DSGVO zwingt Unternehmen jetzt zum Handeln
GAFA könnte der Gewinner sein
von Frank Kemper - 03.07.2017
Angesichts der verschärften Richtlinien für die Einwilligung der Nutzer zur Verarbeitung ihrer persönlichen Daten und der härteren Gangart bei Cookies und Tracking könnte Google nach der Neuregelung des europäischen Datenschutzes zu den großen Gewinnern gehören, genauso wie Facebook oder Apple. Die US-Konzerne setzten auf ein einheitliches Kunden-Login für alle angebotenen Dienste. Das Tracking innerhalb ihrer "Walled Gardens" macht ihnen auch die DSGVO nicht streitig. Und mit einem Android-Marktanteil von weit über 75 Prozent am Smartphone-Markt schafft Google die Voraussetzung dafür, dass seine Nutzer sich nicht nur brav anmelden, sondern es auch bleiben.
Cookies und Do-Not-Track-Browser
Zeitgleich mit der DSGVO tritt auch eine neue E-Privacy-Richtlinie in Kraft, die die Privatsphäre der Nutzer effektiver schützen soll. Nach dem derzeit geltenden Entwurf sind nach ihr nur noch First-Party-Cookies einsetzbar, die der Seitenbetreiber selbst setzt und ausliest. Ohne Genehmigung dürfen dabei nur Cookies eingesetzt werden, die anonyme Daten liefern, zum Beispiel Zugriffszahlen. Für die Erfassung personenbezogener Merkmale soll die explizite Genehmigung durch den Nutzer erforderlich sein. Die Nutzung von Third-Party-Cookies, die von fremden Diensten gesetzt und ausgelesen werden, soll durch die Richtlinie quasi ausgeschlossen werden, was für viele Seitenbetreiber die Monetarisierung ihrer Seiten infrage stellt.
Adblocker-Blocker bleiben erlaubt
Internet-Browser sollen zukünftig per Default ein Tracking ausschließen, also der Website mitteilen, dass sie kein Tracking der Session wünschen. Adblocker bleiben erlaubt, Techniken zur Sperrung von Websites für Adblocker-Nutzer allerdings auch.
Eine abschließende Fassung der E-Privacy-Richtlinie liegt noch nicht vor - Betroffene sollten die aktuelle Entwicklung aufmerksam verfolgen.
Cloud-Computing und Datenschutz
Die DSGVO gilt für jeden, der personenbezogene Daten von EU-Bürgern verarbeitet oder verarbeiten lässt - die Speicherung in einer Cloud oder die Verarbeitung mit einer SaaS-Lösung gehört dazu. Wer Daten von EU-Bürgern außerhalb der EU verarbeiten lässt, muss dafür Sorge tragen, dass auch dabei die EU-Datenschutzgrundsätze eingehalten werden.
Unternehmen, die mit externen Datenpartnern innerhalb der EU zusammenarbeiten, müssen ihre ADV-Verträge anpassen. Anders als bisher ist nur noch ein Auftrag zur Datenverarbeitung erforderlich, die Verarbeitung muss nicht mehr weisungsgebunden sein. Und: Nicht mehr der Auftraggeber allein haftet, auch für den Dienstleister gelten jetzt gesetzliche Pflichten.
Standardklauseln nutzen
Bei einer Datenverarbeitung außerhalb der EU sollten Unternehmen die EU-Standardvertragsklauseln oder Binding Corporate Rules nutzen, die von den Aufsichtsbehörden genehmigt wurden. Diese gelten, seit im Sommer 2016 das EU-US-Privacy-Shield-Abkommen geschlossen wurde. Wichtig: Für dieses Abkommen gibt es derzeit noch keinen Nachfolger, deshalb müssen entsprechende Verträge nicht geändert werden. Dies kann sich aber jederzeit ändern, deshalb sollten betroffene Unternehmer die Entwicklung aufmerksam verfolgen.
Eie Überlegung wert ist es, bei Cloud-Lösungen auf eine wirksame Verschlüsselung zu achten.