Unternehmenswebsites im DSGVO-Dschungel

Warum eine automatisiert erstellte Datenschutzerklärung allein meist nicht ausreicht.

Illustration: Geralt Absmeier

Auch wenn die Datenschutzgrundverordnung, kurz DSGVO, bereits seit einigen Monaten gilt, existieren noch immer Unternehmenswebsites, die nicht den aktuellen Bestimmungen entsprechen. Um eine Website gesetzeskonform zu gestalten, reicht es nicht aus, eine allgemeine Datenschutzerklärung irgendwo zu kopieren oder automatisiert generieren zu lassen und dann auf der Website zu veröffentlichen. Der Grund: Jede Homepage besitzt eine individuelle Struktur und verwendet unterschiedliche Plug-ins, Cookies oder Tracking-Tools. Dabei erfasst beziehungsweise verarbeitet sie unterschiedlichste Daten – und das nicht nur, wenn Nutzer irgendwo Kontaktdaten eingeben, sondern auch im Hintergrund. Hierbei handelt es sich um die sogenannten Metadaten.

»Artikel 13 der DSGVO besagt, dass betreffende Personen bei Erhebung personenbezogener Daten zu informieren sind. Da der DSGVO zufolge bereits IP-Adressen als personenbezogene Daten gelten, benötigt jede Website, die diese speichert – also nahezu alle – eine Datenschutzerklärung«, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, und ergänzt: »Für Unternehmen existieren im Internet in Bezug auf die Einhaltung der DSGVO verschiedene Fallstricke, denn es gelten viele Informationspflichten – abhängig davon, welche Daten sie erheben und verarbeiten. Hier gilt es nicht den Überblick zu verlieren.«

 

Datenschutzerklärung ist nicht gleich Datenschutzerklärung

Mit der Veröffentlichung der Datenschutzerklärung auf der Website kommen Betreiber ihrer Informationspflicht nach – aber nur bei korrekter Formulierung. Nutzer müssen anhand dieser Erklärung nachvollziehen können, für welche ihrer personenbezogenen Daten eine Verarbeitung erfolgt. Die genauen Inhalte der Erklärung hängen also genau von diesen Fakten ab. Vielfach unterschätzen Betreiber und teilweise auch Werbeagenturen, die Webseiten erstellen, den Umfang der erhobenen Informationen. Sie wissen nicht, was im Hintergrund einer Webseite alles passiert und demzufolge auch in der Datenschutzerklärung beschrieben werden muss.

Doch nicht nur die Inhalte sind durch die Gesetzgebung vorgeschrieben, sondern auch die Form. Für die Datenschutzerklärung gilt, dass sie nicht nur in »klarer und einfacher Sprache« verfasst werden muss, sie muss darüber hinaus noch in »präziser, transparenter, verständlicher und leicht zugänglicher Form« zur Verfügung stehen. Für die Umsetzung bedeutet dies, dass User sie von jeder Unterseite mit einem Klick erreichen müssen. Zudem darf die Datenschutzerklärung kein Bestandteil des Impressums darstellen, wenn hier keine eindeutige Kennzeichnung erfolgt.

Generell empfiehlt es sich also, Impressum und Datenschutzerklärung über zwei unterschiedliche Menüpunkte zu verlinken. Eine korrekt verfasste Datenschutzerklärung enthält zunächst einmal Informationen darüber, welches Interesse daran besteht, die entsprechenden Daten zu verarbeiten. Darüber hinaus muss die Erklärung Details der Betroffenenrechte umfassen. Dazu zählen unter anderem das Beschwerderecht und das Recht auf Widerruf. Besteht die Absicht, die Daten Drittstaaten zu übertragen, muss auch darüber eine Aufklärung erfolgen. Unternehmen, die einen Datenschutzbeauftragten haben – also in der Regel alle Unternehmen, die mehr als 10 Mitarbeiter beschäftigen – müssen die Kontaktdaten des Beauftragten angeben. »Was viele gar nicht wissen: Selbst Under-Construction-Websites oder Web-Visitenkarten speichern in der Regel IP-Adressen und benötigen deshalb eine Datenschutzerklärung«, erläutert der zertifizierte Datenschutzbeauftragte.

 

Tracking bleibt möglich

Fast jedes Unternehmen nutzt Tracking-Tools, um nachvollziehen zu können, welche User für wie lange auf der Website verbleiben. Die Analyse des Userverhaltens verwenden Unternehmen dazu, Nutzerprofile zu erstellen, die wiederum das Ausspielen personalisierter Werbung ermöglichen. Es existieren zwei Möglichkeiten des DSGVO-konformen Webtrackings: zum einen das Erstellen anonymisierter und zum anderen das Erfassen von pseudonymisierten Nutzerprofilen. Während für ersteres nur die Erlaubnis gilt, Daten wie Datum und Uhrzeit des Besuchs zu tracken, weil diese Daten weder personenbezogen noch personenbeziehbar sind, erhalten Nutzer bei der zweiten Variante Pseudonyme. »Wollen Unternehmen weder anonymisiert noch pseudonymisiert tracken, müssen sie genaue Regeln befolgen. So gilt es auf der Website eine Opt-in-Option einzurichten. Das bedeutet, Nutzer müssen der Nutzung ihrer Daten aktiv zustimmen und diese Zustimmung muss sich auch widerrufen lassen«, so Hösel.

 

Datenschutzfalle Social Media

Im Internet gibt es kaum noch Websites, auf denen keine Social-Plug-ins zu finden sind, denn Buttons von Plattformen wie Facebook, Twitter, Xing, LinkedIn oder Google+ erleichtern das Teilen von Inhalten. Datenschutzrechtlich stellt dies jedoch eine Herausforderung dar, denn die Einbettung erfolgt meist über Inlineframes, die personenbezogene Daten an die Betreiber weitergeben. »Um diesem Problem aus dem Weg zu gehen, gibt es zwei Möglichkeiten: entweder der vollständige Verzicht oder aber der User muss über die Weitergabe seiner Daten eine Information erhalten, beispielsweise während der Aufforderung zur Aktivierung eines Plug-ins. In diesem Falle spricht man von einer Zwei-Klick-Lösung«, so Hösel.

 

Datenschutzkonform den Weg finden

Um Nutzern das Auffinden des Unternehmens zu erleichtern, binden mittlerweile fast alle interaktive Karten, beispielsweise von Google Maps, ein. Betreiber realisieren dies meist über ein »Google Maps API«. Auch in diesem Fall erfolgt eine Weitergabe von personenbezogenen Daten, sodass User, beispielsweise über ein Plug-in, darüber eine entsprechende Information erhalten müssen. »Zudem muss auch die Datenschutzerklärung einen eindeutigen und ausführlichen Hinweis darauf beinhalten«, erklärt Hösel abschließend.

Weitere Informationen unter www.hubit.de

 


 

Online-Zustimmungsbarometer: Fünf Tipps fürs Einholen von Zustimmung in Zeiten der DSGVO

https://pixabay.com/de/

Commanders Act, Anbieter der ersten europäischen integrierten Consent-Management- (CMP) und Customer-Data-Plattform (CDP), veröffentlicht erstmals ein Online-Zustimmungsbarometer. Mit dieser Studie zu den Herausforderungen des Datenschutzmanagements wird die Performance verschiedener durch die DSGVO geforderter Opt-In-Mechanismen gemessen. Banner, Pop-ups, Bestätigung durch Klick oder Scrollen: Welchen Einfluss hat in Zeiten der DSGVO die Art der Abfrage auf die Zustimmungsrate?

 

Aktueller Bezug: Neue Gerichtsurteile verlangen explizites Opt-In

Die neuesten Gerichtsurteile der letzten Woche in Bayern aber auch in Frankreich sprechen eine deutliche Sprache: Ohne vorherige Zustimmung (Opt-In) der Website-Nutzer dürfen personenbeziehbare Daten wie E-Mail-Adressen, Standortdaten, Cookies, User- beziehungsweise Geräte-IDs oder IP-Adressen nicht an Dritte weitergegeben werden. Als CMP-Anbieter hilft Commanders Act vielen namhaften Firmen in Deutschland bei der gesetzeskonformen Einholung solcher Opt-Ins.

Doch die Sorge der Kunden bei der Installation einer CMP ist groß, dass sie einen nicht unerheblichen Teil ihrer marketingrelevanten Daten aufgrund der vorgeschalteten Opt-In-Banner verlieren könnten.

Mit einer Auswahl an Kunden wurde im August 2018 eine Studie durchgeführt, um herauszufinden, mit welchen Mitteln sich die Akzeptanz des Trackings steigern und ein möglichst großer Prozentsatz an Einwilligungen der Nutzer generieren lässt. Zwei Wochen lang wurden die Nutzungsdaten von 16 Websites aus verschiedenen Branchen (Finanzen, Medien, Industrie, Handel, Tourismus, Energie) ausgewertet. Das Barometer stützt sich auf die Analyse des Verhaltens von insgesamt 10.450.000 Besuchern.

Dadurch konnten wertvolle Erkenntnisse über das Nutzerverhalten und die Akzeptanz des Trackings generiert werden. Die Kunden waren dabei frei in der Wahl der Methode zur Opt-In-Erhebung (implizit oder explizit) und der Formulierung der Texte sowie der Gestaltung und Platzierung der Banner. Die Vorgaben kamen dabei in der Regel von den jeweiligen Datenschutzbeauftragten in den Unternehmen.

 

Ergebnisse zusammengefasst: Seien Sie forsch, statt schüchtern

Eines fällt bei der Auswertung sofort auf: Während die Marketer sich beim Einblenden der Banner aus Angst, die Besucher abzuschrecken, vorsichtshalber für ein eher zurückhaltendes Vorgehen entscheiden, machen die Ergebnisse des Barometers Mut, klar Farbe zu bekennen.

Bei der Methode, sich Zustimmung zu holen, liegt die oft genutzte, aber aus Sicht vieler Rechtsexperten nicht DSGVO-konforme indirekte Zustimmung (Besucher sieht das Banner und nutzt die Website weiter) mit 69 Prozent und die implizite Zustimmung (Besucher sieht das Banner und scrollt nach unten) mit 78 Prozent vorn, während die direkte, explizite Zustimmung (Klick auf »Einverstanden«-Button) im Durchschnitt nur 28 Prozent erreicht.

Die Studie zeigt: Seien Sie mutig. Gestalten Sie Ihre Zustimmungsbanner lieber groß statt klein, hier zahlt sich Zurückhaltung nicht aus. Und: Verstecken Sie Ihre Inhalte nicht komplett – sobald die Seiteninhalte hinter oder unter dem Banner nicht mehr sichtbar sind, tendieren Nutzer eher dazu, ihren Besuch abzubrechen.

Seien Sie sich bewusst: Der erste Eindruck zählt, der Besucher stoppt seinen Entscheidungsprozess bereits beim ersten Wahrnehmen des Banners oder Pop-ups. Beobachten Sie außerdem Ihre Besucher und Ihre Branche weiter genau. In manchen Geschäftszweigen gibt es eine strengere Lesart der DSGVO, in manchen eine eher großzügige Auslegung. (Weitere Details zur Studie finden Sie weiter unten).

 

Teilnehmende Websites aus allen Branchen

Aufgrund der ständigen Veränderungen, gegensätzlichen Meinungen und Trends bezüglich der DSGVO wird Commanders Act das Datenschutz-Barometer in regelmäßigen Abständen aktualisieren und die entsprechenden Ergebnisse veröffentlichen.

»Die DSGVO ist wichtig. Sie ist aber auch ein Angstthema für Online-Marketer. Wir haben uns zu dieser Studie entschlossen, um einzelne Vorurteile zu widerlegen und Publishern einige Monate nach dem DSGVO-Stichtag konkrete Antworten zu den Auswirkungen der Zustimmungsabfrage zu geben«, erläutert Michael Froment, CEO von Commanders Act.

 

Die fünf wichtigsten Erkenntnisse im Detail

 

Tipp 1: Ermitteln und bewerten Sie Vor- und Nachteile des Zustimmungsmodus

In der Praxis wenden Websites drei verschiedene Methoden an, um Zustimmungen einzuholen:

– Direkte, explizite Zustimmung

Diese Methode beinhaltet eine explizite Zustimmung durch den Nutzer – normalerweise durch den Klick auf einen »Einverstanden«-Button.

– Indirekte Zustimmung

Hier wird die Zustimmung in dem Moment als erteilt betrachtet, in dem der Besucher die Website weiter nutzt, etwa indem er per Klick eine zweite Seite öffnet.

– Implizite Zustimmung

Als Zustimmung gilt hier, wenn der Benutzer auf der Landing Page weiter nach unten scrollt. Diese Art, eine Zustimmung einzuholen, basiert auf einer möglichen Lesart der DSGVO. Sie wird von den meisten Regulierungsbehörden offenbar vorerst akzeptiert, solange die genaueren Regelungen der für 2019 angekündigten ePrivacy-Verordnung noch nicht endgültig feststehen.

 

Es überrascht kaum, dass die Opt-In-Rate über eine direkte Zustimmung mit 28 Prozent deutlich niedriger ausfällt als die der übrigen Methoden.

Durch Optimierungsmaßnahmen nach der Studie konnte Commanders Act jedoch die Zustimmungsrate bei einigen Kunden wesentlich steigern. 69 Prozent erreicht die indirekte Zustimmung per Klick, 78 Prozent die implizite Zustimmung per Scrolling. Der vergleichsweise geringe Unterschied zwischen den beiden letzteren Methoden wirft allerdings die Frage auf, ob die gerade einmal »tolerierte« implizite Variante überhaupt sinnvoll ist. Denn die Möglichkeit der indirekten Zustimmung endet bei 39 Prozent der Benutzer mit einer direkten Zustimmung (einem Klick auf dem Button »Einverstanden«), während es bei der Möglichkeit einer impliziten Zustimmung nur 10 Prozent sind.

 

Tipp 2: Denken Sie groß, wenn es um das Zustimmungsbanner geht

Die durchschnittliche Einwilligungsquote liegt bei 65 Prozent, aber es gibt Abweichungen in die eine und die andere Richtung. Die zwischen Desktop, Smartphone und Tablet zu beobachtenden Unterschiede lassen sich in erster Linie durch die Größe des Banners erklären. Diese nimmt auf Smartphone- und Tablet-Bildschirmen automatisch mehr Raum ein. 37 Prozent aller Opt-In-Banner wurden auf einem Desktop-Rechner angezeigt, 51 Prozent auf Smartphones und 12 Prozent auf Tablets. Die Folge: Die Zustimmung bei Smartphones liegt bei 76 Prozent, während Tablet und Desktop-Rechner nur 59 beziehungsweise 56 Prozent erreichen.

Insgesamt – und das ist eines der überraschenderen Ergebnisse der Studie – zahlt sich Zurückhaltung nicht aus. Anstelle von halbversteckten Bannern, deren Hintergrundfarbe mit dem Rest der Website verschmilzt, sind auffällige Blöcke in Kontrastfarben und mit gut erkennbarer, größerer Schrift vorzuziehen.

 

Tipp 3: Verstecken Sie Ihre Inhalte nicht

Die Korrelation zwischen Bannergröße und Opt-In-Rate hat selbstverständlich Grenzen: Sobald die Seiteninhalte hinter oder unter dem Banner nicht mehr sichtbar sind, tendieren Nutzer eher dazu, ihren Besuch abzubrechen, anstatt ihre Zustimmung zu geben. Dieses Verhalten ist besonders dann sehr ausgeprägt, wenn das Banner in Form eines Pop-ups den gesamten Hintergrund, also die Inhalte der Seite, ausgraut und überdeckt.

 

Tipp 4: Niemand kümmert sich um Datenschutzerklärungen und Cookies

Ein Website-Besucher sieht die Nachricht mit der Bitte um Zustimmung im Schnitt 1,8-mal, bevor er eine Entscheidung trifft. Dieser Durchschnittswert bleibt immer der gleiche, unabhängig von der endgültigen Entscheidung (Opt-In oder Opt-out) oder der eingesetzten Zustimmungsmethode (direkt, indirekt oder implizit). Anders ausgedrückt:

Der Nutzer stoppt seinen Entscheidungsprozess bereits beim ersten Wahrnehmen des Banners oder Pop-ups. Gerade einmal 0,1 Prozent der Besucher – ja, die Zahl haben Sie richtig gelesen! – gehen einen Schritt weiter und schauen sich die Datenschutzerklärung oder nähere Informationen zu den eingesetzten Cookies an.

 

Tipp 5: Beobachten Sie Ihre Besucher und Ihre Branche weiter genau

Jede Branche hat ihre eigenen Methoden, Zustimmungen einzuholen. Während im Finanz-, Versicherungs- und Energiesektor die direkte Zustimmung, also eine strengere Lesart der DSGVO, bevorzugt wird, setzen Medien- oder Tourismus-Seiten auf Usability und geben sich mit einer impliziten Zustimmung zufrieden. Diese Entscheidungen lassen sich durch unterschiedliche Herausforderungen erklären (im Medienbereich etwa sind Zustimmungen entscheidende Voraussetzung für Werbeeinnahmen), sind aber nicht als endgültig zu verstehen.

 

Sowohl Gesetzgebung (die ePrivacy-Verordnung ist derzeit weiter in Verhandlung) und Technologie (beispielsweise eingesetzte Browser) als auch das Nutzerverhalten sind einer ständigen Veränderung unterworfen und können dazu beitragen, dass diese Entscheidungen in den kommenden Monaten neu getroffen werden müssen.

Quelle: Commanders Ac

 


Gestärkte Rechte der Betroffenen und neue Datenschutzerklärung nach DSGVO: Was Unternehmen jetzt tun müssen

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Zwei Drittel der Unternehmen sehen sich durch Datenschutzregeln behindert

Aus Fehlern lernen – Richtig auf Datenschutzverletzungen durch Mitarbeiter reagieren

Trotz hoher Risiken sicher mobil arbeiten

Smart Home: Nur Geräte mit Datenschutzerklärung kaufen