Dieser Beitrag stellt keine verbindliche Rechtsberatung dar und ersetzt daher auch nicht die juristisch qualifizierte Beratung durch einen Anwalt.
Vom Criteo-Privacy-Team
Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung in Kraft, die die Datenschutzrichtlinie von 1995 ersetzt. Die Datenschutz-Grundverordnung harmonisiert die Datenschutzgesetzgebung aller 28 Länder der Europäischen Union (einschließlich Großbritannien).
Criteo, 2005 als europäisches Unternehmen gegründet, ist inzwischen weltweit tätig und unterhält Niederlassungen im gesamten EU-Raum. Wir empfinden es als selbstverständlich, bei der Entwicklung und beim Einsatz unserer Technologie die strengsten Maßstäbe unserer Branche anzulegen, wenn es um Sicherheit und Datenschutz geht. Wir erfüllen weltweit die entsprechenden gesetzlichen Ansprüche der jeweiligen Länder, in denen wir tätig sind – und damit auch die zentralen Bestimmungen der EU-Datenschutz-Grundverordnung.
Je näher der Stichtag für die EU-Datenschutz-Grundverordnung rückt, desto mehr Missverständnisse und Irrtümer tauchen zu dieser neuen Gesetzgebung auf, besonders wenn es um die Definitionen von Einverständnis und persönlichen Daten geht. In diesem Artikel möchten wir daher die wesentlichen Fragen beantworten, die in den vergangenen Monaten an uns herangetragen worden sind.
Was ist der Sinn und Zweck der EU-Datenschutz-Grundverordnung?
Dieses gesetzliche Rahmenwerk harmonisiert die Datenschutzgesetzgebung in den Mitgliedsstaaten der EU und sorgt gleichzeitig für eine konsistente Anwendung und Durchsetzung dieser Regeln durch die regionalen Datenschutzbehörden. Die wesentlichen Ziele der EU-Datenschutz-Grundverordnung sind:
- Modernisierung des Rechtssystems zum Schutz persönlicher Daten in einem Zeitalter der Globalisierung und technologischen Innovation.
- Stärkung der Individualrechte bei gleichzeitigem Abbau bürokratischer Hürden, um so einen freien Fluss von persönlichen Daten innerhalb der EU sicherzustellen.
- Klarheit beim Thema Datenschutz und EU-weit konsistente Anwendung bzw. effektive Implementierung.
Welche Form des Einverständnisses benötigen Unternehmen wie Criteo für das Sammeln von persönlichen Daten?
Es gibt einen extrem wichtigen Unterschied zwischen eindeutigem und explizitem Einverständnis, der von digitalen Werbetreibenden häufig nicht ganz oder sogar missverstanden wird.
Explizites Einverständnis bedeutet, dass der User mittels eines Opt-in dem Erfassen und Verarbeiten seiner Daten explizit zustimmen muss. Solch ein Einverständnis ist jedoch nur für das Sammeln und die Verarbeitung von sensiblen persönlichen Daten notwendig; zum Beispiel Daten zu Ethnizität, Religion, sexueller Orientierung, politischen oder weltanschaulichen Ansichten sowie zum Gesundheitsstatus.
Dem gegenüber stehen die sogenannten nicht sensiblen persönlichen Daten, zum Beispiel Informationen zum Browsing-Verhalten. Im Umgang mit diesen Daten verlangt die EU-Datenschutz-Grundverordnung von den Unternehmen lediglich, eine eindeutige Einwilligung der User einzuholen. Online-IDs wie zum Beispiel Cookies gelten als nicht sensible persönliche Daten, ein explizites Opt-in ist also nicht erforderlich.
Die spanische Datenschutzbehörde Agencia Española de Protecciòn de Datos vertritt in ihren Erläuterungen und Ausführungsbestimmungen eine Ansicht dazu, was unter einer „eindeutigen Einwilligung“ zu verstehen ist, die der Auffassung von Criteo entspricht:
„Eine eindeutige Einwilligung darf implizit angenommen werden, wenn sie sich aus dem Handeln eine Person konkludent ergibt: Zum Beispiel, wenn diese Person trotz expliziten Hinweises auf das Erfassen seines Browsing-Verhaltens durch Cookies weiter auf einer Website surft und damit der Nutzung der Cookies implizit zustimmt.”
Die EU-Datenschutz-Grundverordnung verlangt eine „freiwillige, spezifische, informierte und unmissverständliche Einwilligung“. Was genau bedeutet das?
„Freiwillig“ bedeutet, dass die Einwilligung nur dann gültig ist, wenn die betroffene Person eine wirkliche Wahl hat – ohne Risiken von Täuschung, Einschüchterung, Zwang oder signifikanten negativen Konsequenzen bei einer Verweigerung des Einverständnisses. Nutzer können zum Beispiel ohne Konsequenzen für sie die Services von Criteo direkt aus der Cookie-Benachrichtigung heraus ablehnen.
Eine „spezifische“ und „informierte“ Einwilligung ist nur dann gültig, wenn der Umfang dieser Einwilligung klar definiert ist und sie auf angemessenen Informationen beruht. In anderen Worten: Die Forderung nach einem Einwilligungs-Blankoscheck ohne genaue Nennung des Grundes für die Datensammlung ist unzulässig. Deshalb informieren wir in unserer Cookie-Benachrichtigung unsere User darüber, dass sie durch das Klicken eines beliebigen Links auf unserer Site dem Einsatz unserer Website-übergreifenden Tracking-Technologie zustimmen.
„Eindeutig“ bedeutet, dass sich die Einwilligung aus dem aktiven und konkludenten Verhalten einer Person in Anbetracht aller Umstände unmissverständlich schließen lässt. Diese Bedingung ist zum Beispiel erfüllt, wenn diese Person trotz eines entsprechenden expliziten Hinweises weiter auf einer Website surft und damit der Verwendung von Cookies zum Beobachten seines Surf-Verhaltens zustimmt. So zumindest definieren es die spanische Datenschutzbehörde bzw. die CNIL auf ihren Websites.
Unternehmen und Konsumenten profitieren gleichermaßen
Bei Criteo betrachten wir die EU-Datenschutz-Grundverordnung als eine positive Entwicklung, die eine Umgebung von Transparenz, Kontrolle und Rechtssicherheit sowohl für unsere Kunden als auch für die Konsumenten schafft. Das wird sich als ausgesprochen förderlich für die Digitalwirtschaft erweisen. Wir haben ein klares Verständnis davon, wie die EU-Datenschutz-Grundverordnung Zustimmung definiert, und halten die entsprechenden gesetzlichen Bestimmungen ohne Wenn und Aber ein.
Wir sind optimal darauf vorbereitet, unsere Kunden und Partner auf ihrem Weg zur Compliance mit der EU-Datenschutz-Grundverordnung begleitend zu unterstützen. Auch in Zukunft werden wir Artikel und anderes Material zu den Best Practices für eine effiziente Compliance mit der EU-Datenschutz-Grundverordnung auf unserer Website bereitstellen.
Wir sind davon überzeugt: Langfristig werden Unternehmen und Bürger von dem Vertrauen und der Transparenz profitieren, die mit der EU-Datenschutz-Grundverordnung geschaffen werden.
Mehr Informationen findet ihr in unserem Webinar DSGVO – Criteo ist bereit.