Compliance mit der EU-Datenschutz-Grundverordnung: Rechtsgrundsätze für das Sammeln von personenbezogenen Daten

Aktualisiert am 30. Dezember 2020

Von Guillaume Marcerou, Criteo Global Privacy Director

Im Mai 2018 tritt die EU-Datenschutz-Grundverordnung (General Data Protection Regulation / GDPR) in Kraft. Eines der am heißesten diskutierten Themen im digitalen Marketing dabei: Technische IDs wie Cookies oder Mobile Advertising IDs gelten nun als personenbezogene Daten. Dies war allerdings bereits in vielen EU-Mitgliedstaaten schon länger geltendes Recht, so auch in Frankreich. US-amerikanische Unternehmen mögen diese Entwicklung jedoch als außergewöhnlich wahrnehmen. Der einzige Unterschied zur Gesetzgebung der einzelnen Mitgliedstaaten: Jetzt müssen alle EU-Mitgliedstaaten Cookies und andere technische IDs als personenbezogene Daten behandeln.

Mehr Informationen dazu, wie die EU-Datenschutz-Grundverordnung personenbezogene Daten und Zustimmung definiert, finden Sie hier.

Was bedeutet das und welche Konsequenzen hat es für Ihr Unternehmen?

Die EU-Datenschutz-Grundverordnung definiert sechs Rechtsgrundsätze für das Sammeln und Verarbeiten von personenbezogenen Daten in Europa. Wenn Sie also solche Daten sammeln und verarbeiten, unabhängig von der Art, muss dies auf einer Rechtsgrundlage geschehen, die die folgenden Faktoren einbezieht:

  1. Das lebenswichtige Interesse des Einzelnen
  2. Öffentliches Interesse
  3. Erfüllung eines Vertrages
  4. Erfüllung von rechtlichen Verpflichtungen
  5. Eindeutige Einwilligung des Einzelnen
  6. Berechtigtes Interesse des Datenverantwortlichen

Wichtig: Alle sechs Grundsätze haben den gleichen rechtlichen Wert, d. h. sie sind unabhängig voneinander. Für Unternehmen, die im Marketing oder digitalen Marketing tätig sind und/oder die zu diesem Zweck Daten sammeln, sind zwei dieser Rechtsgrundsätze entscheidend:

  1. Eindeutige Einwilligung des Einzelnen
  2. Berechtigtes Interesse des Datenverantwortlichen

Welche dieser Grundsätze erlaubt es einem Unternehmen, personenbezogene Daten in Form von technischen IDs (Cookies, Mobile IDs etc.) zu sammeln?

Bei Criteo sind wir der Überzeugung: Die „eindeutige Einwilligung“ ist von zentraler Bedeutung für unsere Kunden und Partner, die mithilfe von technischen IDs personenbezogene Daten sammeln.

Was bedeutet die „eindeutige Einwilligung des Einzelnen“? Wie lässt sich diese Bestimmung auf das Sammeln von Online-IDs wie Cookies anwenden?

Zunächst einmal gibt es einen klaren Unterschied zwischen eindeutiger und expliziter Einwilligung. Für eine explizite Einwilligung muss der User proaktiv einer Nutzung seiner Daten zustimmen (Opt-In). Dies gilt für sensible personenbezogene Daten wie Ethnizität, Religion, sexuelle Orientierung, Parteizugehörigkeit/politische Meinung oder Gesundheit. Wichtig: Online-IDs (zum Beispiel Cookies) gelten hingegen als nicht sensible personenbezogene Daten. Entsprechend ist kein explizites Opt-In erforderlich.

Die Regularien zur eindeutigen Einwilligung werden sich voraussichtlich an den aktuellen Positionen der Datenschutzbehörden der einzelnen Mitgliedsstaaten orientieren. So veröffentlichte etwa die spanische Datenschutzbehörde, eine der strengsten in Europa, kürzlich Richtlinien zur EU-Datenschutz-Grundverordnung, die besagten, dass Einwilligung dann als eindeutig anzusehen ist, wenn sich diese unmittelbar aus dem Handeln des Users ableiten lässt: Als Beispiel wurde der User angeführt, der eine Website weiter nutzt, obwohl er weiß, dass diese Website Cookies einsetzt, um sein Surfverhalten zu erfassen.

Die Kunden und Partner von Criteo verarbeiten keine sensiblen Daten, sondern arbeiten mit Daten mit Bezug auf Surfverhalten, Kaufinteresse und Kaufhistorie, die mit pseudonymisierten technischen IDs verknüpft sind.

(Mehr Informationen zu der Art von Daten, die Criteo sammelt, und die Auswirkungen der EU-Datenschutz-Grundverordnung auf unsere Arbeit finden Sie hier.)

Die von der EU-Datenschutz-Grundverordnung definierten Regeln für eine gültige eindeutige Einwilligung entsprechen im Großen und Ganzen den Vorgaben aus einer früheren Arbeitsunterlage der Artikel-29-Datenschutzgruppe:

  1. Spezifische Informationen. Die Einwilligung ist nur dann gültig, wenn sie für den konkreten Fall gegeben wurde und auf angemessener Information beruht. Das heißt mit anderen Worten, dass eine pauschale Einwilligung ohne Angabe des genauen Zwecks der Verarbeitung nicht zulässig ist.
  2. Zeitablauf. Grundsätzlich ist die Einwilligung vor Beginn der Verarbeitung einzuholen.
  3. Aktive Entscheidung. Die Einwilligung muss eindeutig sein. Folglich darf das Verfahren zur Einholung und zur Erteilung der Einwilligung keinen Zweifel an der Absicht der betroffenen Person lassen. Grundsätzlich bestehen keine Einschränkungen hinsichtlich der Form einer Einwilligung. Damit die Einwilligung gültig ist, muss sie jedoch durch eine aktive Willensbekundung des Nutzers erteilt werden. Als Mindestform der Willensbekundung könnte jede Art von Zeichen angesehen werden, das ausreichend eindeutig ist, um die Wünsche der betroffenen Person zum Ausdruck zu bringen und für den für die Datenverarbeitung Verantwortlichen verständlich zu sein (beispielsweise eine handschriftliche Unterschrift unter einem Papiervordruck oder ein aktives Verhalten, aus dem nach vernünftigem Ermessen auf eine Einwilligung geschlossen werden kann).
  4. Ohne Zwang. Eine Einwilligung kann nur dann gültig sein, wenn die betroffene Person eine echte Wahlmöglichkeit hat und keine Gefahr einer Täuschung, Einschüchterung, Nötigung oder beträchtlicher negativer Folgen besteht, wenn sie die Einwilligung nicht erteilt.

Inwiefern lässt sich der Grundsatz „berechtigtes Interesse des Datenverantwortlichen“ anwenden?

Für ein berechtigtes Interesse muss der Zweck der Datenverarbeitung von den Usern nach vernünftigem Ermessen erwartbar sein. Die Verarbeitung von personenbezogenen Daten für Zwecke des Direktmarketings lässt sich daher als berechtigtes Interesse betrachten. Dieses berechtigte Interesse wiegt jedoch nicht schwerer als die grundlegenden Rechte der Konsumenten in den Bereichen Datenschutz und Wahrung der Privatsphäre. Es ist also notwendig, angemessene Sicherheitsmaßnahmen zu implementieren, mit denen potentielle Risiken für die Privatsphäre der User adressiert werden. Bevor sich ein berechtigtes Interesse geltend machen lässt, müssen daher die folgenden grundlegenden Standards erfüllt sein:

  • Es müssen Informationen bereitgestellt werden, die erläutern, welche Daten gesammelt werden, zu welchem spezifischen Zweck, und welche Auswirkungen diese Datensammlung auf die Online-Erfahrung des Users hat.
    • Beispiel: „Unsere Website/App verwendet Cookies bzw. Advertising IDs für den Zweck der Werbung. So sind wir in der Lage, unsere Werbung den Usern von Partner-Websites und Apps zu zeigen, die Interesse an unseren Produkten haben. Retargeting-Technologie verwendet Cookies oder Advertising IDs, um Werbung anzuzeigen, die auf Ihrem Surfverhalten basieren. Weitere Informationen finden Sie in unseren Datenschutzrichtlinien. Dort erfahren Sie auch, wie Sie zielgerichtete Werbung durch uns deaktivieren können.“§ [Link zur Datenschutzrichtlinie des Partners] § Criteo Datenschutzrichtlinie: http://www.criteo.com/de/privacy/]
  • Den Usern muss eine Kontrollmöglichkeit an die Hand gegeben werden, mit der sie ihre Erfahrung steuern können; diese muss auch ein Opt-Out beinhalten. Diese Kontrollmöglichkeit muss einfach zu bedienen und leicht zugänglich sein sowie über Erläuterungen verfügen, wie sich potentielle Einstellungsänderungen auf die Werbeerfahrung des Users auswirken.
  • Die Datenschutzrichtlinien des Unternehmens müssen einfach zugänglich sein; ebenso Informationen zu Branchenstandards in diesem Bereich oder zu entsprechenden Selbstverpflichtungen Ihres Unternehmens.

Auf Basis welcher Standards lässt sich berechtigtes Interesse etablieren?

Um berechtigtes Interesse zu etablieren, sollten Unternehmen in der Lage sein, die folgenden Schlüsselfragen zu beantworten:

  • Was ist der Zweck der Datensammlung und -verarbeitung?
  • Ist sie notwendig, um eines oder mehrere spezifische Unternehmensziele zu erreichen?
  • Erkennt die EU-Datenschutz-Grundverordnung oder die nationale Gesetzgebung im jeweiligen Land diese Art der Datenverarbeitung in Abhängigkeit des positiven Ergebnisses eine Abwägungsprüfung als berechtigt an?
  • Muss der Betroffene unter normalen Umständen mit solch einer Erfassung und Verarbeitung seiner Daten rechnen?
  • Welche Art von Daten werden verarbeitet? Unterliegt diese Art von Daten irgendwelchen spezifischen Schutzregelungen der EU-Datenschutz-Grundverordnung?
  • Beschneidet oder unterminiert das Erfassen und Verarbeiten der Daten die Rechte der Betroffenen?
  • Wird der Betroffene angemessen auf die Erfassung und Verarbeitung seiner Daten hingewiesen? Wenn ja, wie? Sind diese Hinweise ausreichend klar formuliert und beschreiben auch angemessen den Zweck der Verarbeitung?

Unternehmen aus der Digital Marketing-Branche, die aktuell ihre Firmenpolitik auf die EU-Datenschutz-Grundverordnung abstimmen, sollten sich jedoch bewusst sein, dass die EU-Bürger sehr genau wissen, dass es zielgerichtete Werbung gibt; sie verstehen die Funktionsweise der IDs dahinter (zum Beispiel Cookies) und sie erwarten, für sie relevante Werbung sehen. In Zusammenarbeit mit IPSOS hat Criteo eine Konsumentenbefragung durchgeführt, um die Erwartungshaltungen von Usern aus der EU mit Hinblick auf zielgerichtete Online-Werbung besser zu verstehen. Für diese Studie wurde in Frankreich, Großbritannien und Spanien eine mit Bezug auf Geschlecht, Alter, Region und Einkommen repräsentative Gruppe von 3000 Internetnutzern im Alter zwischen 16 und 65 befragt. Die Umfrage erbrachte speziell die folgenden Ergebnisse:

  • 90 % der Internetnutzer sind sich bewusst, dass es verhaltensabhängiges Retargeting gibt.
  • 68 % der Internetnutzer wissen, dass Cookies zielgerichtete Werbung ermöglichen.
  • 75 % erwarten, dass die ihnen gezeigten Anzeigen ihren Interessen entsprechen.
  • 73 % ziehen es vor, relevante Anzeigen zu sehen, statt für die Werbefreiheit eines Angebots zu bezahlen.

Im Rahmen der Umsetzung der EU-Datenschutz-Grundverordnung befolgen wir die Richtlinien und vorgeschlagenen Procederes der Datenschutzbehörden in den einzelnen Mitgliedstaaten genau. Hier finden Sie weitere Informationen dazu, welche Maßnahmen Criteo unternimmt, um die EU-Datenschutz-Grundverordnung zu erfüllen. Und hier finden Sie Details zu den zwei Kategorien von personenbezogenen Daten in der EU-Datenschutz-Grundverordnung.

Mehr Informationen findet ihr in unserem Webinar DSGVO – Criteo ist bereit.

[1] Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung

[2] Artikel-29-Datenschutzgruppe – „Arbeitsunterlage 02/2013 mit Leitlinien für die Einholung der Einwilligung zur Verwendung von Cookies“