+49 7071 - 13 87 40 info@die-besserwisser.de

18.05.2018 – Die Besserwisser & DSGVO: Dienste, Daten & Auftragsverarbeitung

Genau wie Sie sind wir als Unternehmen gerade dabei, noch die letzten wichtigen Schritte abzuschließen, um mit der neuen Datenschutzgrundverordnung (DSGVO) konform zu sein. Deshalb möchten wir Ihnen einen Überblick über die Bereiche geben, wo es zwischen Ihnen als Webseitenbetreiber und uns als Online-Marketing Agentur Schnittstellen geben könnte, wo Sie Kundendaten mit uns teilen. Außerdem möchten wir skizzieren, welche dieser Bereiche im Zusammenhang mit der DSGVO relevant werden könnten.

1.Google AdWords

Conversion Tracking

Sofern Sie auf Ihrer Webseite Conversion-Tracking eingebaut haben, werden im Browser des Webseiten-Nutzers Cookies gesetzt. Diese sammeln Daten über den Zeitpunkt, die Dauer und die Häufigkeit der Interaktion dieses Nutzers mit Ihrer Webseite. Diese Cookies werden nur für eine begrenzte Zeit im Browser gespeichert und können auch vor Ablauf der Frist jederzeit vom Nutzer gelöscht bzw. von vornherein blockiert werden.

Dieser Dienst ist gemäß der Datenschutzerklärung auf Händlerbund.de unproblematisch, da keine personenbeziehbaren Daten gesammelt werden. Unproblematisch ist die Nutzung von Conversion-Tracking nach unserem Wissen jedoch erst dann, wenn in der Datenschutzerklärung auf Ihrer Webseite ausdrücklich auf die Nutzung des Dienstes hingewiesen wird und Nutzern eine Opt-Out Möglichkeit (Widerspruchsmöglichkeit) aufgezeigt und ermöglicht wird.

Remarketing

Dieser Punkt betrifft Sie, wenn in Ihrem Account Remarketing-Listen hinterlegt sind. Diese dienen dazu, für Nutzer, die in einem gewissen Zeitraum Ihre Seite besucht haben oder etwas in den Warenkorb gelegt, aber nicht gekauft haben, Gebotsanpassungen einzusetzen. Außerdem können Sie eingesetzt werden, um Nutzer, die eine Google-Suche durchgeführt haben, danach im Displaynetzwerk (Partnerwebseiten von Google) anhand der verwendeten Suchbegriffe mit passenden Werbeanzeigen anzusprechen. 

Der Händlerbund sagt hierzu: „Es erfolgt keine Speicherung von personenbezogenen Daten der Besucher der Webseite.“ Somit wäre laut Händlerbund auch dieser Dienst unproblematisch, sofern natürlich auch hier alles in der Datenschutzerklärung aufgeführt und auf die Verwendung von Cookies und die Widerspruchsmöglichkeit hingewiesen wird.

2. Google Analytics

Wir hatten Sie ja vor einigen Wochen angeschrieben und Ihnen die mögliche Problematik der Daten aus Ihrem Google Analytics Konto dargestellt. Wir wissen, dass die Informationsflut gerade in diesem Zusammenhang etwas überfordern kann und freuen uns natürlich mit Ihnen, wenn Sie alle nötigen datenschutzrechtlichen Maßnahmen für Ihr Google Analytics Konto bereits abgeschlossen haben.

Sollte dies jedoch nicht der Fall sein, ist es natürlich – als Inhaber des Kontos – Ihre Entscheidung, ob und wann Sie die Datenerhebung in Ihrem Analytics Konto datenschutzkonform anpassen.

Wir möchten Sie jedoch bitten, uns darüber zu informieren, wenn Ihr Analytics Konto noch nicht ganz mit der neuen DSGVO konform ist! In diesem Falle könnte unser Gespräch ergeben, dass es sinnvoll sein könnte, dass Sie unseren Zugang zu Ihrem Analytics Konto löschen. Auch wir müssen auf Überprüfungen durch zuständige Behörden oder Abmahnungen von Rechtsanwälten gefasst sein!

Damit Ihr Analytics-Konto DSGVO-konform ist, müssen nach unserem Wissen v.a. folgende Voraussetzungen erfüllt sein:

  • Der Abschluss eines Vertrags zur Auftragsverarbeitung bei Analytics zwischen Ihnen und Google
  • Die Anonymisierung der IP-Adressen der Nutzer über das Einbinden der Funktion „anonymize IP“
  • Die Einbindung einer Widerspruchsmöglichkeit für Google Analytics seitens der Nutzer in Ihrer Datenschutzerklärung

Auftragsverarbeitung (AV)

Gemäß Art. 28 der DSGVO muss im Falle einer Auftragsverarbeitung ein Vertrag (AV-Vertrag) zwischen dem Verantwortlichen (der die Daten erhebt) und dem Auftragsverarbeiter (der die Daten verarbeitet) abgeschlossen werden.

Dieser Teil der DSGVO bezieht sich in erster Linie auf Unternehmen, die personenbezogene Daten sammeln und einen externen Dienstleister mit der Verarbeitung dieser Daten beauftragen – z.B. Zahnärzte, die für die Bearbeitung der Rechnungen einen Dienstleister hinzuziehen, dem Sie die personenbezogenen Daten der Patienten dafür zur Verfügung stellen.

In unserem Fall verhält sich dies etwas anders, da wir ja von Ihnen nicht direkt personenbezogene Daten für die Optimierung Ihres AdWords Accounts erhalten. Indirekt haben wir jedoch durch unseren Zugriff auf Ihr Analytics-Konto auch Zugriff auf personenbezogene Daten, sofern diese nicht anonymisiert werden, (s.o. unter „Google Analytics“)! Da die Erhebung und Speicherung der Daten ohne Anonymisierung ohnehin ab dem 25.05. nach unserem Wissen illegal ist, verstehen Sie sicher unsere Bitte um ein offenes Gespräch diesbezüglich.

Wie oben angeführt, ist ein AV-Vertrag zwischen Ihnen und uns nach unserem Wissen nicht nötig, wenn sich unsere Zusammenarbeit auf Google AdWords beschränkt.

Eine ähnliche Situation wie bei Analytics ergibt sich möglicherweise durch andere Dienstleistungen von uns wie Marketing bei Facebook, Ebay und Amazon. Dies ist abhängig von der Art der erhobenen Daten. Bevor wir dort Zugriff auf personenbezogene Daten bekommen, möchten wir mit Ihnen darüber sprechen!