Redaktion Werbemonitor

Datenschutzgrundverordnung: Fragen & Antworten

Von Februar bis April tourte die WKNÖ Fachgruppe Werbung und Marktkommunikation durch die Bezirke. Mit im Boot der Datenschutzexperte Andreas Daxböck, der einen Impulsvortrag über das Thema hielt und Fragen beantwortete. Rund 300 Mitglieder besuchten die neun Abende in allen vier niederösterreichischen Vierteln. Viele Kollegen äußerten den Wunsch, spezielle Fragen für die Kreativbranche in einer Zusammenfassung zu erhalten. Wir beantworten hier häufig gestellte Fragen.

Die Datenschutzgrundverordnung (DSGV) wird uns sicher noch eine Zeit lang beschäftigen. Der Datenschutzexperte Andreas Daxböck hat uns hier die ersten acht Fragen und Antworten zusammengestellt. Als Quelle dienten Texte von Dr. Peter Kubanek, Abteilung Rechtspolitik WKNÖ. Die Reihung erfolgt alphabetisch. Aus Platzgründen sind die Fragen nicht ausformuliert, sondern nur das Thema angeführt.

1. Affiliate Links
Aus Sicht der WKÖ Abteilung Rechtspolitik reicht es aus, wenn in der Datenschutzerklärung klar gestellt wird, dass es sich hier um Links zu Drittanbietern handelt und dass daher eine Datenübertragung an Dritte erfolgt.

2. Auftragsverarbeitervertrag mit Versanddiensten
Ein zwingender Auftragsverarbeitervertrag wäre dann notwendig, wenn Daten an einen Dritten zur Bearbeitung überlassen werden und die Bearbeitung genau nach Weisung des Auftraggebers erfolgt. Dies wäre z. B. dann der Fall, wenn die Erstellung der Adressetiketten von einem externen Dienstleister durchgeführt wird. In der praktischen Abwicklung wird es tatsächlich voraussichtlich so sein, dass Versandunternehmen (Post, Hermes etc.) selbst zum Verantwortlichen im Sinne der DSGVO werden. Das bedeutet aber auch, dass für die Datenübermittlung an den Versanddienstleister eine eigene Rechtsgrundlage gefunden werden muss, z. B. „Vertragserfüllung“ (Vertrag zwischen dem Kunden und dem Onlineshop). Dies hat dann zur Konsequenz, dass in der Datenschutzerklärung angegeben werden muss, dass die Daten an ein Versandunternehmen (es reicht hier die Kategorie „Versandunternehmen“; es muss nicht zwingend ein konkretes Versandunternehmen genannt werden) zum Zweck des Versandes bzw. der Zustellung und auf der Rechtsgrundlage der Vertragserfüllung weitergegeben werden.

3. Hostprovider bzw. Cloudservices
Nach derzeit herrschender Meinung wird ein Clouddiensteanbieter als Auftragsverarbeiter gesehen. Wir empfehlen daher hier in jedem Fall, eine Vereinbarung für Auftragsverarbeiter abzuschließen. An sich sollte dies der Cloudanbieter von sich aus anbieten bzw. eine standardisierte Vereinbarung für seine Klienten erstellt haben.

4. Profiling
Wenn Sie auf Ihrer Website Profiling betreiben, so müssen Sie in der Datenschutzerklärung die Nutzer darüber informieren, welche Auswirkungen Profiling hat. Außerdem ist regelmäßiges Profiling ein Kriterium, zusätzlich zur Risikoanalyse eine Datenschutz-Folgenabschätzung vornehmen zu müssen.

5. Standortübertragung des Nutzers an Google
Nach dem Telekommunikationsgesetz (§ 96 TKG) ist für eine Datenerhebung im Rahmen von Cookies grundsätzlich eine Einwilligung des Betroffenen erforderlich. Ausnahmen gibt es nur für ausdrücklich gewünschte Dienste (dies entspricht in etwa der Notwendigkeit der Vertragserfüllung in der DSGVO). Damit muss für die Datenerhebung im Rahmen von  Cookies immer mit einer Einwilligung gearbeitet werden. Zumindest nach den Erläuterungen zum TKG ist dies allerdings auch so möglich, dass der Nutzer darüber informiert wird, dass Cookies gesetzt werden, und dass der Nutzer im Rahmen der Datenschutzerklärung davon in Kenntnis gesetzt wird, welche Daten für welche Zwecke erhoben bzw. an wen übertragen wer-den. Die Erläuterungen zum TKG führen wei-ters aus, dass die Einwilligung dann auch darin liegen kann, dass der Nutzer seinen Browser so eingestellt hat, dass er Cookies akzeptiert. Daraus hat sich die gängige Praxis entwickelt, dass Cookieinfofenster aufpoppen, auch ohne dass eine konkrete Zustimmung durch Anhaken oder ähnliches erteilt wird. Ob dies nach der DSGVO weiterhin zulässig ist, ist zumindest fraglich. Um sicherzugehen, müsste daher mit einem aktiven Anklicken einer Einwilligungserklärung zu Cookies gearbeitet werden.

6. Social-Media-Plug-ins
Auch hier gibt es in Österreich anders als in Deutschland so gut wie keine Rechtsprechung. Es ist daher zu empfehlen, sich an den deutschen Vorgaben zu orientieren. Das bedeutet im Wesentlichen, dass mit einem double Plug-in gearbeitet werden muss. Hin-tergrund: Die meisten Social-Media-Dienste (insbesondere Facebook) greifen auf Nutzerdaten bereits dann zu, wenn ein Plugin auf einer Website eingerichtet ist. Dies trifft dann auch Nutzer, die nicht selbst Mitglied auf der jeweiligen Social-Media-Plattform sind und daher einer Datenübertragung nach den jeweiligen AGB der Plattform nicht zugestimmt haben. Aus diesem Grund hat sich in Deutsch-land die Praxis eingebürgert, ein Plug-in in zwei Schritten zu setzen, sodass man auf das eigentliche Plug-in erst durch einen zweiten Klick gelangt. Dies ist jedenfalls auch für die österreichische Umsetzung zu empfehlen.

7. Subunternehmer: Auftragsverarbeiter oder Verantwortlicher?
Auftragsverarbeiter ist, wer personenbezoge-ne Daten weisungsgebunden im Auftrag eines Verantwortlichen verarbeitet. Grundsätzlich kann auch ein Subunternehmer unter diese Definition fallen, wenn er eben personenbe-zogene Daten im Auftrag eines Verantwortlichen verarbeitet. Einen Auftragsverarbeiter zeichnet aus, dass er keine Entscheidungsge-walt über den Verarbeitungszweck und über den (wesentlichen, materiell datenschutzrechtlich relevanten) Mitteleinsatz hat. Ent-scheidungen in technisch-organisatorischer Hinsicht kann er hingegen treffen, ohne in die Rolle des Verantwortlichen zu schlüpfen.

Im Zuge des laufenden Diskussions- und Meinungsbildungsprozesses zur Umsetzung der DSGVO ist uns bekannt geworden, dass sich die Steuerberater grundsätzlich als Verantwortliche sehen. Der Grund dafür liegt vereinfacht gesagt darin, dass der Steuerberater selbst („eigenverantwortlich“) über den Zweck der Datenverarbeitung entscheidet. Nach derzeitigem Wissensstand dürfte es sich dabei um eine sogenannte „vertretbare Rechtsansicht“ handeln. Im Grunde kann diese Argumentation auch für viele andere Fälle herangezogen werden. Spätestens dann, wenn ein Subunternehmer die ihm übermittelten Daten für eigene Zwecke (z. B. eigenes Marketing) verwendet oder die Daten aus anderen Rechtsgründen als dies vom Subunternehmervertrag unmittelbar gedeckt ist  (z. B. eigene steuerliche Pflichten) verwendet, springt er diesbezüglich in die Rolle des Verantwortlichen.

8. Werbe-Mails bzw. -Anrufe
Dabei handelt es sich genau genommen nicht um ein DSGVO-Problem, sondern um ein Problem mit dem Telekommunikationsgesetz (§ 107 TKG). Danach ist (sowohl B2B als auch B2C) jede Werbung (egal ob Spam oder Einzel-mail) per E-Mail oder Telefon nur dann zuläs-sig, wenn es dazu eine vorherige Zustimmung gibt. Bereits der Telefonanruf oder das E-Mail, mit dem eine solche Zustimmung eingeholt werden soll, wird als Werbemail gesehen. Auch das Erstellen eines Angebots wird bereits als Werbung gesehen. Der Umstand, dass Sie die Kontaktdaten aus dem Internet, dem Telefon-buch oder aus sonstigen öffentlich zugänglichen Datenbanken haben, macht dafür keinen Unterschied. Die Rechtsprechung geht davon aus, dass in der Veröffentlichung der Kontakt-daten keine Zustimmung zu erblicken ist, unaufgefordert Werbung zuzumailen.

9. Webanalysetools wie z. B. Google Analytics
Auch bei Webanalysetools wie Google Analytics wird es sich um Tätigkeiten als Auftragsverarbeiter handeln. Die Alternative wäre, wie bei der Frage „Hostprovider bzw. Cloudservices“ dargestellt, wiederum nur eine Zustimmung, die faktisch kaum eingeholt werden kann. Wenn Google-Analytics verwendet wird, sollten daher jedenfalls die Kriterien beachtet werden, die von der deutschen Rechtsprechung jeweils entwickelt wurden.

Dazu gibt es im Internet auf den deutschen Seiten relativ detaillierte (leider nicht immer ganz widerspruchsfreie) Handlungsanweisungen. Speziell für Österreich bietet Google unseres Wissens derzeit noch keine Sonderlö-sung an. Ergänzend dazu müssen wieder die Informationen in die Datenschutzerklärung aufgenommen werden – auch hierzu bietet Google-Analytics Textvorschläge an. In der Regel wird in Deutschland auch empfohlen, dem Nutzer ein Opt-out anzubieten, mit dem einer Datenerhebung durch Google widersprochen werden kann.

Der Artikel entstand mit dem geprüften Datenschutzexperten Dkkfm. Andreas Daxböck, MA MMC.

Als zweitgrößte Fachgruppe österreichweit im Bereich Werbung werden rund 3.400 Mitglieder mit ca. 4.200 Gewerbeberechtigungen betreut. Hier finden Sie umfangreiche Informationen sowie unterschiedliche Serviceleistungen für Ihre tägliche Praxis.

Kontakt

WKNÖ Fachgruppe Werbung und Marktkommunikation
Wirtschaftskammer-Platz 1, 3100 St. Pölten
Tel.: 02742 851 - 19712
Fax: 02742 851 - 19719
  werbung@wknoe.at

Cookies helfen uns bei der Bereitstellung unserer Dienste. Mit der Nutzung unserer Website & -tools erklären Sie sich mit der Verwendung von Cookies einverstanden. Nähere Informationen in unserer  Datenschutzerklärung.