütterte die Datenschutz-Grundverordnung (DS-GVO) die digitale Welt durch Einläuten eines neuen Zeitalters für Datenschutzstandards. Die wegweisende Gesetzgebung legt Richtlinien für die geeignete Erhebung, Handhabung, Verarbeitung und Weitergabe von Benutzerdaten fest. Obwohl die Verordnung in der Europäischen Union (EU) gründet, unterliegen alle Unternehmen, die mit den Daten von Personen interagieren, die in der EU wohnen oder dort ansässig sind, diesem Regelwerk.

Angesichts der zunehmenden Globalisierung der Wirtschaft sind fast alle großen Unternehmen - ebenso wie eine erdrückende Anzahl kleiner und mittlerer Unternehmen - von der DS-GVO betroffen.

Selbst nachdem sie Milliarden Dollar in ihre Bemühungen um die Einhaltung der DS-GVO gesteckt haben, wurden einige große Unternehmen bereits mit Klagen überhäuft, die behaupten, dass die Praktiken dieser Unternehmen nicht ganz auf der Höhe der Standards der Verordnung sind.

Wenn man bedenkt, dass selbst diese Unternehmen nicht auf die DS-GVO vorbereitet waren, sind Sie es?

Werfen wir einen Blick darauf, wo die großen Player Fehler gemacht haben und wie Ihre Bemühungen, die DS-GVO zu erfüllen, Ihnen helfen können, das gleiche Schicksal zu vermeiden.

Wie holen Sie die Einwilligung richtig ein?

Wenn es darum geht, im Rahmen der DS-GVO etwas falsch zu machen, war die Einwilligung in den frühen Tagen der Verordnung der Knackpunkt. Innerhalb von 24 Stunden nach ihrer Einführung wurden Facebook und Google mit Klagen unter Verweis auf die DS-GVO belangt, die zu Geldstrafen in Höhe von ca. 8,8 Milliarden $ führen könnten.

Was ist also das DS-GVO-Vergehen, das Facebook und Google am Ende Milliarden kosten könnte?

Unzulässige Einwilligung

Die gegen Google eingereichte Klage behauptet, dass das Unternehmen rechtswidrig ein System der "erzwungenen Einwilligung“ anwendet, bei dem Nutzer auf bestimmte Android-Software zugreifen können, wenn sie vorher keine personenbezogenen Daten preisgeben.

Bei der Klage gegen Facebook ist "gebündelte Einwilligung" der Stein des Anstoßes. Die Klage behauptet, dass die Website Nutzer zwang, durch eine "Take-it-or-leave-it" -Strategie in ihre Richtlinien und Bedingungen einzuwilligen. Dadurch hatten User, die ihre Einwilligung nicht gegeben hatten, keine andere Wahl, als die Plattform ganz zu verlassen.

Gemäß Artikel 7 der DS_GVO ist dies keine rechtmäßige Einwilligung. Damit die Einwilligung gemäß der DS-GVO gültig ist, muss sie Folgendes sein:

  • Bestätigend - Die betroffene Person muss eine Handlung ergreifen, um in die angegebenen Datenpraktiken einzuwilligen. Das bedeutet, dass Sie anstatt eine Standardoption (wie ein vorausgefülltes Kästchen, das Bedingungen akzeptiert oder Marketing-Berechtigungen erteilt) zu präsentieren, es Benutzern erlauben müssen, aktiv auszuwählen, indem Sie ein Kästchen ankreuzen oder eine andere bestätigende Handlung für sich selbst ausführen.
  • Freiwillig gegeben - hier kommt 'gebündelte Einwilligung' ins Spiel. Der Betroffene muss seine Einwilligung ohne Zwang, Manipulation oder Bedingung freiwillig geben können. Facebook verstößt gegen die DS-GVO-Richtlinie, wenn es die Nutzung seiner Plattform von der Zustimmung zu seinen Bedingungen abhängig macht.
  • Granular - Ein Benutzer muss für jede Datenerhebung oder Verarbeitungsaktivität, für die Sie seine Erlaubnis zur Durchführung einholen, separate Einwilligungen erteilen. Wenn eine betroffene Person ihre Einwilligung erteilt, sollte sie dies für eine bestimmte Datenerhebung oder Verarbeitungsaktivität tun, statt eine gebündelte Einwilligung zu geben, die für mehrere Anwendungen gilt. Wenn Sie zum Beispiel User bitten, in Ihre Datenschutzerklärung und den Empfang wöchentlicher Newsletter einzuwilligen, können Sie dies nicht über ein einziges Opt-In tun. Sie sollten ihre Einwilligungen gesondert geben.

Wenn Ihr Unternehmen auf die Einwilligung des Nutzers zur Erhebung personenbezogener Daten angewiesen ist, vermeiden Sie die Fallstricke, über die Facebook und Google gestolpert sind, indem Sie sicherstellen, dass jeder Punkt, an dem Sie die Einwilligung einholen, die oben genannten Anforderungen erfüllt.

Das Ausstaffieren von Formularen, E-Mails und Seiten mit entsprechenden Opt-in-Mechanismen sollte Ihre Zeit und Ressourcen nicht stark beanspruchen. Es sind Compliance-orientierte Formular-Tools im Web erhältlich, die Ankreuzkästchen für die Einwilligung installieren - einige davon tun dies sogar kostenlos.

Bieten Sie DS-GVO-konforme Richtlinien an?

Während im Mittelpunkt der gegen Facebook und Google eingereichten Beschwerden das nicht Einholen einer ordnungsgemäßen Einwilligung stand, drehte sich diese Einwilligung um ihre rechtlichen Richtlinien. Unter der DS-GVO müssen User nicht nur in die Erhebung ihrer Daten einwilligen, sondern es muss ihnen auch die Möglichkeit gegeben werden, in die Bestimmungen der Datenschutzrichtlinie und Nutzungsbedingungen eines Unternehmens einzuwilligen.

Die DS-GVO hat sowohl die Latte dafür, wie Unternehmen die Einwilligung in ihre rechtlichen Richtlinien erlangen, angehoben, als auch die Standards erhöht, die von den Richtlinien selbst erwartet werden - insbesondere, wenn es um Datenschutzrichtlinien geht.

Um diesen Compliance-Bereich zu erfüllen, erwägen Sie Folgendes, wenn Sie Ihre DS-GVO-freundliche Datenschutzrichtlinie erstellen:

Machen Sie Ihre Richtlinie umfassend

Wie Sie wahrscheinlich schon bemerkt haben, verlangt die DS-GVO, dass sich Unternehmen mehr denn je auf Details konzentrieren. Die Verordnung zwingt Geschäftsinhaber und Webmaster dazu, sich mit den wesentlichen Aspekten ihrer Praktiken der Datenerhebung auseinanderzusetzen und diese für Benutzer und Aufsichtsbehörden zu formulieren.

Zum Beispiel:

  • Welche Daten erheben Sie?
  • Zu welchen Zwecken verwenden Sie diese Daten?
  • Aus welchen Gründen verarbeiten Sie Daten? (Artikel 6 der DS-GVO legt sechs mögliche Grundlagen für die Datenverarbeitung fest - Einwilligung, berechtigte Interessen, lebenswichtige Interessen, rechtliche Verpflichtung, Erfüllung eines Vertrags und öffentliche Interessen).
  • Geben Sie Daten an jemanden weiter?
  • Übermitteln Sie Daten außerhalb der EU? (Wenn Sie ein amerikanisches Unternehmen sind, dessen Zielgruppe EU-Bürger sind, lautet Ihre Antwort bereits "Ja". Sie müssen außerdem vermerken, wo sich Ihre Server befinden und wohin Sie möglicherweise Daten übermitteln.)
  • Haben Sie einen Datenschutzbeauftragten?
  • Haben Sie einen Vertreter für den Europäischen Wirtschaftsraums (EWR)?

Dies ist nur eine kleine Auswahl der Informationen, die Sie in Ihre Datenschutzrichtlinie aufnehmen müssen, um den von der DS-GVO geforderten Detaillierungsgrad zu erreichen. Im Idealfall ist jede Interaktion mit Benutzerdaten in Ihrer Datenschutzrichtlinie spezifiziert.

Machen Sie Ihre Richtlinie transparent

Datenschutzrichtlinien wurden vor der DS-GVO nicht unbedingt für die Öffentlichkeit geschaffen. Obwohl es immer ihr Zweck war, offenzulegen, wie Unternehmen mit den personenbezogenen Daten ihrer Kunden umgehen, wurden sie nicht mit dem Ziel der leichten Lesbarkeit formuliert - bis jetzt.

Artikel 12 der DS-GVO versucht, Datenschutzrichtlinien für Benutzer ohne juristischen Abschluss oder wirtschaftlichem Hintergrund lesbarer und verständlicher zu machen. Dieser Abschnitt der Verordnung wirbt für die Verwendung von "klarer und einfacher Sprache" und "transparenter Information und Kommunikation" in den Datenschutzrichtlinien der Unternehmen.

Wenn Sie sich Ihre eigenen Richtlinien ansehen, fragen Sie sich: Können meine Kunden dies lesen und wirklich verstehen, wie wir mit ihren Daten interagieren?

Hinweis: Wenn Sie sich ein Dokument ansehen, das mit juristischen Inhalten, versteckten Bedeutungen und verschlungenen Formulierungen gespickt ist - lautet die Antwort "Nein".

Machen Sie Ihre Richtlinie leicht verfügbar

Wenn Sie den vorherigen Punkt des Einholens der Einwilligung des Benutzers in Ihre rechtlichen Richtlinien überdenken, werden die Zeit und Mühe, die Sie für die Perfektionierung Ihrer Datenschutzrichtlinie für die Einhaltung der DS-GVO aufgewendet haben, hinfällig, wenn Sie die Richtlinie nicht für Ihre Benutzer zugänglich machen.

Links zu Ihren Richtlinien sollten nicht nur in Seiten, Formularen, Pop-ups und / oder E-Mails enthalten sein, die die Einwilligung in diese Richtlinien erbitten. Sie sollten auch auf Ihrer Website Links in Menüs oder Fußzeilen einrichten, über die Nutzer zu Ihren Datenschutzrichtlinien, Nutzungsbedingungen und anderen rechtlichen Vereinbarungen navigieren können

Bewerben Sie Ihre Datenschutzbemühungen richtig?

Die Fehler, die wir bisher gesehen haben, beschränken sich nicht auf Multi-Milliarden-Dollar-Klagen, wie sie Facebook und Google aufgetischt wurden. Tatsächlich stammen einige der DS-GVO-Fehler, die die größte unerwünschte Aufmerksamkeit durch Outlets wie Twitter erlangt haben, von Unternehmen, die versuchten, die Erlaubnis ihrer Kunden wieder zu erlangen oder die ihre Bemühungen zur Einhaltung der DS-GVO per E-Mail ankündigten.

Wenn Sie E-Mails an Kunden senden möchten, um deren Einwilligung einzuholen oder sie über Änderungen Ihrer Richtlinien zu informieren, beachten Sie Folgendes, um die Fallen, in die andere Unternehmen getappt sind, zu umgehen:

1. Lassen Sie auf Worte Taten folgen

Als WeBuyAnyCar Nutzern eine E-Mail schickte, um in ihre neuen Nutzungsbedingungen einzuwilligen und dem Erhalt von zukünftigen E-Mails der Firma zuzustimmen, erhielten Verbraucher, die nicht zustimmten, einen Dead Link. Nutzern die Kontrolle über ihre Daten zu geben und ihnen dann nicht den richtigen Link zu geben, um diese Kontrolle auszuüben, ist sicherlich kontraproduktiv für die Bemühungen um die Einhaltung der DS-GVO.

2. Respektieren Sie die Präferenzen Ihrer Kunden

Im vergangenen Jahr schickten Flybe und Honda ihren Kunden E-Mails, in denen sie sie um Zustimmung zu E-Mail-Marketing baten. Sie wollten damit der DS-GVO vorgreifen. Obwohl diese Bemühungen um der Compliance willen durchgeführt wurden, scheiterten die Unternehmen episch daran, diese zu erreichen, da sie Massen-E-Mails an ihre Abmeldelisten schickten.

Obwohl die Feuerprobe sie insgesamt 83.000 £ kostete, wurde die Strafe vor der Veröffentlichung der DS-GVO erlassen und wäre wahrscheinlich wesentlich höher gewesen, wenn es unter der Verordnung gewesen wäre. Man kann eine einfache Lektion aus diesen Vergehen lernen - respektieren Sie die Wünsche Ihrer Kunden und kontaktieren Sie sie nicht mehr, wenn sie sich abgemeldet haben.

3. Richten Sie nicht mehr Schaden als Gutes an

Einige der ungeheuerlichsten DS-GVO Fehler kamen von Unternehmen, die sich selbst ins Bein schossen, als es darum ging, die Privatsphäre ihrer Nutzer aufrecht zu erhalten. Nehmen beispielsweise die Fehler von Ghostery und VITL. Beide Unternehmen schickten E-Mails, die mit ihren Compliance-Bemühungen und den Nutzern Kontrolle über ihre Präferenzen zu geben prahlen sollten. Sie versäumten jedoch, die Kontaktdaten anderer Personen auf der Mailing-Liste zu verbergen - sie gaben damit effektiv tausende E-Mail-Adressen ohne Erlaubnis weiter.

Die offensichtliche Lehre ist hier, immer daran zu denken, Ihre Mailing-Listen auf BCC zu setzen. Die weniger offensichtliche, aber ebenso wichtige Lehre ist, vorsichtig zu sein und die DS-GVO-Compliance ernst zu nehmen. Niemand wird über Nacht konform - und niemand sollte es versuchen. Unternehmen sollten Zeit und Sorgfalt darauf verwenden, Maßnahmen umzusetzen und ihre Datenpraktiken weiter voranzutreiben, um den von der DS-GVO geforderten Standards zu entsprechen.

Fazit

Die DS-GVO ist eine bahnbrechende Verordnung und keineswegs die einzige ihrer Art. Während die Gesetzgebung als erste die Messlatte für die Privatsphäre der Nutzer auf dieses Niveau anhebt, werden in naher Zukunft immer mehr Vorschriften herauskommen, die ihren Standards entsprechen.

Um die nachteiligen Bußgelder und Reputationsschäden zu vermeiden, die andere durch die DS-GVO erlitten haben, sollten Sie vorsichtig vorgehen, um Ihre Datenpraktiken zu verfeinern und Ihren Kunden mehr Transparenz und Kontrolle über ihre Daten zu bieten.

Über die Autorin

KJ Dearie ist Produktspezialistin und Datenschutzberaterin für Termly. Sie berät Inhaber kleiner Unternehmen zu Best Practices für die Navigation im digitalen Datenschutzbereich und bei der Einhaltung der neuesten Datenschutzgesetze.

Hinweis: Dieser Blog Artikel wurde von einer Gastautorin geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die der Autorin und geben nicht unbedingt die von GlobalSign wieder.

von KJ Dearie

Artikel teilen