Die DSGVO und Google AdWords: 5 wichtige Schritte für Online Händler und Dienstleister

Inhaltsverzeichnis

In vier Wochen, am 25. Mai 2018, treten die neuen Änderungen der DSGVO, der Datenschutz-Grundverordnung, in Kraft. Insbesondere die Regeln für den Umgang mit personenbezogenen Daten wurden verschärft. Wir zeigen Ihnen 4 wichtige Schritte, wie Sie mit der DSGVO umgehen sollten, und im 5. Schritt, was Sie rund um den Bereich Google AdWords wissen müssen.

Was ist die DSGVO?

Die “Datenschutz-Grundverordnung” (DSGVO – englisch: General Data Protection Regulation (GDPR)) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Sie ist am 24. Mai 2016 in Kraft getreten und nach der zweijährigen Übergangsfrist ab dem 25. Mai 2018 anzuwenden.

Was bedeutet das für Sie als Onlinehändler/Online-Dienstleister?

1. Schritt: Lernen Sie zentrale Begriffe der DSGVO kennen

Machen Sie sich mit dem “Wording” vertraut. Die DSGVO regelt die Verarbeitung personenbezogener Daten, wie Name, Adresse, Geburtsdatum, Social-Media-Posts, Fotos, Transaktionshistorien und IP-Adressen. Folgende Rollen sind dabei vorgesehen:

Data Controller: Auftraggeber einer Verarbeitung
Data Processor: Verarbeiter von Daten
EU-DSGVO Data Subject: Person, deren Daten verarbeitet werden

Der Begriff „Privacy by Design“ bedeutet schließlich: IT-Systeme und Verarbeitungsprozesse werden von Anfang an so gestaltet, dass der Datenschutz berücksichtigt wird. Nur so könnten geltende Rechte Betroffener eingehalten werden, beispielsweise das „Recht auf Vergessenwerden“. [Quelle: Security-Insider]

2. Schritt: Gehen Sie auf Spurensuche. Wo erheben und verarbeiten Sie personenbezogene Daten?

Prüfen Sie, an welchen Stellen in Ihrer Firma personenbezogene Daten, auch PII – personally identifiable information – genannt,

erhoben und
verarbeitet werden und,
ob dies konform mit der DSGVO passiert.

Lesen Sie dazu die Gesetzestexte, insbesondere Artikel 30 (Erstellung eines Verzeichnisses), Artikel 32 (Sicherheit der Verarbeitung) und Artikel 35 (Datenschutz-Folgeabschätzung). Beachten Sie bei Ihrer Spurensuche folgende Fragen:

Haben Sie ein Datenschutzabkommen für Ihr Hosting?
Stehen die Hosting-Server in Deutschland, Europa oder anderswo?

Detaillierte Informationen zu Anwendungshinweisen und Auslegungshilfen finden Sie hier:

3. Schritt: Machen Sie den DSGVO-Test

Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) haben dafür Fragebögen erarbeitet und veröffentlicht:

LDA bayern: Schriftlicher Fragebogen zur Umsetzung der Datenschutzverordnung
Berliner Beauftragte für Datenschutz und Informationsfreiheit: Schriftliche Fragen zur Vorbereitung auf die Datenschutzverordnung
BayLDA: Onlinefragebogen: Befinden Sie sich auf der richtigen Route zur Datenschutzverordnung?

4. Schritt: Ziehen Sie Ihren (externen) Datenschutzbeauftragten und/oder Anwalt hinzu

Wenn Sie sich einen ersten Überblick verschafft und Maßnahmen eingeleitet haben oder einleiten wollen, ziehen Sie Experten hinzu, um rechtlich abgesichert zu sein. Unser Partner Händlerbund, der ganzheitliche rechtliche Lösungen für E-Commerce-Businesses anbietet, berät Sie gern und bietet Komplettlösungen zur Umsetzung der DSGVO an.

5. Schritt: Die DSGVO und Werbung – Google AdWords – Google Analytics

Zum Thema DSGVO und Werbung hat die DSK das Kurzpapier Nr. 3 „Verarbeitung personenenbezogener Daten für Werbung„ veröffentlicht. Aus dem Artikel besonders hervorzuheben ist folgender Absatz:

Informiert der Verantwortliche transparent und umfassend über eine vorgesehene werbliche Nutzung der Daten, geht die Erwartung der betroffenen Person in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden. Insoweit ist im Rahmen der Interessenabwägung zu berücksichtigen, dass die von Werbung betroffenen Personen ein jederzeitiges und umfassendes Widerspruchsrecht haben (Art. 21 Abs. 2 DS-GV0), auf das sie ausdrücklich hinzuweisen sind (Art. 21 Abs. 4 DS-GVO). Der Werbewiderspruch hat nach Art. 21 Abs. 3 DS-GVO zur Folge, dass personenbezogene Daten für Werbezwecke nicht mehr verarbeitet, insbes. verwendet werden dürfen.

Google AdWords

Bei Google-Diensten wie AdWords, DoubleClick for Publishers, AdExchange und AdSense ist Google verantwortlich für die Datenverarbeitung, denn Google nutzt hierfür eigene Nutzerdaten. Bei der Nutzung dieser Dienste profitiert der Kunde von den großen Datenmengen, die Google besitzt, die Daten werden jedoch nicht direkt mit dem Nutzer geteilt. Aus diesem Grund werden bei den Produkten keine personenbezogenen Daten an den Nutzer weitergegeben. Die datenschutzrechtliche Beziehung besteht zwischen den betroffenen Personen und Google. Einen Überblick, wie Google konkret Ihre Daten schützt und verarbeitet, können Sie hier und hier finden.

Googles Initiativen zum Datenschutz im Überblick

Google Analytics

Bei Google Analytics ist Google der Auftragsverarbeiter, dies gilt auch für Google Analytics 360 und die DoubleClick-Suite für Werbetreibende. Hier muss vor der Nutzung ein Vertrag zur Datenverarbeitung mit Google geschlossen bzw. die aktualisierten AGB bestätigt werden. Die Verantwortung für die Daten liegt beim einzelnen Unternehmen – also bei Ihnen – , welches die Daten mit dem Google-Produkt sammelt und verarbeitet. Hier sind Sie also in der Pflicht aktiv zu werden und die gesammelten Kundendaten DGSVO konform zu verarbeiten. Wenn Sie eh schon am Aufräumen hinsichtlich Ihres Datenschutzes sind, geben wir Ihnen hiermit 6 Tipps an die Hand, wie Sie Ihr AdWordskonto einem Frühjahrsputz unterziehen können. Also Endspurt: Noch 4 Wochen, um DSGVO fit zu werden. Sind Sie es schon?