­­Conversant’s Ansatz zur Datenschutzgrundverordnung (DSGVO)

Die DSGVO verstehen

 

Die Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und soll den Datenschutz in den Mitgliedsstaaten des Europäischen Wirtschaftsraums (EWR), einschließlich der 28 Mitgliedsstaaten der Europäischen Union (EU) plus Island, Norwegen und Liechtenstein, harmonisieren. Die Verordnung ersetzt die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG). 

 

Die DSGVO soll Verbraucher informieren und befähigen, indem sie für Transparenz und Kontrolle über ihre personenbezogenen Daten sorgt. Sie betrifft Organisationen weltweit, die personenbezogene Daten von Einzelpersonen erfassen und/oder verarbeiten, die in der EU arbeiten, die EU besuchen oder in der EU leben, unabhängig vom Standort einer Organisation. Die neue Verordnung hat Auswirkungen darauf, wie Unternehmen personenbezogene Daten erfassen, verarbeiten, aufbewahren und löschen und sie schafft zusätzliche Verantwortung.

 

Wir sind einer der Branchenführer, der eng mit dem Interactive Advertising Bureau Europe (IAB EU) an der Entwicklung bester Praktiken für digitales Marketing zusammenarbeitet und sich für eine konsistente Verbrauchererfahrung im Einklang mit der DSGVO einsetzt. Es ist wichtig, folgende zentrale Konzepte zu verstehen:

 

Die DSGVO erweitert die Definition des Begriffs „personenbezogene Daten“

 

Bei Conversant und CJ Affiliate erfassen wir keine persönlich identifizierbaren Informationen (PII) von Verbrauchern und bewahren solche Informationen nicht auf. Das bedeutet, dass unsere Daten niemanden direkt identifizieren (z. B. Name, E-Mail-Adresse oder Rechnungsangaben). Die DSGVO erweitert jedoch die Definition des Begriffs „personenbezogene Daten“, welcher nun auch die Daten umfasst, die wir verarbeiten. 

 

Die DSGVO führt den Begriff „pseudonymisierte Daten“ ein. Hierbei handelt es sich um eine Untergruppe „personenbezogener Daten“. Pseudonymisierte Daten sind Daten, die die Person nicht ohne Hinzuziehung zusätzlicher Daten direkt identifizieren. Dies umfasst Daten, die verwendet werden können, um das Verhalten eines Verbrauchers zu verstehen (zum Beispiel Cookie-IDs, Gerätekennungen und andere individuelle Kennzeichner).

 

Die DSGVO empfiehlt Unternehmen, personenbezogene Daten wann immer möglich im Rahmen eines Datenschutzansatzes durch Technikgestaltung zu pseudonymisieren, um sicherzustellen, dass Unternehmen nur Daten erfassen, die benötigt werden, während der Datenschutz der Verbraucher gleichzeitig gewährleistet bleibt.

 

Erfassung und Verarbeitung personenbezogener Daten unter der DSGVO

 

Die DSGVO definiert sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Die beiden relevantesten Grundlagen für die digitale Marketingbranche sind „berechtigtes Interesse“ und „Einwilligung“. Für die Dienstleistungen, die wir bereitstellen, stellt das berechtigte Interesse eine akzeptable Rechtsgrundlage für die Verarbeitung personenbezogener Daten dar. 

 

Es gibt jedoch ein weiteres Gesetz, das sich auch auf die Online-Datenverarbeitung auswirkt: die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG). Laut diesem Gesetz (Artikel 5, Abschnitt 3) müssen betroffene Personen ihre Einwilligung erteilen, bevor ein Unternehmen Informationen von ihren Geräten ablesen bzw. auf ihren Geräten platzieren kann, zum Beispiel das Ablesen und/oder Platzieren von Cookies. 

 

Die Datenschutzrichtlinie für elektronische Kommunikation verweist für die Definition von „Einwilligung“ auf die Datenschutzrichtlinie (Richtlinie 95/46/EG). Am 25. Mai 2018 wird die Datenschutzrichtlinie durch die DSGVO ersetzt. Das bedeutet, dass die Definition von „Einwilligung“ unter der Datenschutzrichtlinie für elektronische Kommunikation auf die Definition von „Einwilligung“ unter der DSGVO verweist, welche eine „unmissverständliche“ Einwilligung vorschreibt. 

 

Für das Ablesen oder Platzieren von Informationen wie Cookies von bzw. auf Geräten eines Verbrauchers ist die „unmissverständliche“ Einwilligung im Sinne der in der DSGVO enthaltenen Definition erforderlich. Ein berechtigtes Interesse gestattet uns jedoch, die über solche Cookies erfassten personenbezogenen Daten zu verarbeiten und aufzubewahren. 

 

Im Einklang hiermit und in Anbetracht dieser bevorstehenden Änderungen hat die IAB EU ein Rahmenwerk für digitale Werbeunternehmen entwickelt, unter dem sie sich gegenseitig informieren, wenn eine unmissverständliche Einwilligung gewährt worden ist. Durch dieses geteilte Wissen, wissen alle Parteien, die an einer Verbraucherinteraktion beteiligt sind, wann eine Einwilligung angefordert werden muss, was wiederum eine gewissenhaftere Verbrauchererfahrung ermöglicht (indem zum Beispiel nur eine Einwilligung erbeten wird, wenn eine oder mehrere Parteien solche benötigen).

 

„Unmissverständliche“ Einwilligung verstehen

 

Wie bereits erwähnt, ist eine unmissverständliche Einwilligung erforderlich, um Informationen vom Gerät eines Verbrauchers abzulesen bzw. auf solchem zu platzieren. Für eine unmissverständliche Einwilligung muss der Verbraucher eindeutige bestätigende Handlungen ausführen. Laut DSGVO (Erwägungsgrund 32) sollten „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit ... keine Einwilligung darstellen.“ Später wird im gleichen Erwägungsgrund ausgeführt, dass eine Einwilligung durch eine „Verhaltensweise geschehen (kann), mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.“ 

 

Das bedeutet, dass der Verbraucher durch Ausführen einer Handlung wie dem Anklicken eines Kästchens oder Links zur Annahme oder durch die fortgesetzte Nutzung der Website seine Einwilligung erteilt, solang eindeutig ist und klar offengelegt wird, dass uns diese Einwilligung das Platzieren von Cookies und die Verarbeitung von Verbraucherinformationen gestattet und dass die beabsichtigten Zwecke angegeben werden. Unternehmen müssen Verbrauchern die Option geben, diese Einwilligung jederzeit zurückzuziehen. 

 

Eine ausdrückliche Einwilligung ist hingegen nur für empfindliche Verwendungen personenbezogener Daten erforderlich, zum Beispiel für die Verarbeitung empfindlicher personenbezogener Daten, die in Artikel 9(1) der DSGVO aufgeführt sind, zum Beispiel Abstammung oder ethnische Zugehörigkeit. Ein Beispiel für eine ausdrückliche Einwilligung ist ein Kontrollkästchen oder eine Schaltfläche „STIMME ZU“, wenn eine ausdrückliche Einwilligung nur als erteilt gilt, wenn die Person diese konkrete Handlung ausführt. In früheren Entwürfe der DSGVO war in allen Fällen eine ausdrückliche Einwilligung erforderlich. Dies wurde in der abschließenden Version jedoch geändert. Es gibt also zwei Arten von Einwilligungen – unmissverständliche und ausdrückliche Einwilligungen. 

 

Für die Dienstleistungen, die wir bereitstellen, ist nur die unmissverständliche Einwilligung erforderlich.

 

Datenverantwortliche und Datenverarbeiter

 

Artikel 4 der DSGVO definiert einen „Verantwortlichen“ als Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ein „Datenverarbeiter“ ist eine Stelle, die personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen und ausschließlich laut Anweisungen des Verantwortlichen, wie in Artikel 28 beschrieben, verarbeitet. 

 

Diese Definitionen bestimmen, welche Daten ein Unternehmen verarbeiten kann und bestimmen die Verantwortlichkeiten, die das Unternehmen übernimmt, um sicherzustellen, dass es Verbrauchern angemessene Kontrolle über ihre personenbezogenen Daten gibt. Es gibt zwar weitere Verantwortlichkeiten, die ein Verantwortlicher übernimmt, aber eine der wichtigsten Anforderungen ist es, Verbrauchern die Möglichkeit zu geben, den Zugang zu und die Löschung ihrer personenbezogenen Daten zu beantragen. 

 

Wir sind ein Verantwortlicher und werden unseren Kunden auch weiterhin hochmoderne, datengestützte Lösungen anbieten, die sinnvolle Ergebnisse liefern.

 

Unsere Verpflichtung hinsichtlich DSGVO

 

Wir glauben an die Datenschutzgrundsätze der DSGVO und verpflichten uns, betroffenen Personen mehr Transparenz darüber zu bieten, wie ihre Daten verarbeitet werden. 

 

Datenschutz war schon immer ein Eckpfeiler unseres Geschäfts und wir haben gewissenhaft daran gearbeitet, unsere Befolgung der DSGVO sicherzustellen. Unser zukunftsorientierter Ansatz dient unseren Kunden als Grundlage für den langfristigen, datengestützten Erfolg.

 

Wir geben unseren Kunden kostenlose Optionen für das Einholen einer unmissverständlichen Einwilligung für uns, für sie und für weitere Anbieter. Eine Einwilligung gilt bei uns für einen Zeitraum von 13 Monaten, es sei denn, der Verbraucher ändert seine Präferenzen. Wir werden auch weiterhin Technologien bereitstellen, die die Vorschriften der DSGVO erfüllen und übernehmen als Datenverantwortlicher die volle Verantwortung für unsere Befolgung der DSGVO. 

 

Wir raten unseren Kunden und unseren Partnern dringend, ihre Verantwortlichkeiten unter der DSGVO zu prüfen und zu verstehen, da wir gemeinsam für die Befolgung der DSGVO verantwortlich sind. Wir werden auch weiterhin an vorderster Front die Bemühungen der Branche unterstützen, indem wir beste Praktiken zur DSGVO bereitstellen und eng mit der IAB EU, IAB UK und anderen Branchenführern zusammenarbeiten. Bei Fragen oder Feedback wenden Sie sich bitte über Ihr Kundenteam an uns.

 

Weitere Referenzen:

 

Conversant und CJ Affiliate:

Datenschutzrichtlinie für elektronische Kommunikation:

Datenschutzrichtlinie 1995:

Information Commissioner’s Office (ICO britische Datenschutzbehörde):

Interactive Advertising Bureau (IAB)

Direct Marketing Association (DMA)
 Themen: GDPR